導讀：

在整個紅隊攻防體系中，打點是最基礎也是最重要的一步。它對于紅隊在攻防比賽中取得快速和高效的進展至關重要。然而，在實際的攻防比賽中，由于資產數量龐大、紅隊人員稀缺以及時間緊迫等各種因素，導致打點的效果常常不盡如人意。

在打點階段快人一步、率先進入內網并獲得更高的分數對于紅隊來說非常關鍵。在攻防比賽中，打點的質量和效率直接影響著整個紅隊的表現和成績。那么如何能提高打點的質量呢？

01

打點

打點的好壞取決于兩個關鍵的因素，人力的投入和工具的投入。其中人力的投入無法彌補，有些隊伍紅隊人員就那么幾個，而有些隊伍看似是兩三個人，實則背后是十幾個人甚至整個公司在背后支持，打點效率自然快不少。人力因素無法彌補，因此只能在工具上下文章了。打點實質上是一項體力勞動，在眾多的資產中找到脆弱的資產從而利用，說白了，只要比別人隊伍搜集資產的數目更多，比別人找到脆弱的資產更快，在打點方面就更勝一籌。因此，打點的流程化建設至關重要，而有了流程化，就可以實現自動化，這樣以來，打點的效率更加高效。

02

打點的流程化

打點的步驟分為：人工收集、工具掃描、弱口令爆破、指紋識別、POC驗證。

人工收集：

人工收集：根據客戶所給資產，進一步擴充資產列表，如：1.給定單位名稱，如：某某單位，則需要擴充，某某單位下屬所有網站域名、IP地址、各省、備案信息、小藍本、資產測繪語法搜索、證書等多種收集手段，獲取目標網站的IP、域名資產、URL資產等，其中URL資產可能存在新域名，則也加入到域名資產中。2.給定資產列表，如：Excel文檔（包含域名、IP、URL等）。3.給定資產范圍：如：某某公司（網站域名、IP地址、各省、備案，語法搜索）。對于某些上述某些操作，可使用腳本來代替人工，如：1.ICP信息收集：根據主域名、備案信息、主辦單位名稱快速提取網站域名（可能為IP地址）。2.根據資產測繪語法，對“后臺、管理、系統、password、域名、證書、icp備案”關鍵詞等信息進行IP、URL、域名的資產收集。最終結果：域名、IP地址、URL資產表。舉例：通過備案信息查詢百度的網站域名。

工具掃描：

工具掃描是指利用各種掃描工具進一步擴充人工收集到的資產信息。1.針對域名，利用域名爆破、oneforall等手段獲取域名，若為oneforall，則可獲取更多IP地址，加入IP資產表。如：利用oneforall對某某網站進行資產收集。

2.針對IP地址，對獲得到域名進行IP獲取，排除CDN，對IP地址從大到小排序，補充C段。3.對IP地址進行端口探測以及服務掃描，服務分為主機服務和Web服務（可能存在WAF，需要考慮）。4.根據Web服務更新URL資產表。流程圖如下：

腳本實現：包括域名爆破，域名反查IP、補C段、端口服務掃描。最終結果：URL資產表（包括IP服務資產表）、IP服務資產表。

弱口令爆破：

弱口令爆破：利用工具對常見主機服務進行弱口令爆破。對服務資產表中的Redis、Mysql、Telnet、SSH、RDP等服務進行弱口令爆破（可針對目標生成常見弱口令，密碼賬號組合不超過100個，top100等）。腳本實現：常見主機服務器弱口令爆破腳本編寫（Telnet、SSH、Redis、Mysql、RDP等）。如：Mysql爆破示例代碼（Python）。

指紋識別：

指紋識別：利用指紋庫對所有URL資產表進行指紋識別。對URL資產表進行指紋識別，識別結果字段（目標URL、跳轉URL、狀態碼、title字段、CMS指紋信息等）。最終結果：指紋識別表，包括已識別的URL資產和未識別的URL資產。運營：指紋庫運營，需要建立內部指紋庫。指紋庫規則可參考Finger，將指紋對應的POC關聯起來形成內部漏洞指紋庫，如：

POC認證：

POC驗證：根據指紋識別表中的已識別的URL資產進行POC驗證。1.根據指紋信息對URL資產進行批量POC驗證；2.對403、404等狀態碼頁面進行目錄掃描；3.對登錄界面進行快速弱口令檢測；4.對各種路由器、攝像頭、默認口令設備進行默認弱口令測試（收集常見默認設備弱口令）；5.對Web服務器進行人工測試（目錄掃描、接口測試、邏輯漏洞、登錄框等）；最終結果：漏洞信息匯總。舉例：當我們通過指紋信息對Web資產進行識別后，同時會獲得poc文件名，我們直接可調用該yaml文件進行漏洞掃描，這樣既能節約漏洞掃描時間，又能提高漏洞掃描的準確度。

03

另類打點手段

釣魚：

近些年來，在攻防比賽中，隨著防守方大量部署安全設備，如WAF、IDS、IPS等，以及各家單位都開展了很多次攻防比賽，想要從Web端打點的方式進入對方內網難度頗高，而人類因素仍是網絡安全中最大的漏洞，因此釣魚攻擊已經成為在攻防比賽中必不可少且非常有效的攻擊手段，一旦有人中招，攻擊方就可繞過層層防護，直接進入對方內網。事實上，釣魚攻擊也一直是APT的主要打點手段。

近源：

近源攻擊不同于有線網絡進行攻擊，而是攻擊人員靠近或處于目標單位各種網絡環境中，利用各類無線通信技術、物理接口和智能設備進行滲透測試，包括WiFi、藍牙、Ethernet、蜂窩等各類物聯網通信技術，甚至包括智能設備的嵌入式安全

0day：

0day攻擊指的是利用未公開的、未修復的漏洞或安全漏洞進行攻擊的方法。這些漏洞通常是軟件、操作系統、應用程序或其他技術中的未知漏洞，對于開發者和供應商是未知的，因此受害者通常沒有時間采取防御措施或修復漏洞，可能導致數據泄露、系統癱瘓等眾多危害。在經歷了常規打點、釣魚等多種手段無法進入內網的情況下，掌握0day可以讓攻擊者事半功倍。

供應鏈：

供應鏈攻擊是一種針對軟件供應鏈中的弱點或漏洞進行的攻擊方式。在供應鏈中，包括軟件開發、分發、集成和部署等環節，攻擊者可以利用其中的環節漏洞或不安全的實踐，將惡意代碼或惡意組件植入到正常的軟件或系統中。在常見的紅隊攻擊中，針對某些單位來說，采用了其他公司的產品或系統，攻擊者可以將矛頭指向上游公司，上游公司的安全防護能力也許不足，打入供應鏈公司內部，獲取產品源代碼或者目標公司數據，通過產品源代碼進行代碼審計，獲得0day，或者利用目標公司數據掌握更多信息，不過這種方式成本巨大，并且有可能耗費巨大且效果不佳，在一般短期的攻防比賽中基本不采用。

04

總結

打點的手段無非那么幾種，如果能把這些手段變成自動化，不僅減少重復繁重的人力勞動，更能提高打點效率，將重心放到后滲透階段中，此不失為一種好方式。