HVV注意事项（个人总结 非技术）

前言

本文基于个人经验分享，仅供参考，欢迎讨论但请勿喷。本文总结了一些非技术方面的“混子经验”，希望对大家有所帮助。

重要提醒：切勿在公共社交媒体上透露任何与项目相关的内容，保护项目信息安全！

面试

对于CTF Web方向选手，建议重点提升以下能力以应对HVV（红蓝对抗）相关面试：

• 常见Nday漏洞复现：熟悉Weblogic、Fastjson、Shiro、Spring等漏洞的复现。
• 内网渗透：了解基础知识，面试中占少量篇幅即可。
• 应急响应：具备蓝队能力，如日志分析、入侵排查等。
• 溯源能力：掌握基本的攻击溯源方法。
• 业务与沟通能力：面试官非常看重业务能力，回答问题时需体现专业性。建议多阅读技术战法（技战法）文档，学习书面化表达，熟悉行业术语。例如：
  • 排查入侵期间是否攻击其他主机。
  • 分析入侵后的空白期内是否进行横向渗透。

面试经验：

• 有CTF比赛经验的选手在研判分析方面有一定基础，但需积累应对奇特问题的经验，客户现场可能出现各种情况。
• 不建议网安新人直接参与HVV。缺乏经验的新人可能面临清退风险（项目失败还可能倒贴钱）。现场需要独立处理问题的能力，需扪心自问是否能自信面对客户。
• 建议：首次参与可选择实习，积累经验，优先选择非北上广深地区（生活成本较低）。实习期间可接触监测/研判工作，熟悉设备操作，为下次面试增加亮点。例如：“去年我在XXX公司担任监测/研判工作，操作过XXX设备。”

如需更详细的面试建议，可私下联系沟通。

提前入场

提前入场的情况较少，通常在项目正式启动时才会通知进场。项目经理会提前告知对接注意事项。提前入场可能涉及以下任务：

资产暴露面梳理

• 资产表不可完全依赖：客户提供的资产表可能未及时更新，需自行进行1-2次信息收集，再与客户资产表比对，整合成清单。清单内容建议包括：
  • 所属公司、域名、服务地址、IP、端口、协议、操作系统、应用信息、网页标题、ICP备案号、城市。
• 0day排查：梳理资产时，务必询问客户每个端口对应的具体应用。废弃服务需及时关闭，避免0day漏洞风险。
• 小规模企业：若客户仅提供一个IP，需自行完成信息收集。

渗透测试

• 渗透测试报告需全面记录风险点，即使是低危漏洞（如XSS、明文密码、弱口令、暴力破解）也要写入。不能提交空白报告，需体现专业性。

其他准备

• 网络拓扑图：尽量向客户索取网络拓扑图（部分企业可能因保密拒绝提供），了解网络架构和安全设备部署位置，确保设备正常运行并覆盖所有流量。
• 白名单IP：明确客户的关键IP（如出口IP、外网业务服务器IP、DNS），记录白名单并使用蓝队工具（如希潭实验室的BlueTeamTools）筛除，避免误封。
• 设备熟悉：提前入场有充足时间熟悉设备操作，通常一天即可掌握常规操作。长期使用后可积累误报/漏报经验。
• 脚本开发：闲时可编写脚本优化工作。例如，某些设备无一键封禁功能，可写脚本提取告警IP并加入黑名单。

预监测

若无其他任务，可提前启动监测，防范红队提前打点。

项目期间

• 保持冷静：项目开始后避免慌乱，勿频繁向客户反馈问题。研判确认问题后再向客户或高级人员报告。
• 红队扫描：初期会有大量红队扫描流量告警，通常来自代理池。先封禁IP，待扫描结束后再进行研判。
• 日报撰写：扫描结束后立即撰写日报，切勿拖延至下班前。

告警处理

多个设备情况下

• 优先级：若有态势感知设备，优先查看其告警；但若其接入设备较少，仍需逐一检查所有原始设备，确保无遗漏。建议每5分钟检查一次所有设备告警。
• 避免遗漏：某些设备可能漏报，但其他设备可能捕获，需全面检查。

XFF头

• 重要性：XFF头用于区分内网和外网告警，部分设备支持直接显示XFF头，方便查看；其他设备需点开详情查看，较为繁琐。
• XFF头解析：XFF头记录代理链，最左边为真实IP。环境中若流量多为转发，需特别注意XFF头，防止误封代理IP（需加入白名单）。

日常告警类型

• 木马外联：常见于办公区，通常为广告软件或灰黑产木马（如假Chrome浏览器、激活工具）。处理流程：
  1. 确认是否为护网前已存在的告警。
  2. 检查办公区与内网是否隔离。
  3. 封禁外联地址。
  4. 若有EDR，可与客户沟通是否上机排查（事发前客户可能不愿配合）。
• 明文密码/弱口令：提前入场可报送开发修复；若发现管理员弱口令（如admin/admin），项目期间也需上报。
• 远控工具：如ToDesk、向日葵，部分企业可能在项目期间禁用。若有软件供应商团队，禁用可能较困难。
• 其他告警：
  • 开发错误（如请求中包含SQL语句、目录穿越的…/），可报送修复。
  • 误报处理：如Shiro反序列化误报（仅匹配rememberMe），若影响监测可加入白名单。告警详情显示匹配字段的设备较为便于分析。

常用工具/网站推荐

威胁情报

以下为常用威胁情报平台，推荐优先使用微步（查询速度快）和奇安信：

• https://ti.qianxin.com/portal
• https://sc.360.net/
• https://ti.dbappsecurity.com.cn/
• https://x.threatbook.com/
• https://ti.sangfor.com.cn/
• https://tix.qq.com/

其他工具

• FOFA（https://fofa.info/）：分析IP开放服务，可识别组织类型（如灰黑产网站的“bc”标题）。
• 多地Ping（https://ping.chinaz.com/）：检查是否有CDN。
• SSL证书查询（https://myssl.com/）：定位域名信息。
• Wayback Machine（https://web.archive.org/）：查询域名历史页面。例如：http://xianzhaoquan.com/ 历史为卖货平台，现为非法网站。
• IP地址查询（https://ping0.cc/）：信息全面，支持API查询。
• IP反查域名（https://site.ip138.com/）：查询IP关联域名。
• 批量IP查询API（https://ip-api.com/docs/api:json）：适合批量调用。

其他注意事项

• 设备规则更新：每日检查设备规则库更新，护网期间可能一天更新2-3次。
• 职业操守：
  • 避免议论客户（如抱怨无零食、不包餐），否则可能面临清退风险。
  • 保持工作态度，12小时轮班难免摸鱼，但需确保告警及时处理，避免被攻破。
• 总结：HVV需要综合技术与非技术能力，提前准备、熟悉流程、注重细节，才能在项目中表现专业。