Hwang

最新推荐文章于 2024-06-03 22:07:45 发布
最新推荐文章于 2024-06-03 22:07:45 发布
阅读量566 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43123409/article/details/117932415
版权
  1. 认清形势,提升站位,切实增强责任意识。
  2. 精心组织,确保安全,稳步推进攻防演习
  3. 以攻促防,查漏补缺,网络安全防线。

攻防演练是什么?

公安部主办,获取目标系统的最高控制权为目标。保障业务系统安全前提下,不限制攻击路径,不限制攻击手段。形成有组织的网络攻击行为。

攻击方:由组织方给定目标系统,不允许进行破坏性攻击和物理暴力攻击。
以获得系统权限,进入生产网为目标。

  • 网络安全公司
  • 互联网公司
  • 网络安全监管单位
  • 各行业自有红队
  • 高校联盟

防守方:防守方自行组织监控,溯源,防守能力,对攻击行为进行识别和处置。

  • 国家部委及直属机构
  • 公检法
  • 金融,证券,保险
  • 央企
  • 传媒
  • 卫生,医疗
  • 军工

攻防得分技巧

有能力的前提下,就需要加点战略战术了。
蓝队
退赛规则-目标系统被控

  1. 位于互联网区的目标
  2. 位于业务内网的目标
  3. 位于核心生产网的目标
    万一,也不要一走了之,要溯源,证据,还原攻击链条。

加分规则-发现类
发现的攻击ip来自演习平台,扫描类攻击行为不给分
4. 发现webshell木马,主机木马 //网络重要性
5. 发现账号异常,并采取处置措施 //
6. 发现恶意邮件(恶意链接,病毒)

加分规则-消除类
基础条件是发现攻击ip来自演习平台
7. 处置现场接触式攻击
。。。

加分规则-应急处置
积极配合应急组工作,快速定位受害系统,提供日志记录

加分规则-追踪溯源
溯源反制

加分规则-演习总结

-----蓝队算分工具

失分原因

正面渗透--应用漏洞,框架漏洞,0day,中间件漏洞,系统漏洞,弱口令
迂回社工---**专线**,近源攻击,钓鱼邮件

红队
加分规则-靶标分

  1. 位于互联网区的目标
  2. 位于业务内网的目标
  3. 位于核心生产网的目标

加分规则-突破边界(路径分)
4. 进入逻辑隔离业务内网
5. 进入逻辑强隔离业务内网
6. 进入核心生产网
7. 其他情况

加分规则-获取权限(路径分)
8. 获取参演单位的域名控制权限
9. 获取终端计算机权限
10.获取邮箱账号权限
10. 获取web应用,ftp等应用的用户权限
11. 获取单点登录认证系统sso权限
12. 服务器主机权限
13. 域控系统权限
14. 获取堡垒机,运维机权限
15. 云管理平台权限,大数据系统控制权
16. 获取数据库连接账号密码(含sql注入)
17. 防火墙,路由器,交换机,网闸,vpn等网络设备权限
18. 。。。。

加分规则-发现演习前已有攻击
19. 已植入webshell木马,主机木马
20.新增账号
隐蔽通道
溯源
。。。。
红队算分工具

网络整体策略优化

安全防护设备概述
防火墙,web防火墙waf,入侵防御ips,入侵检测ids,防毒墙等。

网络安全架构评估
”一中心三防护“
什么是网闸? this

互联网暴露面检测

可能被利用和入侵的应用,系统,设备,信息等

  • 存活资产发现(互联网地址段
  • 开放端口检查
  • 开放服务识别
  • app查找(七麦数据
  • 公众号和小程序
  • 域名发现

防守保障的经验和技巧

监控和分析研判

分析研判思路 – 资产信息

  • 资产信息(资产组件,资产全面性,资产网络架构
  • 网络信息(区域划分,第三方接口,流量流向(nat转换)
  • 安全设备(入侵检测,入侵防御,蜜罐,态势感知,流量分析,高持续威胁检测

分析研判思路–换位思考
攻击者入侵目标,冬季,方法,途径?

  • 在复杂的网络环境中,难以快速发现和定位威胁点,
    未知网络区域?

分析研判思路–行为维度

  • 偏离日常业务(业务流量端口,业务访问逻辑,业务事件暴增
  • 违规外联(业务访问客户端,业务访问互联网,业务访问第三方网络
    非工作时间
    事件时间趋势对比

分析研判思路–事件维度

  • 事件名称(cve,webshell,命令执行,反序列化,webshell连接
  • 事件级别(高危:主动研判,排除辅助|中危:研判和排除占工作量各50%|低危:排除为主
  • 事件频率(源地址/目地址/事件名称 5分钟大于20次;统计事件前top5分析
  • 响应状态(具备回显:200,404|不具备回显:分析目的地址,手动测试payload,结合资产判断

分析研判思路–恶意代码分析
(平台)

分析思路-hw分析实战技巧

  • 定时刷新
  • 数据清洗(白名单
  • 溯源定位(手机号注册网站查询,ip地址地图定位
  • 先封后判
  • 优先级(命令执行,漏扫,文件上传优先研判;爬虫,信息泄露最后;而已文件,C2针对性研判
  • 善于利用小道威胁情报(hw时爆发的事件,漏洞,预防,攻击队ip,0day事件等)

攻击场景 --互联网扫描
流量中包含扫描器特征
端口扫描
漏洞扫描
目录爆破

攻击场景–sql注入
攻击场景–命令注入
攻击场景–文件上传
攻击场景–webshell连接
攻击场景–xss攻击流量特征

手工验证

漏洞分析

漏洞分析 --hw常见攻击
漏洞分析–

应急/溯源/反制

windows 应急思路

  1. 检查系统账号安全
    linux 排查思路

内存马

鲨鱼饿死了
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内外网逻辑隔离物理隔离_隔离域逻辑
最佳 Java 编程
06-28 2831
内外网逻辑隔离物理隔离 在一个设计模式课程中,我对建模域逻辑进行了有趣的讨论。 具体来说,它是关于隔离域逻辑的 。 一个应用程序通常分为三个部分: 演示(例如桌面GUI,浏览器,Web服务) 域逻辑 基础架构(例如持久性存储,电子邮件) 该类发现有趣的是,依赖性箭头指向域逻辑部分。 他们问:“该图是否故意弄错了? 域逻辑部分不应该依赖于持久性存储吗?” 这是一个很大的问...
H.264学习网站及资源(不定时更新)
热门推荐
tkp2014的专栏
12-24 17万+
下载视频的网站 http://i21www.ira.uka.de/image_sequences/ http://trace.eas.asu.edu/yuv/index.html http://www.powercam.cc/home.php?user=vclab& 来源是台湾清华大学视讯实验室其中子分类“96-98 H.264报告”讲解了H.264和JM代码的各个方面,非
HW面试常见知识点2——研判分析(蓝队中级版)
最新发布
练习时长两年半的CTF爱好者
06-03 3357
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。另外设有裁判组 负责整个演习过程中的评判、评分工作。网络安全人才,是建设网络强国的最重要资源。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。
内外网隔离实现
大帅的博客
05-14 2万+
查阅很多资料内外网隔离可以通过多种方式实现,主要有以下几种: 通过安装部署物理网卡实现物理隔离 通过路由器或交换机实现逻辑隔离 通过第三方网络管理类软件实现逻辑隔离。 客户端访问外网原理: WAN:接外部 IP 地址用,通常指的是出口,转发来自内部 LAN 接口的 IP 数据包,这个口的 IP 是唯一的。LAN:接内部 IP 地址用,LAN 内部是交换机。 A 电脑的 IP 是局...
红队攻防-外网快速打点方法&技巧总结
ss810540895的博客
01-03 6391
总而言之,打点本身就是一种遍历行为,被攻击的目标就好像一个被围墙保护的城堡,红队要做的事情就是围着围墙转来转去,敲敲打打,看看围墙哪里没修好,哪里空了一块,然后趁机溜进去, 这是一个体力劳动,尤其在面对很多目标的时候,是一项繁重的体力劳动,在下文中会详细解释为什么我反复强调这是一项体力劳动。7、通过上面一番筛选,时间已经过去很久了,但是目前却毫无进展,其实心里有点郁闷,这个时候就不建议再搞了,先休息一下,调整下心态,不然后续的几天会大幅度降低工作效率,休息好了感觉又可以了,就看看下面的步骤8继续吧。
【2024HW】|3-红队 | 外网快速打点方法&技巧总结
2401_84434570的博客
04-25 1781
做过红队的小伙伴,对打点一定不陌生,这是一项基本技能。所谓打点,就是拿到一台机器的shell。打点的一般目的在于利用这台机器,做一个跳板,然后进入内网。通常给予充分时间的情况下,打点不是一件很难的事情,因为系统总会有漏洞,就算系统没有漏 洞,人也有漏洞,也可以进行钓鱼,甚至还可以近源,可以花钱买内鬼,一切都只是打点的时间和价格成本与打到点进内网的收益的核算问题,本质就是一道数学题。但是以在公司干活的普通员工视角出发,一般项目时间很紧,同时外部资源少,基本能用的东西就是自己的技术。
Jeff_Hwang
03-31
【标题】"Jeff_Hwang" 是一个以个人名字命名的项目,很可能是一个开源软件或教程的仓库,由知名IT专家Jeff Hwang创建或维护。在IT领域,个人名字经常被用来标识作者或主要贡献者,这有助于提升项目的可见性和识别度...
Distributed and Cloud Computing - Kai Hwang.pdf
02-17
综上所述,这本由Kai Hwang撰写的书籍《Distributed and Cloud Computing》可能是该领域的核心读物,涵盖了分布式和云计算的基础理论、关键技术、实际应用以及未来发展趋势。对于希望深入理解和掌握分布式计算、并行...
Introduction to Probability by. Joseph K. Blitzstein and Jessica Hwang
01-20
哈佛大学经典 概率论教材,概率论导论《Introduction to Probability》 by. Joseph K. Blitzstein and Jessica Hwang,深入浅出,难得的一本好书。
hwang65.github.io
03-13
标题“hwang65.github.io”表明这可能是一个个人或项目的GitHub页面,通常用于展示代码、博客文章或者项目成果。由于描述与标题相同,我们没有获得额外的信息。然而,标签“JavaScript”提示我们这个项目可能涉及到...
ACM.rar_ACM_ACM Hwang .p_ACM java_pku 1689 rubbery_ppt
09-19
"ACM_ACM Hwang .p" 暗示了这个压缩包可能包含由 ACM 专家 Hwang 教授的一些教程或讲义,这些材料通常对参赛者或对算法竞赛感兴趣的学习者非常有价值。"ACM java_pku 1689 rubbery_ppt" 提到的可能是关于 Java 语言...
红队得分方法统计
Websec
06-25 591
1、一年一度的hw又要开始了,跟进前两年hw得出的一个得分方法统计排名,便于参考。总之弱口令永远是top1.这也是我打点用到最多的。
第一次护网HW心得
qq_43678263的博客
03-31 1万+
文章目录背景实战理解两张有趣图片(手动滑稽) 背景 我开始接触实战,是从某省第五届网络空间安全竞赛开始的,我参加过第四届比赛,是标准的CTF形式,初赛线上做题,决赛线下AWD攻防。但第五届突然转变了形式,线下变成了贴近实战的护网攻防演练形式:22支攻击队申请合法ip,进攻承办方官方网站,将漏洞上报,以漏洞危急程度和数量评分排名。这是我们第一次参加护网形式,拿到了一个高危,两个中危,排到第十,勉强得到三等奖。主要在实战方面还是没有经验,不太熟练,进攻时没有完整的方法体系,只有没有方向地尝试。实战所要求的..
红队打点总结大全
yggcwhat
09-16 4822
红队打点总结大全
社会工程学部分攻击经典方法总结
大熊猫的专栏
03-29 1万+
社会工程学部分攻击经典方法总结 社会工程学(Social Engineering)是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪 婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学攻击在近年来的一些网络入侵事件中起到了很大的作用,对企业信息安全有很大的威胁性。下面转载来一 篇比较不错的文章,方便各位网络信息安全爱好者了解社会工程学。 注: 节选之上海市公安局网络安全顾问彭一楠
Web 应用程序的访问权限
bruce_ahead的专栏
04-23 1175
Web 应用程序的访问权限2007-04-19 11:38像任何应用程序一样,Web 应用程序需要访问不同的系统资源(如文件或数据库)。这些资源通常由授予不同用户和组的访问级别保护。在 Web 应用程序中,它可能不是请求直接访问的应用程序用户。相反,用户使用浏览器与 Web 应用程序进行通信,然后由 Web 应用程序请求资源。此间接访问会带来访问权限问题。有几种策略可用于管理 Web 应用
服务器 系统 权限设置方法,WEB服务器系统盘权限简单设置
weixin_39693950的博客
08-05 543
不多说了我给大家写从新加权限的步骤,加上某用户或用户组时候会自动加上,读取及运行 列出文件目录读取,这三个权限加上administrator(组或用户)和SYSTEM所有权限 这些以后就不重复了.好了现在开始吧!先把C盘加上administrator(组或用户)和SYSTEM所有权限然后重值子目录权限叫所以子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权...
关于内外网隔离的网络访问解决方案
天将降大任于是人
09-01 2万+
该问题的解决方案比较简单,但是偶有同事还是在问这个问题,因此将该问题的解决方案记录下来,写给那些需要这个方案的小朋友。如有不正之处,欢迎批评指正。问题描述在公司的生产环境中存在DMZ 和 APP 两个网络区域,从外网中可以直接访问 DMZ 区,不可以直接访问 APP 区,如下图所示: 目前在开发的微信小程序部署在微信的服务器上(也就是在外网中),它需要访问 APP 区部署的服务接口。也
哈佛入门概率论:Joseph K. Blitzstein & Jessica Hwang
Blitzstein和Jessica Hwang合著的《Introduction to Probability》是哈佛大学的一本概率论入门教材,深入浅出地讲解概率论基础,不涉及测度论,但实例丰富,同时介绍了概率论的历史发展,有助于读者全面理解并深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值