2020攻防演练值守部分关注点
字数 3551 2025-08-15 21:31:48
网络安全攻防演练值守关注点详解
一、漏洞类组件
1. Web服务组件
Tomcat
- CVE-2020-1938:需公网开放AJP端口且上传点在webapps目录下
- 关注点:文件上传功能
- Tomcat Console弱口令
- 关注点:账号登录行为
Weblogic
- Xmldecoder反序列化:通过HTTP方式触发
- 关注点:反序列化Gadgets
- T3反序列化:内网利用更有效
- 10.3.6版本建议使用7u21 Gadget
- 12C版本可使用Coherence的Gadget
- 关注点:反序列化Gadgets
- Weblogic console弱口令
- 关注点:账号登录行为
WebSphere
- CVE-2020-4450:IIOP反序列化
- 关注点:反序列化Gadgets
- Admin console弱口令
- 关注点:账号登录行为
JBOSS
- CVE-2017-12149
- 关注点:反序列化Gadgets
- Jboss console弱口令
- 关注点:账号登录行为
2. 框架组件
Spring Framework
- 反序列化漏洞
- 关注点:反序列化Gadgets
Shiro
- 反序列化漏洞
- 关注点:反序列化Gadgets
CAS
- 反序列化漏洞、任意文件读取
- 关注点:反序列化Gadgets
Fastjson
- 反序列化漏洞
- 关注点:反序列化Gadgets
3. OA系统
泛微组件
- E-cology/E-mobile/E-bridge/E-office/E-message
- 关注点:SQL注入、文件上传功能、未公开漏洞
致远OA
- A8/A6
- 关注点:SQL注入、文件上传功能、未公开漏洞
通达OA
- 信息泄露、RCE、未公开0day
- 关注点:SQL注入、文件上传功能
4. 邮件系统
Coremail
- 信息泄露、任意文件读取、RCE、未公开0day
- 关注点:异常代码执行、文件上传请求
亿邮
- 信息泄露、RCE、未公开0day
- 关注点:异常代码执行、文件上传请求
5. ERP系统
金蝶
- 信息泄露、RCE、未公开0day
- 关注点:异常代码执行、文件上传请求
用友
- 关注异常反序列化数据流或base64编码后的反序列化数据流
- 关注点:异常代码执行、文件上传请求
禅道
- 命令执行、代码执行、文件上传
- 关注点:异常代码执行、文件上传请求
6. 站群门户
PHPCMS
- 命令执行、代码执行、文件上传
- 关注点:异常代码执行、文件上传请求
大汉
- 命令执行、代码执行、文件上传
- 关注点:异常代码执行、文件上传请求
二、Webshell类
1. 菜刀(Chopper)
- 版本:20141018后
- 后门类型:PHP/ASP.NET/ASPX/JSP等环境版本
- 特点:默认一句话(6K/149K)、免杀处理、结合代理使用
- 关注点:协议特征+日志
2. 冰蝎(Behinder)
- 版本:v3.0
- 后门类型:PHP/ASP/ASP.NET/JSP等环境版本
- 特点:默认后门较小(1K)、免杀处理、结合代理使用
- 关注点:协议特征+日志
3. reGeorg
- 版本:v1.0
- 后门类型:PHP/ASP.NET/JSP等环境版本
- 特点:默认5K/6K、免杀处理、主要用于代理
- 关注点:协议特征+日志
4. reDuh
- 版本:v0.3
- 后门类型:PHP/ASP.NET/JSP等环境版本
- 特点:默认12K-30K、免杀处理、主要用于代理
- 关注点:协议特征+日志
5. Tunna
- 版本:v1.1
- 后门类型:PHP/ASP.NET/JSP等环境版本
- 特点:默认7K-9K、免杀处理、主要用于代理
- 关注点:协议特征+日志
6. ABPTTS
- 版本:2016
- 后门类型:ASP.NET/JSP/WAR等环境版本(无PHP)
- 特点:默认20K-30K、免杀处理、主要用于代理
- 关注点:协议特征+日志
三、扫描刺探类
1. 系统服务扫描
- 工具:nmap、masscan等
- 目标:识别系统存活、版本、端口开放、服务版本及漏洞
- 关注点:协议特征+频率
2. Web漏洞扫描
- 目标:HTTP/HTTPS服务端口
- 工具:Acunetix WVS、Netsparker等
- 关注点:协议特征+频率
3. 系统扫描(内网)
- 工具:nmap、masscan、metasploit脚本、ICMP/SMB单协议扫描脚本
- 关注点:协议特征+样本+频率
4. Web扫描(内网)
- 目标:HTTP/HTTPS服务端口
- 方法:专用漏洞扫描工具
- 关注点:协议特征+样本+频率
5. 弱口令扫描
- 目标服务:SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、POP3、IMAP、SVN、VNC、Redis等
- 关注点:协议特征+样本+频率
四、0day漏洞类
1. 溢出类
- 示例:MS17-010(Windows SMB漏洞)
- 特点:内网利用为主,直接获取系统管理权限
- 关注点:协议特征+样本+日志
2. 反序列化
- 目标:Web服务(Weblogic、WebSphere等)、中间件和组件(Spring、Shiro、CAS、Fastjson等)
- 关注点:协议特征+样本+日志
3. 代码执行
- 目标:Web应用组件(禅道、PHPCMS、大汉、通达OA、coremail、亿邮等)
- 关注点:协议特征+样本+日志
4. 信息泄露
- 类型:SQL注入、路径遍历等
- 目标:泛微、致远OA、通达OA、coremail、亿邮等
- 关注点:协议特征+样本+日志
5. 漏洞获取
- 方法:存储型XSS诱骗管理员点击
- 目标:获取Cookie和管理权限
- 关注点:特权用户动态+样本+日志
6. 客户端
- 方法:浏览器进程会话、APP应用克隆
- 目标:获取会话权限和用户凭据
- 关注点:特权用户动态+样本+日志
五、管理系统类
1. 运维审计系统(堡垒机)
- 攻击方式:代码执行漏洞、信息泄露、弱口令
- 目标:批量操作管理的主机(如JumpServer)
- 关注点:用户登录动态+行为+日志
2. 运维监控系统
- 目标系统:Nagios、Zabbix等
- 攻击后果:直接下发命令到主机
- 关注点:用户登录动态+行为+日志
3. 云管理平台
- 目标系统:Citrix、VMware ESXi、Azure、阿里云等
- 攻击后果:操作云上虚拟主机
- 关注点:用户登录动态+行为+日志
4. 容器管理平台
- 目标系统:Swarm、Kubernetes、Mesos等
- 攻击后果:操作容器和微服务
- 关注点:用户登录动态+行为+日志
5. 安全管理平台
- 目标系统:态势感知平台、EDR等
- 攻击后果:修改安全策略使防护失效
- 关注点:用户登录动态+行为+日志
六、社工类样本
1. 交互式
- 方法:邮件/电话冒充询问敏感信息
- 特点:不投送后门程序
- 关注点:行为特征+样本
2. 仅信息
- 方法:诱骗点击URL链接
- 特点:只获取浏览器/IP信息
- 关注点:行为特征+样本
3. 后门投放
- 方法:诱骗运行伪装附件(exe/vbs/js等多重扩展名)
- 特点:免杀处理后门
- 关注点:行为特征+样本
4. 漏洞投放
- 方法:诱骗打开含漏洞的Office/PDF文档
- 特点:触发漏洞下载免杀后门
- 关注点:行为特征+样本
5. 广撒网式
- 方法:通过社交媒体发布热点咨询诱骗下载
- 特点:后门免杀、潜伏静默、加入任务计划
- 关注点:行为特征+样本
七、后门类工具
1. Metasploit
- 版本:4.17 Pro
- 后门特点:PE文件<10K、免杀处理
- 协议:内网TCP,外网HTTP/HTTPS/DNS/ICMP
- 关注点:协议特征+频率
2. Cobalt Strike
- 版本:4.1 Licensed
- 后门特点:PE文件<20K、免杀处理
- 协议:内网SMB,外网HTTP/HTTPS/DNS/ICMP
- 关注点:协议特征+频率
3. Core Impact
- 版本:19.1 Pro
- 后门特点:PE文件>200K、免杀处理
- 协议:内网TCP,外网HTTP/HTTPS/DNS
- 关注点:协议特征+频率
4. DanderSpritz
- 版本:1.3.0.0
- 后门特点:PE文件70-150K、模块化、免杀处理
- 协议:内网TCP,外网HTTP/HTTPS/UDP
- 关注点:协议特征+频率
5. lcx(HTran)
- 版本:v1.0
- 后门特点:PE文件约50K、免杀处理
- 用途:Socks代理
- 关注点:协议特征+频率
6. ew(EarthWorm)
- 版本:free 1.0
- 后门特点:PE文件约50K(Linux/Mac约30K)、免杀处理
- 用途:Socks代理
- 关注点:协议特征+频率