2024年4月10日发(作者:)
2019HW行动防守总结
原创: 瓦都剋
从五月19日到六月底一直在参与HW行动,第一次参与从甲方角度的攻防对抗的
团队当中,总体来说感触很大,谨此记录下。
0x00 前言
首先强调下,下文所有的思路均是"因地制宜",根据客户业务实际情况开展。这次HW是跟某国企合
作一块进行安全防御,之前一直是做的乙方的安全服务,第一次切换到防护角色。
首先,整个项目分为两个阶段:
1. 护网前
2. 护网中
0x01 护网前
护网前的工作相当重要,国企的安全工作想必各位都有所了解这里就不多说了,如何在这么多的时间
内尽量做到全面安全覆盖实在是太考验防守团队了。
前期的准备工作主要分为两个部分:
1、自检
2、加固
自检是最快发现问题的手段,本次项目我们负责的是云平台安全,云主机总数量达14000多台,任务
还是蛮重的。
1.1 自检
主要分为外网渗透测试和内网渗透测试两部分,外网和内网渗透测试还不一样,外网需要结合客户相
关业务来,比如政企客户你使用WordPress、Drupal的payload去打,不能说百分之百没有,但是成
功的概率相当低,要有针对性去测试,因为时间不允许去这么做。
1.1.1 外网渗透测试
外网不是我们的重点,根据实际情况主要关注那些能直接获取主机权限的漏洞和泄漏大量数据的漏洞
即可,比如:
弱口令:数据库、SSH、RDP、后台
命令执行:Solr、Jenkins、Weblogic、Struts2、RMI、JBoss、Tomcat、Spring、ActiveMQ、
Zabbix
文件操作:文件上传、文件读取
未授权访问:Redis、Hadoop、Docker、K8S
1.1.2 内网渗透测试
内网渗透和外网渗透区别很大,因为外网不仅有我们,还有其他合作伙伴,各种WAF、防火墙、
APT、IDS、IPS、以及办公网的EDR、杀毒什么的各种安全设备一顿操作,所以我们此次的重心就是
在内网云平台中,我们的靶标当然也在内网云平台中。
由于内网云平台有很多微服务集群,所以根据这个特性,主要分以下几个步骤:
1、资产发现
因为云平台都是在专有云上,所以写个脚本爬了下资产就可以全部获取到了。
这里需要注意下爬的字段,因为后期涉及到漏洞修复、安全事件等问题的对接。
| IP | 项目 | 部门 | 状态 |
2、资产指纹梳理
因为主机数量太大,如果每个资产单独去测试的话,时间代价太大,所以很有必要进行资产指纹梳
理,这样如果发现某个漏洞,直接就可以为后面的批量漏洞利用提供条件了。
资产指纹根据业务情况进行有针对性的收集,主要搜集的有:
21、22、23、1090、1099、2049、2181、3000、3306、4848、5000、5900、5901、6379、7000-
9999、11211、12181、27017、10050、50000、50080
发布者:admin,转转请注明出处:http://www.yc00.com/web/1712726334a2111165.html
评论列表(0条)