红队实战笔记：如何用Eeyes+棱洞快速定位目标核心内网段

红队资产测绘实战：从CDN迷雾到核心C段的精准定位

在攻防演练和渗透测试中，红队常面临一个经典难题：当目标部署了CDN等防护措施后，如何从海量域名中快速筛选出真实IP并定位核心内网段？这就像在迷雾中寻找隐藏的路径，需要合适的工具组合与系统化的分析思路。

1. 资产测绘的技术挑战与解决思路

现代企业IT架构日益复杂，CDN、云WAF、负载均衡等技术的普及使得传统基于IP的资产识别方法效率大幅降低。根据实际攻防数据统计，超过80%的企业级目标会使用至少一种IP隐藏技术。这种情况下，红队操作需要解决三个核心问题：

1. 真实IP的甄别：区分CDN节点与源站服务器
2. C段价值的评估：判断哪些IP段可能包含管理后台或关键系统
3. 工具链的协同：不同工具间的数据流转与结果交叉验证

以某次真实攻防为例，当我们获得200+目标域名时，手动验证每个域名的解析记录将消耗大量时间。而自动化工具可以在30分钟内完成以下工作流程：

域名收集 → CDN识别 → 真实IP提取 → C段归类 → 服务探测 → 价值评估

2. 工具链组合实战：从域名到C段的高效映射

2.1 域名预处理与CDN识别

优质的目标列表是成功的基础。建议按以下标准准备输入文件：

• 每行一个完整域名（如www.example.com）
• 去除重复项和明显无效域名
• 按业务重要性分级标记（可使用#注释）

执行基础扫描的命令示例：

./Eeyes -l targets.txt -log scan_202308.log

典型输出结果会包含以下关键信息：

注意：实际环境中约60%-70%的域名会返回CDN节点，需要重点关注未受保护的直接暴露IP

2.2 C段资产的价值评估方法

获得原始C段列表后，需要建立优先级评估体系。以下特征通常表明更高的战略价值：

• 端口特征：

  • 8443（常见管理后台）
  • 3389（远程桌面）
  • 22/SSH（服务器管理）

• 服务指纹：

  • 出现Apache Tomcat、Jenkins等管理界面
  • 识别到OA系统、VPN门户等关键业务

• 历史关联：

  • 同一C段曾暴露过重要系统
  • 属于已知的核心业务IP范围

通过棱洞进行快速服务验证的命令示例：

./lengdong -i 192.168.1.0/24 -p top100 -t 50 -o result.json

3. 实战中的进阶技巧与避坑指南

3.1 CDN绕过的高级检测方法

除常规解析检测外，还可尝试以下技术交叉验证：

1. 历史DNS记录查询：

   • 通过SecurityTrails等平台获取历史A记录
   • 检查域名备案信息中的IP线索

2. SSL证书关联：

   • 提取证书中的组织名称与IP关联
   • 对比不同域名的证书指纹

3. 全球节点探测：

   • 利用不同地理位置的解析结果差异
   • 通过DNS泛解析测试识别真实IP

3.2 结果验证的黄金法则

为避免误报导致的战术失误，建议建立三级验证机制：

1. 基础验证：HTTP响应头中的Server字段比对
2. 内容验证：关键页面的HTML特征匹配
3. 行为验证：测试敏感接口的响应模式

常见误判案例包括：

• 云服务商的泛解析IP
• 旧业务遗留的废弃服务器
• 第三方服务集成用的中转节点

4. 企业级目标的战术演进

面对大型企业目标时，需要采用更系统的测绘策略：

4.1 资产关联图谱构建

通过以下维度建立目标资产关系网：

• 域名注册信息（Whois）
• SSL证书共用情况
• JS文件引用路径
• API接口调用关系

4.2 持续监控机制

建立自动化监控流程：

1. 每日增量扫描新发现域名
2. 定期验证关键C段变化
3. 设置告警规则（如新开放高危端口）

# 定时任务示例 0 2 * * * /opt/tools/Eeyes -l new_domains.txt -log daily_scan.log

4.3 红蓝对抗中的反制措施

需注意目标可能部署的防御手段：

• 蜜罐系统的识别特征
• 流量分析设备的检测阈值
• 请求频率限制的规避方法

在最近一次金融行业攻防中，通过组合使用这些技术，我们成功从300+域名中定位到4个核心C段，其中包含未授权访问的运维系统，成为突破内网的关键入口。整个过程最耗时的不是工具运行，而是对结果的交叉验证和误报排除，这需要结合丰富的实战经验进行判断。