攻防演练中攻击队攻击的必备能力

蓝队攻击的必备能力

开展网络渗透对蓝队人员的岗位技能和动手能力都有较高的要求，这些能力要求侧重于攻防实战，是蓝队人员综合能力水平的体现。因为蓝队人员在实战攻防演练中面对的是十分契合真实网络条件的环境，各项技能与手段都需要在实战中得到实践运用，所以对蓝队人员的能力要求与对传统网络安全的能力要求有一定的区别。同时，蓝队能力综合了漏洞挖掘、攻击开发、代码调试、侦破拓展多个方面，根据蓝队人员技术专长、能力水平、技能掌握难易程度等不同情况，蓝队能力有基础能力、进阶能力和高阶能力之分。

实战化能力与传统能力的区别

由于实战攻防演练是对真实黑客攻防过程进行模拟和再现，因此也要求蓝队成员在攻击过程中所使用的战术手法能够达到甚至超过黑产组织或APT组织的攻击水平。与传统的漏洞挖掘人才能力要求不同，实战化能力要求蓝队成员具备在真实的业务系统上，综合利用各种技术和非技术手段进行动态实战攻防的能力。具体来说，实战化能力主要有以下几个特点。

针对业务系统，而非IT系统

传统或一般的漏洞挖掘工作主要针对的是各类IT信息系统本身或系统中的设备、协议等，如各类Web系统、操作系统、PC终端、IoT设备、工业协议、区块链协议等；而实战攻防演练工作的核心目标是发现和解决由网络安全问题引发的业务安全及生产安全问题，攻击过程针对的是实际运行中的业务系统或生产设备。

此外，传统的漏洞挖掘工作主要关注的是对单一系统的单点突破。实战攻防演练更多关注的则是多个系统并存的复杂体系，是复杂体系在运行、管理过程中存在的安全隐患。对于多数大中型政企机构来说，内部存在几十上百个不同的信息化系统的情况是非常普遍的。

漏洞挖掘只是辅助，攻击必须有效

单纯的漏洞挖掘工作，一般只需证明漏洞的存在，提交漏洞报告即可。但在实战化的业务环境中，存在漏洞不等于能够实现有效的攻击。一方面，这是因为漏洞的实际触发可能依赖于诸多条件，这些条件在实际的业务环境中未必具备；另一方面，即便漏洞是有效的，但如果蓝队只能实现单点突破，而无法达到预设的最终目标，同样不能完成有效的攻击。

攻击是个过程，允许社会工程学方法

对单一漏洞进行挖掘和利用，往往只能实现某个局部的技术目标。但事实上，在绝大多数的实战攻防演练中，蓝队需要连续突破多个外围系统或关联系统，才能最终达成计划中的攻击目标。也就是

说，蓝队需要掌握一系列漏洞，并能够对机构内部的IT架构、运行管理机制进行有效分析，才有可能找到有效的攻击路径，实现实战攻防演练环境下的有效攻击。事实上，在实战攻防演练中，蓝队一方可能需要连续数日，多人协作才能完成一整套攻击。

此外，一般的漏洞挖掘或渗透测试是不允许使用社会工程学方法的。但在实战化环境下，社会工程学是必不可少的攻击手法，因为真实的攻击者一定会使用这项技能。事实上，以人为突破口，往往是实战攻防演练中攻击方的优选。

动态攻防环境，有人运行值守

单纯的漏洞挖掘工作一般不需要考虑攻防过程，也就是说不需要考虑人的参与。但在实战攻防演练中，防守方红队实际上是有专业团队在进行安全运行维护和24小时值守工作的。攻击方蓝队一旦开始行动，就有可能被防守方发觉。而防守方一旦发现入侵行为，也会采取各种反制措施、诱捕行动及攻击溯源。所以，实战化能力就要求蓝队成员必须掌握一定的身份隐藏技能，掌握匿名网络、免杀技术、权限维持等各种安全对抗技术。

实战化蓝队人才能力图谱

实战化蓝队人才能力可以分为不同的级别和类型。在本书中，我们主要综合考虑了掌握技能的难易程度、市场人才的稀缺程度及实战化能力的有效性这三方面的因素，将蓝队的实战化能力从低到高依次分为基础能力、进阶能力和高阶能力。

（1）掌握技能的难易程度

不同的能力，学习和掌握起来难易程度不同。而技能的难易程度是能力定级的首要因素。例如，Web漏洞利用相对容易，而Web漏洞挖掘要困难一些，系统层漏洞的挖掘则更为困难，所以这三种能力也就分别被列入基础能力、进阶能力和高阶能力。

（2）市场人才的稀缺程度

人才的稀缺程度也是能力定级的重要参考因素。例如，在蓝队一方，掌握系统层漏洞利用的人只有1成左右；在iOS系统中，会编写PoC 或EXP的人员也相对少见。因此，这些能力就被归入了高阶能力。

（3）实战化能力的有效性

总体而言，越是高阶的能力防守方就越难以防御和发现，其在实战攻防演练中发挥实效的概率也就越大。

接下来说分类问题。从不同的视角出发，可以对实战化能力进行不同的分类。而本书所采用分类方法主要考虑了以下几个因素。

只对实战化过程中最主要、最实用的能力进行分类，边缘技能暂未列入分类。
不同的能力分类之间尽量不交叉。
分类与分级兼顾，同一领域的不同能力，如果分级不同，则作为不同的分类。
将挖掘、利用、开发、分析等能力作为不同的技能来分类。比如，同样是对于Web系统，漏洞利用、漏洞挖掘、开发与编程都是不同的能力分类。

以前述分级与分类原则为基础，本书将实战化蓝队人才能力分为3 个级别、14类、85项具体技能。其中，基础能力2类20项，进阶能力4 类23项，高阶能力8类42项，如图4-1所示。

图4-1　实战化蓝队人才能力图谱

基础能力

基础能力主要包含Web漏洞利用能力和基础安全工具利用能力两类。

（1）Web漏洞利用能力

Web漏洞利用能力即利用Web系统或程序的安全漏洞实施网络攻击的能力。由于Web系统是绝大多数机构业务系统或对外服务系统的构建形式，所以Web漏洞利用也是最常见、最基础的网络攻击形式之一。在实战攻防演练中，蓝队常用的Web漏洞形式有命令执行、代码执行、解析漏洞、XSS、弱口令、文件上传、SQL注入、逻辑漏洞、信息泄露、配置错误、反序列化、权限绕过等。

（2）基础安全工具利用能力

主要包括Burp Suite、sqlmap、AppScan、AWVS、Nmap、 Wireshark、MSF、Cobalt Strike等基础安全工具的利用能力。熟练的工具利用能力是高效开展渗透工作的保障。

进阶能力

进阶能力主要包括Web漏洞挖掘、Web开发与编程、编写PoC或EXP 等利用、社工钓鱼四类。

（1）Web漏洞挖掘

Web漏洞挖掘能力主要是对Web系统或软件进行漏洞挖掘的能力。在蓝队挖掘的Web应用漏洞中，比较常见的漏洞形式有命令执行、代码执行、解析漏洞、XSS、弱口令、文件上传、SQL注入、逻辑漏洞、信息泄露、配置错误、反序列化、权限绕过等。

（2）Web开发与编程

掌握一门或几门编程语言，是蓝队人员深入挖掘Web应用漏洞、分析Web站点及业务系统运行机制的重要基础能力。在实战攻防演练中，蓝队最常遇到、需要掌握的编程语言有Java、PHP、Python、C/C++、 Go等。

（3）编写PoC或EXP等利用

PoC是Proof of Concept的缩写，即概念验证，特指为了验证漏洞存在而编写的代码。有时也被用作0day、Exploit（漏洞利用）的别名。

EXP是Exploit的缩写，即漏洞利用代码。一般来说，有漏洞不一定有EXP，而有EXP，就肯定有漏洞。

PoC和EXP的概念仅有细微的差别，前者用于验证，后者则是直接利用。自主编写PoC或EXP，要比直接使用第三方编写的漏洞利用工具或成熟的漏洞利用代码困难得多。但对于很多没有已知利用代码的漏洞或0day漏洞，自主编写PoC或EXP就显得非常重要了。

此外，针对不同的目标或在不同的系统环境中，编写PoC或EXP的难度也不同。针对Web应用和智能硬件/IoT设备等，编写PoC或EXP相对容易，属于进阶能力；而针对操作系统或安全设备编写PoC或EXP则更加困难，属于高阶能力。

（4）社工钓鱼

社工钓鱼，既是实战攻防演练中经常使用的作战手法，也是黑产团伙或黑客组织最常使用的攻击方式。在很多情况下，攻击人要比攻击系统容易得多。社工钓鱼的方法和手段多种多样。在实战攻防演练中，最为常用，也是最为实用的技能主要有四种：开源情报搜集、社工库搜集、鱼叉邮件和社交钓鱼。其中，前两个属于情报搜集能力，而后两个则属于攻防互动能力。

1）开源情报搜集。开源情报搜集能力是指在公开的互联网信息平台上合法搜集目标机构的关键情报信息的能力。例如，新闻媒体、技术社区、企业官网、客户资源平台等公开信息分享平台都是开源情报搜集的重要渠道。蓝队可以通过开源情报搜集，获取诸如企业员工内部邮箱、联系方式、企业架构、供应链名录、产品代码等关键情报信息。这些信息都可以为进一步的攻击提供支撑。

开源情报搜集是蓝队首要的情报搜集方式，其关键在于要从海量网络信息中找到并筛选出有价值的情报信息组合。通常情况下，单一渠道公开的机构信息大多没有什么敏感性和保密性，价值有限，但如果将不同渠道的多源信息组合起来，就能够形成非常有价值的情报信息。当然，不排除某些机构会不慎将内部敏感信息泄露在互联网平台上。蓝队在互联网平台上直接找到机构内部开发代码，找到账号密码本的情况也并不少见。

2）社工库搜集。社工库搜集能力是指针对特定目标机构社工库信息的搜集能力。

所谓社工库，通常是指含有大量用户敏感信息的数据库或数据包。用户敏感信息包括但不限于账号、密码、姓名、身份证号、电话号码、人脸信息、指纹信息、行为信息等。由于这些信息非常有助于攻击方针对特定目标设计有针对性的社会工程学陷阱，因此将这些信息集合起来的数据包或数据库就被称为社会工程学库，简称社工库。

社工库是地下黑产或暗网上交易的重要标的物。不过，在实战攻防演练中，蓝队所使用的社工库资源必须兼顾合法性问题，这就比黑产团伙建立社工库的难度要大得多。

3）鱼叉邮件。鱼叉邮件能力是指通过制作和投递鱼叉邮件，实现对机构内部特定人员有效欺骗的一种社工能力。

鱼叉邮件是针对特定组织机构内部特定人员的定向邮件欺诈行为，目的是窃取机密数据或系统权限。鱼叉邮件有多种形式，可以将木马程序作为邮件的附件发送给特定的攻击目标，也可以构造特殊的、有针对性的邮件内容诱使目标人回复或点击钓鱼网站。鱼叉邮件主要针对的是安全意识或安全能力不足的机构内部员工。不过，某些设计精妙的鱼叉邮件，即便是有经验的安全人员也难以识别。

4）社交钓鱼。社交钓鱼一般建立在使人决断产生认知偏差的基础上，也是网络诈骗活动的主要方法，但在以往的实战攻防演练中还很少使用。随着防守方能力的不断提升，直接进行技术突破的难度越来越大，针对鱼叉邮件也有了很多比较有效的监测方法，于是近两年社交钓鱼方法的使用越来越多了。

高阶能力

高阶能力主要包括系统层漏洞利用与防护、系统层漏洞挖掘、身份隐藏、内网渗透、掌握CPU指令集、高级安全工具、编写PoC或EXP等高级利用以及团队协作八大类。

系统层漏洞利用与防护

为应对各种各样的网络攻击，操作系统内部有很多底层的安全机制。而每一种安全机制，都对应了一定形式的网络攻击方法。对于蓝队人员来说，学习和掌握底层的系统安全机制，发现程序或系统中安全机制设计的缺陷或漏洞，是实现高水平网络攻击的重要基础。实战攻防演练中，最实用且最常用的系统层安全机制有以下7种。

1）SafeSEH。SafeSEH是Windows操作系统的一种安全机制，专门用于防止异常处理函数被篡改。在程序调用异常处理函数之前， SafeSEH会对要调用的异常处理函数进行一系列的有效性校验。如果发现异常处理函数不可靠或存在安全风险，应立即终止异常处理函数的调用。如果SafeSEH机制设计不完善或存在缺欠，就有可能被攻击者利用、欺骗或绕过。当系统遭到攻击时，程序运行就会出现异常，并触发异常处理函数。而要使攻击能够继续进行，攻击者就常常需要伪造或篡改系统异常处理函数，使系统无法感知到异常的发生。

蓝队的SafeSEH能力是指掌握SafeSEH的技术原理，能够发现程序或系统中SafeSEH机制的设计缺陷，并加以利用实施攻击的能力。

2）DEP。DEP（Data Execution Protection，数据执行保护）的作用是防止数据页内的数据被当作可执行代码执行，引发安全风险。从计算机内存的角度看，对数据和代码的处理并没有明确区分，只不过在系统的调度下，CPU会对于不同内存区域中的不同数据进行不一样的计算而已。这就使得系统在处理某些经过攻击者精心构造的数据时，会误将其中的一部分“特殊数据”当作可执行代码执行，从而触发恶意命令的执行。而DEP机制设计的重要目的就是防止这种问题的发生；如果DEP机制设计不完善或存在缺欠，就有可能被攻击者所利用、欺骗或绕过。

蓝队的DEP能力是指掌握DEP的技术原理，能够发现程序或系统中 DEP机制的设计缺陷，并加以利用实施攻击的能力。

3）PIE。PIE（Position-Independent Executable，地址无关可执行文件）与PIC（Position-Independent Code，地址无关代码）含义基本相同，是Linux或Android系统中动态链接库的一种实现技术。

蓝队的PIE能力是指掌握PIE的技术原理，能够发现程序或系统中 PIE机制的设计缺陷，并加以利用实施攻击的能力。

4）NX。NX（No-eXecute，不可执行）是DEP技术中的一种，作用是防止溢出攻击中，溢出的数据被当作可执行代码执行。NX的基本原理是将数据所在内存页标识为不可执行，当操作系统读到这段溢出数据时，就会抛出异常，而非执行恶意指令。如果NX机制设计不完善或存在缺欠，就可以被攻击者利用并发动溢出攻击。

蓝队的NX能力是指掌握NX的技术原理，能够发现程序或系统中NX 机制的设计缺陷，并加以利用实施攻击的能力。

5）ASLR。ASLR（Address Space Layout Randomization，地址空间随机化）是一种操作系统用来抵御缓冲区溢出攻击的内存保护机制。这种技术使得系统上运行的进程的内存地址无法预测，使与这些进程有关的漏洞变得更加难以利用。

蓝队的ASLR能力是指掌握ASLR的技术原理，能够发现程序或系统中ASLR机制的设计缺陷，并加以利用实施攻击的能力。

6）SEHOP。SEHOP是Structured Exception Handler Overwrite Protection的缩写，意为结构化异常处理覆盖保护。其中，结构化异常处理是指按照一定的控制结构或逻辑结构对程序进行异常处理的一种方法。如果结构化异常处理链表上的某一个或多个节点被攻击者精心构造的数据所覆盖，就可能导致程序的执行流程被控制，这就是SEH 攻击。而SEHOP就是Windows操作系统中针对这种攻击给出的一种安全防护方案。

蓝队的SEHOP能力是指蓝队掌握SEHOP的技术原理，能够发现程序或系统中SEHOP机制的设计缺陷，并加以利用实施攻击的能力。

7）GS。GS意为缓冲区安全性检查，是Windows缓冲区的安全监测机制，用于防止缓冲区溢出攻击。缓冲区溢出是指当计算机向缓冲区内填充数据位数时，填充的数据超过了缓冲区本身的容量，溢出的数据就会覆盖合法数据。理想的情况是：程序会检查数据长度，并且不允许输入超过缓冲区长度的字符。但是很多程序会假设数据长度总是与所分配的储存空间相匹配，这就埋下了缓冲区溢出隐患，即缓冲区溢出漏洞。GS的作用就是通过对缓冲区数据进行各种校验，防止缓冲区溢出攻击的发生。

蓝队的GS能力是指蓝队掌握GS的技术原理，能够发现程序或系统中GS机制的设计缺陷，并加以利用实施攻击的能力。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南