网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
某一线实验室实习
流量分析案例-ftp反弹定时确认包中向外输送流量
流量分析中如何确定恶意流量
1、确定事件类型(确定什么攻击事件,如何sql注入与FRP的流量分析步骤不同)
2、确定事件的时间,首先划分一个时间段
3、确定数据流,判断是HTTP、SSL、TCP等
4、分析是内网-》外网 还是外网-》内网
内网-》外网 分析外网IP流量,查看异常行为
外网-》内网 这种情况一般是拿下外网服务器作为跳板机,着手分析内网受害服务器
5、确定攻击行为后,再深入分析流量并进行应急响应,去除误报内容
6、数据包大小也是分析条件,分析SSL数据包时需要解密
爆破攻击-特征 smb\ssh、MSSQL等协议比较多,看包的大小,成功登录的包很大
看ACK,SYN的次数,如果成功至少20次以上,放到科来上为40次以上,但是需要去掉失效包和重传包(注意加密流的ack和syn包也很多,为客户端一次,服务端一次)
重传攻击-特征 如果一个数据包非常大,几个G或者一个G,则需要考虑数据包是否进行了重传,然后查看数据包的重传数,如果短时间重传数非常多,就为机器操作,判定为攻击。
7、攻击复现 我们发现一个攻击之后(如平台登录后的sql注入),我们可以流量回溯设备抓取到被登录用户的账户密码,登录平台后利用攻击样本中的payload进行测试,看看是否攻击成功,以此 来决定是否进行防御加固
红队实战中遇到的问题 通过exp拿下锐捷路由器的webshell,但是无法反弹
解决方案:及时复盘,思考问题所在,进行项目闭环
推测可能该站点存在站库分离,只能拿下webshell权限
如何快速定位资产
fofa 钟馗之眼 撒旦 Google hack 相关注册信息
如何在资产中快速确定漏洞
扫描器扫过一遍 如果成功patch,就可以准备exp进行攻击
fofa等引擎上进行针对性搜索,看目标站点是否存在特定的cmd或oa系统 如果存在特定的cms或者oa系统,则可以进行源码审计or信息收集到exp进行攻击
扫描中遇到IP被封禁如何处理
IP代理池 5g
是否了解过国家HVV中红队的隐藏流量过防火墙的相关技术呢
打点有什么技巧吗
除了收集特定的OA指纹,还会收集资产里的邮件系统,进行信息收集尝试登录邮件系统,搜集各种配置文件,数据库文件登录网站后台
流量分析案例与恶意流量检测方法论
一、恶意流量判定流程与FTP反弹定时确认包分析
事件类型判定
- FTP反弹攻击(Bounce Attack):攻击者利用FTP协议的PORT命令将数据通过受害者服务器转发到第三方目标,常用于隐蔽数据传输或绕过防火墙。
- 与SQL注入/FRP流量差异 :
- SQL注入:流量中可见异常SQL语句(如
UNION SELECT、' OR 1=1)及HTTP请求参数篡改。- FRP内网穿透:流量特征为高频TCP长连接,目标端口与外网代理服务器关联。
- FTP反弹关键指标 :
- PORT命令指向非常规IP/端口;
- 定时确认包(如心跳包)中夹杂非FTP协议数据(如加密内容或二进制载荷)。
时间轴与数据流分析
- 时间段划定:通过统计流量峰值(如凌晨低负载时段突发流量)或告警日志定位可疑窗口(如案例中的20:21前后时段)。
- 协议识别 :
- FTP控制流(TCP/21)与数据流(动态端口)分离,需关联分析;
- 加密SSL/TLS流量需结合证书指纹(如自签名证书)和会话持续时间判断异常。
- 内外网流向 :
- 内网→外网:检查目标IP是否为已知C2服务器(如VirusTotal威胁情报匹配);
- 外网→内网:分析内网服务器响应模式(如异常端口开放或服务版本暴露)。
攻击行为深度分析
- 数据包特征 :
- 爆破攻击:SMB/SSH协议中连续SYN+ACK重试(如20次以上),成功登录包含完整认证载荷(>500字节);
- 重传攻击:单个TCP流中重复序列号占比超30%,或短时间内多IP发起相同载荷传输。
- 误报排除:过滤CDN节点流量、P2P协议等合法大流量场景。
攻击复现与防御验证
- 流量回溯:通过Wireshark提取SQL注入Payload或FTP传输文件,复现漏洞利用链;
- 防御加固:对FTP服务器禁用PORT命令,或部署协议内容审计规则(如Suricata规则集)。
红队实战问题拆解
二、锐捷路由器Webshell反弹失败问题
根本原因
- 站库分离架构:Webshell仅控制Web前端,数据库或核心业务系统位于独立内网;
- 防火墙策略:出站流量被ACL规则拦截(如仅允许80/443端口);
- 权限限制:Webshell执行环境受限(如Docker容器或无网络命名空间权限)。
闭环解决方案
- 权限提升:通过内核漏洞(CVE-2021-4034等)突破沙箱;
- 隧道构建:使用DNS/ICMP隧道或HTTP伪装代理(如reGeorg)绕过防火墙;
- 横向渗透:利用路由器作为跳板,扫描内网数据库服务器(如MySQL默认端口3306)。
资产定位与漏洞挖掘技巧
三、快速定位与漏洞验证
资产测绘工具
- FOFA :语法
title="锐捷网络" && country="CN";- Google Dork :
filetype:conf intext:"database_password" site:example.com;- 被动DNS:通过SecurityTrails查询历史解析记录,发现隐藏子域名。
漏洞高效验证
- 扫描器结合人工研判:Nessus扫描结果需人工验证误报(如CVE-2023-1234误判);
- CMS漏洞利用链 :例如泛微OA的
/mobile/plugin/changeUserInfo.jsp未授权上传漏洞。
对抗封禁与隐蔽通信技术
四、IP封禁绕过与HVV隐蔽技术
IP代理策略
- 动态代理池:使用云函数(如AWS Lambda)生成临时出口IP;
- 5G CPE设备:通过SIM卡切换快速更换公网IP。
国家HVV隐藏技术
- 协议伪装:将C2流量封装为云服务API(如阿里云OSS文件上传);
- 时间域混淆:心跳包按工作日历发送(如仅在工作时间活跃);
- 加密算法:使用TLS 1.3+AEAD模式,规避深度包检测(DPI)。
红队打点高阶技巧
邮件系统突破
- 钓鱼凭证收集:通过HaveIBeenPwned验证目标邮箱是否泄露;
- OAuth滥用:伪造企业微信/钉钉应用授权,绕过双因素认证。
配置文件泄露利用
- 源码仓库扫描 :GitHub搜索
config.yml password,提取数据库凭据;- 备份文件爆破 :使用Dirsearch扫描
.bak、.zip历史备份。
总结流程图
plaintext
攻击链闭环路径: 资产测绘 → 漏洞验证 → 权限获取 → 隐蔽通信 → 横向移动 → 数据渗出 关键技术节点: - FOFA指纹定位 → CVE漏洞利用 → Webshell/Tunnel → 加密流量伪装 → 内网协议攻击(如LLMNR投毒)