HW的起源和演变过程
概述
护网行动网络攻防演习是由公安机关所组织的,覆盖政府、能源、交通、卫生以及金融教育等行业中去集中的网络攻防演练行动,其时间约为2-3周。
攻击方式:组织其120-130支攻击队伍,对各个行业重点单位目标系统对其重点攻击,检验防守方对攻击的防护以及看目标单位的系统安全性,以积分的方式对其确定防守方的排名。
参演方
攻击方:由公安机关授权的国家科研机构、安全公司/团队组成。
防守方:防守企业。
指挥部:根据攻防双方报告的信息,进行评分。
HW前的蓝队准备
系统安全
系统:Windows * 打补丁
使用沙箱:BufferZone,SandBox,360沙箱,Returnil,Private Workplace等沙箱软件。
配置蜜罐软件:着重讲解HFish蜜罐
检测内网警告:分析日志报告
社工防守安全
预防钓鱼:HW钓鱼方式有很多种,防不胜防,列如:一封邮件,标题:关于2022护网暂停通知.doc。
物理层面:物理层面无人机绑定大菠萝对其打入内网进行渗透。
HFish蜜罐系统
download: https://hfish.io/#/
Hfish蜜罐是一款成熟的蜜罐系统,该蜜罐系统具有多种服务协议,搭建简单,有手就行
反制物理黑客-无人机劫持IOT技术
通过智能收集在没有其他控制器的情况下控制DJI无人机。对DJI Spark来说,控制器是可以单独售卖也可以与Spark Combo一起售卖,在没有控制器的情况下,手机应用就是唯一可以控制DJI Spark的,无人机会创建一个WIFI热点来供应用连接,热点使用WPA2协议确保安全的,并且同时只允许一个用户连接。
web-socket接口可以完全访问FIWI网络设定,通过建立web-socket服务器的网络连接,攻击者可以看到WIFI网络的设定并与另一个人的无人机建立连接,但是如果改变了设置,无人机就会与用户断开连接,攻击者就会变成无人机的独有者。
https://github.com/embedi/dji-ws-tools/blob/master/dji_ws_exploit.py
简单暴力,直接使用
aireplay-ng打WIFI,从而导致无人机失联状态。
防伪后缀名文件钓鱼
第一种后缀欺骗方式
第二种后缀欺骗方式
蓝队溯源反制技术
情报收集
IP反查
批量ip归属
威胁情报推荐地址
样本查询地址
精准定位
利用钓鱼邮件溯源
在邮件头部信息中查看
X-Originating-IP选项,可以获取发送者的IP地址。
Windows RDP日志溯源
Windows系统系统日志位于
计算机管理->系统工具->事件查看器->Windows日志
4648日志代码,RDP登陆成功,可溯源到IP地址
4625日志代码,RDP登陆失败,可溯源到IP地址
Linux日志文件溯源
/var/log/mysql.log | Mysql登陆日志
/var/log/httpd/access.log | httpd登陆日志
/用户/.bashrc | 记录用户操作日志
/var/log/auth.log | 包含系统授权信息,包括用户登陆和使用的权限机制等信息
/var/log/lastlog | 记录登陆的用户,可以使用命令lastlog查看
/var/log/secure | 记录大多数应用输入的账号与密码,登陆成功与否
/var/log/cron | 记录crontab命令是否被正确的执行
https://github.com/JeffXue/web-log-parser日志分析工具
WAF红队攻击特征信息
cobalt strike反制
大部分的时间我们就可以直接去看WAF得到有关的攻击信息,当WAF被报警的时候,我们得到的就是攻击者发来的payload,其中有命令执行反弹shell,我们就可以直接溯源到对方的IP地址。
其中sqlmap的特征最为明显,因为注入语句被编码了好几次,并且一眼就看出来尝试在注入。
另外还有fastjson,weblogic,shiro中间件漏洞等,大部分都会被WAF检测到。
cobalt strike我们可以使用python脚本进行爆破cs服务器,爆破完成后我们即可控制其该红队cs服务器。
可以使用csbruter工具进行爆破。
暴力反制cobalt strike
如果cs无法爆破出来,我们可以将自己的cs目标IP和端口修改成所反制的源地址IP和端口,之后上传杀毒网站。
对方会上线无数个来自杀毒病毒库分析的机器,并且其造成一定的骚扰。
评论区