当前位置:网站首页>攻防演练复盘

攻防演练复盘

2022-07-01 23:41:00 weixin_48170459

最近参加了为期两周的攻防演练,也是第一次参加攻防相关的活动,感觉跟平时的区别挺大的。
刚到现场的时候说主要做蓝队方面的工作,但甲方资产方面什么的都不清楚,所以第一时间向甲方要了一份资产表,并了解资产在网络区域的分布情况,不过具体有多少资产,可能甲方那里都搞不清楚。
复盘:
1,了解资产的发布情况和网络拓扑图
感觉这是很重要的一点,可以确定攻击方打进那个位置,如果资产什么的不确定,被偷家了都不知道。
2,分析威胁日志时多看带有cookie,session,token,refer的信息
一般攻击队打不进的时候,会通过钓鱼的方式获取账号和密码,从而进入后台,这时我们的威胁检测系统可能发现不了。但是,一般攻击队进入后台后会找上传点,看能不能上传webshell,或发起其他攻击事件,这时就有记录了。我们通过结合请求头的cookie,session,token,refer信息来判断攻击者是否已经进入到后台和具体时间点,以便进行应用日志溯源。
日志溯源时除了根据ip查询,也可以根据UA查询,或工具标志头找找看
3,出现漏洞告警时不要慌
一般出现漏洞告警时不一定是攻击,也有可能是业务人员的正常请求。比如,开发人员的开发行为不规范,请求头带有部分sql语句,这可能会报sql注入成功漏洞。判断是否是攻击行为要看日志的上下文,比如:当出现目录列表漏洞,我们可以查询攻击IP的日志记录,如果目录列表之后有一大堆敏感文件请求,那么有可能是在脱数据,这时我们要开启排查处置流程了。
4,溯源过程多关注命令执行,代码执行之类的攻击报文
一般这样的报文会带有反弹的IP地址或域名之类的。关于IP可以去fofa之类的网站搜搜看,有的会有该IP所对应的域名。域名可以去查查备案信息,whois查询之类的看有没有个人信息。同时这些信息也可以丢进威胁情报收集网站找找看,看有没有其他信息。邮箱反查,GitHub查询,ip经纬度定位,网站忘记密码功能,注册功能定位账号等,这些林林总总都可以利用起来。

原网站

版权声明
本文为[weixin_48170459]所创,转载请带上原文链接,感谢
https://blog.csdn.net/weixin_48170459/article/details/125460880

边栏推荐

猜你喜欢

随机推荐