2023中國實戰(zhàn)化白帽人才能力白皮書-2023.12

中國實戰(zhàn)化白帽人才能力白皮書2023.12補天漏洞響應平臺奇安信安服團隊奇安信行業(yè)安全研究中心目錄研究背景

3第一章

實戰(zhàn)化白帽人才能力變化趨勢

錯誤!未定義書簽。第二章

實戰(zhàn)化白帽人才能力現(xiàn)狀分析

錯誤!未定義書簽。一、

基礎能力錯誤!未定義書簽。二、

進階能力錯誤!未定義書簽。三、

高階能力錯誤!未定義書簽。第三章

總結

錯誤!未定義書簽。附錄

1實戰(zhàn)化白帽人才能力各項技能詳解5一、

基礎能力5二、

進階能力8三、

高階能力

11附錄

2補天漏洞響應平臺

21附錄

3奇安信藍隊能力及攻防實踐

22研究背景實戰(zhàn)化能力，是網(wǎng)絡安全實戰(zhàn)化發(fā)展對白帽子攻防能力的必然要求。相比于單純的挖洞能力，白帽子的實戰(zhàn)化能力有以下幾方面的特點：1）

攻防過程針對的是業(yè)務系統(tǒng)，而并非單純的

IT系統(tǒng)。2）

挖洞只是攻防過程中的輔助，攻擊必須要有實際效果。3）

針對系統(tǒng)的攻擊是一個過程，技術之外允許使用社工。4）

實戰(zhàn)在動態(tài)攻防環(huán)境中進行，目標系統(tǒng)有人運行值守。2021

年

1

月，補天漏洞響應平臺、奇安信安服團隊、奇安信行業(yè)安全研究中心首次聯(lián)合發(fā)布的《中國實戰(zhàn)化白帽人才能力白皮書（2020）》（簡稱：《白皮書（2020）》）?！?/p>

白

皮

書（2020》結

合

1900余個目標系統(tǒng)的攻防實戰(zhàn)經(jīng)驗，首次提出了實戰(zhàn)化白帽人才能力的概念，并給出了“實戰(zhàn)化白帽人才能力圖譜”。圖譜詳細列舉了白帽人才在實戰(zhàn)化過程中，所需要掌握的

3個級別、14個大類、87項具體能力。白皮書還對每一項技能的含義與要求，進行了詳細的說明。以圖譜為基礎，我們對

645名白帽子進行了實戰(zhàn)化能力調研?！栋灼?020》對實戰(zhàn)化白帽人才的能力培養(yǎng)給出了明確的指導方向和市場分析，引起了大量用人單位、教育機構、特別是白帽子群體的高度關注和認可。2023

年

8

月，補天漏洞響應平臺再次對平臺上活躍的

518

名白帽子進行了實戰(zhàn)化能力調研，并以此次調研為基礎，撰寫了《中國實戰(zhàn)化白帽人才能力白皮書（2023）》（簡稱：《白皮書（2023）》），希望能夠對提升國內白帽子群體的整體能力水平，促進安全行業(yè)的實戰(zhàn)化白帽子人才發(fā)展及能力培養(yǎng)工作有所幫助。報告詳細內容將于

2023年

12月

22日發(fā)布，敬請期待特別說明，《白皮書（2023）》“實戰(zhàn)化白帽人才能力圖譜”由

3個級別、14個大類、87項具體能力集合而成。如下圖所示。附錄

1實戰(zhàn)化白帽人才能力各項技能詳解一、

基礎能力基礎能力是比較初級的實戰(zhàn)化白帽能力，學習和掌握相對容易，通常也是其他各類高級實戰(zhàn)化技能學習和實踐的基礎能力?；A能力主要包括

Web漏洞利用與基礎安全工具使用兩類。（一）

Web漏洞利用Web漏洞利用能力是指利用

Web系統(tǒng)或軟件的安全漏洞實施網(wǎng)絡攻擊的能力。由于

Web

系統(tǒng)是絕大多數(shù)機構業(yè)務系統(tǒng)或對外服務系統(tǒng)的構建形式，所以

Web

漏洞利用也是最常見，最基礎的網(wǎng)絡攻擊形式之一。在實戰(zhàn)攻防演習中，白帽子最為經(jīng)常利用的

Web漏洞形式包括：命令執(zhí)行、SQL注入、代碼執(zhí)行、邏輯漏洞、解析漏洞、信息泄露、XSS、配置錯誤、弱口令、反序列化、文件上傳、權限繞過等。1）

命令執(zhí)行命令執(zhí)行漏洞，是指黑客可以直接在

Web應用中執(zhí)行系統(tǒng)命令，從而獲取敏感信息或者拿下

Shell

權限的安全漏洞。造成命令執(zhí)行漏洞最常見的原因是

Web

服務器對用戶輸入命令的安全檢測不足，導致惡意代碼被執(zhí)行。命令執(zhí)行漏洞常常發(fā)生在各種

Web組件上，包括Web容器、Web框架、CMS軟件、安全組件等。2）

SQL注入SQL，是

Structured

Query

Language的縮寫，意為結構化查詢語言。SQL注入漏洞，是最常見的安全漏洞形式之一，是指通過構造特定的

SQL語句，可以實現(xiàn)對數(shù)據(jù)庫服務器的非授權查詢，進而造成數(shù)據(jù)庫數(shù)據(jù)泄露的安全漏洞。SQL注入漏洞產(chǎn)生的主要原因是軟件系統(tǒng)對輸入數(shù)據(jù)的合法性缺少校驗或過濾不嚴。3）

代碼執(zhí)行代碼執(zhí)行漏洞，是指通過構造特殊的語句或數(shù)據(jù)，使軟件可以在設計流程之外，執(zhí)行特定函數(shù)或命令的安全漏洞。造成代碼執(zhí)行漏洞的主要原因是，開發(fā)人員在編寫代碼時，沒有充分校驗輸入數(shù)據(jù)的合法性。4）

邏輯漏洞邏輯漏洞，是指由于程序設計邏輯不夠嚴謹，導致一些邏輯分支處理錯誤，或部分流程被繞過，進而引發(fā)安全風險的安全漏洞。5）

解析漏洞解析漏洞，是指服務器應用程序在解析某些精心構造的后綴文件時，會將其解析成網(wǎng)頁腳本，從而導致網(wǎng)站淪陷的漏洞。大部分解析漏洞的產(chǎn)生都是由應用程序本身的漏洞導致的。此類漏洞中具有代表性的便是

IIS6.0解析漏洞，此漏洞又有目錄解析和文件解析兩種利用方式，但也有少部分是由于配置的疏忽所產(chǎn)生的。6）

信息泄露信息泄露漏洞，是指造成系統(tǒng)或服務器中，本應被保護或不可見的敏感信息被意外泄露的安全漏洞。這些信息包括賬號密碼、系統(tǒng)配置、運行狀態(tài)、關鍵參數(shù)、敏感文件內容等。造成信息泄露漏洞的主要原因包括運維操作不當、系統(tǒng)代碼不嚴謹?shù)取?）

XSSXSS，全稱為

Cross

Site

Scripting，意為跨站腳本攻擊，為了和更加常用的

CSS（CascadingStyleSheets，層疊樣式表）有所區(qū)分，特別簡寫為

XSS。XSS攻擊，通常是指通過利用網(wǎng)頁開發(fā)時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。這些惡意網(wǎng)頁程序通常是JavaScript，但實際上也可以包括

Java、VBScript、ActiveX、Flash或某些普通的

HTML等。攻擊成功后，攻擊者可能得到更高的權限（如執(zhí)行一些操作）、私密的網(wǎng)頁內容、會話信息和

Cookie等各種用戶敏感信息。最早期的

XSS攻擊示例大多使用了跨站方法，即：用戶在瀏覽

A網(wǎng)站時，攻擊者卻可以通過頁面上的惡意代碼，訪問用戶瀏覽器中的

B網(wǎng)站資源（如

Cookie等），從而達到攻擊目的。但隨著瀏覽器安全技術的進步，早期的跨站方法已經(jīng)很難奏效，XSS攻擊也逐漸和“跨站”的概念沒有了必然的聯(lián)系。只不過由于歷史習慣，XSS這個名字一直被延用了下來，現(xiàn)如今用來泛指通過篡改頁面，使瀏覽器加載惡意代碼的一種攻擊方法。在本文中，白帽子的

XSS能力，是指白帽子能夠發(fā)現(xiàn)軟件或系統(tǒng)的設計缺陷或安全漏洞，構造

XSS攻擊代碼，實現(xiàn)網(wǎng)絡攻擊的技術能力。8）

配置錯誤配置錯誤，是指由軟件或系統(tǒng)的配置不當導致安全風險的安全漏洞。例如，文件的或服務的訪問權限、可見范圍配置不當，網(wǎng)絡安全規(guī)則的設置錯誤等，都有可能使系統(tǒng)處于暴露或風險之中。配置錯誤的本質是系統(tǒng)的使用或運維不當，而不是系統(tǒng)的設計或開發(fā)問題。造成配置錯誤的主要原因是運維人員的疏忽或專業(yè)技能不足。9）

弱口令弱口令也是安全漏洞的一種，是指系統(tǒng)登錄口令的設置強度不高，容易被攻擊者猜到或破解。造成弱口令的主要原因是系統(tǒng)的運維人員、管理人員安全意識不足。常見的弱口令形式包括：系統(tǒng)出廠默認口令沒有修改；密碼設置過于簡單，如口令長度不足，單一使用字母或數(shù)字；使用了生日、姓名、電話號碼、身份證號碼等比較容易被攻擊者猜到的信息設置口令；設置的口令屬于流行口令庫中的流行口令。10）

反序列化反序列化漏洞，是指反序列化過程可以被操控或篡改，進而引發(fā)惡意代碼執(zhí)行風險的安全漏洞。序列化和反序列化都是基礎的計算機技術。序列化就是把計算機中的“對象”轉換成字節(jié)流，以便于存儲的一種方法。反序列化是序列化的逆過程，即將字節(jié)流還原成“對象”。在反序列化過程中，如果輸入的字節(jié)流可以被控制或篡改，就有可能產(chǎn)生非預期的“對象”。這就是反序列化漏洞。此時，攻擊者通過構造惡意字節(jié)流輸入，就可以在反序列化過程中，在對象被還原的過程中，使系統(tǒng)執(zhí)行惡意代碼。11）

文件上傳文件上傳漏洞，是指可以越權或非法上傳文件的安全漏洞。攻擊者可以利用文件上傳漏洞將惡意代碼秘密植入到服務器中，之后再通過遠程訪問去執(zhí)行惡意代碼，達到攻擊的目的。12）

權限繞過權限繞過漏洞，是指可以繞過系統(tǒng)的權限設置或權限管理規(guī)則執(zhí)行非法操作的安全漏洞。造成權限繞過漏洞的主要原因是，軟件或系統(tǒng)的開發(fā)人員對數(shù)據(jù)處理權限的設計或判定不嚴謹、不全面。（二）

基礎安全工具基礎安全工具是指安全分析或攻防實戰(zhàn)過程中，經(jīng)常使用到的一些初級的、基礎的軟件工具。比較常見的基礎安全工具包括：Burp

Suite、Sqlmap、AppScan、AWVS、Nmap、Wireshark、MSF、CobaltStrike等。1）

BurpSuiteBurp

Suite

是一個常用的

Web

攻擊工具的集合平臺，經(jīng)常被安全工作者用來測試

Web系統(tǒng)安全性，也是實戰(zhàn)攻防演習中攻擊隊的常用平臺。使用者通過平臺集成的工具，既可以對目標發(fā)起手動攻擊，也可以自定義規(guī)則發(fā)起自動攻擊；既可以探測和分析目標漏洞，也可以使用爬蟲抓取和搜索頁面內容。2）

SqlmapSqlmap是一個開源的滲透測試工具，可以用來進行自動化檢測。Sqlmap可以利用常見的

SQL注入漏洞，獲取數(shù)據(jù)庫服務器的權限。Sqlmap還具有功能比較強大的檢測引擎,可提供針對各種不同類型數(shù)據(jù)庫的滲透測試的功能選項，包括獲取數(shù)據(jù)庫中存儲的數(shù)據(jù)，訪問操作系統(tǒng)文件，甚至可以通過外帶數(shù)據(jù)連接的方式執(zhí)行操作系統(tǒng)命令。3）

AppScanAppScan

是

IBM

公司推出的一款

Web應用安全測試工具，采用黑盒測試的方式，可以掃描常見的

Web用安全漏洞。AppScan功能比較齊全，支持登錄、報表等功能。在掃描結果中，不僅能夠看到

Web應用被掃出的安全漏洞，還提供了詳盡的漏洞原理、修改建議、手動驗證等功能。在實戰(zhàn)攻防演習中，AppScan是一個很方便的漏洞掃描器。4）

AWVSAWVS是

Acunetix

Web

Vulnerability

Scanner的縮寫。它是一個自動化的

Web應用程序安全測試工具，可以審計和檢查

Web漏洞。AWVS

可以掃描任何可通過

Web

瀏覽器訪問的和遵循

HTTP/HTTPS規(guī)則的

Web站點和

Web應用程序?？梢酝ㄟ^檢查

SQL注入攻擊漏洞、XSS漏洞等來審核

Web應用程序的安全性。5）

NmapNmap是

Network

Mapper的縮寫，意為網(wǎng)絡映射器，是一款開放源代碼的網(wǎng)絡探測和安全審核的工具。它的設計目標是快速地掃描大型網(wǎng)絡，但也可以用于掃描單個主機。Nmap使用原始

IP報文來發(fā)現(xiàn)網(wǎng)絡上有哪些主機，每臺主機提供什么樣的服務，哪些服務運行在什么操作系統(tǒng)上，這些主機使用了什么類型的報文過濾器或防火墻等。雖然

Nmap通常用于安全審核，但許多系統(tǒng)管理員和網(wǎng)絡管理員也用它來做一些日常的工作，比如查看整個網(wǎng)絡的信息，管理服務升級計劃，以及監(jiān)視主機和服務的運行。在實戰(zhàn)攻防演習中，Nmap常用來對目標系統(tǒng)進行資產(chǎn)分析。6）

WiresharkWireshark是一個免費開源的網(wǎng)絡數(shù)據(jù)包分析軟件，它可以幫助網(wǎng)絡管理員檢測網(wǎng)絡問題，幫助網(wǎng)絡安全工程師檢查信息安全相關問題。在實戰(zhàn)攻防演習中，數(shù)據(jù)包分析也是非常重要的基礎工作。7）

MSFMSF是

Metasploit

Framework的縮寫，這不僅僅是一個工具軟件，它是為自動化地實施經(jīng)典的、常規(guī)的、復雜新穎的攻擊，提供基礎設施支持的一個完整框架平臺。它可以使使用人員將精力集中在滲透測試過程中那些獨特的方面上，以及如何識別信息安全計劃的弱點上。MSF的能夠讓用戶通過選擇它的滲透攻擊模塊、攻擊載荷和編碼器來實施一次滲透攻擊，也可以更進一步編寫并執(zhí)行更為復雜的攻擊技術。8）

CobaltStrikeCobalt

Strike

是一款

C/S

架構的商業(yè)滲透軟件，適合多人團隊協(xié)作?？赡M

APT

對抗，進行內網(wǎng)滲透。Cobalt

Strike集成了端口轉發(fā)、端口掃描、Socks代理、提權、憑據(jù)導出、釣魚、遠控木馬等功能。該工具幾乎覆蓋了

APT攻擊鏈中所需要用到的各個技術環(huán)節(jié)二、

進階能力進階能力是相對更加高級的實戰(zhàn)化白帽能力，學習和掌握的難度高于基礎能力，但低于高階能力，主要包括

Web漏洞挖掘、Web開發(fā)與編程、編寫

PoC或

EXP等利用、社工釣魚等四類。（一）

Web漏洞挖掘Web漏洞挖掘能力是指針對

Web系統(tǒng)或軟件進行漏洞挖掘的能力。在白帽子挖掘的

Web應用漏洞中，比較常見的漏洞形式包括：命令執(zhí)行、SQL注入、代碼執(zhí)行、邏輯漏洞、解析漏洞、信息泄露、XSS、配置錯誤、弱口令、反序列化、文件上傳、權限繞過等。關于這些漏洞類型的具體含義，參見前述“基礎能力”中的“（一）Web漏洞利用”，這里不再累述。（二）

Web開發(fā)與編程掌握一門或幾門的開發(fā)與編程語言，是白帽子深入挖掘

Web應用漏洞,分析

Web站點及業(yè)務系統(tǒng)運行機制的重要基礎能力。在實戰(zhàn)攻防演習中，白帽子最為經(jīng)常遇到和需要掌握的編程語言包括：Java、PHP、Python、C/C++、Golang等。1）

JavaJava是一種面向對象的計算機編程語言，具有簡單性、功能強大、分布式、健壯性、安全性、平臺獨立與可移植性、多線程及動態(tài)性的特點，經(jīng)常用于編寫桌面應用程序、Web應用程序、分布式系統(tǒng)和嵌入式系統(tǒng)應用程序等。2）

PHPPHP原為

Personal

Home

Page的縮寫，后更名為

Hypertext

Preprocessor，但保留了人們已經(jīng)習慣的“PHP”的縮寫形式。其含義為：超文本預處理器，是一種通用開源腳本語言。PHP主要適用于

Web開發(fā)領域，是在服務器端執(zhí)行的，常用的腳本語言。PHP獨特的語法混合了

C、Java、Perl以及

PHP自創(chuàng)的語法，利于學習，使用廣泛。3）

PythonPython是一種跨平臺的計算機程序設計語言，

是一個高層次的，結合了解釋性、編譯性、互動性和面向對象的腳本語言。最初被設計用于編寫自動化腳本(Shell)，隨著版本的不斷更新和語言新功能的添加，逐漸被用于獨立的、大型項目的開發(fā)。4）

C/C++C/C++是一種通用的編程語言，廣泛用于系統(tǒng)軟件與應用軟件的開發(fā)。語言具有高效、靈活、功能豐富、表達力強和較高的可移植性等特點，在程序設計中備受青睞，是當前使用最為廣泛的編程語言。在

Web開發(fā)中常用于嵌入式設備的開發(fā)。5）

GolangGolang語言，簡稱

Go語言，是由三位

Google工程師開發(fā)的一種靜態(tài)強類型、編譯型語言。Go語言語法與

C相近，但具有內存安全、垃圾回收、結構形態(tài)及

CSP-style并發(fā)計算等功能。（三）

編寫

PoC或

EXP等利用編寫漏洞驗證代碼或漏洞利用代碼，是比單純的漏洞發(fā)現(xiàn)更加具有實戰(zhàn)意義的白帽能力。其中主要包括

PoC或

EXP等兩種方式。PoC,是

Proof

of

Concept的縮寫，即概念驗證，特指為了驗證漏洞存在而編寫的程序代碼。有時也經(jīng)常被用來作為

0day、Exploit（漏洞利用）的別名。EXP，是

Exploit

的縮寫，即漏洞利用代碼。一般來說，有漏洞不一定就有

EXP，而有EXP，就肯定有漏洞。PoC和

EXP的概念僅有細微的差別，前者用于驗證，后者則是直接的利用。能夠自主編寫

PoC

或

EXP，要比直接使用第三方編寫的漏洞利用工具或成熟的漏洞利用代碼困難的多。但對于很多沒有已知利用代碼的漏洞或

0day漏洞，自主編寫

PoC或

EXP就顯得非常重要了。此外，針對不同的目標或在不同的系統(tǒng)環(huán)境中，編寫

PoC

或

EXP

的難度也不同。針對Web應用和智能硬件/IoT設備等，編寫

PoC或

EXP相對容易，屬于進階能力；而針對操作系統(tǒng)或安全設備編寫

PoC或

EXP則更加困難，因此屬于高階能力了。（四）

社工釣魚社工釣魚，是指利用社會工程學手法，利用偽裝、欺詐、誘導等方式，利用人的安全意識不足或安全能力不足，對目標機構特定人群實施網(wǎng)絡攻擊的一種手段。社工釣魚，既是實戰(zhàn)攻防演習中經(jīng)常使用的作戰(zhàn)手法，也是黑產(chǎn)團伙或黑客組織最為經(jīng)常使用的攻擊方式。在很多情況下，“搞人”要比“搞系統(tǒng)”容易得多。社工釣魚的方法和手段多種多樣。在實戰(zhàn)攻防演習中，最為常用，也是最為實用的技能主要有四種：開源情報收集、社工庫收集、魚叉郵件和社交釣魚。其中，前面兩個都屬于情報收集能力，而后面兩個則屬于攻防互動能力。1）

開源情報收集開源情報收集能力，是指在公開的互聯(lián)網(wǎng)信息平臺上，合法收集針對目標機構的關鍵情報信息的能力。例如，新聞媒體、技術社區(qū)、企業(yè)官網(wǎng)、客戶資源平臺等公開信息分享平臺都是開源情報收集的重要渠道。白帽子可以通過開源情報收集，獲取諸如企業(yè)員工內部郵箱、聯(lián)系方式、企業(yè)架構、供應鏈名錄、產(chǎn)品代碼等關鍵情報信息。這些信息都可以為進一步的攻擊提供支撐。開源情報收集是白帽子首要的情報收集方式，其關鍵在于要從海量網(wǎng)絡信息中，找到并篩選出有價值的情報信息組合。通常情況下，單一渠道公開的機構信息，大多沒有什么敏感性和保密性。但如果將不同渠道的多源信息組合起來，就能夠形成非常有價值的情報信息。當然，也不排除某些機構會不慎將內部敏感信息泄露在了互聯(lián)網(wǎng)平臺上。白帽子在互聯(lián)網(wǎng)平臺上直接找到機構內部開發(fā)代碼，找到賬號密碼本的情況也并不少見。2）

社工庫收集社工庫收集能力，是指針對特定目標機構的社工庫信息的收集能力。所謂社工庫，通常是指含有大量用戶敏感信息的數(shù)據(jù)庫或數(shù)據(jù)包。這些敏感信息包括但不限于，如賬號、密碼、姓名、身份證號、電話號碼、人臉信息、指紋信息、行為信息等。由于這些信息非常有助于攻擊方針對特定目標設計有針對性的社會工程學陷阱，因此將這些信息集合起來的數(shù)據(jù)包或數(shù)據(jù)庫，就被稱為社會工程學庫，簡稱社工庫。社工庫是地下黑產(chǎn)或暗網(wǎng)上交易的重要標的物。不過，在實戰(zhàn)攻防演習過程中，白帽子所使用的社工庫資源，必須兼顧合法性問題，這就比黑產(chǎn)團伙建立社工庫的難度要大得多。3）

魚叉郵件魚叉郵件能力，是指通過制作和投遞魚叉郵件，實現(xiàn)對機構內部特定人員有效欺騙的一種社工能力。魚叉郵件是針對特定組織機構內部特定人員的定向郵件欺詐行為，目的是竊取機密數(shù)據(jù)或系統(tǒng)權限。魚叉郵件有多種形式，可以將木馬程序作為郵件的附件發(fā)送給特定的攻擊目標，也可以構造特殊的、有針對性的郵件內容誘使目標人回復或點擊釣魚網(wǎng)站。魚叉郵件主要針對的是安全意識或安全能力不足的機構內部員工。不過，某些設計精妙的魚叉郵件，即便是經(jīng)驗的安全人員也難以識別。4）

社交釣魚社交釣魚能力，是指通過社交軟件或社交網(wǎng)站與攻擊目標內的成員進行溝通交流，騙取對方信任并借此收集相關情報信息的能力。社交釣魚，一般建立在使人決斷產(chǎn)生認知偏差的基礎上，具體形式包括但不限于：微信、QQ等社交軟件/網(wǎng)站的在線聊天、電話釣魚、短信釣魚等。社交釣魚，其實也是網(wǎng)絡詐騙活動的主要方法，但以往實戰(zhàn)攻防演習中還很少被使用。但隨著防守方能力的不斷提升，直接進行技術突破的難度越來越大，針對魚叉郵件也有了很多比較有效的監(jiān)測方法，于是近兩年，社交釣魚方法的使用就開始越來越多了。三、

高階能力高階能力是最為高級的實戰(zhàn)化白帽能力，學習和掌握的難度普遍較高，白帽子通常需要多年的學習和實戰(zhàn)經(jīng)驗積累，才能初步掌握其中一小部分的關鍵能力。從實戰(zhàn)角度出發(fā)，白帽子的高階能力主要包括：系統(tǒng)層漏洞利用與防護、系統(tǒng)層漏洞挖掘、身份隱藏、內網(wǎng)滲透、高級安全工具、編寫

PoC或

EXP等高級利用、掌握

CPU指令集、團隊協(xié)作等幾個方面。（一）

系統(tǒng)層漏洞利用與防護為應對各種各樣的網(wǎng)絡攻擊，操作系統(tǒng)內部有很多底層的安全機制。而每一種安全機制，都對應了一定形式的網(wǎng)絡攻擊方法。對于白帽子來說，學習和掌握底層的系統(tǒng)安全機制，發(fā)現(xiàn)程序或系統(tǒng)中安全機制設計的缺陷或漏洞，是實現(xiàn)高水平網(wǎng)絡攻擊的重要基礎技能。在實戰(zhàn)攻防演習中，最為實用、也是最為常用的

7種典型的系統(tǒng)層安全機制包括：SafeSEH、DEP、PIE、NX、ASLR、SEHOP、GS等。1）

SafeSEH當系統(tǒng)遭到攻擊時，程序運行就會出現(xiàn)異常，并觸發(fā)異常處理函數(shù)。而要使攻擊能夠繼續(xù)進行，攻擊者就常常需要偽造或篡改系統(tǒng)異常處理函數(shù)，使系統(tǒng)無法感知到異常的發(fā)生。SafeSEH，（Safe

Structured

exception

handling）是

Windows操作系統(tǒng)的一種安全機制，專門用于防止異常處理函數(shù)被篡改，即在程序調用異常處理函數(shù)之前，對要調用的異常處理函數(shù)進行一系列的有效性校驗，如果發(fā)現(xiàn)異常處理函數(shù)不可靠或存在安全風險，則應立即終止異常處理函數(shù)的調用。反之，如果

SafeSEH機制設計不完善或存在缺欠，就有可能被攻擊者利用，欺騙或繞過。在本文中，白帽子的

SafeSEH能力，是指白帽子掌握

SafeSEH的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

SafeSEH機制的設計缺陷，并加以利用實施攻擊的能力。2）

DEPDEP，是

Data

Execution

Protection的縮寫，意為數(shù)據(jù)執(zhí)行保護，作用是防止數(shù)據(jù)頁內的數(shù)據(jù)被當作執(zhí)行代碼來執(zhí)行，從而引發(fā)安全風險。從計算機內存的角度看，數(shù)據(jù)和代碼的處理并沒有特別明確區(qū)分，只不過是在系統(tǒng)的調度下，CPU會對于不同內存區(qū)域中的不同數(shù)據(jù)，進行不一樣的計算而已。這就使得系統(tǒng)在處理某些經(jīng)過攻擊者精心構造的數(shù)據(jù)時，會誤將其中的一部分“特殊數(shù)據(jù)”當作可執(zhí)行代碼來執(zhí)行，從而觸發(fā)惡意命令的執(zhí)行。而

DEP機制設計的重要目的就是仿制這種問題的發(fā)生；反之，如果

DEP機制設計不完善或存在缺欠，就有可能被攻擊者所利用，欺騙或繞過。在本文中，白帽子的

DEP能力，是指白帽子掌握

DEP的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

DEP機制的設計缺陷，并加以利用實施攻擊的能力。3）

PIEPIE是

Position-Independent

Executable的縮寫，意為地址無關可執(zhí)行文件，與

PIC（Position-Independent

Code，地址無關代碼）含義基本相同，是

Linux或

Android系統(tǒng)中動態(tài)鏈接庫的一種實現(xiàn)技術。在本文中，白帽子的

PIE能力，是指白帽子掌握

PIE的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

PIE機制的設計缺陷，并加以利用實施攻擊的能力。4）

NXNX，是

No-eXecute的縮寫，意為不可執(zhí)行，是

DEP（數(shù)據(jù)執(zhí)行保護）技術中的一種，作用是防止溢出攻擊中，溢出的數(shù)據(jù)被當作可執(zhí)行代碼來執(zhí)行。NX

的基本原理是將數(shù)據(jù)所在內存頁標識為不可執(zhí)行，當操作系統(tǒng)讀到這段溢出數(shù)據(jù)時，就會拋出異常，而非執(zhí)行惡意指令。反之，如果

NX機制設計不完善或存在缺欠，就可以被攻擊者利用并發(fā)動溢出攻擊。在本文中，白帽子的

NX能力，是指白帽子掌握

NX的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

NX機制的設計缺陷，并加以利用實施攻擊的能力。5）

ASLRASLR，Address

Space

Layout

Randomization的縮寫，意為地址空間隨機化，是一種操作系統(tǒng)用來抵御緩沖區(qū)溢出攻擊的內存保護機制。這種技術使得系統(tǒng)上運行的進程的內存地址無法被預測，使得與這些進程有關的漏洞變得更加難以利用。在本文中，白帽子的

ASLR能力，是指白帽子掌握

ASLR的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

ASLR機制的設計缺陷，并加以利用實施攻擊的能力。6）

SEHOPSEHOP，是

Structured

Exception

Handler

Overwrite

Protection的縮寫，意為結構化異常處理覆蓋保護。其中，結構化異常處理是指按照一定的控制結構或邏輯結構對程序進行異常處理的一種方法。如果結構化異常處理鏈表上面的某個節(jié)點或者多個節(jié)點，被攻擊者精心構造的數(shù)據(jù)所覆蓋，就可能導致程序的執(zhí)行流程被控制，這就是

SEH攻擊。而

SEHOP就是

Windows操作系統(tǒng)中，針對這種攻擊給出的一種安全防護方案。在本文中，白帽子的

SEHOP能力，是指白帽子掌握

SEHOP的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

SEHOP機制的設計缺陷，并加以利用實施攻擊的能力。7）

GSGS，意為緩沖區(qū)安全性檢查，是

Windows緩沖區(qū)的安全監(jiān)測機制，用于防止緩沖區(qū)溢出攻擊。緩沖區(qū)溢出是指當計算機向緩沖區(qū)內填充數(shù)據(jù)位數(shù)時，填充的數(shù)據(jù)超過了緩沖區(qū)本身的容量，于是溢出的數(shù)據(jù)就會覆蓋在合法數(shù)據(jù)上。理想的情況是：程序會檢查數(shù)據(jù)長度，而且并不允許輸入超過緩沖區(qū)長度的字符。但是很多程序都會假設數(shù)據(jù)長度總是與所分配的儲存空間相匹配，這就為緩沖區(qū)溢出埋下隱患，即緩沖區(qū)溢出漏洞。GS

就是通過對緩沖區(qū)數(shù)據(jù)的各種校驗機制，防止緩沖區(qū)溢出攻擊的發(fā)生。在本文中，白帽子的

GS能力，是指白帽子掌握

GS的技術原理，并能夠發(fā)現(xiàn)程序或系統(tǒng)中

GS機制的設計缺陷，并加以利用實施攻擊的能力。（二）

系統(tǒng)層漏洞挖掘系統(tǒng)層漏洞的挖掘需要很多相對高級的漏洞挖掘技術與方法。從實戰(zhàn)角度看，以下

6種挖掘方法最為實用：代碼跟蹤、動態(tài)調試、Fuzzing技術、補丁對比、軟件逆向靜態(tài)分析、系統(tǒng)安全機制分析。1）

代碼跟蹤代碼跟蹤，是指通過自動化分析工具和人工審查的組合方式，對程序源代碼逐條進行檢查分析，發(fā)現(xiàn)其中的錯誤信息、安全隱患和規(guī)范性缺陷問題，以及由這些問題引發(fā)的安全漏洞，提供代碼修訂措施和建議。2）

動態(tài)調試動態(tài)調試，原指軟件作者利用集成環(huán)境自帶的調試器跟蹤自己軟件的運行，來協(xié)助解決自己軟件的錯誤。不過，對于白帽子來說，動態(tài)調試通常是指使用動態(tài)調試器（如

OllyDbg

x64Dbg等），為可執(zhí)行程序設置斷點，通過監(jiān)測目標程序在斷點處的輸入輸出及運行狀態(tài)等信息，來反向推測程序的代碼結構、運行機制及處理流程等，進而發(fā)現(xiàn)目標程序中的設計缺陷或安全漏洞的一種分析方法。3）

Fuzzing技術Fuzzing技術，是一種基于黑盒（或灰盒）的測試技術，通過自動化生成并執(zhí)行大量的隨機測試用例來觸發(fā)軟件或系統(tǒng)異常，進而發(fā)現(xiàn)產(chǎn)品或協(xié)議的未知缺陷或漏洞。4）

補丁對比每一個安全補丁，都會對應一個或多個安全漏洞。通過對補丁文件的分析，往往可以還原出相應漏洞的原理或機制。而利用還原出來的漏洞，就可以對尚未打上相關補丁的軟件或系統(tǒng)實施有效攻擊。而補丁對比，是實戰(zhàn)環(huán)境下，補丁分析的一種常用的、有效的方式。補丁對比，是指對原始文件和補丁文件分別進行反匯編，然后對反匯編后的文件做比較找出其中的差異，從而發(fā)現(xiàn)潛在的漏洞的一種安全分析方法。5）

軟件逆向靜態(tài)分析在本文中，軟件逆向靜態(tài)分析，是指將對軟件程序實施逆向工程，之后對反編譯的源碼或二進制代碼文件進行分析，進而發(fā)現(xiàn)設計缺陷或安全漏洞的一種安全分析方法。對開放源代碼的程序，通過檢測程序中不符合安全規(guī)則的文件結構、命名規(guī)則、函數(shù)、堆棧指針等，就可以發(fā)現(xiàn)程序中存在的安全缺陷。被分析目標沒有附帶源程序時，就需要對程序進行逆向工程，獲取類似于源代碼的逆向工程代碼，然后再進行檢索和分析，也可以發(fā)現(xiàn)程序中的安全漏洞。這就是軟件逆向靜態(tài)分析。軟件逆向靜態(tài)分析，也叫反匯編掃描，由于采用了底層的匯編語言進行漏洞分析，在理論上可以發(fā)現(xiàn)所有計算機可運行的漏洞。對于不公開源代碼的程序來說，這種方法往往是最有效的發(fā)現(xiàn)安全漏洞的辦法。6）

系統(tǒng)安全機制分析操作系統(tǒng)的安全機制，就是指在操作系統(tǒng)中，利用某種技術、某些軟件來實施一個或多個安全服務的過程。主要包括標識與鑒別機制，訪問控制機制，最小特權管理機制，可信通路機制、安全審計機制，以及存儲保護、運行保護機制等。在本文中，系統(tǒng)安全機制分析能力，是指對操作系統(tǒng)的各種安全機制的進行分析，進而發(fā)現(xiàn)系統(tǒng)設計缺陷或安全漏洞的方法。（三）

身份隱藏為避免自己的真實

IP、物理位置、設備特征等信息在遠程入侵的過程中被網(wǎng)絡安全設備記錄，甚至被溯源追蹤，攻擊者一般都會利用各種方式來進行身份隱藏。在實戰(zhàn)攻防演習中，攻擊方所采用的身份隱藏技術主要有以下幾類：匿名網(wǎng)絡、盜取他人

ID/賬號、使用跳板機、他人身份冒用和利用代理服務器等。1）

匿名網(wǎng)絡匿名網(wǎng)絡泛指信息接受者無法對信息發(fā)送者進行身份定位與物理位置溯源，或溯源過程極其困難的通信網(wǎng)絡。這種網(wǎng)絡通常是在現(xiàn)有的互聯(lián)網(wǎng)環(huán)境下，通過使用特定的通信軟件組成的特殊虛擬網(wǎng)絡，從而實現(xiàn)發(fā)起者的身份隱藏。其中以

Tor網(wǎng)絡（洋蔥網(wǎng)絡）為代表的各類“暗網(wǎng)”是比較常用的匿名網(wǎng)絡。在本文中，白帽子的匿名網(wǎng)絡能力，是指白帽子能夠使用匿名網(wǎng)絡對目標機構發(fā)起攻擊，并有效隱藏自己身份或位置信息的能力。2）

盜取他人

ID/賬號盜取他人

ID/賬號，一方面可以使攻擊者獲取與

ID/賬號相關的系統(tǒng)權限，進而實施非法操作；另一方面也可以使攻擊者冒充

ID/賬號所有人的身份進行各種網(wǎng)絡操作，從而實現(xiàn)攻擊者自身身份隱藏的目的。不過，在實戰(zhàn)攻防演習中，通常不允許隨意盜取與目標機構完全無關人員的

ID/賬號，因此，在本文中，白帽子的盜取他人

ID/賬號能力，是指白帽子能夠盜取目標機構及其相關機構內部人員

ID/賬號，以實現(xiàn)有效攻擊和身份隱藏的能力。3）

使用跳板機使用跳板機，是指攻擊發(fā)起者并不直接對目標進行攻擊，而是利用中間主機作為跳板機，經(jīng)過預先設定的一系列路徑對目標進行攻擊的一種攻擊方法。使用跳板機的原因主要有兩個方面：一是受到內網(wǎng)安全規(guī)則的限制，目標機器可能直接不可達，必須經(jīng)過跳板機才能間接訪問；二是使用跳板機，攻擊者可以在一定程度上隱藏自己的身份，使系統(tǒng)中留下的操作記錄多為跳板機所為，從而增加防守方溯源分析的難度。在本文中，白帽子使用跳板機的能力，是指白帽子能夠入侵機構內部網(wǎng)絡，獲得某些主機控制權限，并以此為跳板，實現(xiàn)內網(wǎng)橫向移動的技術能力。4）

他人身份冒用他人身份冒用，是指通過技術手段對身份識別系統(tǒng)或安全分析人員進行欺騙，從而達到冒用他人身份實現(xiàn)登錄系統(tǒng)、執(zhí)行非法操作及投放惡意程序等攻擊行為。這里所說的他人身份冒用技術不包括前述的盜取他人

ID/賬號。在本文中，白帽子的他人身份冒用能力，是指白帽子能夠使用各種技術手段冒用他人身份，入侵特定系統(tǒng)的技術能力。5）

利用代理服務器代理服務器，是指專門為其他聯(lián)網(wǎng)設備提供互聯(lián)網(wǎng)訪問代理的服務器設備。在不使用代理服務器的情況下，聯(lián)網(wǎng)設備會直接與互聯(lián)網(wǎng)相連，并從運營商那里分配獲得全網(wǎng)唯一的

IP地址。而在使用代理服務器的情況下，聯(lián)網(wǎng)設備則是首先訪問代理服務器，再通過代理服務器訪問互聯(lián)網(wǎng)。代理服務器的設計，最初是為了解決局域網(wǎng)內用戶聯(lián)結互聯(lián)網(wǎng)的需求而提出的，局域網(wǎng)內所有的計算機都通過代理服務器與互聯(lián)網(wǎng)上的其他主機進行通信。對于被通信的主機或服務器來說，只能識別出代理服務器的地址，而無法識別事出局域網(wǎng)內哪一臺計算機與自己通信。在實戰(zhàn)攻防環(huán)境下，攻擊方使用代理服務器聯(lián)網(wǎng)，就可以在一定程度上隱藏自己的

IP地址和聯(lián)網(wǎng)身份，增加防守方的溯源難度和

IP封禁難度。在某些情況下，攻擊者甚至還會設置多級代理服務器，以此實現(xiàn)更加深度的身份隱藏。在本文中，白帽子的利用代理服務器能力，是指白帽子在攻擊過程中，能夠使用一級或多級代理服務器，從而實現(xiàn)身份隱藏的能力。（四）

內網(wǎng)滲透內網(wǎng)滲透，是指當攻擊方已經(jīng)完成邊界突破，成功入侵到政企機構內部網(wǎng)絡之后，在機構內部網(wǎng)絡中實施進一步滲透攻擊，逐層突破內部安全防護機制，擴大戰(zhàn)果或最終拿下目標系統(tǒng)的攻擊過程。在實戰(zhàn)攻防環(huán)境下，白帽子比較實用的內網(wǎng)滲透能力包括：工作組或域環(huán)境滲透、內網(wǎng)權限維持/提權、橫向移動、數(shù)據(jù)竊取和免殺等。1）

工作組、域環(huán)境滲透工作組和域環(huán)境都是機構內部網(wǎng)絡結構的基本概念。工作組通常是指一組相互聯(lián)結，具有共同業(yè)務或行為屬性的終端（計算機）集合。組內終端權限平等，沒有統(tǒng)一的管理員或管理設備。通常來說，工作組的安全能力上線就是每臺終端自身的安全能力。域環(huán)境，則是由域控服務器創(chuàng)建的，具有統(tǒng)一管理和安全策略的聯(lián)網(wǎng)終端的集合，域控服務器和域管理員賬號具有域內最高權限。通常來說，域環(huán)境的安全性要比工作組高很多，但如果域管理員賬號設置了弱口令，或域控服務器存在安全漏洞，也有可能導致域控服務器被攻擊者劫持，進而導致域內所有設備全部失陷。出于安全管理的需要，大型機構的內部網(wǎng)絡一般都會被劃分為若干個域環(huán)境，不同的域對應不同的業(yè)務和終端，執(zhí)行不同的網(wǎng)絡和安全管理策略。而在一些網(wǎng)絡管理相對比較松散的機構中，內網(wǎng)中也可能只有若干的工作組，而沒有域環(huán)境。在本文中，白帽子的工作組、域環(huán)境滲透能力，是指白帽子能夠掌握內網(wǎng)環(huán)境中，工作組或域環(huán)境的運行管理機制，能夠發(fā)現(xiàn)其中的設計缺陷或安全漏洞，并加以利用實施攻擊的能力。2）

橫向移動橫向移動，通常是指攻擊者攻破某臺內網(wǎng)終端/主機設備后,以此為基礎，對相同網(wǎng)絡環(huán)境中的其他設備發(fā)起的攻擊活動，但也常常被用來泛指攻擊者進入內網(wǎng)后的各種攻擊活動。在本文中，白帽子的橫向移動能力，是泛指以內網(wǎng)突破點為基礎，逐步擴大攻擊范圍，逐步攻破更多內網(wǎng)設備或辦公、業(yè)務系統(tǒng)的技術能力。3）

內網(wǎng)權限維持/提權攻擊者通常是以普通用戶的身份接入網(wǎng)絡系統(tǒng)或內網(wǎng)環(huán)境，要實現(xiàn)攻擊，往往還需要提升自身的系統(tǒng)權限，并且使自身獲得的高級系統(tǒng)權限能夠維持一定的時間，避免被系統(tǒng)或管理員降權。提升系統(tǒng)權限的操作簡稱提權，維持系統(tǒng)權限的操作簡稱權限維持。在實戰(zhàn)環(huán)境下，系統(tǒng)提權的主要方式包括：利用系統(tǒng)漏洞提權、利用應用漏洞提權、獲取密碼/認證提權等。在本文中，白帽子的內網(wǎng)權限維持/提權能力，是指白帽子在內網(wǎng)環(huán)境中，能夠利用各種安全設計缺陷或安全漏洞，提升自己的系統(tǒng)權限，以及維持提權有效性的技術能力。4）

數(shù)據(jù)竊取對機密或敏感數(shù)據(jù)的竊取，是實戰(zhàn)攻防演習工作中最常見的預設目標之一，也是黑客針對政企機構網(wǎng)絡攻擊活動的主要目的之一。一般來說，機構內部的很多辦公系統(tǒng)、業(yè)務系統(tǒng)、生產(chǎn)系統(tǒng)中，都會有專門的服務器或服務器集群用于存儲核心數(shù)據(jù)，數(shù)據(jù)服務器的防護一般也會比其他網(wǎng)絡設備更加嚴密一些。在本文中，白帽子的數(shù)據(jù)竊取能力，是指白帽子能夠熟練掌握服務器的數(shù)據(jù)庫操作，能夠在內網(wǎng)中找到機構的核心系統(tǒng)數(shù)據(jù)服務器，能夠獲取服務器訪問或管理權限，能夠在防守方不知情的情況下將數(shù)據(jù)竊取出來并秘密外傳的技術能力。5）

免殺免殺，英文為

Anti

Anti-Virus，是高級的網(wǎng)絡安全對抗方式，是各種能使木馬病毒程序免于被殺毒軟件查殺的技術的總稱，可以使攻擊者編寫的木馬病毒程序在目標主機上秘密運行，不被發(fā)現(xiàn)。免殺技術，不僅要求開發(fā)人員具備木馬病毒的編寫能力，同時還需要對各種主流安全軟件的運行框架、殺毒引擎的工作原理、操作系統(tǒng)的底層機制、應用程序的白利用方式等，有非常深入的了解，并能據(jù)此編寫對抗代碼。使用免殺技術，對于白帽的基礎能力要求非常之高。在本文中，白帽子的免殺技術能力，是指白帽子能夠編寫木馬病毒程序實現(xiàn)免殺的技術能力。通過使用第三方工具（如加密殼）在某些安全防護薄弱的環(huán)境下也能達到免殺目的，但這種基礎能力不屬于本文描述的免殺技術能力。（五）

高級安全工具高級安全工具同樣是白帽子的必修課，只不過這些工具對于使用者有更高的基礎技能要求，初學者不易掌握。在實戰(zhàn)化環(huán)境中，最為經(jīng)常被用到的工具包括：IDA、Ghidra、Binwalk、OllyDbg、Peachfuzzer等。1）

IDAIDA，是一個專業(yè)的反匯編工具，是安全滲透人員進行逆向安全測試的必備工具，具有靜態(tài)反匯編和逆向調試等功能，能夠幫助安全測試人員發(fā)現(xiàn)代碼級別的高危安全漏洞。2）

GhidraGhidra，是一款開源的跨平臺軟件逆向工具,目前支持的平臺有

Windows、macOS及

Linux，并提供了反匯編、匯編、反編譯等多種功能。Ghidra

P-Code是專為逆向工程設計的寄存器傳輸語言，能夠對許多不同的處理器進行建模。3）

BinwalkBinwalk，是一個文件掃描提取分析工具，可以用來識別文件內包含的內容和代碼。Binwalk不僅可以在標準格式本件中進行分析和提取，還能對非標準格式文件進行分析和提取，包括壓縮文件、二進制文件、經(jīng)過刪節(jié)的文件、經(jīng)過變形處理的文件、多種格式相融合的文件等。4）

OllyDbgOllyDbg，是一款強大的反匯編工具。它結合了動態(tài)調試與靜態(tài)分析等功能。是一個用戶模式調試器，可識別系統(tǒng)重復使用的函數(shù)，并能將其參數(shù)注釋。OllyDbg還可以調試多線程應用程序，從一個線程切換到另一個線程、掛起、恢復和終止，或改變它們的優(yōu)先級。5）

PeachfuzzerPeach

Fuzzer是一款智能模糊測試工具，廣泛用于發(fā)現(xiàn)軟件中的缺陷和漏洞。PeachFuzzer有兩種主要模式：基于生長的模糊測試和基于變異的模糊測試。（六）

編寫

PoC或

EXP等高級利用在前述“進階能力”中的“（三）編寫

PoC或

EXP等利用”中，我們已經(jīng)介紹了

PoC和EXP的概念，這里不再累述。相比于針對

Web應用和智能硬件/IoT設備編寫

PoC或

EXP，針對各種類型的操作系統(tǒng)和安全設備編寫

PoC或

EXP要更加困難，屬于高階能力。高階能力中，比較被關注的幾個操作系統(tǒng)和設備包括：Windows、Android、iOS、Linux、macOS、網(wǎng)絡安全設備。1）

Windows由微軟公司開發(fā)的個人電腦操作系統(tǒng)。在本文此處，Windows代指能夠在

Windows操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或EXP的能力。2）

Android由

Google公司和開放手機聯(lián)盟領導及開發(fā)的操作系統(tǒng)，主要使用于移動設備，如智能手機和平板電腦。在本文中，Android

代指能夠在

Android

操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC

或EXP的能力。3）

iOS由蘋果公司開發(fā)的移動操作系統(tǒng)，主要使用于

iPhone、iPodtouch、iPad上。在本文中，iOS

代指能夠在

iOS

操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC

或

EXP

的能力。4）

Linux主要使用于服務器的操作系統(tǒng)，

Ubnutu、CentOS等均屬基于

Linux內核基礎上開發(fā)的操作系統(tǒng)。在本文中，Linux代指能夠在

Linux操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或

EXP的能力。5）

macOS由蘋果公司開發(fā)的操作系統(tǒng)，主要運用于

Macintosh

系列計算機。macOS

的架構與Windows不同，很多針對

Windows的計算機病毒在

macOS上都無法攻擊成功。在本文中，macOS代指能夠在

macOS操作系統(tǒng)上找到漏洞并利用漏洞編寫

PoC或

EXP的能力。6）

網(wǎng)絡安全設備在實戰(zhàn)化環(huán)境中，經(jīng)常會遇到的網(wǎng)絡安全設備包括

IP協(xié)議密碼機、安全路由器、線路密碼機、防火墻、安全服務器、公開密鑰基礎設施（PKI)系統(tǒng)、授權證書（CA)系統(tǒng)、安全操作系統(tǒng)、防病毒軟件、網(wǎng)絡/系統(tǒng)掃描系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡安全預警與審計系統(tǒng)等。網(wǎng)絡安全設備本身也會存在各種各樣的安全漏洞，在近年來的實戰(zhàn)攻防演習中，受到越來越多的重視和利用。在本文中，網(wǎng)絡安全設備代指能夠在各類網(wǎng)絡安全設備中找到漏洞并利用漏洞編寫

PoC或

EXP的能力。（七）

掌握

CPU指令集CPU指令集，即

CPU中用來計算和控制計算機系統(tǒng)的一套指令的集合。每一種不同的

CPU在設計時都會有一系列與其他硬件電路相配合的指令系統(tǒng)。指令系統(tǒng)包括指令格式、尋址方式和數(shù)據(jù)形式。一臺計算機的指令系統(tǒng)反應了該計算機的全部功能。機器類型不同，其指令集也不同。而白帽子對

CPU指令集的掌握程度，將直接決定白帽子進行系統(tǒng)層漏洞挖掘與利用的能力水平。本文指掌握不同架構下的底層程序分析。目前，最為常見的

CPU指令集包括

x86、MIPS、ARM和

PowerPC。1）

x86x86一般指

Intelx86。x86指令集是

Intel為其

CPU專門開發(fā)的指令集合。通過分析

x86

指令集可以找到

intel

下相關軟件或系統(tǒng)的運行機制，從而通過指令實現(xiàn)底層攻擊。2）

MIPSMIPS（Microcomputer

without

Interlocked

Pipeline

Stages）的含義是無互鎖流水級微處理器，該技術是

MIPS公司（著名芯片設計公司，）設計開發(fā)的一系列精簡的指令系統(tǒng)計算結構，最早是在

80

年代初期由斯坦福(Stanford)大學

Hennessy

教授領導的研究小組研制出來的。由于其授權費用低，因此被

Intel外的大多數(shù)廠商使用。通過分析

MIPS指令集可以找到除

Intel外大多廠商（多見于工作站領域）的軟件或系統(tǒng)運行機制，從而通過指令實現(xiàn)底層攻擊。3）

ARMARM（Advanced

RISC

Machines），即

ARM處理器,是英國

Acorn公司設計的，低功耗的第一款

RISC（ReducedInstructionSetComputer，精簡指令集計算機）微處理器。在本文中，ARM

指

ARM指令集。ARM指令集是指計算機

ARM操作指令系統(tǒng)。ARM指令集可以分為跳轉指令、數(shù)據(jù)處理指令、程序狀態(tài)寄存器處理指令、加載/存儲指令、協(xié)處理器指令和異常產(chǎn)生指令六大類。4）

PowerPCPowerPC（PerformanceOptimizationWith

Enhanced

RISC-Performance

Computing）是一種精簡指令集架構的中央處理器，其基本的設計源自

IBM的

POWER架構。POWER是

1991年，Apple、IBM、Motorola組成的

AIM聯(lián)盟所發(fā)展出的微處理器架構。PowerPC

處理器有廣泛的實現(xiàn)范圍，包括從高端服務器

CPU（如

Power4）

到嵌入式

CPU

市場（如任天堂游戲機）。但蘋果公司自

2005年起，旗下計算機產(chǎn)品轉用

IntelCPU。（八）

團隊協(xié)作隨著實戰(zhàn)攻防演習實踐的不斷深入，防守方的整體能力持續(xù)提升。這就使得白帽子單憑強大的個人能力單打獨斗取得勝利的希望越來越小。而由

3~5人組成的攻擊小隊，通過分工協(xié)作的方式高效完成攻擊行動的模式已經(jīng)越來越成熟。而對于白帽子來說，是否擁有團隊協(xié)作的作戰(zhàn)經(jīng)驗，在團隊中扮演什么樣的角色，也是白帽子實戰(zhàn)化能力的重要指標。團隊作戰(zhàn)，成功的關鍵的是協(xié)作與配合。通常來說，每只攻擊隊的成員都會有非常明確的分工和角色。在實戰(zhàn)攻防演習實踐中，攻擊隊比較常見的角色分工主要有

6種，分別是：行動總指揮、情報收集人員、武器裝備制造人員、打點實施人員、社工釣魚人員和內網(wǎng)滲透人員。1）

行動總指揮通常是攻擊隊中綜合能力最強的人，需要有較強的組織意識、應變能力和豐富的實戰(zhàn)經(jīng)驗，負責策略制定、任務分發(fā)、進度把控等。2）

情報收集人員負責情報偵察和信息收集，收集內容包括但不限于：目標系統(tǒng)的組織架構、IT資產(chǎn)、敏感信息泄露、供應商信息等。3）

武器裝備制造人員負責漏洞挖掘及工具編寫，是攻擊隊的核心戰(zhàn)斗力量，不僅要能找到漏洞并利用漏洞，還要力求在不同環(huán)境下達到穩(wěn)定、深入的漏洞利用。4）

打點實施人員負責獲