目录
Pre Security 安检前
Introduction to Cyber Security 网络安全简介
Become a Hacker 成为一名黑客
1、任务 1 什么是进攻性安全?
简而言之,攻击性安全是闯入计算机系统、利用软件错误并查找应用程序中的漏洞以获得未经授权的访问的过程。
为了击败黑客,您需要像黑客一样行事,在网络犯罪分子之前发现漏洞并推荐补丁,就像您在这个房间里所做的那样!
另一方面,还有防御安全,这是通过分析和保护任何潜在的数字威胁来保护组织的网络和计算机系统的过程;在数字取证室了解更多信息。
在防御性网络角色中,您可以调查受感染的计算机或设备以了解其被黑客攻击的方式、追踪网络犯罪分子或监控基础设施是否存在恶意活动。
2、任务 2 Let’s Hack - 第 1 部分(共 2 部分)
背景:寻找网址http://www.onlineshop.thm
公开的私人页面
思路:在上述网址url后面拼接各种单词,看是否可以成功跳转进入至对应公开的私人页面。
在url单词后拼接的单词方式:
- 手动拼接(适合拼接数量较少且没有工具的情况)
- 使用
gobuster
工具(下面使用工具gobuster
) - 写对应的python脚本
工具:gobuster——Gobuster
是一个自动搜索隐藏页面的可靠工具,它在终端中运行。)
gobuster dir --url http://www.onlineshop.thm/ -w /usr/share/wordlists/dirbuster/directory-list.txt
#参数:
gobuster 是启动 Gobuster 的终端命令
dir 使用目录和文件枚举
--url http://www.onlineshop.thm/ 设置目标网站
-w /usr/share/wordlists/dirbuster/directory-list.txt 指定对应位置的 要使用的单词列表
注意:Status:200
表示扫描到了隐藏页面
在上述扫描结果中,Status
没有200的,所以我们手动一个一个拼接扫到的单词,即imges、css、js、login
,发现只有url拼接单词login
后才能访问到对应的页面,其他单词被拼接后跳转至404页面,即不存在该页面。
3、任务 3 Let’s Hack - 第 2 部分(共 2 部分)
背景:在任务2中发现了一个登录界面,尝试登录,需要用户名和密码。最常见的用户名之一是 admin
。我们将使用 admin
作为用户名开始攻击,并尝试猜测密码。
尝试使用用户名 admin
和下面列出的常用密码之一登录:
abc123
123456
qwerty
password
654321
思路:
- 手动一个一个输入匹配(适合要猜测的常用密码数量较少)
- 使用工具
hydra
(下述文章使用的方法) - 写python脚本
工具:
1、打开终端
2、输入如下命令
user@thm ~> hydra -l admin -P passlist.txt www.onlineshop.thm http-post-form "/login:username=^USER^&password=^PASS^:F=incorrect" -V
#参数
hydra 是启动 Hydra 的终端命令
-l admin 尝试使用用户名 admin 登录
-P passlist.txt 指定要尝试的密码列表
www.onlineshop.thm 设置目标网站
http-post-form 表示这是一个HTTP POST请求形式
"/login:username=^USER^&password=^PASS^:F=incorrect" 指定HTTP POST请求的形状以及如何检查登录凭据是否不正确
-V 用于详细输出
成功得到可以登录成功的密码:qwerty
成功登录进入对应的页面
4、任务 4 网络安全职业
- Penetration Tester - Responsible for testing technology products for finding exploitable security vulnerabilities.
渗透测试员 - 负责测试技术产品以查找可利用的安全漏洞。 - Red Teamer - Plays the role of an adversary, attacking an organization and providing feedback from an enemy’s perspective.
红队队员 - 扮演对手的角色,攻击组织并从敌人的角度提供反馈。 - Security Engineer - Design, monitor, and maintain security controls, networks, and systems to help prevent cyberattacks.
安全工程师 - 设计、监控和维护安全控制、网络和系统,以帮助防止网络攻击。
Intro to Defensive Security 防御安全简介
1、任务 1 防御安全简介
进攻性安全关注于一件事:闯入系统。侵入系统可以通过利用错误、滥用不安全的设置以及利用未强制执行的访问控制策略等来实现。红队和渗透测试人员专注于进攻性安全。
防御性安全在某种程度上与进攻性安全相反,因为它涉及两个主要任务:
- 防止入侵发生
- 在入侵发生时检测入侵并正确响应
蓝队是防御安全领域的一部分。
与防御安全相关的一些任务包括:
- 用户网络安全意识:对用户进行网络安全培训有助于防止针对其系统的各种攻击。
- 记录和管理资产:我们需要了解且必须正确管理和保护的系统和设备的类型。
- 更新和修补系统:确保计算机、服务器和网络设备针对任何已知漏洞(弱点)进行正确更新和修补。
- 设置预防性安全设备:防火墙和入侵防御系统 (IPS) 是预防性安全的关键组成部分。防火墙控制哪些网络流量可以进入系统或网络以及哪些网络流量可以离开系统或网络。 IPS 会阻止任何与当前规则和攻击特征相匹配的网络流量。
- 设置日志记录和监控设备:如果没有适当的网络日志记录和监控,就不可能检测到恶意活动和入侵。如果我们的网络上出现新的未经授权的设备,以至于我们应该能够知道。
防御安全还有很多内容,上面的列表仅涵盖了一些常见主题。
在这个房间里,我们讨论:
- 安全运营中心 (SOC):安全运营中心 (SOC) 是一个由 IT 安全专业人员组成的团队,负责监控、预防、检测、调查和响应公司网络和系统内的威胁
- 威胁情报
- 数字取证和事件响应 (DFIR)
- 恶意软件分析
回答以下问题:
2、任务 2 防御安全领域
在本任务中,我们将讨论与防御安全相关的两个主要主题:
- 安全运营中心 (SOC),我们在此负责威胁情报
- 数字取证和事件响应 (DFIR),我们还涵盖恶意软件分析
**2.1 安全运营中心(SOC),Security Operations Center **
安全运营中心 (SOC) 是一个由网络安全专业人员组成的团队,负责监控网络及其系统以检测恶意网络安全事件。 SOC 感兴趣的一些主要领域是:
- 漏洞:每当发现系统漏洞(弱点)时,就必须通过安装适当的更新或补丁来修复它。当修复不可用时,应采取必要的措施来防止攻击者利用它。尽管修复漏洞对于 SOC 至关重要,但它并不是必须分配给他们。
- 策略违规:我们可以将安全策略视为保护网络和系统所需的一组规则。例如,如果用户开始将公司机密数据上传到在线存储服务,则可能违反策略。
- 未经授权的活动:考虑用户的登录名和密码被盗,攻击者使用它们登录网络的情况。 SOC 需要检测此类事件并在造成进一步损害之前尽快阻止它。
- 网络入侵:无论您的安全性有多好,入侵的机会总是存在。当用户单击恶意链接或攻击者利用公共服务器时,可能会发生入侵。不管怎样,当入侵发生时,我们必须尽快检测到它,以防止进一步的损害。
安全行动涵盖确保保护的各种任务;其中一项任务就是威胁情报。
威胁情报(Threat Intelligence),在这种情况下,情报是指您收集的有关实际和潜在敌人的信息。威胁是指任何可能破坏系统或对系统产生不利影响的行为。威胁情报旨在收集信息,帮助公司更好地应对潜在对手。目的是实现基于威胁的防御。不同的公司有不同的对手。一些对手可能会试图从移动运营商窃取客户数据;然而,其他对手有兴趣停止炼油厂的生产。示例对手包括出于政治目的的民族国家网络军队和出于财务目的的勒索软件组织。根据公司(目标),我们可以预期对手。
情报需要数据。必须收集、处理和分析数据。数据收集是从本地来源(例如网络日志)和公共来源(例如论坛)完成的。数据处理的目的是将它们排列成适合分析的格式。分析阶段旨在找到有关攻击者及其动机的更多信息;此外,它的目的是制定一份建议和可行步骤清单。
了解你的对手可以让你了解他们的战术、技术和程序。通过威胁情报,我们可以识别威胁行为者(对手),预测他们的活动,因此,我们将能够减轻他们的攻击并制定响应策略。
2.2 数字取证和事件响应 (DFIR),Digital Forensics and Incident Response
本节介绍数字取证和事件响应 (DFIR),我们将介绍:
- Digital Forensics 数字取证
- Incident Response 事件响应
- Malware Analysis 恶意软件分析
Digital Forensics 数字取证
法证学是应用科学来调查犯罪并确定事实的学科。随着计算机和智能手机等数字系统的使用和普及,一个新的取证学分支诞生了,用于调查相关犯罪:计算机取证,后来演变为数字取证。
在防御安全中,数字取证的重点转向分析攻击及其肇事者的证据以及其他领域,例如知识产权盗窃、网络间谍活动和拥有未经授权的内容。因此,数字取证将侧重于不同领域,例如:
- 文件系统:分析系统存储的数字取证图像(低级副本)可以揭示许多信息,例如已安装的程序、创建的文件、部分覆盖的文件和已删除的文件
- 系统内存:如果攻击者在内存中运行恶意程序而不将其保存到磁盘,则获取系统内存的取证映像(低级副本)是分析其内容并了解攻击的最佳方法。
- 系统日志:每台客户端和服务器计算机都维护有关正在发生的情况的不同日志文件。日志文件提供了有关系统上发生的情况的大量信息。即使攻击者试图清除痕迹,也会留下一些痕迹。
- 网络日志:穿过网络的网络数据包的日志将有助于回答有关攻击是否正在发生以及攻击会带来什么影响的更多问题。
Incident Response 事件响应
事件通常是指数据泄露或网络攻击;然而,在某些情况下,它可能不是那么重要,例如配置错误、入侵尝试或违反策略。网络攻击的示例包括攻击者使我们的网络或系统无法访问、破坏(更改)公共网站以及数据泄露(窃取公司数据)。您将如何应对网络攻击?事件响应指定了处理此类案例时应遵循的方法。目的是减少损害并在尽可能短的时间内恢复。理想情况下,您应该制定一个为事件响应做好准备的计划。
事件响应过程的四个主要阶段是:
- 准备:这需要一个经过培训并准备好处理事件的团队。理想情况下,首先要采取各种措施来防止事件发生。
- 检测和分析:团队拥有检测任何事件所需的资源;此外,有必要进一步分析任何检测到的事件,以了解其严重性。
- 遏制、根除和恢复:一旦检测到事件,阻止其影响其他系统、消除它并恢复受影响的系统至关重要。例如,当我们发现系统感染了计算机病毒时,我们希望阻止(遏制)病毒传播到其他系统,清除(根除)病毒,并确保系统正确恢复。
- 事件后活动:成功恢复后,将生成一份报告,并分享吸取的教训,以防止未来发生类似事件。
Malware Analysis 恶意软件分析
Malware 代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型,例如:
- 病毒是一段将自身附加到程序的代码(程序的一部分)。它被设计为从一台计算机传播到另一台计算机;此外,一旦感染计算机,它就会更改、覆盖和删除文件。结果包括计算机变得缓慢甚至无法使用。
- 特洛伊木马是一种显示出理想功能但隐藏着恶意功能的程序。例如,受害者可能会从可疑网站下载视频播放器,从而使攻击者能够完全控制其系统。
- 勒索软件(Ransomware)是一种加密用户文件的恶意程序。加密使文件在不知道加密密码的情况下无法读取。如果用户愿意支付“赎金”,攻击者就会向用户提供加密密码。
恶意软件分析旨在使用各种手段了解此类恶意程序:
- 静态分析的工作原理是检查恶意程序而不运行它。通常,这需要对汇编语言(处理器的指令集,即计算机的基本指令)有扎实的了解。
- 动态分析的工作原理是在受控环境中运行恶意软件并监控其活动。它可以让您观察恶意软件运行时的行为。
回答以下问题:
3、任务 3 防御安全实例
背景:您是安全运营中心 (SOC) 的一员,负责保护银行。该银行的 SOC 使用安全信息和事件管理 (SIEM) 系统。 SIEM 从各种来源收集与安全相关的信息和事件,并通过一个系统呈现它们。例如,如果登录尝试失败或来自意外地理位置的登录尝试,您将收到通知。此外,随着机器学习的出现,SIEM 可能会检测到异常行为,例如用户在凌晨 3 点登录,而他通常只在工作时间登录。
在本练习中,我们将与 SIEM 交互,以实时监控网络和系统上的不同事件。有些事件是典型且无害的;其他人可能需要我们的进一步干预。找到标记为红色的事件,记下它,然后单击它以进行进一步检查。
接下来,我们想要了解有关可疑活动或事件的更多信息。可疑事件可能是由本地用户、本地计算机或远程 IP 地址等事件触发的。要发送和接收邮政邮件,您需要一个实际地址;同样,您需要一个 IP 地址才能通过 Internet 发送和接收数据。 IP 地址是允许您通过 Internet 进行通信的逻辑地址。我们检查触发的原因,以确认该事件是否确实是恶意的。如果是恶意的,我们需要采取适当的行动,例如向 SOC 中的其他人报告并阻止 IP 地址。
示例房间:
回答以下问题
Careers in Cyber 网络职业
1、任务 1 简介
网络安全职业的需求量越来越大,薪资也越来越高。安全行业有许多不同的工作,从进攻性渗透测试(黑客攻击机器和报告漏洞)到防御性安全(防御和调查网络攻击)。
为什么要从事网络职业:
- 高薪 - 安全工作的起薪很高
- 令人兴奋 - 工作可以包括合法侵入系统或防御网络攻击
- 供不应求——有超过 350 万个网络职位空缺
该房间通过提供有关各种网络安全角色的信息来帮助您进入网络安全领域;它还链接到不同的学习路径,您可以使用这些路径来开始培养您的网络技能。
2、任务 2 安全分析师(tryhackme上有对应的学习路径)
安全分析师对于跨组织构建安全措施以保护公司免受攻击至关重要。分析师探索和评估公司网络,以发现可操作的数据和建议,为工程师制定预防措施。该工作角色需要与各个利益相关者合作,以了解安全要求和安全形势。
Responsibilities 职责
- 与各个利益相关者合作分析整个公司的网络安全
- 编制有关网络安全的持续报告,记录安全问题和采取的应对措施
- 制定安全计划,纳入对新攻击工具和趋势的研究,以及跨团队维护数据安全所需的措施。
Learning Paths 学习路径
TryHackMe 的学习路径将为您提供基础技术知识和实践经验,这对于成为一名成功的证券分析师至关重要。
3、任务3 安全工程师(tryhackme上有对应的学习路径)
安全工程师使用通常来自安全人员的威胁和漏洞数据来开发和实施安全解决方案。安全工程师的工作涉及规避各种攻击,包括 Web 应用程序攻击、网络威胁以及不断发展的趋势和策略。最终目标是保留并采用安全措施来降低攻击和数据丢失的风险。
Responsibilities 职责
- 跨软件测试和筛选安全措施
- 监控网络和报告以更新系统并减少漏洞
- 识别并实施最佳安全性所需的系统
Learning Paths 学习路径
TryHackMe 的学习路径将为您提供基础技术知识和实践经验,这对于成为一名成功的安全工程师至关重要。
4、任务 4 事件响应者(tryhackme上有对应的学习路径)
事件响应人员对安全漏洞做出富有成效且高效的响应。职责包括制定计划、政策和协议,供组织在事件期间和事件后制定。这通常是一个压力很大的职位,随着攻击的展开,需要实时评估和响应。事件响应指标包括 MTTD、MTTA 和 MTTR——检测、确认和(从攻击中)恢复的时间。目的是实现快速有效的响应,保持财务状况并避免负面的违规影响。最终,事件响应人员保护公司的数据、声誉和财务状况免受网络攻击
Responsibilities 职责
- 制定并采用彻底的、可操作的事件响应计划
- 保持强大的安全最佳实践并支持事件响应措施
- 事件后报告和未来攻击的准备,考虑从事件中吸取教训和调整
Learning Paths 学习路径
TryHackMe 的学习路径将为您提供基础技术知识和实践经验,这对于成为一名成功的事件响应者至关重要。
5、任务 5 数字取证检查员
如果你喜欢扮演侦探,这可能是完美的工作。如果您是执法部门的一员,您将专注于收集和分析证据以帮助解决犯罪问题:指控有罪者并为无辜者开脱。另一方面,如果您的工作属于保护公司网络,您将使用您的取证技能来分析事件,例如违反策略。
Responsibilities 职责
- 在遵守法律程序的同时收集数字证据
- 分析数字证据以找到与案件相关的答案
- 记录您的发现并报告案件
6、任务 6 恶意软件分析师
恶意软件分析师的工作包括分析可疑程序、发现它们的行为并撰写有关其发现的报告。恶意软件分析师有时被称为逆向工程师,因为他们的核心任务是将编译的程序从机器语言转换为可读代码(通常采用低级语言)。这项工作要求恶意软件分析师具有较强的编程背景,尤其是汇编语言、C语言等低级语言。最终目标是了解恶意程序执行的所有活动,找出如何检测并报告它。
Responsibilities 职责
- 对恶意程序进行静态分析,这需要逆向工程
- 通过观察受控环境中的恶意软件样本活动,对恶意软件样本进行动态分析
- 记录并报告所有调查结果
7、任务 7 渗透测试人员(tryhackme上有对应的学习路径)
您可能会看到渗透测试被称为渗透测试和道德黑客攻击。渗透测试人员的工作职责是测试公司内系统和软件的安全性 - 这是通过系统化黑客尝试发现缺陷和漏洞来实现的。渗透测试人员利用这些漏洞来评估每个实例的风险。然后,公司可以利用这些见解来纠正问题,以防止现实世界中的网络攻击。
Responsibilities 职责
- 对计算机系统、网络和基于 Web 的应用程序进行测试
- 执行安全评估、审核和分析策略
- 评估和报告见解,建议预防攻击的行动
Learning Paths 学习路径
TryHackMe 的学习路径将为您提供基础技术知识和实践经验,这对于成为一名成功的渗透测试人员至关重要。
8、任务 8 红队队员(tryhackme上有对应的学习路径)
红队成员与渗透测试人员有相似之处,具有更有针对性的工作角色。渗透测试人员希望发现系统中的许多漏洞,以保持网络防御的良好信誉,而红队人员则负责测试公司的检测和响应能力。该工作角色需要模仿网络犯罪分子的行为、模拟恶意攻击、保留访问权限并避免检测。红队评估可以运行长达一个月,通常由公司外部的团队进行。它们通常最适合拥有成熟安全计划的组织。
Responsibilities 职责
- 模拟威胁参与者的角色,以发现可利用的漏洞、保持访问权限并避免检测
- 评估组织的安全控制、威胁情报和事件响应程序
- 评估和报告见解,为公司提供可操作的数据,以避免现实世界中的情况
Learning Paths 学习路径
TryHackMe 的学习路径将为您提供基础技术知识和实践经验,这对于成为一名成功的红队队员至关重要。