SINE红蓝对抗实战演练的过程分享

           另一方面攻击队在内部网络进行探测,针对80、443、8080、22338、9445等端口进行探测和指纹识别。发现内网存在docker k8s等系统,并确定了跨网段机器,应该是运维段终端机器,依次存在MS17-010或smb的漏洞,同时代码审计的SINE安全工程师们发现商品交易网站的一处oday漏洞,立即开始进行poc脚本编制。而此时防守队对自己边界已被突破毫不知情,虽然自动封禁有效减少了干扰性告警,但由于IP代理池牵扯,无法阻止攻击队在IP资源充足情况下的手工试探行为。

防守队通过安全日志,发现攻击队疑似在手工探测测试站,虽然点点-等目录穿越的漏洞,尝试被WAF拦截,但他们还是提高了警惕,最后防守队在万象发现有被触发的痕迹,马上紧急排查,通过SINE全亮命令记录发现,电商管理平台机器执行过whoam I 、net state last等命令的记录疑似已沦陷,经过日志分析,最终定位到疑似通过复杂编码,结合压缩文件上传和xml反序列漏洞的攻击,争分夺秒之际,防守队临时用针对漏洞路径做了限制,防止攻方的继续利用,并清除了后门文件,同时对对应主机进行了代码层的加固,最终成功切断了攻击者的入口。

防守队虽然应急得当,但oday仍在对手中。电商运营系统测试网站的权限岌岌可危,商品交易网站的零日漏洞,poc已经被攻方完成编制,紧接着攻击队利用零日漏洞快速获取了商城系统的针对商品交易网站,攻击队进行了本机的全面信息收集,发现这其实是一个容器。此时攻击队通过pk exec提前可以查看本机root目录下的敏感文件,同时通过此入口和收集的内网信息进行突破和防守队打了一个时间差,这些突破手段总结出有三个关键突破口,内网第一个突破口,攻击队一部分队员利用商品交易网站获取的shell,继续信息收集发现存在k8s环境,对c段进行扫描探测,发现10.11.0.8的8080端口存在APS server未授权漏洞,可以直接获取这样,并在k8s上控制一批云机器,通过拿下的k8s集群服务,新开启容器服务这个入口被当做后门,防止商品交易网站下线后无法访问内网。

分享: