- 综合排序
- 最热优先
- 最新优先
- 来自专栏鸿鹄实验室
蓝队的反制(2)
还有几天,某大型全国性交友活动就要开始了,特此为蓝队的朋友们献上一篇简单的反制文章。 该方法操作简单,一个wireshark即可操作,但准确性没有之前的准确。 Bytes If Python 3 def C2BIP3(string): if sys.version_info[0] > 2: return bytes([ord(x) for x in string]) else: return string #Convert 2 String If Python 3 def C2SIP3(bytes): bytes #Convert 2 Integer If Python 2 def C2IIP2(data): if sys.version_info[0] > 2: return %d' % (C2IIP2(value[0]), C2IIP2(value[1]), C2IIP2(value[2]), C2IIP2(value[3])) def ToHexadecimal(value
1.1K10发布于 2021-04-01 - 来自专栏潇湘信安
Part 2!蓝队Shodan - 工具篇
事实证明,这些搜索对于蓝队识别可能构成安全风险的异常互联网暴露实例而言是有利的。 在本博客中,我将展示使用 CLI 的 Shodan 搜索,可以系统地遵循该搜索来简化基于 Shodan 的监控。 https://www.python.org/downloads/ 2. Shodan 帐户:如果您还没有,请在官网注册一个 Shodan 帐户。您将需要API 密钥才能使用 Shodan CLI。 port,hostnames,os,country,city --limit 10 最终结果中唯一显示的字段是 IP 地址、端口和主机名,因为 fields 命令不会显示其余数据(我知道很奇怪) 搜索2: 结论 Shodan CLI 是一款功能强大的工具,网络安全蓝队可以使用它来监控其外部网络。您可以使用 CLI 自动执行任务并创建自定义脚本。这对于运行定期网络扫描或收集报告数据等任务很有帮助。 通过使用 Shodan CLI,网络安全蓝队可以以更正式的方式获得对其外部网络的宝贵见解,并通过定期(一天或一周)重复一些命令来识别潜在的安全风险。此信息可用于改善组织的安全状况并防范网络攻击。
1.2K10编辑于 2024-01-24 - 来自专栏潇湘信安
蓝队的反制
还记得前几天,360的一篇文章:浅析CobaltStrike Beacon Staging Server扫描 弄得红队同学很受伤啊,当然,后面L.N等大佬也是给出了相关的解法: 关于CobaltStrike 又或者针对于execute-assembly.的反制,总之,红队是真滴惨。 ? 那么我们今天就继续来迫害红队。首先来科普性的说明几个概念: 什么是stage(stageless)? 什么是Malleable-C2? 这个可以参考公众号之前的文章:Malleable-C2-Profiles配置 而我们在一般的渗透过程中使用的大部分都是stager,并且会进行Malleable-C2-Profiles配置,其中包括重定向 而作为红队的同学,如何去进行对抗呢?想必看到工具源码的该位置,大家就可以明白了: ? 就像绕过CobaltStrikeScan一样,细节只在一点而已。
1.5K20发布于 2021-02-12 - 来自专栏黑战士安全
蓝队面试经验详细总结
配合文件包含4、对文件内容进行绕过1 填充垃圾字符2 免杀5、绕过前端验证1 在浏览器关闭前端 JS 功能2 burp 抓包修改文件包含1、文件包含函数 a include() 、 require 、 2、同源策略内容 主机、端口、协议2、防御 a 验证 referer b 加 token 验证SSRF:服务器请求伪造1、原理 大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制 导致命令执行框架特点:文件后缀名”.action ” “.do”2、例子:S2-062漏洞形成的原因是struts在处理标签的name属性时,将用户输入当作表达式进行二次解释,导致OGNL表达式注入。 s2 046 通过Content-Type这个header头 filename 后面需要00截断,注入OGNL语言,进而执行命令,通过不恰当的 filename 字段或者大小超过 2G 的 Content-Length redis未授权1、redis在6379端口2、写webshell3、写公钥实现免密登录4、写计划任务实现反弹shell5、主从复制getshell
67311编辑于 2024-04-16 - 来自专栏FreeBuf
攻防蓝队技能篇:溯源
—域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 3.3.4 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人 利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销 3.3攻击者画像 3.3.1 攻击路径 攻击目的:拿到权限、窃取数据、获取利益、DDOS等 网络代理:代理IP、跳板机、C2服务器等
1.8K11编辑于 2022-11-14 - 来自专栏kali blog
蓝队安全响应工具FindAll
本文为大家分享一款特别棒的蓝队应急响应工具FindAll。能有效的帮助我们分析网络安全威胁,接下来让我们一起来学习吧。 关于 FindAll是专为网络安全蓝队设计的应急响应工具,旨在帮助团队成员有效地应对和分析网络安全威胁。集成了先进的信息搜集和自动化分析功能,以提高安全事件应对的效率和准确性。
20210编辑于 2025-07-28 - 来自专栏Cyber Security
蓝队中级面试(某蓝某达某中介合集)
前言 近期面试了几家蓝队中级岗位(公司内面),在此做出相关面试题整理及面试总结 某达(蓝中研判) 平时在项目上有做一些研判分析工作吗?(研判工作流程,具体分析那些东西?) When)、攻击范围(Where)以及技术手段、攻击者攻击思路(How)进而构造证据链猜解攻击对象(Who),清除处置(善后处理)以及取证溯源…… 感觉按照这个流程来回答一听就感觉就是背的,emmmm 某蓝 Fastjson反序列化漏洞讲一下 Log4j2漏洞原理讲一下 横向移动方式有哪些? 内网域内主机都存在永恒之蓝漏洞,但是存在天擎EDR,如何利用? Linux机器被打穿了排查思路(攻击机已经开始做内网横向了)? 判断事件类型——>做出临时处置——>排查入侵点——>清理处置——>善后处理——>上线正常服务(取证溯源) CDN隐藏C2地址如何查真实IP?(开始上强度了) 相似问题:域前置如何查、云函数如何查?
51910编辑于 2024-07-18 - 来自专栏ffffffff0x
蓝队视角下Linux信息收集
本文所有操作和截图皆在本地环境下的靶机中进行 前言 上一篇 红队视角下Linux信息收集 我们谈到红队是以提权和后渗透为主要目的而进行的信息收集,本次谈一谈在蓝队应急响应中Linux系统下比较关键的内容 --- 日志 Linux系统的日志功能非常强大且完善,几乎可以保存所有的操作记录,蓝队的信息收集主要就是针对日志的信息收集,先从系统自身的日志来说起。 [2bggo4t24o.png] 用户日志 wtmp 日志记录了用户的登录、退出、重启等情况,可以查看系统是否存在异常用户登录,判断攻击者是否已经登录服务器,由于 wtmp 日志为二进制文件,所以利用用 --- 总结 本文模拟了常见的应急场景,通过各种技术手段,在机器上捕捉红队人员的痕迹,并且排查是否有后门残留。 在实际环境中,会存在各种复杂的场景,特别是针对系统上不同的应用,存在各种隐藏后门的手段,蓝方人员不仅需要掌握系统、应用的加固知识还需要掌握相应的漏洞利用知识,熟悉红队的进攻手段,才可以做到更好的防护。
1.1K61发布于 2020-12-22 - 来自专栏潇湘信安
蓝队Shodan - 语法篇
在本文中,我们将通过一些有趣的示例深入研究 Shodan Searches 的功能,以探索蓝队威胁狩猎,以增强组织的网络安全基础设施防御能力。 第1节 从蓝队的角度来看,暴露在互联网上的 IP 范围可能是一个主要的安全问题。过期的证书、已知的漏洞和暴露的服务都是蓝队在评估暴露的 IP 范围时应该寻找的潜在安全风险。 搜索2:在您的组织中寻找公开的IP摄像机。 “Your Files Have Been Encrypted” 结论 Shodan 是一个有趣的工具,我相信每个蓝队都应该使用它来监控他们的组织。 它可以帮助蓝队识别可能成为安全风险的奇怪的互联网暴露。 在下一部分中,我将讨论 Shodan CLI 和 Shodan API,以将安全监控提升到新的水平。
1.8K10编辑于 2024-01-23 - 来自专栏一个安全研究员
红队和蓝队都关心的东西在这儿了
在最近的一次红队行动中,我们发现目标装有老版本的Apache Axis(1.4)。现在较新的有Apache Axis2, Apache CXF,和Metro等。 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。 2.对http://ip:port/secure/admin/SendBulkMail! 2.配置受信任的源才能访问该服务。 2.设置当前产品的控制台登录IP地址白名单限制。
2.4K20发布于 2021-04-09 - 来自专栏AI SPPECH
55:L应用AI红队演练:蓝队的防御测试
本文深入解析L如何通过AI驱动的攻击模拟、漏洞发现和防御评估,提高蓝队防御能力,为数字世界的安全保驾护航。 目录: 1. 背景动机与当前热点 2. 核心更新亮点与全新要素 3. 这促使我开始构建自己的AI红队演练系统,以应对基拉的复杂攻击。 2. 核心更新亮点与全新要素 本节核心价值:了解L构建的AI红队演练系统的核心创新点,以及这些创新如何提升红队演练的效果。 更智能的攻击模拟 未来的AI红队演练系统将具备更强大的攻击模拟能力,能够模拟更加复杂的攻击场景,包括高级持续性威胁(APT)攻击。 2. 实时攻击检测 未来的AI红队演练系统将能够实时检测和分析攻击,提供实时的防御建议,帮助蓝队团队快速响应攻击。 5. , 防御测试, 智能攻击路径, 对抗性模拟, 弱点发现, 蓝队防御, 安全测试
18810编辑于 2026-03-30 - 来自专栏字节脉搏实验室
【蓝队利器】溯源反制之Mysql蜜罐
前言 很快又是各种攻防演练了,每到这个时候,本公众号都会给红蓝双方的小伙伴们放送一点福利。虽然本号内容更新比较佛系,但是还是感谢诸位一直的关注。
1.2K30发布于 2021-04-20 - 来自专栏信安之路
蓝队反入侵工作经验分享
那就要先知道什么是入侵行为,这里的入侵主要指通过各种方式进入企业公司内部,获取权限,盗取数据的行为,也就是咱们通常所说的红队的成功的入侵行为,而反入侵的存在就是为了防止红队成员成功获得内部权限、盗取敏感数据 必须要了解攻击者的入侵是怎么做的才能做好反入侵的工作,业界知名的 ATT&CK 框架将攻击者的整个链条进行拆解,很多商业的 APT 防护产品也在对照其进行技术研究,开发针对性的检测能力,关于框架内容可以参考官方内容,也可以看我之前整理的《聊一聊我对红蓝对抗的理解 了解红队的看到上面的内容,应该也知道说的是什么,基于这个,站在防御者的角度,思考如何进行防御,如何反入侵,如图: ? 在攻击者实施攻击之前,我们要对所要保护系统进行风险梳理,识别那些显而易见的漏洞或者弱点,比如边界应用的漏洞、VPN 和 wifi 是否有强认证、主机服务器是否做了加固、内部各类系统服务是否存在弱口令等 2、
1.3K40发布于 2021-03-25 - 来自专栏FreeBuf
蓝队视角下的企业安全运营
上一篇《红队视角下的企业安全运营》主要从红队的视角出发,向大家实战化演示了企业在红蓝对抗中所暴露出的一些攻击面,这些攻击面对于企业来说,是致命的,笔者之所以通过红蓝对抗实践来讲企业安全,是因为网络安全的本质就是一场 下面笔者将尝试换一个视角——从蓝队视角出发,和大家聊聊实战化的应急响应及处置溯源案例,以此方式发现企业安全运营过程中的薄弱项,从而提出安全风险规避方法,为企业安全运营者提供更多思路。 1、蓝队应急响应处置案例 一、发现及研判组 【攻击成功分析及举证】 处置建议:排查可疑进程与TCP连接。 2、蓝队阻击红队的常用手段 蓝队是企业安全的守门员,既守护着企业安全的第一道防线,又保卫着企业安全的最后一道防线,因此,建议蓝队常态化的从攻击者实战视角去加强自身的安全防护能力,俗话说,未知攻焉知防,只有全面了解敌人的路数 蓝队应对红队的常用策略可总结为:防范被踩点 、收敛攻击面 、立体防渗透 、全方位防护核心、全方位监控 防范被踩点:首先要尽量防止本单位敏感信息泄露在公共信息平台,加强人员安全意识,不准将带有敏感信息的文件上传至公共信息平台
67820发布于 2021-10-11 - 来自专栏释然IT杂谈
【Tools】蓝队IP封禁太繁琐?告别手动封禁,蓝队必备 高效IP 封锁工具,强烈推荐!
在日常安全防御中,快速、高效地进行IP封禁是蓝队的重要工作。为此,我们推荐一款实用、便捷的封禁辅助工具 —— BT_SuperTools! 工具简介 BT_SuperTools(蓝队IP封禁Tools工具)是一款专为蓝队安全人员设计的统一IP封禁管理工具,支持多品牌防火墙设备的集中管理,极大提升了封禁效率与操作体验。
40310编辑于 2025-06-27 - 来自专栏AI SPPECH
2:L用监督学习对抗入侵:蓝队的证据链分析
背景动机与当前热点 2. 核心更新亮点与全新要素 3. 技术深度拆解与实现分析 4. 与主流方案深度对比 5. 工程实践意义、风险、局限性与缓解策略 6. 未来趋势与前瞻预测 1. 背景动机与当前热点 本节核心价值:理解为什么监督学习成为蓝队对抗入侵的有力工具,以及当前监督学习在入侵检测领域的应用现状。 在与基拉的对抗中,每一次攻击都留下了痕迹。 2. 核心更新亮点与全新要素 本节核心价值:揭示2026年监督学习在入侵检测中的最新应用和技术突破,以及如何构建有效的证据链。 检测速度 适应能力 可解释性 基于规则 70-80% 20-30% 快 差 强 无监督学习 80-85% 15-20% 中 中 弱 监督学习 90-95% 5-10% 中 强 中 混合方法 95-98% 2- 1.3.0+ pandas 2.0.0+ numpy 1.24.0+ 足够的计算资源(建议至少8GB内存) 关键词: 监督学习, 入侵检测, 证据链分析, 特征工程, 模型训练, 多阶段攻击, 网络安全, 蓝队防御
9910编辑于 2026-03-25 - 来自专栏Timeline Sec
HW|蓝队实战溯源反制手册分享
对开放端口进行识别 nmap -p 3389,3306,6378 -Pn IP 端口对应漏洞: https://blog.csdn.net/nex1less/article/details/107716599 2、 定位IP网站: https://www.opengps.cn/Data/IP/ipplus.aspx 3、得到常用ID信息收集: (1) 百度信息收集:“id” (双引号为英文) (2) 谷歌信息收集 5、跳板机信息收集(触发): 进入红队跳板机查询相关信息 如果主机桌面没有敏感信息,可针对下列文件进行信息收集 last:查看登录成功日志 ?
3.1K41发布于 2020-09-15 - 来自专栏ffffffff0x
安全蓝队 : windows日志检索和分析
开始-运行,输入 eventvwr.msc 打开事件查看器,查看日志 [1.png] 可以看到,事件查看器将日志分成了2大类,windows日志、应用程序和服务日志,windows日志中又有应用程序、安全 默认位置: %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.evtx [2.png] 事件级别 在事件日志中有5个事件级别。 对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。 --- 本文作者 r0fus0d
4.2K21发布于 2021-01-06 - 来自专栏网络安全abc123
蓝队第3篇:Shiro反序列化数据包解密及蓝队分析工具,提供下载
Part1 前言 这个小工具的编写源于一个HW蓝队项目,我曾经作为蓝队人员值守了2周,期间发现很多蓝队人员对于反序列化系列漏洞原理不清楚,导致对设备告警的各种反序列化攻击不能有效地研判,也就是说不能底气十足地告诉客户 2. 即便解密出明文数据包,很多蓝队工作人员并不了解java反序列化漏洞,辨别不出明文数据包里是正常的Java类,还是攻击者所用的恶意Java类。 3. Part2 研究过程 原理分析 shiro反序列化攻击行为不能有效分析的原因,主要是由于这种攻击行为需要提前知道一个key值,攻击者用这个key值把含有攻击行为代码的数据包进行加密,也就说蓝队人员需要有这个 关注“网络安全abc123”公众号后,回复数字“1111”,即可得到此蓝队工具的下载地址。后期我会继续维护这个蓝队小工具,大家有什么好的建议或者想法,可以给我留言。 各种Java反序列化攻击,需要蓝队工作人员对Java漏洞有一些了解,不然遇到各种变形的payload,很难有效地研判攻击行为。 2.
1.6K20编辑于 2022-07-01 - 来自专栏潇湘信安
蓝队自动化分析应急响应工具
工具介绍 FindAll工具是专为网络安全蓝队设计的应急响应工具,旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能,以提高安全事件应对的效率和准确性。 快速异常识别与响应 提供即时的异常检测和响应建议,帮助蓝队迅速应对威胁。 用户友好界面 界面设计简洁直观,适合各水平的蓝队成员。 简洁明了,适合各水平用户,包括网络安全领域新手。
46910编辑于 2024-03-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号