2023中國實(shí)戰(zhàn)化白帽人才能力白皮書-2023.12

中國實(shí)戰(zhàn)化白帽人才能力白皮書2023.12補(bǔ)天漏洞響應(yīng)平臺(tái)奇安信安服團(tuán)隊(duì)奇安信行業(yè)安全研究中心目錄研究背景

3第一章

實(shí)戰(zhàn)化白帽人才能力變化趨勢

錯(cuò)誤!未定義書簽。第二章

實(shí)戰(zhàn)化白帽人才能力現(xiàn)狀分析

錯(cuò)誤!未定義書簽。一、

基礎(chǔ)能力錯(cuò)誤!未定義書簽。二、

進(jìn)階能力錯(cuò)誤!未定義書簽。三、

高階能力錯(cuò)誤!未定義書簽。第三章

總結(jié)

錯(cuò)誤!未定義書簽。附錄

1實(shí)戰(zhàn)化白帽人才能力各項(xiàng)技能詳解5一、

基礎(chǔ)能力5二、

進(jìn)階能力8三、

高階能力

11附錄

2補(bǔ)天漏洞響應(yīng)平臺(tái)

21附錄

3奇安信藍(lán)隊(duì)能力及攻防實(shí)踐

22研究背景實(shí)戰(zhàn)化能力，是網(wǎng)絡(luò)安全實(shí)戰(zhàn)化發(fā)展對白帽子攻防能力的必然要求。相比于單純的挖洞能力，白帽子的實(shí)戰(zhàn)化能力有以下幾方面的特點(diǎn)：1）

攻防過程針對的是業(yè)務(wù)系統(tǒng)，而并非單純的

IT系統(tǒng)。2）

挖洞只是攻防過程中的輔助，攻擊必須要有實(shí)際效果。3）

針對系統(tǒng)的攻擊是一個(gè)過程，技術(shù)之外允許使用社工。4）

實(shí)戰(zhàn)在動(dòng)態(tài)攻防環(huán)境中進(jìn)行，目標(biāo)系統(tǒng)有人運(yùn)行值守。2021

年

1

月，補(bǔ)天漏洞響應(yīng)平臺(tái)、奇安信安服團(tuán)隊(duì)、奇安信行業(yè)安全研究中心首次聯(lián)合發(fā)布的《中國實(shí)戰(zhàn)化白帽人才能力白皮書（2020）》（簡稱：《白皮書（2020）》）?！?/p>

白

皮

書（2020》結(jié)

合

1900余個(gè)目標(biāo)系統(tǒng)的攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，首次提出了實(shí)戰(zhàn)化白帽人才能力的概念，并給出了“實(shí)戰(zhàn)化白帽人才能力圖譜”。圖譜詳細(xì)列舉了白帽人才在實(shí)戰(zhàn)化過程中，所需要掌握的

3個(gè)級別、14個(gè)大類、87項(xiàng)具體能力。白皮書還對每一項(xiàng)技能的含義與要求，進(jìn)行了詳細(xì)的說明。以圖譜為基礎(chǔ)，我們對

645名白帽子進(jìn)行了實(shí)戰(zhàn)化能力調(diào)研?！栋灼?020》對實(shí)戰(zhàn)化白帽人才的能力培養(yǎng)給出了明確的指導(dǎo)方向和市場分析，引起了大量用人單位、教育機(jī)構(gòu)、特別是白帽子群體的高度關(guān)注和認(rèn)可。2023

年

8

月，補(bǔ)天漏洞響應(yīng)平臺(tái)再次對平臺(tái)上活躍的

518

名白帽子進(jìn)行了實(shí)戰(zhàn)化能力調(diào)研，并以此次調(diào)研為基礎(chǔ)，撰寫了《中國實(shí)戰(zhàn)化白帽人才能力白皮書（2023）》（簡稱：《白皮書（2023）》），希望能夠?qū)μ嵘龂鴥?nèi)白帽子群體的整體能力水平，促進(jìn)安全行業(yè)的實(shí)戰(zhàn)化白帽子人才發(fā)展及能力培養(yǎng)工作有所幫助。報(bào)告詳細(xì)內(nèi)容將于

2023年

12月

22日發(fā)布，敬請期待特別說明，《白皮書（2023）》“實(shí)戰(zhàn)化白帽人才能力圖譜”由

3個(gè)級別、14個(gè)大類、87項(xiàng)具體能力集合而成。如下圖所示。附錄

1實(shí)戰(zhàn)化白帽人才能力各項(xiàng)技能詳解一、

基礎(chǔ)能力基礎(chǔ)能力是比較初級的實(shí)戰(zhàn)化白帽能力，學(xué)習(xí)和掌握相對容易，通常也是其他各類高級實(shí)戰(zhàn)化技能學(xué)習(xí)和實(shí)踐的基礎(chǔ)能力?；A(chǔ)能力主要包括

Web漏洞利用與基礎(chǔ)安全工具使用兩類。（一）

Web漏洞利用Web漏洞利用能力是指利用

Web系統(tǒng)或軟件的安全漏洞實(shí)施網(wǎng)絡(luò)攻擊的能力。由于

Web

系統(tǒng)是絕大多數(shù)機(jī)構(gòu)業(yè)務(wù)系統(tǒng)或?qū)ν夥?wù)系統(tǒng)的構(gòu)建形式，所以

Web

漏洞利用也是最常見，最基礎(chǔ)的網(wǎng)絡(luò)攻擊形式之一。在實(shí)戰(zhàn)攻防演習(xí)中，白帽子最為經(jīng)常利用的

Web漏洞形式包括：命令執(zhí)行、SQL注入、代碼執(zhí)行、邏輯漏洞、解析漏洞、信息泄露、XSS、配置錯(cuò)誤、弱口令、反序列化、文件上傳、權(quán)限繞過等。1）

命令執(zhí)行命令執(zhí)行漏洞，是指黑客可以直接在

Web應(yīng)用中執(zhí)行系統(tǒng)命令，從而獲取敏感信息或者拿下

Shell

權(quán)限的安全漏洞。造成命令執(zhí)行漏洞最常見的原因是

Web

服務(wù)器對用戶輸入命令的安全檢測不足，導(dǎo)致惡意代碼被執(zhí)行。命令執(zhí)行漏洞常常發(fā)生在各種

Web組件上，包括Web容器、Web框架、CMS軟件、安全組件等。2）

SQL注入SQL，是

Structured

Query

Language的縮寫，意為結(jié)構(gòu)化查詢語言。SQL注入漏洞，是最常見的安全漏洞形式之一，是指通過構(gòu)造特定的

SQL語句，可以實(shí)現(xiàn)對數(shù)據(jù)庫服務(wù)器的非授權(quán)查詢，進(jìn)而造成數(shù)據(jù)庫數(shù)據(jù)泄露的安全漏洞。SQL注入漏洞產(chǎn)生的主要原因是軟件系統(tǒng)對輸入數(shù)據(jù)的合法性缺少校驗(yàn)或過濾不嚴(yán)。3）

代碼執(zhí)行代碼執(zhí)行漏洞，是指通過構(gòu)造特殊的語句或數(shù)據(jù)，使軟件可以在設(shè)計(jì)流程之外，執(zhí)行特定函數(shù)或命令的安全漏洞。造成代碼執(zhí)行漏洞的主要原因是，開發(fā)人員在編寫代碼時(shí)，沒有充分校驗(yàn)輸入數(shù)據(jù)的合法性。4）

邏輯漏洞邏輯漏洞，是指由于程序設(shè)計(jì)邏輯不夠嚴(yán)謹(jǐn)，導(dǎo)致一些邏輯分支處理錯(cuò)誤，或部分流程被繞過，進(jìn)而引發(fā)安全風(fēng)險(xiǎn)的安全漏洞。5）

解析漏洞解析漏洞，是指服務(wù)器應(yīng)用程序在解析某些精心構(gòu)造的后綴文件時(shí)，會(huì)將其解析成網(wǎng)頁腳本，從而導(dǎo)致網(wǎng)站淪陷的漏洞。大部分解析漏洞的產(chǎn)生都是由應(yīng)用程序本身的漏洞導(dǎo)致的。此類漏洞中具有代表性的便是

IIS6.0解析漏洞，此漏洞又有目錄解析和文件解析兩種利用方式，但也有少部分是由于配置的疏忽所產(chǎn)生的。6）

信息泄露信息泄露漏洞，是指造成系統(tǒng)或服務(wù)器中，本應(yīng)被保護(hù)或不可見的敏感信息被意外泄露的安全漏洞。這些信息包括賬號密碼、系統(tǒng)配置、運(yùn)行狀態(tài)、關(guān)鍵參數(shù)、敏感文件內(nèi)容等。造成信息泄露漏洞的主要原因包括運(yùn)維操作不當(dāng)、系統(tǒng)代碼不嚴(yán)謹(jǐn)?shù)取?）

XSSXSS，全稱為

Cross

Site

Scripting，意為跨站腳本攻擊，為了和更加常用的

CSS（CascadingStyleSheets，層疊樣式表）有所區(qū)分，特別簡寫為

XSS。XSS攻擊，通常是指通過利用網(wǎng)頁開發(fā)時(shí)留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是JavaScript，但實(shí)際上也可以包括

Java、VBScript、ActiveX、Flash或某些普通的

HTML等。攻擊成功后，攻擊者可能得到更高的權(quán)限（如執(zhí)行一些操作）、私密的網(wǎng)頁內(nèi)容、會(huì)話信息和

Cookie等各種用戶敏感信息。最早期的

XSS攻擊示例大多使用了跨站方法，即：用戶在瀏覽

A網(wǎng)站時(shí)，攻擊者卻可以通過頁面上的惡意代碼，訪問用戶瀏覽器中的

B網(wǎng)站資源（如

Cookie等），從而達(dá)到攻擊目的。但隨著瀏覽器安全技術(shù)的進(jìn)步，早期的跨站方法已經(jīng)很難奏效，XSS攻擊也逐漸和“跨站”的概念沒有了必然的聯(lián)系。只不過由于歷史習(xí)慣，XSS這個(gè)名字一直被延用了下來，現(xiàn)如今用來泛指通過篡改頁面，使瀏覽器加載惡意代碼的一種攻擊方法。在本文中，白帽子的

XSS能力，是指白帽子能夠發(fā)現(xiàn)軟件或系統(tǒng)的設(shè)計(jì)缺陷或安全漏洞，構(gòu)造

XSS攻擊代碼，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的技術(shù)能力。8）

配置錯(cuò)誤配置錯(cuò)誤，是指由軟件或系統(tǒng)的配置不當(dāng)導(dǎo)致安全風(fēng)險(xiǎn)的安全漏洞。例如，文件的或服務(wù)的訪問權(quán)限、可見范圍配置不當(dāng)，網(wǎng)絡(luò)安全規(guī)則的設(shè)置錯(cuò)誤等，都有可能使系統(tǒng)處于暴露或風(fēng)險(xiǎn)之中。配置錯(cuò)誤的本質(zhì)是系統(tǒng)的使用或運(yùn)維不當(dāng)，而不是系統(tǒng)的設(shè)計(jì)或開發(fā)問題。造成配置錯(cuò)誤的主要原因是運(yùn)維人員的疏忽或?qū)I(yè)技能不足。9）

弱口令弱口令也是安全漏洞的一種，是指系統(tǒng)登錄口令的設(shè)置強(qiáng)度不高，容易被攻擊者猜到或破解。造成弱口令的主要原因是系統(tǒng)的運(yùn)維人員、管理人員安全意識(shí)不足。常見的弱口令形式包括：系統(tǒng)出廠默認(rèn)口令沒有修改；密碼設(shè)置過于簡單，如口令長度不足，單一使用字母或數(shù)字；使用了生日、姓名、電話號碼、身份證號碼等比較容易被攻擊者猜到的信息設(shè)置口令；設(shè)置的口令屬于流行口令庫中的流行口令。10）

反序列化反序列化漏洞，是指反序列化過程可以被操控或篡改，進(jìn)而引發(fā)惡意代碼執(zhí)行風(fēng)險(xiǎn)的安全漏洞。序列化和反序列化都是基礎(chǔ)的計(jì)算機(jī)技術(shù)。序列化就是把計(jì)算機(jī)中的“對象”轉(zhuǎn)換成字節(jié)流，以便于存儲(chǔ)的一種方法。反序列化是序列化的逆過程，即將字節(jié)流還原成“對象”。在反序列化過程中，如果輸入的字節(jié)流可以被控制或篡改，就有可能產(chǎn)生非預(yù)期的“對象”。這就是反序列化漏洞。此時(shí)，攻擊者通過構(gòu)造惡意字節(jié)流輸入，就可以在反序列化過程中，在對象被還原的過程中，使系統(tǒng)執(zhí)行惡意代碼。11）

文件上傳文件上傳漏洞，是指可以越權(quán)或非法上傳文件的安全漏洞。攻擊者可以利用文件上傳漏洞將惡意代碼秘密植入到服務(wù)器中，之后再通過遠(yuǎn)程訪問去執(zhí)行惡意代碼，達(dá)到攻擊的目的。12）

權(quán)限繞過權(quán)限繞過漏洞，是指可以繞過系統(tǒng)的權(quán)限設(shè)置或權(quán)限管理規(guī)則執(zhí)行非法操作的安全漏洞。造成權(quán)限繞過漏洞的主要原因是，軟件或系統(tǒng)的開發(fā)人員對數(shù)據(jù)處理權(quán)限的設(shè)計(jì)或判定不嚴(yán)謹(jǐn)、不全面。（二）

基礎(chǔ)安全工具基礎(chǔ)安全工具是指安全分析或攻防實(shí)戰(zhàn)過程中，經(jīng)常使用到的一些初級的、基礎(chǔ)的軟件工具。比較常見的基礎(chǔ)安全工具包括：Burp

Suite、Sqlmap、AppScan、AWVS、Nmap、Wireshark、MSF、CobaltStrike等。1）

BurpSuiteBurp

Suite

是一個(gè)常用的

Web

攻擊工具的集合平臺(tái)，經(jīng)常被安全工作者用來測試

Web系統(tǒng)安全性，也是實(shí)戰(zhàn)攻防演習(xí)中攻擊隊(duì)的常用平臺(tái)。使用者通過平臺(tái)集成的工具，既可以對目標(biāo)發(fā)起手動(dòng)攻擊，也可以自定義規(guī)則發(fā)起自動(dòng)攻擊；既可以探測和分析目標(biāo)漏洞，也可以使用爬蟲抓取和搜索頁面內(nèi)容。2）

SqlmapSqlmap是一個(gè)開源的滲透測試工具，可以用來進(jìn)行自動(dòng)化檢測。Sqlmap可以利用常見的

SQL注入漏洞，獲取數(shù)據(jù)庫服務(wù)器的權(quán)限。Sqlmap還具有功能比較強(qiáng)大的檢測引擎,可提供針對各種不同類型數(shù)據(jù)庫的滲透測試的功能選項(xiàng)，包括獲取數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)，訪問操作系統(tǒng)文件，甚至可以通過外帶數(shù)據(jù)連接的方式執(zhí)行操作系統(tǒng)命令。3）

AppScanAppScan

是

IBM

公司推出的一款

Web應(yīng)用安全測試工具，采用黑盒測試的方式，可以掃描常見的

Web用安全漏洞。AppScan功能比較齊全，支持登錄、報(bào)表等功能。在掃描結(jié)果中，不僅能夠看到

Web應(yīng)用被掃出的安全漏洞，還提供了詳盡的漏洞原理、修改建議、手動(dòng)驗(yàn)證等功能。在實(shí)戰(zhàn)攻防演習(xí)中，AppScan是一個(gè)很方便的漏洞掃描器。4）

AWVSAWVS是

Acunetix

Web

Vulnerability

Scanner的縮寫。它是一個(gè)自動(dòng)化的

Web應(yīng)用程序安全測試工具，可以審計(jì)和檢查

Web漏洞。AWVS

可以掃描任何可通過

Web

瀏覽器訪問的和遵循

HTTP/HTTPS規(guī)則的

Web站點(diǎn)和

Web應(yīng)用程序。可以通過檢查

SQL注入攻擊漏洞、XSS漏洞等來審核

Web應(yīng)用程序的安全性。5）

NmapNmap是

Network

Mapper的縮寫，意為網(wǎng)絡(luò)映射器，是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具。它的設(shè)計(jì)目標(biāo)是快速地掃描大型網(wǎng)絡(luò)，但也可以用于掃描單個(gè)主機(jī)。Nmap使用原始

IP報(bào)文來發(fā)現(xiàn)網(wǎng)絡(luò)上有哪些主機(jī)，每臺(tái)主機(jī)提供什么樣的服務(wù)，哪些服務(wù)運(yùn)行在什么操作系統(tǒng)上，這些主機(jī)使用了什么類型的報(bào)文過濾器或防火墻等。雖然

Nmap通常用于安全審核，但許多系統(tǒng)管理員和網(wǎng)絡(luò)管理員也用它來做一些日常的工作，比如查看整個(gè)網(wǎng)絡(luò)的信息，管理服務(wù)升級計(jì)劃，以及監(jiān)視主機(jī)和服務(wù)的運(yùn)行。在實(shí)戰(zhàn)攻防演習(xí)中，Nmap常用來對目標(biāo)系統(tǒng)進(jìn)行資產(chǎn)分析。6）

WiresharkWireshark是一個(gè)免費(fèi)開源的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件，它可以幫助網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)問題，幫助網(wǎng)絡(luò)安全工程師檢查信息安全相關(guān)問題。在實(shí)戰(zhàn)攻防演習(xí)中，數(shù)據(jù)包分析也是非常重要的基礎(chǔ)工作。7）

MSFMSF是

Metasploit

Framework的縮寫，這不僅僅是一個(gè)工具軟件，它是為自動(dòng)化地實(shí)施經(jīng)典的、常規(guī)的、復(fù)雜新穎的攻擊，提供基礎(chǔ)設(shè)施支持的一個(gè)完整框架平臺(tái)。它可以使使用人員將精力集中在滲透測試過程中那些獨(dú)特的方面上，以及如何識(shí)別信息安全計(jì)劃的弱點(diǎn)上。MSF的能夠讓用戶通過選擇它的滲透攻擊模塊、攻擊載荷和編碼器來實(shí)施一次滲透攻擊，也可以更進(jìn)一步編寫并執(zhí)行更為復(fù)雜的攻擊技術(shù)。8）

CobaltStrikeCobalt

Strike

是一款

C/S

架構(gòu)的商業(yè)滲透軟件，適合多人團(tuán)隊(duì)協(xié)作?？赡M

APT

對抗，進(jìn)行內(nèi)網(wǎng)滲透。Cobalt

Strike集成了端口轉(zhuǎn)發(fā)、端口掃描、Socks代理、提權(quán)、憑據(jù)導(dǎo)出、釣魚、遠(yuǎn)控木馬等功能。該工具幾乎覆蓋了

APT攻擊鏈中所需要用到的各個(gè)技術(shù)環(huán)節(jié)二、

進(jìn)階能力進(jìn)階能力是相對更加高級的實(shí)戰(zhàn)化白帽能力，學(xué)習(xí)和掌握的難度高于基礎(chǔ)能力，但低于高階能力，主要包括

Web漏洞挖掘、Web開發(fā)與編程、編寫

PoC或

EXP等利用、社工釣魚等四類。（一）

Web漏洞挖掘Web漏洞挖掘能力是指針對

Web系統(tǒng)或軟件進(jìn)行漏洞挖掘的能力。在白帽子挖掘的

Web應(yīng)用漏洞中，比較常見的漏洞形式包括：命令執(zhí)行、SQL注入、代碼執(zhí)行、邏輯漏洞、解析漏洞、信息泄露、XSS、配置錯(cuò)誤、弱口令、反序列化、文件上傳、權(quán)限繞過等。關(guān)于這些漏洞類型的具體含義，參見前述“基礎(chǔ)能力”中的“（一）Web漏洞利用”，這里不再累述。（二）

Web開發(fā)與編程掌握一門或幾門的開發(fā)與編程語言，是白帽子深入挖掘

Web應(yīng)用漏洞,分析

Web站點(diǎn)及業(yè)務(wù)系統(tǒng)運(yùn)行機(jī)制的重要基礎(chǔ)能力。在實(shí)戰(zhàn)攻防演習(xí)中，白帽子最為經(jīng)常遇到和需要掌握的編程語言包括：Java、PHP、Python、C/C++、Golang等。1）

JavaJava是一種面向?qū)ο蟮挠?jì)算機(jī)編程語言，具有簡單性、功能強(qiáng)大、分布式、健壯性、安全性、平臺(tái)獨(dú)立與可移植性、多線程及動(dòng)態(tài)性的特點(diǎn)，經(jīng)常用于編寫桌面應(yīng)用程序、Web應(yīng)用程序、分布式系統(tǒng)和嵌入式系統(tǒng)應(yīng)用程序等。2）

PHPPHP原為

Personal

Home

Page的縮寫，后更名為

Hypertext

Preprocessor，但保留了人們已經(jīng)習(xí)慣的“PHP”的縮寫形式。其含義為：超文本預(yù)處理器，是一種通用開源腳本語言。PHP主要適用于

Web開發(fā)領(lǐng)域，是在服務(wù)器端執(zhí)行的，常用的腳本語言。PHP獨(dú)特的語法混合了

C、Java、Perl以及

PHP自創(chuàng)的語法，利于學(xué)習(xí)，使用廣泛。3）

PythonPython是一種跨平臺(tái)的計(jì)算機(jī)程序設(shè)計(jì)語言，

是一個(gè)高層次的，結(jié)合了解釋性、編譯性、互動(dòng)性和面向?qū)ο蟮哪_本語言。最初被設(shè)計(jì)用于編寫自動(dòng)化腳本(Shell)，隨著版本的不斷更新和語言新功能的添加，逐漸被用于獨(dú)立的、大型項(xiàng)目的開發(fā)。4）

C/C++C/C++是一種通用的編程語言，廣泛用于系統(tǒng)軟件與應(yīng)用軟件的開發(fā)。語言具有高效、靈活、功能豐富、表達(dá)力強(qiáng)和較高的可移植性等特點(diǎn)，在程序設(shè)計(jì)中備受青睞，是當(dāng)前使用最為廣泛的編程語言。在

Web開發(fā)中常用于嵌入式設(shè)備的開發(fā)。5）

GolangGolang語言，簡稱

Go語言，是由三位

Google工程師開發(fā)的一種靜態(tài)強(qiáng)類型、編譯型語言。Go語言語法與

C相近，但具有內(nèi)存安全、垃圾回收、結(jié)構(gòu)形態(tài)及

CSP-style并發(fā)計(jì)算等功能。（三）

編寫

PoC或

EXP等利用編寫漏洞驗(yàn)證代碼或漏洞利用代碼，是比單純的漏洞發(fā)現(xiàn)更加具有實(shí)戰(zhàn)意義的白帽能力。其中主要包括

PoC或

EXP等兩種方式。PoC,是

Proof

of

Concept的縮寫，即概念驗(yàn)證，特指為了驗(yàn)證漏洞存在而編寫的程序代碼。有時(shí)也經(jīng)常被用來作為

0day、Exploit（漏洞利用）的別名。EXP，是

Exploit

的縮寫，即漏洞利用代碼。一般來說，有漏洞不一定就有

EXP，而有EXP，就肯定有漏洞。PoC和

EXP的概念僅有細(xì)微的差別，前者用于驗(yàn)證，后者則是直接的利用。能夠自主編寫

PoC

或

EXP，要比直接使用第三方編寫的漏洞利用工具或成熟的漏洞利用代碼困難的多。但對于很多沒有已知利用代碼的漏洞或

0day漏洞，自主編寫

PoC或

EXP就顯得非常重要了。此外，針對不同的目標(biāo)或在不同的系統(tǒng)環(huán)境中，編寫

PoC

或

EXP

的難度也不同。針對Web應(yīng)用和智能硬件/IoT設(shè)備等，編寫

PoC或

EXP相對容易，屬于進(jìn)階能力；而針對操作系統(tǒng)或安全設(shè)備編寫

PoC或

EXP則更加困難，因此屬于高階能力了。（四）

社工釣魚社工釣魚，是指利用社會(huì)工程學(xué)手法，利用偽裝、欺詐、誘導(dǎo)等方式，利用人的安全意識(shí)不足或安全能力不足，對目標(biāo)機(jī)構(gòu)特定人群實(shí)施網(wǎng)絡(luò)攻擊的一種手段。社工釣魚，既是實(shí)戰(zhàn)攻防演習(xí)中經(jīng)常使用的作戰(zhàn)手法，也是黑產(chǎn)團(tuán)伙或黑客組織最為經(jīng)常使用的攻擊方式。在很多情況下，“搞人”要比“搞系統(tǒng)”容易得多。社工釣魚的方法和手段多種多樣。在實(shí)戰(zhàn)攻防演習(xí)中，最為常用，也是最為實(shí)用的技能主要有四種：開源情報(bào)收集、社工庫收集、魚叉郵件和社交釣魚。其中，前面兩個(gè)都屬于情報(bào)收集能力，而后面兩個(gè)則屬于攻防互動(dòng)能力。1）

開源情報(bào)收集開源情報(bào)收集能力，是指在公開的互聯(lián)網(wǎng)信息平臺(tái)上，合法收集針對目標(biāo)機(jī)構(gòu)的關(guān)鍵情報(bào)信息的能力。例如，新聞媒體、技術(shù)社區(qū)、企業(yè)官網(wǎng)、客戶資源平臺(tái)等公開信息分享平臺(tái)都是開源情報(bào)收集的重要渠道。白帽子可以通過開源情報(bào)收集，獲取諸如企業(yè)員工內(nèi)部郵箱、聯(lián)系方式、企業(yè)架構(gòu)、供應(yīng)鏈名錄、產(chǎn)品代碼等關(guān)鍵情報(bào)信息。這些信息都可以為進(jìn)一步的攻擊提供支撐。開源情報(bào)收集是白帽子首要的情報(bào)收集方式，其關(guān)鍵在于要從海量網(wǎng)絡(luò)信息中，找到并篩選出有價(jià)值的情報(bào)信息組合。通常情況下，單一渠道公開的機(jī)構(gòu)信息，大多沒有什么敏感性和保密性。但如果將不同渠道的多源信息組合起來，就能夠形成非常有價(jià)值的情報(bào)信息。當(dāng)然，也不排除某些機(jī)構(gòu)會(huì)不慎將內(nèi)部敏感信息泄露在了互聯(lián)網(wǎng)平臺(tái)上。白帽子在互聯(lián)網(wǎng)平臺(tái)上直接找到機(jī)構(gòu)內(nèi)部開發(fā)代碼，找到賬號密碼本的情況也并不少見。2）

社工庫收集社工庫收集能力，是指針對特定目標(biāo)機(jī)構(gòu)的社工庫信息的收集能力。所謂社工庫，通常是指含有大量用戶敏感信息的數(shù)據(jù)庫或數(shù)據(jù)包。這些敏感信息包括但不限于，如賬號、密碼、姓名、身份證號、電話號碼、人臉信息、指紋信息、行為信息等。由于這些信息非常有助于攻擊方針對特定目標(biāo)設(shè)計(jì)有針對性的社會(huì)工程學(xué)陷阱，因此將這些信息集合起來的數(shù)據(jù)包或數(shù)據(jù)庫，就被稱為社會(huì)工程學(xué)庫，簡稱社工庫。社工庫是地下黑產(chǎn)或暗網(wǎng)上交易的重要標(biāo)的物。不過，在實(shí)戰(zhàn)攻防演習(xí)過程中，白帽子所使用的社工庫資源，必須兼顧合法性問題，這就比黑產(chǎn)團(tuán)伙建立社工庫的難度要大得多。3）

魚叉郵件魚叉郵件能力，是指通過制作和投遞魚叉郵件，實(shí)現(xiàn)對機(jī)構(gòu)內(nèi)部特定人員有效欺騙的一種社工能力。魚叉郵件是針對特定組織機(jī)構(gòu)內(nèi)部特定人員的定向郵件欺詐行為，目的是竊取機(jī)密數(shù)據(jù)或系統(tǒng)權(quán)限。魚叉郵件有多種形式，可以將木馬程序作為郵件的附件發(fā)送給特定的攻擊目標(biāo)，也可以構(gòu)造特殊的、有針對性的郵件內(nèi)容誘使目標(biāo)人回復(fù)或點(diǎn)擊釣魚網(wǎng)站。魚叉郵件主要針對的是安全意識(shí)或安全能力不足的機(jī)構(gòu)內(nèi)部員工。不過，某些設(shè)計(jì)精妙的魚叉郵件，即便是經(jīng)驗(yàn)的安全人員也難以識(shí)別。4）

社交釣魚社交釣魚能力，是指通過社交軟件或社交網(wǎng)站與攻擊目標(biāo)內(nèi)的成員進(jìn)行溝通交流，騙取對方信任并借此收集相關(guān)情報(bào)信息的能力。社交釣魚，一般建立在使人決斷產(chǎn)生認(rèn)知偏差的基礎(chǔ)上，具體形式包括但不限于：微信、QQ等社交軟件/網(wǎng)站的在線聊天、電話釣魚、短信釣魚等。社交釣魚，其實(shí)也是網(wǎng)絡(luò)詐騙活動(dòng)的主要方法，但以往實(shí)戰(zhàn)攻防演習(xí)中還很少被使用。但隨著防守方能力的不斷提升，直接進(jìn)行技術(shù)突破的難度越來越大，針對魚叉郵件也有了很多比較有效的監(jiān)測方法，于是近兩年，社交釣魚方法的使用就開始越來越多了。三、

高階能力高階能力是最為高級的實(shí)戰(zhàn)化白帽能力，學(xué)習(xí)和掌握的難度普遍較高，白帽子通常需要多年的學(xué)習(xí)和實(shí)戰(zhàn)經(jīng)驗(yàn)積累，才能初步掌握其中一小部分的關(guān)鍵能力。從實(shí)戰(zhàn)角度出發(fā)，白帽子的高階能力主要包括：系統(tǒng)層漏洞利用與防護(hù)、系統(tǒng)層漏洞挖掘、身份隱藏、內(nèi)網(wǎng)滲透、高級安全工具、編寫

PoC或

EXP等高級利用、掌握

CPU指令集、團(tuán)隊(duì)協(xié)作等幾個(gè)方面。（一）

系統(tǒng)層漏洞利用與防護(hù)為應(yīng)對各種各樣的網(wǎng)絡(luò)攻擊，操作系統(tǒng)內(nèi)部有很多底層的安全機(jī)制。而每一種安全機(jī)制，都對應(yīng)了一定形式的網(wǎng)絡(luò)攻擊方法。對于白帽子來說，學(xué)習(xí)和掌握底層的系統(tǒng)安全機(jī)制，發(fā)現(xiàn)程序或系統(tǒng)中安全機(jī)制設(shè)計(jì)的缺陷或漏洞，是實(shí)現(xiàn)高水平網(wǎng)絡(luò)攻擊的重要基礎(chǔ)技能。在實(shí)戰(zhàn)攻防演習(xí)中，最為實(shí)用、也是最為常用的

7種典型的系統(tǒng)層安全機(jī)制包括：SafeSEH、DEP、PIE、NX、ASLR、SEHOP、GS等。1）

SafeSEH當(dāng)系統(tǒng)遭到攻擊時(shí)，程序運(yùn)行就會(huì)出現(xiàn)異常，并觸發(fā)異常處理函數(shù)。而要使攻擊能夠繼續(xù)進(jìn)行，攻擊者就常常需要偽造或篡改系統(tǒng)異常處理函數(shù)，使系統(tǒng)無法感知到異常的發(fā)生。SafeSEH，（Safe

Structured

exception

handling）是

Windows操作系統(tǒng)的一種安全機(jī)制，專門用于防止異常處理函數(shù)被篡改，即在程序調(diào)用異常處理函數(shù)之前，對要調(diào)用的異常處理函數(shù)進(jìn)行一系列的有效性校驗(yàn)，如果發(fā)現(xiàn)異常處理函數(shù)不可靠或存在安全風(fēng)險(xiǎn)，則應(yīng)立即終止異常處理函數(shù)的調(diào)用。反之，如果

SafeSEH機(jī)制設(shè)計(jì)不完善或存在缺欠，就有可能被攻擊者利用，欺騙或繞過。在本文中，白帽子的

SafeSEH能力，是指白帽子掌握

SafeSEH的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

SafeSEH機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。2）

DEPDEP，是

Data

Execution

Protection的縮寫，意為數(shù)據(jù)執(zhí)行保護(hù)，作用是防止數(shù)據(jù)頁內(nèi)的數(shù)據(jù)被當(dāng)作執(zhí)行代碼來執(zhí)行，從而引發(fā)安全風(fēng)險(xiǎn)。從計(jì)算機(jī)內(nèi)存的角度看，數(shù)據(jù)和代碼的處理并沒有特別明確區(qū)分，只不過是在系統(tǒng)的調(diào)度下，CPU會(huì)對于不同內(nèi)存區(qū)域中的不同數(shù)據(jù)，進(jìn)行不一樣的計(jì)算而已。這就使得系統(tǒng)在處理某些經(jīng)過攻擊者精心構(gòu)造的數(shù)據(jù)時(shí)，會(huì)誤將其中的一部分“特殊數(shù)據(jù)”當(dāng)作可執(zhí)行代碼來執(zhí)行，從而觸發(fā)惡意命令的執(zhí)行。而

DEP機(jī)制設(shè)計(jì)的重要目的就是仿制這種問題的發(fā)生；反之，如果

DEP機(jī)制設(shè)計(jì)不完善或存在缺欠，就有可能被攻擊者所利用，欺騙或繞過。在本文中，白帽子的

DEP能力，是指白帽子掌握

DEP的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

DEP機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。3）

PIEPIE是

Position-Independent

Executable的縮寫，意為地址無關(guān)可執(zhí)行文件，與

PIC（Position-Independent

Code，地址無關(guān)代碼）含義基本相同，是

Linux或

Android系統(tǒng)中動(dòng)態(tài)鏈接庫的一種實(shí)現(xiàn)技術(shù)。在本文中，白帽子的

PIE能力，是指白帽子掌握

PIE的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

PIE機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。4）

NXNX，是

No-eXecute的縮寫，意為不可執(zhí)行，是

DEP（數(shù)據(jù)執(zhí)行保護(hù)）技術(shù)中的一種，作用是防止溢出攻擊中，溢出的數(shù)據(jù)被當(dāng)作可執(zhí)行代碼來執(zhí)行。NX

的基本原理是將數(shù)據(jù)所在內(nèi)存頁標(biāo)識(shí)為不可執(zhí)行，當(dāng)操作系統(tǒng)讀到這段溢出數(shù)據(jù)時(shí)，就會(huì)拋出異常，而非執(zhí)行惡意指令。反之，如果

NX機(jī)制設(shè)計(jì)不完善或存在缺欠，就可以被攻擊者利用并發(fā)動(dòng)溢出攻擊。在本文中，白帽子的

NX能力，是指白帽子掌握

NX的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

NX機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。5）

ASLRASLR，Address

Space

Layout

Randomization的縮寫，意為地址空間隨機(jī)化，是一種操作系統(tǒng)用來抵御緩沖區(qū)溢出攻擊的內(nèi)存保護(hù)機(jī)制。這種技術(shù)使得系統(tǒng)上運(yùn)行的進(jìn)程的內(nèi)存地址無法被預(yù)測，使得與這些進(jìn)程有關(guān)的漏洞變得更加難以利用。在本文中，白帽子的

ASLR能力，是指白帽子掌握

ASLR的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

ASLR機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。6）

SEHOPSEHOP，是

Structured

Exception

Handler

Overwrite

Protection的縮寫，意為結(jié)構(gòu)化異常處理覆蓋保護(hù)。其中，結(jié)構(gòu)化異常處理是指按照一定的控制結(jié)構(gòu)或邏輯結(jié)構(gòu)對程序進(jìn)行異常處理的一種方法。如果結(jié)構(gòu)化異常處理鏈表上面的某個(gè)節(jié)點(diǎn)或者多個(gè)節(jié)點(diǎn)，被攻擊者精心構(gòu)造的數(shù)據(jù)所覆蓋，就可能導(dǎo)致程序的執(zhí)行流程被控制，這就是

SEH攻擊。而

SEHOP就是

Windows操作系統(tǒng)中，針對這種攻擊給出的一種安全防護(hù)方案。在本文中，白帽子的

SEHOP能力，是指白帽子掌握

SEHOP的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

SEHOP機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。7）

GSGS，意為緩沖區(qū)安全性檢查，是

Windows緩沖區(qū)的安全監(jiān)測機(jī)制，用于防止緩沖區(qū)溢出攻擊。緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)，填充的數(shù)據(jù)超過了緩沖區(qū)本身的容量，于是溢出的數(shù)據(jù)就會(huì)覆蓋在合法數(shù)據(jù)上。理想的情況是：程序會(huì)檢查數(shù)據(jù)長度，而且并不允許輸入超過緩沖區(qū)長度的字符。但是很多程序都會(huì)假設(shè)數(shù)據(jù)長度總是與所分配的儲(chǔ)存空間相匹配，這就為緩沖區(qū)溢出埋下隱患，即緩沖區(qū)溢出漏洞。GS

就是通過對緩沖區(qū)數(shù)據(jù)的各種校驗(yàn)機(jī)制，防止緩沖區(qū)溢出攻擊的發(fā)生。在本文中，白帽子的

GS能力，是指白帽子掌握

GS的技術(shù)原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

GS機(jī)制的設(shè)計(jì)缺陷，并加以利用實(shí)施攻擊的能力。（二）

系統(tǒng)層漏洞挖掘系統(tǒng)層漏洞的挖掘需要很多相對高級的漏洞挖掘技術(shù)與方法。從實(shí)戰(zhàn)角度看，以下

6種挖掘方法最為實(shí)用：代碼跟蹤、動(dòng)態(tài)調(diào)試、Fuzzing技術(shù)、補(bǔ)丁對比、軟件逆向靜態(tài)分析、系統(tǒng)安全機(jī)制分析。1）

代碼跟蹤代碼跟蹤，是指通過自動(dòng)化分析工具和人工審查的組合方式，對程序源代碼逐條進(jìn)行檢查分析，發(fā)現(xiàn)其中的錯(cuò)誤信息、安全隱患和規(guī)范性缺陷問題，以及由這些問題引發(fā)的安全漏洞，提供代碼修訂措施和建議。2）

動(dòng)態(tài)調(diào)試動(dòng)態(tài)調(diào)試，原指軟件作者利用集成環(huán)境自帶的調(diào)試器跟蹤自己軟件的運(yùn)行，來協(xié)助解決自己軟件的錯(cuò)誤。不過，對于白帽子來說，動(dòng)態(tài)調(diào)試通常是指使用動(dòng)態(tài)調(diào)試器（如

OllyDbg

x64Dbg等），為可執(zhí)行程序設(shè)置斷點(diǎn)，通過監(jiān)測目標(biāo)程序在斷點(diǎn)處的輸入輸出及運(yùn)行狀態(tài)等信息，來反向推測程序的代碼結(jié)構(gòu)、運(yùn)行機(jī)制及處理流程等，進(jìn)而發(fā)現(xiàn)目標(biāo)程序中的設(shè)計(jì)缺陷或安全漏洞的一種分析方法。3）

Fuzzing技術(shù)Fuzzing技術(shù)，是一種基于黑盒（或灰盒）的測試技術(shù)，通過自動(dòng)化生成并執(zhí)行大量的隨機(jī)測試用例來觸發(fā)軟件或系統(tǒng)異常，進(jìn)而發(fā)現(xiàn)產(chǎn)品或協(xié)議的未知缺陷或漏洞。4）

補(bǔ)丁對比每一個(gè)安全補(bǔ)丁，都會(huì)對應(yīng)一個(gè)或多個(gè)安全漏洞。通過對補(bǔ)丁文件的分析，往往可以還原出相應(yīng)漏洞的原理或機(jī)制。而利用還原出來的漏洞，就可以對尚未打上相關(guān)補(bǔ)丁的軟件或系統(tǒng)實(shí)施有效攻擊。而補(bǔ)丁對比，是實(shí)戰(zhàn)環(huán)境下，補(bǔ)丁分析的一種常用的、有效的方式。補(bǔ)丁對比，是指對原始文件和補(bǔ)丁文件分別進(jìn)行反匯編，然后對反匯編后的文件做比較找出其中的差異，從而發(fā)現(xiàn)潛在的漏洞的一種安全分析方法。5）

軟件逆向靜態(tài)分析在本文中，軟件逆向靜態(tài)分析，是指將對軟件程序?qū)嵤┠嫦蚬こ?，之后對反編譯的源碼或二進(jìn)制代碼文件進(jìn)行分析，進(jìn)而發(fā)現(xiàn)設(shè)計(jì)缺陷或安全漏洞的一種安全分析方法。對開放源代碼的程序，通過檢測程序中不符合安全規(guī)則的文件結(jié)構(gòu)、命名規(guī)則、函數(shù)、堆棧指針等，就可以發(fā)現(xiàn)程序中存在的安全缺陷。被分析目標(biāo)沒有附帶源程序時(shí)，就需要對程序進(jìn)行逆向工程，獲取類似于源代碼的逆向工程代碼，然后再進(jìn)行檢索和分析，也可以發(fā)現(xiàn)程序中的安全漏洞。這就是軟件逆向靜態(tài)分析。軟件逆向靜態(tài)分析，也叫反匯編掃描，由于采用了底層的匯編語言進(jìn)行漏洞分析，在理論上可以發(fā)現(xiàn)所有計(jì)算機(jī)可運(yùn)行的漏洞。對于不公開源代碼的程序來說，這種方法往往是最有效的發(fā)現(xiàn)安全漏洞的辦法。6）

系統(tǒng)安全機(jī)制分析操作系統(tǒng)的安全機(jī)制，就是指在操作系統(tǒng)中，利用某種技術(shù)、某些軟件來實(shí)施一個(gè)或多個(gè)安全服務(wù)的過程。主要包括標(biāo)識(shí)與鑒別機(jī)制，訪問控制機(jī)制，最小特權(quán)管理機(jī)制，可信通路機(jī)制、安全審計(jì)機(jī)制，以及存儲(chǔ)保護(hù)、運(yùn)行保護(hù)機(jī)制等。在本文中，系統(tǒng)安全機(jī)制分析能力，是指對操作系統(tǒng)的各種安全機(jī)制的進(jìn)行分析，進(jìn)而發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)缺陷或安全漏洞的方法。（三）

身份隱藏為避免自己的真實(shí)

IP、物理位置、設(shè)備特征等信息在遠(yuǎn)程入侵的過程中被網(wǎng)絡(luò)安全設(shè)備記錄，甚至被溯源追蹤，攻擊者一般都會(huì)利用各種方式來進(jìn)行身份隱藏。在實(shí)戰(zhàn)攻防演習(xí)中，攻擊方所采用的身份隱藏技術(shù)主要有以下幾類：匿名網(wǎng)絡(luò)、盜取他人

ID/賬號、使用跳板機(jī)、他人身份冒用和利用代理服務(wù)器等。1）

匿名網(wǎng)絡(luò)匿名網(wǎng)絡(luò)泛指信息接受者無法對信息發(fā)送者進(jìn)行身份定位與物理位置溯源，或溯源過程極其困難的通信網(wǎng)絡(luò)。這種網(wǎng)絡(luò)通常是在現(xiàn)有的互聯(lián)網(wǎng)環(huán)境下，通過使用特定的通信軟件組成的特殊虛擬網(wǎng)絡(luò)，從而實(shí)現(xiàn)發(fā)起者的身份隱藏。其中以

Tor網(wǎng)絡(luò)（洋蔥網(wǎng)絡(luò)）為代表的各類“暗網(wǎng)”是比較常用的匿名網(wǎng)絡(luò)。在本文中，白帽子的匿名網(wǎng)絡(luò)能力，是指白帽子能夠使用匿名網(wǎng)絡(luò)對目標(biāo)機(jī)構(gòu)發(fā)起攻擊，并有效隱藏自己身份或位置信息的能力。2）

盜取他人

ID/賬號盜取他人

ID/賬號，一方面可以使攻擊者獲取與

ID/賬號相關(guān)的系統(tǒng)權(quán)限，進(jìn)而實(shí)施非法操作；另一方面也可以使攻擊者冒充

ID/賬號所有人的身份進(jìn)行各種網(wǎng)絡(luò)操作，從而實(shí)現(xiàn)攻擊者自身身份隱藏的目的。不過，在實(shí)戰(zhàn)攻防演習(xí)中，通常不允許隨意盜取與目標(biāo)機(jī)構(gòu)完全無關(guān)人員的

ID/賬號，因此，在本文中，白帽子的盜取他人

ID/賬號能力，是指白帽子能夠盜取目標(biāo)機(jī)構(gòu)及其相關(guān)機(jī)構(gòu)內(nèi)部人員

ID/賬號，以實(shí)現(xiàn)有效攻擊和身份隱藏的能力。3）

使用跳板機(jī)使用跳板機(jī)，是指攻擊發(fā)起者并不直接對目標(biāo)進(jìn)行攻擊，而是利用中間主機(jī)作為跳板機(jī)，經(jīng)過預(yù)先設(shè)定的一系列路徑對目標(biāo)進(jìn)行攻擊的一種攻擊方法。使用跳板機(jī)的原因主要有兩個(gè)方面：一是受到內(nèi)網(wǎng)安全規(guī)則的限制，目標(biāo)機(jī)器可能直接不可達(dá)，必須經(jīng)過跳板機(jī)才能間接訪問；二是使用跳板機(jī)，攻擊者可以在一定程度上隱藏自己的身份，使系統(tǒng)中留下的操作記錄多為跳板機(jī)所為，從而增加防守方溯源分析的難度。在本文中，白帽子使用跳板機(jī)的能力，是指白帽子能夠入侵機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)，獲得某些主機(jī)控制權(quán)限，并以此為跳板，實(shí)現(xiàn)內(nèi)網(wǎng)橫向移動(dòng)的技術(shù)能力。4）

他人身份冒用他人身份冒用，是指通過技術(shù)手段對身份識(shí)別系統(tǒng)或安全分析人員進(jìn)行欺騙，從而達(dá)到冒用他人身份實(shí)現(xiàn)登錄系統(tǒng)、執(zhí)行非法操作及投放惡意程序等攻擊行為。這里所說的他人身份冒用技術(shù)不包括前述的盜取他人

ID/賬號。在本文中，白帽子的他人身份冒用能力，是指白帽子能夠使用各種技術(shù)手段冒用他人身份，入侵特定系統(tǒng)的技術(shù)能力。5）

利用代理服務(wù)器代理服務(wù)器，是指專門為其他聯(lián)網(wǎng)設(shè)備提供互聯(lián)網(wǎng)訪問代理的服務(wù)器設(shè)備。在不使用代理服務(wù)器的情況下，聯(lián)網(wǎng)設(shè)備會(huì)直接與互聯(lián)網(wǎng)相連，并從運(yùn)營商那里分配獲得全網(wǎng)唯一的

IP地址。而在使用代理服務(wù)器的情況下，聯(lián)網(wǎng)設(shè)備則是首先訪問代理服務(wù)器，再通過代理服務(wù)器訪問互聯(lián)網(wǎng)。代理服務(wù)器的設(shè)計(jì)，最初是為了解決局域網(wǎng)內(nèi)用戶聯(lián)結(jié)互聯(lián)網(wǎng)的需求而提出的，局域網(wǎng)內(nèi)所有的計(jì)算機(jī)都通過代理服務(wù)器與互聯(lián)網(wǎng)上的其他主機(jī)進(jìn)行通信。對于被通信的主機(jī)或服務(wù)器來說，只能識(shí)別出代理服務(wù)器的地址，而無法識(shí)別事出局域網(wǎng)內(nèi)哪一臺(tái)計(jì)算機(jī)與自己通信。在實(shí)戰(zhàn)攻防環(huán)境下，攻擊方使用代理服務(wù)器聯(lián)網(wǎng)，就可以在一定程度上隱藏自己的

IP地址和聯(lián)網(wǎng)身份，增加防守方的溯源難度和

IP封禁難度。在某些情況下，攻擊者甚至還會(huì)設(shè)置多級代理服務(wù)器，以此實(shí)現(xiàn)更加深度的身份隱藏。在本文中，白帽子的利用代理服務(wù)器能力，是指白帽子在攻擊過程中，能夠使用一級或多級代理服務(wù)器，從而實(shí)現(xiàn)身份隱藏的能力。（四）

內(nèi)網(wǎng)滲透內(nèi)網(wǎng)滲透，是指當(dāng)攻擊方已經(jīng)完成邊界突破，成功入侵到政企機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之后，在機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中實(shí)施進(jìn)一步滲透攻擊，逐層突破內(nèi)部安全防護(hù)機(jī)制，擴(kuò)大戰(zhàn)果或最終拿下目標(biāo)系統(tǒng)的攻擊過程。在實(shí)戰(zhàn)攻防環(huán)境下，白帽子比較實(shí)用的內(nèi)網(wǎng)滲透能力包括：工作組或域環(huán)境滲透、內(nèi)網(wǎng)權(quán)限維持/提權(quán)、橫向移動(dòng)、數(shù)據(jù)竊取和免殺等。1）

工作組、域環(huán)境滲透工作組和域環(huán)境都是機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的基本概念。工作組通常是指一組相互聯(lián)結(jié)，具有共同業(yè)務(wù)或行為屬性的終端（計(jì)算機(jī)）集合。組內(nèi)終端權(quán)限平等，沒有統(tǒng)一的管理員或管理設(shè)備。通常來說，工作組的安全能力上線就是每臺(tái)終端自身的安全能力。域環(huán)境，則是由域控服務(wù)器創(chuàng)建的，具有統(tǒng)一管理和安全策略的聯(lián)網(wǎng)終端的集合，域控服務(wù)器和域管理員賬號具有域內(nèi)最高權(quán)限。通常來說，域環(huán)境的安全性要比工作組高很多，但如果域管理員賬號設(shè)置了弱口令，或域控服務(wù)器存在安全漏洞，也有可能導(dǎo)致域控服務(wù)器被攻擊者劫持，進(jìn)而導(dǎo)致域內(nèi)所有設(shè)備全部失陷。出于安全管理的需要，大型機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)一般都會(huì)被劃分為若干個(gè)域環(huán)境，不同的域?qū)?yīng)不同的業(yè)務(wù)和終端，執(zhí)行不同的網(wǎng)絡(luò)和安全管理策略。而在一些網(wǎng)絡(luò)管理相對比較松散的機(jī)構(gòu)中，內(nèi)網(wǎng)中也可能只有若干的工作組，而沒有域環(huán)境。在本文中，白帽子的工作組、域環(huán)境滲透能力，是指白帽子能夠掌握內(nèi)網(wǎng)環(huán)境中，工作組或域環(huán)境的運(yùn)行管理機(jī)制，能夠發(fā)現(xiàn)其中的設(shè)計(jì)缺陷或安全漏洞，并加以利用實(shí)施攻擊的能力。2）

橫向移動(dòng)橫向移動(dòng)，通常是指攻擊者攻破某臺(tái)內(nèi)網(wǎng)終端/主機(jī)設(shè)備后,以此為基礎(chǔ)，對相同網(wǎng)絡(luò)環(huán)境中的其他設(shè)備發(fā)起的攻擊活動(dòng)，但也常常被用來泛指攻擊者進(jìn)入內(nèi)網(wǎng)后的各種攻擊活動(dòng)。在本文中，白帽子的橫向移動(dòng)能力，是泛指以內(nèi)網(wǎng)突破點(diǎn)為基礎(chǔ)，逐步擴(kuò)大攻擊范圍，逐步攻破更多內(nèi)網(wǎng)設(shè)備或辦公、業(yè)務(wù)系統(tǒng)的技術(shù)能力。3）

內(nèi)網(wǎng)權(quán)限維持/提權(quán)攻擊者通常是以普通用戶的身份接入網(wǎng)絡(luò)系統(tǒng)或內(nèi)網(wǎng)環(huán)境，要實(shí)現(xiàn)攻擊，往往還需要提升自身的系統(tǒng)權(quán)限，并且使自身獲得的高級系統(tǒng)權(quán)限能夠維持一定的時(shí)間，避免被系統(tǒng)或管理員降權(quán)。提升系統(tǒng)權(quán)限的操作簡稱提權(quán)，維持系統(tǒng)權(quán)限的操作簡稱權(quán)限維持。在實(shí)戰(zhàn)環(huán)境下，系統(tǒng)提權(quán)的主要方式包括：利用系統(tǒng)漏洞提權(quán)、利用應(yīng)用漏洞提權(quán)、獲取密碼/認(rèn)證提權(quán)等。在本文中，白帽子的內(nèi)網(wǎng)權(quán)限維持/提權(quán)能力，是指白帽子在內(nèi)網(wǎng)環(huán)境中，能夠利用各種安全設(shè)計(jì)缺陷或安全漏洞，提升自己的系統(tǒng)權(quán)限，以及維持提權(quán)有效性的技術(shù)能力。4）

數(shù)據(jù)竊取對機(jī)密或敏感數(shù)據(jù)的竊取，是實(shí)戰(zhàn)攻防演習(xí)工作中最常見的預(yù)設(shè)目標(biāo)之一，也是黑客針對政企機(jī)構(gòu)網(wǎng)絡(luò)攻擊活動(dòng)的主要目的之一。一般來說，機(jī)構(gòu)內(nèi)部的很多辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)中，都會(huì)有專門的服務(wù)器或服務(wù)器集群用于存儲(chǔ)核心數(shù)據(jù)，數(shù)據(jù)服務(wù)器的防護(hù)一般也會(huì)比其他網(wǎng)絡(luò)設(shè)備更加嚴(yán)密一些。在本文中，白帽子的數(shù)據(jù)竊取能力，是指白帽子能夠熟練掌握服務(wù)器的數(shù)據(jù)庫操作，能夠在內(nèi)網(wǎng)中找到機(jī)構(gòu)的核心系統(tǒng)數(shù)據(jù)服務(wù)器，能夠獲取服務(wù)器訪問或管理權(quán)限，能夠在防守方不知情的情況下將數(shù)據(jù)竊取出來并秘密外傳的技術(shù)能力。5）

免殺免殺，英文為

Anti

Anti-Virus，是高級的網(wǎng)絡(luò)安全對抗方式，是各種能使木馬病毒程序免于被殺毒軟件查殺的技術(shù)的總稱，可以使攻擊者編寫的木馬病毒程序在目標(biāo)主機(jī)上秘密運(yùn)行，不被發(fā)現(xiàn)。免殺技術(shù)，不僅要求開發(fā)人員具備木馬病毒的編寫能力，同時(shí)還需要對各種主流安全軟件的運(yùn)行框架、殺毒引擎的工作原理、操作系統(tǒng)的底層機(jī)制、應(yīng)用程序的白利用方式等，有非常深入的了解，并能據(jù)此編寫對抗代碼。使用免殺技術(shù)，對于白帽的基礎(chǔ)能力要求非常之高。在本文中，白帽子的免殺技術(shù)能力，是指白帽子能夠編寫木馬病毒程序?qū)崿F(xiàn)免殺的技術(shù)能力。通過使用第三方工具（如加密殼）在某些安全防護(hù)薄弱的環(huán)境下也能達(dá)到免殺目的，但這種基礎(chǔ)能力不屬于本文描述的免殺技術(shù)能力。（五）

高級安全工具高級安全工具同樣是白帽子的必修課，只不過這些工具對于使用者有更高的基礎(chǔ)技能要求，初學(xué)者不易掌握。在實(shí)戰(zhàn)化環(huán)境中，最為經(jīng)常被用到的工具包括：IDA、Ghidra、Binwalk、OllyDbg、Peachfuzzer等。1）

IDAIDA，是一個(gè)專業(yè)的反匯編工具，是安全滲透人員進(jìn)行逆向安全測試的必備工具，具有靜態(tài)反匯編和逆向調(diào)試等功能，能夠幫助安全測試人員發(fā)現(xiàn)代碼級別的高危安全漏洞。2）

GhidraGhidra，是一款開源的跨平臺(tái)軟件逆向工具,目前支持的平臺(tái)有

Windows、macOS及

Linux，并提供了反匯編、匯編、反編譯等多種功能。Ghidra

P-Code是專為逆向工程設(shè)計(jì)的寄存器傳輸語言，能夠?qū)υS多不同的處理器進(jìn)行建模。3）

BinwalkBinwalk，是一個(gè)文件掃描提取分析工具，可以用來識(shí)別文件內(nèi)包含的內(nèi)容和代碼。Binwalk不僅可以在標(biāo)準(zhǔn)格式本件中進(jìn)行分析和提取，還能對非標(biāo)準(zhǔn)格式文件進(jìn)行分析和提取，包括壓縮文件、二進(jìn)制文件、經(jīng)過刪節(jié)的文件、經(jīng)過變形處理的文件、多種格式相融合的文件等。4）

OllyDbgOllyDbg，是一款強(qiáng)大的反匯編工具。它結(jié)合了動(dòng)態(tài)調(diào)試與靜態(tài)分析等功能。是一個(gè)用戶模式調(diào)試器，可識(shí)別系統(tǒng)重復(fù)使用的函數(shù)，并能將其參數(shù)注釋。OllyDbg還可以調(diào)試多線程應(yīng)用程序，從一個(gè)線程切換到另一個(gè)線程、掛起、恢復(fù)和終止，或改變它們的優(yōu)先級。5）

PeachfuzzerPeach

Fuzzer是一款智能模糊測試工具，廣泛用于發(fā)現(xiàn)軟件中的缺陷和漏洞。PeachFuzzer有兩種主要模式：基于生長的模糊測試和基于變異的模糊測試。（六）

編寫

PoC或

EXP等高級利用在前述“進(jìn)階能力”中的“（三）編寫

PoC或

EXP等利用”中，我們已經(jīng)介紹了

PoC和EXP的概念，這里不再累述。相比于針對

Web應(yīng)用和智能硬件/IoT設(shè)備編寫

PoC或

EXP，針對各種類型的操作系統(tǒng)和安全設(shè)備編寫

PoC或

EXP要更加困難，屬于高階能力。高階能力中，比較被關(guān)注的幾個(gè)操作系統(tǒng)和設(shè)備包括：Windows、Android、iOS、Linux、macOS、網(wǎng)絡(luò)安全設(shè)備。1）

Windows由微軟公司開發(fā)的個(gè)人電腦操作系統(tǒng)。在本文此處，Windows代指能夠在

Windows操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或EXP的能力。2）

Android由

Google公司和開放手機(jī)聯(lián)盟領(lǐng)導(dǎo)及開發(fā)的操作系統(tǒng)，主要使用于移動(dòng)設(shè)備，如智能手機(jī)和平板電腦。在本文中，Android

代指能夠在

Android

操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC

或EXP的能力。3）

iOS由蘋果公司開發(fā)的移動(dòng)操作系統(tǒng)，主要使用于

iPhone、iPodtouch、iPad上。在本文中，iOS

代指能夠在

iOS

操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC

或

EXP

的能力。4）

Linux主要使用于服務(wù)器的操作系統(tǒng)，

Ubnutu、CentOS等均屬基于

Linux內(nèi)核基礎(chǔ)上開發(fā)的操作系統(tǒng)。在本文中，Linux代指能夠在

Linux操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或

EXP的能力。5）

macOS由蘋果公司開發(fā)的操作系統(tǒng)，主要運(yùn)用于

Macintosh

系列計(jì)算機(jī)。macOS

的架構(gòu)與Windows不同，很多針對

Windows的計(jì)算機(jī)病毒在

macOS上都無法攻擊成功。在本文中，macOS代指能夠在

macOS操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或

EXP的能力。6）

網(wǎng)絡(luò)安全設(shè)備在實(shí)戰(zhàn)化環(huán)境中，經(jīng)常會(huì)遇到的網(wǎng)絡(luò)安全設(shè)備包括

IP協(xié)議密碼機(jī)、安全路由器、線路密碼機(jī)、防火墻、安全服務(wù)器、公開密鑰基礎(chǔ)設(shè)施（PKI)系統(tǒng)、授權(quán)證書（CA)系統(tǒng)、安全操作系統(tǒng)、防病毒軟件、網(wǎng)絡(luò)/系統(tǒng)掃描系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全預(yù)警與審計(jì)系統(tǒng)等。網(wǎng)絡(luò)安全設(shè)備本身也會(huì)存在各種各樣的安全漏洞，在近年來的實(shí)戰(zhàn)攻防演習(xí)中，受到越來越多的重視和利用。在本文中，網(wǎng)絡(luò)安全設(shè)備代指能夠在各類網(wǎng)絡(luò)安全設(shè)備中找到漏洞并利用漏洞編寫

PoC或

EXP的能力。（七）

掌握

CPU指令集CPU指令集，即

CPU中用來計(jì)算和控制計(jì)算機(jī)系統(tǒng)的一套指令的集合。每一種不同的

CPU在設(shè)計(jì)時(shí)都會(huì)有一系列與其他硬件電路相配合的指令系統(tǒng)。指令系統(tǒng)包括指令格式、尋址方式和數(shù)據(jù)形式。一臺(tái)計(jì)算機(jī)的指令系統(tǒng)反應(yīng)了該計(jì)算機(jī)的全部功能。機(jī)器類型不同，其指令集也不同。而白帽子對

CPU指令集的掌握程度，將直接決定白帽子進(jìn)行系統(tǒng)層漏洞挖掘與利用的能力水平。本文指掌握不同架構(gòu)下的底層程序分析。目前，最為常見的

CPU指令集包括

x86、MIPS、ARM和

PowerPC。1）

x86x86一般指

Intelx86。x86指令集是

Intel為其

CPU專門開發(fā)的指令集合。通過分析

x86

指令集可以找到

intel

下相關(guān)軟件或系統(tǒng)的運(yùn)行機(jī)制，從而通過指令實(shí)現(xiàn)底層攻擊。2）

MIPSMIPS（Microcomputer

without

Interlocked

Pipeline

Stages）的含義是無互鎖流水級微處理器，該技術(shù)是

MIPS公司（著名芯片設(shè)計(jì)公司，）設(shè)計(jì)開發(fā)的一系列精簡的指令系統(tǒng)計(jì)算結(jié)構(gòu)，最早是在

80

年代初期由斯坦福(Stanford)大學(xué)

Hennessy

教授領(lǐng)導(dǎo)的研究小組研制出來的。由于其授權(quán)費(fèi)用低，因此被

Intel外的大多數(shù)廠商使用。通過分析

MIPS指令集可以找到除

Intel外大多廠商（多見于工作站領(lǐng)域）的軟件或系統(tǒng)運(yùn)行機(jī)制，從而通過指令實(shí)現(xiàn)底層攻擊。3）

ARMARM（Advanced

RISC

Machines），即

ARM處理器,是英國

Acorn公司設(shè)計(jì)的，低功耗的第一款

RISC（ReducedInstructionSetComputer，精簡指令集計(jì)算機(jī)）微處理器。在本文中，ARM

指

ARM指令集。ARM指令集是指計(jì)算機(jī)

ARM操作指令系統(tǒng)。ARM指令集可以分為跳轉(zhuǎn)指令、數(shù)據(jù)處理指令、程序狀態(tài)寄存器處理指令、加載/存儲(chǔ)指令、協(xié)處理器指令和異常產(chǎn)生指令六大類。4）

PowerPCPowerPC（PerformanceOptimizationWith

Enhanced

RISC-Performance

Computing）是一種精簡指令集架構(gòu)的中央處理器，其基本的設(shè)計(jì)源自

IBM的

POWER架構(gòu)。POWER是

1991年，Apple、IBM、Motorola組成的

AIM聯(lián)盟所發(fā)展出的微處理器架構(gòu)。PowerPC

處理器有廣泛的實(shí)現(xiàn)范圍，包括從高端服務(wù)器

CPU（如

Power4）

到嵌入式

CPU

市場（如任天堂游戲機(jī)）。但蘋果公司自

2005年起，旗下計(jì)算機(jī)產(chǎn)品轉(zhuǎn)用

IntelCPU。（八）

團(tuán)隊(duì)協(xié)作隨著實(shí)戰(zhàn)攻防演習(xí)實(shí)踐的不斷深入，防守方的整體能力持續(xù)提升。這就使得白帽子單憑強(qiáng)大的個(gè)人能力單打獨(dú)斗取得勝利的希望越來越小。而由

3~5人組成的攻擊小隊(duì)，通過分工協(xié)作的方式高效完成攻擊行動(dòng)的模式已經(jīng)越來越成熟。而對于白帽子來說，是否擁有團(tuán)隊(duì)協(xié)作的作戰(zhàn)經(jīng)驗(yàn)，在團(tuán)隊(duì)中扮演什么樣的角色，也是白帽子實(shí)戰(zhàn)化能力的重要指標(biāo)。團(tuán)隊(duì)作戰(zhàn)，成功的關(guān)鍵的是協(xié)作與配合。通常來說，每只攻擊隊(duì)的成員都會(huì)有非常明確的分工和角色。在實(shí)戰(zhàn)攻防演習(xí)實(shí)踐中，攻擊隊(duì)比較常見的角色分工主要有

6種，分別是：行動(dòng)總指揮、情報(bào)收集人員、武器裝備制造人員、打點(diǎn)實(shí)施人員、社工釣魚人員和內(nèi)網(wǎng)滲透人員。1）

行動(dòng)總指揮通常是攻擊隊(duì)中綜合能力最強(qiáng)的人，需要有較強(qiáng)的組織意識(shí)、應(yīng)變能力和豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)，負(fù)責(zé)策略制定、任務(wù)分發(fā)、進(jìn)度把控等。2）

情報(bào)收集人員負(fù)責(zé)情報(bào)偵察和信息收集，收集內(nèi)容包括但不限于：目標(biāo)系統(tǒng)的組織架構(gòu)、IT資產(chǎn)、敏感信息泄露、供應(yīng)商信息等。3）

武器裝備制造人員負(fù)責(zé)漏洞挖掘及工具編寫，是攻擊隊(duì)的核心戰(zhàn)斗力量，不僅要能找到漏洞并利用漏洞，還要力求在不同環(huán)境下達(dá)到穩(wěn)定、深入的漏洞利用。4）

打點(diǎn)實(shí)施人員負(fù)責(zé)獲