摘自:作者/PgHook,属FreeBuf原创奖励计划文章,未经许可禁止转载
% ?, Q3 l! _+ M. j7 c$ P
# ?% s& T9 T( ?0×01、前言‍‍
- U9 C. u0 ~5 j( j+ X+ @‍‍习惯性的讲点废话,笔者是一名菜鸟安全工程师。有幸参与过两次安全方面的比赛,有些个人的体会,所以就有了这篇文章了。(自知技术还很菜,望各位大牛不喜勿喷,也欢迎对这方面感兴趣的同学来和我一起交流探讨。)‍‍1 A0 m( P3 ~, O7 X% v }" c9 M
0×02、攻击者会怎么做?‍‍‍在做这几次防护的过程中,我一直在思考。我如果是攻击者,我会怎么来攻击?我会怎么去做?‍‍
$ B: L7 Q. U! `3 y‍‍A、第一步,针对目标做信息收集(扩大目标)‍‍- T& f# v1 z1 r) Z3 \' M8 a2 p1 b
‍‍子域信息、Whois信息、Ip信息、端口信息、公司人员的信息、公司邮箱信息等等,一切与目标相关的信息。‍‍
! O0 |9 v6 S& e7 T; e: O‍‍B、针对拿到的信息,进行漏洞扫描及挖掘‍‍# d! u- j; O& o; Y% q+ t
‍‍针对子域,我们可以去尝试获取其ip,及对其域名进行漏洞扫描。‍‍
4 {5 e, v' {# M8 F& a‍‍针对whois信息,我们可以去尝试,获取其注册邮箱,进一步进行社工拿到密码进行域名劫持。‍‍. z2 {: L! D' Q: P
‍‍针对ip信息,我们可以去获取ip对应的端口及服务,对相应的服务进行漏洞扫描及挖掘。(对于踢场子的来说,直接进行ddos,直接让你玩不下去。)‍‍
3 k5 z) I, ]' t6 A7 c, N! J‍‍针对公司人员信息及公司邮箱信息,可以进行社工弱口令之类。看能否拿到某位员工的公司邮箱,通过敏感信息进一步深入。(如果碰到某位关键人物)‍‍, I6 B' S2 `* ~
‍‍看我写起来貌似很简单似的,但实际上确是一个苦逼而漫长的过程。‍‍
8 O$ P+ u7 c$ H+ F) e7 `‍‍除了攻击者的技术水平、人的毅力及对事物的专注程度外,还与运气有点关系。(看你碰到的是sb管理还是nb管理)‍‍+ e2 B+ Q+ ]2 d$ J% `% ?* e
‍‍做为防护者,这个时候你该怎么做了??对方已经出招,得接住呀!不然这个看场子的任务就将失败了。‍‍
) B; |! Q$ |7 j$ H0 ?& x6 b, o x‍‍0×03、我是这样来做防护的‍‍‍‍A、Find and fix(这个其实是很关键的)‍‍‍‍‍‍从字面上理解就是”发现并修复“,简单的来说就是通过一些手段,去发现系统中的安全问题,然后解决问题。(医生的最高境界不是去治疗疾病,而是在疾病没有来,就拔除了,根源在代码)‍‍* T8 g9 ]- t" ^2 ~; s) u6 n
‍‍带领团队成员对站点进行安全测试,发现安全问题,尽量减少外部安全隐患。(这里只能说是减少隐患,一个人的力量是有限的,一个团队的力量也是有限的,并且侧重点都不一样。)' ?' z- b& X4 k! G
‍0 X/ `. a% K& P: u7 ^
‍‍上面也说了,只能是减少安全隐患,当漏了安全问题的时候,该怎么办了??这就有了下面的了。‍‍ D8 H2 a; L4 v8 @
‍‍‍‍B、Defend and Defer‍‍‍‍‍‍从字面上来说是“捍卫和推迟”(这是谷歌翻译的啊!和我没关系),这里的防护难道仅仅是弄一些安全设备(防火墙、入侵检测系统、web应用防火墙)么???当然这些也是不可少的,但不是全部。合理的事物,放在合理的位置,才能产生好的效果。‍‍/ c: G, u: o: v
/ N0 I+ z% I+ f/ d& X<img src="http://image.3001.net/images/20150323/1427081527226.png!small" title="111.png"/></p>
! \3 q4 M6 q7 |, O. ` Q1 H, N‍‍纵深防护‍‍8 ], E2 f) {2 r) [, G
‍‍‍‍‍‍这里主要涉及到,防火墙的HA,入侵检测系统、白名单的使用,CDN及云防护。‍‍‍‍‍‍
& d) C. g4 @. o; H$ k% y‍‍‍‍流量从外面到里面需要经过如下几层:‍‍‍‍4 H+ H! L$ o2 q2 B( Q
‍‍- 第一层必须经过CDN云防护的过滤及隐藏真实ip;‍‍‍‍第二层必须经过防火墙白名单过滤,只允许cdn过来的流量;‍‍‍‍第三层必须经过IDS或者IPS的过滤或者记录风险行为。
9 @5 {( O+ o; h& |" c
$ u/ P3 t O& s<img src="http://image.3001.net/images/20150322/14269949999924.png!small" title="2.png"/></strong></span></p>
0 P# K* @3 V$ Z" K& _& G‍‍MASTER防火墙‍‍
' c% R( V; E0 I8 e* u
0 a2 f: M: m2 o* l6 y! _9 Z<img src="http://image.3001.net/images/20150322/14269950239745.png!small" title="3.png"/></strong></span></p>
& X$ M& m8 r" ~2 {- N7 H" U3 I‍‍BACKUP防火墙‍‍
7 |5 |5 [5 `! I, b‍‍这里防火墙的HA,主要是为了防止单点故障或者说是流量攻击时而设。‍‍关于这个防火墙的HA,这里有文章介绍:‍‍‍‍, ]% m0 a- J/ M- F! ~
http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/4010
8 ~5 K7 f4 ]* _‍‍难道安全防护做到这里就完成了?如果有人绕过了你的种种过滤(或者说你的某一层过滤失效了),你还能高枕无忧么?不能想当然,你做不到,并不代表别人也做不到。一切皆有可能,做好最坏的打算。‍‍
8 P6 {$ f8 M; o7 Q2 n‍‍‍‍‍‍‍‍当黑客绕过了重重过滤后,对服务器进行攻击的时候,你是否能在第一时间发现?‍‍‍‍‍‍ ^3 |/ o- t$ K3 y3 D
‍‍当黑客找到服务器漏洞,绕过了各种防护,拿到了shell,你是否能在第一时间了解到,并能分析出漏洞所在地?‍‍‍‍
% W2 D# K6 v Z X7 {" j2 F‍‍这个时候就有了第四层的监控(应该算是比较失败的),基于主机的ids(可以理解成一个文件监控系统,自然也可以成为一个日志分析系统),从理论上讲,我们可以使用这个东西,对网站目录进行监控及日志文件进行监控。一但网站文件发生变化,就立刻报警。但通过实战,通过经验告诉我,不要理想化,任何东西,都不可能横空出世,都是有他的机制的。‍‍
' m6 |3 u' z( C" w‍‍这里第四层,使用的是ossec这个软件,它对文件的监控,上面也说了比较失败的。比较失败的原因是,之前只是知道怎么去使用它,并不明白它是采用的什么机制,导致差点出大大问题。‍‍
4 \/ K) v2 g: `& o% [‍‍第五层,做最坏的打算,当攻击者上传拿到shell后,绕过了前面三层的防护,而在第四层失效的情况下,攻击者不就可以在你的网络里面漫游了么?这种情况是不能容忍的,这个时候第五层防护就出现了。用专业词汇来说叫“风险控制”,风险控制的目的是,减少风险事件发生时造成的损失。打好各个补丁(防止提权),降低服务运行权限,取消上传目录的执行权限。就算攻击者通过某0day拿到服务器的shell,他也不能干啥,因为权限很低嘛!‍‍
+ A" E* s% c4 H0 ?& c‍‍你现在能拿到子域信息、Whois信息、公司人员的信息、公司邮箱信息。对于公司人员的信息、公司邮箱信息这里暂时不考虑,这个只能通过提高员工的安全意识来进行。这里还存在子域信息,和whois信息。关于这个域名信息上面B主要就是针对这个的,这里就不提了。‍‍
1 S' S( w3 w; ^5 b: b1 I# q% Z‍‍往往被大家忽略的是whois信息,通过whois信息我们可以看到有可能看到注册者的邮箱(这里是可以隐藏的)就可以对邮箱(一般是个人邮箱,才好弄)进行社工(现在满大街的库),如果侥幸能拿下,就happy了。还能看到域名使用的ns服务器,即而得知使用的那家的cdn,如果说在注册域名的地方不行,那就去cdn呗,效果差不多。‍‍
+ Y' d) n1 T% _- \! x. u
) r ], V; ]$ L) ? ^<img src="http://image.3001.net/images/20150322/14269950973848.png!small" title="4.png"/></strong></span></p>
/ z+ Q( T7 d/ X! ]0 e0 ^# w‍‍Cdn就一定靠得住么?就算它靠的住,难保他自己会不存在问题。一不小心,发现了一个隐患,只能说是个可能性吧!你想想如果,cdn上面的邮箱和密码被泄漏出去了,别人给你改改,你的站点就死活打不开了,前面的一切就白费了。‍‍
1 U2 N; }6 E: B! g* i5 N$ G* f0 B" [6 v8 Y) @# q+ \
<img src="http://image.3001.net/images/20150322/14269951439800.png!small" title="5.png"/></strong></span></p>1 B; f' z- }9 y% {( b, U# }; `9 i
‍‍看到没,qq邮箱,是不是可以对这个邮箱进行社工啊?手气好说不定就搞定了这个密码。‍‍
$ J, p% _ B* x* s: n0 ?0 f& P
9 l$ L# I& h+ }- N) D; j, }* ~<img src="http://image.3001.net/images/20150322/14269951747543.png!small" title="6.png"/></strong></span></p>$ }7 z$ c( G# v. I
‍‍这个是咱们的,已经改了个昵称了,默认是显示邮箱的。‍‍$ a& q! R; m6 b3 l9 o$ { n- v
‍‍‍‍C、Secure at the Source‍‍‍‍‍‍‍‍个人理解这句话的意思应该是“源代码里面的安全”,这个就要从代码的书写者身上去找答案了。也就是上面所提高到高明的医生,不会让疾病产生,在源头就给干掉了。很多大公司都有他们的一套“安全开发流程”,应该就是在这个层面的。‍‍‍‍9 {5 g* |. m7 k6 N+ @
‍‍在这里做好了,可以减少很多问题,及bug,但往往得不到很好的解决。从代码的的书写者,角度来说,肯定是怎么方便怎么来。压根不会去考虑安全问题,或许也不了解。再者,书写者的水平也参差不齐,就造就了不安全的代码。‍‍‍‍
; ] P; u( q& B3 ~) L1 c( Y+ B‍‍0×04、迟早都是要还的‍‍‍‍曾经的不谙世事,曾经的无知无畏。现在终于要还了,以前经常去挖掘别人系统的漏洞,没日没夜的去扫别人的系统。甚至弄挂别人的服务器,都没想过有一天,我也会被晾在外面,被人虐。‍‍
% m) p3 V9 u! M‍‍由于业务需要的原因,某重要子域需要关闭CDN上的云防护。即第一层的防护,这其实是很危险的,但业务的需要也是没办法的,首先要保障的是可用,如果都不可用了,还谈什么安全了?第二层防护其实就是为了,最大限度的隐藏真实ip,防止ddos攻击。云防护已经没了,那么第三层就显的尤为重要了。这里就主要介绍下,在这个第三层发现的一些攻击行为吧!这里主要介绍下,几个典型的案例。‍‍2 B6 ^/ v# \# U9 a7 A$ B
案例一:某攻击者使用sqlmap对站点进行注入攻击3 ^4 `6 x) i7 V* p4 z7 j, I
5 @* v; z; c1 r4 d" b( {, ~
<img src="http://image.3001.net/images/20150322/14269952114964.png!small" title="7.png"/></strong></span></p>
0 R' }, }1 {1 G4 x2 Y0 |$ T‍‍Sqlmap(sql注入神器)‍‍
2 D; S% o% y# B) H" M
) Q: h! w: T( P( ^<img src="http://image.3001.net/images/20150322/1426995231941.png!small" title="8.png"/></strong></span></p>
/ [7 x& n8 `8 c) P! h‍‍‍‍打开数据包,发现其实就是这个user-agent暴露了自己。因为使用了cdn,攻击者的真实ip放在x-forwarded-for,通过这个找到了攻击者所在的单位。‍‍‍‍2 |0 M# H. d% F! Q! ]
8 ^5 ?, y6 V: U# j
<img src="http://image.3001.net/images/20150322/14269952624613.png!small" title="9.png"/></strong></span></p>
* f5 P, U7 V) ~: X4 z案例二:某攻击者使用某神器对网站进行注入攻击
8 v4 }* o, e3 T
- O" p* M% Q( ~3 }<img src="http://image.3001.net/images/20150322/14269952829773.png!small" title="10.png"/></strong></span></p>: E# Q7 {5 c& |. {
‍‍查看Payload‍‍* x* t# L6 V1 A, b" b1 U/ Q
/ i7 h9 V' c( y: @- J<img src="http://image.3001.net/images/20150322/14269953029090.png!small" title="11.png"/></strong></span></p>
/ k7 }# C5 k6 d. R8 Y$ R& q‍‍‍‍‍‍‍‍看来是一个高明的攻击者,对工具掌握的很好了,基本没暴露出来使用的什么工具,但从请求的时间请求的频率来看,可以判断肯定是工具提交的。‍‍‍‍+ \6 z3 K; w" ?) r
案例三:某大侠在测试上传漏洞: m( [' U& J) Z# ~9 v6 @4 z
6 E3 o0 ?8 Y& M3 ^3 g<img src="http://image.3001.net/images/20150322/14269954054641.png!small" title="12.png"/></strong><br/></h3>. _2 Z" x, c3 z2 p- A
‍‍通过查看x-forwarded-for,大概判断应该是两个人(不能准确的说,因为别人还有可能使用vpn)。我‍‍们来看下它们的Payload吧!‍‍‍‍
* E8 |, ?( j! W/ k‍‍Payload 1.1:‍‍$ |: g0 |. n+ O0 L% F, N& g# F
5 d3 k i+ }. G$ E0 ]: A; S: u2 c
<img src="http://image.3001.net/images/20150322/14269954459811.png!small" title="13.png"/></strong></span></p>
/ M( C! E- Q9 o, g. |: J( k' o‍‍这不是一句话木马么?6 ?* M8 G- I1 I5 c1 G- \5 ?1 s
‍‍‍‍Payload 1.1:‍‍‍‍8 }2 @; [* L7 a$ z% @% O+ S
' Y" w/ ~ V7 j$ U<img src="http://image.3001.net/images/20150322/14269954779214.png!small" title="14.png"/></strong></span></p>4 U0 F# T Y: w0 W
‍‍小伙子不死心呀!‍‍5 y6 `0 a5 U9 z' }: @
‍‍‍‍‍‍这里也让我紧张了一把,虽然他们上传的是php,没关系,我们这边不是php的。所以解析不了,但还是有点怕怕的,立马登录到服务上,看了会这个上传文件的目录,才放下心来。‍‍‍‍
5 H6 X! D( H/ `8 F* a‍‍Payload 2:‍‍6 m2 b: U% @# i% E1 I. M
: {/ i$ J4 y* }
<img src="http://image.3001.net/images/20150322/14269955327276.png!small" title="15.png"/></strong></span></p>3 \9 S0 S9 U0 ?( l3 Y5 J" M9 n% t
‍‍很好奇,这个哥们这个1.php里面写了什么玩意。通过http头部里‍‍面的X-Forwarder-For记录的ip,查到两位攻击者分别处于长沙和邵阳的。
1 M5 n8 Y4 W5 j案例四:意外的收获
, X3 x4 q Q3 @9 S; j" v‍‍一个意外的收获,发现老外们都在玩这个(friendly-scanner)。‍‍* O2 R: l4 f# ]9 h6 O0 w
: @( i9 a0 E' A0 a% D. b& l, D<img src="http://image.3001.net/images/20150322/14269955716101.png!small" title="16.png"/></strong></span></p>9 T! H% W! n4 X- o! Q0 c# I7 |
‍‍查看Payload‍‍4 I+ M6 w! L' S8 X2 |, U
3 }- f& v5 O% Y: S" x; K& {$ |
<img src="http://image.3001.net/images/20150322/14269955934602.png!small" title="17.png"/></strong></span></p>/ w: _( t2 ?4 T
‍‍‍‍friendly-scanner到底是一个什么扫描了??百度一下‍‍‍‍6 o) b0 {& z$ [5 d
: l! r. I7 c9 o7 S3 y7 v* F5 M<img src="http://image.3001.net/images/20150322/14269956335259.png!small" title="18.png"/></strong></span></p>
7 a% u* H* U& H1 m1 _
+ y0 G* F f y6 X K" n+ ^& S<img src="http://image.3001.net/images/20150322/14269956346626.png!small" title="19.png"/></strong></span></p>
5 f N4 X6 a- T‍‍高大上啊!有时间研究下这款工具。这个VoIP攻击,国内确实很少有人去研究都没怎么听说过。‍‍
7 x: e# P* K3 l0 M( v- T( u) d案例五:这个是bash漏洞么?
7 u2 a" Q* s. A% E! s4 ]+ n2 e/ K1 `" ^: O; ?
<img src="http://image.3001.net/images/20150322/14269956559891.png!small" title="20.png"/></strong></span></p>
( W! _8 s* y! l8 W' w. |‍‍查看Payload‍‍
p- Q9 I# M' l. h2 @0 j
0 s4 x' _. l6 T" U7 G* H3 t7 B<img src="http://image.3001.net/images/20150322/14269956881338.png!small" title="21.png"/></strong></span></p>
3 b" V/ }7 x3 S' A' o; V( u5 y‍‍顿时就明白是怎么回事了,但还是有点怕怕的,立马上服务器把bash漏洞的补丁打了。‍‍2 S' H' I" ~! e+ |0 p! b9 l' M/ Q& P
‍‍(Yum update bash)5 k, _" X* }) g6 G+ q- W
案例六:一些七七八八的信息8 }/ H$ Y/ l A& e& r, j5 }& u
0 u$ Y: R# h, T* K' B4 ?7 {0 h. G- w<img src="http://image.3001.net/images/20150322/14269957166229.png!small" title="22.png"/></strong></span></p>& ^# D% a# `; x
‍‍这个其实也挺恐怖的,看到了”shell”这个字。‍‍‍‍- P& C3 C- v2 S6 A5 K
‍‍通过查看Payload,发现其实就是上传了一个html文件,没啥。‍‍% {1 X6 J0 B. H- a
) Z& g) O0 N8 U3 o
<img src="http://image.3001.net/images/20150322/14269957537255.png!small" title="23.png"/></strong></span></p>4 M: s3 w4 P8 f& N) e
7 c3 W# ^5 |& I) B8 m<img src="http://image.3001.net/images/20150322/1426995781808.png!small" title="24.png"/></p>
& p. l( R: f1 I" T5 U& s‍‍这应该是扫描器弄的,我们都没用jboss。‍‍& I$ X' }) N7 l& r# C
‍‍0×05、一颗敬畏之心‍‍‍‍渗透测试,个人认为就是一种可能性的测试。没有什么不可能的,无论是做为防守者还是攻击者,都不能是想当然,要以理性的头脑去测试或者防护。如果要归根到底的话,问题的源头,都是人的问题。‍‍2 r+ g/ D7 a$ ^$ a
‍‍个人认为做安全防护,还有一个原则就是“信任”。需要做的是,在不可信地方设防,到底那里不可信,外面不可信,里面就可信了么?同样你也不能完全信任,你需要明确谁可以访问谁,做好访问控制。‍‍: X) h8 H$ F6 @2 p
‍‍最后要感谢下乌云白帽“霍大然”及“北京-lion_00”两位大侠的指点。‍‍
+ f% c: U, Z! S5 Q+ z$ n‍‍编者注:笔者是南方人,因此“呢”“了”不分,改不下去了,大家明白就好~~~‍‍
4 x7 \/ ~8 f# _* z1 M+ A. c* e‍‍参考资料% E7 E# A% d. T9 \. O! x6 d
《白帽子讲web安全》: c2 {5 K3 N9 q9 O$ G
http://drops.wooyun.org/tips/28214 X/ H) N* e" G( f* j8 q1 n
http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/4010
0 @9 n& q3 `3 _" `http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/3874 |
|
1 c2 l% w- R/ o. ]
0 `. o( E% `( `7 ` f
' x0 a5 V3 C& U2 _
5 s9 D [1 ^9 G! u: |, i6 t
# l1 s" V' A x0 I' }# `( K+ G
4 ]4 Q6 Q& a% f/ ~5 Q. ~
1 M. v5 \; g5 v9 D& f5 f6 S, B
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
