tcpcopy镜像流量导入waf的踩坑之旅

三种场景

​ tcpcopy+intercept是一种常见的做压测的技术,同样基于它的原理,我们也可以用来部署waf,即利用tcpcopy+intercept将http请求转发到waf机器上,来实现几乎无业务影响的旁路部署技术。
我总共遇到了以下三种场景:

  • 传统网络架构;waf+intercept分别部署服务器
  • 传统网络架构;waf+intercept部署同一台服务器
  • 阿里云vpc网络;waf+intercept部署同一台服务器
    在这个过程中,两种网络特点、两种业务场景下就会有不同的方案。
    传统网络架构提出来主要是和阿里云vpc网络做区分。在传统场景下,所有服务器及路由器均有虚拟化服务器承担,而vpc网络中,二层三层的配置都要看阿里云的实现及结构,而一些不同的点给我们的方案带来了一些适配上的挑战。
more >>

展开全文 >>

溯源SiteServer5疑似在野0day

发现

​ 客户公司有一台比较陈旧的winserver2008,上面跑着非常陈旧的SiteServer5.0,光是这几年处理被1day攻击,各种传马,小马拖大马应接不暇,隔几个月就要在这个跑马场里陪攻击者们冲刺一波,甚是精彩。比如这次溯源review也是非常精彩的。

review梳理攻击过程及各部分安全设备部署的表现

​ review的流程图大致如下:

流程图 (3)

more >>

展开全文 >>

ELK+kafka踩坑记.md

​ 本次的背景是在与组内同学对接口时发现的两个坑点,感觉排查问题的过程蛮有意思的,记录一下。本次的背景是将蜜罐数据从kafka读到ES中,主要进行了两项内容,第一是logstash从kafka里读取数据,第二是用kibana把geo地址数据作成maps系列的图。

一、 Logstash对接kafka配置

​ 在熟悉kafka配置的同学的指导下,上来我就从文档里摘了一部分与kafka的配置,开始冲:

1
2
3
4
5
6
7
8
9
10
11
12
13
input{
      kafka{
        bootstrap_servers => "domain:9093"
        client_id => "test"
        group_id => "test"
        auto_offset_reset => "latest"
        consumer_threads => 2
        topics => ["honeypot","sniffer"]
        ssl_truststore_location => "/opt/logstash/config/kafka/truststore.jks"
        ssl_truststore_password => "123456"
        jaas_path => "/opt/logstash/config/kafka/kafka_client_jaas.conf"
        }
}

疑难现象: 客户端logstash正常启动,有一条报错信息不断重复,在网卡上可以监听到与kafka服务器的通信。

more >>

展开全文 >>

nginx+modsecurity-waf旁路部署

背景

​ 通过nginx的镜像流量及modsecurity开源waf相互配置,来达到Waf旁路部署的效果,搭建环境做了测试记录,一方面为了符合等保规范,另一方面也是为了推动安全建设。

FAQ: 为什么不直接串行部署?

​ 首先,企业对生产网的流量出错容忍度其实很低,一切都要给生产让路,毕竟有了饭吃才能谈其他的,常用的串行部署都是为了能够实时封禁,这样一旦发生误报误封,一分钟造成的损失都是难以估量的,可如果把串行部署的waf改为只记录,不封禁的配置的话,waf就仅仅起到了影响了server处理速度的作用,不如旁路部署来的灵活,因此常见的银行证券类实时性要求较高的企业里,waf设备的部署都是旁路。

测试环境: centos7+nginx 1.17.5+modsecurity 3.0

more >>

展开全文 >>

Ossec

OSSEC的C/S架构部署+ELK的可视化展示

一、软件版本

1
2
3
4
5
6
7
ELK-RPM:
elasticsearch-7.5.1-x86_64.rpm
logstash-7.5.1.rpm
kibana-7.5.1-x86_64.rpm
OSSEC:
ossec-hids-3.6.0.tar.gz
ossec-agent-win32-3.6.0-14066.exe
more >>

展开全文 >>

mysql-udf提权

最近在一次授权测试中,从配置文件里读到了mysql的密码,连进去以后使用sqlmap想提权,但却始终没法提权,后来在锥宝宝的指导下复现了一下,大概搞明白了。

0x01 攻击模板

名称 详细描述
PreCondition 网络层:外网可以访问到mysql数据库服务;
应用层:1. 攻击者拿到了mysql数据库root账号和密码 2.secure-file-priv目录无限制;3. 启动MySQL的用户强制指定为root,而不是默认
PostCondition(权限提升) P(mysql-root)->P(linux-root)
Vuln mysql-user-define-function

这里注意mysql的root账户和root启动mysql是两码事,后面会再说。

more >>

展开全文 >>

对CMCC一键登录过程的分析与思考

一、背景

最近越来越多的运营商推出了一款新的业务:一键登录和号码认证功能,面向解决的痛点问题是之前各类身份认证逻辑,存在信息传输过程不安全、验证逻辑容易被绕过、甚至接口被爆漏洞导致被拖库等等,大厂商如CMCC、电信联通等都推出了一键登录业务,用运营商自身信息优势提供电信级别的认证方案,可以预测将来会越来越火。从上游厂商直接拿解决方案似乎已经成为了一种发展趋势。作为信息安全专业的学生,我本着学习的态度打开文档和APK,学习CMCC老大哥协议设计的安全理念,此处记录一下我的学习笔记,仅作学习使用。

more >>

展开全文 >>

rsyslog-ElK

一、五分钟搭好ELK

搭ELK从入门到放弃是一个痛苦的过程,从开始面对一堆报错毫无头绪到后来非常熟练轻松是一个成长的过程,这里总结一下centos快速起ELK的方法。

首先是下载,很多人其实ELK卡在下载这一步就没了,国内的下载速度即使挂上vpn也慢的离谱,但是用AMZ的国外速度其实是非常非常快的,平均60M的速度简直不要太爽,建议用AMZ云先down下来,再从AMZ上down下来,这样速度也可以达到几M每秒。HH,贴一张图。

more >>

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true