攻防演练复盘

最近参加了为期两周的攻防演练，也是第一次参加攻防相关的活动，感觉跟平时的区别挺大的。
刚到现场的时候说主要做蓝队方面的工作，但甲方资产方面什么的都不清楚，所以第一时间向甲方要了一份资产表，并了解资产在网络区域的分布情况，不过具体有多少资产，可能甲方那里都搞不清楚。
复盘：
1，了解资产的发布情况和网络拓扑图
感觉这是很重要的一点，可以确定攻击方打进那个位置，如果资产什么的不确定，被偷家了都不知道。
2，分析威胁日志时多看带有cookie，session，token，refer的信息
一般攻击队打不进的时候，会通过钓鱼的方式获取账号和密码，从而进入后台，这时我们的威胁检测系统可能发现不了。但是，一般攻击队进入后台后会找上传点，看能不能上传webshell，或发起其他攻击事件，这时就有记录了。我们通过结合请求头的cookie，session，token，refer信息来判断攻击者是否已经进入到后台和具体时间点，以便进行应用日志溯源。
日志溯源时除了根据ip查询，也可以根据UA查询，或工具标志头找找看
3，出现漏洞告警时不要慌
一般出现漏洞告警时不一定是攻击，也有可能是业务人员的正常请求。比如，开发人员的开发行为不规范，请求头带有部分sql语句，这可能会报sql注入成功漏洞。判断是否是攻击行为要看日志的上下文，比如：当出现目录列表漏洞，我们可以查询攻击IP的日志记录，如果目录列表之后有一大堆敏感文件请求，那么有可能是在脱数据，这时我们要开启排查处置流程了。
4，溯源过程多关注命令执行，代码执行之类的攻击报文
一般这样的报文会带有反弹的IP地址或域名之类的。关于IP可以去fofa之类的网站搜搜看，有的会有该IP所对应的域名。域名可以去查查备案信息，whois查询之类的看有没有个人信息。同时这些信息也可以丢进威胁情报收集网站找找看，看有没有其他信息。邮箱反查，GitHub查询，ip经纬度定位，网站忘记密码功能，注册功能定位账号等，这些林林总总都可以利用起来。