蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

Ethan医生2个月前 (08-20)信息收集116

➢ 蓝队技能-内网攻防-口令爆破&隧道技术&排查&应急

#口令横向

场景说明：不管在内网还是在外网，协议口令爆破一直是攻击最常见的方式。

1、明确对应口令爆破的日志存储路径及查看

2、明确日志中有哪些属性和判断依据（筛选）

3、对于大量日志可在后面要讲到的效率项目工具

Linux-SSH

netstat -anpt

/var/log/auth.log

/var/log/secure

查看成功登陆：

cat /var/log/secure | grep "Accept"

查看失败登陆：

cat /var/log/secure | grep "Failed password for"

其他筛选登陆见打包PDF细节

Windows-RDP：

事件ID：4625(失败)/4624(成功)

登陆类型：2/3/5/10

事件日志：Windows日志>安全

Windows-SMB：

事件ID：4625/4624

登陆类型：2/3/5/10

事件日志：Windows日志>安全

Windows-MSSQL:

事件日志：管理>SqlServer日志

除上述外还有FTP,Redis,MYSQL,STMP等协议爆破事件，具体分析无非就是找对应日志存储文件后，文件中筛选失败登录请求进行排查应急。

#隧道技术

场景说明：内网或不出网的情况下，协议隧道技术很常见，如何定位到进程及攻击者？

1、明确隧道最常使用的协议技术

2、明确Windows,Linux中分析技术

3、对于有需要自定义排查协议可学后续开发脚本实现

ICMP比较有挑战性和代表性

至于DNS或者其他协议的隧道或者恶意程序其实都是一样的处置方法，

Linux-ICMP

实验：https://github.com/esrrhs/pingtunnel

sudo ./pingtunnel -type server -key 1234

sudo ./pingtunnel -type client -l :4445 -s 121.196.209.235 -t 121.196.209.235:4444 -tcp 1 -key 1234

分析：

https://github.com/Just-Hack-For-Fun/request_monitor

https://blog.csdn.net/native_lee/article/details/124751325

安装：

sudo apt update

sudo apt install bpftrace

chmod +x request_monitor.sh

chmod +x request_monitor.bt

sudo ./request_monitor.sh xx.xx.xx.xx

ps -aux

流量：Wireshark分析

处置：封IP及防火墙限制协议

Windows-ICMP

实验：https://github.com/esrrhs/pingtunnel

sudo ./pingtunnel -type server -key 1234

pingtunnel.exe -type client -l :4445 -s 192.168.1.9 -t 192.168.1.9:4444 -tcp 1 -key 1234

分析：Microsoft Message Analyzer

流量：Wireshark分析

处置：封IP及防火墙限制协议

标签: 蓝队技能

返回列表

上一篇：蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

下一篇：蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境：...

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

➢ 蓝队技能-Docker镜像-容器分析&处置配置&基线检测#Docker应急Docker拉取的镜像被攻击者拿下，植入后门或挖矿等恶意应用，那么该如何应急？1、启动镜像例子1...

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

➢ 蓝队技能-Rookit技术-Linux&Win系统&进程隐藏&网络隐藏Windows-Rootkit演示：演示项目：https://bytecode77.com/...

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

➢ 蓝队技能-溯源反制-C2CS&应用平台#溯源反制-远程控制工具-CobaltStrike对抗Cobaltstrike中的手段：1、伪造流量批量上线（欺骗防御）条件：知道对方的CS...

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

➢ 蓝队技能-流量分析-C2远控工具#蓝队技能-流量分析-C2远控工具C2:MSF、CS、Sliver、Viper、Havoc、Vshell、Supershell等 #CSHTTP...

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

➢ 蓝队技能-钓鱼攻击-邮件&附件&分析&排查&应急#钓鱼邮件如何分析邮件安全性：1、看发信人地址2、看发信内容信息3、看发信内容附件4、查询发信域名反制&n...

EthanDoctor

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

蓝队技能-应急响应篇&Rookit后门&进程提取&网络发现&隐藏技术&Linux杀毒&OpenArk

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论