HVV注意事项(个人总结 非技术)
前言
本文基于个人经验分享,仅供参考,欢迎讨论但请勿喷。本文总结了一些非技术方面的“混子经验”,希望对大家有所帮助。
重要提醒:切勿在公共社交媒体上透露任何与项目相关的内容,保护项目信息安全!
面试
对于CTF Web方向选手,建议重点提升以下能力以应对HVV(红蓝对抗)相关面试:
- 常见Nday漏洞复现:熟悉Weblogic、Fastjson、Shiro、Spring等漏洞的复现。
- 内网渗透:了解基础知识,面试中占少量篇幅即可。
- 应急响应:具备蓝队能力,如日志分析、入侵排查等。
- 溯源能力:掌握基本的攻击溯源方法。
- 业务与沟通能力:面试官非常看重业务能力,回答问题时需体现专业性。建议多阅读技术战法(技战法)文档,学习书面化表达,熟悉行业术语。例如:
- 排查入侵期间是否攻击其他主机。
- 分析入侵后的空白期内是否进行横向渗透。
面试经验:
- 有CTF比赛经验的选手在研判分析方面有一定基础,但需积累应对奇特问题的经验,客户现场可能出现各种情况。
- 不建议网安新人直接参与HVV。缺乏经验的新人可能面临清退风险(项目失败还可能倒贴钱)。现场需要独立处理问题的能力,需扪心自问是否能自信面对客户。
- 建议:首次参与可选择实习,积累经验,优先选择非北上广深地区(生活成本较低)。实习期间可接触监测/研判工作,熟悉设备操作,为下次面试增加亮点。例如:“去年我在XXX公司担任监测/研判工作,操作过XXX设备。”
如需更详细的面试建议,可私下联系沟通。
提前入场
提前入场的情况较少,通常在项目正式启动时才会通知进场。项目经理会提前告知对接注意事项。提前入场可能涉及以下任务:
资产暴露面梳理
- 资产表不可完全依赖:客户提供的资产表可能未及时更新,需自行进行1-2次信息收集,再与客户资产表比对,整合成清单。清单内容建议包括:
- 所属公司、域名、服务地址、IP、端口、协议、操作系统、应用信息、网页标题、ICP备案号、城市。
- 0day排查:梳理资产时,务必询问客户每个端口对应的具体应用。废弃服务需及时关闭,避免0day漏洞风险。
- 小规模企业:若客户仅提供一个IP,需自行完成信息收集。
渗透测试
- 渗透测试报告需全面记录风险点,即使是低危漏洞(如XSS、明文密码、弱口令、暴力破解)也要写入。不能提交空白报告,需体现专业性。
其他准备
- 网络拓扑图:尽量向客户索取网络拓扑图(部分企业可能因保密拒绝提供),了解网络架构和安全设备部署位置,确保设备正常运行并覆盖所有流量。
- 白名单IP:明确客户的关键IP(如出口IP、外网业务服务器IP、DNS),记录白名单并使用蓝队工具(如希潭实验室的BlueTeamTools)筛除,避免误封。
- 设备熟悉:提前入场有充足时间熟悉设备操作,通常一天即可掌握常规操作。长期使用后可积累误报/漏报经验。
- 脚本开发:闲时可编写脚本优化工作。例如,某些设备无一键封禁功能,可写脚本提取告警IP并加入黑名单。
预监测
若无其他任务,可提前启动监测,防范红队提前打点。
项目期间
- 保持冷静:项目开始后避免慌乱,勿频繁向客户反馈问题。研判确认问题后再向客户或高级人员报告。
- 红队扫描:初期会有大量红队扫描流量告警,通常来自代理池。先封禁IP,待扫描结束后再进行研判。
- 日报撰写:扫描结束后立即撰写日报,切勿拖延至下班前。
告警处理
多个设备情况下
- 优先级:若有态势感知设备,优先查看其告警;但若其接入设备较少,仍需逐一检查所有原始设备,确保无遗漏。建议每5分钟检查一次所有设备告警。
- 避免遗漏:某些设备可能漏报,但其他设备可能捕获,需全面检查。
XFF头
- 重要性:XFF头用于区分内网和外网告警,部分设备支持直接显示XFF头,方便查看;其他设备需点开详情查看,较为繁琐。
- XFF头解析:XFF头记录代理链,最左边为真实IP。环境中若流量多为转发,需特别注意XFF头,防止误封代理IP(需加入白名单)。
日常告警类型
- 木马外联:常见于办公区,通常为广告软件或灰黑产木马(如假Chrome浏览器、激活工具)。处理流程:
- 确认是否为护网前已存在的告警。
- 检查办公区与内网是否隔离。
- 封禁外联地址。
- 若有EDR,可与客户沟通是否上机排查(事发前客户可能不愿配合)。
- 明文密码/弱口令:提前入场可报送开发修复;若发现管理员弱口令(如admin/admin),项目期间也需上报。
- 远控工具:如ToDesk、向日葵,部分企业可能在项目期间禁用。若有软件供应商团队,禁用可能较困难。
- 其他告警:
- 开发错误(如请求中包含SQL语句、目录穿越的…/),可报送修复。
- 误报处理:如Shiro反序列化误报(仅匹配rememberMe),若影响监测可加入白名单。告警详情显示匹配字段的设备较为便于分析。
常用工具/网站推荐
威胁情报
以下为常用威胁情报平台,推荐优先使用微步(查询速度快)和奇安信:
- https://ti.qianxin.com/portal
- https://sc.360.net/
- https://ti.dbappsecurity.com.cn/
- https://x.threatbook.com/
- https://ti.sangfor.com.cn/
- https://tix.qq.com/
其他工具
- FOFA(https://fofa.info/):分析IP开放服务,可识别组织类型(如灰黑产网站的“bc”标题)。
- 多地Ping(https://ping.chinaz.com/):检查是否有CDN。
- SSL证书查询(https://myssl.com/):定位域名信息。
- Wayback Machine(https://web.archive.org/):查询域名历史页面。例如:http://xianzhaoquan.com/ 历史为卖货平台,现为非法网站。
- IP地址查询(https://ping0.cc/):信息全面,支持API查询。
- IP反查域名(https://site.ip138.com/):查询IP关联域名。
- 批量IP查询API(https://ip-api.com/docs/api:json):适合批量调用。
其他注意事项
- 设备规则更新:每日检查设备规则库更新,护网期间可能一天更新2-3次。
- 职业操守:
- 避免议论客户(如抱怨无零食、不包餐),否则可能面临清退风险。
- 保持工作态度,12小时轮班难免摸鱼,但需确保告警及时处理,避免被攻破。
- 总结:HVV需要综合技术与非技术能力,提前准备、熟悉流程、注重细节,才能在项目中表现专业。