蓝队思路总结-理论篇
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了蓝队思路总结-理论篇相关的知识,希望对你有一定的参考价值。
0x01 信息收集
- whois查询
- 子域名查询
- DNS/子域名信息查询
- 端口扫描
- 网络空间搜索引擎
- 扫描敏感目录
roots.txt
网站备份压缩文件
git/svn导致文件泄露
ds_store导致的文件泄露
web-inf/web.xml泄露
其他源码泄露
特定组件的路径
- 指纹识别
- SSL/TLS证书查询
- 资产发现
根据端口号进行探测
网络拓扑
0x02 渗透测试
- 弱口令(数据库、ssh、rdp、后台)
- 文件操作(文件上传、文件读取)
- 常见组件漏洞
- 攻击思路
- 代理
- 使用漏洞扫描
0x03 加固
- 通用
测试、开发服务器全部关停
敏感端口安全组隔离
使用堡垒机、跳板运维机
用户、权限隔离
认证策略:密钥、双因子认证
最小化权限原则
补丁
流量分析
- windows-安全策略
身份鉴别
访问控制
权限分配
禁用3389
禁用/停止服务
只发送NTMv2响应
禁用注册表编辑器和cmd命令提示符
启用uac
启用防火墙日志功能
- Linux
信息收集-查看日志
安全策略-身份鉴别
-禁用危险服务
-iptables操作
-密码安全加固
-访问控制
0x04 研判
日志
- 通用-web容器日志
nginx日志
IIS日志
apache日志
tomcat日志
- windows
系统日志
数据库日志
- linux
bash_history
系统日志
数据库日志
安全设备
WAF
流量、日志、数据库日志
态势感知
安骑士
蜜罐
扫描器
木马后门
病毒样本分析
查看crontab日志
流量分析
- windows
wireshark
fiddle
wesexlorer
网络连接
- linux
tcpdump
TSHARK
应急响应
0x05 溯源
-
安全工具漏洞
-
木马样本采集(payload中包含有攻击者的信息、在病毒分析网站上查询)
-
蜜罐(蜜罐挂马)
-
IP定位(攻击ip、反弹ip)
-
ID追踪(JsonP劫持漏洞、ID反查)
-
邮件反查
-
后门查询(系统日志、Nginx日志)
0x06 反制
- 工具反制
蚁剑RCE漏洞、AWVS rce漏洞、sqlmap rce漏洞、爆破cs服务端密码
- 红队服务器反制
- 钓鱼
以上是关于蓝队思路总结-理论篇的主要内容,如果未能解决你的问题,请参考以下文章