蓝队的基本流程详解

梳理资产

甲方一般都会有资产列表

外网资产

使用搜索引擎，给一个ip反找域名

fofa语句 ip=”xx.xx.xx.xx” && is_domain=true

通过icp备案查询

ip和域名做全端口扫描，可能存在子域名和目录扫描。 一个备案号，存在多个域名或者资产。

内网资产

使用goby，扫描ip段，使用 exportcsv插件导出

在右下角

注意：如果在政务内网，或者医疗专网，一定要问清楚，资产范围，比如，100.100.100.0 / 10.10.10.0

漏扫渗透

做完资产收集，知道ip段范围，直接开扫，只扫poc，只验证不利用

不清楚的 网段 一定不要扫，一定要做的话问清楚

nuclie goby dddd fscan 手工渗透 写报告

不会写yarm模板

可以使用ai写模板，感觉效果不好用

ProjectDiscovery Cloud PlatformProjectDiscovery Cloud Platform

也可以自己写

nuclei——自定义模版漏洞验证工具 - cijian9000 - 博客园

修复加固

修复 打补丁

cms 漏洞，oa之类的，直接交厂商，升级打补丁

我们能修的是弱口令，系统漏洞，比如ms17010，打补丁，一定要告知客户，尽量留底，需要重启，服务器一关机，完蛋起不来了，开机蓝屏，没提前告知风险，出问题=背锅

开始攻防

红队会用一个vpn出口

当看监控的猴子。ids，ips，waf，态势感知，堡垒机

安全巡检，巡检安全设备，运行状态+日志

日志很多，很杂，网络扫描，0day很难捕获，xx云的rasp，拦截不到的，放行了的，结合态势感知

攻防结束

防守报告，技战法
如果成绩ok，前十啊，满分啊

找客户，要个感谢信

要装，自信，我就是牛逼，不要露怯，你就是马楼你就是实习生，摇人