红蓝对抗第一期总结

Posted by 跳跳龙 on September 8, 2019

(文章版权归笔者跳跳龙所有,谢绝转载)

内部的红蓝演练,第一次是作为蓝方,主要是负责防守。

  • 登录到服务器上发现常用的linux命令都用不了了,都是显示的当前路径。刚开始以为是讲所以命令的目录给修改了,这样使我找不到usr/bin目录下的那些文件。后来发现红方队员是修改了/etc/bash_rc。

将里面常用的命令都alias成pwd,然后我将其全部注释掉,重新登录就好了。

  • 发现红方在exit的时候并没有清理掉自己的历史命令,发现用户目录下的bash_history文件没有删除。于是我发现了所有红方队员的部署情况和反弹计划任务等。

  • 在另外一台机器上发现部署了web应用,php的。于是利用D盾进行了查杀,发现了几个高危文件(但实际上不是红方队员的webshell)。

  • 红方部署了php扩展门,并且我们在流量系统中没有找到相关的流量,虽然当时也有大量的扫描器产生的日志在混淆。有用的信息同时也被淹没了。

总结:

  • 处理完操作一定要擦干屁股!不要给蓝方留任何你操做过这台机器的蛛丝马迹。
  • 不能过度依赖于hids。有些问题比如实效性,扩展门问题依然发现不了,存在盲区,商业HIDS都有这个问题,估计ossec更是。
  • 流量筛查!红方的扫描器和他真实攻击流量难区分出来。
  • 增加一些偏门的阅历吧!这方面还是太差。

最后,中国男篮今天输给了尼日利亚。这届世界杯之旅我估计所有人都没想到是这个结局!从最开始的科比来抽签,都以为出现稳稳的了。没想到这次奥运会也够呛了,真是心疼阿联啊。祸兮福所倚福兮祸所伏,所有的心痛都能重新造就新的开始吧!我相信,中国男篮依旧有未来!