本文探讨了网络安全中的红队攻防技术,包括幽灵登录、SSH隧道隐匿、反弹shell隐匿和CosbaltStrike Profile的使用。通过实例展示了如何利用这些技术在不被察觉的情况下进行网络渗透,同时强调了防守方应如何识别和防范这些攻击手段。此外,还提到了运维惯性密码的安全隐患以及行为测绘在资产测绘和威胁识别中的重要性。
前言
作为本系列的续章,希望能够面向红蓝双方进行讲解,在进行一些攻击方式分析时,同样也会引起防守方对于攻击的思考。红蓝对抗的意义也正是在这种持续的攻击下不断寻找防御的平衡点,故 未知攻,焉知防。
本文仅做安全研究作用,切勿违法乱纪。
幽灵登录
ssh -T root@192.168.1.1 /usr/bin/bash -i
相信熟悉红队的小伙伴,不难看出,上面这条命令在日常渗透中,进行登录操作会经常使用,因为他不分配伪终端的方式而不会被w和last等命令记录。所以在某些时候,如果防守方在上机排查时,仅查看日志发现没有异常登录,却没有注意到是否存在异常网络连接时,就会判断为误报,给攻击者可乘之机 
通过上图,大家可以看到没有任何的登录信息,同样lastlog也不会记录本次登录行为。那么这种方式没有办法排查吗?其实不是的,因为攻击者在连接22端口时,并不是没有痕迹,只要连接SSH端口就一定存在记录。
如图,我们从lsof以及ss命令结果中发现了连接服务器的恶意IP地址,那么这里留一个疑问,攻击者还有什么办法可以规避这样的排查方式呢?其实,在全国HW中,常见的隐匿个人主机IP地址的方式有许多,例如:肉鸡代理流量、VPN、基础隐匿设施等手段。而在攻击溯源的过程中,防守方通过攻击肉鸡服务器获取权限从而溯源攻击者信息的手段屡试不爽,除非攻击者愿意在拿下肉鸡权限后长期维护,
最低0.47元/天 解锁文章
扫一扫
3777
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
