椒图——靶场模拟

 先查看ip,10.12.13.232模拟的外网ip,其他的模拟内网ip,服务里面搭建好的漏洞环境。

#第一个测试项目,web风险发现

新建,下发任务,点威胁检测,webshell,点扫描任务,点新建,

 配置好之后直接执行。

#弱口令扫描,

网络分析-发现发现-账户扫描这块有弱口令扫描,然后新建下发任务和上面差不多。

口令复用扫描也差不多。

#软件漏洞扫描

分扫描和漏洞补丁检测,发现发现-软件漏洞-新建下发任务,

#控制台查杀

目的是否能发现病毒的样本。网络发现-病毒查杀-控制台查杀,然后差不多的流程不过他是重新扫描,

#虚拟补丁

开启虚拟补丁开关,发现发现,软件漏洞,找到一个漏洞,然后点影响机数,点进去之后就要开启主机的虚拟补丁了,

再去测试一下,失败之后,在虚拟补丁里面是会有一个告警,还可以信息查看,命中的虚拟补丁,

#本地查杀

 先切换为本地查杀的模式,

相当于机器运行之后会进行一个自动的检测,

#端口白名单,禁止外围暴露i

这个测试目的,某些违规或者不必要的外围端口,比如数据库端口,不对外开放。

要自己开启禁止外网暴露。在微隔离-端口白名单,选择指定端口开启。

一建封堵,外内网都不允许访问。

#进程外联检测

测试外联行为,

#外联白名单-ip端口限制

指定此端口可以访问那些东西,添加百度白名单就可以访问百度,没添加的都不可以访问。

访问别的就会告警。

#应用白名单-非法应用管控

行为管理-应用白名单,自己新建策略管理,之后学习完就有信息展示出来

#防火墙规则-入方向,开启和阻止

测目目的确认能否组织入方向的流量。前提条件:管理中心-agent管理-功能设置-全局设置-防护开关,开启ip层流量过滤开关,dns解析监控开关,asp模型流量过滤开关。

防火墙-新建策略-规则列表,新建选择阻止入方向的流量。保存之后在点防火墙-服务器规则配置-选择服务器-应用策略好,选择那个新建的规则。就下发任务了,

触发规则就会告警。

#防火墙规则-出方向,开启和阻止

和上面一样,只是选择为出方向。

#防火墙规则-域名控制,禁止域名

前提条件:管理中心-agent管理-功能设置-全局设置-防护开关,开启ip层流量过滤开关,dns解析监控开关,asp模型流量过滤开关。

目的:能否阻止访问域名

#web中间件漏洞利用检测

常见java美中间件漏洞有 weblogic,反序列化、java反序列化等,这类漏洞椒图同的检测信息对java 类应用调用过程中针对内存堆找进行险制。检制用到组件执行系统命令和文件上传。
本地测试以weblogic反序列化漏洞为例进行测试。

目的:检测利用weblogic反序列化漏洞执行命令执行和webshell上传

在web应用部署rasp插件。

之后产生攻击就会有告警。

防护:agent管理-功能设置-应用防护-高级防护开关设置为开启,反序列化漏洞为防护状态。

在告警里面就显示已经被拦截。

#web应用框架漏洞利用检测

常见的框架漏洞有struts2反序列化漏洞,apache shiro反序列化漏洞,

这类漏洞的椒图检测原理是对java类应用调用过程中对内存堆进行检测,检测组件执行系统命令和文件上传。

对struts2反序列化漏洞进行测试,远程命令执行和webshell上传。

whoami

防御:开启struts2反序列化漏洞防护。

#任意文件上传漏洞检测

检测任意文件上传国家,

在web应用上部署好

防护:未知上传漏洞防护开启

#远程命令执行漏洞检测

检测远程命令执行,

防护:对应漏洞的防护开启

#虚拟补丁-web应用检测

基于waf,还一中保护waf包,目的就是不修改或升级软件下,监控攻击者利用

部署web插件

这个告警是基于waf的检测

防护:禁止使用php://input,开启

#加密流量漏洞检测

目的:检测https加密协议发起的sql注入漏洞。条件:部署waf插件

#任意文件目录检测

目的:检测攻击者是否可以上传病毒样本,危险目录,webshell等等,对文件目录的权限控制,

防护,就在功能设置-用户防护-文件监控与防护,设置为防护模式。

#对外服务进程更改系统配置检测

目的:检测攻击者是否可以利用对外服务修改linux系统配置文件。

防护:功能设置-系统防护-操作系统加固开关设置开启,禁止对外访问进程更改系统配置文件,开启。

#对外服务进程添加定时任务检查

就是写一个计划任务,看能不能检测到,

防护,功能设置-系统防护-对外服务进程添加定时任务检查开启防护

#对外服务进程修改账户信息检测

#对外服务进程修改系统日志信息

都是用系统去检测,防护就是开启对应的防护项。

#webshell实时检测

基于文件创建的检测,基于文件浏览的检测,基于文件行为分析的检测,

测试是否会触发告警

防护,开启对应的防护模式

#端口扫描检测

目的是否可以检测到网络扫描工具

防护:功能设置-网络防护-方端口扫描,开启防护

#自动屏蔽扫描器

屏蔽awvs,xray等等,基于atp流量的扫描攻击,

威胁检测-恶意扫描-设置-屏蔽扫描器功能。

触发告警在威胁总览里面就会显示

防御就是开启防护模式

#暴力破解检测

是否能检测爆破攻击

防护,功能设置-入侵检测-暴力破解-开启自动封停。对ip拉黑。

#异常登录检测

 威胁检测-异常登录-登录规则设置,上面就是一个规则。不是允许访问ip就会触发告警。

#反弹shell检测

检测反弹shell告警告警,

反弹shell都是默认开启的,

防护,威胁检测-反弹shell,,支持手段进行封停,封停后就杀掉进程,自动断开连接。

#本地提权检测

检测本地提权的行为

防护,威胁检测-本地提权信息,通过进程阻断地该行为进行阻断,。

#蜜罐诱捕检测

测试是否可以欺骗攻击者的恶意行为

功能设置-网络防护-微蜜罐,生成微蜜罐的功能,

 #病毒实时检测

功能设置-系统防护-入侵检测-杀毒实时监控开关设置为开启,一般默认为开启

通过风险发现,病毒查杀,就可以显示出来

病毒实时防护的原理,打开发现发现-病毒查杀-设备管理,批量设置,自处理设置选择,会进行一个自动隔离。

#无文件攻击检测

仅使用Windows操作系统,

#rce利用检测

之前演示过

#oob的黑域名检测

目的:测试是否可以自动检测agent链接oob黑域名带外攻击(发现带外攻击行为,带外攻击能够使攻击者在没有任何回显或者表现的漏洞中,通过另一种方式来确认漏洞存在,如通过dns请求返回攻击数据)

agent就是通过dns数据源进行检测,从而进行黑域名的匹配。

把dnslog这些设置成一个黑域名,通过dns解析方式触发黑域名就会告警,

#代理隧道检测

检测一些代理隧道的脚本,二进制程序等等。

会进行告警

ss

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/2846.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

QT中QTimer的循环时间与槽函数执行时间以及在事件循环中触发,不同时间的结果分析

目录 当循环时间小于槽函数时间时: 当循环间隔时间大于槽函数时间时: 当存在两个定时器器,其中一个还是间隔100ms,另一个间隔1000ms: 当两个定时器的循环周期大于槽函数执行时间时 当在主程序中添加一个for循环…

js - 对forEach()函数的一些理解

1,定义和用法 定义: forEach() 方法用于调用数组的每个元素,并将元素传递给回调函数。注意: forEach() 对于空数组是不会执行回调函数的。 用法: // 箭头函数 forEach((element) > { /* … */ }) forEach((element, index) &…

mcu 启动流程

MCU启动流程 MCU启动流程 MCU启动流程1 MCU的启动方式2 MCU程序启动执行过程3 启动过程的执行工作4 keil调式过程验证5 调试文件map 1 MCU的启动方式 单片机的启动方式,以stm32为例,如下: 不同的下载方式对应的不同的启动方式,st…

truffle 进行智能合约测试

本方法使用了可视化软件Ganache 前两步与不使用可视化工具的步骤是一样的(有道云笔记),到第三步的时候需要注意: 在truffle插件下找到networks目录,提前打开Ganache软件 在Ganache中选择连接或者新建,我在…

如何学习Java集合框架? - 易智编译EaseEditing

要学习Java集合框架相关的技术和知识,可以按照以下步骤进行: 掌握Java基础知识: 在学习集合框架之前,确保你已经具备良好的Java编程基础,包括语法、面向对象编程(OOP)原理和常用的核心类库等。…

MySQL备份与还原/索引/视图

MySQL备份与还原/索引/视图练习 文章目录 一、备份与还原1、使用mysqldump命令备份数据库中的所有表2、备份booksDB数据库中的books表3、使用mysqldump备份booksDB和test数据库4、使用mysqldump备份服务器中的所有数据库5、使用mysql命令还原第二题导出的book表6、进入数据库使…

STM32案例学习 GY-39环境监测传感器模块

STM32案例学习 GY-39环境监测传感器模块 硬件平台 野火STM32F1系列开发板正点STM32F1系列开发板STM32F103ZET6核心板GY-39环境监测传感器模块 GY-39环境监测传感器模块 GY-39 是一款低成本,气压,温湿度,光强度传感器模块。工作电压 3-5v…

thinkphp 上传图片

public function upload_img(){// 读取图片资源// 存储路径$path "uploads/avatar";$file request()->file(background_img);// 存储图片$info $file->rule(uniqid)->move($path);// 存储成功if ($info) {//获取到上传图片的路径名称$name_img $path . …

linux查看ipynb文件

linux查看ipynb文件 使用jupyter查看 使用jupyter查看 安装 pip install jupyter添加配置好的环境到jupyter notebook的kernel中: python -m ipykernel install --user --name mmdet --display-name "mmdet"运行jupyter notebook (在ipynb…

WebSocket理论和实战

一 WebSocket理论 1.1 什么是http请求 http链接分为短链接、长链接,短链接是每次请求都要三次握手才能发送自己的信息。即每一个request对应一个response。长链接是在一定的期限内保持链接(但是是单向的,只能从客户端向服务端发消息&#x…

pycharm import的类库修改后要重启问题的解决方法

通过将以下行添加到pycharm中的settings-> Build,Excecution,Deployment-> Console-> Python Console中,可以指示Pycharm在更改时自动重新加载模块: %load_ext autoreload %autoreload 2

ubuntu 设置系统时间矫正

1、安装ntpdate,同步标准时间 2、修改时区 3、在.profile文件中写入上面提示的信息,保存退出、更新配置文件或者重启生效 3.1、或者配合上面的cp那条命令,用下面的命令保存到底层 $ hwclock --systohc 4、重启之后,查看日期时间已…

中间件上云部署 rocketmq

中间件上云部署 rocketmq rocketmq部署一、rokectmq介绍二、rokectmq特性三、使用rocketmq理由四、rocketmq 核心概念五、rocketmq角色六、rocketmq集群部署方式七、rocketmq集群部署7.1 环境说明7.2 构建rocketmq镜像7.3 获取rocketmq-dashboard镜像7.4 rocketmq部署描述文件编…

linux安装mysql以及使用navicat连接mysql

目录 一、下载mysql 二、安装mysql 三、使用Navicat连接MySQL 四、常见问题 1、启动服务时报错 Failed to start mysql.service: Unit not found. 的解决方法。 2、登录过程出现:access denied for user’root’‘localhost’(using password:Yes) 的解决方…

Redis的缓存问题

说起Redis的缓存,我们知道前端发出的请求到后端,后端先从Redis中查询,如果查询到了则直接返回,如果Redis中未查询到,就去数据库中查询,如果数据库中存在,则返回结果并且更新到Redis缓存当中&…

《遗留系统现代化》读书笔记(基础篇)

目录 为什么要对遗留系统进行现代化? 什么是遗留系统? 遗留系统的现代化价值 总结 遗留系统的四化建设 代码现代化 架构现代化 DevOps 现代化 团队结构现代化 总结 本文地址:《遗留系统现代化》读书笔记(基础篇&#xff…

通讯录(纯C语言实现)

相信大家都有过通讯录,今天我来带大家实现以下最简单的通讯录,通过本篇文章,相信可以让大家对C语言有进一步的认识。 话不多说,我们先放函数的实现 #define _CRT_SECURE_NO_WARNINGS 1 #include "Contact.h"int Chea…

高时空分辨率、高精度一体化预测技术之风、光、水能源自动化预测教程

详情点击链接:高时空分辨率、高精度一体化预测技术之风、光、水能源自动化预测 第一:预测平台及安装 一、高精度气象预测基础 综合气象观测数值模拟模式; 全球预测模式、中尺度数值模式; 二、自动化预测平台 Linux系统 Crontab…

记一次rabbitmq消息发送成功,消费丢失问题

记一次rabbitmq消息发送成功,消费丢失问题 背景 测试数据归档,偶现数据未归档 排查 idea线上调试,log日志,数据库消息发送记录,代码分块重复执行看哪块出的问题,结果均无问题,最后使用rabbi…

AI销售工具:驱动销售团队效率和个性化服务的未来

在数字化时代,AI销售工具成为推动销售行业发展的重要力量。这些创新工具融合了人工智能技术和销售流程,以提高销售团队的效率和提供个性化服务为目标。随着科技的不断进步,AI销售工具正引领着销售行业走向一个更加智能和高效的未来。 AI驱动的…