这几天来参加几个攻防演练，加今年各种溯源手段层出不穷，踩了一些坑。写上了一些自己的思考与大家共勉。

一切的大前提：使用虚拟机进行渗透测试，使用win10英文版+英文版浏览器+打上全补丁

工作机

1.挂上全局代理之后才能开展渗透测试。配置代理软件掉线禁用网卡、个人匿名vps socks。

2.注销所有一切浏览器登录会话

3.虚拟机不能装网盘、聊天软件、VPN、office等软件，不留任何敏感信息在虚拟机里面，定期做好恢复快照。

4.浏览器关闭自动填充功能。

渗透测试

1.渗透时网上下载的目标单位一切文件先放到另外一个“不出网的虚拟机”进行分析研判是否存在后门。

2.需要手机验证码注册使用的。使用网上的短信验证码接口注册，一定不能使用自己的个人手机号注册。

3.在测试微信公众号需要关注才能使用功能，尽量使用匿名微信关注后测试及在测试后取消关注。以免泄漏个人微信信息。

4.不使用默认冰蝎，使用去特征版冰蝎。蚁剑连接时必须更改aes等编码。

5.webshell上传后必须修改时间，与网站文件创建时间一致。

个人敏感信息自查

1.互联网不留存真实的个人信息，比如脉脉、陌陌、探探、微博等社交软件

2.个人博客使用匿名身份证注册、匿名邮箱。vps放在国外。

网络选择

1.不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透、不允许使用公司出口网络进行渗透。

2.除监管单位要求，平时渗透不允许使用与公司相关网络进行渗透测试。

3.不允许使用公司无线进行渗透，如guest等等与公司有关的无线网络。

4.使用物联网卡无线网络进行渗透。

蜜罐判断

1.时刻谨记自己是否被爬入蜜罐。

2.github信息手机注意project更新节点，会有误导踩入蜜罐。

钓鱼及后门

1.钓鱼邮件直接发马的话，需要改程序图标、执行后释放正常文件，删除恶意文件。

2.Cobalt Strike一定要用CDN流量上线。通道与控制分离化

3.后门程序防被分析策略，执行需要加参数才能执行，参数不对(直接点击）或直接点击打开自动删除。避免上传到云能直接被分析及防守方人员逆向分析。

4.Cobalt Strike后门上线后，作为控制通道设置time.sleep大于500秒

5.工具去指纹及去个人信息，编程机器pdb调试信息不要带入个人 ID

内网渗透

1.本地工具尽量不能上传到服务器，工具必须去特征化。尽量使用在本地使用代理渗透。

2.frp等代理通道的socks5-----代理端口和账号密码随机化

3.内网工具命令行化---端口扫描、弱口令扫描

4.关于内网扫描，不能上传railgun、routerscan上传到服务器。

5.ms17010使用前必须摸清网络架构、安全设备、防守方情况后，在根据不同场景使用。

6.上传的后门通道改名，比如svchost.exe/putty.exe/mysql.exe等，使用后删除。

7.内网比较大的情况下，尽量在10、172、192不同的段内建立通道。

8.登陆3389不建议添加用户，建议激活guest。如若必须加账户，添加内网用户相关性的即可，避免出现产商词汇，如qax，anheng、alibaba等词汇

9.渗透当天结束后一定要清理后门及业务系统日志及系统日志。