护网行动防守小总结.pdf

护⽹⾏动防守⼩总结 护⽹⾏动防守⼩总结 安联智库WTX 安联智库 今天 0x00 前⾔ ⾸先强调下，下⽂所 的思路均是”因地制宜”，根据客户业务实际情况开展。这次HW是跟某国企合作⼀块进⾏安全防御，之前⼀直是做 的⼄⽅的安全服务，第⼀次切换到防护⾓⾊。 ⾸先，整个项 ⽬分为两个阶段 ： 护⽹前 护⽹中 0x0 1 护⽹前 护⽹前的⼯作相当重要，国企的安全⼯作想必各位都 所了解这⾥就不多说了，如何在这么多的时间内尽量做到全⾯安全覆盖实在是太考验 防守团队了。 前期的准备⼯作主要分为两个部分 ： 1、⾃检 2、加固 ⾃检是最快发现问题的⼿段，本次项 ⽬我们负责的是云平台安全，云主机总数量达 14000多台，任务还是蛮重的。 1.1 ⾃检 主要分为外⽹渗透测试和内⽹渗透测试两部分，外⽹和内⽹渗透测试还不⼀样，外⽹需要结合客户相关业务来，⽐如政企客户你使⽤ WordPress、Drupal的payload去打，不能说百分之百没 ，但是成功的概率相当低，要 针对性去测试，因为时间不允许去这么做。 1.1.1 外⽹渗透测试 外⽹不是我们的重点，根据实际情况主要关注那些能直接获取主机权限的漏洞和泄漏⼤量数据的漏洞即可，⽐如 ： 弱⼝令 ：数据库、SSH、RDP、后台 命令执⾏ ：Solr、Jenkins、Weblogic、Struts2、RMI、JBoss、Tomcat、Spring、ActiveMQ、Zabbix ⽂件操作 ：⽂件上传、⽂件读取 未授权访问：Redis、Hadoop、Docker、K8S 1.1.2 内⽹渗透测试 内⽹渗透和外⽹渗透区别很⼤，因为外⽹不仅 我们，还 其他合作伙伴，各种WAF、防⽕墙、APT、IDS、IPS、以及办公⽹的EDR、杀 毒什么的各种安全设备⼀顿操作，所以我们此次的重⼼就是在内⽹云平台中，我们的靶标当然也在内⽹云平台中。 由于内⽹云平台 很多微服务集群，所以根据这个特性，主要分以下⼏个步骤 ： 1、资产发现 因为云平台都是在专 云上，所以写个脚本爬了下资产就可以全部获取到了。 这⾥需要注意下爬的字段，因为后期涉及到漏洞修复、安全事件等问题的对接。 | IP | 项 ⽬ | 部门 | 状态 | 2、资产指纹梳理 因为主机数量太⼤，如果每个资产单独去测试的话，时间代价太⼤，所以很 必要进⾏资产指纹梳理，这样如果发现某个漏洞，直接就可以 为后⾯的批量漏洞利⽤提供条件了。 资产指纹根据业务情况进⾏ 针对性的收集，主要搜集的 ： 2 1、22、23、1090、1099、2049、2 18 1、3000、3306、4848、5000、5900、590 1、6379、7000-9999、112 11、 12 18 1、270 17、10050、50000、50080 3、漏洞发现 漏洞发现就是常规的渗透测试了，但是内⽹的渗透 别与外⽹，内⽹主要是快速的，尽可能的发现更多的漏洞，所以不需要进⾏进⼀步利 ⽤，⽐如发现了Redis未授权访问，就不要去浪费时间反弹shell、写密钥这些。 这⾥举了个两个简单的例⼦ Example1 PS ：前期资产发现阶段发现8888端⼝对应的主机 1800多台 发现提⽰tId- 1不存在 发现提⽰/root/xxx/xxx任务不存在 tId=…/ …/ …/ …/etc/passwd Example2 PS ：前期资产发现阶段发现8006端⼝对应的主机 180多台 信息泄漏 /autoconfig /beans /env /configprop /dump /health /info /mappings /metrics /shutdown /trace /env URL ：/application.wadl 3、直接访问发现信息泄漏，可直接看到整站的⽬录结构 /war /war/path … 4、⼀层⼀层访问⽬录接⼝发现/war/WEB-INF/classes ⽬录下存在 perties⽂件，直接访问提⽰403 5、根据前期漏洞信息、收集信息关联分析，发现在对应⽂件下加⼊content即可进⾏ ⽂件读取 ：/war/WEB-INF/classes/perties/content 这样就可以直接导致web⽬录下任意⽂件读取了，批量利⽤发发现80