EthanDoctor

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

Ethan医生4个月前信息收集189

 蓝队技能-内网攻防-口令爆破&隧道技术&排查&应急

#口令横向

场景说明:不管在内网还是在外网,协议口令爆破一直是攻击最常见的方式。

1、明确对应口令爆破的日志存储路径及查看

2、明确日志中有哪些属性和判断依据(筛选)

3、对于大量日志可在后面要讲到的效率项目工具

 

Linux-SSH

netstat -anpt

/var/log/auth.log

/var/log/secure

查看成功登陆:

cat /var/log/secure | grep "Accept"

查看失败登陆:

cat /var/log/secure | grep "Failed password for"

其他筛选登陆见打包PDF细节

 

Windows-RDP

事件ID4625(失败)/4624(成功)

登陆类型:2/3/5/10

事件日志:Windows日志>安全

 

Windows-SMB

事件ID4625/4624

登陆类型:2/3/5/10

事件日志:Windows日志>安全

 

Windows-MSSQL:

事件日志:管理>SqlServer日志

 

除上述外还有FTP,Redis,MYSQL,STMP等协议爆破事件,具体分析无非就是找对应日志存储文件后,文件中筛选失败登录请求进行排查应急。

 

#隧道技术

场景说明:内网或不出网的情况下,协议隧道技术很常见,如何定位到进程及攻击者?

1、明确隧道最常使用的协议技术

2、明确Windows,Linux中分析技术

3、对于有需要自定义排查协议可学后续开发脚本实现

 

ICMP比较有挑战性和代表性

至于DNS或者其他协议的隧道或者恶意程序其实都是一样的处置方法,

 

Linux-ICMP

实验:https://github.com/esrrhs/pingtunnel

sudo ./pingtunnel -type server -key 1234

sudo ./pingtunnel -type client -l :4445 -s 121.196.209.235 -t 121.196.209.235:4444 -tcp 1 -key 1234

分析:

https://github.com/Just-Hack-For-Fun/request_monitor

https://blog.csdn.net/native_lee/article/details/124751325

安装:

sudo apt update

sudo apt install bpftrace

chmod +x request_monitor.sh

chmod +x request_monitor.bt

sudo ./request_monitor.sh xx.xx.xx.xx

ps -aux

流量:Wireshark分析

处置:封IP及防火墙限制协议

 

Windows-ICMP

实验:https://github.com/esrrhs/pingtunnel

sudo ./pingtunnel -type server -key 1234

pingtunnel.exe -type client -l :4445 -s 192.168.1.9 -t 192.168.1.9:4444 -tcp 1 -key 1234

分析:Microsoft Message Analyzer

流量:Wireshark分析

处置:封IP及防火墙限制协议


标签: 蓝队技能
返回列表

上一篇:蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

下一篇:蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

相关文章

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

➢ 蓝队技能-溯源反制-C2CS&应用平台#溯源反制-远程控制工具-CobaltStrike对抗Cobaltstrike中的手段:1、伪造流量批量上线(欺骗防御)条件:知道对方的CS...

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境:...

蓝队技能-应急响应篇&ELK系统&日志采集分析&Yara规则&样本识别&特征提取&规则编写

➢ 蓝队技能-工具项目-ELK日志系统&采集分析&导入分析➢ 蓝队技能-工具项目-Yara威胁感知&规则解析&规则开发#ELK专业系统日志分析Ela...

蓝队技能-设备部署篇&雷池WAF保护Web&蜜罐HFish溯源&堡垒机JumpServer资产管理

➢ 蓝队技能-设备部署-WAF-Web-雷池➢ 蓝队技能-设备部署-蜜罐-服务-HFish➢ 蓝队技能-设备部署-堡垒机-JumpServer#WAF-雷池SafeLin...

蓝队技能-流量分析篇&WebShell工具类&数据解密&特征研判&哥斯拉&天蝎&冰蝎&蚁剑

➢ 蓝队技能-流量分析-WebShell工具#蓝队技能-流量分析-WebShell工具WebShell工具类:菜刀,蚁剑,冰蝎,天蝎,哥斯拉菜刀:https://mp.weixin.qq.c...

蓝队技能-溯源反制篇&暴打红队&蜜罐读取&IDE上线&蚁剑RCE&Goby资产&Sqlmap命令

➢ 蓝队技能-溯源反制-蜜罐&安全工具#溯源反制-蜜罐-伪装MYSQL当红队小子对目标进行扫描时,发下存在MYSQL安全问题去利用,便会落入蓝队的陷阱https://github.c...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号