网络攻防
网络攻防
official::Vulhub - Docker-Compose file for vulnerability environment
一、 应急响应
1 事件
事件级别:
- 特别重大事件:红色预警、一级响应
- 重大事件:橙色预警、二级响应
- 较大事件:黄色预警、三级响应
- 一般事件:蓝色预警、四级响应
事件类型:
- 应用安全:Webshell、网页篡改、网页挂马等
- 系统安全:勒索病毒、挖矿木马、远控后门等
- 网络安全:DDoS安全、ARP攻击、流量劫持等
- 数据安全:数据泄露、损坏、加密等
2 响应
如何应急响应:
- 确定攻击时间:能够帮助我们缩小应急响应范围,有助于提高效率
- 查找攻击线索:能够让我们知道攻击者做了什么事情
- 梳理攻击流程:还原整个攻击场景
- 实施解决方案:修复漏洞,切断攻击途径
- 定位攻击者:溯源取证
应急响应模型(RDCERF):
- 准备阶段(Preparation)
- 应急团队建设
- 应急方案制定
- 渗透测试评估
- 安全基线检查
- 检测阶段(Detection)
- 判断事件类型
- 判断事件级别
- 确定应急方案
- 抑制阶段(Containment)
- 限制攻击/破坏波及的范围,同时也是在降低潜在的损失
- 阻断:IP地址、网络连接、危险主机…
- 关闭:可疑进程、可疑服务….
- 删除:违规账号、危险文件…
- 根除阶段(Eradication)
- 通过事件分析找出根源并彻底根除,以避免被再次利用
- 增强:安全策略、全网监控…
- 修复:应用漏洞、系统漏洞、补丁更新….
- 还原:操作系统、业务系统…
- 恢复阶段(Recovery)
- 把被破环的信息彻底还原到正常运作的状态
- 恢复业务系统
- 恢复用户数据
- 恢复网络通信
- 总结阶段(Follow-up)
- 回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生
- 事件会议总结
- 响应报告输出
- 响应工作优化
内部团队:
- 监控组:利用备类系统监控、查看监控系统日志、对应用/系统/网络/数据安全检测
- 响应组:应用组、系统组、设备组
- 研判组:溯源分析、专家组
- 文档组:应急响应方案制定、事件报告输出、经验总结输出
外部团队:
- 合作单位:安全厂商、安全服务团队
- 监管单位:网信办、公安部
3 安全产品
安全产品:
- 美国分类9类∶鉴别、访问控制、入侵检测、防火墙、公钥基础攻施、芯忌在予哼队、期洞扫描、取证、介质清理或擦除
- 中国公安部7类∶操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别
产品用途分类∶
- 安全网关类:防火墙、UTM、网闸、抗DDos墙、VPN、上网行为管理
- 评估工具类:漏扫系统、网络分析系统
- 威胁管理︰入侵监测系统(IDS)、入侵防御系统(IPS)、WAF
- 应用监管类∶堡垒机、审计系统、终端安全管理系统、安全运维平台(SoC)
- 安全加密类︰加密机、三合一。
4 入侵排查
- 系统排查
- 进程排查
- 服务排查
- 文件痕迹排查
- 日志分析
- 内存分析
- 流量分析
- 威胁情报
5 日志分析
Elasticsearch + Kibana
二、信息收集
1 基础知识
总体信息收集:
- 打点-web架构:语言中间件数据库&系统等
- 打点-web源码:CMS开源&闭源售卖&自主研发等
- 打点-web源码获取:池露安全&资源监控&其他等
- 打点-web域名:子域名&相似域名&反查域名&旁注等
详细收集:
- 获取网络信息:
- 服务厂商:是本地搭建还是云搭建,有什么特点。
- 网络架构:IP映射情况。
- 获取服务信息:应用协议&内网资产
- 获取阻碍信息:CDN&WAF&负载&防火墙
IP映射:内网IP映射到一个外网IP。导致可能虽然已知内网是用80端口提供的WEB服务,但是在扫描时却扫描不到端口是开放的状态,原因就是因为内网IP映射到了外网IP,外网端口未打开。
信息点:基础信息,系统信息,应用信息,防护信息,人员信息,其他信息等。
技术点:CMS识别。端口扫描,CDN绕过,源码获取,子域名查询,WAF识别,负载均衡识别等。
2 web架构和源码
观察网站的:操作系统、中间件、脚本语言、数据库(扫端口)、源码框架等。
简单判断操作系统:
- 改文件后缀为大写(windows大小写不敏感linux敏感)
- ping ip(TTL值不一样,windows NT/2000:128,linux:64,ping命令返回的TTL值判断操作系统)
简单查找源码:
- 常见框架源码可以直接搜索。
- 不常见源码可以在不常见的地方搜索,比如约会APP源码,可以用fofa引擎搜索”约会源码“或者在互站网等地方搜索”约会源码“。
- 常见的Web源码泄漏漏洞及其利用 - SecPulse.COM | 安全脉搏
简单查看其他域名(案例:
www.jmlsd.com):
- 变动jmlsd,变成jmlsd123,jmlsd888等
- 变动com,变成net,cn,org,top等
- 直接上网查
www.jmlsd.com域名是否被注册
3 端口渗透
SSH:
22号端口,用于远程安全连接。
SSH最常见的用途是远程登录系统,人们通常利用SSH来传输命令行界面和远程执行命令。SSH使用频率最高的场合是类Unix系统,但是Windows操作系统也能有限度地使用SSH。
爆破SSH:先用nmap扫描端口,再用hydra用用户名和密码进行爆破。
rdp:
- 3389端口,用于远程桌面连接服务。
4 CDN绕过
CDN测试网址,通过看响应IP得知服务器是否有CDN服务:多线路ping,在线网站CDN检测工具
网络访问:
- 传统访问:用户访问域名->解析服务器IP->访问目标主机
- 普通CDN:用户访问域名->CDN节点->真实服务器IP->访问目标主机
- 带WAF的CDN:用户访问域名->CDN节点(WAF)->真实服务器IP->访问目标主机
CDN配置:
- 加速域名-需要启用加速的域名配置
- 加速区域-需要启用加速的地区配置
- 加速类型-需要启用加速的资源
寻找方法:
获得IP网站或工具:
国外直接获得真实IP:http://get-site-ip.com/
找到真实IP后,可以直接在文件中绑定对应的IP,下次测试时就是直接访问对方的真实IP而不是CDN:
- Windows:
C:\Windows\System32\drivers\etc\hosts- linux:
/etc/hosts
5 APP信息收集
外在抓包:
- Fd&茶杯&Burpsuite
- 封包监听工具
内在提取(源码):
- AppInfoScanner:official::下载AppInfoScanner
- 反编译导入IDEA
壳:
- 查壳:查壳ApkScan:Android Spider ApkScan-PKID 查壳工具下载使用
- 提取资源(带壳无法提取):Apk资源提取器
- 修改数据包:安卓修改大师破解版
6 暗黑搜索引擎
搜索引擎:
- FOFA:FOFA网络空间测绘系统,wgpsec/fofa_viewer
- 360Quake:360网络空间测绘 — 因为看见,所以安全
- shodan:Shodan Search Engine
- Zoomeye:ZoomEye(“钟馗之眼”)
集成工具(集成上述搜索引擎):
- 集成FOFA和360Quake:official::Finger (github.com)
- 集成下列四个(效果一般):official::Glass (github.com)
自动化信息收集工具:
三、网站漏洞
1 攻防工具
综合攻防工具:guchangan1/All-Defense-Tool: (github.com)
原来的0day漏洞:helloexp/0day: 各种CMS、各种平台、各种系统、各种软件漏洞的EXP、POC ,该项目将持续更新 (github.com)
