目录

一， 外网纵向突破

1.1 何为外网纵向突破

1.2外网纵向突破的主要工作

二， 外网纵向突破的途径

1. Web 网站

2.外部邮件系统

3.边界网络设备

4.外部应用平台

三，内网横向拓展

1. 1何为内网横向拓展

1.2 内网横向拓展的主要工作

1.内网信息搜集

2. 重要目标定位

3.内网渗透拓展

4.内网控制维持

5.内网提权

四， 内网横向拓展的途径

1.内网漏洞利用

2.口令复用或弱口令

4.内网钓鱼

5.内网水坑攻击

---

一， 外网纵向突破

1.1 何为外网纵向突破

外网纵向突破 何为外网纵向突破 如果将目标网络比作一座城池，那么蓝队就是攻城者，而外网纵 向突破就好比在城墙上打开突破口进入城内。

如果将目标网络比作一座城池，那么蓝队就是攻城者，而外网纵向突破就好比在城墙上打开突破口进人城内。蓝队在对一个目标网络实施攻击时，首先就是寻找目标系统互联网侧薄弱点，然后利用这些薄弱点突破外网，进人目标网络内网。这个由外网突破、进人内网的过程一般称为“纵向突破”。外部约向突破的重点是寻找突破口，主要就是依据网情搜集阶段获取的相关信息进行针对性测试，直至利用不同的纵向突破手段打开突破口。

1.2外网纵向突破的主要工作

在外网纵向突破阶段，蓝队的主要工作就是围绕目标网络突破口开展渗透测试，通过获取必要的安全认证信息或漏洞利用获取控制权限。因为一般网络对外开放的接口非常有限，能从外部接触到的只有 Web 网站、外部邮件系统、边界网络设备、外部应用平台，所以外网纵向突破工作的重点也在这些接口

二， 外网纵向突破的途径

首先 蓝队在外部纵向突破中主要采用两种途径;一种是利用各种手段获取目标 网络的一些敏感信息，如登录口令、安全认证或网络安全配置等;另一种就是外部制 通过漏洞利用，实现对目标网络外部接口如 Web 网站、外部邮件系统、边界网络设备和外部应用平台的突破。目标网络在互联网侧对外暴露面非常有限，蓝队纵向突破口也是以这些目标对外暴露面为切人点展开攻击。蓝队能够利用的突破口主要有以下几种。

1. Web 网站

主要针对门户官网、网上办公、信息平台等 Web 人口进行突破，通过 Web 入口存在的安全缺陷控制 Web 后台服务器，并进一步向内网渗透。突破方式以 漏洞利用为主，包括 SQL 注入、跨站脚本攻击、未加密登录请求、弱口令、目录遍历、敏感文件泄露与文件上传漏洞等。另外，存在较多漏洞的是一此 Web平台组件，比如WebLogic、WebSphere、Tomcat、Apache、Nginx、IIS和Wcb 脚本平台等。最近被利用得比较多的反序列化漏洞就主要是 Web 平台组件导致的。

2.外部邮件系统

主要针对目标网络外部部件系统进行突破，目标是控制外部邮件系统后台服务器，并以此为跳板向目标网络内网渗透。突破方式有利用邮件系统安全认证缺陀利用邮件系统组件漏洞、口令暴力破解、系统撞库、网络数据监听与社工等手段。

3.边界网络设备

主要针对暴露在外网的防火墙，边界网关和路由进行突破，目标是规制这些边界设备，并进一步利用它们的通联优势向内网渗透。主要方式还利用这些互联网接口防火墙、边界网关和路由支持开放的 HTTP、HTTPS、Teine FTP、SSH 与网络代理服务，通过远程溢出、远程执行漏洞、安全规则配置不当、口令猜破与社工手段，对一些开放的重要服务和端口进行渗透。比较典型的例子有 VPN 网关仿冒接人突破。

4.外部应用平台

主要针对外部应用平台，比如业务系统、OA、报表系统、微信公众号平台、大数据平台等，利用其基础构件、网络代理组件、应用后台数据库或平台应用税序本身的设计缺陷进行突破。云平台的渗透和常规的渗透是没有任何区别的:从技术角度来讲，云平台只是多了一些虚拟化技术应用，本质与传统网络一样，虚拟资产信息也大多可以通过扫描探测被发现;云平台也会存在常规的安全漏洞，如 SQL 注人、弱口令、未授权操作、命令执行、文件上传、敏感信息泄露等

三，内网横向拓展

1. 1何为内网横向拓展

横向拓展，通常是指攻击者攻破某台内网终端或主机设备后，以此为基础，对相同网络环境中的其他设备发起的攻击活动;但也常常被用来泛指攻击者进人内网后的各种攻击活动。不同于外网纵向突破阶段由外到内的渗透过程，蓝队的内网横向拓展主要是指在突破进入目标网络内网以后。在内网主机、系统应用、服务器和网络设备等网络资产之间的跳转、控制、渗透过程。

1.2 内网横向拓展的主要工作

蓝队在内网横向拓展阶段的主要工作就是围绕靶标等内网核心目标，在内网快速横向渗透拓展，实现控制权限最大化，最终达到攻击日标。进入目标内网后，蓝队才真正有机会接触到目标网络核心的东西。实现在内网快速拓展。定位控制内网重要日标是一项细致、烦琐的工作，主要工作包含以下几方面。

1.内网信息搜集

蓝队在内网横向拓展的效率取决于其对目标内部网络的熟悉程度，而对目标内部网络整体架构、VLAN 划分、部门间网络隔离、关键网络节点部署和重要部门或人员网络内精确定位等信息的掌握则是内网快速横向拓展的关键。因此，蓝队在内网横向拓展阶段需要尽可能多地搜集有关内网网络部署、关键网络节点、核心业务目标的信息，实现对内网信息最大限度的了解，为内网进一步拓展提供情报支持。内网信息搜集的重点主要有以下几方面:

口 内网存活的 IP 以及存活 IP 开放的端口和服务;

口 主机和服务器性质，判新设备所在区城是 DMZ 区、办公区还是服务器区，作用是文件服务器、Web 服务器、代理服务器、DNS 服务器、邮件服务器、病毒服务器、日志服务器、数据库服务器等之中的哪一个;

口 内网的网络拓扑、VLAN划分、各网络节点和网段间的连通性;

口 内网通用的杀毒软件、防火墙、终端操作系统、OA办公软件、即时通信软件或其他应用系统。目标网情搜集中有关目标组织架构、网络建设、设备部署以及网络管理视门与关健管理人员的信息都会在内网拓展中起到相应的作用。

2. 重要目标定位

蓝队在内网横向拓展过程中对重要目标进行快速定位有两个好处:一是这些内网重要目标大多有网络部署、安全认证、核心业务等的重要信息，获取这些重要信息将对内网横向拓展具有极大帮助;二是这些重要目标多具有非常好的内网通联性，借助其内网通联优势，可快速在目标内网实现横向拓展。这些内网重要目标包含内网关键服务器和内网重要主机。

口 内网关键服务器:内网UTM、云管平台、文件服务器、邮件服务器、病毒服务器、堡垒机、域控服务器、综管平台或核心网关。

口 内网重要主机:核心业务部门主机、网络管理员主机、部门领导主机

3.内网渗透拓展

不同于外网纵向突破侧重于薄弱点的寻找和利用，蓝队内网渗透拓展的重点是安全认证信息和控制权限的获取。在内网渗透拓展过程中，蓝队会利用各种渗透手段，对内网邮件服务器、OA系统、堡垒机、域控服务器、综管平台、统一认证系统、核心网关路由和重要主机等各类重要目标进行渗透控制，尝试突破核心系统权限、控制核心业务、获取核心数据，最终实现对攻防演练靶标的控制。因为目标网络内外网安全防护的不同，攻击过程的实现手段各有侧重。内网渗透拓展的主要实现手段有内网漏洞利用、口令复用或弱口令、仿冒认证登录、内网水坑钓鱼等。

4.内网控制维持

蓝队在攻击的过程中经常会面临目标网络安全防护、内外网隔离以及目标人员工作开机时间等各种条件的限制，为保证攻击的顺利进行，蓝队需要根据这些条件限制从内网控制维持方面采取措施进行应对，主要工作包括渗透工具存活、隐蔽通信、隧道技术出网和控制驻留四方面。

口 针对内网杀毒软件可能导致的渗透工具被查杀的情况，对渗透工具针对性地进行免杀修改或利用白名单机制进行规

口针对目标网络安全防护对异常流量、危险动作的监控可能导致蓝队攻击被拦截的情况，采用通信数据加密、合法进程注人等隐蔽通信进行隐藏。口 针对内外网隔离。内网不能直接出网的情况，采用端口映射或隧道技术进行网络代理穿透。

口 针对目标主机或设备工作时间开机限制导致无法持续的情况，采用对蓝队远控工具进行控制驻留维持的措施，主要通过注册表、服务、系统计划任务、常用软件捆绑替代实现自启动驻留。

5.内网提权

蓝队在攻击过程中，通过渗透拓展获取的应用系统、服务器、个人终端主机等目标的控制权限不一定是最大的，可能只是普通应用或用户权限，后续的一些攻击动作常常会因为权限不足面受到限制或无法开展，这就需要通过提权操作来将初步获取的普通权限提升到较高权限，以方便进行下一步的操作。用到的提权操作主要有以下四类

1)系统账户提权。主要是将操作系统普通账户权限提升为管理员权限，主要通过一些系统提权漏洞实现，比如比较新的 Windows 系统的本地提权漏洞(CVE-2021-1732)和Linux 系统的 sudo 提权漏洞(CVE-2021-3156)。

2)数据库提权。主要是通过获取的数据库管理权限，进一步操作本地配置文件写人或执行命令来获取本地服务器权限。

3)Web Server 应用提权。主要是通过获取的 Web应用管理权限，利用 Web 应用可能存在的缺陷来执行一些系统命令，达到获取本地服务器系统控制权限的目的。

4)虚拟机逃逸。虚拟机逃逸是指通过虚拟应用权限获取宿主物理机控制权限，主要通过虚拟机软件或者虚拟机中运行的软件的漏洞利用，达到攻击或控制虚拟机宿主操作系统的目的。随着虚拟化应用越来越普遍，通过虚拟机逃逸来实现提权的情况会越来越多。

四， 内网横向拓展的途径

大季数内网存在 VLAN 跨网段隔离不严、共享服务器管理或访同权限分配泥乱、内部数据或应用系统开放服务或端口较多、内网防火墙或网关设备固件版本陈旧、终简设备系统补丁更新不及时等问题，导致内部网络防守比较薄弱，所以蓝队在内网横向拓展中采取的手段会更加丰富多样。同时，因为内网具有通联性优势，所以内网横向拓展工作主要围绕通联安全认证的获取与运用开展，主要途径有以下几种。

1.内网漏洞利用

内网漏洞利用是内网横向拓展最主要的途径。进人目标内网后，蓝队能接触到目标网络内部更多的应用和设备，这些内网目标存在比外网多得多的漏洞。漏洞类型也是各式各样。

内网漏洞往往具有三个特点:

一是内网漏洞以历史漏洞为主，因为内网多受到业务安全限制，无法直接访问互联网，各类应用和设备漏洞补丁很难及时更新;

二是漏洞利用容易，内网通联性好，端口服务开放较多，安全策略限制也很少，这些都为内网漏洞利用提供了极大的便利;

三是内网漏洞多具有通用性，因为目标网络多有行业特色，内网部署的业务应用、系统平台多基于同一平台或基础架构实现，容易导致同一漏洞通杀各部门或分节点的情况。

上述特点导致内网漏洞利用难度很小，杀伤力极大，因此内网拓展中的漏洞利用成功率非常高，造成的危害往往也非常严重，尤其是内网中的综管平台堡垒机、OA 系统、内网邮件服务器等重要网络节点若是存在漏洞，往往会导致整个网络被一锅端。比如:历年实战攻防演练中，经常被利用的通用产品漏洞就包括邮件系统漏洞、OA 系统漏洞、中间件软件漏洞、数据库漏洞等，这些漏洞被利用后，攻击队可以快速获取大量内网账户权限，进而控制整个目标系统.

2.口令复用或弱口令

口令复用或弱口令是内网横向拓展中仅次于内网漏洞利用的有效途径。口令复用或弱口令极易导致内网弱认证，另外，使用者为贪图内网办公方便，而往往将内网服务器和应用安全访问策略设置得比较宽松，也为蓝队在内网横向拓展中利用口令认证仿冒渗透提供了很大的便利。比如:在实战攻防演练中，经常会碰到目标内网存在大最同类型服务器、安全设备、系统主机使用同一口令的情况，攻击者只要获取一个口令就可以实现对大量目标的批量控制;再有就是内网的一些集成平台或数据库，被设置为自动化部署应用但其默认口令没有修改，被利用的难度几乎为零。

4.内网钓鱼

不同于外网钓鱼存在条件限制，内网钓鱼具有天然的信任优势可以利用。所以内网钓鱼的成功率要高得多。蓝队在内网钓鱼中追求的是一击必中，对目标的选择具有很强的针对性，主要针对网络安全运维人员、核心业务人员这些重要目标，因为攻下了这些目标，就意味着可以获取更大的网络控制权限和接触核心业务系统的机会。内网钓鱼的途径比较多，可以借助内网邮件、OA与内网移动办公系统等。主要有两种情况:一种是在控制内网邮件、OA、移动办公系统服务器的情况下，利用这些系统管理权限统一下发通知方式定向钓鱼;另一种是在获取内网有限目标的情况下，利用在控目标通过内网邮件、OA、移动办公系统的通联关系，冒充信任关系钓鱼。

5.内网水坑攻击

水坑攻击，顾名思义，是在受害者必经之路设置一个“水坑”(陷阱)。常见的做法是黑客在突破和控制被攻击目标经常访问的网站后，在此网站植人恶意攻击代码，被攻击目标一旦访问该网站就会“中招”。蓝队在实战攻防演练中用到的水坑攻击途径更加丰富多样，除了内部网站恶意代码植人，内网文件服务器文件共享、软件服务器软件版本更新、杀软服务器病毒库升级和内部业务 OA 自动化部署等，都可以作为内网水坑攻击的利用方式。和内网钓鱼一样因为有内网信任关系，蓝队在实战攻防演练中用到的水坑攻击效率也比较高。