蓝队思路总结-理论篇

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了蓝队思路总结-理论篇相关的知识,希望对你有一定的参考价值。

0x01 信息收集

  • whois查询
  • 子域名查询
  • DNS/子域名信息查询
  • 端口扫描
  • 网络空间搜索引擎
  • 扫描敏感目录
roots.txt
网站备份压缩文件
git/svn导致文件泄露
ds_store导致的文件泄露
web-inf/web.xml泄露
其他源码泄露
特定组件的路径
  • 指纹识别
  • SSL/TLS证书查询
  • 资产发现
根据端口号进行探测
网络拓扑

0x02 渗透测试

  • 弱口令(数据库、ssh、rdp、后台)
  • 文件操作(文件上传、文件读取)
  • 常见组件漏洞
  • 攻击思路
  • 代理
  • 使用漏洞扫描

0x03 加固

  • 通用
测试、开发服务器全部关停
敏感端口安全组隔离
使用堡垒机、跳板运维机
用户、权限隔离
认证策略:密钥、双因子认证
最小化权限原则
补丁
流量分析
  • windows-安全策略
身份鉴别
访问控制
权限分配
禁用3389
禁用/停止服务
只发送NTMv2响应
禁用注册表编辑器和cmd命令提示符
启用uac
启用防火墙日志功能
  • Linux
信息收集-查看日志
安全策略-身份鉴别
      -禁用危险服务
      -iptables操作
      -密码安全加固
      -访问控制

0x04 研判

日志

  • 通用-web容器日志
nginx日志
IIS日志
apache日志
tomcat日志
  • windows
系统日志
数据库日志
  • linux
bash_history
系统日志
数据库日志

安全设备

WAF
流量、日志、数据库日志
态势感知
安骑士
蜜罐
扫描器

木马后门

病毒样本分析
查看crontab日志

流量分析

  • windows
wireshark
fiddle
wesexlorer
网络连接
  • linux
tcpdump
TSHARK

应急响应

0x05 溯源

  • 安全工具漏洞

  • 木马样本采集(payload中包含有攻击者的信息、在病毒分析网站上查询)

  • 蜜罐(蜜罐挂马)

  • IP定位(攻击ip、反弹ip)

  • ID追踪(JsonP劫持漏洞、ID反查)

  • 邮件反查

  • 后门查询(系统日志、Nginx日志)

0x06 反制

  • 工具反制
蚁剑RCE漏洞、AWVS rce漏洞、sqlmap rce漏洞、爆破cs服务端密码
  • 红队服务器反制
  • 钓鱼

以上是关于蓝队思路总结-理论篇的主要内容,如果未能解决你的问题,请参考以下文章

hw蓝队初级面试总结

蓝队面试题整理(hw防守方面试题整理)

2022年蓝队初级护网总结

2022年蓝队初级护网面试题总结

一个蓝队的思考复盘

一个蓝队的思考复盘