SINE安全蓝队防守的安全演练介绍

         经过上述探测,最终发现4个有效的网站服务器,一号站点为电商管理平台,开放了多个端口,但其中某端口服务为开发者模式,外部端口页面较为简单,猜测脆弱点可能较多,二号站点为商品交易网站,攻击队通过网页特征关键词搜索,在github上找到了相似源码,三号站点为企业门户网站,攻击队判断该站点基于成熟框架开发攻击难度较大。4号站点为大数据平台,发现存在log4j热门漏洞,但防守队限制了该机器的出网流量,无法获取机器权限。经过攻击队内部讨论制定了攻击策略,优先针对门户站等其他几个站点进行大流量攻击扫描,以转移防守队注意主要手工测试电商管理平台存在的漏洞,同时针对商品交易网站源码进行代码审计以及挖掘oday进行攻击。

那么防守队在初期做了哪些工作?首先在对决前期,防守队通过SINE漏扫工具,扫描出部分漏洞并尝试修复,但由于时间紧迫,优先修复了部分弱密码问题,并将防守重心放在了监测脆弱系统的高危告警层面,同时SINESAFE根据扫描情况打好虚拟补丁,结合各个业务的特性,优化了防护策略的配置,进行了业务流量模型的训练和插件的编写等操作。

并联动SINE多元的日志收集和聚合分析能力,快速筛选出活跃和潜藏的攻击者,下发自动封IP。此时防守队可以看到攻击队少量高危漏洞IP被自动剔出,后出现了大流量的攻击告警,这些告警的IP来源不一,可判断攻击队使用了IP代理池,通过自动封禁模式有效减少干扰告警,同时部署的反制蜜罐成功诱捕,并最终反向控制了攻击队的扫描器VPS。然而防守队并没有因此加分,经过探测发现该VPS只是干扰专用,不过这个开局,大大提升了防守队事迹。经双方的初步交手,攻击队的干扰对防守队的作用虽然不大,但为攻击队争取到的时间是手工探测,有人发现经过扫描和探测后,攻击队在电商管理平台发现一个后台,在尝试爆破密码无果后,仔细阅读了JavaScript源码,找到了一个未授权的文件上传接口,并在该路径下发现了源码泄露,阅读泄露的源码,发现该站点处理文件上传不当,存在目录穿越漏洞,通过zip压缩编码,结合目录穿越方式形成的文件上传,尝试攻击战点,发现被WAF拦截无法绕过,又经过进一步细致的源码审计,发现该处上传,还存在一个xml反序列化漏洞,最终通过系统压缩上传,结合xml反序列化漏洞突破边界,获取了该服务器权限,并在机器上种下了内存马,成功突破后,攻击队开始对测试站点服务器进行信息收集,一方面通过查看该测试站网络连接信息、登录信息以及文件等,寻找到部分内网网端的信息,发现了跨网段疑似来自运维终端的网络连接。

分享: