不是每个人都能按照严格的要求来做,毕竟要注意的地方太多,一定是要犯错才会有深刻的教训,因为人很贱,不犯错是不会改变的。
工具篇#
WebShell 不能使用普通一句话木马,连接端使用加密流量,不使用普通中国菜刀。
不使用默认冰蝎,已被安全厂商能够识别流量(使用默认,入口打点这么辛苦,连接一小时就被发现,并被清除封堵)
上传工具到服务器中,不能使用默认名称,例如,frp、nc、lcx 等。
使用 sqlmap 要加 --random-agent 参数。
nmap、zmap 扫描要去除特征。
不要相信工具的判断,工具测试一遍,手工测试一遍。
sqlmap 注入频率问题,使用 --delay、--safe-url、--safe-freq | ID:SewellDinG 提供
Cobalt Strike 的 Beacon 证书和特征,如果使用默认的将会被检测。
Cobalt Strike 使用域前置技术,伪装成白站域名,隐藏真实 C2 服务器 IP;(默认启动的 CS, 基本被各厂商设备能识别到)
在进行有可能导致管理员察觉的敏感操作时(如登录远程桌面等),根据目标所在地区,选择对应 IP 登录。(有些会提示异地登录提醒)
时区选择非大陆,作业时间贴合时区
使用自己塔建的 DNSlog,目前网上 dnslog 站点已被监控,只要请求了域名就会被监测到。
安全意识篇#
渗透工作电脑浏览器不能保存任何个人信息,防止被抓取信息。
不随意修改管理员密码、后台密码。
大文件需要打包分割下载。
不使用国内 VPS(阿里云、腾讯云)做 CobaltStrike 远控服务器。
渗透项目结束后,不要继续进行测试。
开发代码中不要留个人 id,生成木马的时候不要在个人电脑生成,会带上电脑路径、电脑名称。
永远用虚拟机操作,不要用真实机操作
虚拟机快照,不必装杀软,完成项目后恢复一次快照
电脑语言,用日语,英语,繁体字,不要用中文(看项目需要,一般用不上。)
设置路由器只允许 1723 等其它 VPN 端口才能出网,一但 VPN 断开将自动断网,不然在扫描过程 VPN 断开会暴露真实 IP 地址(看项目需要,一般用不上。)
从目标拖回来的任何文件都不要在有网的机器打开,要在专用脱网机打开。
渗透物理机脱网(用于存储文件,信息等),网络流量从虚拟机搭建的网关走 usb 网卡 + 匿名线路(看项目需要,一般用不上。)
注册网站需要验证码,使用接码平台。
高管邮箱、运维人员邮箱,发现有 VPN 帐号或者重要系统登录地址,访问需谨慎,特别是登录需要下载控件,"安全登录控件.exe" 等等
Github 收集目标信息时,需要特别关注项目更新时间节点,如果较为新的话,访问需谨,有可能是引诱攻击者进入沙箱。
其他#
多养一些仿大厂的域名,平时指向谷歌或者 8.8.8.8,用的时候解析到自己服务器,不用的时候立马修改。(如果临时去注册域名或者短期内想要使用域名,会浪费很多时间在这上面,甚至能被安全设备检测,这是常有的事情,需要平时多储备,提升域名的可信度。)
记住自己上传的木马,保留好地址,项目结束后一定要删除或者提交,避免项目结束忘记清除被防守方发现,这锅很难说得清的。
在授权项目中,使用爬虫的过程中会做一些误操作,导致对网站不可逆的影响(爬取链接时,特别是已登录的状态下,爬取到 delete 页面会导致数据被删除)
清理日志时需要以文件覆盖的方式删除文件,防止数据恢复,或者仅删除指定 ID 的日志.
一个团队,一定要团结一心,相互包容,互相帮助学习和进步,不要勾心斗角。否则这团队个人再厉害也是一盘散沙。
所有浏览器升级到最新版本,禁止使用旧版谷歌浏览器
有反蜜罐插件 anti-honeypot,工具都是不可信的,防守方把靶标伪装成蜜罐