汪渊博，绿盟科技工程蓝军负责人，梅花K战队攻防专家，ChaMd5 ICS方向组长。公安部一所特聘讲师、CNCERT年度漏洞技术研究先进个人、全国信息网络安全协会联盟高级讲师、河南省网络安全高校战队联盟特聘专家、《CTF实战：技术、解题与进阶》作者。曾多次带领公司战队参与大型国家级、省级攻防演练，并率队拿下重大成果，取得优异成绩。

李子奇，绿盟科技工程能力中心技术总监、梅花K战队创始人&负责人。“方班”演武堂特聘导师，连续获得广东省网络安全应急响应中心（GDCERT）年度先进个人。现负责绿盟安全服务交付的能力建设、效率提升、技术攻坚及服务创新等工作。

钟豪，绿盟科技安全保障及运营服务专家团队负责人，现负责安全保障及运营服务交付的能力建设工作。曾多次受邀作为关基单位网络安全研修班专家讲师，连续多年带领团队承担部委、金融、央国企等单位的国家级攻防演练保障工作，取得优异成绩。

为什么要写这本书
最早萌生写这本书的想法，是2019年战队成立之际，我与几个战队创始人及核心骨干坐在一起讨论，要打造一支怎样的攻防队伍，我们要如何向业界，发出自己惊雷般的声音。很快，我们就确认了“以攻促防，以攻塑防”的技术理念。这在当时骈兴错出的攻防实验室和团队里面，并不特殊，但我们并不只是喊喊口号，而是要坚定地朝着攻防转换的研究方向去发展，用最直接的成果和应用来证明我们的技术理念。
因此，我们分别设立了以高级攻击技术研究、攻击自动化以及基于ATT&CK框架的专业红队评估为目标的实战攻防小组，以及专注于前沿检测与防护技术研究、产品对抗能力提升、防御能力度量以及威胁分析与狩猎的威胁对抗小组。
“攻”，我们要在有限的资源下做到行业领先，在过去的几年时间里战队在各级实战攻防演练和赛事中屡获佳绩，并且实现了“K”系列全攻击阶段行动的武器化自研；“防”，我们要做到技术前沿和能力落地，战队将“灵”系列的防御能力评估与验证、域攻击检测、Webshell检测引擎、加密流量检测以及高频攻击场景的检测能力输入至安全产品侧，并连续多年在实战中成功击退攻击组织及顶级队伍。我们在实战中锻炼队伍，验证成果，同时在攻防之间进行所需研究的方向和技术的突破，持续循环。
这本书既蕴含了梅花K战队过去几年的一部分沉淀，也象征着我们秉持最初的技术理念，想要分享给业界和从业人员的声音。
时至今日，攻防之间如何转换，依然是横在各大攻防团队从技术研究到实现价值之间的一堵墙，我们需要一种有力的武器，突破攻防之间的这道墙，让攻防之间不只是对抗，还有思想的融合。我们有幸，在“以攻促防，以攻塑防”的技术理念中走出了自己的道路并有了不少的收获。希望这本书能够成为读者手中趁手的兵器，打破攻防之间的鸿沟。
读者对象为参加攻防对抗的网络安全人员、甲方企业信息安全部门从业人员、其他对网络安全感兴趣的读者。
如何阅读这本书
全书共10章，分为红方攻击篇（第1~5章）和蓝方防守篇（第6~10章）两大部分。
第1章介绍互联网信息收集。互联网信息收集是攻防演练中的第一步，也是非常重要的一步，本章讲解了攻击者视角下的攻防演练信息收集手法。
第2章介绍外网边界突破。外网边界突破是攻防演练中的得分门槛，只有获取突破点之后，才能进行后续的内网渗透和横向移动，本章将从正面突破、钓鱼社工、供应链攻击、近源渗透方面介绍攻击者如何获取边界突破点。
第3章介绍内网渗透。包含内网信息收集、内网漏洞利用、内网边界突破三个维度，介绍了内网渗透环节的常见思路和技巧。
第4章介绍权限提升与维持。权限提升与维持是攻防演练中关键的一环，本章讲解了实战中常见的权限提升与维持的攻击手法，以及样本免杀技术。
第5章介绍攻击方经典案例。本章案例均为作者团队在实际项目中落地的案例，希望通过案例的介绍为大家展示部分典型场景下可能发生的问题及对应的解决方案。
第6章介绍防护体系常用技术。本章主要介绍防守方常用的一些工具、产品及技术，并介绍了作者团队为解决保障中的一些常见问题而自研的工具平台。
第7章介绍实战防护体系的落地。本章主要讲解了实战防护体系的建设过程及方法，以防守方的视角落地实战期间的安全防护体系。
第8章介绍实战化运营体系的落地。本章主要讲解了实战化安全运营理念，包含如何将实战成果沉淀至日常的保障中，以及如何通过常态化的运营实现可持续的安全保障。
第9章介绍典型攻击突破场景的防护策略。本章结合攻击案例，讲解了几类特殊攻击突破场景下的防守策略。
第10章介绍防守方经典案例。本章案例均为作者团队在实际项目中的落地实践，希望通过案例的介绍为读者展示部分典型场景下可能发生的问题及对应的解决方案。
勘误和支持
由于作者的水平有限，书中难免会出现一些表达不清晰甚至不妥当的地方，恳请读者批评指正。各位读者可以通过邮箱mkings@foxmailcom与我们联系。
另外书中配套的源代码、补充资料位于随书附带的GitHub仓库，仓库地址：https://github.com/M-Kings/cybersecurity-book。
致谢
本书的编写参考了国内外诸多优秀安全研究员的文章、开源工具以及公开发表的官方文档等，在此首先表示感谢。
感谢梅花K战队其他成员为本书做出的贡献：刘琪、严晗、李俊贤、范晓玥、赵少轩、王伟、林俊杰、张航航、闵伟强。
感谢叶晓虎、崔鸿、邵子扬、林智明、黄文翔、曾坤对本书提出的建议和意见。
感谢所有曾经在攻防赛事中并肩作战的伙伴，是大家共同的努力，使战队发展壮大，使我们的攻防技术不断精进，让本书最终面世。

作者

序一
数字技术是当今新质生产力的核心技术，我们所处的生活工作环境越来越依赖网络空间。新技术、新应用的快速发展，使得网络空间日益复杂，所面临的安全问题也对新质生产力的发展形成了严峻的挑战。保障网络空间安全，是发展新质生产力的重要底座能力。
网络安全的本质是对抗。专业的网络安全团队同时具备攻和防的能力非常重要。不断梳理和总结攻击的方法和手段，才能更好地构建防御能力体系。在团队里形成红队和蓝队两支互相挑战的队伍，通过在对抗中检验和提升各自的能力，最终的目标是为了能给企业提供更好的安全防御能力。
网络安全是一个非常讲究实战的领域。本书的作者来自绿盟科技的战队，他们处在网络安全对抗的一线，有着丰富的实战经验。但要把攻防两方面实战的经验体系化、结构化地梳理呈现出来，着实是一件非常不容易的事情。想起大学刚入学的时候辅导员说：“一项好成果90%的工作体现在总结。”我个人在日常工作中深有体会。更何况本书的作者们还承担着繁重的工作任务，当我第一次看到书稿的时候，体会到的是那种热爱和坚持。这让我回想起20多年前加入绿盟，一群热爱网络安全的人聚在一起，共同学习、钻研和分享技术。这些年来绿盟的技术团队一直保持着这样的状态，保持着对技术的极致追求，吸引着更多年轻新鲜的血液加入进来。本书的作者就是团队的优秀代表，他们在实践中不断地成长。我很庆幸自己过去和现在都能与这么多优秀的人一起工作、学习和成长。
相信这本书对网络安全的爱好者、从业者都会有所帮助。通过阅读这本书，可以进一步了解网络安全，更能够激发对这个领域的热爱和探索精神。当然这本书还只是团队的初步成果，网络空间安全从攻防两个视角都还有很多场景可以深入展开。期待有更多的网络安全爱好者加入团队，共同为保障网络空间安全努力。

绿盟科技首席技术官 叶晓虎


序二
作为网络安全的一线从业者，我们见证了近年来安全形势的严峻。在飞速发展的互联网世界里,攻防双方不断博弈，都在寻求更强大和灵活的技战术，以便在对抗中占据先机。在以攻促防的大背景下，《红队VS蓝队:网络攻防实战技术解析》应运而生。本书从实战视角出发,全面梳理了双方的攻防技战术,为读者提供了来自最真实前线的技术洞察和实战经验。
随着新技术的发展，红队作为主动进攻的一方,需要不断创新攻击策略和手段。本书详尽地介绍了当前最新的攻击方法,对实现高效的攻击及避免被发现和反制有着独到的见解，这些见解都源自作者们多年的实战经验总结。
以攻促防对蓝队提出了更高的挑战。蓝队需要变换对抗视角，学习红队的战略思维和创新手段，主动预测敌方的企图和战术，洞察对手的攻击路径和技术手段，通过总结和分析，逐步建立完善的安全防护运营体系，实现“御敌于千里之外”的效果。
本书的诞生，源于绿盟工程团队多年来的不懈努力和丰富的攻防实战经验。本书所提到的红方和蓝方技术、理念和实战化运营体系等都在实际场景中落地并证明行之有效，具有很好的借鉴作用。本书的作者都是参与实战的年轻人，他们有着良好的分享意识和自信、有着不断挑战和探索的精神。作为行业的老兵，在与这些年轻人的朝夕相处中，我看到他们为工作付出了大量的心血和汗水，也从他们身上看到了绿盟的传承，更看到了新一代对网络安全事业的热忱与担当，为他们由衷地感到骄傲！

绿盟科技工程线副总裁 崔鸿

序一
序二
推荐语
前言
红方攻击篇
第1章 互联网信息收集
1.1 企业资产收集
1.1.1 经营类信息收集
1.1.2 互联网标志与管理信息收集
1.1.3 运营类信息收集
1.1.4 自动化收集工具
1.2 网络信息收集
1.2.1 域名信息收集
1.2.2 IP端口信息收集
1.2.3 应用系统收集
1.2.4 敏感信息收集
1.3 信息收集案例
1.3.1 开源代码平台泄露敏感信息
1.3.2 前端JS文件泄露敏感信息
1.3.3 社会工程学泄露敏感信息
第2章 外网边界突破
2.1 边界突破概述
2.2 正面突破
2.2.1 正面突破思路
2.2.2 常规漏洞利用
2.2.3 防护绕过思路
2.3 钓鱼社工
2.3.1 自建邮服环境
2.3.2 钓鱼平台搭建
2.3.3 文案模板的选择
2.3.4 钓鱼木马的制作
2.4 供应链攻击
2.4.1 供应链收集方法
2.4.2 供应链选择技巧
2.4.3 供应链攻击思路
2.5 近源渗透
2.5.1 近源渗透概述
2.5.2 近源渗透工具介绍
2.5.3 近源渗透攻击思路
第3章 内网渗透
3.1 内网信息收集
3.1.1 主机信息收集
3.1.2 网络信息收集
3.1.3 云环境信息收集
3.1.4 域环境信息收集
3.2 内网漏洞利用
3.2.1 内网口令攻击
3.2.2 内网高频高危系统漏洞
3.3 内网边界突破
3.3.1 常见横向移动技术
3.3.2 常见隔离突破技术
第4章 权限提升与维持
4.1 权限提升
4.1.1 Windows提权
4.1.2 Linux提权4.1.3其他类提权
4.2 权限维持
4.2.1 Windows权限维持
4.2.2 Linux权限维持
4.2.3 中间件权限维持
4.3 样本免杀
4.3.1 静态免杀
4.3.2 动态免杀
4.3.3 反沙箱技术
第5章 攻击方经典案例
5.1 案例一：人员链攻击
5.2 案例二：业务链攻击
5.3 案例三：供应链攻击
5.4 案例四：云上攻击
5.5 案例五：工控系统攻击
5.6 案例六：近源攻击
蓝方防守篇
第6章 防护体系常用技术
6.1 风险发现技术
6.1.1 脆弱性发现技术
6.1.2 攻击面管理技术
6.1.3 安全有效性验证技术
6.2 安全防护技术
6.2.1 边界防护技术
6.2.2 端点安全防护技术
6.3 威胁感知技术
6.3.1 全流量威胁监测技术
6.3.2 威胁情报
6.3.3 UEBA用户与实体行为分析
6.3.4 蜜罐威胁诱捕
6.4 安全运营技术
6.4.1 安全运营平台
6.4.2 SOAR安全编排、自动化和响应
6.5 自研辅助类工具
6.5.1 多设备协同监控研判
6.5.2 域攻击检测
6.5.3 防御能力评估及安全有效性验证
第7章 实战防护体系的落地
7.1 实战防护体系建设理念
7.2 防护团队的构建
7.2.1 防护团队规划及分工
7.2.2 人员保障安排
7.3 网络架构分析与资产梳理
7.3.1 网络架构分析调优
7.3.2 互联网暴露面治理
7.3.3 内网资产发现梳理
7.4 防护技术体系构建
7.4.1 攻击路径分析
7.4.2 安全防护设备体系构建
7.4.3 威胁诱捕体系构建
7.4.4 威胁感知与联动处置体系构建
7.5 专项强化及隐患消除
7.5.1 高频高危专项检查
7.5.2 账号及口令安全风险治理
7.5.3 历史入侵痕迹排查
7.5.4 管控设备安全核查
7.5.5 敏感信息风险清查
7.5.6 安全意识专项强化
7.6 防护流程体系构建
7.6.1 情报处置流程
7.6.2 异常情况巡检流程
7.6.3 攻击事件监控研判流程
7.6.4 攻击事件应急处置及溯源流程
7.7 防护体系验证
7.7.1 专项场景仿真演练
7.7.2 红蓝对抗模拟演练XVIIXVIII
7.7.3 防御能力评估
第8章 实战化运营体系的落地
8.1 实战化安全运营体系建设理念
8.2 从临时演练防护模式到运营体系建设
8.2.1 运营团队的建设
8.2.2 技术体系的建设
8.2.3 运营体系的建设
8.2.4 管理体系的建设
8.3 运营体系对攻防演练的应对方案
8.3.1 人员职责与分工切换
8.3.2 工作策略加强
8.3.3 专项检查工作
8.3.4 防御策略调整
第9章 典型攻击突破场景的防护策略
9.1 供应链攻击场景
9.2 分支机构攻击场景
9.3 云上攻击场景
9.4 集权系统攻击场景
第10章 防守方经典案例
10.1 案例一：从“0”到“1”，快速构建实战防护体系
10.1.1 保障背景
10.1.2 企业安全现状
10.1.3 保障实施步骤
10.1.4 保障成效
10.2 案例二：防御能力评估，助力企业发现防护体系缺陷
10.2.1 案例背景
10.2.2 评估场景
10.2.3 评估环境
10.2.4 评估流程
10.2.5 评估结果
10.2.6 总体优化建议
10.3 案例三：安全设备防护有效性检查，保障设备可用可靠
10.3.1 案例背景
10.3.2 防护有效性检查表
10.3.3 BAS评估节点部署方案
10.3.4 检查结果
10.3.5 改进方案
10.4 案例四：实战化安全运营体系建设实践
10.4.1 案例背景
10.4.2 建设方案
10.4.3 建设成效