HVV-Learning-002-攻防演练的典型网络以及攻防现状
目录
0、前言
以前也时不时会在freebuf上看文章,但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在 同名公众号(非典型产品经理笔记)
上写的原创内容,挑一部分发一下。
后续新内容会考虑同步在freebuf上发送。
HVV-Learning-001-初步了解网络安全攻防演练背景
1、从攻击视角
1.1、攻防演练中,攻击成功路径案例
简单从攻防演练中列举
1)、【 互联网OA突破】 【 账号泄漏/猜解/暴破
】:某国企,OA系统上有一个txt文件,里面泄漏了部分手机号+姓名,红队通过员工姓名+字典暴破,获取到有效OA登录账号。
2)、 【互联网OA突破】【业务系统逻辑越权漏洞】
:某国企,通过泄漏的账号登录了其OA系统,发现其OA系统查看信息的页面有逻辑越权漏洞,再通过该越权漏洞遍历全体员工信息,获取到全员手机号、身(敏)份(感)证号、账号等信息,进而通过新的信息爆破其他业务系统。
3)、 【互联网官网门户突破】【中间件漏洞攻击】 : 某政府机构,红队通过struts2框架漏洞,直接可以获取到官网设备后台root权限。
4)、 【互联网官网门户突破】【登录后漏洞攻击】
:某互联网公司,红队通过在官网上自行注册账号,注册并登录成功后,通过其二级模块商业分析的任意文件上传漏洞,控制服务器,进入内网。
5)、【 互联网VPN突破 】【 不同系统账号撞库
】:很多员工会在多个系统中使用相同的账号或密码。某保险,供应商系统的账号泄漏,里面的账号密码有部分和边界入口VPN系统相同,攻击者直接进入内网。
6)、 【互联网销售管理系统突破】【sql注入漏洞攻击】
:某建筑企业,对互联网暴露了销售管理系统,通过sql注入漏洞执行命令,获取系统权限,从而进入内网。
7)、 【分子公司互联网站点突破】 【 web接口命令注入漏洞
】:某运营商,总部防守严密难以切入,通过香港分公司对外暴露业务站点的web接口命令注入,进入香港公司内网,再借助香港分公司内网,进入总部内网。
8)、 【互联网VPN突破】【供应商账号泄漏/猜解/暴破】
:某金融客户,某一关键业务系统是A供应商开发,A供应商自身安全管理较为疏漏,从供应商处获取到金融客户的运维VPN登录账号,从而进入金融客户内部运维网络。
9)、 【互联网行业系统突破】 【 供应商源码泄漏
】:某金融,对互联网暴露了一个行业系统。红队通过对该系统的供应商进行攻击,获取到业务系统源代码。再通过源代码进行安全审计,发现多个0day安全漏洞,最终实现突破。
10)、 【可上网终端跳板突破】【失陷终端横向堡垒机】
:某国企,通过一台邮件钓鱼失陷的终端,运行扫描进程对内网进行常用WEB端口扫描(80,8080),扫描到JumpServer堡垒机,最终通过弱密码突破该堡垒机,可以直接攻击靶标系统,最终靶标失陷。
11)、 【可上网终端跳板突破】【失陷终端横向AD域】 :某国企,通过失陷终端,利用mimikatz等攻击工具
,获取到AD域管理系统的登录权限,进一步拿下AD域控。再基于AD域控中的计算机列表,拿下其他更重要的机器,最终靶标突破。
12)、 【可上网终端跳板突破】【高权限失陷终端横向突破
】:某国企,钓鱼到一台运维终端,慢速读取桌面上的txt文件(里面保存了多个业务系统的运维、管理端口的账号密码),再定向攻击运维/管理端口,实现进一步突破。
13)、 【安全设备暴露在互联网被突破】【管理运维端口过度暴露】
:某政府机构,其部分网络设备包括防火墙的控制台管理端口暴露互联网,再结合账号泄漏,可以直接登录控制台,进而进入内网。
14)、 【互联网OA突破】【业务系统API过度暴露】
:某国企,其供应商门户系统,API暴露面过大,无需账号密码,即可访问所有隐藏接口,从而扫描出所有API接口列表。最终通过一个上传文件的接口,注入webshell,拿下后台控制权限。
15)、 【互联网APP业务突破】【APP认证鉴权漏洞】
:某政务机构,有一个手机APP的认证接口缺乏防爆破机制,被猜解用户名、爆破密码,登录成功。再通过登录后的文件上传漏洞,控制整个设备。
16)、 【分子公司-互联网暴露堡垒机突破】【命令注入漏洞】 :某国企,通过某地市分支一台对外堡垒机
注入漏洞进去,并通过weblogic控制了省厅一台AD域机器。再通过密码抓取,抓取到管理员密码,进一步控制了域中数百台服务器和一万多域用户终端。
1.2、源于对外暴露,始于边界突破
对上述典型的攻击成功案例的突破口,进行简单的分类:
从业务类型上看 ,可能是官网门户,也可能是OA、销售管理平台、移动APP等多样性的业务系统,也可能是VPN、堡垒机等边界安全设备;
从网络位置上看 ,可能是公有云环境、也可能是本地机房,可能是总部网络边界,也可能是分子公司、甚至是供应商的网络边界中转;
从业务暴露必要性上看 ,有可能是因业务需要确须暴露互联网的业务(如门户等),也可能是不应该暴露到互联网的一些业务(如管理后台)。
但是不管如何,都可以看到,攻击成功的共性, 均起源于对外暴露,起步于边界突破 。
2、从防守视角
标题党分割线====
攻防的路径千千万万,于攻击方而言,一个路径上攻击失败,不代表整体攻击失败;一个路径上防守成功,也不代表整体防守成功。
安全的木桶效应始终存在,只要有一条路径上的短板、脆弱点被攻击方利用,没能及时防守,可能就是全面的溃败 。
SO,防守视角我们后面再单独阐述。。
3、典型网络结构及攻防现状
3.1、集团型企业/大型机构-典型网络结构(示例1)
下图是集团型企业/大型机构的典型网络结构示意图。
可以看到,其典型网络区域包含如下:
1、 DMZ区 :通过DMZ区负责对互联网服务,避免内网业务直接暴露。根据业务需要,不同的企业/机构可能会有多个DMZ区。
2、 办公网络区 :根据业务需求的不同,区分为 可上网办公区 、 纯内网办公区
。比如说,纯内网办公区主要是针对于敏感型业务,比如对于科技型企业而言, 开发人员的办公网络
,就属于高机密、纯内网办公区;对于高新制造行业而言,其设计人员的办公网络,就属于高机构、纯内网办公区。
3、 内网业务区 :根据业务需求的不同,可能会有多个内网业务区。比如说生产网、测试网、信息内网等。
4、 运维管理区 :通常用于访问服务器的高敏感运维端口,比如说22(SSH)、3389(RDP)、包括一些WEB运维端口等,会在里面安装堡垒机等。
5、 分支/办事处连接区 :分支/办事处,是 指其全权控制和管理的直属部门单元 。多数情况下是通过专线/组网方式,和总部的办公网打通。
6、 下级机构/分、子公司连接区 :用于连接下级机构、分子公司或少数特殊的关键供应商。
a)、下级机构/分、子公司,是 指有相对独立的预算或独立IT运维管理团队的单元 。这些单元多数情况下,
和总部有业务往来,需要有一定的网络互通 ,但是不像分支/办事处那么密切。网络互通性介于供应商和分支/办事处之间。
b)、关键供应商, 是指因业务原因,需要和总部产生一定网络访问的供应商 。由于控制性最弱,所以通常是严格限制其网络访问。
3.2、互联网出入口越多,可攻击路径越多
下图是在上述典型示意图的基础上做了一定细化。
其对外暴露的业务通常都包括官网门户类、办公业务类(如邮箱)、生产/经营业务类(如商城)、提供给分支办事处/分子公司/供应商的连接区等。
所以,其总部的攻击路径突破口,不仅包含总部自身暴露的各类业务,还会包含分支/办事处、分子公司、供应商的迂回攻击:
1、【总部攻击】总部对外开放性业务突破,如官网
2、【总部攻击】总部对外办公业务突破,如公网邮箱
3、【总部攻击】总部对外安全性业务突破,比如说VPN/SDP
4、【总部攻击】总部-可上网办公终端突破,比如说钓鱼、社工、人工投放带毒U盘
5、【总部攻击】总部-开放性移动APP业务突破
6、【总部攻击】总部-过度暴露的端口或不必要暴露的业务 ,如业务的管理运维端口(RDP、SSH)、安全设备的管理端口等
7、【非总部迂回攻击】分支/供应商/分子公司的可上网办公终端突破,比如说钓鱼、社工、人工投放带毒U盘
8、【非总部迂回攻击】分支/供应商/分子公司的对外办公业务突破,如公网邮箱
9、【非总部迂回攻击】分子公司、供应商的对外安全性业务突破,比如说VPN/SDP
10、【非总部迂回攻击】开放性移动APP业务突破
11、【非总部迂回攻击】分子公司、供应商等过度暴露的端口或不必要暴露的业务 ,如业务的管理运维端口(RDP、SSH)、安全设备的管理端口等
12、【非总部迂回攻击】分子公司、供应商等对外开放性业务突破,如官网
3.3、攻防现状
从攻防演练现状来看,具备如下特征:
1、 大型机构/企业的总部的互联网边界越来越难攻陷
。原因是通常总部边界的资产梳理清晰,暴露面控制得较好、高危漏洞修复及时,边界安全设备(VPN/SDP等)收缩办公业务,同时
分析检测、蜜罐诱捕等能力建设齐全能快速发现攻击尝试
2、 钓鱼(邮件、HR应聘等)成为重要手段,而且难以避免
。安全中最脆弱的就是人,包括我们看到诈骗电话极难控制,就是因为人的脆弱性。多数情况下,钓鱼成功率,通常超过20%(100个邮件阅读者中,有20个人点击恶意附件)。在实际案例中,甚至能高达70%
3、 通过泄漏/暴破账号登录业务系统,再分析登录后的业务系统漏洞,成功率高,成为惯用手段
。受限于各业务系统的普遍性安全开发水平,多数业务的登录后业务接口,发现漏洞并不困难,文件上传、SQL注入等。
4、 分子公司/供应商成为关键脆弱点,迂回攻击成功率大幅提升
。分子公司、供应商的安全建设参差不齐,容易被发现脆弱点,从而迂回突破到总部。不少非总部单元,有n-
day高危漏洞补丁没有打全,被攻击者轻易突破也是时有发生的事情。
5、 0day/1day成为关键致胜手段
。由于演练时间有限,所以积累、挖掘0day,并在演练期间通过0day/1day进行快速突破,成为关键致胜手段。
相关:
HVV-
Learning-001-初步了解网络安全攻防演练
iz=Mzg5MDU2MzM2Mw==&mid=2247483850&idx=1&sn=83f9e282a657148565b1841656497ad4&chksm=cfdbff86f8ac769050a09c5cb98c7e80b269cdd2637777aa510e0c7e6a3a09afe30104d1aeb5&scene=21#wechat_redirect)
网络安全工程师(白帽子)企业级学习路线
第一阶段:安全基础(入门)
第二阶段:Web渗透(初级网安工程师)
第三阶段:进阶部分(中级网络安全工程师)
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资源分享
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bZHTbQju-1690251089009)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]
1386
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
