实战攻防:蜜罐无关,溯源有术

前言

突然接到通知,甲方在HVV防守前突然收到内网IP地址出现Socks代理通信,审计流量发现确实属于socks流量,不属于告警流量,告警地址为个人终端,直接准入工具阻断等待排查。

态感告警

图片

流量分析属于正常的socks流量。

科来全流量探针流量分析

回溯分析socks流量

图片

直接下载连接的socks端口流量,进行分析,csnas打开分析连接会话

图片

在HTTP请求日志中发现请求的URL为我们关联单位的资产,基本确认了这个机器肯定是被控了。态感上针对被控终端无其它攻击记录,被钓鱼的可能性肯定是放在首位的。

测试Socks隧道

由于socks未设置用户名、密码,本地设置socks代理访问测试隧道

图片

隧道可正常利用,准备准备写防守报告了。(报告可在圈子获取

溯源

对目的IP进行端口扫描

图片

发现起的业务还挺多,业务端口发现是某个科技公司,还有他们公司的业务

图片

在开放的端口找到了NPS业务

图片

访问其它端口发现该公司业务后台管理

图片

前端

图片

某科技公司,搞网安的,穿透工具放在自己的业务服务器上,这种RedTeam这年头真不好遇见。

突破

上面扫描的端口可以发现,在socks端口位置,协议识别TCP,跟他相邻的端口也是TCP端口

图片

猜测也是socks协议,配置socks隧道后发现无法访问我们关联单位的内网业务,但是可以访问百度。

图片

那么这个隧道的客户端又是在哪儿,这个也是令我比较好奇的。另外在测试后台是否能登录的时候在源码中出现了内网地址

图片

直接挂上工具Proxifier+弱口令

图片

挂上gorailgun,弱口令一把梭。发现了一个mssql的弱口令

图片

财务系统前后端分离,找到数据库,内有银行卡信息。

图片

在企查查上查询到这家公司的股东信息人员和数据库内的人员一致,一般不会有这种巧合

图片

写溯源报告上交,完事儿

总结

整个应急流程是没有问题的,着重记录的是溯源的过程,预警产生后准入设备是直接管控终端断网的。后期联系到终端使用人之后也确实发现有上传的fscan.exe。应该还没来得及扫描,推测应该是抓取了终端用户浏览器的记录连接测试。整个应急以及溯源流程如图所示

图片

其实很多情况下溯源到某公司或者某个个人都不会承认,现阶段的攻防演练确实存在很多不可控因素,每个授权攻击厂商或者说授权攻击队的合作商或者关联合作伙伴的支撑很常见,报告如实上交,其它交给裁判。

思考(视频教程可在圈子获取)
  • 本次防守虽然出现终端被控,安全意识从宣传到是否能够有效的贯彻实施本来就是一个不可控因素,人员因素永远是防守最大的不确定性。

  • 攻击队应该是新团队,或者说攻击者是新手,打红队不担心溯源,拿企业机这种低错误也没注意,或者说是不担心溯源,另外起的socks隧道未配置用户名密码,裸奔的效果带来的不仅仅是方便,还有惊“喜”。

「圈子的最近主题和圈子内部工具一些展示」

纷传100%官方认证授权,可在发现-圈子页面查看

图片

圈子部分内容展示

图片

poc漏洞库 8000+src陆续更新中 -紧跟时代发展争做先进网安人

图片

一起愉快刷分-榜上有名

图片

免杀-护网必备

图片

新手学习、老手巩固-温故而知新

图片

学习报告-三人行必有我师

图片

各类会员-尊贵的SVIP

图片

图片

 

「你即将失去如下所有学习变强机会」

学习效率低,学不到实战内容

一顿自助钱,我承诺一定让用户满意,也希望用户能给予我一份信任

【详情下方图片了解】,【扫下方二维码加入】:只做高质量优质精品内容」

圈子目前价格为¥99元(交个朋友啦!),现在星球有近150+位师傅相信并选择加入我们,圈子每天都会更新内容,老用户可永久享受初始加入价格,圈子内容持续更新中

一张图总结

图片

 

免费红队知识库:

图片

 

图片

免责声明

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/21614.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

职场思考-职场第三年规划重点(14)

(职场第三年规划重点(上)) 确定方向,拉进关系,提高思维 好的职业生涯规划必须具备以下三个特点: 合理性(以当事人的天赋、性格和现有知识与技能为基础,是适合并为当事人所接受的)、可…

word-简历排版

1、确认字体(微软雅黑)、字号(五号/小五) 2、设置段间距和行间距、页边距 3、突出各模块标题,增加分格线 4、使用制表位进行对齐:视图-标尺,制表符(tab)和制表位共同使…

西贝柳斯终极版2023:Mac上的简易音乐记谱神器,谱写未来

Avid Sibelius Ultimate 2023 for Mac是一款专为Mac用户设计的音乐记谱软件,它以其强大的功能和直观的操作界面,为音乐创作者们提供了一个高效、便捷的创作平台。 一、音乐创作的得力助手 Sibelius Ultimate 2023不仅适用于有抱负的作曲家和词曲作者&a…

计算机网络学习记录 网络层 Day4(上)

计算机网络学习记录 网络层 Day4 (上) 你好,我是Qiuner. 为记录自己编程学习过程和帮助别人少走弯路而写博客 这是我的 github https://github.com/Qiuner gitee https://gitee.com/Qiuner 如果本篇文章帮到了你 不妨点个赞吧~ 我会很高兴的 &#x1f60…

122. 买卖股票的最佳时机 II(中等)

122. 买卖股票的最佳时机 II 1. 题目描述2.详细题解3.代码实现3.1 Python3.2 Java 1. 题目描述 题目中转:122. 买卖股票的最佳时机 II 2.详细题解 实现最大的利润,即只要有盈利就收入囊中,由于交易没有具体限制次数,因此可以依…

再论Web应用在医学研究中构建数据收集问卷(stremlit_survey包体验)

再论Web应用在医学研究中构建数据收集问卷(Streamlit_survey包体验) 概述 医学队列研究是临床研究的重要形式,这种研究通过收集临床诊疗过程中产生的数据而阐述疾病相关的因素。在临床数据收集过程中,Web APP体现出了一定的优势…

计算机毕业设计 | SpringBoot图书管理系统(附源码)

1, 概述 1.1 课题背景 开发一个学生成绩管理系统,采用计算机对学生成绩进行处理,进一步提高了办学效益和现代化水平。为广大教师和学生提高工作效率,实现学生成绩信息管理工作流程的系统化、规范化和自动化。现在我国中学的学生…

YOLOv8_obb训练流程-原理解析[旋转目标检测理论篇]

在旋转目标检测网络中,换了个顺序,先把训练流程捋一遍,然后再取捋一下测试的流程。由下图的YOLOv8l_obb网络结构图可以看到相对于目标检测网络,旋转目标检测网络只是在Head层不相同,在每个尺度特征层中增加了Angle分支(浅蓝色),通过两个卷积组和一个Conv卷积得到得到通…

jupyter之plt 画图弹出窗口展示图片以及静态图片切换方法

1. jupyter出图的三种方式 在python的Jupyter Notebook中,使用matplotlib绘制动态图形时,可能出现只显示一张静态图像。 这是因为在notebook中使用plt绘图共有三种模式: %matplotlib inline:这是默认的模式,输出的图片…

C语言Prim算法和Prim-Alternat找最小生成树

文章目录 1、用prim算法求最小生成树C语言Prim算法实现 2、用Prim-Alternate算法求最小生成树3、C语言Prim-Alternate算法实现 1、用prim算法求最小生成树 绿色线会标记选过的边 从v1当作起始点开始,可选择: (v1,v2)权值为6 (v1,v3)权值为3 &…

经济学SSCI期刊,中科院1区,领域内顶刊,影响力高

一、期刊名称 World Development 二、期刊简介概况 期刊类型:SSCI 学科领域:经济学 影响因子:6.9 中科院分区:1区 三、期刊征稿范围 《世界发展》是一本多学科的发展研究月刊。它力求探讨如何改善生活水平和一般人类状况&am…

AIGC绘画基础——Midjourney关键词大全+万能公式

距发布MJ初级注册入门教程已有时日,很多粉丝表示很有用,但关键词有很多人不知如何组合使用,那今天再给大家更新一期,主要是教大家如何用关键词、把控关键词描述,除此之外在文末更新了一大堆关键词给大家使用~ 一、Midj…

合并两个有序链表和合并 K 个升序链表

21. 合并两个有序链表 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 示例 1: 输入:l1 [1,2,4], l2 [1,3,4] 输出:[1,1,2,3,4,4]示例 2: 输入:l1 [], l2 […

NFTScan | 05.27~06.02 NFT 市场热点汇总

欢迎来到由 NFT 基础设施 NFTScan 出品的 NFT 生态热点事件每周汇总。 周期:2024.05.27~ 2024.06.02​ NFT Hot News 01/ Mint Blockchain 披露最新路线图,释放 NFT 生态重磅发展计划 5 月 28 日,Mint Blockchain 开发者团队 MintCore 更新…

Arduino 串口接收数据

1、上位机发送十六进制 AA 01 DE 下位机回复AC,上位机发送十六进制 AA 02 DE 下位机回复AB。如下图所所示。 2、Arduino 代码如下。 #define ReceiveLen 100 // 接收数据数组长度 byte ReceiveData[ReceiveLen]; // 接收数据数组void loop() {// 串口接收数…

jadx-gui-1.5 反编译工具使用教程 反混淆 Java android 查看签名

JADX:JADX是一个强大的反编译工具,它支持命令行和图形界面操作。除了基本的反编译功能外,JADX还提供了反混淆功能,有助于提高反编译后代码的可读性。 在Android开发和安全分析领域,反编译工具扮演着至关重要的角色。这…

以sqlilabs靶场为例,讲解SQL注入攻击原理【25-31关】

【Less-25】 首先分析源码 发现把 SQL语句中的 or、and 替换成了空格,这就导致无法使用之前的sql注入方式。 解决方案:用 && 代替 and , 用 || 代替 or , 而且&在url中有特殊含义,如果直接使用会有问题&a…

Vue3(Ⅱ)

Vue3(Ⅱ) 3、 进阶 —— 路由 3.1、示例 3.2、to 的两种写法 3.3、命令路由 3.4、嵌套路由 3.5、query 参数 3.6、params 参数 3.7、路由的 props 配置 3.8、replace 属性 3.9、编程式导航 3.10、重定向4、 进阶 —— Pin…

LayerSkip:加速大模型推理的端到端解决方案

大模型(LLMs)在多种应用中表现出色,但其高昂的计算和内存需求导致部署成本昂贵,尤其是在GPU服务器上。现有加速方案在部署到普通GPU时往往会导致准确性显著下降,而将大模型(LLMs)进一步加速以部…

Java邮件客户端设计实现:使用JavaMail向QQ邮箱发邮件

目录 JavaMail 用JavaMail向qq邮箱发消息 ▐ 授权码的获取 JavaMail JavaMail 是一个用于发送和接收电子邮件的 Java API。它提供了一个平台无关和协议无关的框架,允许开发人员通过标准电子邮件协议(如 SMTP、POP3 和 IMAP)来创建、发送…