首页  思维导图  详情



 



内网安全检查总结

2020-08-12 16:52:45   0  举报





AI智能生成

内网安全建设总结

内网

信息安全

内网安全

模板推荐

作者其他创作

大纲/内容

信息收集

主机发现

使用端口扫描工具可以实现主机发现

端口扫描

nmap

masscan

Metasploit

漏洞扫描

Nessus

Nexpose

识别内网环境

分析目标的网络结构

办公网

系统区分

OA系统

邮件系统

财务系统

文件共享系统

域控

企业版杀毒系统

上网行为管理系统

内部应用监控系统

网络区分

管理网段

内部系统网段

按照部门区分的网段

设备区分

个人电脑

内网服务器

网络设备

安全设备

生产网

系统区分

业务系统

运维监控系统

安全系统

网络区分

各不同的业务网段

运维监控网段

安全管理网段

安全防御策略

渗透介绍

攻击思路

攻击外网服务器

攻击办公网的系统、办公网电脑、办公网无线等方式

敏感资料/数据/信息

高管/系统管理员/财务/人事/业务人员的个人电脑

文件服务器/共享服务器

邮件服务器

OA服务器

数据库服务器等

攻击过程

信息收集

漏洞验证/漏洞攻击

后渗透

日志清理

工具

Kali

GitHub开源工具

渗透注意事项

检查内网监控防范系统

谨慎使用ARP软件和大面积扫描软件

使用目标网络中无空闲机器，作为打包对象

使用内网大流量机器作为传输对象，如wsus服务&#13; 器、视频会议系统

使用临时机器打包、数据传输，不要使用已控机器，&#13; 可利用wmi脚本或wmic远程操作

禁止使用psexec.exe

打包时避开用户工作时间

控制卷包大小&lt;100M

选择用户常用压缩软件

错峰下载数据

控制传输流量

清除所有操作日志

登录主机前先看看管理员是否在

后渗透

提权

https://github.com/SecWiki/windows-kernel-exploits

https://github.com/SecWiki/linux-kernel-exploits

域攻击

域内渗透的过程

确定目标系统和应用程序

识别潜在的漏洞

利用漏洞获得初始访问

提升权限

定位域管理进程或者获取远程系统上的本地身份验证令牌

通过本地管理员的密码Hash，破解密码，&#13; 使用mimikatz工具抓取密码验证运行在远程系统上的域名管理进程

迁移域管理进程

创建一个域管理员

工具

Empire

https://www.anquanke.com/post/id/87328

PowerUp

PowerView

mimikatz

Metasploit

建立后门/端口转发

端口转发及代理类工具

LCX

sockscap

proxifier

Rsscoks

Proxychains

ssh proxy

netcat

metasploit模块

中转服务器下载端口转发工具

能连接互联网下载

通过 mstsc 的磁盘加载

通过入口服务器中转

通过远程控制软件上传

传输文件

文件打包

rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n*.doc –x*.exe d:\data\

7z.exe a c:\xx.7z -pPass -mhe d:\data -v100m

tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3

dd if=pma.des3 |openssl des3 -d -k password|tar zxf -

文件传输

使用端口转发直接传送数据

搭建 FTP、HTTP 协议

上传到云端再下载

制作后门/木马程序

msfvenom

SET 也可以生成后门程序

最新的 Office、PDF 的漏洞

日志清理

了解以下的内容

攻击和入侵很难完全删除痕迹&#13; 没有日志记录本身就是一种入侵特征

删除或清理入侵系统的本地日志不代表删除了痕迹，&#13; 在网络设备、安全设备、集中化日志系统上仍然留存记录

留存的后门本身会有攻击者的信息

使用的代理或跳板可能会被反向入侵

在操作前检查是否有管理员登录

删除上传的工具，使用磁盘覆写的功能删除

Windows日志类型

web日志：IIS、Apache以及其它web日志

操作日志：3389登录列表、最近访问文件、&#13; IE等浏览器访问日志、文件访问日志

登录日志：系统应用日志-安全日志等

攻击前和状态还原，尽量保持一致

Linux操作日志

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;

SSHD登陆记录&#13; 删除~/.ssh/known_hosts中记录

修改文件时间戳&#13; touch –r 原文件要修改文件

删除临时使用文件，尤其是tmp目录

logtamper

漏洞攻击

Web

自定义 Web 应用

注入

上传

代码执行

文件包含等

Web 中间件

Tomcat

端口：8080

攻击方法

默认口令

tomcat/tomcat

role1/tomcat

both/tomcat

弱口令

爆破

在管理后台部署 war 后门文件

远程代码执行漏洞

Jboss

端口：8080

攻击方法

弱口令，爆破

管理后台部署 war 后门

反序列化

远程代码执行

WebLogic

端口：7001，7002

攻击方法

弱口令、爆破，弱密码

weblogic/weblogic

weblogic/Oracle@123

管理后台部署 war 后门

SSRF

反序列化漏洞

weblogic_uac

WebSphere

端口：默认端口：908*；第一个应用就是9080，第二个就是9081；控制台9090

攻击方法

控制台登录爆破

弱口令

admin/admin

webshpere/webshpere

部署 war 后门

反序列化

任意文件泄露

Glassfish

HTTP端口号是8080，IIOP端口号是3700，控制台端口为4848

攻击方法

目录穿越漏洞

任意文件读取漏洞

登录爆破

默认密码

admin/adminadmin

Web 框架

Struts2

S2-005

S2-046等

Spring 框架

CVE-2010-1622

CVE-2018-1274

CVE-2018-1270

CVE-2018-1273

反序列化

目录穿越

Web服务器

IIS

端口：80

攻击方法

IIS，开启了 WebDAV，可以直接详服务器 PUT 文件

短文件名枚举漏洞

远程代码执行

提权漏洞

解析漏洞

Apache

端口：80

攻击方法

解析漏洞

目录遍历

Nginx

端口：80

攻击方法

解析漏洞

目录遍历

CVE-2016-1247

lighttpd

端口：80

攻击方法

目录遍历

常见运维系统

Gitlab

任意文件读取漏洞

任意用户 token 泄露漏洞

命令执行漏洞

Jenkins

远程代码执行漏洞

反序列化漏洞

未授权访问漏洞

登录入口爆破

Puppet

反序列化

远程命令执行

Ansible

远程代码执行

Nagios

代码执行

SQLi

Zabbix

远程代码执行

SQLi

shell 命令注入

认证绕过

默认账户与密码，默认口令 admin/zabbix，或者是guest/空

Cacit

任意代码执行

SQLi

登录爆破

默认密码admin/admin

Splunk

信息泄露

命令注入

服务端请求伪造

常见 Web 应用

邮件系统

Coremail

亿邮

35互联

TurboMail

Exchange

IBM Lotus

CMS应用

dedecms

骑士cms等

数据库/缓存/消息服务

MySQL数据库

默认端口：3306

攻击方法

爆破：弱口令

身份认证漏洞：CVE-2012-2122

拒绝服务攻击

Phpmyadmin万能密码绕过：用户名：‘localhost’@’@” 密码任意

提权

MSSQL数据库

默认端口：1433（Server 数据库服务）、1434（Monitor 数据库监控）

攻击方法

爆破：弱口令/使用系统用户

注入

Oracle数据库

默认端口：1521（数据库端口）、1158（Oracle EMCTL端口）、8080（Oracle XDB数据库）、210（Oracle XDB FTP服务）

攻击方法

爆破：弱口令

注入攻击

漏洞攻击

PostgreSQL数据库

默认端口：5432

攻击方法

爆破：弱口令：postgres postgres

缓冲区溢出：CVE-2014-2669

MongoDB数据库

默认端口：27017

攻击方法

爆破：弱口令

未授权访问

Redis数据库

默认端口：6379

攻击方法

爆破：弱口令

未授权访问+配合ssh key提权

SysBase数据库

默认端口：服务端口5000；监听端口4100；备份端口：4200

攻击方法

爆破：弱口令

命令注入

DB2 数据库

默认端口：5000

攻击方法

安全限制绕过：成功后可执行未授权操作（CVE-2015-1922）

常见服务/协议

FTP 服务

默认端口：20（数据端口）；21（控制端口）；69（tftp小型文件传输协议）

攻击方式

爆破

匿名访问：用户名：anonymous 密码：为空或任意邮箱

嗅探：ftp使用明文传输技术

后门 vsftp

远程溢出

跳转攻击

NFS 服务

默认端口：2049

攻击方法

未授权访问

Samba服务

攻击方法

远程代码执行

弱口令

未授权访问（public）

SSH 服务

端口：22

攻击方法

爆破

后门

漏洞：28退格漏洞、OpenSSL漏洞

Telnet 服务

默认端口：21

攻击方法

爆破

嗅探

Windows 远程连接

默认端口：3389

攻击方法

爆破

Shift粘滞键后门：5次shift后门

利用ms12-020攻击3389端口

VNC服务

默认端口：5900+桌面ID（5901；5902）

攻击方式

爆破：弱口令

认证口令绕过

拒绝服务攻击：（CVE-2015-5239）

权限提升：（CVE-2013-6886）

SMTP协议

默认端口：25（smtp）、465（smtps）

攻击方式

爆破：弱口令

未授权访问

POP3协议

默认端口：109（POP2）、110（POP3）、995（POP3S）

攻击方式

爆破；弱口令

未授权访问

DNS服务

默认端口：53

攻击方式

区域传输漏洞

IMAP协议

默认端口：143（imap）、993（imaps）

攻击方式

爆破：弱口令

配置不当

SNMP协议

默认端口：161

攻击方式

爆破：弱口令

DHCP服务

默认端口：67&amp;68、546（DHCP Failover做双机热备的）

攻击方式

DHCP劫持

云环境

VMware

主机逃逸

CVE-2017-5638

OpenStack

权限绕过漏洞

信息泄露

代码执行漏洞

Docker

内核漏洞

拒绝服务攻击

容器突破

有毒镜像

大数据

Elsaticsearch

默认端口：9200、9300

攻击方法

未授权访问

远程命令执行

文件遍历

低版本webshell植入

hadoop

未授权访问

信息泄露

远程命令执行

Hive

命令执行

Sqoop

HBase

CVE-2015-1836

信息泄露

未授权访问

Spark

未授权访问

 Collect

Get Started

预跑规则检查

 Collect

Get Started

安全信息

 Collect

Get Started

Code Interpreter 从沙箱安全到工程落地

 Collect

Get Started

安全生产联合检查流程





0 条评论

下一页