2024HW蓝队对抗手册.docx

上传人:王** 文档编号:1269551 上传时间:2024-06-06 格式:DOCX 页数:50 大小:55KB
下载 相关 举报
2024HW蓝队对抗手册.docx_第1页
第1页 / 共50页
2024HW蓝队对抗手册.docx_第2页
第2页 / 共50页
2024HW蓝队对抗手册.docx_第3页
第3页 / 共50页
2024HW蓝队对抗手册.docx_第4页
第4页 / 共50页
2024HW蓝队对抗手册.docx_第5页
第5页 / 共50页
2024HW蓝队对抗手册.docx_第6页
第6页 / 共50页
2024HW蓝队对抗手册.docx_第7页
第7页 / 共50页
2024HW蓝队对抗手册.docx_第8页
第8页 / 共50页
2024HW蓝队对抗手册.docx_第9页
第9页 / 共50页
2024HW蓝队对抗手册.docx_第10页
第10页 / 共50页
亲,该文档总共50页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《2024HW蓝队对抗手册.docx》由会员分享,可在线阅读,更多相关《2024HW蓝队对抗手册.docx(50页珍藏版)》请在优知文库上搜索。

1、HW蓝队对抗手册目录OXol前言40x02准备工作41)组织结构图42)全网拓扑图43)各系统逻辑结构图44)各系统之间的调用关系45)数据流关系46)核心资产清单47)应急响应计划48)业务连续性计划49)灾难恢复计划4OXO3简单安全评估41 .端口扫描和漏洞检测51.1 机发现(Ping探测)51.2 端口扫描51.3 服务版本检测51.4 扫描多个端口51.5 UDP扫描51.6 TCP/UDP扫描(-Pn跳过主机发现)51.7 NeSSllS扫描51.8 OPENVAS扫描52. WINDOWS系统篇52.1 网络发现62.2 DHCP623DNS62.4 哈希值72.5 NETBI

2、OS72.6 微软基线安全分析器(MBSA)83. IJNUX系统篇83.1 网络发现83.2 DHCPDHCP日志RHE1./CentOS833DNS81.4 哈希值91.5 NETBIOS94 .安全加固94.1 WINDOWS系统篇94.1.1 禁用/停止服务94.1.2 防火墙管理94.1.3 清除DNS缓存和Netios缓存104.1.4 应用控制104.1.5 IPSEC114.1.6 其他安全策略124.2 1.INUX系统篇14421服务管理144.2.1 防火墙管理154.2.2 DNS缓存154.2.3 配置IPSEC165 .检测(Visibility)181 .1.1数

3、据包捕捉与分析182 .)TSHARK193 .)SNORT204 .)BroNSM205 .)EDITCAP228 .)NetworkMiner229 .2蜜罐技术221.)端口蜜罐225.3.2IJNUX系统篇1.)端口蜜罐232.)(PASSwE)监控DNS解析235.3日志审计235.3.1WINDOWS231 3.21.INUX252 .4响应(取证)263 .)网络信息274 .)服务信息285 .)策略、补丁、环境变量信息296 .)自启动信息297 .2)使用autoruns307 .)取日志文件358 .)文件、目录、共享信息359 .)网络信息3710 )简单基线检查401

4、1 )检测rootkit4012 .)FaStirCOHeCtor1.inUX,收集artefacts,包括:内核版本、内核模块、网卡、系统版本、主机名、登录、网络连接、SSHknoWjWst、日志文件、进程数据、自启动等信息4013 .)SysdigandSysdigFalco行为监控415.4.2病毒样本分析426.常用技巧和工具441 .1技巧441.1.1 WINDOWS系统篇441.1.2 1.INUX系统篇1.)SNORT462 .2兵器谱493 .)REMNUX软件逆向和病毒分析发行版494 .)OPENVAS505.)SeCUrityoniOn入侵检测、网络安全监控、日志分析发

5、行版50OxOl前言红蓝对抗的思想最早可追溯到我国现存最早的一部兵书孙子兵法,在孙子谋攻篇有这么F话:知彼知己,百战不殆;”,意为如果对S俄双方的阖兄都能了解透彻,打多少次仗都不会失败。在信息安全领域目前大家都有一个共识:粗口攻,焉知防“,攻防对抗本身是f持续的过程,在具体的对抗中,对对手了解越多就会占据主导地位红蓝对抗的主要目的在于,提高公司安全成熟度及其检测和响应攻击的能力。RedTeamsattack,andBlueTeamsdefend,buttheprimarygoalissharedbetweenthem:improvethesecuritypostureoftheorganiza

6、tion.0x02准备工作D组织结构图2)全网拓扑图3)各系统逻辑结构图4)各系统之间的调用关系5)数据流关系6)核心资产清单7)应急响应计划8)业务连续性计划9)灾难恢复计划0x03简单安全评估1.端口扫描和漏洞检测1.1 主机发现(Ping探测)#nm叩-Sn-PEIP地址或地址段1.2 端口扫描#nmap-openIP地址或地址段1.3 服务版本检测# nmap-sVIP地址或地址段1.4扫描多个端口# nmap-p80,443IP地址或地址段1.5 UDP扫描#nm叩-sU-p53IP地址或地址段1.6 TCP/UDP扫描(-Pn跳过主机发现)#nmap-v-Pn-SU-ST-pU:5

7、3,ll1.I37,T21-25,80,139,8080IP地址或地址段1.7 Nessus扫描#nessus-q-x-Thtml服务器IP服务器端口管理员帐号密码目标txt输出报告.html1.8 OPENVAS扫描# apt-yinstallpcregrep# wgethttps:/goo.gl/TYb1.wE# chmod+xopenvas-automate.sh&./openvas-automate.sh目标IP2. WINDOWS系统篇2.1 网络发现基本网络发现:# C:netview/all# C:netview主机名Ping探测:# C:for/1.%Iin(1,1,254)d

8、oping-w30-n1192.168.1.%Ifind回复输.tt2.2 DHCP启用DHCP服务器日志功能:#C:regaddHK1.MSystemCurrentControlSetServicesDhcpServerParametersvActivity1.ogFIag/tREG_DW0RD/d1默认日志文件目录:C:%windir%System32Dhcp2.3 DNS启用DNS服务器日志功能:# C:DNSCmdDNS服务器名/config/Iog1.eveI08100F331# 配置日志文件目录:C:DNSCmdDNS服务器名/config/1.ogFiIePathC:dns.lo

9、g# 配置日志文件大小:C:DNSCmdDNS服务器名/config/IogfilemaxsizeOxffffffff2.4 哈希值文件校验和完整性验证(FClV):Ref:个文件:C:fciv.exe文件名# 计算C盘所有文件并把结果保存到文件中:C:fciv.exec:-r-shal-xml结果.xml# 列出所有hash值:C:fciv.exe-list-shal-xml结果.xml# certutil&PowerShell# certutil-hashfile文件名SHAl# PSC:Get-FiIeHash文件名Format-1.ist# PSC:Get-FiIeHash-algor

10、ithmmd5文件名2.5 NETBIOSnbtstat扫描# C:nbtstat-A目标IP地址NetBIOS缓存# C:nbtstat-c批量扫描#C:for/1.%Iin(1,1,254)donbtstat-An192.168.1.%I2.6 微软基线安全分析器(MBSA)扫描单个IP# C:mbsacli.exe/targetIP地址/nos+iis+sql+password扫描IP地址段# C:mbsacli.exe/rIP地址段/nos+iis+sql+password3. 1.INUX系统篇3.1 网络发现查看开放的SMB共享# Smbclient-1.目标主机名Ping探测#

11、foripinipdevnull;Misplaced&ipUP:;done3.2 DHCPDHCP日志RHE1./CentOS# catvarlibdhcpddhcpd.leasesDebian/Ubuntu# grep-Eidhcp,varlogsyslog.l3.3 DNSDNS日志#rndcquerylog&tail-fvarlogmessagesgrepnamed3.4 哈希值计算某目录下所有可执行文件的HASH值# findsbin-typef-execmd5summd5sums.txt;# md5deep-rssbinmd5sums.txt3.5 NETBIOSnbtstat扫描#

12、nbtscan目标IP地址或IP地址段举例:nbtscan192.168.1.2-1004. 安全加固4.1 WINDOWS系统篇4.1.1 禁用/停止服务# C:scquery# C:scconfig服务名start=disabled# C:scstop服务名# C:wmicservicewherename=月艮务名callChangeStartmodeDisabled4.1.2 防火墙管理# 列出所有规则:# C:netshadvfirewallfirewallshowrulename=all# 启用或禁用防火墙:C:netshadvfirewallsetcurrentprofilesta

13、teonC:netshadvfirewallsetcurrentprofilefirewallpolicyblockinboundalways,allowoutboundC:netshadvfirewallsetpublicprofilestateonC:netshadvfirewallsetprivateprofilestateonC:netshadvfirewallsetdomainprofilestateonC:netshadvfirewallsetallprofilestateonC:netshadvfirewallsetallprofilestateoff# 配置举例:netshad

14、vfirewallfirewalladdrulename=开放TCP:80端口dir=inaction=allowprotocol=TCPlocalport=80netshadvfirewallfirewalladdrulename=开放TCP:443端口dir=inaction=allowprotocol=TCPlocalport=443netshadvfirewallfirewalladdrulename=屏蔽TCP:445端口dir=inaction=blockprotocol=TCPlocalport=445netshadvfirewallfirewalladdrulename=允许MyAppndir=inaction=allowprogram=C:MyAppMyApp.exeenable=yes4.1.3清除DNS缓存和Netios缓存# C:ipconfig/flushdn

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 户外运动

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!