HW总结模板与实例

  • A+
所属分类:安全闲碎

HW总结模板与实例

HW总结模板与实例


文章作者:晓风,文章转载自公众号:风言风羽

今年到写总结的时间了,我们整理了一下去年总结的模版并带一个实例,由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:



    

201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX的攻击,没有被攻破,同时发现并处理了XXXX,经XX确认,得分X分。


平台按照XX和XX的统一部署,重预警、早排查,演练期间,加强安全专项巡检,做好相关汇报工作,对发现的安全问题及时整改,按照组织要求认真做好各阶段工作,顺利完成了防守任务,提升了XX平台的网络应急安全应急处置与协调能力,提升了XX平台安全防护水平。


具体情况如下:


一、前期准备


1、成立XX平台HW201X工作专项小组,并由公司负责人牵头,各部门协力配合,做到了分工明确,责任具体到人;同时完善相关安全制度优化完成《XXXX平台应急处置方案》和《XX平台防守组工作方案》,保障HW工作正常有序开展。


2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作,对XX平台网络策略优化xx项,修复高危安全漏洞xx余项,其中自主发现高危安全漏洞xx项,XX协助发现高危漏洞x个,包含在自主发现漏洞中,已做到对高危漏洞清零,检测发现并修复平台弱口令xx项。


3、组织防护工作演练,编写《xxXX平台工作部署》方案,对HW期间工作进行紧密部署,加强完善平台安全巡检,增强团队协作能力。


4、组织协调第三方能力,在此期间对物理机房、云服务商监测加强监控、检测要求,XX协助提供x云安全监测服务,并配置入侵检测系统,同时安全部对公司内部进行安全意识宣贯,降低被钓鱼攻击风险。


二、组织实施


(一)加强组织协调


在公司内部设置专项防守场地,安排XX平台各部门负责人、核心部门驻场值守。安排专人进行对接,随时与防守团队保持联络,通过电话会议每日协商,汇总当日所发生的安全事件,针对安全事件进行应急响应和处置。


(二)安排重点值守


各部门各司其职,加强防守整改。其中XX部整体把握XX防守情况,负责与总体防守组的沟通联系,负责信息对接,保持随时联络,提交防守成果。XX部负责对网络安全策略进行梳理,删除无效策略;XX部负责对主机系统安全基线进行检查落地,修复主机漏洞,对中间件平台进行升级;XX梳理数据库相应安全权限,对权限进行严格控制;XX部负责对代码层安全漏洞进行修复,并对后台管理进行安全防护;XX部负责撰写整体《安全应急相应方案》以及《HW工作安排部署方案》,加强安全监测预警、安全防护和应急处置能力。


(三)开展防守工作


攻防实施阶段


1、严格落实值班制度。平台加强了每日巡检力度,从巡检次数从每日二次调整为每日三次,同时安排专人负责安全巡检,对巡检项进行详细记录,并于每日下午X点前上报;并安排专人在部机关值守,确保信息沟通顺畅。


 2、认真落实报告制度。安排专人到XX负责联络工作X周,并每日于X点、X点进行工作汇报总结,对攻击手段、封禁IP地址,账号爆破情况进行梳理归纳,发现攻击问题第一时间上报总体防守组。编制X份防守成果报告,经演戏指挥部确认,得分XX分。


3、全面做好检测预警工作。平台对WAF、IDS、以及邮箱、VPN等账户,系统状态、网络状态等进行全方位监控,共发现账户破解、扫描、命令执行、SQL注入等攻击数百次,对异常IP进行及时封禁,共计封禁IPXX余个,未发现攻击成功现象。


4、 加强监控应急处理能力。在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现并删除恶意木马文件XX个,并阻止该恶意程序运行,上报防守成果,同时优化平台相关服务,关闭木马上传路径。


5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XXXXXXXX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。


三、威胁汇总及整改情况


演习结束后,根据XX与XX相关要求,对攻防演习工作中发现的问题成果进行梳理,共有X项其中XX平台安全隐患X项,非XX平台安全隐患共X项,通知相关部门进行整改,已经完全整改完毕。


一)XX平台威胁整改情况


本次参演的XX平台共被发现X处安全隐患,存在XX问题,目前已全部修复。


二)非目标系统威胁整改情况


本次演习攻击方对演习目标所属公司系统进行了攻击渗透,共发现威胁X个。截止目前,已完成所有问题整改、漏洞修复。


四、存在问题


一)XX平台系统此次攻防演习过程中,存在问题如下:

    1、基础运维存在薄弱环节....

    2、系统存在弱口令问题.....


(二)公司存在的问题


公司的其他信息系统不在本次攻防演习范围内,故本次演习前准备阶段未对XXX平台、XXX平台进行风险隐患排查和整改加固。


经分析,攻击方主要是通过三种途径开展渗透攻击:一是利用系统已知漏洞,获得系统服务器权限,对内网开展渗透共计;二是利用用户弱口令漏洞,获取网络及信息系统关键信息;三是通过SQL注入、文件上传漏洞等攻击方式,对目标系统开展攻击,获取系统权。根据上述攻击方式,反映出公司存在的问题有:


    xxxxxxx......


  • 下一步工作

    

针对XX平台存在的问题,我司将进一步提高认识,加强人员往来安全意识教育,组织信息安全培训,不断提高全员安全意识。针对上述存在的安全问题整改完成后,举一反三,查找存在类似安全隐患并整改,不断完善网络及信息系统的网络架构规划及制度管理。主要措施如下:


(一)基础运维方面


1、加强设备管理,梳理资产信息,严格核对CMDB中信息,将密码变更列入季度安全运维工作,对不在用的策略、服务器进行清理线下,将继续使用的设备进行资产审核,确认资产信息准确性。


2、严格杜绝系统弱口令,加强口令强度设置;需要用户注册功能的,要对注册用户加以限制,要对上传文件格式限制;加强信息系统及用户账号的管理,定期查看使用情况,确认不用的系统、用户账号及时进行关停处理。


3、需要对防火墙策略申请、端口映射申请进行周期性梳理,删除无效、无用策略,防止内部服务被误开放到互联网平台。


4、严格控制运维、研发、测试等技术型人员在服务器上明文存储备份账号密码,随意开放查看权限,对离职员工账号密码进行严格审查,删除,关闭。


(二)安全防护方面


1、加强公司网络边界防护,更新升级防火墙、防毒墙等安全设备,做好外部入侵防护控制。


2、加强网络安全设备如VPN、堡垒机等权限管理,对人员进行基于角色划分管理权限。


3、对各平台网络严格按照等级保护要求进行区域区分,加强信息系统安全防护和管理。


4、对数据安全加强防护,防止未授权访问敏感数据,防止技术和业务人员对数据误操作或恶意操作导致数据泄露。


(三)安全监测方面


 1、充分利用安全设备及监控平台进行监控。分析安全设备的日志,对应用系统的运行状态、资源占用率等情况进行查看,及时发现和应对攻击行为,根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。


2、增加安全预警手段。推进公司预警监测和态势感知能力,加强主机端安全监控能力,将安全设备及系统逐步进行整合。


(四)应急处置方面


1、建立健全安全预防和预警机制。加强信息网络系统和设备的安全防护工作,加强信息网络日常运行状况的检测分析,对外部和内部可能对信息网络产生重大影响的事件进行预警,保障信息网络安全畅通。


2、加强应急处置和演练。发生突发性事件时,启动应急预案,根据事件级别,根据《XXXXXXXXXX平台应急相应预案》采取相应处置措施,确保网络通畅,业务连续性以及信息安全。有计划、有重点的组织技术人员针对不同情况对预案进行演练,对预案中存在的问题和不足及时补充、完善。


 下一步,我司将进一步推进网络安全和信息化工作,进一步用好攻防演练成果,在XX的指导下,提升态势感知和应急处置能力,提高关键信息基础设施防护水平,不断完善网络安全工作体制机制,构建与信息化工作相适应的网络安全保障体系,有力维护XX平台业务及数据安全。



总结实例一

实例的文章来源:极梦C


前言:不打内网。


    目标1:两个网站         

        www.test1.com (重点企业)

        www.test2.com (教育相关)    


本来意气风发的打算大干一场,一看到目标傻眼了。两个的网站,放弃。一个重点企业,也没有多少希望,另一个教育网站,看来有点希望。开始吧。


测试开始:


    主要测试(test1+test2),一般的网站,要不没人gan测试,很多漏洞。要不就是防护很严密。


    正常操作:


HW总结模板与实例


当时就傻眼了。我发现我的云溪会员是假的吧,都是无。


HW总结模板与实例


看看有没有CDN,waf之类的。

    Test1 :cloud-waf +CDN

    Test2 :cloud-waf +cdn

    test3:cloud-waf+CDN


接下来应该找到真实IP。可以绕过CDN和云锁。

    一些方法:

       DNS历史记录/证书/子域名/邮箱/fofa


最终未果。(一些大厂,一般直接托管,比如这里的一般都是**云上的服务器,再带云锁等防护。查看历史记录解析,很多都是中间经过了很久的时间突然重视了,换服务器上设备。邮箱注册人查询,都是**云的。)


Test1:  


HW总结模板与实例


处处碰壁,这里只有尝试逻辑漏洞。

   HW总结模板与实例

HW总结模板与实例


到这里,就有点无奈。日常手段没有成效。


GooGle语法:


HW总结模板与实例


测试上传点:


    没有提交按钮。看了一下代码,复制代码,进行本地构造,再更改Host进行上传,返回404。测试失败。

 

    只能继续看我的那几千个数据包。突然发现一个js引起我的注意-ewebeditor.js之类的文件。猜测有ewebeditor编辑器。只不过目录进行了修改。扫描没有扫到。


HW总结模板与实例

HW总结模板与实例


Test2:


    云锁,**云。扫描直接封。放弃扫描。


HW总结模板与实例


尝试逻辑漏洞


HW总结模板与实例


有文件上传点,可惜是**云。每次上传后先上传都**云上。(很恶心)

通过fofa,进行同尝试的ip域名发现。


HW总结模板与实例


发现的其中一个ip,每个端口都有一个登陆口,包括堡垒、防火墙等。可以没有爆破成功。


这里尝试云数据平台:

    随便登陆弱口令。可惜模块无法访问全部403.

    仔细看了一下,数据请求/。


    URL:1.1.1.1  登陆-点击模块—www.test123.com ,

    

    猜测无法进行域名解析,进行本地host添加,无果。


小技巧:

    访问的所有域名变成ip。例如:www.test123.com/list ---1.1.1.1./list  可以访问。


    没有云锁,后台真的为所欲为。Sql注入获取、文件上传获取。Sql注入DBA(都懂)—文件上传因为时间短没有仔细研究。


HW总结模板与实例


目标2:

     1.***。Ceshi1

     2.***教育. Ceshi2

     3.***学校 ceshi3


Ceshi1—只有登陆页面(无法爆破。扫描)未发现CDN。Ip直接访问出现错误。---放弃


Ceshi2:

HW总结模板与实例


老样子,逻辑漏洞为先锋。

大量测试账号,注册时间是17年的。心里一凉。多次尝试,终于发现一个绕过漏洞。


HW总结模板与实例


想着如果有注入多好。

HW总结模板与实例


如图:


        一般都会存在负载均衡+CDN缓冲服务器,以减少网站的负载。而缓冲服务器的数据应该和网站的相同。


    因为网站存在云锁,还是去找真实ip。或者CDN发缓冲服务器。


    这里使用fofa去寻找.

    

    Ceshi2.com –是某某网站某某分站。

    

在fofa  site=“ceshi1.com ” intitle=”ceshi2.com”没有什么发现,

    

转换思路.直接搜索某某网站。会出现很多ip。

    

    找出单独ip。CDNip一直变换。所有缓冲服务器也会变ip。


HW总结模板与实例

HW总结模板与实例


因为是真实ip,cloud-waf可以直接绕过,根据现有的页面进行测试。


Sql注入存在。


文件上传-一般存在图床服务器。


HW总结模板与实例

 

总结:


    1. google语法的多变利用。


    2. 绕过CDN的方法。


    3. Fofa的搜索利用:域名/子域名/网站名等


    4. CDN缓冲服务器+负载均衡服务器的利用


    5. 弱口令是大杀器。


难点:

    1. 绕过CDN:


        a)  小厂商都是先ip后建设CDN,可以利用DNS历史记录查询。

        b)  大厂是先ip后ip+CDN(进行服务器迁移到第三方),没有突破点。


    2. 绕过cloud-waf:


        a)  云锁,是特征查杀比一般硬件查杀更快更强。收费版无法进行本地测试,绕过可能性就是找到真实ip。大厂商一般都是收费版,公益版绕过方式无用。


    3. 文件上传无法解析:


        a)  现在都有图床服务器,进行上传过滤查杀,如无法进行跨目录操作,几乎无法拿到shell。


写在最后:


1.    感觉已经用尽全部力量的时候,可以再多试试。


2.    所谓运气,不过是善于发现。


3.    每次要放弃的时候,多试一下总会发现惊喜。


HW总结模板与实例


推荐文章++++

HW总结模板与实例

*HW别窝里横,敌军真的来啦!

*广东网警《HW演习防守基础安全指引》全文 (附下载)

*某次HW总结


HW总结模板与实例

HW总结模板与实例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: