admin 管理员组文章数量: 1184232
2024年1月23日发(作者:微服务管控平台)
2019HW行动防守总结原创: 瓦都剋从五月19日到六月底一直在参与HW行动,第一次参与从甲方角度的攻防对抗的团队当中,总体来说感触很大,谨此记录下。0x00 前言首先强调下,下文所有的思路均是"因地制宜",根据客户业务实际情况开展。这次HW是跟某国企合作一块进行安全防御,之前一直是做的乙方的安全服务,第一次切换到防护角色。首先,整个项目分为两个阶段:1. 护网前2. 护网中0x01 护网前护网前的工作相当重要,国企的安全工作想必各位都有所了解这里就不多说了,如何在这么多的时间内尽量做到全面安全覆盖实在是太考验防守团队了。前期的准备工作主要分为两个部分:1、自检2、加固自检是最快发现问题的手段,本次项目我们负责的是云平台安全,云主机总数量达14000多台,任务还是蛮重的。1.1 自检主要分为外网渗透测试和内网渗透测试两部分,外网和内网渗透测试还不一样,外网需要结合客户相关业务来,比如政企客户你使用WordPress、Drupal的payload去打,不能说百分之百没有,但是成功的概率相当低,要有针对性去测试,因为时间不允许去这么做。1.1.1 外网渗透测试
外网不是我们的重点,根据实际情况主要关注那些能直接获取主机权限的漏洞和泄漏大量数据的漏洞即可,比如:弱口令:数据库、SSH、RDP、后台命令执行:Solr、Jenkins、Weblogic、Struts2、RMI、JBoss、Tomcat、Spring、ActiveMQ、Zabbix文件操作:文件上传、文件读取未授权访问:Redis、Hadoop、Docker、K8S1.1.2 内网渗透测试内网渗透和外网渗透区别很大,因为外网不仅有我们,还有其他合作伙伴,各种WAF、防火墙、APT、IDS、IPS、以及办公网的EDR、杀毒什么的各种安全设备一顿操作,所以我们此次的重心就是在内网云平台中,我们的靶标当然也在内网云平台中。由于内网云平台有很多微服务集群,所以根据这个特性,主要分以下几个步骤:1、资产发现因为云平台都是在专有云上,所以写个脚本爬了下资产就可以全部获取到了。这里需要注意下爬的字段,因为后期涉及到漏洞修复、安全事件等问题的对接。| IP | 项目 | 部门 | 状态 |2、资产指纹梳理因为主机数量太大,如果每个资产单独去测试的话,时间代价太大,所以很有必要进行资产指纹梳理,这样如果发现某个漏洞,直接就可以为后面的批量漏洞利用提供条件了。资产指纹根据业务情况进行有针对性的收集,主要搜集的有:21、22、23、1090、1099、2049、2181、3000、3306、4848、5000、5900、5901、6379、7000-9999、11211、12181、27017、10050、50000、50080
3、漏洞发现漏洞发现就是常规的渗透测试了,但是内网的渗透有别与外网,内网主要是快速的,尽可能的发现更多的漏洞,所以不需要进行进一步利用,比如发现了Redis未授权访问,就不要去浪费时间反弹shell、写密钥这些。这里举了个两个简单的例子Example1192.168.2.11:8888/PS:前期资产发现阶段发现8888端口对应的主机有1800多台1、直接访问提示4032、Fuzz目录发现存在taskFile,192.168.2.11:8888/taskFile3、访问192.168.2.11:8888/taskFile提示参数不对4、Fuzz参数发现参数tId,192.168.2.11:8888/taskFile?tId=5、输入值,访问192.168.2.11:8888/taskFile?tId=1发现提示tId-1不存在6、删除值访问192.168.2.11:8888/taskFile?tId=发现提示/root/xxx/xxx任务不存在7、Fuzz漏洞,成功发现本地文件包含192.168.2.11:8888/taskFile?tId=../../../../etc/passwdExample2192.168.2.11:8006/PS:前期资产发现阶段发现8006端口对应的主机有180多台1、直接访问192.168.2.11:8006/env,发现存在SpringBoot Actuator信息泄漏/autoconfig/beans/env/configprop/dump/health/info/mappings/metrics/shutdown/trace/env2、访问192.168.2.11:8006/trace,发现存在访问URL:/3、直接访问发现信息泄漏,可直接看到整站的目录结构/war/4、一层一层访问目录接口发现/war/WEB-INF/classes目录下存在ties文件,直接访问提示4035、根据前期漏洞信息、收集信息关联分析,发现在对应文件下加入content即可进行文件读取:/war/WEB-INF/classes/ties/content这样就可以直接导致web目录下任意文件读取了,批量利用发发现8006端口全部主机均存在此漏洞6、访问192.168.2.11:8006/war/WEB-INF/classes/ties/content读取到redis密码,为弱口令:Nb1234567、根据整理的资产指纹信息编写批量利用脚本,发现60多台Redis存在此弱口令4、批量漏洞利用这部分就是批量发现涉及的问题主机了,大部分是需要写脚本的,如果有相关工具那最好。比如,我们在上面的发现的漏洞,利用收集的资产指纹信息直接编写脚本批量跑一下就行了
当然其他漏洞也一样,这里我主要以我们测试的几个典型批量为例:SSH、FTP、MySQL、Zoomkeeper、MongoDB、Hadoop、Redis、Struts2、Weblogic、Docker、OpenSSL、Werkzeug、Jboss、ActiveMQ、Zabbix、K8S、Druid等。├── ├── Zookeeper│ ├── │ └──
zookeeper_unauth_├── bash├── ftp├── memcache├── mongodb├──
mssql├── openssl├── postgresql├── redis├── smb├── ssh├── st2├──
weblogic├── druid├── zabbix├── └── all_这里是我们之前做基线检查的相关脚本,然后根据需求改了下,也可以用POC-T、Pocsuite等这些框架,反正能用就行了。
整个内网渗透下来战果还是很大的,拿下了我们护航的两个靶标系统、两个统一运维平台、数据管理平台、热更新管理平台、多个Master、大量SSH等弱口令。这就为后面安全加固打了个好基础。1.2 加固
1.2.1 运维相关1、测试、开发服务器全部关停2、敏感端口安全组隔离3、使用堡垒机、跳板机运维4、用户、权限隔离这里特别说明下,比如:MySQL不使用默认root用户,使用业务/项目名中间用下划线连接的方式,因为爆破都是默认用户的,这样即使存在弱口令,也将安全性提升一大截5、认证策略:密钥、双因子认证6、最小化权限原则7、补丁1.2.2 安全设备这里我们只说下使用了我们云平台的相关产品:WAF:使用防火墙,防御大多数攻击。流量、日志、数据库审计:流量、日志、数据库方便万一出现安全事故,能够快速响应,溯源分析找到问题源头态势感知:这个就不说了。安骑士:主机安全,能够第一时间发现异常登录、异常进程、异常网络连接、后门、账户等高危安全问题,并且能快速定位问题所在,相当有用。蜜罐:攻击者进入内网后会进行内网渗透,收集信息,攻击靶标,所以部署蜜罐是发现内网异常的必要手段。主要部署了常用的服务,比如SSH、MySQL、FTP、MongoDB、Redis、Weblogic、Struts2、Tomcat、Joomla、PostgreSQL、Shellshock、SMB、Memcache、Telnet。扫描器:由于主机量巨大,手工总会有已漏,所以在不同网段部署扫描器,每天在0点到1点自动开始巡检。
1.2.3 环境隔离防火墙策略:虽然安全组也可以做,但是内网业务层面还需要在防火墙上做策略。堡垒机:使用堡垒机是为了保证运维安全,同时保障重要系统及靶标隔离。堡垒机的登录也是有访问控制的,只允许白名单IP访问,同时堡垒机使用强口令+随机KEY登录。双因子认证:重要系统(控制台,总控系统,运维系统等)有必要的均采用堡垒机登录,无法使用的采用白名单IP+强口令策略+随机验证码组合策略。靶标:靶标乃重中之重,一旦被攻破,直接可以收拾收拾回家了,脸面不说,重要的是钱可能都没了。靶标是只允许堡垒机IP能够访问,同时我们前期花了很大功夫渗透了一波,删除不必要账户,所有账户使用十六位随机密码+随机6位KEY登录。0x02 护网中2.1 查漏补缺1、虽然前期做了渗透测试,但毕竟也就一周时间,所以在护网期间我们在云管控平台上找了下端口对应主机数超过20个的服务,然后也成功发现了两三个高危漏洞,影响一千多台主机。2、数据库查看端口对应主机的时候发现了一些非标准端口,比如MySQL数据库的3303、3304、3305、3307,Redis的6377、6378等,又成功破解了几十台弱口令。3、通过日志检索、流量分析等发现了一些弱口令,利用这些弱口令批量测试了一遍云平台所有主机,发现大量SSH、MySQL、Redis弱口令。4、在进行全量日志检索的时候,发现一些运维直接将一些敏感字段直接写在了命令行中,比如MySQL连接是直接将密码写在了命令行,这样如果一台主机被入侵,那么history是必看的,如果该密码是通用的将直接或间接的影响更多的主机,所以统一安排将history命令历史清空,再统一改了下相关配置。5、新建主机风险,在查看主机对应业务的时候发现了在护网开始后还是会有新主机的创建,那么这些新建的主机就存在较大的安全风险了。6、堡垒机安全问题,堡垒机我们是采用白名单IP+强密码+令牌的登录方式,但是护网期间随意看下了,还搞了该厂商堡垒机的好几个0day。前台某接口可直接获取全部用户包括明文密码等全部敏感信
息、重置任意用户密码、更换认证方式及客户端限制等。此外,堡垒机登录后还可以绕过沙箱限制,做一些限制的操作。公网上找了下这个堡垒机,直接默认密码就分分钟控制几百台肉
版权声明:本文标题:HW行动防守总结 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1706019506a498333.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
更多相关文章
电脑管家如何清理内存及垃圾,提升电脑性能
电脑在长时间使用后,常常会变得越来越卡顿,打开程序的速度变慢,甚至响应迟缓。这时,不少用户会选择使用电脑管家来进行内存清理和垃圾清理。那么,电脑管家是如何清理内存的?它又是如何清理垃圾的?清理后为何电脑变得更流畅?本文将一一解答这些问
解决无法显示所有文件和文件夹,无法显示隐藏文件和文件夹_dontshowsuperhidden
无法显示所有文件和文件夹,无法显示隐藏文件和文件夹今日,在公司用的电脑中毒了,按照往常习惯,在文件夹选项中设置显示所有文件和文件。可今天却不听话了,将文件夹选项中选成“显示所有文件和文件夹”,但按确定后,仍然显示不了隐藏文
Windows虚拟机中镜像文件_虚拟机镜像iso文件
访问微软官方Windows 10下载页面:https: 点击“立即下载工具”按钮,下载 。这是一个小型应用程序,用于帮助用户创建Windows 10安装介质。 运
Ghost11简体中文版:全面应用指南与技巧
简介:Ghost11作为Symantec公司开发的著名系统备份与恢复软件,引入简体中文界面,极大提升了国内用户的使用便捷性。本指南深入解析了Ghost11的核心功能,包括全盘克隆、分区克隆、映像文件创建与还原、自动备份计划和网络克隆等
斑马打印机设置成网络打印机步骤_斑马打印机怎么做网络共享
1.正常连接打印机后,下载“斑马机器改IP地址”文件。 2.用记事本打开文件修改要设置的IP地址,网关及子网掩码,如下图所示。 3. 右击打印机驱动,选择打印首选项-工具-发送文件,然后浏览到此ZPL文件,
迅雷极速版任务出错的解决办法(亲测可用)_极速版报错任务出错的处理方法
最近迅雷极速版bt下载许多任务出现-任务出错,通过修改hosts文件可以绕过迅雷的解析服务器,方法如下:windows系统进入目录 C:WindowsSystem32driversetc,
拯救移动硬盘实录 - 参数不正确 卡系统_参数错误格式化又正常了
结论 大多数我们碰到的硬盘故障都不是物理故障,也就是硬件没坏,所以都是能修的, 不要在询问数据恢复相关的人后盲目的相信。 先说结论是因为这个才是重点。 最近移动硬盘莫名其妙就挂了,就是下
Windows Media Player专用VOB格式播放插件
简介:此插件专为Windows Media Player设计,使得WMP能够播放VOB格式的视频文件,即DVD光盘上的主要视频容器格式。用户需要根据提供的说明逐步安装,安装过程中可能包括注册dll文件、添加滤镜或解码器等步骤。该插件不
删除autorun.inf病毒的批处理 简单三招预防_autoruninf批处理
选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口!这就是臭名昭著的autorun.inf病毒,下面
SysAnti.exe和autorun.inf病毒的查杀_sysanti.exe查杀
今天我用学校的电脑,U盘中毒,根文件夹下有SysAnti.exe和autorun.inf两个文件,无法删除(删除后自动生成),从网上找了一些方法: SysAnti.exe发作后,无法打开任何杀毒软件,而且直接删除SysAnti
js字体溢出字体变小_可变字体:它们是什么,以及如何使用它们
js字体溢出字体变小In this article, we’ll take a look at the exciting new possibilities surrounding variable fonts —
Windows10与笔记本配合时函数紊乱?轻松搞定指南
笔记本Windows10函数不正确?这里有解决方法在Windows10操作系统的使用过程中,许多笔记本电脑用户可能会遇到“函数不正确”的错误提示,这不仅影响了用户的正常使用,还可能导致一些关键功能无法正常运行。面对这种情
遇到wpcap.dll问题?解决攻略与预防小妙招,一步到位
在使用计算机的过程中,有时会遇到系统提示丢失wpcap.dll文件的情况。这种情况可能会导致某些依赖于该DLL(动态链接库)的程序无法正常运行。那么,当您遭遇这种问题时,应该如何应对呢?本文将详细介绍几种有效的解决方案,并提供一些预防
自动解压秘籍:Python帮你搞定各种压缩文件
压缩文件是我们在使用电脑时经常会遇到的。压缩文件并不只有一种压缩模式。平常我们都是通过安装一些解压缩软件来打开这些不同的压缩文件。今天我们来谈一谈,如何用Python解压几种常见类型的压缩文件。一、需求描述编写
深度解读SWF文件,Adobe Flash Player助力快速解码
我们常用的压缩文件有两种:后缀为.zip或者.rar,接下来将介绍解析两种压缩文件的代码。需要用到三个jar包:commons-io-2.16.1.jar、junrar-7.5.5.jar、slf4j-api-2.0.13.jar,可
Python助力:快速上手zip文件的压缩与解压
ZipFile对象 顾名思义, zipfile是处理 zip文件的模块,其中最重要的类是 ZipFile,其构造函数为 ZipFile(file, mo
DISM++:你的Flash播放问题终结者,提升性能
简介:DISM++是一款全方位的电脑维护软件,提供深度扫描和清理功能,专为优化个人计算机而设计。它能够高效清除各种系统垃圾和无用文件,释放硬盘空间,并通过系统清理、优化、备份和恢复功能提高电脑的运行速度和性能。该软件还支持多语言界面,
彻底解决Dism修复Windows系统映像的困扰,轻松搞定!
如何使用DISM对Windows系统映像进行修复在前些天我更新电脑驱动的时候,更新程序报错了。我检查后发现是系统映像完整性的问题。在我解决完问题后,我决定把这个解决的过程记录下来,希望能帮到别人。 那么正文开始
系统维护必备工具:DISM++助你轻松应对Flash中心和Player
简介:DISM++是一款全方位的电脑维护软件,提供深度扫描和清理功能,专为优化个人计算机而设计。它能够高效清除各种系统垃圾和无用文件,释放硬盘空间,并通过系统清理、优化、备份和恢复功能提高电脑的运行速度和性能。该软件还支持多语言界面,
Win10系统备份轻松搞定:掌握captureimage命令的关键技巧
Win10自带的备份工具备份系统Windows操作系统经过从win98,win2000,winxp,win7,win8到win10的不断更新和完善,功能已经非常强大、完备了。但伴随着微软把重点转移到云端,对更新维护不再保
发表评论