工具篇#
WebShell 不能使用普通一句話木馬,連接端使用加密流量,不使用普通中國菜刀。
不使用默認冰蝎,已被安全廠商能夠識別流量(使用默認,入口打點這麼辛苦,連接一小時就被發現,並被清除封堵)
上傳工具到伺服器中,不能使用默認名稱,例如,frp、nc、lcx 等。
使用 sqlmap 要加 --random-agent 參數。
nmap、zmap 掃描要去除特徵。
不要相信工具的判斷,工具測試一遍,手工測試一遍。
sqlmap 注入頻率問題,使用 --delay、--safe-url、--safe-freq | ID:SewellDinG 提供
Cobalt Strike 的 Beacon 證書和特徵,如果使用默認的將會被檢測。
Cobalt Strike 使用域前置技術,偽裝成白站域名,隱藏真實 C2 伺服器 IP;(默認啟動的 CS, 基本被各廠商設備能識別到)
在進行有可能導致管理員察覺的敏感操作時(如登錄遠程桌面等),根據目標所在地區,選擇對應 IP 登錄。(有些會提示異地登錄提醒)
時區選擇非大陸,作業時間貼合時區
使用自己塔建的 DNSlog,目前網上 dnslog 站點已被監控,只要請求了域名就會被監測到。
安全意識篇#
滲透工作電腦瀏覽器不能保存任何個人信息,防止被抓取信息。
不隨意修改管理員密碼、後台密碼。
大文件需要打包分割下載。
不使用國內 VPS(阿里雲、騰訊雲)做 CobaltStrike 遠控伺服器。
滲透項目結束後,不要繼續進行測試。
開發代碼中不要留個人 id,生成木馬的時候不要在個人電腦生成,會帶上電腦路徑、電腦名稱。
永遠用虛擬機操作,不要用真實機操作
虛擬機快照,不必裝殺軟,完成項目後恢復一次快照
電腦語言,用日語,英語,繁體字,不要用中文(看項目需要,一般用不上。)
設置路由器只允許 1723 等其它 VPN 端口才能出網,一但 VPN 斷開將自動斷網,不然在掃描過程 VPN 斷開會暴露真實 IP 地址(看項目需要,一般用不上。)
從目標拖回來的任何文件都不要在有網的機器打開,要在專用脫網機打開。
滲透物理機脫網(用於存儲文件,信息等),網絡流量從虛擬機搭建的網關走 usb 網卡 + 匿名線路(看項目需要,一般用不上。)
註冊網站需要驗證碼,使用接碼平台。
高管郵箱、運維人員郵箱,發現有 VPN 帳號或者重要系統登錄地址,訪問需謹慎,特別是登錄需要下載控件,"安全登錄控件.exe" 等等
Github 收集目標信息時,需要特別關注項目更新時間節點,如果較為新的話,訪問需謹,有可能是引誘攻擊者進入沙箱。
其他#
多養一些仿大廠的域名,平時指向谷歌或者 8.8.8.8,用的時候解析到自己伺服器,不用的時候立馬修改。(如果臨時去註冊域名或者短期內想要使用域名,會浪費很多時間在這上面,甚至能被安全設備檢測,這是常有的事情,需要平時多儲備,提升域名的可信度。)
記住自己上傳的木馬,保留好地址,項目結束後一定要刪除或者提交,避免項目結束忘記清除被防守方發現,這鍋很難說得清的。
在授權項目中,使用爬蟲的過程中會做一些誤操作,導致對網站不可逆的影響(爬取鏈接時,特別是已登錄的狀態下,爬取到 delete 頁面會導致數據被刪除)
清理日誌時需要以文件覆蓋的方式刪除文件,防止數據恢復,或者僅刪除指定 ID 的日誌.
一個團隊,一定要團結一心,相互包容,互相幫助學習和進步,不要勾心鬥角。否則這團隊個人再厲害也是一盤散沙。
所有瀏覽器升級到最新版本,禁止使用舊版谷歌瀏覽器
有反蜜罐插件 anti-honeypot,工具都是不可信的,防守方把靶標偽裝成蜜罐