From 6fd977876af4242e881dfb3452aa9785a0c0e6a3 Mon Sep 17 00:00:00 2001 From: test Date: Sun, 24 Nov 2024 00:55:52 +0000 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B410=E6=9C=88=E6=B6=89=E5=9B=BD?= =?UTF-8?q?=E5=86=85=E6=95=B0=E6=8D=AE=E6=B3=84=E9=9C=B2=E4=BA=8B=E4=BB=B6?= =?UTF-8?q?=E6=B1=87=E6=80=BB=E3=80=81masscan=E5=85=A8=E7=AB=AF=E5=8F=A3?= =?UTF-8?q?=E6=89=AB=E6=8F=8F=3D=3D>httpx=E6=8E=A2=E6=B5=8BWEB=E6=9C=8D?= =?UTF-8?q?=E5=8A=A1=3D=3D>nuclei&xray=E6=BC=8F=E6=B4=9E=E6=89=AB=E6=8F=8F?= =?UTF-8?q?=20|=20=E8=A7=A3=E6=94=BE=E5=8F=8C=E6=89=8B=E3=80=81=E8=93=9D?= =?UTF-8?q?=E9=98=9F=E7=A0=94=E5=88=A4=E6=8A=80=E5=B7=A7=EF=BC=88=E4=B8=80?= =?UTF-8?q?=EF=BC=89--=20=E5=9F=BA=E7=A1=80=E7=AF=87&WireShark=E7=AF=87?= =?UTF-8?q?=E3=80=81=E3=80=90=E6=BC=8F=E6=B4=9E=E5=A4=8D=E7=8E=B0=E3=80=91?= =?UTF-8?q?=E9=80=9A=E8=BE=BEOA=20submenu=E5=AD=98=E5=9C=A8=E5=89=8D?= =?UTF-8?q?=E5=8F=B0SQL=E6=B3=A8=E5=85=A5=E6=BC=8F=E6=B4=9E=E3=80=81?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- data.json | 6 +- doc/2024年10月涉国内数据泄露事件汇总.md | 157 ++++++++++++++++++ ...探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手.md | 50 ++---- ...洞复现】通达OA submenu存在前台SQL注入漏洞.md | 131 +++++++++++++++ ...蓝队研判技巧(一)-- 基础篇&WireShark篇.md | 141 ++++++++++++++++ 5 files changed, 446 insertions(+), 39 deletions(-) create mode 100644 doc/2024年10月涉国内数据泄露事件汇总.md create mode 100644 doc/【漏洞复现】通达OA submenu存在前台SQL注入漏洞.md create mode 100644 doc/蓝队研判技巧(一)-- 基础篇&WireShark篇.md diff --git a/data.json b/data.json index 331447ed..64df65ae 100644 --- a/data.json +++ b/data.json @@ -480,5 +480,9 @@ "https://mp.weixin.qq.com/s?__biz=MzIzNTE0Mzc0OA==&mid=2247485967&idx=1&sn=5db816f99e67288e249ffd001c782213": "Java漏洞平台 - JavaSecLab", "https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247497668&idx=2&sn=5d070cb9d29875dc8b46f874c089b1cc": "2024年最危险的25个软件漏洞", "https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247517193&idx=1&sn=dc920188162b0391540fa94f4df48e1f": "JeecgBoot小于3.6.0版本存在SQL注入漏洞", - "https://mp.weixin.qq.com/s?__biz=MzkxNDM4OTM3OQ==&mid=2247504672&idx=3&sn=ed9021232258b0b0f82fe649895293c9": "7-Zip 文件压缩工具中的漏洞" + "https://mp.weixin.qq.com/s?__biz=MzkxNDM4OTM3OQ==&mid=2247504672&idx=3&sn=ed9021232258b0b0f82fe649895293c9": "7-Zip 文件压缩工具中的漏洞", + "https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650603968&idx=1&sn=f3fb57764ff573556885d19380bb807f": "2024年10月涉国内数据泄露事件汇总", + "https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650603968&idx=4&sn=b16df9e7b17203b94b8d4bb276ef6a31": "masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手", + "https://mp.weixin.qq.com/s?__biz=MzkxNjMwNDUxNg==&mid=2247486831&idx=2&sn=dfa1ce1292893eeb735c75b1616a0d00": "蓝队研判技巧(一)-- 基础篇&WireShark篇", + "https://mp.weixin.qq.com/s?__biz=MzU3MjU4MjM3MQ==&mid=2247488502&idx=1&sn=49a37de4ad390d82ad780bff943a670f": "【漏洞复现】通达OA submenu存在前台SQL注入漏洞" } \ No newline at end of file diff --git a/doc/2024年10月涉国内数据泄露事件汇总.md b/doc/2024年10月涉国内数据泄露事件汇总.md new file mode 100644 index 00000000..9595717f --- /dev/null +++ b/doc/2024年10月涉国内数据泄露事件汇总.md @@ -0,0 +1,157 @@ +# 2024年10月涉国内数据泄露事件汇总 + 黑白之道 2024-11-24 00:32 + +![](https://mmbiz.qpic.cn/mmbiz_gif/3xxicXNlTXLicwgPqvK8QgwnCr09iaSllrsXJLMkThiaHibEntZKkJiaicEd4ibWQxyn3gtAWbyGqtHVb0qqsHFC9jW3oQ/640?wx_fmt=gif "") + +数世咨询联合零零信安共同发布了《数据泄露态势》月度报告,报告基于0.zone安全开源情报系统,监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。报告显示,2024年10月共监控到全球DWM(Dark Web Market)深网和暗网有效情报128,827份,泄露数据的高价值买卖情报3,238份。 + +从行业分布来看,泄露数据中约 **79%** 带有明确的行业属性,主要涉及 **信息与互联网行业、金融行业、党政军与社会机构、批发零售业** 和 **教育行业** 等领域。这些数据的泄露不仅威胁行业机密,还可能对相关业务安全造成严重影响。 + +另外,有约 **21%** 的数据未体现明显的行业属性,内容包括 **邮箱密码二要素信息、来源不明的公民个人信息**,以及 **批量化的企业工商数据** 等,显示出黑客攻击呈现更广泛且无差别化的趋势。 + +从泄露数量来看,2024年10月泄露的数据规模惊人,包括 **数十亿包含三要素信息的数据** 和 **数亿条二要素信息的数据**。整体来看,全球数据泄露总量已突破 **数十亿行**。 + +若排除上述二要素数据泄露,仅具有明确泄露源的非二要素新数据,其泄露量依然高达 **数百亿行**,进一步凸显全球数据安全形势的严峻性。 + +其中,与中国相关的泄露数据如下: + +1、** +**********数据库泄露  + +发布时间:2024.10.14 + +泄露数量:45,000,000 + +售卖/发布人:Sevenwolves + +事件描述:2024.10.14某暗网数据交易平台有人宣称正在售卖一份** +** +** +* +* +** +**数据库。卖家称此份数据包含的字段有:姓名,身份证号,手机号。该份数据总量为4500万条。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7VNOEice79ebausppzslTic8BHEU6Nkw00Og6a56LqPWQDeZXibaBtw0Tw/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +2、中国加密货币用户数据泄露  + +发布时间:2024.10.14 + +泄露数量:1,000,000 + +售卖/发布人:Sevenwolves + +事件描述:2024.10.14某暗网数据交易平台有人宣称正在售卖一份中国加密货币用户数据。此份数据的数据字段有:姓名、手机、运营商、金额、注册账号、网站编码、网站、平台。该份数据的总量为100万条。     + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7g563SkhHdLgBsUuuzYQ9XWVUy3kPYneun0DT3fYYbBVfH4S1zc1dNA/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +3、 +****贷款平台用户数据泄露   + +**** +发布时间:2024.10.20 + +泄露数量:41,000 + +售卖/发布人:Sevenwolves + +事件描述:2024.10.20某暗网数据交易平台有人宣称正在售卖一份 +****贷款平台用户数据。此份数据的数据字段包含:姓名、电话、身份证号码、银行卡号、联系人、联系电话,数据总量为4.1万条,此份数据的价格为2000美元。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g73FrVZPqr61ezFDslBjpwcn3eBx49pxnUWWAAQlNiaI1ibkNl4pC5etyw/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +4、******市服务业职业技能培训学校数据泄露   + +发布时间:2024.10.31 + +泄露数量:21,337 + +售卖/发布人:i****y + +**事件描述****:**2024.10.31某暗网数据交易平台有人宣称正在售卖一份******市服务业职业技能培训学校数据。此份数据的数据字段包含:姓名、性别、年龄、身份证号等,数据总量为21337条,此份数据的价格为50美元。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7RqkpAtXYuZREHpr8a6zRXXFDxibVQVuf13XOTJuFib5fkSgt2qibHGQeQ/640?wx_fmt=other&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +5、中国***航空机票数据泄露  + +发布时间:2024.10.31 + +泄露数量:目前仅测试小样 + +售卖/发布人:a******0 + +**事件描述:**2024.10.31某暗网数据交易平台有人宣称正在售卖一份中国***航空机票数据。此份数据包含的数据字段有:姓名,手机号、身份证号、票号。此份数据的价格为340美元。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g79pAvib3uC5qia68icBG3jvWJch3aqZaEfoRJazfuUr63dialWCuMQLARWA/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +6、涉及中国的勒索事件 + +本月涉及中国企业的勒索事件主要如下: + +
组织
所属行业
时间
黑客组织
中国香港盖**集团
衣食住行、物流、制造
2024/10/24
Fog
中国****集团
金融
2024/10/9
k1ll
+ +7、匿名社交社群数据 + +10月份监控到匿名社交社群情报总数量17,733,747 条,提供的有效数据泄露样例下载8,349份。涉及到我国数据泄露的内容包括:机票信息、投资信息、保险信息、贷款信息、房主信息、车主信息、购物信息等众多类型。以下随机选取展示部分样本: + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7J8IZHyVTEia2TLia8ZdiccToBJSia8Jp8UZzIvfX8YIibrIjITSuht9qzxw/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7Xe4A5fDFMMW0GDlZrHTIPcZz0BOpGoFLhsgnKr616CUiacG5mGFl4wg/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/aBHpjnrGyliabPJFLzw0e3nD6AjIjP1g7BPMxO3a9wmVFHv802icbukxGuNia95PzwEQuG1Ipibx56SSapdjBkibrKA/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +以上数据主要来自匿名社交社群中攻击者展示的样例,每份样例包含数十至数百条数据。以此推算, **10月匿名社交社群中发布的我国数据泄露样例** 总量约 **10万条**,进一步推估,全数据泄露量可能超过 **1,000万条**。 + +此外,通过对匿名社交软件的活跃用户进行监测发现, **10月份以“86”(我国区号)开头的手机号** 共发送信息 **6,563条**。值得注意的是,这些匿名社交软件的用户 **不受实名监管**,其使用目的和行为背后隐藏的风险需引起重视。 + +**安全防护建议** + +**1. 数据安全策略**企业需制定全面的数据安全保护计划,涵盖数据安全性、可用性和访问控制。关键措施包括: + +**定期备份数据**,确保在意外情况下能快速恢复。 + +优化 **数据存储策略**,防止数据滥用和未经授权的访问。 + +遵守相关法律法规,确保数据管理和处理符合行业标准。 + +**2. 事件响应机制**建立高效的 **事件响应机制**,明确处理流程。一旦发生安全事件,能够快速分析、隔离和应对,最大限度减少损失,降低对业务的影响。 + +**3. 数据防泄漏(DLP)技术**部署 **DLP解决方案**,对敏感数据进行实时监控和保护。有效防止数据通过网络、邮件、外接设备等渠道非法泄露,构建更加安全的内外部数据传输环境。 + +**4. 数据访问控制**采用 **严格的访问控制技术**,确保只有授权用户才能访问敏感数据,避免内部人员或黑客利用权限漏洞窃取信息。 + +**5. 选择安全的第三方供应商**在与第三方供应商合作时,应选择安全信誉良好的合作方,并明确要求其采取适当的安全措施,例如加密存储和访问限制,避免数据泄露风险。 + +通过以上建议,企业和个人可以有效降低数据泄露风险,构建更加安全的网络环境。 + +本情报来源【数世咨询】数据泄露态势报告(2024.11) + +> **文章来源 :数世咨询****** + + +**精彩推荐** + + + + +# 乘风破浪|华盟信安线下网络安全就业班招生中! + + +[](http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650575781&idx=2&sn=ea0334807d87faa0c2b30770b0fa710d&chksm=83bdf641b4ca7f5774129396e8e916645b7aa7e2e2744984d724ca0019e913b491107e1d6e29&scene=21#wechat_redirect) + + +# 【Web精英班·开班】HW加油站,快来充电! + + +‍[](http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650594891&idx=1&sn=b2c5659bb6bce6703f282e8acce3d7cb&chksm=83bdbbafb4ca32b9044716aec713576156968a5753fd3a3d6913951a8e2a7e968715adea1ddc&scene=21#wechat_redirect) + + +‍ +# 始于猎艳,终于诈骗!带你了解“约炮”APP + +[](http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650575222&idx=1&sn=ce9ab9d633804f2a0862f1771172c26a&chksm=83bdf492b4ca7d843d508982b4550e289055c3181708d9f02bf3c797821cc1d0d8652a0d5535&scene=21#wechat_redirect) + +**‍** + + diff --git a/doc/masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手.md b/doc/masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手.md index c8eda929..70aa3af9 100644 --- a/doc/masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手.md +++ b/doc/masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手.md @@ -1,19 +1,7 @@ # masscan全端口扫描==>httpx探测WEB服务==>nuclei&xray漏洞扫描 | 解放双手 -whoisavicii 夜组安全 2024-11-18 00:02 + 黑白之道 2024-11-24 00:32 -免责声明 - -由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! -**所有工具安全性自测!!!VX:** -**baobeiaini_ya** - -朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 -**夜组安全** -“**设为星标** -”, -否则可能就看不到了啦! - -![](https://mmbiz.qpic.cn/sz_mmbiz_png/icZ1W9s2Jp2Xvvlzc5lra8XdgLYGCfX5ooaMiaUJy4vKvStTngQp4122jauXltltcCuYib5WBBdaXu5dh91dGvibyQ/640?wx_fmt=png&from=appmsg "") +![](https://mmbiz.qpic.cn/mmbiz_gif/3xxicXNlTXLicwgPqvK8QgwnCr09iaSllrsXJLMkThiaHibEntZKkJiaicEd4ibWQxyn3gtAWbyGqtHVb0qqsHFC9jW3oQ/640?wx_fmt=gif "") **01** @@ -57,31 +45,17 @@ https://github.com/chaitin/xray/ **工具下载** -**点击关注下方名片****进入公众号** +****https://github.com/whoisavicii/Masscan2Httpx2Nuclei-Xray**** -**回复关键字【241118****】获取** -**下载链接** - - -**04** - -**往期精彩** - -[ JavaSecLab 一款综合Java漏洞平台 ](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247492733&idx=1&sn=d41a5ddfe26f0a9dfaa02fedafee911a&chksm=c36ba085f41c29939223545de63e6dd51eee2d1c2e76755a6f8d9ddcef40fece5748affa600a&scene=21#wechat_redirect) - - - - -[ 一款java漏洞集合工具 ](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247492730&idx=1&sn=4830f7a0e4dfa7e50b8fb0ccc7e0e0b9&chksm=c36ba082f41c2994059ab6b2829b5188508869ea9726694e911078775c93f5343300a071a267&scene=21#wechat_redirect) - - - - -[ 一款集成高危漏洞exp的实用性工具 ](http://mp.weixin.qq.com/s?__biz=Mzk0ODM0NDIxNQ==&mid=2247492694&idx=1&sn=593e032dc17a72a4ca4250d4a3f210f1&chksm=c36ba0aef41c29b832e8f14aafe90179de166338058ad1d6096d5b9f956e771a308d9824db65&scene=21#wechat_redirect) - - - -![](https://mmbiz.qpic.cn/mmbiz_png/OAmMqjhMehrtxRQaYnbrvafmXHe0AwWLr2mdZxcg9wia7gVTfBbpfT6kR2xkjzsZ6bTTu5YCbytuoshPcddfsNg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&random=0.8399406679299557 "") +> **文章来源:夜组安全** +黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! + +如侵权请私聊我们删文 + + +**END** + + diff --git a/doc/【漏洞复现】通达OA submenu存在前台SQL注入漏洞.md b/doc/【漏洞复现】通达OA submenu存在前台SQL注入漏洞.md new file mode 100644 index 00000000..407e6fb4 --- /dev/null +++ b/doc/【漏洞复现】通达OA submenu存在前台SQL注入漏洞.md @@ -0,0 +1,131 @@ +# 【漏洞复现】通达OA submenu存在前台SQL注入漏洞 +xiachuchunmo 银遁安全团队 2024-11-23 22:00 + +**** +**需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够)** + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**漏洞简介** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +******通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。通达OA submenu存在前台SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。** +**** +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**资产详情** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + +``` +app="HertzBeat-实时监控系统" +``` + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ibbTQkCYBhZbyoWZicHoXUgLyibYetRRcaYPgdvibeMbQicEQictEsMDBSdudd5uLQGMWyFUmJgCVxLDbw/640?wx_fmt=png&from=appmsg "") + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**漏洞复现** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**延时注入测试** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ibbTQkCYBhZbyoWZicHoXUgLdco6uRq24C85vhZWMgLTia9B1iaxVJic1MfcNQOdRj82yF3oaiaZp3kbww/640?wx_fmt=png&from=appmsg "") + +**** +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**Nuclei测试** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ibbTQkCYBhZbyoWZicHoXUgLIr2XAibUx1Hibx9N2cAibNnbGibZR3DWQtiaUsPpdzmUqsvucNuf6bvQCYw/640?wx_fmt=png&from=appmsg "") + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**圈子介绍** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +高 +质量漏洞利用工具分享社区,每天至少更新一个0Day/Nday/1day及对应漏洞的批量利用工具,团队内部POC分享,星球不定时更新内外网攻防渗透技巧以及最新学习研究成果等。 +如果师傅还是新手,内部的交流群有很多行业老师傅可以为你解答学习上的疑惑,内部分享的POC可以助你在Edu和补天等平台获得一定的排名。 +如果师傅已经 +是老手了,有一个高质量的LD库也能为你的工作提高极大的效率,实战或者攻防中有需要的Day我们也可以通过自己的途径帮你去寻找。 + +**【圈子服务】** + +1,一年至少365+漏洞Poc及对应漏洞批量利用工具 + +2,Fofa永久高级会员 + +3,24HVV内推途径 + +4,Cmd5解密,各种漏洞利用工具及后续更新,渗透工具、文档资源分享 + +5,内部漏洞 +库情报分享 +(目前已有2000+ +poc,会定期更新,包括部分未公开0/1day) + +6,加入内部微信群,认识更多的行业朋友(群里有100+C**D通用证书师傅),遇到任何技术问题都可以进行快速提问、讨论交流; + + +圈子目前价格为**129元** +**(交个朋友啦!)** +,现在星球有近900+位师傅相信并选择加入我们,人数满1000 +**涨价至149**,圈子每天都会更新内容。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/yeJvia5dNx5ibmJXuUnaww610JyW2aMD7XyghxoOEL12QTuKPMtygJ7abCibjickyRUpBPDf52hoXPRu3nWEmjzt5A/640?wx_fmt=jpeg&from=appmsg "") + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**圈子近期更新LD库** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ib2O29UeBntrAgS16oXwLZvdELfGVX4sNVxPSiatCrY9NMx1M47giajq1iayjibDHo3axOViaY9L4ovZ5g/640?wx_fmt=png&from=appmsg "") + +**每篇文章均有详细且完整WriteUp** + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/yeJvia5dNx5ibK7Dv4GdXpIuKGmLtjmiaeQuz0vbaPubOpv3oWAehI3Pr5flA7KQSUWtKIyycZezdAxmic5rpy2tHw/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +**星球提供免费F**a**![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ic3icibHW6nDoAAoX9Spv9mREyEWTD0kRZWwApI2LKZDlqDfFj0Hnbja85ppeKPty1oOKFD80G5iadWQ/640?wx_fmt=png&from=appmsg "") +**C**D通用证书********一起愉快的刷分**![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ibz6ibFL4b8QBThc3t0ok0Gb7jsseWcrYsxNbv9qyQ0uhDib7TkUcLIIos2iaYlzL6TcF3ia2Rric1EH1g/640?wx_fmt=png&from=appmsg "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/yeJvia5dNx5ickvP43lKosLxs8SB5kCSQQEP05NRM08qqN1YIrU1QF8ILRniaF4Vu2jbHhTypliczTnEuK5TXobk9A/640?wx_fmt=png&from=appmsg "") + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +**免责声明** + + +![](https://mmbiz.qpic.cn/mmbiz_gif/4yJaCArQwpACMJuBxI11jPgvHCxQZFQxPrt5iaQRibgGl0aIzFo4hDCYcFuyViag6zhuqNEjjeasfMEAy1rkaOahw/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + + +![](https://mmbiz.qpic.cn/mmbiz_gif/HVNK6rZ71oofHnCicjcYq2y5pSeBUgibJg8K4djZgn6iaWb6NGmqxIhX2oPlRmGe6Yk0xBODwnibFF8XCjxhEV3K7w/640?wx_fmt=gif&wxfrom=5&wx_lazy=1 "") + +文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 + diff --git a/doc/蓝队研判技巧(一)-- 基础篇&WireShark篇.md b/doc/蓝队研判技巧(一)-- 基础篇&WireShark篇.md new file mode 100644 index 00000000..82a4614a --- /dev/null +++ b/doc/蓝队研判技巧(一)-- 基础篇&WireShark篇.md @@ -0,0 +1,141 @@ +# 蓝队研判技巧(一)-- 基础篇&WireShark篇 + 进击的HACK 2024-11-23 23:55 + +> fkalis早期在i春秋的投稿文章 +> 原文链接:https://bbs.ichunqiu.com/thread-63452-1-1.html + +> **看了很多关于护网的文章,大多文章都只有关于面试题的文章,并没有真正的蓝队实战的一些分析,关于对可以流量如何进行研判的分析,因为我也是第一次参加关于红蓝对抗的蓝队项目,我想将我在红蓝对抗中学习到的实战的东西交给大家,以下都是我的拙见,有什么不足请师傅们提出,我将尽力改正和学习。** + +## 1. 对客户的企业架构要有一定的理解 +#### (1)为什么这里要将企业的架构放在研判的第一位 +``` +因为在很多情况,我们对流量的研判 +是需要根据真实的企业架构来进行的, +只有熟悉的企业的架构才能对流量的 +研判有个确定的结构。 +``` + +例如:为什么一台外网的天眼会接受到一个内网对另一个内网的攻击报警呢? + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kBjLYDdg9mZVCwibwh7Kaic3FOtJsb4ibXicKQcIuPicVoGLggWibAic8vNqxw/640?wx_fmt=png&from=appmsg "") + +这时候我们可能就会有很多疑问? +``` +1.难道红队已经在内网进行横向了吗,但是我们的设备是外网监测设备啊 +2.难道红队已经控制了一台内网设备了吗,为啥之前都没有动静 +3.红队到底是从哪里进行攻击的,应该在哪就行漏洞修复呢? +  .... +``` + +这就是不知道架构的困难之处,如果不知道企业的架构,就相当于一个盲人一样,无法确定攻击的线路,无法解决各种疑问。那如果我们知道架构会是怎么样的呢? + +在这里的企业架构,实际上这里的攻击来源ip是企业的一个负载均衡 + +当外界访问该企业的网站的时候,实际上是通过负载均衡然后到达内网的一台设备,从而实现web的访问的,由于天眼架设的位置在负载均衡之后,所以天眼获取到的流量是经过负载均衡后的流量,这时候就会导致访问的ip变为内网的负载均衡的ip,所以导致一个内网访问一个内网的效果,所以我们只有只有知道了这个企业的架构才能具体的情况进行具体的分析 +#### 可能文字比较难懂,我将这个流程整理成一个图片方便大家理解 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kXKMU9LJWYAYpuIu1SPoPMSHa3VK30hNibYhUPVCaGuf24FITEO51p2Q/640?wx_fmt=png&from=appmsg "") +#### (2)那么我们在企业的架构中最重点需要关注什么内容呢。 +``` +1.企业的对外访问服务的ip +2.企业的负载均衡的ip +3.企业的vpn +4.企业的不同网段 +5.设备探针的所在位置 +    .... +``` +## 2. 熟悉设备的原理 +> 任何设备都不是万能的,不要把设备想象的过于智能,他实际上会有很多误报,要想冷静的对这些误报进行分析研判就需要使用者对设备的原理进行了解,从而分析该误报产生的原因,进行更好的研判分析(这里以天眼为例) + + +#### +#### 例如:对天眼来说,他的部分规则会来自qax的威胁情报中心,当qax威胁情报中心标记的域名为恶意域名的时候,就会在天眼分析平台出现一个ioc,也就是规则,当用户的内网有对外解析该域名的请求时候,就会直接报警,无论DNS解析是否成功,他都会报警失陷。这就会导致一些误报 + +#### 例如:这里报警报了远控木马失陷,看到是不是很慌 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kNt7gbj3Q8HMt7jvlq6NNIIOslf6ibZWsUh7UYpxCvhL0XiaEBs5rzp8Q/640?wx_fmt=png&from=appmsg "") +#### 但是这里实际上就是我说的当用户的内网有对外解析该域名的请求时候,就会直接报警,无论DNS解析是否成功,他都会报警失陷,我们可以查看他的流量情况 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1k8Eu4kpFxsNnh2p5GhPHOzpUFYRzr81ibB6TSvTnSxqVsrVC4I2w9m2w/640?wx_fmt=png&from=appmsg "") + +#### 会发现他只有一个域名的DNS请求解析,连DNS解析都没有成功,没有返回包,但是依然报了失陷,所以这就是设备的一些小误报 +#### 补充: + +为什么会去请求解析这个恶意域名的,可能是因为内网的某些设备有一些垃圾软件,这些垃圾软件有对外的DNS解析,但是被拦截了,但是因为有请求解析,所以天眼还是报警了,但是并没有成功。 +## 3.wireshark的一些使用技巧 +> 由于在面对很多流量分析的时候,并不是单单通过设备就可以进行研判的,很多都是需要通过pcap包进行分析,所以对wires hark的使用必不可少,但是wireshark对于新手来说并不是很友好,因为他复杂的过滤规则,让入门的时候不知道从哪里下手,实际上我们不需要完全掌握wires hark的过滤语法,通过下面这些技巧,也可以很好使用wireshark进行分析。 + + +#### (1)追踪tcp流 + +当我们用wireshark对tcp等协议进行分析的时候,他会将一次请求的tcp拆分为多个包,这就会导致我们分析的时候有点困难,需要一个个看,这时候我们就可以使用tcp流,让这些整合成一个请求,格式和burpsuite类似,这有助于我们的分析 +#### +#### 非常复杂 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kcY8LW9Bfn8UY9w5f9G95B6Vh8ibRUVbiak75S1Wh1Ga1s5L17gCZhmAg/640?wx_fmt=png&from=appmsg "") +#### +#### 使用tcp流将他们整合 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kw5RP4YdQvw9aS2ETibtTlwJdNFXA4RBlHdibicATDNfvM4ADm4t0t6Oiaw/640?wx_fmt=png&from=appmsg "") +#### +#### 可以获取到完整的请求,直接对该请求进行分析 +``` +红色的表示请求,蓝色的表示响应 +``` + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1k2I53ur0ssmTN61fico27DnAib3nnmJngmgicuj1lNzFmullayCR7QV6Fg/640?wx_fmt=png&from=appmsg "") +#### +#### (2)筛选方式 +#### 众所周知,wireshark难就难在他的过滤语法,由于他的流量很多,所以就需要过滤语法,如果不是一个经常使用wireshark的人来说,这么多的语法绝对是灾难,但实际上并不需要记住语法,wires hark提供了一些功能进行直接过滤。 +#### +#### 正常的过滤语法 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kjiaUaZ9GVtvbr2X8MDYFFiaicQjU8Vcdh9aNAoo2lrLiblgNCeRSusamlQ/640?wx_fmt=png&from=appmsg "") +#### +#### 我们可以使用这种方式进行过滤 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kJF3PXgGrrwh4A8h9yKTbdWWhvleI1WKSdRYQzsIr5ESd0wr2qoxaVA/640?wx_fmt=png&from=appmsg "") +#### 将想要过滤的东西选中,这里想要过滤的就是目的为这个IP的流量,这样设置后他就会自动补充过滤语法 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kWyibI3QI9apicAWzR1ueEGTpK0gISqXN76AVxMraFD1ic5r1aVpAI5zdQ/640?wx_fmt=png&from=appmsg "") +#### (3)提取文件 +#### 这个技巧只是偶尔会使用到,因为大部分设备都会自带文件流的提取了,但是偶尔还是会遇到的,有的CTF题目中也会遇到 +#### 1. 正常打开打开cap或者pcap文件 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kNibzmoqMLhPocKZv4GPrkicxV45YYHEv83YJPZaKC9k7vrJM0SF593Xw/640?wx_fmt=png&from=appmsg "") +#### 2. 找到想要还原的zip数据包 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kqCqPsoS0k4uxSSoACcTbic60oKIWDzQjiciacgEpcTy62fEk78uShRVrg/640?wx_fmt=png&from=appmsg "") +#### 3. 点进数据包中 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kJm1Fmgl2XxjDfHagib5CalDEhSpnCPCLIntrwbv1GQrjY22jNz85e1w/640?wx_fmt=png&from=appmsg "") +#### 4. 选中media type + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kaSwBgXmicjIZuN5wozX8VFXCC67A6ic9TWxst1wnkTR3cwb7LwnEicFfw/640?wx_fmt=png&from=appmsg "") +#### 5. 右键选中复制 ---》 Hex Stream + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kpA4mjiaEjaeQMNBtgOFxK7D2ib2YmqmAo94Uuu1dKMZTmunfZXElXx5w/640?wx_fmt=png&from=appmsg "") +#### 6. 打开winhex 16进制查看工具 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1klz9Thwb8DicpnsnIIkNCPu3mK9JZp0MMYZN9ia93MmDwNuIU0jELwWMQ/640?wx_fmt=png&from=appmsg "") +#### 7. 点击编辑从剪贴板粘贴 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kmET0HBqpD0NaiaHPDEsFpQNk4Pp5IdugibKgib4oHsic1ClsF3EOrKlK0A/640?wx_fmt=png&from=appmsg "") +#### 8. 选中 ASCII HEX + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kGzQXk1iaCIkia3KJnzmrtD0xLCbKgcXUL7yWcIetibgpe63eB9837icSMg/640?wx_fmt=png&from=appmsg "") +#### 9. 就可以得到还原的zip文件了 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kfU720UBWE3unKnIib4JibVRCy4Kn85hSibzkv6evGtmusBlM8SPPm44JA/640?wx_fmt=png&from=appmsg "") +#### 10. 另存为zip即可 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kabtsHuYkF0lt6ic9YOQwD4RgPhs05wFeDhMdZtAXgtuiaDBHXbWUhuibQ/640?wx_fmt=png&from=appmsg "") + +11. 成功打开,没有损坏 + +![](https://mmbiz.qpic.cn/mmbiz_png/OlNJlSSibBicfSpGLKiczxicEzTgyiahqos1kkiaRAZbk6D0SiaS77TafxT8sdWWln0YVrGibnriaTPfsjdcAu5Dr2GPGhg/640?wx_fmt=png&from=appmsg "") + +**** +**这就是蓝队研判的基础知识,下章我会对如何研判进行具体的分析,具体到某个案例,如何一步步确定他是否成功,是否是攻击等等.....** + +