HVV过来人的一些心得分享~

出品｜MS08067实验室（www.ms08067.com）

本文作者： Ryze （Ms08067内网安全小组成员）

Ryze 微信（欢迎骚扰交流）：

刚刚结束某地级市HW，分享一些能够分享的，带大家了解一下中分局游戏到底怎么玩，会遇到什么困难，也希望有经验的朋友多提一些建议和宝贵的经验！

由于特殊性，以下截图均为奇思妙想。

一、了解

游戏规则5天时间，多家目标单位，只提供单位名称，门户网站URL，其余攻击点在不破坏业务、服务器正常运行的情况下且在本目标管辖范围内自由发挥。以获取目标相关 权限、数据 等计算分数。

传统渗透测试、src挖掘和XX的区别

1. 渗透测试和Src挖掘具体的目标范围确定，XX目标只要属于目标管辖范围内即可。

2. XX 的手段在确保业务正常运行，不破坏的情况下基本不限制，思路不限制。

3. XX权限和数据是最终目标，是分数的考核标准。传统的src更多的出于相关条例我们只能做到适可而止，从而不能进行更多的发现和技能实践。

4. 传统的渗透测试更多的是在没有防护的情况下，对目标网站，系统发现根本性问题。

XX面对的是可能存在成熟安全体系的对手

安全本就是矛与盾，从大厂 waf，云waf，到下一代防火墙，ips，ids，堡垒机，edr，杀软，网闸，数据库审计，数据库防泄漏，态势感知等等等等 ，从网关设备到流量检测设备，到感知设备，气质拿捏的死死的。能看到的只有当前环境，像一只迷失方向的羔羊，很有可能走进了对手的蜜罐。

太多太多太多......了

二、聊一聊

刚刚结束某地级市游戏，作为攻击队分享一些我们的攻击思路，以及遇到的麻烦。（以下以叙事角度逐渐开展）

拿到目标表，深吸一口气，又没有洗手，运气是中分局（高分局只有0day 才能牛奶配咖啡）最重要的组成部分。从实战角度出发，我们面对的是成熟的安全体系架构，不同厂商的安全设备，以及这个级别的防守专家。

前期准备第一方面

1. 快速分析目标单位可能存在的 业务组织架构 ，寻找首次突破点（对于门户网站，常规子域名进行的攻击基本可以放弃，因为没有时间精力去对抗封IP，过waf 等高风险操作）

2. 梳理突破点，进行优先级排序（XX时间的局限性，在有限的时间内充分利用脆弱性）

3. 寻找边缘资产，出于隐蔽不采用任何扫描行为进行寻找，在传统信息收集的基础上要多考虑相关业务组织架构进行寻找，在判定没有网站安全设备再开始进行简单的扫描，提高效率。

第二方面

1. 海王还是要当，快速部署相关钓鱼环境。

2. 搜索目标单位相关邮箱，QQ等并实施钓鱼。

3. 时间紧任务重，越早展开命中率越高，有则有，无也不亏。

从边界的角度来分享一下突破率很高的目标类型

1. 高校（你懂的，学号/身份证后6位），社工大法

2. 业务范围非常广，API接口，边界非常多（零信任的出现?）

PS：当然还有更逼真的其他技巧

游戏开始

对于弱口令，远程代码执行类漏洞利用放在首要，快速筛选，提高时效。利用端口复用（详见spark技术分享），http代理等手段回传信息，cs上线，准备好免杀等一系列手段。

进入内网更要减少大规模扫描等手段，内网的流量检测设备可不是吃素的。

三、 分享

1. 终于突破某目标边界，获得当前服务器权限，cs上线，内网搞起，一顿操作猛如虎，发现就是独立的外网网站。仅仅获得几百分。又要从头开始对目标寻找边界进行突破。

2. 突破某目标边界进入内网，拿下内网几台主机权限，翻找本地硬编码等有效信息，获取部分数据库账户密码，跨逻辑隔离网寻找到网闸，无法突破。

3. 钓鱼命中一名HR，利用中午吃饭时间，登录办公电脑，获取数据，继续利用HR 账号批量下发钓鱼邮件。离XX结束只有几个小时才命中HR，无法继续进行。

总结

在没有0day的中分局，运气占比很大，其次，分析目标单位的组织架构，业务分布，系统分布的推测和寻找需要大量经验支撑。面对厂商的安全防护，突破边界夹缝中生存是一个考验，进入内网，各种防御措施手段让攻击思路范围逐渐缩小。我们所学习的技术都是基础铺垫，错位学习攻防知识能使我们对安全的整体架构以及未来的努力方向奠定基础，两者相结合会在之后的学习和工作中有着不一样的提升。

内网小组持续招人，扫描二维码加入我们！

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！