记2021全国hvv演练的点点滴滴
关于国家hvv的基本规则
一、前言
2021年的全国hvv演练比以往来的稍微早了一些,由于网络安全在国家战略层面的显著提升,各类网安行动如火如荼,一股强烈的网安之风吹遍了整个中华大地。全国演练活动已经开展了几次,相比于往年来说,整个网络安全环境带来了显著提升和优化,这就意味着演练目标变的越来越难打。
本人有幸代表公安厅参与了此次2021年全国攻防演练的活动,此次活动历经18天左右,在公安部的严密部署下紧张有序的进行着。本人也是首次参加此类规模的攻防演练活动,整个参演团队也都第一次。大家的经验都不是太丰富,其次大家也都是抱着体验,交流,成长的目的来参与此次的攻防演练活动的。但是在最终成绩这一块还是比较满意。整个过程还是比较紧张刺激且富有挑战性的,这里想着花点时间详细整理一下此次攻防过程中的典型细节以及相关感悟,这边主要偏向于一些思路的展开讲解,不过多纠结于技术细节。对于许多的大佬来说,技术其实都是常见技术点,并没有太多的花头。而且就我此次的演练感悟来看,思路是决定最终成绩好坏的最关键因素。就想最终的APT攻击一样,最大程度上利用的人性本身的弱点。在此次的攻防演练中,也是如此。这边本人已将相应的敏感信息进行脱敏处理,并且不进行广泛传播。
二、过程
1 评分机制
国家级攻防演练和省地市演练有所不同,主要收录和参与评分的漏洞主要为系统级权限漏洞,对于一般性不可利用的低危漏洞并不参与计分处理。并且可对内网资产进行渗透。涉及的相关评分机制主要如下:
| 类型 | 评分 | 备注 |
|---|---|---|
| 参演单位域名控制权限 | 一级100、二级50 | 单个参演单位得分上限500 |
| 获取pc、移动端权限 | pc:20/台、移动端:50/台 | 得分上线500、且pc权限必须为system、root |
| 获取邮箱权限 | 邮箱账号口令:20、系统管理员权限:500-1000 | |
| 办公自动化系统权限 | 200-500 | OA、即时通讯、项目管理、财务系统管理员权限 |
| 身份、账户管理平台权限(SSO、4A) | 系统管理权限300、能登陆的系统100 | |
| 域控系统权限 | 管理员200、域内可控服务器10/台 | 上限4000 |
| 堡垒机、运维机权限 | 管理员200、托管的服务器10/台 | 上限4000 |
| 获取大数据系统权限 | 根据数据量和重要程度给分,上限3000 | |
| 获取数据库连接账号密码 | 普通50、管理员100 | 上限1000 |
| 获取网络设备权限 | 网络等级给分,大型300 | 需提供路由表及连接量上限2000 |
| 获取工业互联网系统权限 | 指挥部研判给分 | |
| 物联网设备管控平台权限 | 控制功能的平台200、连接数5/台 | 上限1000 |
| 安全设备权限 | 普通50、管理员200 | ids、审计、waf上限1000 |
| 一般web应用、ftp权限 | 普通20、管理员100 | |
| 获取服务器主权限 | 普通50、管理员100 | |
| 突破网络边界 | 上限8000 | |
| 进入逻辑隔离业务内网 | 1000 | 需提供防火墙vpn网络设备控制截图 |
| 核心生产网 | 10000 | 铁路调度、银行核心、电力生产等 |
| 发现已植入webshell木马、主机木马 | 100-500 | |
| 发现黑客破解登录主机系统 | 100-500 | |
| 发现主机异常新增账号 | 100-500 | |
| 发现隐蔽控制通道 | 100-500 | |
| 提交0day或未被正式公开N-day | 0-10000 |
2 报告审核
提交报告时,有专门的虚拟化软件平台,在此平台内进行报告提交。提交报告不仅要包含完整的攻击文档,且须对整个完整的攻击利用链进行梳理,形成完整的攻击流程图,且对获取的对应资产数量及权限进行逐一填写。反正整个报告的提交流程较为复杂。
3 资产靶标
提供的资产靶标主要为内网资产,且我们获取的资产系统主要为国家级政府门户网站及其内网核心系统。
靶标不会提供具体的ip地址以及对应的url,需要在互联网收集对应靶标的系统入口及可能互联的系统环境及其网站。这样就会
记2021全国hvv演练的点点滴滴
http://www.greetdawn.top/2021/04/25/渗透测试/hvv/2021-hvv-country/
