上周，我参某金融行业内部的渗透测试红蓝对抗，攻防过程整体两个字很困难，全部的资产都看了一次，并没有fastjson、shiro、weblogic，很难尝试钓鱼攻击，钓鱼邮件发送后几分钟全公司发出通知，攻防过程中，同事被防守方不幸追踪。由于敏感，全文并没有任何照片。以下是整个过程的总结和一些技巧。

整理0x01资产。

子域名收集(根据给出的域名收集子域名，因为主站的基本防护很严格，所以我们一般选择从子站进入)c段(域名对应IP的c段，c段可能不属于目标资产，重点整理拥有资产)端口识别(根据目标站点开放的端口可以使用的利用点)指纹识别(中间版本，根据已知的中间版本可以使用的已知漏洞)边缘资产收集(目标资产手机号码、用户名、邮箱账户的收集。

渗透测试攻防对抗。根据网站的功能点，网络脆弱性:文件上传(自己进行网络的免杀处理，首先上传不是木马的文件，可以判断能否分析文件)SQL注入(需要绕过WAF)的中间零件脆弱性(shiro、网络、fastjson等已知的中间零件脆弱性)的框架脆弱性(根据已知框架的版本尝试)XSS(尝试cookie，成功率低)的源代码泄漏(概率低)

网站逻辑漏洞，验证码劫持，邮件轰炸，登录口(根据返回信息，通过用户，用于后面的弱密码爆破)钓鱼邮箱的收集(根据目标企业的名称，可以通过脉络搜索企业名称，获得企业员工的名称，然后根据获得的名称制作字典(例如李明，他的账户可能是wangqiang、wangq、wq等)钓鱼平台的构建(需要vps，其次购买域名(根据目标域名选择购买)、域名后缀(与目标域名不太相同，达到迷惑的效果)，分析目标系统的邮件结构，发送信件)。