Hvv姿势——0day拦截

这几天up闭门修炼（被抓去值班）托更至今，偶然顿悟了0day捕获姿势，特地水出来和师傅们分享一下。可行性其实很高，主要是需要的前置工作比较多，需要把网络隔离的好，不然有可能会玩脱。

先写在前面：本方法不适用于任何gov、edu后缀的网站，仅测试和讨论用，请勿直接用于真实环境。

先上架构图，up不喜欢画标准的拓扑。大家凑合看一下吧：

这是一个简略的架构，省略负载、路由器，正常的逻辑基础都是这么构建的，服务器出网前需要经过核心交换机、防火墙和waf，态感读取核心镜像流量。这套逻辑本身没有问题，符合防护和监控的需求，但如果是0day，假设某系统的0day只需要传入一个参数到web即可rce，但该参数风险未知，态势感知可能未必能读取到威胁并告警，这也是绝大部分中小安全项目的弱点，无法主动防御捕获。当然了，有蜜罐除外。

构建思路：

一、非对外业务系统

诸如oa、内部办公系统、后台等等，甚至因为某些需求而暴露在外的安全设备web也可用作捕获诱饵。

二、构建规则

这里有个很重要的前提，那就是waf和防火墙，且防火墙需布置在出口处，充当进出口防护设备和拦截设备，最好没有做IP转换。

（1）参数梳理

不包括因逻辑原因、人为疏忽原因造成的未授权和信息泄露，除这两种外，因为上文提到了，需要非业务系统来做诱饵的原因，除了安全性不能保证之外就是因为业务系统由于对外开放，参数众多且不好梳理，waf可能无法承受，所以选定的web服务最好是能控制在一定参数范围的。将所有可控参数进行整理，并对所有不合法参数在waf进行过滤（要对内部网络开放，不要在配置文件上做限制），不允许外来ip脱离可控范围。

（2）调整隔离方式

先上图：

大致的设计思路就是放弃原有的防护作用，主要是将一部分隔离去除，靠waf对诱饵服务器的参数和传入数据做阻断，当然，我们团队在讨论的时候也发现了不稳定的因素，注入上传口的限制是很有限的，所以不推荐大家拿实际环境赌一赌，没有蜜罐的话建立测试环境或者将无关紧要的备份传入诱饵服务器就可以了，我更倾向于把这套诱饵服务器称呼为影子模拟器，up在自己做的时候用到的全是从运维同事那里拿来的测试环境备份，当然了，仅限于实验。

这套调整的核心在于第一个路由器的valn配置，仅允许外来流量和测试IP进行通信（测试IP最好不要放置在和诱饵同一个网段），测试IP是预留测试诱饵服务器是否真实存在0day 的，这就是关键点之一，没过waf，且所有的拦截由waf生效，懂的都懂。

第二个关键的点是使用了第二个交换机和防火墙来保证业务服务器的安全。

（3）拓展

一开始我们整理出来的拓扑其实很复杂，因为越讨论越多，越堆越多...万幸，我们搞清楚了自己的定位，且真要把那么多安全设备重构那就不现实了，情况不允许的师傅们，如果没法加防火墙、没法改交换机配置，在核心做acl限制也可以，把vlan隔离开，反正在出口的映射也是单独做，诱饵服务器如果有虚拟化的话用虚拟化实现也行，多在内部做限制就行，前期会麻烦一点，建立好之后随时进行调整也是很方便的。

顺利的话就可以坐等收0day啦

总结

挑在hw水这么一篇是up的有感而发，最近rt不当人打的特别凶，up这边也是苦于没有蜜罐，安全设备也少得可怜，所以就得想点办法在尽可能少求助于外部力量的情况下，提升一点反制的能力，还是那句话，仅供参考，请技术不到位的小师傅们不要轻易尝试！不然丢了自己的vps事小，那啥事大！

唔，对了，想看技战法的后台扣个1，人多的话过几天发。