还记得前几天,360的一篇文章:浅析CobaltStrike Beacon Staging Server扫描 弄得红队同学很受伤啊,当然,后面L.N等大佬也是给出了相关的解法: 关于CobaltStrike...又或者针对于execute-assembly.的反制,总之,红队是真滴惨。 ? 那么我们今天就继续来迫害红队。首先来科普性的说明几个概念: 什么是stage(stageless)?...而作为红队的同学,如何去进行对抗呢?想必看到工具源码的该位置,大家就可以明白了: ? 就像绕过CobaltStrikeScan一样,细节只在一点而已。
还有几天,某大型全国性交友活动就要开始了,特此为蓝队的朋友们献上一篇简单的反制文章。 该方法操作简单,一个wireshark即可操作,但准确性没有之前的准确。
b 关闭 allow_url_* 参数命令执行1、拼接 & 、&& 、 | 、 ||2、原理:在操作系统中, & 、&& 、 | 、 || 都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤...2、同源策略内容 主机、端口、协议2、防御 a 验证 referer b 加 token 验证SSRF:服务器请求伪造1、原理 大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制
3.1常见攻击源 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 邮件钓鱼...,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息 3.2 常用溯源技术 3.2.1 IP定位技术 根据IP定位物理地址—代理IP 溯源案例:通过IP端口扫描,反向渗透服务器进行分析...—域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 3.3.4 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人...3.4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。...溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
在本文中,我们将通过一些有趣的示例深入研究 Shodan Searches 的功能,以探索蓝队威胁狩猎,以增强组织的网络安全基础设施防御能力。...第1节 从蓝队的角度来看,暴露在互联网上的 IP 范围可能是一个主要的安全问题。过期的证书、已知的漏洞和暴露的服务都是蓝队在评估暴露的 IP 范围时应该寻找的潜在安全风险。...搜索2:在此搜索中,可以查找未在标准端口上运行的 FTP 服务器所在的 Amazon 组织。...“Your Files Have Been Encrypted” 结论 Shodan 是一个有趣的工具,我相信每个蓝队都应该使用它来监控他们的组织。...它可以帮助蓝队识别可能成为安全风险的奇怪的互联网暴露。 在下一部分中,我将讨论 Shodan CLI 和 Shodan API,以将安全监控提升到新的水平。
前言 近期面试了几家蓝队中级岗位(公司内面),在此做出相关面试题整理及面试总结 某达(蓝中研判) 平时在项目上有做一些研判分析工作吗?(研判工作流程,具体分析那些东西?)...==应急响应流程:==判断是否是误报,了解基本情况(攻击源捕获、获取相关信息),根据异常特征(安全设备告警、流量、网站、主机)确定安全事故事件类型(What)(网络攻击事件、钓鱼邮件、暴力破解、Web服务器入侵...When)、攻击范围(Where)以及技术手段、攻击者攻击思路(How)进而构造证据链猜解攻击对象(Who),清除处置(善后处理)以及取证溯源…… 感觉按照这个流程来回答一听就感觉就是背的,emmmm 某蓝...内网域内主机都存在永恒之蓝漏洞,但是存在天擎EDR,如何利用? Linux机器被打穿了排查思路(攻击机已经开始做内网横向了)?...(开始上强度了) 相似问题:域前置如何查、云函数如何查? emmmm 留个坑,下篇博客系统写一下 出现0Day你如何处置? 不明细节,不知原理。
本文所有操作和截图皆在本地环境下的靶机中进行 前言 上一篇 红队视角下Linux信息收集 我们谈到红队是以提权和后渗透为主要目的而进行的信息收集,本次谈一谈在蓝队应急响应中Linux系统下比较关键的内容...--- 日志 Linux系统的日志功能非常强大且完善,几乎可以保存所有的操作记录,蓝队的信息收集主要就是针对日志的信息收集,先从系统自身的日志来说起。...[2bggo4t24o.png] 用户日志 wtmp 日志记录了用户的登录、退出、重启等情况,可以查看系统是否存在异常用户登录,判断攻击者是否已经登录服务器,由于 wtmp 日志为二进制文件,所以利用用...--- 总结 本文模拟了常见的应急场景,通过各种技术手段,在机器上捕捉红队人员的痕迹,并且排查是否有后门残留。...在实际环境中,会存在各种复杂的场景,特别是针对系统上不同的应用,存在各种隐藏后门的手段,蓝方人员不仅需要掌握系统、应用的加固知识还需要掌握相应的漏洞利用知识,熟悉红队的进攻手段,才可以做到更好的防护。
事实证明,这些搜索对于蓝队识别可能构成安全风险的异常互联网暴露实例而言是有利的。 在本博客中,我将展示使用 CLI 的 Shodan 搜索,可以系统地遵循该搜索来简化基于 Shodan 的监控。...ip_str,port,org port:9000 --limit 15 --separator "," 搜索6:使用 AWK 在此示例中,我们对favicon哈希-305179312(Confluence服务器...结论 Shodan CLI 是一款功能强大的工具,网络安全蓝队可以使用它来监控其外部网络。您可以使用 CLI 自动执行任务并创建自定义脚本。这对于运行定期网络扫描或收集报告数据等任务很有帮助。...这意味着您可以在家庭计算机、工作计算机或云服务器上使用它。...通过使用 Shodan CLI,网络安全蓝队可以以更正式的方式获得对其外部网络的宝贵见解,并通过定期(一天或一周)重复一些命令来识别潜在的安全风险。此信息可用于改善组织的安全状况并防范网络攻击。
b 修复建议 禁止访问 /mobile/DBconfigReader.jsp c 来源 https://github.com/r0eXpeR/redteam_vul 泛微OA云桥未授权任意文件读取 a...如已安装的程序包的版本号日期早于20190524,建议用户及时更新补丁:用户可以在Coremail云服务中心的补丁管理模块,根据补丁编号下载并按照操作指引进行手动更新。...在最近的一次红队行动中,我们发现目标装有老版本的Apache Axis(1.4)。现在较新的有Apache Axis2, Apache CXF,和Metro等。...导致服务器上的数据泄露或获取服务器权限。 在一定的条件下,通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。...该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Server的trapper命令处理,存在命令注入漏洞,可导致远程代码执行。
那就要先知道什么是入侵行为,这里的入侵主要指通过各种方式进入企业公司内部,获取权限,盗取数据的行为,也就是咱们通常所说的红队的成功的入侵行为,而反入侵的存在就是为了防止红队成员成功获得内部权限、盗取敏感数据...必须要了解攻击者的入侵是怎么做的才能做好反入侵的工作,业界知名的 ATT&CK 框架将攻击者的整个链条进行拆解,很多商业的 APT 防护产品也在对照其进行技术研究,开发针对性的检测能力,关于框架内容可以参考官方内容,也可以看我之前整理的《聊一聊我对红蓝对抗的理解...了解红队的看到上面的内容,应该也知道说的是什么,基于这个,站在防御者的角度,思考如何进行防御,如何反入侵,如图: ?...1、识别阶段 在攻击者实施攻击之前,我们要对所要保护系统进行风险梳理,识别那些显而易见的漏洞或者弱点,比如边界应用的漏洞、VPN 和 wifi 是否有强认证、主机服务器是否做了加固、内部各类系统服务是否存在弱口令等...网络上可以使用商业的 NIDS 设备,镜像网络流量进行审计,也可以使用开源的免费解决方案,比如 Suricata ; 系统方面可以使用一些商业的 HIDS ,比如长亭的牧云、青藤的万象,开源的比如 wazuh
前言 很快又是各种攻防演练了,每到这个时候,本公众号都会给红蓝双方的小伙伴们放送一点福利。虽然本号内容更新比较佛系,但是还是感谢诸位一直的关注。...关于功能 该蜜罐为mysql蜜罐,即在你的服务器上模拟一个mysql服务出来。 当攻击者对你的服务器进行3306端口的弱口令扫描的时候,是一定会扫出一个“弱口令”的。...windows版的只需要放到服务器上,双击打开即可。 Linux版的只需要放到服务器上,给主程序一个执行权限然后运行即可。 注意:要先确保服务器的3306端口未被占用,且该端口能被外部访问到。
上一篇《红队视角下的企业安全运营》主要从红队的视角出发,向大家实战化演示了企业在红蓝对抗中所暴露出的一些攻击面,这些攻击面对于企业来说,是致命的,笔者之所以通过红蓝对抗实践来讲企业安全,是因为网络安全的本质就是一场...下面笔者将尝试换一个视角——从蓝队视角出发,和大家聊聊实战化的应急响应及处置溯源案例,以此方式发现企业安全运营过程中的薄弱项,从而提出安全风险规避方法,为企业安全运营者提供更多思路。...1、蓝队应急响应处置案例 一、发现及研判组 【攻击成功分析及举证】 处置建议:排查可疑进程与TCP连接。...2、蓝队阻击红队的常用手段 蓝队是企业安全的守门员,既守护着企业安全的第一道防线,又保卫着企业安全的最后一道防线,因此,建议蓝队常态化的从攻击者实战视角去加强自身的安全防护能力,俗话说,未知攻焉知防,只有全面了解敌人的路数...蓝队应对红队的常用策略可总结为:防范被踩点 、收敛攻击面 、立体防渗透 、全方位防护核心、全方位监控 防范被踩点:首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台
有必要的话将服务器断网隔离。 2.手工结合工具进行检测。...答: PHP:通达OA、泛微 Eoffice Java:泛微OA/云桥、致远OA、蓝凌OA、用友OA ASP:启莱OA 六. 了解安全设备吗?...答: 分类: WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。...save 保存 局限: 1.服务器处于内网,写入webshell后我们的公网IP无法连接 2.服务器IP地址不固定 3.6379端口不允许入方向 4.上传webshell可能直接被杀毒软件删除...通过读写分离可以减轻服务器端的压力。
5、跳板机信息收集(触发): 进入红队跳板机查询相关信息 如果主机桌面没有敏感信息,可针对下列文件进行信息收集 last:查看登录成功日志 ?
前言 在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。...输入事件 ID:4625 进行日志筛选,发现事件 ID:4625,事件数 229,即用户登录失败了 229 次,那么这台服务器管理员账号可能遭遇了暴力猜解。...日志默认保存在 %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx,可在事件查看器的日志属性设置保存在远程服务器...对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。 --- 本文作者 r0fus0d
Part1 前言 这个小工具的编写源于一个HW蓝队项目,我曾经作为蓝队人员值守了2周,期间发现很多蓝队人员对于反序列化系列漏洞原理不清楚,导致对设备告警的各种反序列化攻击不能有效地研判,也就是说不能底气十足地告诉客户...即便解密出明文数据包,很多蓝队工作人员并不了解java反序列化漏洞,辨别不出明文数据包里是正常的Java类,还是攻击者所用的恶意Java类。 3....工具编写 于是我费了1天的时间各种调试,写了一款小工具,帮助蓝队人员快速研判Shiro反序列化攻击行为。写完了之后,也帮助上家公司天眼团队完成了Shiro解密的小插件,给他们提供了这个解密思路。...关注“网络安全abc123”公众号后,回复数字“1111”,即可得到此蓝队工具的下载地址。后期我会继续维护这个蓝队小工具,大家有什么好的建议或者想法,可以给我留言。...各种Java反序列化攻击,需要蓝队工作人员对Java漏洞有一些了解,不然遇到各种变形的payload,很难有效地研判攻击行为。 2.
蓝队分析研判工具箱,功能包括内存马反编译分析、各种代码整理、网空资产测绘功能、溯源辅助、解密冰蝎流量、解密哥斯拉流量、解密Shiro/CAS/Log4j2的攻击载荷、IP/端口连接分析、...各种编码/解码功能、蓝队分析常用网址、java反序列化数据包分析、Java类名搜索、Fofa搜索、Hunter搜索等。...2023.08.05增加蓝队分析的常用网址。 2023.08.04 对各种报错异常进行抽取,并且显示出来。 2023.08.03添加JavaScript、CSS、XML、JSON的剪辑功能。...2023年7月22日新增蓝队反制功能,获取图片的EXIF信息,包括经纬度位置信息、手机型号等。 2023.07.21增加UTF-7编码、解码功能,更换离线IP数据库为最新版本。
做信息安全的我第一时间猜想,是不是和这台服务器上的业务有所关联? 叫上运维同学和业务同学来到机房,由运维同事进入tomcat服务器系统检查。...通过外部服务器:攻击者通过外部漏洞拿到应用服务器权限,横向移动入侵到jenkins。 云开雾释 当即我们兵分两路,对邮件服务器和jenkins下可以访问公网的服务器进行排查。...还真让我们有了新的发现,发现一台linux服务器存在反连外部恶意域名的行为。排查并没有发现异常邮件,那么这一台linux服务器就有可能存在问题。...夜尽天明 登录这台linux服务器查看Web日志,发现尝试疑似木马后门上传,但根据日志中状态码反馈,均已405反馈失败,猜测这台服务器可能已经被攻击者攻破。随后我们对这台机器进行溯源。...weblogic控制服务器,我们决定采用重装系统的方式。
做信息安全的我第一时间猜想,是不是和这台服务器上的业务有所关联? 叫上运维同学和业务同学来到机房,由运维同事进入tomcat服务器系统检查。...通过外部服务器:攻击者通过外部漏洞拿到应用服务器权限,横向移动入侵到jenkins。 云开雾释 当即我们兵分两路,对邮件服务器和jenkins下可以访问公网的服务器进行排查。...还真让我们有了新的发现,发现一台linux服务器存在反连外部恶意域名的行为。排查并没有发现异常邮件,那么这一台linux服务器就有可能存在问题。...weblogic控制服务器日志: 分析weblogic控制服务器日志,发现利用反序列化漏洞经常出现的几个异常。...weblogic控制服务器,我们决定采用重装系统的方式。
工具介绍 FindAll工具是专为网络安全蓝队设计的应急响应工具,旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能,以提高安全事件应对的效率和准确性。...FindAll采用客户端-服务器(CS)架构,特别适用于那些无法直接登录远程主机进行安全检查的场景。...快速异常识别与响应 提供即时的异常检测和响应建议,帮助蓝队迅速应对威胁。 用户友好界面 界面设计简洁直观,适合各水平的蓝队成员。 简洁明了,适合各水平用户,包括网络安全领域新手。
领取专属 10元无门槛券
手把手带您无忧上云