其他
红队标准手册
工作环境
工作时全部操作均在虚拟机中完成 虚拟机中不登陆个人帐号,如 QQ
、微信、网盘、CSDN
等渗透环境、开发环境、调试环境需要分开,从目标服务器上下载的程序需要在单独的环境中测试运行 渗透虚拟机中全程使用代理 IP
上网物理机必须安装安全防护软件,并安装最新补丁,卸载与公司相关的特定软件 fofa
、cmd5
、天眼查等第三方工具平台帐号密码不得与公司有关,云协作平台同理RAT
使用CDN
保护的域名上线尽量不使用公司网络出口,可以使用移动 4G
网卡,然后虚拟机再连代理项目结束之后,虚拟机恢复快照,并且不再复测之前的目标或之前未成功利用的漏洞 工作记录使用 mybase
等加密记录,不使用在线文档,本地word
等物理机必须是断网状态的,防火墙阻断所有出入端口,虚拟机桥接香港盒子网络(关闭所有位置服务) 非重要性工具、文档进行网络传输时必须加密传输,涉及到项目的重要数据,必须物理设备、 U盘
传输电脑、域名、 vps
、社交工具、盒子、手机设备、支付方式一般都是通过混币器走过的usdt
(没有四件套的情况下)检查所有可输入、输出的设备,笔记本的摄像头,麦克风、公司的摄像头,会议室开会不带手机等
渗透工具
WebShell
不能使用普通一句话木马,连接端使用加密流量,建议使用蚁剑不使用默认冰蝎,需要修改为硬编码密钥 内网渗透时尽量使用 socks
代理,在本地操作上传程序到目标服务器时,需要修改文件名:如 svchost
等,尽量不上传内部自研工具公开工具需要去除特征指纹,如: sqlmap
、masscan
、Beacon
证书工具需要设置线程或访问频率,如 sqlmap
的--delay
、内网扫描时线程不大于5
Cobalt Strike
后⻔上线后,设置time.sleep
⼤于500
秒手机短信验证码需使用在线平台如 z-sms.com
,(中国移动可以申请和多号,然后设置只接收短信不接收电话)socks
代理通道需要使用SSL
加密禁止在 CS
服务器上开启web
服务,特别是在home
目录小范围流传的工具建议各大微信群公开,以免被人上传后被意外溯源,而你正好又是参演队伍 木马编译环境中用户名使用 administrator
,禁止使用自己的ID
自建 dnslog
平台的whois
信息需要隐藏自研扫描器不要带有特征,常见于 user-agent
处
重点
攻防演习成功的关键是团队协作,要互相帮助学习和进步,不要勾心斗角,每个团队的成功都需要有人当红花有人当绿叶的,外网打点与内网渗透同等重要 渗透过程中,记住上传的 webshell
、木马等地址,服务器添加的帐号,项目结束后要删除或描述在报告中,避免不必要的麻烦登陆 3389
不建议添加用户,尝试激活guest
,如必须要添加帐户,帐户名与目标相关即可,避免使用qax
、qaxNB
等友商关键词清理日志时需要以文件覆盖的方式删除文件,防止数据恢复,或者仅删除指定 ID
的日志碰到蜜罐就不要慌,多喝点花茶,这样死了会比较香
引用
https://github.com/zhutougg/RedteamStandard
https://github.com/Solitude-Echo/Redteam_Standard
adventurer
关注公众号后台回复 0001
领取域渗透思维导图,0002
领取VMware 17永久激活码,0003
获取SGK地址,0004
获取在线ChatGPT地址,0005
获取 Windows10渗透集成环境,0006
获取 CobaltStrike 4.8破解版
加我微信好友,邀请你进交流群
往期推荐
备用号,欢迎关注