文章总结： 本文阐述攻防演练中多行业快速得分策略，涵盖入口突破、绕过WAF与杀软、内网权限维持等实战技巧。通过凭证收集、Hash抓取、PTH横向移动及资产扫描等手段，针对教育、医疗等行业核心系统定向打击。强调稳健操作与规则研究，提供了内网漫游与刷分的具体流程与建议。 综合评分： 89 文章分类： 内网渗透,红队,实战经验

【攻防演练】内网大保健-快速刷分流程

原创

亦

Polaris安全团队

2025年12月29日 18:52 广西

免责声明

由于传播、利用Polaris本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，仅记录学习、宣传网络安全意识使用。

前言

分享些攻防演练中遇到的入口疑难杂症及内网突破后快速刷分打法。演习开始后先研究得分上限规则；对应的得分点做到位就好，就好比上千台主机，也突破不了规则分的上限，反而有点浪费精力。

教育行业

该行业系统分为、教务、财务、一卡通、招生、等； 目标是影响学校大范围严重后果，如教学系统被篡改； 考试成绩，学费缴费，一卡通，全校信息泄露等，通常将此类重要系统作为核心靶标。文件上传：雷池+火绒限制出网行为

存在文件上传漏洞，且asp/aspx/soap等均失败

上传cer后缀可解析成功执行命令。通过cer的shell修改上传正常文件后缀进行连接发现也失败。利用ashx的shell通过脏数据+中文注释内容成功连接。

低权限，且此时火绒限制出网。

内存加载CSdump抓取hash。开Pth，利用哥斯拉临时开个隧道代理，Rdp成功拿下。

上来查看配置，火绒将自身程序都限制了出网O.o

拿到权限后尽量不要直接一把梭哈；个人经历（教训长记性）。(-nopoc)尽快扩下一个主机再利用那台主机去扫，优先22,1443,3389;等。 Netspy扫描存活网段

• Fscan等扫描器资产扫描/Tscan进行资产分类

• 收集主机/浏览器/finalshell/Xshell/Navicat等软件密码记录。

• 历史RDP登录记录

• 敏感文件信息。

• 一套流程下来后，将扫描结果漏洞进行复现，各类弱口令连接，存活的Web系统测弱口令等。如若此时分数未刷满，将收集的口令利用AI或工具多生成几个，大部分单位都是单位名+年份，规律性等，制作成字典。

服务探测（常用端口）密码碰撞

• 利用收集的密码字典本，进行密码碰撞。重点查看关键系统的IP漏洞信息。

将资产梳理存活网段。

通过DDDD/Xray等扫描器快速过一轮webpoc。薄弱些的单位此时基础分应能刷满。剩下的就是翻各打下的Web程序/主机敏感信息/泄露的口令等进行连接，横靶标刷数据分等。

一条龙服务也是成功将防守方请出局。

医疗行业

HIS、LIS、PACS、CIS、EMR等/(支付接口)（坐标软件）

以上系统医疗单位存储的重要系统保存有大量敏感信息等，作为重点关注对象。

钓鱼起手，上线查看HR小姐姐国内杀软全装完了，内存加载拉隧道代理、内网扫描、抓hash，开启rdp，为了防止将她踢下线，开启多用户登录。手动退下杀软。避免操作失误挨发现拔网线=.=

刷分流程如上，大多数情况下医疗单位服务器均有双网卡，打下跨网段带有his/lis/pacs字眼的服务器，重点关注运维机器敏感文件，如密码本，登录记录，堡垒机等，有时电脑上可能登录有客户微信，钉钉等，也可冒充客户让运维的好兄弟给一份。

ok，通关，感谢运维好兄弟。（过程略）

制造行业

工控设备（PIS）西门子、罗克韦尔等软件。

制造业核心靶标通常为工业互联网控制程序；重点可关注桌面的rdp记录，远程桌面工具。

控制大量工控设备，命中靶标。获得重大成果分数。

政务行业

通常将政务服务平台、电子政务外网（内网）、核心信息数据库作为核心靶标。不同行业都有围绕着互联网重点系统，了解与熟悉行业关键系统可快速协助在刷内网时事倍功半。

总结

真实环境中会遇到不同场景与问题，遇到庞大的内网可能会手忙脚乱，失误导致被防守方发现应急，稳健~稳健~以上思路仅作为参考，实际环境看情况做选择。先提权or扫描or代理隧道；

感谢各位大佬们关注~若有不对之处请指正~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Polaris安全团队 亦《【攻防演练】内网大保健-快速刷分流程》