day1 HVV 蓝队防守笔记 风雨很大

admin 2022年7月26日08:47:40评论179 views字数 4006阅读13分21秒阅读模式

作者:@oldhand

月下独酌

唐·李白

花间一壶酒,独酌无相亲。

举杯邀明月,对影成三人。

月既不解饮,影徒随我身。

暂伴月将影,行乐须及春。

我歌月徘徊,我舞影零乱。

醒时同交欢,醉后各分散。

永结无情游,相期邈云汉。

day1 HVV 蓝队防守笔记  风雨很大

今天早上,早早的起来支援前场一线的兄弟们,没有太多时间整理和总结,简单把问题弄了一些。按照我打红队攻击经验。一般早上红队拿到目标清单,就是各种扫描和确认资产信息。重点抓手里有0day相关资产,先撕开口子再说,所以这方面2个互联网大厂比较有优势。很多时候想为啥华为不出攻击队来搞搞,他们见到的0day肯定很多。哈哈 ,反而阿里和腾讯这方面比较高调,拿着0day横扫天下。

大概下午2点左右,有消息称集权设备某服公司VPN被打掉。哈哈,都是水文,听听而已。截取部分给上帝们看看。乐乐就行了,专心防守。

day1 HVV 蓝队防守笔记  风雨很大


问题区 & Todolist

  • 🔲1:组织不清晰

  • 🔲2:每人不知道自己干啥事

  • 🔲3:对设备使用功能不知道

  • 🔲4:派驻的人员能力很差,基本上都是初学者

  • 🔲5:没有做预演习,也没有做过渗透

  • 🔲6:自身资产未理清楚过

一、红队攻击重点

一份好的上帝视图很重要,可以俯视红队攻击方式。

day1 HVV 蓝队防守笔记  风雨很大

二、红队漏洞渗透突破点

根据全网发布消息,我自己采集了一些给大家。哈哈这么多漏洞,我们蓝队防守处于绝对的劣势。我们唯一要做就是见招拆招。

漏洞名

公开时间

是否为有效漏洞

泛微云桥e-Bridge存在SQL注入漏洞                                    

2022/7/11

有效漏洞

Apache Commons远程代码执行漏洞(CVE-2022-33980)

2022/7/7

有效漏洞

GitLab远程代码执行漏洞(CVE-2022-2185)

2022/7/1

有效漏洞

泛微OA存在SQL注入漏洞(CNVD-2022-43843)

2022/6/30

有效漏洞

通达OA存在代码执行漏洞

2020/8/20

历史漏洞

用友U8-OA企业版存在SQL注入漏洞(CNVD-2022-31182)

2022/4/30

有效漏洞

泛微OA存在命令执行漏洞(CNVD-2022-06870)

2022/2/13

有效漏洞

FastJson代码执行漏洞


无明确已知公开的与情报相对应的漏洞

致远A8 getshell

2019/6/26

历史漏洞

禅道存在SQL注入漏洞(CNVD-2022-42853)


有效漏洞

FastJson代码执行漏洞 (CVE-2022-25845)

2022/5/23

有效漏洞

万户OA getshell


历史漏洞

蓝凌OA远程代码执行漏洞

2021/4/9

历史漏洞

拓尔思was5 getshell


无明确已知公开的与情报相对应的漏洞

thinkphp远程代码执行漏洞

2018/12/9

历史漏洞

jboss EAP /AS 6.远程代码执行

2022/7/12

历史漏洞

thinkphp任意文件读取

2018/12/9

历史漏洞

明御Web应用防火墙任意登录


有效漏洞

Laravel存在命令执行漏洞(CNVD-2022-44351)

2022/6/7

有效漏洞

安恒web应用防火墙远程命令执行漏洞


历史漏洞

某软sdp软件定义边界系统命令执行漏洞


无明确已知公开的与情报相对应的漏洞

某软网络准入控制系统反序列化漏洞


无明确已知公开的与情报相对应的漏洞

某某服VPN存在远程缓冲区溢出漏洞(非web端口)


可能相关的漏洞见相关链接

某盟NF防火墙版本<6.0.3.198存在远程命令执行漏洞


无明确已知公开的与情报相对应的漏洞

qax天擎版本<6.7.0.4910存在安全漏洞


无明确已知公开的与情报相对应的漏洞

三、蓝队防守重点

1. 看规矩,不失分

先说明一下,我手里没有22年的,我给一个21年的作为参考,大致是可以的,各位同学必要见怪。

day1 HVV 蓝队防守笔记  风雨很大

2. 实战阶段防守技战法

监控设备方法,如果说现在做好的办法那就是封堵方法,每个头部厂商有自己的办法,当然,WIS-hunter团队提供,防守战法有3个方面:日志,网络流量,内网访问关系检测。

日志设备监测:日志检测可以 监控监测各设备的登录日志,重点关注管理员权限账号的登录和使用情况。通过分析登录日志发现如密码暴力破解和非法用户登录行为。这些是重点中重点。

建议产品使用比较靠谱日志审计产品,开源用ELK也可以,重点是把日志收集过来,统一管控分析。

网络流量监测:通过日志异常请求,抓取网络的网络包回溯,前提在黄金5分钟搞定。可以离线下载分析cap包。使用wireshark即可。建议产品使用比较靠谱的一系列产品,比如流量回溯系统,WAF。

内网访问关系监测:重点关注内网扫描探测,异常网络连接,非法外联等事件。如果是已经突破边界,进入内网扫描,或者非法连接,这个事情可以进一步证实前面判断。通过前2步的做法确认结果。

建议产品使用比较靠谱的产品,比如某司流量关系产品xxx

3. 实战阶段守夜人

威胁情报群里收集红队ip

39.106.122.161(确认红队)
221.216.117.177(确认红队)
119.45.93.91(确认红队)
119.45.20.160(确认红队)
39.106.122.161(大致确认红队)
114.132.198.197(大致确认红队)
118.195.160.188(大致确认红队)
119.45.20.160(大致确认红队)
43.129.158.31(大致确认红队)
211.143.51.125(疑似影子队)
218.60.148.225(疑似影子队)


125.122.32.50
106.14.58.174
47.112.224.35
180.96.16.238
116.211.138.198
27.221.108.59
119.29.55.236
116.211.138.195
110.184.210.212
27.221.108.58
42.6.52.71
101.18.118.205
120.41.135.219
106.42.49.54
112.194.92.128
119.41.196.153
113.75.149.209
121.207.86.89
180.96.16.236
180.119.92.73
58.21.161.6
27.156.192.189
117.136.111.111
114.231.46.205
139.170.198.167
36.44.73.240
223.241.53.162
110.252.98.35
122.194.188.240
117.94.222.115
123.180.208.247
58.219.61.35
27.8.165.131
58.209.33.12
116.209.62.116
27.30.20.171
171.216.91.31
183.166.99.181
118.120.251.210
218.104.253.83
175.162.208.99
119.7.230.137
27.157.230.55
60.166.180.134
222.189.115.191
118.120.189.5
139.170.25.128
27.221.108.40
182.204.158.67
36.44.72.227
36.44.79.9
182.204.157.196
49.73.106.140
183.165.232.12
106.42.50.74
114.235.83.217
27.30.23.47
183.166.86.201
36.44.78.56
113.240.61.15
112.111.77.152
121.224.107.199
27.22.78.91
114.103.20.25
117.24.94.38
183.164.245.150
113.123.1.189
116.63.35.77
49.88.150.85
125.125.104.156
219.144.248.17
58.54.33.9
60.168.206.235
216.118.230.114
115.226.173.172
175.184.175.97
175.146.70.45
114.98.136.199
36.40.85.152
180.96.16.234
222.78.65.200
117.64.251.70
36.57.89.178
59.60.132.172
220.249.149.107
139.170.24.24
125.79.206.103
101.74.81.97
124.193.194.72
110.18.154.34
223.214.122.16
119.120.60.113
220.160.245.186
140.250.148.247
183.143.50.190
42.54.81.151
119.120.63.163
119.41.206.232
180.118.70.161
1.80.231.126

发现新增攻击队IP地址15个:
39.108.117.46
159.75.213.206
39.106.122.161
124.220.7.224
119.45.93.91
124.223.177.201
39.105.193.235
39.106.2.93
1.13.169.141
119.45.20.160
106.126.3.151
118.195.160.188
121.204.244.168
117.28.66.134
47.102.148.146


4. 实战阶段流量分析案例

事件名称:

HTTP_安全漏洞_Apache_Shiro_身份认证绕过漏洞_攻击成功[CVE-2022-32532][CNNVD-202206-2750]

源IP:

xx.xx.xx.xx

目的IP:

xx.xx.xx.xx

源端口:

58094

目的端口:

80

day1 HVV 蓝队防守笔记  风雨很大


祝福各位蓝队兄弟完美度过痛苦day1,后面的日子更精彩,因为webshell工具冰蝎和云函数隐藏C2 IP来了,后续专门做专场分析。

day1 HVV 蓝队防守笔记  风雨很大

有兴趣可以加入群里聊。

day1 HVV 蓝队防守笔记  风雨很大

公众号

  oldhand  

【WIS-HUNTER 病毒猎手团队】



原文始发于微信公众号(oldhand):day1 HVV 蓝队防守笔记 风雨很大

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月26日08:47:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   day1 HVV 蓝队防守笔记 风雨很大http://cn-sec.com/archives/1200423.html

发表评论

匿名网友 填写信息