devbox
Monodyee
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

攻防演练2021纪实与总结_攻防演练蓝队日报

作者:Monodyee | 2024-04-22 08:35:31

攻防演练蓝队日报

本文所写内容均为授权测试,且已过滤掉敏感信息,讨论网络安全对抗中的一些点

经历

2020年在蓝队,银行系某单位负责某厂商设备的监控
2021年在红队,秉承着银行证券电力和各种有钱的单位不打的原则筛目标

碎碎念

不管对于蓝方还是红方,资产梳理都十分重要,资产梳理对蓝方来说可以快速的定位到发生问题的位置,及时响应,对红方有助于理解蓝方的组织结构,网络结构,找到关键点

蓝队

监控面临的很大的问题就是日志太多,通过前几天看设备日志的经验,基本确定了一些固定的误报和恶意的payload尝试,于是写了个外挂脚本不断刷日志,联动其他设备封禁确有恶意尝试的ip。这样过滤以后需要肉眼去判断的攻击日志就非常的少了。

溯源的话,基本是没有经验的,一开始我觉得溯源会非常难,但是学长讲了一个故事就是有人用搭着自己博客的机器去做攻击,那这就非常白给了。其实想了想,蓝队溯源难很正常,要是随便溯源那不是分分钟加老多分了,类比于红队外网打点,要是随便都能打,那不是分分钟打穿。

红队

总会有很人多说红队更像是APT,隐蔽性强,但是真正在攻防演练的时候,那么短的时间(两周)还要尽可能高的拿分,实际上是到不了APT的程度的,攻击行为扫描行为等等密集程度还是很高的,很多时候都是有了口子以后大刀阔斧的探测内网

案例

主要案例就是测试某国家单位
路线大概是:

  1. 通过某直属单位的OA系统,一个致远OA,1day没有补,权限绕过+后台任意文件上传拿了root的shell。完全是已知漏洞不及时修补
  2. 然后通过数据库配置文件,拿到OA的mysql数据库的用户名密码
  3. 内网扫了一下有一些ssh和mysql的弱口令,还有redis的未授权,利用redis的未授权RCE拿了redis服务器的root。一般来说内网都是比较脆弱的,会存在各种漏洞弱口令等等
  4. 利用永恒之蓝打下一个windows主机,其他的都装了360。360还是比较管用的,不管是执行恶意命令还是查杀木马都挺强的,但是不代表没有过360的方法
  5. 利用CVE-2021-21972获取到一个vcenter的权限,然后dumphash管理员密码,同密码登录上另一台vcenter。内网已知漏洞不修补
  6. 通过数据库的弱口令,找到了实际由该正部级单位控制的一家科技公司,专门为该单位做运维的,这家公司的工单系统的数据库,里面的密码是base64编码的,然后用密码撞库装了几个邮箱。数据库里存密码强度强一点啊,起码一次md5吧,存base64是几个意思啊,用编码代替加密/hash吗?
  7. 从最初的OA数据库拿到了另一个直属单位的VPN权限,和内网一些机器的权限,用同密码扫描,在这家直属单位中拿到了80台左右同口令linux和10台左右的windows服务器,其中有一台windows装了天擎管理端,通过直接加用户获得天擎管理权限。敏感账号口令不要通过会存储在数据库的地方传递

总结一下就是该单位的总局业务系统和网站群互联网暴露面很少,但是直属单位和自己信息中心的运维单位做的还是不太行。
一旦在内网有了立足之地,如何探索内网的结构,也很重要,本次演练我们都是瞎摸的,通常的以外的发现有B段啊和其他的网段等等。不成体系化的探索。

红队整体流程

环境搭建

  • 虚拟机
  • 浏览器
  • 不要登录自己的账号

信息收集

  1. 收集域名信息(主站,直属单位,全资控股,实际控制人,企查查天眼查,招标中标采购信息)
  2. 使用OneForAllFOFA等收集子域信息
  3. 识别可疑的C段,title,再次进行搜索
    搜索引擎:FOFA(识别网站的icon,网站title),SHODANZoomEye
    识别cms:云悉指纹
  4. 查邮箱关键字,搜开发者信息,github,gitee,本次演练打一家供应商,代码全在gitee上,啥都有。。直接进内网。。

扫描 - 常用的端口

扫描 - 常用的工具,速度和精度不可兼得

  1. masscan误报太多了
  2. fscan目前在用,尚可,主要是内网太大,一般也不知道有啥遗漏,不过加载字典爆破的功能上确有遗漏
  3. kscan
  4. nmap有点慢,但是服务识别还是很好用的,一般都是需要识别服务的时候会用nmap
  5. xray功能方面主要扫描安全漏洞了
  6. linglong甲方资产巡航扫描
  7. Ladon没用过,看介绍功能非常多
  8. Goby最近很火,没用过
  9. xunfeng不咋更新了

扫描的一些问题

  • 是否可以带uri访问资源,尤其是自定义的uri
  • 是否可以带host访问http服务,来判断对应的域名是否在这个ip上

打就完事了

  1. 及时更新的漏洞信息:
    PeiQi文库,漏洞更新复现确实比较及时
    安全WIKI
    Sec-News
    漏洞一定要
  2. 弱口令字典
    常见的ssh弱口令,mysql弱口令,web管理弱口令
    通过特定信息生成的弱口令字典(这次hvv遇到一家单位叫abc,密码基本上都是Abc.123,Abc.mysql,Abcqwe123!@#)
  3. 已知漏洞的检测和利用工具,网上的不一定写的很好,一定要自己测一下,比如struts2的之类的等等,漏洞一定要自己整理一遍!!
  4. 0day(没有,再见)

个人仍需要学习的东西

javaweb相关的都不咋懂:
反序列化,javaweb的目录结构,配置文件,配置内容,启动方式,struts2,shiro,ruoyi

go交叉编译工具https://github.com/mitchellh/gox,对比xgo怎么样?

参考

HW 红队手册

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Monodyee/article/detail/467722
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号