| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> Hvv蓝队指北 -> 正文阅读 |
|
[网络协议]Hvv蓝队指北 |
本文仅为个人复习中知识点整理,有部分引用(照抄)之处,敬请谅解 Hvv蓝队指北一些资料2021hvv_vul 免杀修改特征码(指令加密、去注释) 花指令免杀 加壳免杀(vmprotect) 二次编译 无文件(PowerShell 、VBS) 隐写术 OWASPhttps://www.freebuf.com/articles/web/334113.html 注入
域kerberous认证协议 金银票据:(后渗透,权限维持) 黄金票据:指的是在已经获得域控制器的krbtgt用户哈希的情况下,自行签发TGT,也就能获得域内任意服务的权限。(实际上就是利用域控哈希,跳过前两个认证步骤直接生成TGT,再将凭证发给KDC,继续完成认证过程。由于可以根据服务自行生成TGT,所以可以拥有任何服务的权限) 可以获得域控权限(维持,不过期) 白银票据:指的是在已经获得服务哈希的情况下,自行签发此服务的ST,可以获得服务的权限。 只能获得特定服务权限,过期时间较短。(实际上是利用服务账户hash,跳过前四个步骤直接生成ST票据并利用它访问server的服务,故不会在KDC内留下痕迹,但由于利用的是特定服务hash故只有该服务权限) 溯源(攻击者画像)ip反查(微步) whois 域名绑定 旁站 同C 判断是否为跳板机 搞到id可以查个人博客、社交媒体,支付宝转账反查,tg社工机器人、社工库 搞到电话之类就可以反钓鱼 厉害的东西: 蜜罐json hijack溯源(本质上是蜜罐+CSRF) CSRF与SSRF
应急响应流程横向排查 首先拿到内网拓扑(该机器的C段以及与它相连的两个段) 把受攻击的机器和与之相连的机器直接下线 然后去排查该机器能连接的段上的机器 排查攻击者权限 排查异常服务与用户添加 最后根据时间戳根据排查日志 还原攻击流程 确认有无横向——有 下线 一批——优先找马删马 排查账号后门持久化 排查内存马 远控 win直接上火绒剑 干进程 排查注册表 启动项 账号 linux 一个道理 先查端口占用 反连 进程 通过/proc/exe直接定位恶意文件位置 排查ssh公钥后门 crontab持久化后门 linux日志目录/var/log/secure(爆破) /etc/passwd&shadow(用户&密码) ~/.bash_history (命令记录) /var/log/cron(历史计划任务) 持久化手法与反制https://www.freebuf.com/articles/system/229209.html windows:辅助功能(五次shift,放大镜,屏幕键盘,设置中心,包括使用注册表劫持程序) 启动项、自启服务、计划任务;DLL劫持;WMI无文件;进程注入 反制:注册表扫描、火绒剑排查进程、 linux:crontab,ssh公钥后门,自启动 /etc/rc.d/init.d,替换busybox命令,aliaes,rootkit 反制:查文件,查ssh公钥,看aliaes,编译busybox进行文件对比,rootkit直接上工具 Rootkit(个别厂商问): https://paper.seebug.org/1867/ webshell排查/流量排查仅参考,大佬们一般都对工具进行了魔改,不会有特别明显的特征 https://www.freebuf.com/articles/web/324622.html 静态特征(webshell文件特征): 菜刀(还有人用这玩意么) :简单一句话 蚁剑:assert,eval,ClassLoader 冰蝎:16位连接密码,默认变量为k,eval、assert;XOR,execute;ClassLoader,getClass().getClassLoader() 哥斯拉:ClassLoader,getClass().getClassLoader() 一些离谱的东西 https://www.freebuf.com/articles/web/241454.html 包括webshell重命名为 . 或者 . . https://www.freebuf.com/articles/terminal/187842.html 动态特征: 菜刀: 蚁剑:响应包开头@ini_set(“display_errors”, “0”);@set_time_limit(0) 响应包的结果返回格式为 随机数 结果 随机数(所以这里能不能直接去查结果来做分析) 冰蝎:动态二进制加密 关注每次连接的get请求,里面有本次的16位加密密钥 (不就是传个密钥搞AES对称加密么,为啥叫动态二进制,那每个https连接算不算 只要有全流量就跑不掉.jpg) 哥斯拉:ClassLoader,getClass().getClassLoader()),base64加解码;xc,pass
Redishttps://www.freebuf.com/articles/web/237263.html https://www.freebuf.com/328286.html 真实案例:reedis 3.x windows 无法继续利用 linux防火墙配置(iptables、firewall)https://blog.csdn.net/weixin_41038905/article/details/104727279 核心是端口配置 详细的看这位大佬 https://blog.csdn.net/weixin_53246927/article/details/124500012?spm=1001.2014.3001.5502 Iptables(静态):基于接口,四表五链 ,本质上是个封包过滤器,决定主机在什么ip什么端口收什么包,又给什么ip什么端口发什么包 firewalld(动态):基于区域,地址关联区域并执行差异化策略 firewall-config/-cmd mysql提权:https://www.sqlsec.com/2020/11/mysql.html into outfile:直接网站目录写马或者改日志文件目录到网站目录写马 前提:已知绝对路径,secure_file_priv 无限制,有写权限 UDF:自定义函数功能,核心是在插件目录下写恶意.so再直接通过自定义函数提权 mof:写临时文件,等系统以system权限执行vbs –os-shell(dba权限):一个文件上传php,一个命令执行php –sql-shell sql无回显打dnslog:通过注入打load file(mysql)或master…xp_dirtree(mssql),进行DNS请求带外,请求域名是关键信息+利用平台定制的域名,完成攻击后远程请求平台域名,平台留下DNS记录,起到了回显的作用 https://blog.csdn.net/qq_53577336/article/details/118615216 OSI七层模型(真有问这个的)https://blog.csdn.net/m10_2339656216/article/details/119752566 linux提权https://blog.csdn.net/Breeze_CAT?type=blog 华为大佬 常用CVE: CVE-2021-4034 pkexec CVE-2022-0847 dirtypipe CVE-2021-3156 sudo堆溢出 win提权print nightmare smb ghost JuicyPotato 内存马https://www.freebuf.com/articles/web/274466.html servlet-api型:注册一个新的listener、filter或者servlet 字节码增强型:通过java的instrumentation动态修改已有代码,进而实现命令执行 内存马需要用到反射机制,这也是各种马动态特征的来源之一 内存马也可能通过shellcode等方式逃避检测 中间件漏洞置顶两篇https://www.freebuf.com/vuls/323927.html https://www.freebuf.com/vuls/323926.html fastjson反序列化 https://www.freebuf.com/vuls/276512.html fastjson的漏洞核心就是可以加载任意类,在之后的版本中就是一直在完善黑名单 主要问题在autotype,利用大部分都是基于绕过 payload特征在@type 从 设置了黑名单,如果ClassName命中黑名单,程序则直接抛出异常 在1.2.68之后的版本增加了safeMode。safeMode打开后,完全禁用autoType(原payload打完直接报错)。 tomcatCVE-2017-12615 任意文件写入 Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),但仅可写.jsp文件(通过put写入) CVE-2019-0232 RCE 鸡肋洞
人话:CGI命令注入,但一般情况不会开配置,废 CVE-2020-1938 任意文件读 (ghost cat) 由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。 特征:8009端口,AJP服务 主要是任意读,msf集成了攻击模块 剩下的弱口令、管理界面爆破、文件上传 weblogichttps://www.freebuf.com/articles/web/287165.html https://www.freebuf.com/vuls/284799.html T3、IIOP反序列化漏洞 任意文件读+解密获取账号 CVE-2017-3506/10271 wls-wsat包中XMLDecoder反序列化漏洞(10271绕过补丁)
CVE-2019-2725 继续绕补丁 CVE-2018-2894 文件上传 默认不开,拿了后台才有用 配置失当 CVE-2021-2394 反序列化(二次反序列化) CVE-2021-2109 JNDI远程注入(T3) CVE-2020-14882 + CVE-2020-14883 未授权访问管理后台+后台任意用户命令执行=RCE structs2https://www.freebuf.com/vuls/246768.html https://www.freebuf.com/vuls/246969.html OGNL表达式双重解析+绕过 thinkphp全是洞,直接看文章吧 https://www.freebuf.com/vuls/249178.html https://www.freebuf.com/articles/web/286234.html shirohttps://www.freebuf.com/articles/web/323529.html CVE-2016-4437/CVE-2019-12422 反序列化 (常见,有工具) 成因:加密使用AES硬密钥,反序列化数据未进行检查(<1.2.4) 用户登陆成功后会生成经过加密并编码的cookie,在服务端接收cookie值后,Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥,就可以构造一个恶意对象,对其进行序列化–>AES加密–>Base64编码,然后将其作为cookie的rememberMe字段发送,Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞。 12422适用于<1.4.2版本 高版本密钥改成随机数了 通过Padding Oracle Attack爆破,不需知道密钥,但需要先登录一下看看合法cookie,流量特征应该是有的 漏洞指纹 在请求包的Cookie中为?remeberMe字段赋任意值 返回包中存在set-Cookie:remeberMe=deleteMe URL中有shiro字样 有时候服务器不会主动返回remeberMe=deleteMe, CVE-2020-1957、11989 身份认证验证绕过 (鸡肋) 成因:Shiro拦截器与requestURI的匹配流程与Web框架的拦截器的匹配流程有差异 https://xlab.tencent.com/cn/2020/06/30/xlab-20-002/ 条件:Apache Shiro与Spring控制器一起使用(针对*拦截有效,**拦截无效) jboss多为反序列化 JMXConsole默认未授权访问 /jmx-console/ CVE-2017-12149
请求中,服务器将用户提交的POST内容进行了Java反序列化 漏洞原理:该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化, 基本上就是一个无检查的反序列化,invoker这个组件下的功能就翻车了 CVE-2017-7504 /jbossmq-httpil/HTTPServerILServlet 漏洞原理:JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTPInvocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 同上,无检查反序列化 |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 21:19:23- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |