2024HW紅藍攻防構(gòu)建實戰(zhàn)化網(wǎng)絡(luò)安全防御體系

SQLVPN第4 藍隊攻擊的必備能第5 藍隊經(jīng)典攻擊實 第6 紅隊防守的實施階 WebApp第9 紅隊常用的關(guān)鍵安全設(shè)WebWeb運維安全管理與審計系統(tǒng)（堡壘機第10 紅隊經(jīng)典防守實 第11 如何組織一場實戰(zhàn)攻防演 第13 組織沙盤推演的4個階第1章認識紅藍紫信息安全漏洞共享平臺（CNVD）統(tǒng)計，通用軟硬件漏洞為19964個，2021年5月7日，美國燃油管道公司ColonialPipeline管網(wǎng)遭受攻際性實戰(zhàn)網(wǎng)絡(luò)防御演練——鎖盾（LockedShields）。鎖盾演練的主Storm2020）演練落幕，在美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）2021年11月15日至20日，美國網(wǎng)絡(luò)司令部舉行了“網(wǎng)絡(luò)旗幟VPN（VitualPrivateNetwork，虛擬私人網(wǎng)絡(luò)）設(shè)備，可以利用VPN和豐富的實戰(zhàn)經(jīng)驗。而2··重的一年。根據(jù)Canalys的報告，2020年泄露的記錄比過去15解決可用性問題，采取了“anytoany”的策略。防守單位很難在短力將安全工作前移，確保安全與信息化“三同步”（第2章藍隊攻擊的4圖2- 藍隊攻擊的4個階圖2- 藍隊準備工Whois（音同“Whois”，非縮寫）是用來查詢域名的IP及所有者庫。通過Whois可實現(xiàn)對域名信息的查詢。早期的Whois查詢多以命令列接口存在，現(xiàn)在出現(xiàn)了一些基于網(wǎng)頁接口的簡化線上查詢工具，可以一次向不同的數(shù)據(jù)庫查詢。APNIC（Asia-PacificNetworkInformationCenter，亞太互聯(lián)網(wǎng)絡(luò)信息中心），是全球五大區(qū)域性因特網(wǎng)注冊管理機構(gòu)之一，負責亞太地區(qū)IP地址、ASN（自治域系統(tǒng)號）的分配并管理一部分根域名服務器鏡像。CNNIC（ChinaInternetNetworkInformationCenter，中國互聯(lián)網(wǎng)絡(luò)信息中心）是我國的域名體系注冊管理機構(gòu)。APNIC和CNNIC均提供所轄范圍內(nèi)域名信息查詢的Whois服務。nslookupnslookup是Windows接DNS服務器、查詢域名信息。它可以指定查詢的類型，可以查到DNS記錄的生存時間，還可以指定使用哪個DNSTCP/IP協(xié)議的電腦上均可以使用這個命令工具探測域名系統(tǒng)（DNS）礎(chǔ)結(jié)構(gòu)的信息。DIGDIG（DomainInformationGroper，域名信息搜索器）是Linux和查、DNS數(shù)據(jù)集、DNS查詢與搜索引擎6調(diào)用，對搜集的子域結(jié)果自動去重，有較高的掃描效率，并且支持將搜集結(jié)果以多種格式導出利用。藍隊主要利用掃描探測工具對目標Web主機或服務器進行漏洞和薄弱點發(fā)現(xiàn)，為進一步利用掃描探測到的漏洞實施滲透攻擊做準備。網(wǎng)上公開、免費的掃描探測工具非常多，有的藍隊還會自主開發(fā)掃描探測工具。比較有名的開源掃描探測工具有以下幾個。Nmap（NetworkMapper）核工具，具備對Windows、Linux、macOS等多個操作系統(tǒng)的良好兼容性，功能包括在線主機探測（檢測存活在網(wǎng)絡(luò)上的主機）圖2- Nmap掃描示Nessus稱是“全球使用人數(shù)最多的系統(tǒng)漏洞掃描與分析軟件，全世界超過AWVS（AcunetixWebVulnerabilityScanner）是一款知名的Web的SQL注入和跨站腳本測試，集成了HTTPEditor和HTTPFuzzer等高級滲透測試工具，允許對AJAX和Web2.0應用程序進行安全性測試，支持圖2- AWVS掃描任務界Dirsearch是一款用Python文件在內(nèi)的網(wǎng)站W(wǎng)eb多項安全測試，掃描指定主機的Web類型、主機名、目錄、特定CGI漏洞。Nikto使用RainForestPuppy的LibWhisker實現(xiàn)HTTP功能，并且可以檢查HTTP和HTTPS，否運行在其他開放端口上。MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、圖2- 超級弱口令檢查工Medusa是KaliLinux系統(tǒng)下對登錄服務進行暴力破解的工具，基登錄的服務，包括FTP、HTTP、SSHv2、SQLServer、MySQL、SMB、圖2- Medusa可爆破種類列KaliLinux系統(tǒng)中。Hydra可對多種協(xié)議執(zhí)行字典攻擊，包括RDPSSH（v1和v2）、Telnet、FTP、HTTP、HTTPS、SMB、POP3、LDAP、Server、MySQL、PostgreSQL、SNMP、SOCKS5、CiscoAAA、Ciscoauth、VNC等。它適用于多種平臺，包括Linux、Windows、Cygwin、Solaris、FreeBSD、OpenBSD、macOS和QNX/BlackBerry等。Hydra參數(shù)見圖2-7。圖2- Hydra命令示意Hashcat是一款免費的密碼破解工具，號稱是基于CPU碼破解工具，適用于Linux、Windows和macOS平臺。Hashcat散列算法，包括LMHashes、MD4、MD5、SHA系列、UNIXCrypt格式、MySQL、CiscoPIX。它支持各種攻擊形式，包括暴力破解、組合攻圖2- Hashcat破譯示意種，多通過單個Poc&Exp實現(xiàn)漏洞利用。藍隊會根據(jù)新漏洞的不斷出WebLogicWebLogic是基于JavaEE和管理大型分布式Web應用、網(wǎng)絡(luò)應用和數(shù)據(jù)庫應用的Java應用服務器。該漏洞利用工具集成WebLogic組件各版本多個漏洞自動化檢測和利用功能，可對各版本W(wǎng)ebLogic漏洞進行自動化檢測和利用，根據(jù)檢圖2- WebLogic漏洞工Struts2是一個相當強大的JavaWeb開源框架，在MVC設(shè)計模式中，Struts2作為控制器來建立模型與視圖的數(shù)據(jù)交互。Struts2圖2- Struts2漏洞利用工sqlmap的數(shù)據(jù)庫有MySQL、Oracle、PostgreSQL、SQLServer、Access、IBMDB2、SQLite、Firebird、Sybase和SAPMaxDB（見圖2-11）。圖2- sqlmap模擬執(zhí)vSphereClientRCE漏洞（CVE-2021-21972）利用工具Server等一系列的軟件，其中vCenterServer為ESXivSphereClient（HTML5）在vCenterServer插件中存在一個遠程執(zhí)行代碼漏洞。藍隊可以通過開放443端口的服務器向vCenterServer發(fā)送圖2- vCenterServer管理界WindowsPrintSpooler權(quán)限提升漏洞（CVE-2021-1675）WindowsPrintSpooler是Windows系統(tǒng)中用于管理打印相關(guān)事務ExchangeServer漏洞組合利用（CVE-2021-26855&CVE-ExchangeServer是微軟公司的一套電子郵件服務組件，是個消息洞，藍隊可以利用該漏洞繞過身份驗證發(fā)送任意HTTP請求。CVE-27065認證。此漏洞還伴生著一個目錄跨越漏洞，藍隊可以利用該漏洞將文件寫入服務器的任何路徑。兩個漏洞相結(jié)合可以達到繞過權(quán)限直接獲取反彈執(zhí)行命令權(quán)限。Windows平臺的TELNET協(xié)議。Xshell可以用來在Windows端不同系統(tǒng)下的服務器，從而比較好地達到遠程控制終端的目的（圖2-13）。圖2- Xshell遠程連接界Linux服務器主機。SecureCRT支持SSH，同時支持Telnet和rlogin議，是一款用于連接運行Windows、Unix和VMS（見圖2-14）對Windows平臺、各類Unix平臺SSH、Telnet、Serial（見圖2-15）圖2- SecureCRT初始連接界圖2- PuTTY連接配置截Oracle、PostgreSQL、SQLite、SQLServer、MariaDB和MongoDB等不同類型的數(shù)據(jù)庫，并與AmazonRDS、AmazonAurora、OracleCloud、MicrosoftAzure、阿里云、騰訊云和華為云等云數(shù)據(jù)庫管理兼容，支圖2- Navicat管理維護數(shù)據(jù)Webshell助Webshell圖2- 冰蝎界圖2- 利用中國蟻劍連接初始哥斯拉（Godzilla）是一款相對較新的Webshell管理工具，它基于Java開發(fā)，具有較強的各類shell靜態(tài)查殺規(guī)避和流量加密WAF繞過優(yōu)勢，且自帶眾多拓展插件，支持對載荷進行AESHTTP頭、內(nèi)存shell以及豐富的Webshell功能（見圖2-19）。圖2- 哥斯拉遠程管FRP是一個可用于內(nèi)網(wǎng)穿透的高性能反向代理工具，支持TCPUDP、HTTP、HTTPS等協(xié)議類型，主要利用處于內(nèi)網(wǎng)或防火墻后的機器，對外網(wǎng)環(huán)境提供HTTP或HTTPS（見圖2-20）器（如Web服務器）之間建立一個安全通道，客戶端可通過反向代理服務器間接訪問后端不同服務器上的資源（見圖2-21）。圖2- FRP服務端和客戶端配置文圖2- ngrok用法示SecureShell（SSH）是專為遠程登錄會話和其他網(wǎng)絡(luò)服務提供安圖2- reGeorg模擬掃Netsh（NetworkShell）是Windows本工具，可用來通過修改本地或遠程網(wǎng)絡(luò)配置實現(xiàn)端口轉(zhuǎn)發(fā)功能，支持配置從IPv4或IPv6端口轉(zhuǎn)發(fā)代理，或者IPv4與IPv6的雙向端口轉(zhuǎn)發(fā)代理。包、顯示封包資料、檢測網(wǎng)絡(luò)通信數(shù)據(jù)、查看網(wǎng)絡(luò)通信數(shù)據(jù)包中的詳細內(nèi)容等非常實用的功能，更強大的功能有包含強顯示過濾器語言和查看TCP信數(shù)據(jù)，檢測其抓取的通信數(shù)據(jù)快照文件等（見圖2-23）。圖2- Wireshark數(shù)據(jù)抓包示Fiddler是一個非常好用的HTTP記錄所有客戶端與服務器的HTTP和HTTPS圖2- Fiddler網(wǎng)絡(luò)數(shù)據(jù)調(diào)tcpdump是Linux靈活的截取策略，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的篩選和分組輸出（見圖2-25）圖2- tcpdump抓包示件，集成了包括Metasploit在內(nèi)的超過300Windows集成環(huán)境（CommandoCommandoVM是基于Windows的高度可定制的滲透測試虛擬機環(huán)境，集成了超過140個開源Windows如Python和Go編程語言，Nmap和Wireshark網(wǎng)絡(luò)掃描器，BurpSuite類的網(wǎng)絡(luò)安全測試框架，以及Sysinternals、Mimikatz等Windows工具。CobaltCobaltStrike是一款由美國RedTeam業(yè)界人士稱為CS。CS采用Metasploit為基礎(chǔ)的滲透測試GUI多種協(xié)議上線方式，集成了Socket代理、端口轉(zhuǎn)發(fā)、Office攻擊、文件捆綁、釣魚、提權(quán)、憑證導出、服務掃描、自動化溢出、多模式端口監(jiān)聽、exe和PowerShell木馬生成等功能。BurpBurpSuite是用于攻擊Web集成了Web訪問代理、Web數(shù)據(jù)攔截與修改、網(wǎng)絡(luò)爬蟲、枚舉探測、數(shù)據(jù)編解碼等一系列功能。BurpSuite為這些工具設(shè)計了許多接口，可以加快攻擊應用程序的部署與調(diào)用。圖2- 綜合團隊是藍隊高效運轉(zhuǎn)的基圖2- 網(wǎng)情搜集工紋，主要對NMAP互聯(lián)網(wǎng)操作的分派和注冊服務。通過其官網(wǎng)可對公共APNICWhois數(shù)據(jù)在外網(wǎng)縱向突破階段，藍隊的主要工作就是圍繞目標網(wǎng)絡(luò)突破口開展?jié)B透測試，通過獲取必要的安全認證信息或漏洞利用獲取控制權(quán)限。因為一般網(wǎng)絡(luò)對外開放的接口非常有限，能從外部接觸到的只有Web向突破工作的重點也在這些接口上（見圖2-28）。圖2- 外網(wǎng)主要突破Web圖2- 內(nèi)網(wǎng)橫向拓展主要流·內(nèi)網(wǎng)存活的IP以及存活I(lǐng)PWebServer應用提權(quán)。主要是通過獲取的Web應用管理權(quán)限，圖2- SMB漏洞是內(nèi)網(wǎng)重要拓展手圖2- IE瀏覽器緩存認證獲取示第3章藍隊常用的攻擊手段圖3- 某次實戰(zhàn)攻防演練中各種手段的運SQL··圖3- SQL注入檢測萬能語SQL注入漏洞多存在于用戶目標官網(wǎng)、Web辦公平臺及網(wǎng)絡(luò)應用等之中。比如：ApacheSkyWalking[1]SQL注入漏洞（CVE-2020-9483）就是藍隊攻擊中用到的一個典型的SQL認未授權(quán)的GraphQL用于進一步滲透。另一個典型的SQL注入漏洞——Django[2]SQL注入漏洞（CVE-2021-35042）存在于CMS（內(nèi)容管理系統(tǒng)）對某函數(shù)中用戶所提供的數(shù)據(jù)過濾不足導致的。攻擊者可利用該漏洞ApacheSkyWalking是一款開源的應用性能監(jiān)控系統(tǒng)，主要針對微服Django是一個Web（見圖3-3）·圖3- 兩種典型的跨站攻擊方于/uploads/dede/search_keywords_main.php文件下，是系統(tǒng)對GetKeywordList函數(shù)過濾不全導致的。攻擊者可利用該漏洞將惡意請求發(fā)送至Web管理器，從而導致遠程代碼執(zhí)行。ApacheTomcat[2]跨站腳本漏洞（CVE-2019-0221）是由于ApacheTomcat的某些Web中JSP文件對用戶轉(zhuǎn)義處理不完全導致的，遠程攻擊者可以通過包含“;”字符的特制URI請求執(zhí)行跨站腳本攻擊，向用戶瀏覽器會話注入并執(zhí)行任意Web腳本或HTML代碼。DedeCMS是一套基于PHP+MySQL的開源內(nèi)容管理系統(tǒng)（CMS）ApacheTomcat是一個流行的開放源碼的JSP·圖3- 常見文件上傳漏洞攻擊實[1]KindEditor是一個開源的HTML可視化編輯器，兼容IE、Firefox、··圖3- 影響非常廣泛的GitLab遠程命令執(zhí)行漏洞（CVE-2021-命令執(zhí)行漏洞多存在于各種Web組件、網(wǎng)絡(luò)應用之中，如Web令執(zhí)行漏洞（CVE-2021-21972）是vSphereClient（HTML5）在vCenterServer插件中存在的一個遠程執(zhí)行代碼漏洞，未經(jīng)授權(quán)的攻擊者可以通過開放443端口的服務器向vCenterServer發(fā)送精心構(gòu)造的敏感信息泄露漏洞多存在于各類Web務應用。比如：VMware敏感信息泄露漏洞（CVE-2020-3952）目錄服務相關(guān)的信息泄露漏洞，產(chǎn)生原因是VMwareDirectoryService（vmdir）組件在LDAP處理時檢查失效和存在安全設(shè)計缺陷。攻擊者可以利用該漏洞提取到目標系統(tǒng)的高度敏感信息，用于破壞vCenterServer或其他依賴vmdir對整個vSphere部署的遠程接管（見圖3-6）。又如：Jetty[1]WEB-INF敏感信息泄露漏洞（CVE-2021-28164）置不當造成在Servlet實現(xiàn)中可以通過%2e繞過安全限制導致的漏洞。攻擊者可以利用該漏洞下載WEB-INF的安全配置信息。圖3- VMware官方公布的CVE-2020-3952漏洞信[1]Jetty是一個基于Java的Web容器，為JSP和Servlet·圖3- Jenkins未授權(quán)訪問漏洞信業(yè)務應用之中。比如：ApacheShiro[1]權(quán)限繞過漏洞（CVE-2020-ApacheShiro是一個強大且易用的Java安全框架，執(zhí)行身份驗證、授洞，造成本地權(quán)限提升（見圖3-8）。又如：Linuxsudo圖3- Windows本地權(quán)限提升漏洞（CVE-2021-1732）PoC應用示圖3- 實戰(zhàn)攻防演練中典型的弱口令示表3- 內(nèi)外網(wǎng)釣魚的主要區(qū)圖3- 實戰(zhàn)攻防演練中的釣魚案·····圖3- 實戰(zhàn)攻防演練中的內(nèi)網(wǎng)釣魚案另外，所有人員比較關(guān)心的薪資、福利問題也是內(nèi)網(wǎng)不錯的釣魚素材。如果要通過文件共享、軟件更新或內(nèi)網(wǎng)Web擇定期業(yè)務報告、應用軟件升級包或業(yè)務動態(tài)等與業(yè)務密切相關(guān)而容易讓人感興趣的內(nèi)容作為釣魚素材。實施釣魚時，內(nèi)網(wǎng)釣魚不必像外網(wǎng)釣魚那樣，需要準確把握被攻擊目標的心理和合理時機拋出誘餌，而可以用開門見山的方式直接拋出話題誘餌。因為內(nèi)網(wǎng)釣魚利用的就是信任關(guān)系，實施釣魚時過多的鋪墊反而容易引起對方懷疑，直接拋出誘餌成功率會更高。實施內(nèi)網(wǎng)業(yè)務文件共享、內(nèi)網(wǎng)辦公軟件更新或內(nèi)網(wǎng)Web通過目標信息搜集所掌握的情況，充分把握目標內(nèi)網(wǎng)人員的辦公習慣直接進行文件替換或木馬植入。圖3- 供應鏈攻擊的三種途VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）網(wǎng)關(guān)、網(wǎng)絡(luò)運維入通過產(chǎn)品或應用提供商開展供應鏈攻擊主要是圍繞第三方系統(tǒng)、應用或設(shè)備開展工作，利用各種手段獲取第三方提供商的原廠設(shè)備或應用源碼，并對設(shè)備進行解剖分析或?qū)υ创a進行代碼審計以尋找其可能存在的安全漏洞，進而利用發(fā)現(xiàn)的漏洞實現(xiàn)對目標網(wǎng)絡(luò)的突破。實戰(zhàn)攻防演練中常用的第三方應用源碼獲取方式主要有兩種：一種是通過公開手段，在公網(wǎng)GitHub、Gitee集相關(guān)的應用源碼，這類源碼主要是由開發(fā)人員無意中泄露或公開發(fā)布的；另一種手段是通過滲透控制第三方提供商，控制第三方開發(fā)資源庫獲取相關(guān)設(shè)備或應用源碼，或者直接通過第三方提供商內(nèi)部獲取設(shè)備或應用的安全缺陷或后門。對第三方資源的利用則包括自主挖掘漏洞或原有后門利用、更新包捆綁惡意代碼并推送、對應用開發(fā)依賴文件包進行惡意代碼植入等，借助第三方設(shè)備或應用打開目標網(wǎng)絡(luò)的突破口，如SolarWinds供應鏈攻擊（見圖3-13）。圖3- 著名的SolarWinds供應鏈攻擊示意下面來看一個實戰(zhàn)攻防演練中通過應用提供商開展供應鏈攻擊的典型例子。圍繞目標展開的前期偵察發(fā)現(xiàn)，某網(wǎng)絡(luò)科技公司是該目標的無紙化系統(tǒng)提供商，遂針對該公司開展工作。利用該公司BBSdz漏洞控制該BBS論壇的后臺服務器，進一步拓展該公司的SVN服務行代碼審計，挖掘出0day漏洞；利用挖掘出的0dayVPNVPN是利用Internet等公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過隧道加密通信技術(shù)，為用戶提供安全的數(shù)據(jù)通信的專用網(wǎng)絡(luò)，可以實現(xiàn)不同網(wǎng)絡(luò)之間以及用戶與網(wǎng)絡(luò)之間的相互連接。通過VPN實現(xiàn)像本地訪問一樣的安全通信交互，遠程用戶或商業(yè)合作伙伴也可以安全穿透企業(yè)網(wǎng)絡(luò)的邊界，訪問企業(yè)內(nèi)部資源。隨著VPN構(gòu)、企業(yè)的網(wǎng)絡(luò)部署中越來越普遍，VPN公中占據(jù)越來越重要的地位。在VPN戶和外地出差人員可以隨時隨地通過VPN接入訪問內(nèi)部資料、辦公OA內(nèi)網(wǎng)郵件系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等，因此VPN入成為藍隊利用的攻擊手段之一。只要獲取了目標VPN網(wǎng)絡(luò)的接入權(quán)限，攻擊者就能仿冒合法認證接入目標內(nèi)網(wǎng)，并可以進一步隱蔽滲透（見圖3-14）圖3- VPN仿冒接入攻獲取VPN直接針對具有VPN接入權(quán)限的VPN網(wǎng)絡(luò)管理員、內(nèi)部個人用戶、分支機構(gòu)、合作伙伴或客戶開展網(wǎng)絡(luò)攻擊，通過滲透竊取他們的VPN賬戶口令或接入憑據(jù)，再仿冒其身份接入目標內(nèi)網(wǎng)進行進一步滲透拓展。藍隊攻擊獲取VPN認證信息的常用方式有以下幾個：·通過漏洞利用直接從VPN網(wǎng)關(guān)設(shè)備上獲取VPN控制VPN主要針對暴露在互聯(lián)網(wǎng)側(cè)的VPN利用控制VPN勢滲透內(nèi)網(wǎng)。藍隊控制VPN代碼執(zhí)行，添加管理員賬戶，控制網(wǎng)關(guān)設(shè)備，通過任意文件讀取漏洞未經(jīng)身份驗證地竊取網(wǎng)關(guān)設(shè)備管理憑據(jù)，或者通過注入漏洞獲取后臺管理數(shù)據(jù)庫中的賬戶口令信息。實戰(zhàn)攻防演練中有一個比較典型的例子是通過VPN破。在對某目標的前期偵察和探測中，在總部網(wǎng)絡(luò)上未發(fā)現(xiàn)任何可利用的薄弱點；隨即根據(jù)目標業(yè)務地域分散的特點，對其分支機構(gòu)開展偵察，在某分支機構(gòu)的網(wǎng)絡(luò)邊界發(fā)現(xiàn)FortinetVPN歷史漏洞；通過漏圖3- 某任務中的隧道代理案具、Linux系統(tǒng)自帶的ssh命令工具、Netcat、HTran、Lcx等；SOCKS理類工具，如frp、ngrok、Proxifier等。防火墻自帶的PPTP、L2TP或SSLVPN功能模塊實現(xiàn)VPN隱蔽接入目標內(nèi)圖3- 社會工程學攻Wi-Fi第4章藍隊攻擊的必備能力針對業(yè)務系統(tǒng)，而非IT人才的稀缺程度也是能力定級的重要參考因素。例如，在藍隊一方，掌握系統(tǒng)層漏洞利用的人只有1成左右；在iOS系統(tǒng)中，會編寫或EXP的人員也相對少見。因此，這些能力就被歸入了高階能力?！ぁ⑼诰颉⒗?、開發(fā)、分析等能力作為不同的技能來分類。比如，同樣是對于Web的能力分類。以前述分級與分類原則為基礎(chǔ)，本書將實戰(zhàn)化藍隊人才能力分為個級別、14類、85項具體技能。其中，基礎(chǔ)能力2類20項，進階能力4類23項，高階能力8類42項，如圖4-1所示。圖4- 實戰(zhàn)化藍隊人才能力圖主要包括BurpSuite、sqlmap、AppScan、AWVS、Nmap、Wireshark、MSF、CobaltStrike等基礎(chǔ)安全工具的利用能力。熟練的Web編寫PoC或EXPPoC是ProofofConcept的縮寫，即概念驗證，特指為了驗證漏洞難度也不同。針對Web應用和智能硬件/IoT設(shè)備等，編寫PoC或EXPDEP。DEP（DataExecutionProtection，數(shù)據(jù)執(zhí)行保護）的發(fā)惡意命令的執(zhí)行。而DEPPIE。PIE（Position-IndependentExecutable，地址無關(guān)可執(zhí)行文件）與PIC（Position-IndependentCode，地址無關(guān)代碼）含ASLR。ASLR（AddressSpaceLayoutRandomization，地址空SEHOP。SEHOP是StructuredExceptionHandlerOverwrite免殺技術(shù)。免殺（AntiAnti-Virus）是高級的網(wǎng)絡(luò)安全對抗掌握CPUMIPS。MIPS（MicrocomputerwithoutInterlockedPipelineARM。ARM（AdvancedRISCMachines），即ARM處理器，是英國Acorn公司設(shè)計的第一款低功耗RISC（ReducedInstructionSetPowerPC。PowerPC（PerformanceOptimizationWithEnhancedRISC-PerformanceComputing）是一種精簡指令集架構(gòu)的中的工具有IDA、Ghidra、Binwalk、OllyDbg、PeachFuzzer等。功能。GhidraP-Code是專為逆向工程設(shè)計的寄存器傳輸語言，能夠?qū)eachFuzzer。PeachFuzzer是一款智能模糊測試工具，廣泛用于發(fā)現(xiàn)軟件中的缺陷和漏洞。PeachFuzzer有兩種主要模式：基于編寫PoC或EXP要用于iPhone、iPodtouch、iPad上。這里iOS平臺代碼能力代指在力代指在macOS操作系統(tǒng)上找到漏洞并利用漏洞編寫PoC或EXP第5章藍隊經(jīng)典攻擊實例套使用遠程桌面的情況：首先通過遠程桌面登錄一臺主機A，附件：檢測程序圖5- 冒充客在有紅隊（防守方）參與的實戰(zhàn)攻防工作，尤其是有紅隊排名或通報機制的工作中，紅隊與藍隊通常會發(fā)生對抗。IP封堵與繞過、攔截與繞過、Webshell查殺與免殺，紅藍之間通常會展開沒有硝煙的戰(zhàn)爭。藍隊通過信息搜集找到目標企業(yè)的某個外網(wǎng)Web審計開展漏洞挖掘工作，發(fā)現(xiàn)多個嚴重的漏洞；另外還找到該企業(yè)的一個營銷網(wǎng)站，通過開展黑盒測試，發(fā)現(xiàn)該網(wǎng)站存在文件上傳漏洞。大的“分布式拒絕服務”，讓紅隊的防守人員忙于分析和應對；而隊長則悄無聲息地用不同的IP和瀏覽器指紋特征對Web求用最少的流量拿下服務器，讓威脅數(shù)據(jù)淹沒在營銷網(wǎng)站的攻擊洪水當中（見圖5-2）。圖5- 流量數(shù)據(jù)混淆WAF穿透的主要手通過這樣的攻擊方案，藍隊同時拿下營銷網(wǎng)站和Web網(wǎng)站上的動作更多，包括關(guān)閉殺軟、提權(quán)、安置后門程序、批量進行內(nèi)網(wǎng)掃描等眾多敏感操作；同時在Web網(wǎng)信息，直接建立據(jù)點，開展內(nèi)網(wǎng)滲透操作。和加固工作；而此時藍隊已經(jīng)在Web應用上搭建了FRPSocks代理，通在攻擊過程中，藍隊碰到過很多怪異的事情，比如：有的紅隊將網(wǎng)站首頁替換成一張截圖；有的將數(shù)據(jù)傳輸接口全部關(guān)閉，采用表格的方式進行數(shù)據(jù)導入；有的對內(nèi)網(wǎng)目標系統(tǒng)的IP做了限定，僅允許某個管理員IP訪問。圖5- 公司內(nèi)部的信任通聯(lián)常被攻擊者利藍隊決定利用三級子公司A的內(nèi)網(wǎng)對子公司B展開攻擊。利用Tomcat弱口令+上傳漏洞進入二級子公司B的內(nèi)網(wǎng)，利用該服務器導出的密碼在內(nèi)網(wǎng)中橫向滲透，繼而拿下二級子公司B在殺毒服務器中獲取到域管理員的賬號和密碼，最終獲取到二級子公司B的域控制器權(quán)限。在二級子公司B內(nèi)進行信息搜集發(fā)現(xiàn)：目標系統(tǒng)x托管在二級子公司C，由二級子公司C單獨負責運營和維護；二級子公司B內(nèi)有7名員工與目標系統(tǒng)x存在業(yè)務往來；7名員工大部分時間在二級子公司C但其辦公電腦屬于二級子公司B的資產(chǎn)，被加入二級子公司B的域，且經(jīng)常被帶回二級子公司B。根據(jù)搜集到的情報信息，藍隊以二級子公司B內(nèi)的7名員工作為突破口，在其接入二級子公司B后門。待其接入二級子公司C內(nèi)網(wǎng)后，繼續(xù)通過員工電腦實施內(nèi)網(wǎng)滲透，并獲取二級子公司C統(tǒng)x的管理員電腦，繼而獲取目標系統(tǒng)x的管理員登錄賬號，最終獲取目標系統(tǒng)x的控制權(quán)限。圖5- 對外暴露的協(xié)同辦公等業(yè)務系統(tǒng)是主要的被攻擊對藍隊小心翼翼地對管理員身份及遠程終端磁盤文件進行確認，并向該管理員的終端磁盤寫入了自啟動后門程序。經(jīng)過一天的等待，紅隊管理員果然重啟了終端主機，后門程序上線。在獲取到管理員的終端權(quán)限后，藍隊很快發(fā)現(xiàn)，該管理員為單位運維人員，主要負責內(nèi)部網(wǎng)絡(luò)部署、服務器運維管理等工作。該管理員使用MyBase工具對重要服務器信息進行加密存儲。攻擊隊通過鍵盤記錄器，獲取了MyBase主密鑰，繼而對MyBase數(shù)據(jù)文件進行了解密，最終獲取了包括VPN機、虛擬化管理平臺等關(guān)鍵系統(tǒng)的賬號及口令。的IP段內(nèi)找到一臺服務器并完成getshell，第6章紅隊防守的實施階段圖6- 備戰(zhàn)階段組織架構(gòu)領(lǐng)導擔任組長（局長、主任或集團副總以上級別），由高層領(lǐng)導組成領(lǐng)導小組，統(tǒng)一領(lǐng)導、指揮和協(xié)調(diào)備戰(zhàn)階段的準備工作，定期聽取備戰(zhàn)指揮組的工作匯報。領(lǐng)導小組的主要職責如下?！ぁご_定戰(zhàn)時目標（戰(zhàn)略目標：零失分、保障排名等）·審核并確定防護范圍（是否包含下轄單位及子公司等）·····定期聽取備戰(zhàn)指揮組的工作匯報并做出批示（紅線）領(lǐng)導組成備戰(zhàn)指揮組，具體組織安全自查與整改、防護與監(jiān)測設(shè)備部署、人員能力與意識提升、應急預案制定以及外協(xié)單位聯(lián)絡(luò)等戰(zhàn)前準備工作，與監(jiān)管單位建立長效溝通機制，保持隨時聯(lián)絡(luò)。備戰(zhàn)指揮組的主要職責如下?！ぁぁぁぁぁぁぁぁ鼍W(wǎng)絡(luò)架構(gòu)、出口IP■集權(quán)系統(tǒng)（如網(wǎng)管系統(tǒng)）··■網(wǎng)絡(luò)設(shè)備特權(quán)賬號及基線檢查（弱口令）組的部分成員組成，負責安全設(shè)備風險整改、新增安全設(shè)備部署等安全防護相關(guān)工作?！ぁ黾瘷?quán)系統(tǒng)梳理（如堡壘機、安全監(jiān)控系統(tǒng)··■VPN用的基礎(chǔ)環(huán)境（操作系統(tǒng)、中間件、云、容器）的資產(chǎn)梳理、風險識別及整改等相關(guān)工作?！ぁ黾瘷?quán)系統(tǒng)（如域控、云管平臺、集群管理系統(tǒng)）··■集權(quán)系統(tǒng)（如SSO、認證系統(tǒng)、4A系統(tǒng)）■重要系統(tǒng)（含靶標系統(tǒng)）···圖6- 實戰(zhàn)階段組織架構(gòu)應成立演練領(lǐng)導小組，統(tǒng)一領(lǐng)導和指揮攻防演練工作。領(lǐng)導小組的主要職責如下?！ぁぁぁさ墓ぷ魅蝿眨唧w管理和協(xié)調(diào)攻防演練工作，向上級單位、戰(zhàn)時指揮部匯報工作。演練指揮組的主要職責如下。···監(jiān)測組。由網(wǎng)絡(luò)、安全、系統(tǒng)、應用等多個監(jiān)控點的人員組初步滲透的能力?！ぁぁぁぁぁぁ魝?cè)應用系統(tǒng)相似的測試系統(tǒng)，禁止留存客戶側(cè)相關(guān)的敏感信息（包括但不限于賬號和密碼信息、配置信息、人員信息）。露在互聯(lián)網(wǎng)上的資產(chǎn)，查找未知資產(chǎn)及未知服務，形成互聯(lián)網(wǎng)系統(tǒng)資產(chǎn)清單；明確資產(chǎn)屬性和資產(chǎn)信息，對無主、不重要、高風險資產(chǎn)進行清理。識別等內(nèi)容，明確內(nèi)網(wǎng)資產(chǎn)狀況，形成資產(chǎn)清單，便于后續(xù)的整改加固，在應急處置時可及時通知責任人，還可對暴露的相關(guān)組件漏洞及時進行定位修補；而對重要系統(tǒng)的識別（含集權(quán)系統(tǒng)）也便于后續(xù)對重要系統(tǒng)開展防護及業(yè)務流梳理工作。統(tǒng)、區(qū)域、IP入口，了解防護監(jiān)控狀況，與參加業(yè)務連接單位聯(lián)防聯(lián)控，建立安全事件通報機制。系統(tǒng)以及公有云資產(chǎn)，明確云資產(chǎn)狀況，形成資產(chǎn)清單，便于后續(xù)的整改加固，在應急處置時可及時通知責任人，還可對暴露的相關(guān)組件漏洞及時進行定位修補。響安全防護工作的順利進行。根據(jù)近幾年防守項目的經(jīng)驗，評估客戶在關(guān)鍵地方缺失的安全防護設(shè)備。專項清查。對攻擊隊采用的重點攻擊手段及目標進行專項清避免存在高風險、低成本的問題。Web安全檢測。Web漏洞隱患，驗證之前發(fā)現(xiàn)的安全漏洞隱患是否已經(jīng)整改到位。在條件允許的情況下，針對重要信息系統(tǒng)進行源代碼安全檢測、安全漏洞掃描與滲透測試等Web安全檢測，重點應檢測Web入侵的薄弱環(huán)節(jié)，例如弱口令、任意文件上傳、中間件遠程命令執(zhí)行、SQL注入等。應根據(jù)實戰(zhàn)工作要求，結(jié)合自身實際情況編寫《網(wǎng)絡(luò)安全應急預案》。預案的主要內(nèi)容應包括工作目標、應急組織架構(gòu)、工作內(nèi)容及流程（監(jiān)測與分析、響應與處置）等，具體事件應包括Web擊事件、弱口令爆破事件、任意文件上傳事件、跳板代理攻擊事件攻擊者除了使用Web等方式進行攻擊，每一個系統(tǒng)接觸者都有可能成為攻擊目標。攻擊者可能通過郵件甚至互聯(lián)網(wǎng)發(fā)布文章等方式，誘導工作人員下載惡意遠控程序，成為非法入侵的突破口?！ぁづR戰(zhàn)階段的動員工作建議從以下4的控制權(quán)。集權(quán)類系統(tǒng)包括域控制器服務器（DomainController）、在實戰(zhàn)階段，從技術(shù)角度總結(jié)，應重點做好以下4（0day或Nday）攻擊、HTTPOPTIONS方法攻擊、SSL/TLS存在BarMitzvahAttack漏洞····生成漏洞分析報告并提交給信息安全經(jīng)理和IT·的安全加固方案（包括回退方案），·第7章紅隊常用的防守策略自動化的IP第8章紅隊常用的防護手段·學術(shù)網(wǎng)站類，如知網(wǎng)CNKI、Google·網(wǎng)盤類，如微盤Vdisk、百度網(wǎng)盤、360·代碼托管平臺類，如GitHub、Bitbucket、GitLab、Gitee·招投標網(wǎng)站類，自建招投標網(wǎng)站、??··社交平臺類，如微信群、QQ2）管理好供應商內(nèi)部SVN/GitWi-Fi關(guān)閉Wi-FiVPNVPN權(quán)限清理：對于撥入VPN開放在互聯(lián)網(wǎng)上的API1）通常情況下，WebAPI是基于HTTP份認證信息，通常使用的是APIkey。關(guān)閉不需要的API功能（如文件上傳功能）本單位根據(jù)IT關(guān)閉不安全的登錄或傳輸協(xié)議，如Telnet④不對外開放后臺管理端口或敏感目錄；2）⑤禁止在生產(chǎn)環(huán)境發(fā)布測試系統(tǒng)。⑤如無特殊需求，HTTP傳輸方式固定為只允許POST和GETWebWeb除了常見的Web漏洞（OWASPTOP10）和常規(guī)滲透測試，還應注意②遵從最小應用原則，刪除不用的應用組件。①禁止將CMS②盡量隱藏商業(yè)CMS③刪除不使用的功能模塊。②遵從最小應用原則，刪除不用的功能組件。③及時更新商業(yè)廠商提供的漏洞補丁。Web接口，②編寫Web③WebAPI請求與響應在傳輸過程中的數(shù)據(jù)保密⑤關(guān)閉不需要的API功能（如文件上傳功能）API必須使用文件上傳功能，則需要對上傳文件擴展名（或管理后臺（路徑）②限制訪問后臺的IP⑤測試用戶名登錄和密碼參數(shù)是否存在SQLIP才可以訪問管AppApp·App·App·App·App·App·AppApp·Activity·BroadcastReceiver·Service·ContentProviderSQL·WebViewApp·App通信安全檢測，如是否采用HTTPS·運行環(huán)境安全檢測，如反越獄檢測、ROOT··第9入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）是一部能Web效緩解網(wǎng)站及Web應用系統(tǒng)面臨的威脅（如OWASPTOP10中定義的常見驗、Web特征庫（基于OWASPTOP10標準）、爬蟲規(guī)則、防盜鏈規(guī)則、驗證級別、攻擊源IP、攻擊域名、攻擊類型、攻擊次數(shù)、CDNIP、XFFWeb云抗D：可以防御攻擊者對網(wǎng)站發(fā)起的SYNFlood攻擊、ACKURL的傳輸路徑的多維分析。通過關(guān)鍵信息進行檢索，實現(xiàn)軟件的漏洞數(shù)量也在飛速增長。WhiteSource2020年發(fā)布的報告顯運維安全管理與審計系統(tǒng)（堡壘機流量威脅感知系統(tǒng)基于網(wǎng)絡(luò)流量和終端EDR規(guī)則引擎、文件虛擬執(zhí)行、機器學習等技術(shù)，精準發(fā)現(xiàn)網(wǎng)絡(luò)中針對主機與服務器的已知高級網(wǎng)絡(luò)攻擊和未知新型網(wǎng)絡(luò)攻擊的入侵行為，利用本地大數(shù)據(jù)平臺對流量日志和終端日志進行存儲與查詢，結(jié)合威脅情報與攻擊鏈分析對事件進行分析、研判和回溯，同時，結(jié)合邊界NDR、終端EDR及自動化編排處置可以及時阻斷威脅。高級威脅檢測：運用威脅情報、文件虛擬執(zhí)行、智能規(guī)則引擎、機器學習等技術(shù)，可以檢測和發(fā)現(xiàn)高級網(wǎng)絡(luò)攻擊與新型網(wǎng)絡(luò)攻擊，涵蓋APT攻擊、勒索軟件、Web術(shù)清晰地展示網(wǎng)絡(luò)中的威脅。習技術(shù)建立網(wǎng)絡(luò)異常行為檢測模型，內(nèi)置非常規(guī)服務分析、登錄行為分析、郵件行為分析、數(shù)據(jù)行為分析等數(shù)種場景，實現(xiàn)對新型攻擊和內(nèi)部違規(guī)的檢測與發(fā)現(xiàn)。線分析能力（威脅狩獵），能夠呈現(xiàn)一次攻擊的完成過程，有助于對網(wǎng)絡(luò)攻擊進行回溯和深度分析。流量是否全面，除了南北向的流量，也要搜集東西向的橫向流量，威脅感知的范圍要盡量覆蓋全網(wǎng)絡(luò)。規(guī)則等進行優(yōu)化，將網(wǎng)絡(luò)掃描、業(yè)務正常訪問等觸發(fā)的告警進行調(diào)整和優(yōu)化，減少誤報的告警，專注于真實的告警。數(shù)據(jù)的安全，這給流量威脅感知系統(tǒng)帶來了不小的挑戰(zhàn)。建議在負載均衡等設(shè)備上對加密流量進行解密，再將解密后的流量上傳到流量威脅感知系統(tǒng)的傳感器，以便于及時發(fā)現(xiàn)加密流量中的威脅。流量威脅感知系統(tǒng)采用旁路部署的模式，將設(shè)備部署于安全管理區(qū)，利用鏡像的方式將流量鏡像給探針（見圖9-1）區(qū)域的流量匯聚到探針，對用戶網(wǎng)絡(luò)中的流量進行全量檢測和記錄。所有網(wǎng)絡(luò)行為都將以標準化的格式保存于系統(tǒng)中，結(jié)合云端威脅情報與本地分析平臺進行對接，提供發(fā)現(xiàn)本地威脅的通道，并對已發(fā)現(xiàn)的問題進行攻擊回溯。圖9- 實戰(zhàn)中的部署方式或位圖9- 蜜罐系統(tǒng)在實戰(zhàn)中的部署位攻擊IP在掃描或滲透真實受害IP終端安全響應系統(tǒng)（EndpointDetectionandResponse，EDR）應用動態(tài)防護（Runtimeapplicationself-protection，行安全加固，抵御來自外來Web終端安全準入系統(tǒng)（NetworksAccessControl，NAC）主要用于終端安全管理系統(tǒng)應與下一代防火墻（NGFW）IP信譽情報：如是否有歷史攻擊行為（第10章紅隊經(jīng)典防守實例及時更新進度，做到事事有人管。工作計劃（部分）如表10-1表10- 工作計劃（部分（續(xù)表漏洞修復是開展網(wǎng)絡(luò)安全防控工作的基礎(chǔ)。該金融單位開展了開源組件掃描、漏洞掃描和滲透測試，建立風險動態(tài)管理臺賬，緊盯問題一對一整改，問題整改完成率高達90%服務情況，關(guān)閉無用端口，切斷不必要的訪問渠道，梳理網(wǎng)上交易攻防演練是檢驗網(wǎng)絡(luò)安全防護能力的重要手段。攻防演練前，該金融單位參考攻防演練規(guī)則，開展了為期7檢驗安全防護效果和應急處置機制，對存在的不足與問題提前發(fā)現(xiàn)、提前解決，進一步完善了監(jiān)測、研判、處置等各環(huán)節(jié)的協(xié)同配合能圖10- 組織架構(gòu)時溝通，導致安全事件信息傳遞不及時、信息傳遞有損失的情況。該金融單位采用內(nèi)部即時通信工具，按照不同事件類型進行職責分工分組，達到安全事件信息高效傳遞、準確研判，并通過威脅運營平臺進行事件上報工作，安全監(jiān)測人員發(fā)現(xiàn)疑似攻擊成功事件時，可以直接反饋給研判專家，由研判專家進行分析，確保每個事件有人跟進，完成閉環(huán)。國家監(jiān)管機構(gòu)的威脅情報，對搜集的情報信息進行甄別并評估加固工作，及時對子公司進行通告預警，從而在很大程度上預防未知風險導致的入侵行為。圖10- 分級防護策略···所有Web頁面、VPN、API、App···圖10- 防護工作階段規(guī)通過互聯(lián)網(wǎng)暴露信息清查，集團發(fā)現(xiàn)了原來未掌握的暴露在互聯(lián)網(wǎng)上的網(wǎng)站、郵