护网行动有什么用?护网行动蓝队做哪些准备
护网行动有什么用?护网行动蓝队做哪些准备指定URL的关键字目前常规的指纹识别技术主要分为两种:一种是针对HTTP的指纹识别,通过对URL请求得到的各种响应信息进行特征匹配,从而判断指纹;另一种是针对TCP/IP协议栈的指纹识别,我们可以通过向对方发送一系列精心设计的报文,分析对方响应,从而判断指纹。指纹识别人的皮肤由表皮、真皮和皮下组织三部分组成。指纹就是表皮上突起的纹线。由于人的遗传特性。虽然指纹人人皆有,但各不相同。在互联网数字资产管理中,数字资产指纹就是数字资产的“身份证”,也是信息系统安全管理工作的基础。通过网络资产探测(指纹)可以在0day 爆发时快速匹配到受影响的信息系统;还可以发现违规开放的资产,为安全运营管理提供便利,确保安全制度的稳健实施。指纹识别更是基线管理的基础,正如生物指纹对于生物的价值一样,数字资产指纹识别也在数字资产管理中起到了至关重要的作用。所以,不论对于攻击方还是防守方,数字资产的指纹信息的收集都
资产收集
1. 什么是资产资产,是指企业过去的交易或者事项形成的,由企业拥有或者控制的,预期会给企业带来经济利益的资源。而我们这里说的是企业的网络资产,即计算机(或通讯)网络中使用的各种设备。主要包括服务器(或个人PC)、网络设备(路由器、交换机等)和安全设备(IPS、态势感知平台、WAF等)。
随着企业内部业务的不断壮大,各种业务平台和管理系统越来越多,很多企业往往存在着“隐形资产”,这些“隐形资产”通常被管理员所遗忘,长时间无人维护,导致存在较多的已知漏洞。
2. 资产收集及漏洞管理作为企业内部网络安全建设的基础环节,资产的收集以及对应的管理,尤其是漏洞管理,都是网络安全建设的基础。
2.1. 资产收集第一步--已入网设备的收集- 收集手段:根据历史登记记录查询或者使用扫描方式对网络环境内部进行活跃主机探测。
- 收集目标:覆盖所有已入网设备,包括云、IoT设备等,建立相应的库表结构存储,定期复测,有序更新。
- 资产收集第二步--新入网设备的收集
- 收集手段:入网登记或者使用智能入网探测机制,可以利用网络探测技术,或者入网联通身份验证机制做收集。
- 收集目标:覆盖所有新入网设备,包括云、IoT设备等,建立相应的库表结构存储,定期复测,有序更新。
- 资产收集第三步--虚拟资产的收集
- 虚拟资产:包括但不限于重要数据记录、IP地址、MAC地址、主域名、子域名、CNAME记录、MX记录、NS记录、A记录等等。
- 收集手段:登记审核机制以及扫描解析请求。
- 收集目标:覆盖所有虚拟资产,建立相应的库表结构存储,定期复测,有序更新。
- 资产分析第一步--主机os、SOFTWARE、SERVICES等信息收集
- 技术手段:扫描。(可使用Nmap、Fscan等工具对企业资产进行全面的扫描)
- 收集信息:os系统信息(包含口令信息)、网络协议栈信息(MAC、IP、PORT、Protocol、SERVICES)、软件信息(软件名称、版本)
- 收集目标:覆盖所有以上信息,并定期追踪探测,有序更新。
- 资产分析第二步--漏洞库建立
- 收集方法:有条件的建立自己的SRC和漏洞平台,众测收集漏洞;自身,或邀请有资质的机构进行渗透测试,挖掘漏洞,并记录进入自己的漏洞库;关注CVE、CNNVD进行同步。
- 收集内容:漏洞危险等级,漏洞影响范围、软件、版本,漏洞测试方法、漏洞修补方法。
- 收集目标:尽量覆盖所有相关漏洞信息,并定期追踪探测,有序更新。
- 资产分析第三步--漏洞检查修复
- 漏洞匹配阶段:资产信息与漏洞库匹配检查,必要时使用poc测试(可使用企业购买的漏扫设备或开源的扫描器,如Xray、pocsuite等)。
- 漏洞修复阶段:分等级限期修复,修复好验证。无法修复的记录,并制定其他限制策略。
指纹识别
1. 什么是指纹人的皮肤由表皮、真皮和皮下组织三部分组成。指纹就是表皮上突起的纹线。由于人的遗传特性。虽然指纹人人皆有,但各不相同。
在互联网数字资产管理中,数字资产指纹就是数字资产的“身份证”,也是信息系统安全管理工作的基础。通过网络资产探测(指纹)可以在0day 爆发时快速匹配到受影响的信息系统;还可以发现违规开放的资产,为安全运营管理提供便利,确保安全制度的稳健实施。指纹识别更是基线管理的基础,正如生物指纹对于生物的价值一样,数字资产指纹识别也在数字资产管理中起到了至关重要的作用。所以,不论对于攻击方还是防守方,数字资产的指纹信息的收集都是非常重要的。
2. 指纹识别原理目前常规的指纹识别技术主要分为两种:一种是针对HTTP的指纹识别,通过对URL请求得到的各种响应信息进行特征匹配,从而判断指纹;另一种是针对TCP/IP协议栈的指纹识别,我们可以通过向对方发送一系列精心设计的报文,分析对方响应,从而判断指纹。
2.1 几种常用的指纹识别方式- 网页中发现关键字:先访问首页或特定页面,通过正则的方式去匹配某些关键字
- 特定文件的MD5(主要是静态文件、不一定要是MD5):通过爬取网站的特定图片文件、js文件、CSS等静态文件进行抓取并比对md5值
- 请求头信息的关键字匹配:根据网站response返回头信息进行关键字匹配
指定URL的关键字
- 基于TCP/IP请求协议识别服务指纹
- 指纹识别常用工具
- Wapplyzer
https://www.wappalyzer.com/
Wapplyzer是基于正则表达式来识别web应用的,它是一个浏览器的插件形式存在的。
https://github.com/urbanadventurer/WhatWeb
WhatWeb可以用来确定服务器使用的CMS、博客平台、统计分析软件包、JavaScript库等。
https://github.com/s7ckTeam/Glass
Glass是一款针对资产列表的快速指纹识别工具,通过调用Fofa/ZoomEye/Shodan/360等api接口快速查询资产信息并识别重点资产的指纹,也可针对IP/IP段或资产列表进行快速的指纹识别。
https://github.com/EdgeSecurityTeam/EHole
EHole是一款对资产中重点系统指纹识别的工具。EHole(棱洞)2.0提供了两种指纹识别方式,可从本地读取识别,也可以从FOFA进行批量调用API识别(需要FOFA密钥),同时支持结果JSON格式输出。
https://www.yunsee.cn/
https://fp.shuziguanxing.com/
http://finger.tidesec.net/
常用服务/协议简介
SSH 服务
SSH 是 Secure Shell Protocol 的简写,由 IETF 网络工作小组(Network Working Group )制定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全。利用 SSH 协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件,如telnet(23端口,非加密的)等。
在默认状态下,SSH服务主要提供两个服务功能:
- 一是提供类似telnet远程联机服务器的服务,即上面提到的SSH服务。
- 另一个是类似FTP服务的sftp-server 借助SSH协议来传输数据的.提供更安全的SFTP服务(vsftp,proftp)。
默认端口:22
FTP服务
FTP为文件传输协议,通常用作对远程服务器进行管理,典型的使用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全,甚至黑客通过提权可以直接控制服务器. ftp配置一般分为两种配置方式,第一种是使用系统软件来配置,第二种是通过第三方软件来配置。
默认端口:20(数据端口);21(控制端口);
NFS 服务
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。
默认端口:2049(TCP)
Telnet 服务
Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。
默认端口:23
Samba服务
Samba是Linux和unix系统上实现SMB/CIFS协议的一个免费软件,由服务器和客户端程序构成。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。
默认端口:445 (TCP)
Windows远程桌面连接
远程桌面是提供的一种远程控制功能.通过它我们能够连接远程计算机,访问它的所有应用程序、文件和网络资源,实现实时操作,如在上面安装软件、运行程序、排查故障等。好像你正坐在那台计算机前面一样.不论实际距离有多远。
默认端口:3389
DHCP服务
DHCP(动态主机配置协议)是一个局域网的网络协议,使用Udp协议工作,给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的目的。
默认端口:67(Udp)、68(Udp)
Tips:客户端属向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。
DNS服务
DNS是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,使用的是UDP协议的53号端口,它用于TCP/IP网络,它所提供的服务是用来将主机名和域名转换为IP地址的工作。
默认端口:53
VNC服务
VNC(Virtual Network Computing),为一种使用RFB协议的显示屏画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的显示屏画面。
默认端口:5900 桌面ID(5901;5902)
SMTP协议
SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知。
默认端口:25(smtp)、465(smtps)
POP3协议
本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。
默认端口:109(POP2)、110(POP3)、995(POP3S)
IMAP协议
MAP以前称作交互邮件访问协议,是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。
默认端口:143(imap)、993(imaps)
SNMP协议
简单网络管理协议(SNMP)是专门设计用于在IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
默认端口:161
rsync服务
rsync是linux系统下的数据镜像备份工具。使用快速增量备份工具Remote Sync可以远程同步,支持本地复制,或者与其他SSH、rsync主机同步。
默认端口:873
常见端口/服务漏洞列表汇总
|
端口 |
服务 |
常见漏洞 |
|
20/21/69 |
FTP/TFTP文件传输协议 |
嗅探、爆破、匿名漏洞 |
|
22 |
SSH远程连接 |
爆破、OpenSSH漏洞 |
|
23 |
Telnet远程连接 |
爆破、嗅探、弱口令 |
|
25 |
SMTP邮件服务 |
邮件伪造、未授权访问、弱口令 |
|
53 |
DNS域名系统 |
允许区域传送、DNS劫持、缓存投毒、欺骗 |
|
67/68 |
Dhcp动态主机配置协议 |
劫持、欺骗 |
|
80/443/8080 |
常见Web服务端口 |
Web攻击、爆破、对应服务版本漏洞 |
|
110 |
POP3邮局协议版本3 |
爆破、嗅探、弱口令 |
|
137/139 |
Samba |
爆破、未授权访问、远程代码执行 |
|
143 |
Imap |
爆破、弱口令 |
|
161 |
SNMP协议 |
爆破、搜集目标内网信息 |
|
389 |
Idap |
注入、未授权访问、爆破 |
|
445 |
Samba |
操作系统溢出漏洞、永恒之蓝 |
|
873 |
rsync |
未授权访问、文件上传 |
|
1099 |
JAVArmi |
命令执行 |
|
1352 |
Lotus dominion邮件服务 |
爆破、信息泄露、弱口令 |
|
1433 |
mssql |
注入、提权、SAP弱口令、爆破 |
|
1521 |
oracle |
注入、爆破、反弹Shell |
|
2049 |
NFS 服务 |
配置不当导致的未授权访问 |
|
2181 |
Zookeeper |
未授权访问 |
|
2601 |
zebra |
默认密码zebra |
|
3128 |
Squid |
匿名访问 |
|
3306 |
Mysql |
注入、提权、爆破 |
|
3389 |
RDP |
远程桌面弱口令、爆破、Shift后门 |
|
4440 |
rundeck |
弱口令 |
|
4848 |
GlassFish控制台 |
弱口令、认证绕过 |
|
5432 |
Postgresql |
弱口令爆破、注入 |
|
5631/5632 |
pcanywhere |
拒绝服务漏洞、提权、命令执行 |
|
6379 |
Redis |
未授权访问、弱口令爆破 |
|
7001 7002 |
Weblogic控制台 |
Java 反序列化、弱口令 |
|
8080/8089 |
Jboos/Resin/Jetty/Jenkins |
反序列化、控制台弱口令 |
|
8068 |
Zabbix 服务 |
远程执行、SQL注入 |
|
9200/9300 |
Elasticsearch 服务 |
远程执行、未授权访问 |
|
9080/9090 |
WebSphere控制台 |
Java 反序列化、弱口令 |
|
10000 |
Webmin-Web控制面板 |
弱口令 |
|
27017/27018 |
MongoDB |
爆破、未授权访问 |
|
50000 |
SAP |
命令执行 |
|
8088/50070 |
Hadoop |
未授权访问、命令执行 |
重要精华都放在后面
护网红队作战手册
https://cloud.tencent.com/developer/article/1647861
从攻击者角度解读防护思路
https://www.77169.net/html/256393.html
红蓝对抗浅谈
https://he1m4n6a.github.io/2020/04/30/红蓝对抗浅谈/
一.安全意识
护网行动及注意事项
https://www.jianshu.com/p/bd16e0b1bf95
二.自我排查
资产收集
安全护网前信息收集
https://www.jianshu.com/p/0a26d9c98ef7
安全护网前信息收集
https://blog.csdn.net/Chenamao/article/details/107675331
企业安全之做好这三点,护网没在怕!
https://www.cnblogs.com/Security-X/p/11245237.html
全流程信息收集方法总结
https://www.freebuf.com/articles/database/195169.html
安全加固
护网行动,2020年具体防护措施
https://blog.csdn.net/panshi5188/article/details/108594514
Windows安全加固手册
https://www.cnblogs.com/skkip/p/10040743.html
Linux安全加固手册
https://www.cnblogs.com/skkip/p/10074096.html
三.安全运营
我理解的安全运营
https://zhuanlan.zhihu.com/p/39467201
安全运营三部曲:概念篇
https://www.secrss.com/articles/14225
安全运营三部曲:安全响应中心与企业文化
https://www.secrss.com/articles/14453
安全运营三部曲:安全生态与运营国际接轨
https://www.secrss.com/articles/15416
从运营角度看安全团队的成长
https://www.secrss.com/articles/17524
认识安全设备
https://zhuanlan.zhihu.com/p/37304834
WAF如何配置
https://help.aliyun.com/document_detail/85047.html?spm=a2c4g.11186623.6.641.4553daa6j9BszL
以攻促防:企业蓝军建设思考(甲方可参考 项目经理/安全顾问可参考)
作者:[TSRC &腾讯蓝军]Mark4z5(小五)
https://security.tencent.com/index.php/blog/msg/133
网络安全实战攻防演练丨防守方案经验分享(厂商视角)
https://m.k.sohu.com/d/512435641?channelId=13557&page=1
护网Linux应急处置操作手册-Tools篇
https://cloud.tencent.com/developer/article/1706274
护网之Linux应急处理操作手册
https://www.bugfor.com/vuls/6751.html
应急响应总结
https://he1m4n6a.github.io/2020/03/30/应急响应总结/
四.日志分析
CTF-MISC-日志分析
https://www.jianshu.com/p/bb5b4c31f4f5
流量分析
网络流量数据包分析工具Brim
https://www.sohu.com/a/387864935_490113
流量分析在安全攻防上的探索实践
https://www.secrss.com/articles/18924
日志审计系统的基本原理与部署方式
https://blog.csdn.net/qq_38265137/article/details/106790419
企业安全日志分析系统建设
https://www.secrss.com/articles/3082
五.溯源
安全分析–追踪溯源的找人思路
https://www.cnblogs.com/KevinGeorge/p/8402190.html
浅谈攻击溯源的一些常见思路
https://blog.csdn.net/momo_sleet/article/details/95737288
调查Web应用攻击事件:如何通过服务器日志文件追踪攻击者
https://www.anquanke.com/post/id/86391
蓝队实战溯源反制手册分享 来源于TimelineSec,作者璠淳
https://www.77169.net/html/267618.html
追踪邮件发送者的地理位置 SilentAssassin
https://blog.csdn.net/yao5hed/article/details/81050422
红蓝演习对抗之溯源篇 nini_boom
https://blog.csdn.net/nini_boom/article/details/106578723
安全攻击溯源思路及案例
https://www.cnblogs.com/xiaozi/p/13817637.html
攻击溯源手段
https://www.eumz.com/2020-09/2000.html
红蓝对抗中的溯源反制实战
https://www.secrss.com/articles/27611
红蓝对抗-反制
https://blog.csdn.net/qq_41874930/article/details/110178462
六.汇报机制
HW总结报告模板之一
https://www.eumz.com/2020-09/2058.html
HW总结报告模板之二
https://www.eumz.com/2020-09/2054.html
七.总结篇
2020护网期间公布漏洞总结-附部分漏洞Poc Exp
https://cloud.tencent.com/developer/article/1764324
2020hw漏洞汇总
http://www.saltor.cn/posts/71
2019护网行动防守总结
http://www.liuhaihua.cn/archives/690787.html
关于HW护网行动的一些知识(厂商/销售/售前视角)
https://www.pianshen.com/article/16881740503/
我眼中的云护网
https://www.4hou.com/posts/Lnnv
护网演习 攻与防的总结
https://www.freebuf.com/column/237828.html
红蓝对抗的一些感想
https://blog.csdn.net/nini_boom/article/details/106749452
一次攻防实战演习复盘总结很详细
https://nosec.org/home/detail/2673.html
近些年的护网行动都有哪些骚操作?
https://www.geekmeta.com/article/1855725.html
从资产梳理到内网横向渗透,网络安全红蓝对抗“防坑”总结
https://www.sohu.com/a/359379551_472906
攻防演练实战中的若干Tips
https://www.ershicimi.com/p/59ad52c5a817ae89f9fcf2ab1c8f10bc
我的hw2019总结 本文作者: M09ic
https://m09ic.top/posts/44974/
实践分享|红队视角下的防御体系突破 来源:奇安信安全服务
http://cn-sec.com/archives/145972.html
护网行动防守小总结
https://my.oschina.net/u/4290910/blog/4501175
移动端
https://www.sohu.com/a/236572713_744135
2020年“护网行动”红方漏洞利用总结-1
https://www.cxthhhhh.com/2020/09/18/summary-of-red-vulnerability-utilization-of-network-protection-action-in-2020-1.html
蓝队视角下的“HVV利剑”-钓鱼攻击案例分享与总结
https://cloud.tencent.com/developer/article/1777977
八.其他项目
windows提权项目合集
该项目是Windows特权提升项目。除了未通过测试的EXP之外,还有详细的说明和演示GIF图片。
https://github.com/Ascotbe/Kernelhub
https://github.com/fabacab/awesome-cybersecurity-blueteam
