红队行动 Live 笔记
第一部分:连接 APT 靶场并准备扫描
目标:
连接到 APT Labs 靶场,为扫描阶段做好准备。
连接方式:
OpenVPN 或 tom box。
服务器选择:
欧洲区(EU)或美国区(US)服务器。
根据网络带宽、延迟测试选择较快的区域。
操作流程:
使用 OpenVPN 连接靶场。
确保操作系统代理设置稳定:如 Clash 或其他系统级代理。
在 VMware Fusion 中配置网络无缝连接外网。
下载并配置靶场的 VPN 文件,确保传输稳定。
注意事项:
网络延迟会影响扫描效率。
测试服务器连通性,切换节点以避免访问失败。
通过常用工具(如 text box)检查 VPN 连接状态。
工具配置示例:
Clash 配置代理规则:
国内流量走国内通道。
国外流量走国外通道。
VMware 配置网络自动路由。
VPN 使用的特殊说明:
优选独享实例(如 VIP 版本)以避免干扰。
在疑似靶场故障时,注意切换至备用节点排查问题。
第二部分:扫描阶段准备及基础理论
Nmap 的重要性:
Nmap 是网络扫描中不可或缺的工具,其独特之处在于对流量的精确操控。通过 Nmap,可以:
主机发现。
端口和服务探测。
操作系统类型识别。
绕过防火墙与 IDS。
扫描前的准备工作:
信息收集(OSINT):确保最大限度减少扫描工作量。
替代 Nmap 扫描的方式:
被动嗅探工具如 masscan、unicornscan、rustscan、p0f。
应用层特征分析(如 SSL 证书、API 接口等)。
利用已泄露的信息(robots 文件、GitHub 泄露配置等)。
扫描的风险与应对:
扫描可能暴露位置,应控制流量特征。
使用渐进式扫描:
先进行存活主机探测。
再逐步进行端口与服务扫描。
第三部分:Nmap 的高级用法与细节
Nmap的确之所以重要,
不仅仅因为它是一个广泛使用的网络扫描工具,更在于它对网络流量的深刻理解和精细操控。
Nmap的核心优势在于它对TCP/IP协议的深入掌握可以通过各种扫描技术(如SYN扫描、ACK扫描、FIN扫描等)操控网络包,从而探测到目标主机的状态、端口开放情况、服务版本甚至操作系统。
要真正掌握Nnap的高级用法,就需要具备时TCP/IP协议的扎实理解,Nnap可以根据网络的不同响应(如TCP标志位、T1L、窗口大小等),推断出目标的操作系统和网络状态,理解这些技术细节的背后,实际上是在理解TCP网络诵信的核心机制。因此,熟悉计算机网络和流量的工作原理对于使用Nmap进行高效扫描至关重要。
Nmap之所以在网络安全领域占有重要位置,是因为它不仅提供了基本的网络扫描功能,还赋予用户对网络包的精细控制能力。这使得Nmap不仅仅是一个工具,更像是一个与底层网络通信对话的桥梁。
主机发现命令:
-sn不进行端口扫描,仅进行存活探测。-PS使用 TCP SYN 探测特定端口。-PU使用 UDP 探测主机存活。-PE使用 ICMP echo 请求主机状态。
结合时间参数优化扫描效率:
--min-rate设置最低发包速率。
端口与服务探测:
-sS半开放扫描,速度快但容易被防火墙拦截。-sT全 TCP 连接扫描,适合需要高准确率的场景。-sUUDP 扫描,常用于检测 DNS、SNMP 等服务。-A开启服务和操作系统版本探测。
绕过防火墙技术:
使用随机化源端口和分段数据包方式(
--data-length)。模拟正常流量行为(例如随机化扫描时间间隔)。
--spoof-mac模拟不同厂商的 MAC 地址。
输出与记录:
使用
-oN输出普通文本格式日志。使用
-oX或-oJ输出 XML 或 JSON 格式日志,便于后续分析。
实际演练步骤:
初步探测:
nmap -sn 192.168.1.0/24服务扫描:
nmap -sS -sV 192.168.1.10操作系统探测:
nmap -O 192.168.1.10
第四部分:实践中的建议与常见问题
团队协作中的注意事项:
保持扫描结果的输出规范,便于后续共享与分析。
多人协作时,确保扫描参数一致。
扫描失败的处理:
检查网络连通性。
排查可能的防火墙干扰,使用 traceroute 了解跳数。
使用备用工具(如 masscan)进行补充扫描。
操作中的心理准备:
扫描需耐心等待,不要因为等待时间长而中断。
如果被封锁 IP,切换备用网络或节点继续。
第五部分:绕过防火墙的方法
1. 更换扫描技术:
防火墙常识别标准的扫描方式,使用以下扫描方式可绕过防火墙:
防火墙往往能够识别常见的扫描方式(如 TCP Connect 或 SYN 扫描)。
因此,通过选择其他扫描技术可以避开防火墙的检测。常见的扫描方式有:
SYN 扫描 (
-sS):通过发送 SYN 数据包来测试端口是否开放,而不会完成三次握手。
防火墙可能会根据是否有三次握手的完成来判断扫描流量。ACK 扫描 (
-sA):这种扫描方法通过发送 ACK 数据包来探测防火墙是否存在。FIN 扫描 (
-sF):通过发送带 FIN 标志的数据包来进行扫描,许多防火墙不会响应这种流量。Xmas 扫描 (
-sX):向目标发送具有 Xmas 标志(FIN、PSH、URG)的数据包,防火墙可能不会识别这些数据包。Null 扫描 (
-sN):发送没有设置任何标志的数据包。防火墙通常会将此类流量丢弃。
2. 使用不同的端口和协议:
更换扫描端口:很多防火墙只会针对常见的端口(如 80、443、21 等)进行过滤。选择其他端口进行扫描,可以避免防火墙的拦截。
常见的端口如 HTTP (80)、HTTPS (443)、FTP (21),这些端口通常会受到严格的过滤。可以尝试扫描一些高端口(例如 10000-65000),这些端口可能不被防火墙监控。
使用不同协议:选择不同的协议也有助于绕过防火墙。
UDP 扫描:很多防火墙只会监控 TCP 流量,UDP 流量可能不被阻止。
ICMP 扫描(Ping 扫描):一些防火墙可能会允许 ICMP 流量通过。
3. 调整扫描速度(Timing):
防火墙常通过流量特征来识别扫描行为,快速扫描通常会引起警报。通过降低扫描速度,可以减少被防火墙或入侵检测系统发现的风险。
可以使用 Nmap 的
-T选项调整扫描的时间:-T0(非常慢): 降低速度,使得扫描更加隐蔽,适合绕过防火墙。-T3(正常):默认速度,适合常规使用。-T5(非常快):增加扫描速度,但会增加被检测到的可能性。
4. 使用伪装(Decoy)技术:
通过使用 Decoy(伪装) 技术,可以通过发送伪装的扫描流量来混淆目标网络中的流量,隐藏真正的攻击者。
使用 Nmap 的
-D参数可以模拟多个源 IP 地址,从而在目标系统中产生多个伪装的扫描源,混淆真正的来源。示例:
nmap -D RND:10 目标IP会使用 10 个随机 IP 作为伪装源。
5. 使用应用层代理:
应用层代理(如 SOCKS5 或 HTTP/HTTPS 代理)可以将流量通过代理服务器转发,从而隐藏原始源地址,绕过防火墙的 IP 黑名单或流量过滤。
通过配置代理服务器,将 Nmap 的扫描流量通过代理进行转发。Nmap 提供了
--proxy参数来指定代理类型和代理地址。
6. 使用加密隧道和 VPN:
加密隧道(如 SSH 隧道 或 VPN)通过加密流量,使得扫描流量无法被防火墙直接识别或阻止。
使用 VPN 或 SSH 隧道可以将流量从公共网络发送到目标网络,避免扫描行为暴露。
示例:通过
ssh创建隧道,或者使用 OpenVPN 创建加密通道,再通过该通道进行扫描。
7. 防火墙探测与反应分析:
防火墙探测可以通过一些技术手段探测到防火墙的存在及其规则。
通过发送一些“探测性”数据包(如不同的 TCP 标志、不同的端口等),可以观察防火墙如何响应,以此推测防火墙的过滤规则。
常用的扫描方法是 ACK 扫描,它可以帮助识别防火墙是否存在,并通过分析防火墙的响应来推测其策略。
8. 基于时间的反应分析
通过对防火墙的时间响应进行分析,可以判断目标系统是否存在防火墙,以及防火墙的工作机制。
防火墙通常会对某些流量作出延迟响应。通过发送小量数据包并测量响应时间,可以推测防火墙的存在。
例如,发送 ICMP 请求并分析不同的返回时间,或者发送 SYN 请求并查看是否有延迟响应。
9. 使用协议模糊化或混淆
协议模糊化或混淆技术通过修改协议特征或数据包内容,使其看起来像合法流量,防止被防火墙或 IDS/IPS 识别。
例如,使用
--data-length来增加数据包的长度,或者利用一些工具(如 Tor 或 I2P)来进一步隐藏流量特征。通过混淆协议头、数据包内容或使用非标准的数据包结构,可以使扫描流量难以被检测。
总结
绕过防火墙的方法是多种多样的,适用于不同的网络环境和防火墙配置。根据不同的需求,可以灵活地选择合适的技术与策略,同时也要注意隐蔽性,以避免被防火墙或 IDS/IPS 发现。
-.-
评论区