前言

攻防前两天

攻防前一天

攻防第一天

攻防第二天

攻防第三天

攻防第四天

攻防第五天

前言

信息比较敏感就不放图片和防守方具体的信息了，只写文字记录一下。

第一次打攻防，是某学校的防守方，学校的网络部署有些乱。

IPS、APT比较好用一些

APT只能监控不能阻断流量，可以检测到内网和外网的攻击流量

IPS主要用来阻断流量和-封禁IP，只能看见外网对内网的攻击，

WAF可以阻断流量封禁IP，但是检测很鸡肋

堡垒机，主要被来控制服务器，可以远程进入服务器，不是我在操控

人员组成:~4人

攻防时间：5天

安全设备：WAF（WEB防火墙）、IPS（入侵防御）和APT（态势感知）、堡垒机

攻防前两天

提前了两天过去现场进行摸排

发现了天蝎木马sky.php在远控一个服务器，使用天蝎连接对应的木马成功连接

连上去后是一堆的乱码，输入命令可以返回乱码的内容

域名指向的服务器IP需要找厂商进行确认，到结束了还是没找到那个服务器是哪个。

剩下的时间都在进行外网的资产收集

攻防前一天

在APT上发现了一个天蝎马conn.php，使用天蝎同样可以连上去。

在APT上看见流量的HTTP状态码，对方成功连接了木马。

在APT上又发现了一个木马plug2.php连接上去了一个OA系统

使用堡垒机登录了对应的OA服务器后，根据APT里的流量，到了木马连接的路径下

查看木马内容后发现了几个字:edgnb

发现了有很多的plug1.php、plug.php等等的测试木马，删掉木马的同时攻击者又传了好几个马

然后我们就边删他还边传马，保存了木马和截图

根据流量包找到了上传的接口，把含有对应上传功能的php也保存了，但是被OA加密过了

运维增加了安全策略，隔离了被远控的两个服务器。

写了一下OA系统的溯源报告

上午进行外网的资产收集，下午进行漏洞扫描，大佬提交了一个内网扫描的报告。

在收集资产时，发现内网有一个网络空间安全协会的网站对外开放，而且不在上交资产表中。

隔离了网络空间安全协会的网站。

攻防第一天

运维增加了安全策略，只允许了大陆的IP访问学校网站

同时无法访问除大陆以外的网站

12点多在APT设备上发现有HTTP弱密码连接，查看了一下流量

使用了一个testhv的账户登录学校的学报网站，访问该网站发现可以在线注册账户

立马就在IPS上隔离了该学报网站，但是晚上被通报了学报系统和另一个系统被攻陷了。

14点40分左右在IPS设备上发现了哥斯拉木马的连接告警，有许多条连接请求都通过了

当下就封禁了两三个对应的攻击IP，在APT设备和WAF设备上都没有发现任何的哥斯拉流量威胁日志

因为使用了Nginx反向代理，那个代理设备使用了公网的IP，而且是位于安全设备以外

所以在IPS上面只能检测到那个反向代理的服务器的IP地址

最致命的是IPS上只能看到威胁报警，无法看流量，流量包信息只能在APT或WAF上看

而且IPS不能封禁反向代理的服务器，一封禁就会影响到正常业务，所以只能看着服务器被攻击

15点05分左右在IPS上发现一台10.x.x.内网服务器开始对其他的内网服务器进行漏洞探测

发现了问题后就对该主机进行了断网隔离，之后还发现了一台.x.x.x开头的内网主机开始扫描永恒之蓝漏洞

然后又对.x.x.x的内网主机进行隔离，后来发现分数被扣了

在10.x.x.服务器被隔离之后，使用堡垒机登录上去，发现服务器没有装任何的杀软

安装了D盾和火绒后进行木马查杀，在一个目录下发现了一个ss.exe远控木马

晚上使用学校的vpn连接安全设备，有一些攻击流量在远程连接，当即进行封禁处理。

攻防第二天

早上使用堡垒机登录了大多数的windows设备，安装了火绒并查杀，未发现问题

流量稍微变少了，修改了一下WAF和IPS上对应的检测特征，调高了安全等级

之前有很多高危的攻击请求没有被阻断，现已修改成阻断且封禁其IP到动态黑名单（中危5分钟、高危0分钟）

下午运维发现可以登录上Nginx反向代理的服务器来查看web日志，还没去溯源

优先在服务器安装杀软扫描木马，linux服务器上使用河马进行查杀

晚上发现还是有外网的IP在漏洞扫描，有一些已经被IPS动态封禁了，剩下的是手动封禁

攻防第三天

上午开始对12月1日的10.x.x.服务器攻击进行溯源，另一个被攻陷的系统还是不知道为什么被攻陷

17点0多分发现内网的.x.x.x的几台主机在对10.x.x.x服务器网段进行msf17-永恒之蓝漏洞检测

网段属于内网中学生和老师使用的办公网，防护设备没法监控到

而且IPS上封禁了对应的IP无效果，运维就登录到了核心交换机让网段无法访问服务器网段

推测是网段的学生或老师的主机已经被钓鱼攻陷，网段已经不可信了

晚上看分数时又被扣掉了一些分数

运维建议剩下的两天我们不要同时去学校，他先过去学校，我们再过去

在他路途中，我们两个使用vpn连接安全设备进行监控

攻防第四天

又来了一个运维来帮忙监控，早上的攻击流量很少

下午在IPS设备上发现了一些IP正在攻击一个一卡通网站

14点多一直在利用fastjson漏洞检测一卡通网站，都被IPS阻断并封禁

运维排查后发现一卡通2到个外网IP，我们只能够拦截到其中的一个

16点多发现被扣了几千分，还有ApacheShiro漏洞流量在继续攻击一卡通

攻防第五天

继续远程vpn连接安全设备进行监控，将之前IPS上的动态黑名单里的IP手动设置成了无期限封禁

10点多APT设备上发现了.x.x.x财务处的服务器开始横向攻击10.x.x.x的OA系统，之前没有检测到外网IP攻击财务处的流量，登录了源服务器进行排查

11点在APT上发现.x.x.1在横向.x.x.，将两者都进行了隔离

11点20分之后攻击流量减少，12点结束攻防