文章目录
视频资源
80. AWD模式&准备&攻防&监控&批量(80-82)
AWD 常见比赛规则说明:
Attack With Defence,简而言之就是你既是一个 hacker,又是一个 manager。
比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始分数,flag 被拿会被拿走 flag 的队伍均分,主办方会对每个队伍的服务进行 check,check 不过就扣分,扣除的分值由服务 check 正常的队伍均分。其中一半比赛以 WEB 居多,可能会涉及内网安全。
前期准备:
1.队伍分工明确
2.脚本工具环境完整
3.漏洞 POC/EXP 库完整
4.安全防御 WAF 及批量脚本完整
必备操作:
1 备份网站文件
2 修改数据库默认密码
3 修改网页登陆端一切弱密码
4 查看是否留有后门账户
5 关闭不必要端口,如远程登陆端口
6 使用命令匹配一句话特性
7 关注是否运行了“特殊”进程
8 权限高可以设置防火墙或者禁止他人修改本目录
演示案例:
防守-部署 WAF-实现第一时间拦截部分攻击-升级后续版
防守-扫描后门-实现第一时间利用预留后门攻击-升级脚本版
防守-代码审计-实现第一时间找出源码中安全漏洞-升级漏洞库版
防守-文件监控-实现第一时间监控当前目录文件操作-升级流量监控
攻击-批量 Flag-实现第一时间利用脚本批量 Flag 得分-升级模版不死马
案例 1-防守-部署 WAF-实现第一时间拦截部分攻击-升级后续版
最快第一时间操作,此类技术核心准备为各个环境的 WAF 部署(源码语言,比赛规则)
案例 2-防守-扫描后门-实现第一时间利用预留后门攻击-升级脚本版
最快第一时间操作,此类技术核心在于扫描源码中预留或隐藏后门(源码语言)
案例 3-防守-代码审计-实现第一时间找出源码中安全漏洞-升级漏洞库版
最快第一时间操作,简要分析可能存在的安全问题,配合流量监控及代码审计后续操作(框架及非框架,源码语言,漏洞库等)进行漏洞判定
案例 4-防守-文件监控-实现第一时间监控当前目录文件操作-升级行为监控
最快第一时间操作,在防守攻击时,实时监控当前目录文件上传删除等操作,有效防止恶意删除,上传后门等,后续可配合流量操作行为监控找出更多漏洞
案例 5-攻击-批量 Flag-实现第一时间利用脚本批量 Flag 得分-升级权限维持版
攻击第一时间操作,写好批量获取 Flag 脚本后,预定 Flag 更新时间,实现自动获取及提交,升级后门写入及不死马等操作,实现权限维持实时获取得分
涉及资源
https://github.com/zhl2008/awd-platform
https://github.com/yemoli/prepare-for-awd
https://github.com/leohearts/awd-watchbird
https://github.com/DasSecurity-HatLab/AoiAWD
https://mp.weixin.qq.com/s/kwzJnoi2FwFhwbdxetd45A
https://www.cnblogs.com/Triangle-security/p/11332223.html
https://pan.baidu.com/s/1qR0Mb2ZdToQ7A1khqbiHuQ提取码:xiao
81. AWD监控&不死马&垃圾包&资源库
演示案例:
防守-流量监控-实时获取访问数据包流量
攻击-权限维持-不死脚本后门生成及查杀
其他-恶意操作-搅屎棍发包回首掏共权限
准备-漏洞资源-漏洞资料库及脚本工具库
案例 1-防守-流量监控-实时获取访问数据包流量
利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用
1.分析有后门或无后门的攻击行为数据包找到漏洞进行修复
2.分析到成功攻击的数据包进行自我利用,用来攻击其他队伍
案例 2-攻击-权限维持-不死脚本后门生成及查杀
在攻击利用后门获取 Flag 时,不死后门的权限维持尤为重要,同样防守方也要掌握对其不死后门的查杀和利用,这样才能获取更高的分数,对比文件监控前后问题
案例 3-其他-恶意操作-搅屎棍发包回首掏共权限
作为各种技术大家都要用的情况下,一个好的攻击漏洞和思路不被捕获和发现,一个好的套路浪费对手的时间,搅屎棍发包回首掏共权限利用思路可以尝试使用
案例 4-准备-漏洞资源-漏洞资料库及脚本工具库
比赛准备:如何收集并整理好漏洞,文档资料,脚本工具等
漏洞库:exploitdb,github 监控最新信息,平常自己收集整理
文档资料:零组类似文档离线版爬虫,各类资料,平常自己收集整理
脚本工具:忍者系统配合自己常用工具,github 监控 awd 脚本,收集整理
涉及资源:
blog.csdn.net/weixin_30367873/article/details/99608419
https://pan.baidu.com/s/1qR0Mb2ZdToQ7A1khqbiHuQ 提取码:xiao
82. 蓝队att&ck&IDS蜜罐&威胁情报
必备知识点:
在每年的安全活动中,红蓝队的职责,其中大部分强调学习的红队技术,那么蓝队技术又有那些呢?简要来说蓝队就是防守,涉及到应急,朔源,反制,情报等综合性认知和操作能力知识点。掌握红队攻击技术的前期下,蓝队技术能提升一个档次哦。
知识点:
1.认识ATT&CK框架技术
2.认识对抗的蜜罐技术的本质
3.掌握wAF安全产品部署及应用
4.掌握IDS在对抗中的部署使用
5.掌握威胁情报平台对应报告分析
6 .作为一名干饭人要掌握的报告书写专业性
演示案例:
专业用语-ATT&CK技术简要介绍-报告书写
掌握了解-安全攻防蜜罐技术的利用-配合威胁
攻击拦截-WAF安全产品部署及反制-多种中间件
追踪反制-HIDS入侵检测系统部署测试-爆破|提权|规则
应急朔源-威胁情报平台对于朔源分析意义-CS后门朔源
涉及资源
https://attack.mitre.org/techniques/enterprise/ 漏洞统计说明
https://s.threatbook.cn/ 在线沙箱
https://hfish.io/index.html 蜜罐
https://github.com/hacklcx/HFish 蜜罐软件
https://rasp.baidu.com/docl waf
https://github.com/ysrc/yulong-hids 入侵检测系统(有bug)
https://documentation.wazuh.com/4.0/index.html 防护工具
https://documentation.wazuh.com/current/virtual-machine/virtual-machine.html 虚拟机部署
https://blog.csdn.net/qq_29277155/article/details/79830927 值得推荐的威胁情报平台–2020.10更新