摘要:
以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。 01、攻击篇 针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的 阅读全文
摘要:
这是一份开源安全项目清单,收集了一些比较优秀的开源安全项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。 项目收集的思路: 一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。另一个是来自企业安全能力建设的需求,根据需求分类,如 阅读全文
摘要:
GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎 阅读全文
摘要:
Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。 (1)攻击场景 在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。 将默认的Kubernetes-dashboard绑定cluster 阅读全文
摘要:
通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。 (1)攻击场景 使用kubectl proxy命令设置API server接收所有主机的请求。 kubectl --insecure-skip-tls-verify proxy --accept- 阅读全文
摘要:
etcd 用于存储K8s集群中的所有配置数据和状态信息,如果管理员配置不当,导致etcd未授权访问的情况,那么攻击者就可以从etcd中获取secrets&token等关键信息,进而通过kubectl创建恶意pod从而接管集群。 (1)攻击场景 将client-cert-auth=true 改为fal 阅读全文
摘要:
kubelet会在集群中每个节点运行,对容器进行生命周期的管理,如果kubelet配置不当,攻击者可创建恶意Pod尝试逃逸到宿主机。 (1)攻击场景 anonymous默认为false,修改为true,并将mode从Webhook修改为AlwaysAllow。 vi /var/lib/kubelet 阅读全文
摘要:
API Server 是集群的管理入口,任何资源请求或调用都是通过kube-apiserver提供的接口进行。默认情况下,API Server提供两个端口服务,8080和6443,配置不当将出现未授权访问。 8080端口,默认不启动,无需认证和授权检查,一旦暴露将导致未授权访问。 6443端口,默认 阅读全文
摘要:
1、环境配置 (1)添加主机名称解析记录 cat > /etc/hosts << EOF 192.168.44.200 master01 master01.bypass.cn 192.168.44.201 node01 node01.bypass.cn 192.168.44.202 node02 n 阅读全文
摘要:
在渗透测试过程中,我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里,甚至可能是在K8s集群环境的一个pod里,我们应该如何快速判断当前是否在容器环境中运行呢? 当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也 阅读全文
摘要:
01、问题描述 使用kubectl get cs查看K8s组件状态,发现scheduler和controller-manager状态为Unhealthy,但集群可以正常使用。 [root@k8s-master ~]# kubectl get cs Warning: v1 ComponentStatu 阅读全文
摘要:
随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。 容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析 阅读全文
摘要:
01、环境准备 (1)安装docker和docker-compose (2)下载harbor离线安装包 下载地址:https://github.com/goharbor/harbor/releases 02、安装harbor (1)修改配置 cp harbor.yml.tmpl harbor.yml 阅读全文
摘要:
1、准备条件: 注册企业微信--创建应用,获取相关的corpId 和secret等信息。 2、编写python脚本,使用Python实现企业微信通知功能,可自定义告警信息。 代码demo: #!/usr/bin/python # -*- coding: utf-8 -*- import sys,gz 阅读全文
摘要:
最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。 01、利用方式 (1)在已经获得权限的Windows服务器上,使用msiexec安装openssh,一行命令静默安装,不需要任何设置。 msiexec /i "http:// 阅读全文
摘要:
01、问题描述 使用Splunk DB Connect 连接SQL Server数据库读取数据时,报错信息如下:驱动程序无法使用安全套接字层(SSL)加密建立与SQL Server的安全连接。 The driver could not establish a secure connection to 阅读全文
摘要:
以Docker+K8s为代表的容器技术得到了越来越广泛的应用,从安全攻防的角度,攻击者已经不再满足于容器逃逸,进而攻击整个容器编排平台,如果可以拿下集群管理员权限,其效果不亚于域控失陷。 在云原生安全攻防的场景下,甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具,带你一 阅读全文
摘要:
01、问题描述 使用Splunk DB Connect 连接MySQL数据库读库时,报错CLIENT_PLUGIN_AUTH is required,如下图: 02、原因分析 根据报错信息,查阅相关资料,了解到报错原因:目标数据库为MySQL 5.7,使用的mysql-connector-java- 阅读全文
摘要:
通过自定义SPL命令关联微步情报数据,效果如下: 1、安装splunk-sdk cd /data/splunk/etc/apps/search/bin pip3 install -t . splunk-sdk 2、自定义脚本开发 [root@SIEM-P-VC-A001 bin]# more thr 阅读全文
摘要:
一、简介 K8s部署主要有两种方式: 1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。 本文通过二进 阅读全文
摘要:
1、简介 K8s部署主要有两种方式: 1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。 本文通过ku 阅读全文
摘要:
01、简介 假设服务账号配置了到域控的约束性委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。 基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。 02、利用方式 (1)通过powershell添加test用户到k 阅读全文
摘要:
01、简介 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改,从而发现可疑的基于资源的约束委派攻击。 02 阅读全文
摘要:
域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动,攻击者可通过利用委派攻击获取域管理员权限。 域委派主要分为三种: 非约束性委派 约束性委派 基于资源的约束性委派 在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。 01、非约束委 阅读全文
摘要:
01、现象描述 某应用系统,服务器IP地址:10.224.252.34 ,重启服务器后,同网段10.224.252.0/24 可以正常访问到服务,其他192.168.0.0 网段都无法访问到服务。 02、登录排查 登录服务器查看路由表信息,eth3对应10.224.252.0/24,eth2对应19 阅读全文
摘要:
第一章:安全与风险管理 1.1 安全基本原则(CIA) 机密性(Confidentiality) 加密静止数据(整个磁盘、数据库加密) 加密传输(IPSec、SSL、PPTP、SSH)中的数据 访问控制(物理和技术的) 完整性(Integrity) 散列(数据完整性) 配置管理(系统完整性) 变更控 阅读全文
摘要:
01、简介 SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时 阅读全文
摘要:
01、简介 AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制Admi 阅读全文
摘要:
01、简介 每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。 02、利用方式 阅读全文
摘要:
01、简介 每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目 阅读全文
摘要:
01、简介 Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录,它只存在于内存中,如果域控制器重启,注入的 Skele 阅读全文
摘要:
2023年,如约而至。 回到老家过年,看着许多熟悉的人、熟悉的房子,总感觉一切都好像在昨天。 内心难得平静,终于可以停下脚步,去复盘一下自己这一年的经历,收拾一下心情,重新出发。从这几个方面,简单聊聊关于生活,工作和学习。 01、生活篇 日复一日的生活,似乎很难找到值得回忆的东西,间接性迷茫在杂乱的 阅读全文