攻防演练中的经典突破案例

admin 2024年10月15日13:10:48评论88 views字数 1898阅读6分19秒阅读模式

     身为一个资深的网络安全从业者,由于比较擅长去给客户讲案例,这里把以前攻防演练如何突破的过程做成了PPT给客户展示一些经典突破手段。

案例一:某机场的渗透案例

攻防演练中的经典突破案例

渗透过程

1文件上传突破互联网边界进入某机场内网,发现各类设备密码本

2通过多网卡主机及密码本信息,成功进入集团本部

3内网虚拟化平台、域控、航班信息、财务结算等重要系统均失陷

存在问题:

1、互联网暴露面管理不到位,存在可被利用的漏洞;

2、网络边界设备没有发挥价值,未成功拦截

3、 内部威胁检测能力不到位,无法发现批量扫描、破解的行为

4、未使用堡垒机+动态口令加强账号管理;

5、未做好登录限制,限制仅堡垒机可远程管理;

6、隔离网络禁止使用双网卡机做管理,易导致跨网互联;

案例二:某市工业生产制造企业

攻防演练中的经典突破案例

渗透过程

1弱口令登录某集团互联网系统,0day攻击进入内网

2利用弱口令、SQL注入、MS17-010相继拿下众多服务器、数据库

3定位并利用漏洞拿下域控,可掌控全集团上万台主机,整个集团网络失陷

暴露问题:

1、内部漏洞管理不到位,存在5年前的高危漏洞;

2、内部威胁检测能力不到位,无法发现批量扫描、破解的行为;

3、未使用堡垒机+动态口令加强账号管理;

4、未做好登录限制,应限制仅堡垒机可远程管理;

案例三:某政府媒体单位

攻防演练中的经典突破案例

渗透过程:

1利用弱口令及常规执行命令漏洞反弹shell进入某单位内网

2抓取主机密码,口令复用及弱口令,导致内网大量服务器失陷

3广告/新闻发布服务器、数据库、广播节目播放编辑系统失陷

存在问题:

1、互联网暴露面管理不到位,存在可被利用的漏洞;

2、密码复用,容易导致全面沦陷;

3、未使用堡垒机+动态口令加强账号管理;

4、未做好登录限制,限制仅堡垒机可远程管理;

案例四:某市公积金全网沦陷

攻防演练中的经典突破案例

渗透过程:

1利用文件上传漏洞,进入某单位内网

2弱口令拿下众多服务器,全单位职员、工资待遇、贷款等敏感信息泄露

3突破内网边界进入国家行业专网、金融专网,

4可接管自治区行业监管系统,管理全区6百多万公积金缴存信息

存在问题:

1、互联网暴露面管理不到位,存在可被利用的漏洞;

2、内网资产普遍存在弱口令;

3、未使用堡垒机+动态口令加强账号管理;

4、未做好登录限制,限制仅堡垒机可远程管理;

案例五:区内某供应链企业存储大量重点单位运维账号

攻防演练中的经典突破案例

渗透过程:

1 0day漏洞攻击互联网系统,进入某单位内网

2 代码执行、弱口令拿下大量内网服务器、研发云平台权限

3 供应链企业内部项目管理系统失陷

      4 大量重点单位核心系统内部VPN、账号密码等资产信息泄露

存在问题:

1、内部缺少纵深防御,导致全网沦陷;

2、内网资产普遍存在弱口令;

3、未使用堡垒机+动态口令加强账号管理;

4、未做好登录限制,限制仅堡垒机可远程管理;

互联网直接突破入口

攻防演练中的经典突破案例

存在问题:

1、未授权访问是个中危漏洞;

2、未授权访问的页面存在上传点,属于高危漏洞,两个漏洞组合导致沦陷;

3、说明渗透测试不够深入,缺少带合法账号的白盒测试,充分暴露风险;

4、数据库自身未做访问控制规则,应当仅允许堡垒机连接;

5、网站源代码中的配置文件未做加密;

互联网直接突破拿下云资源管理平台

攻防演练中的经典突破案例

存在问题:

1、互联网资产存在高危漏洞风险,存在多个突破口;

2、租户没做到真正隔离,导致内网资产暴露,

3、互联网与内网系统缺乏网闸隔离;

4、运维堡垒机使用不到位,存在独立的运维服务器保存密码;

5、防火墙规则不到位,允许任意IP登录云平台;

6、内网威胁发现能力不到位(值班人员敏感度不足),未及时发现内网扫描行为;

7、租户IP应禁止访问到管理平台,

8、未做到纵深防御,可能防火墙规则不到位;

防守方的两个典型问题一

攻防演练中的经典突破案例

复盘思考:为何WAF没有拦住攻击?

1、尝试获取安全设备型号。攻击者上传webshell之前会尝试探测IPS和WAF的型号;

2、针对安全设备做免杀。Webshell会针对某品牌安全设备做免杀或绕过,无法检测到攻击行为,因此就无法拦截该攻击行为了。

3、如果不做特定免杀,那么在上传的过程中会失败多次,产生日志告警,可被监控察觉;

4、在攻防演练阶段对安全设备应当启用战时强安全策略;

防守方的两个典型问题二

攻防演练中的经典突破案例

复盘思考:为何无法及时发现内网攻击?

1、攻击者通过内部肉鸡架设扫描器,如果部署了主机安全软件(椒图)则无法安装扫描器;

2、攻击者的扫描行为会导致政务云内部的天眼流量探针告警,发生大量的日志,此时可感知内网攻击行为。

3、实际上似乎被值班监控忽略了。体现了值守人员无法从海量日志中发现真正的威胁行为,可能是对告警麻木了,也可能是不具备威胁分析的能力。

总结:攻防演练暴露的问题原因分析

攻防演练中的经典突破案例

原文始发于微信公众号(进击的HACK):攻防演练中的经典突破案例

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月15日13:10:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防演练中的经典突破案例https://cn-sec.com/archives/3269442.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息