盘点攻防演练中蓝队的主要工具 (下)

书接上文盘点攻防演练中蓝队的主要工具 (上)，我们继续来盘点那些蓝队使用的工具。

蓝队主要利用远程控制工具对目标网络内服务器、个人计算机或安全设备进行管理控制。

Xshell 是一款强大的安全终端模拟软件，支持 SSH1、SSH2 以及 Windows 平台的 TELNET 协议。Xshell 可以用来在 Windows 界面下访问远端不同系统下的服务器，从而比较好地达到远程控制终端的目的。
SecureCRT 是一款终端仿真程序，支持 Windows 下远程登录 Unix 或 Linux 服务器主机。SecureCRT 支持 SSH，同时支持 Telnet 和 rlogin 协议，是一款用于连接运行 Windows、Unix 和 VMS 的远程系统的理想工具。
PuTTY 是一个串行接口连接软件，可用于远程登录控制功能，支持对 Windows 平台、各类 Unix 平台 SSH、Telnet、Serial 等协议的连接。
Navicat 是一款数据库管理工具，可用来方便地管理 MySQL、Oracle、PostgreSQL、SQLite、SQL Server、MariaDB 和 MongoDB 等不同类型的数据库，并与 Amazon RDS、Amazon Aurora、Oracle Cloud、Microsoft Azure、阿里云、腾讯云和华为云等云数据库管理兼容，支持同时创建多个连接、无缝数据迁移、SQL 编辑、数据库设计和高级安全连接等功能。

蓝队主要利用 Webshell 管理工具对攻击载荷进行管理和运用，借助 Webshell 规避免杀、远程注入和跨网间隐蔽通信等技术实现对目标系统的渗透拓展。

冰蝎 Behinder 是一个动态二进制加密网站管理客户端，基于 Java，可以跨平台使用，因其优秀的跨平台兼容性和加密传输特性而被攻击者广泛采用。冰蝎集成了命令执行、虚拟终端、文件管理、SOCKS 代理、反弹 shell、数据库管理、自定义代码、Java 内存马注入、支持多种 Web 容器、反向 DMZ 等功能。
中国蚁剑 AntSword 是一款开源的跨平台网站管理工具，也是一款非常优秀的 Webshell 管理工具。它集成了 shell 代理、shell 管理、文件管理、虚拟终端和数据库管理功能，通过自定义编码器支持攻击载荷加密或编码免杀实现 WAF、防火墙等一些防御手段规避绕过，通过丰富的插件库支持自定义载荷实现静态、动态免杀，进而实现 Webshell 高效渗透利用。
哥斯拉 Godzilla 是一款相对较新的 Webshell 管理工具，它基于 Java 开发，具有较强的各类 shell 静态查杀规避和流量加密 WAF 绕过优势，且自带众多拓展插件，支持对载荷进行 AES 等各种加密、自定义 HTTP 头、内存 shell 以及丰富的 Webshell 功能。

蓝队在攻击过程中需要利用内网穿透工具实现外网到内网的跨边界跳转访问，借助端口转发、隧道技术等手段对内网目标实现转发访问或将目标内网 IP 映射到外网，并在远控客户端和被攻击目标终端之间建立一个安全通信通道，为进一步从外到内渗透拓展提供便利。

FRP 是一个可用于内网穿透的高性能反向代理工具，支持 TCP、UDP、HTTP、HTTPS 等协议类型，主要利用处于内网或防火墙后的机器，对外网环境提供 HTTP 或 HTTPS 服务，支持加密传输和点对点穿。
ngrok 是一个开源的反向代理工具。蓝队可利用 ngrok 将边界服务器（如 Web 服务器）作为反向代理服务器，在客户端和目标边界服务器之间建立一个安全通道，客户端可通过反向代理服务器间接访问后端不同服务器上的资源。
reGeorg 是一款利用 Web 进行代理的工具，可用于在目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口，利用 Webshell 建立一个 SOCKS 代理进行内网穿透，将内网服务器的端口通过 HTTP/HTTPS 隧道转发到本机，形成通信回路。
Secure Shell（SSH）是专为远程登录会话和其他网络服务提供安全性的协议，支持 SOCKS 代理和端口转发。SSH 的端口转发就是利用 SSH 作为中间代理，绕过两个网络之间的限制，顺利进行任意端口的访问。
Netsh（Network Shell）是 Windows 系统自带的网络配置命令行脚本工具，可用来通过修改本地或远程网络配置实现端口转发功能，支持配置从 IPv4 或 IPv6 端口转发代理，或者 IPv4 与 IPv6 的双向端口转发代理。

借助网络抓包分析工具，蓝队可进行目标网络通联分析、攻击工具通信分析和安全通信认证信息截获等操作。

Wireshark 是一款非常常用的网络抓包分析软件，提供抓取网络封包、显示封包资料、检测网络通信数据、查看网络通信数据包中的详细内容等非常实用的功能，更强大的功能有包含强显示过滤器语言和查看 TCP 会话重构流的能力，支持上百种协议和媒体类型，实时检测通信数据，检测其抓取的通信数据快照文件等。
Fiddler 是一个非常好用的 HTTP 调试抓包工具，该数据抓包工具能记录所有客户端与服务器的 HTTP 和 HTTPS 请求，允许用户监视，设置断点，对通过网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，用其检测与调试 Web 浏览器和服务器的交互情况。
tcpdump 是 Linux 平台下一款非常知名、非常强大的网络抓包分析工具，它可以将网络中传送的数据包完全截获下来提供分析。不仅支持针对网络层、协议、主机、网络或端口的过滤，还支持功能强大和灵活的截取策略，实现对网络数据的筛选和分组输出。

Linux 集成环境（Kali）是基于 Debian 的 Linux 免费发行版，预装了许多渗透测试软件，集成了包括 Metasploit 在内的超过 300 个渗透测试工具。
Windows 集成环境（Commando VM）是基于 Windows 的高度可定制的渗透测试虚拟机环境，集成了超过 140 个开源 Windows 工具，包含一系列常用的工具，比如 Python 和 Go 编程语言，Nmap 和 Wireshark 网络扫描器，Burp Suite 之类的网络安全测试框架，以及 Sysinternals、Mimikatz 等 Windows 安全工具。
Cobalt Strike 是一款由美国 Red Team 开发的渗透测试神器，常被业界人士称为 CS。CS 采用 Metasploit 为基础的渗透测试 GUI 框架，支持多种协议上线方式，集成了 Socket 代理、端口转发、Office 攻击、文件捆绑、钓鱼、提权、凭证导出、服务扫描、自动化溢出、多模式端口监听、exe 和 PowerShell 木马生成等功能。
Burp Suite 是用于攻击 Web 应用程序的集成平台，包含许多工具，集成了 Web 访问代理、Web 数据拦截与修改、网络爬虫、枚举探测、数据编解码等一系列功能。Burp Suite 为这些工具设计了许多接口，可以加快攻击应用程序的部署与调用。