蓝队思路总结-理论篇

蔚落 2022-09-09 04:49 409阅读 0赞

文章目录

      • 0x01 信息收集
      • 0x02 渗透测试
      • 0x03 加固
      • 0x04 研判
        • 日志
        • 安全设备
        • 木马后门
        • 流量分析
        • 应急响应
      • 0x05 溯源
      • 0x06 反制

0x01 信息收集

  • whois查询
  • 子域名查询
  • DNS/子域名信息查询
  • 端口扫描
  • 网络空间搜索引擎

  • 扫描敏感目录

    roots.txt
    网站备份压缩文件
    git/svn导致文件泄露
    ds_store导致的文件泄露
    web-inf/web.xml泄露
    其他源码泄露
    特定组件的路径

  • 指纹识别

  • SSL/TLS证书查询

  • 资产发现

    根据端口号进行探测
    网络拓扑

0x02 渗透测试

  • 弱口令(数据库、ssh、rdp、后台)
  • 文件操作(文件上传、文件读取)
  • 常见组件漏洞
  • 攻击思路
  • 代理
  • 使用漏洞扫描

0x03 加固

  • 通用

    测试、开发服务器全部关停
    敏感端口安全组隔离
    使用堡垒机、跳板运维机
    用户、权限隔离
    认证策略:密钥、双因子认证
    最小化权限原则
    补丁
    流量分析

  • windows-安全策略

    身份鉴别
    访问控制
    权限分配
    禁用3389
    禁用/停止服务
    只发送NTMv2响应
    禁用注册表编辑器和cmd命令提示符
    启用uac
    启用防火墙日志功能

  • Linux

    信息收集-查看日志
    安全策略-身份鉴别

    1.   -禁用危险服务
    2.   -iptables操作
    3.   -密码安全加固
    4.   -访问控制

0x04 研判

日志

  • 通用-web容器日志

    nginx日志
    IIS日志
    apache日志
    tomcat日志

  • windows

    系统日志
    数据库日志

  • linux

    bash_history
    系统日志
    数据库日志

安全设备

  1. WAF
  2. 流量、日志、数据库日志
  3. 态势感知
  4. 安骑士
  5. 蜜罐
  6. 扫描器

木马后门

  1. 病毒样本分析
  2. 查看crontab日志

流量分析

  • windows

    wireshark
    fiddle
    wesexlorer
    网络连接

  • linux

    tcpdump
    TSHARK

应急响应

0x05 溯源

  • 安全工具漏洞
  • 木马样本采集(payload中包含有攻击者的信息、在病毒分析网站上查询)
  • 蜜罐(蜜罐挂马)
  • IP定位(攻击ip、反弹ip)
  • ID追踪(JsonP劫持漏洞、ID反查)
  • 邮件反查
  • 后门查询(系统日志、Nginx日志)

0x06 反制

  • 工具反制

    蚁剑RCE漏洞、AWVS rce漏洞、sqlmap rce漏洞、爆破cs服务端密码

  • 红队服务器反制

  • 钓鱼

发表评论

表情:
评论列表 (有 0 条评论,409人围观)

还没有评论,来说两句吧...

相关阅读

    相关 对抗——手册

    0x01 前言 红蓝对抗的思想最早可追溯到我国现存最早的一部兵书《孙子兵法》,在孙子·谋攻篇有这么一句话:“知彼知己,百战不殆;”,意为如果对敌我双方的情况都能了解透彻,

    野性酷女野性酷女/ 0/ 190 阅读

    相关 溯源与反制

    本文简单写下红蓝对抗过程中蓝队的一些溯源与反制方法。 一、蜜罐反制 (1)商用型 近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,

    清疚清疚/ 0/ 82 阅读

    相关 对抗---手册

    0x01 前言 红蓝对抗的思想最早可追溯到我国现存最早的一步兵书《孙子兵法》,在孙子·谋攻篇有这么一句话:"知己知彼,百战不殆",意为如果对敌我双方的情况都能了解透彻,打

    傷城~傷城~/ 0/ 1374 阅读