1响应流程 事件发生 运维监控人员、客服审核人员等发现问题，向上通报。 事件确认 收集事件信息、分析网络活动相关程序，日志和数据，判断事件的严重性，评估出问题的严重等级，是否向 上进行汇报等。 事件响应 各部门通力合作，处理安全问题，具体解决问题，避免存在漏洞未修补、后门未清除等残留问题。 事件关闭 处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。 2事件分类 •后门、蠕虫事件 •Web服务器入侵事件 •第三方服务入侵事件 •系统入侵事件 –利用Windows漏洞攻操作系统 •网络入侵事件 –DDoS/ARP欺骗/DNS劫持等 3分析方向 文件分析 •基于变化的分析...

文件分析 •最近使用文件 –find/-ctime-2 –C:\DocumentsandSettings\Administrator\Recent –C:\DocumentsandSettings\DefaultUser\Recent –%UserProfile%\Recent •系统日志分析 –/var/log/ •重点分析位置 –/var/log/wtmp登录进入，退出，数据交换、关机和重启纪录 –/var/run/utmp有关当前登录用户的信息记录 –/var/log/lastlog文件记录用户最后登录的信息，可用lastlog命令来查看。 –/var/log/secure记录登入系统存...

1网络设备 •及时检查系统版本号 •敏感服务设置访问IP/MAC白名单 •开启权限分级控制 •关闭不必要的服务 •打开操作日志 •配置异常告警 •关闭ICMP回应 2操作系统 Linux •无用用户/用户组检查 •空口令帐号检查 •用户密码策略 –/etc/login.defs –/etc/pam.d/system-auth •敏感文件权限配置 –/etc/passwd –/etc/shadow –/.ssh/ –/var/log/messages –/var/log/secure –/var/log/maillog –/var/log/cron –/var/log/spooler –/var...

1简介 蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出 蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。 蜜罐可以实现对攻击者的主动诱捕，能够详细地记录攻击者攻击过程中的许多痕迹，可以收集到大量有价值 的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。另外蜜罐也可以消耗攻击者 的时间，基于JSONP等方式来获取攻击者的画像。 但是蜜罐存在安全隐患，如果没有做好隔离，可能成为新的攻击源。 2分类 按用途分类，蜜罐可以分为研究型蜜罐和产品型蜜罐。研究型蜜罐一般是用于研究各类网络威胁，寻找应对 的方式，不增加特...

反制团队架构设计 当⼀个事件产生，从蓝队的大流程中过来，经过了监控、分析、研判、应急等流程，作为反制，我们的木的是为了获取红队相关基础设施的权限、以及进⼀步反制溯源到⼈员。反制，作为蓝队整个⼯作中的⼀环，偏向于事件的后续处理流程的⼀个闭环。作为⼀个闭环需要哪些知识栈的⼈员进行组合呢？ 渗透人员至少1名：主要对需要反制的目标进行反渗透； 内网成员1名：需要擅长内网、钓鱼、cs/msf、免杀等红队技能点； 情报/社工反制人员至少1名：对拿到的ioc、id等进行分析及社工反制相关人员； 逆向分析成员：至少需要1名，分析获取到的相关样本，提取关键有用信息，分析红队人员后门； 漏洞分析成员：需要熟悉主流...

msf msf⽣成shellcode的yara扫描  这⾥有msf目前到6.0.12版本的生成shellcode的yara规则，但是存在部分误报，如果需要根据特征去匹配内存中。yara需要进⼀步在研究  dnslog/httplog等的反制 针对dnslog和httplog的反制，获取的对方的payload的url，然后批量使用站长之家进⾏批量ping或者使用腾讯云函数进行怕批量访问，对方列表会都是请求。 Goby反制 打开goby开始扫描->IP详情->XSS->RCE完成 1. goby扫描 2. 服务端返回⼀个header插⼊...

1Nmap  Nmap：NetworkMapper，“网络映射器”。Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机，这些主机提供的服务（应用程序名称和版本），它们正在运行的操作系统和版本，包过滤器/防火墙的类型。它旨在快速扫描大型网络，但可以在单个主机上正常运行。 2基本功能  1.主机发现：探测一组主机是否在线。默认情况下，Nmap通过4种方式——ICMPecho请求（ping）、向443端口发送TCPSYN包、向80端口发送TCPACK包和ICMP时间戳请求——发现目标主机。 2.端口扫描：扫描主机端口，嗅探所提供的网络服务。 3.服务、版本探测：在发现开...

AWVS的反制 awvs10版本漏洞 https://www.exploit-db.com/exploits/39755 awvs14以下的版本漏洞触发 2021年4月13日，安全研究人员RajvardhanAgarwal在推特公布了本周第⼀个远程代码执行（RCE）的0Day漏洞 ChromiumV8JavaScript引擎远程代码执行 Chromium版本的漏洞，可以构造然后执行shellcode  poc（以下公开poc仅用于蓝队反制红队使用，github也有公开代码，勿用于其他攻击行为）：  替换shellcode部分即可 ENABLE_LOG=true; IN_W...

burp的反制 同样，也是chromiumv8引擎的远程代码执行 <2021-3-3的版本 反制利用场景： 1:BurpSuitev2.0的LiveauditfromProxy被动扫描功能在默认情况下开启JavaScript分析引擎（JavaScriptanalysis），⽤于扫描JavaScript漏洞 2:Response->Render及Repeater->Render功能进行渲染的时候会触发 burp指纹的识别和反制 针对burp指纹的反制，当使用默认配置的burp，很多指纹能够被精准识别到 1:利用跨域去获取burp的指纹，然后可以干很多事情，比如引入到蜜罐流量进...