bloodzer0 https://wechat2rss.xlab.app/feed/1861774bb3091197d2b5b99ea778ced110751b8e.xml 不是从0开始,而是从1开始! (wechat feed made by @ttttmr https://wechat2rss.xlab.app) (bloodzer0) https://wx.qlogo.cn/mmhead/Q3auHgzwzM7dhwFShKwxoGOOTSHyicviawdKjyHF1jIctuTo7YL23Pww/0 bloodzer0 https://wechat2rss.xlab.app/feed/1861774bb3091197d2b5b99ea778ced110751b8e.xml Harbor私有镜像仓库 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247484074&idx=1&sn=7013f6cf0d874319fd7ec524cb3df2c4 2022-10-10 17:31 四川


阅读原文

跳转微信打开

]]> Mon, 10 Oct 2022 17:31:00 +0800 儿童节快乐 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247484019&idx=1&sn=aa5de1af58adbc578e00513930f4320f 儿童节快乐,快乐的我遭遇了不开心,电脑硬盘损坏!部分自己写的重要文档丢失(本身由于最近家庭原因停更了,所以停 bloodzer0 2020-06-01 17:26

儿童节快乐,快乐的我遭遇了不开心,电脑硬盘损坏!部分自己写的重要文档丢失(本身由于最近家庭原因停更了,所以停

儿童节快乐,快乐的我遭遇了不开心,电脑硬盘损坏!部分自己写的重要文档丢失(本身由于最近家庭原因停更了,所以停更更长时间!)


阅读原文

跳转微信打开

]]> Mon, 01 Jun 2020 17:26:00 +0800 SonarQube实现自动化代码扫描 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483990&idx=1&sn=23ed7ebac98f73f98242a43c0933660b 记录使用SonarQube实现DevSecOps中代码扫描的经历 原创 bloodzer0 2020-04-27 20:35

记录使用SonarQube实现DevSecOps中代码扫描的经历

SonarQube官网地址:https://www.sonarqube.org/ 
SonarQube安装



Centos7安装SonarQube
# 解决依赖,SonarQube7.9必须是java11才可以运行yum install java-11-openjdk.x86_64 java-11-openjdk-devel.x86_64 -y
# 安装PG数据库,新版本已经不支持MySQL了wget https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpmrpm -ivh pgdg-redhat-repo-latest.noarch.rpmyum install postgresql10.x86_64 postgresql10-server.x86_64 postgresql10-libs.x86_64 postgresql10-libs.x86_64 postgresql-jdbc.noarch -y
# 初始化PG/usr/pgsql-10/bin/postgresql-10-setup initdb
# 允许本机连接vim /var/lib/pgsql/10/data/pg_hba.conf
# 启动PGsystemctl enable postgresql-10.servicesystemctl start postgresql-10.service
# 配置PGsu - postgrespsql
# 将template1取消设置为模板UPDATE pg_database SET datistemplate = FALSE WHERE datname = 'template1';
# 删除template1DROP DATABASE template1;
# 重新创建template1,并设置默认编码CREATE DATABASE template1 WITH TEMPLATE = template0 ENCODING = 'UTF8';
# 将template1重新设置为模板UPDATE pg_database SET datistemplate = TRUE WHERE datname = 'template1';
# 创建用户create user sonarqube with password 'sonarqube';alter role sonarqube login;
# 创建数据库create database sonarqube encoding='UTF8' owner sonarqube;
# 创建用户useradd sonarqubepasswd sonarqubesu - sonarqube
# 安装SonarQubewget https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-8.0.zipunzip sonarqube-8.0.zip && cd sonarqube-8.0
# 修改配置文件vim /home/sonarqube/sonarqube-8.0/conf/sonar.properties
sonar.jdbc.username=sonarqubesonar.jdbc.password=sonarqubesonar.jdbc.url=jdbc:postgresql://127.0.0.1/sonarqube
# 配置Java版本# 由于8.0需要Java11,但是安装PG10的时候系统会默认安装Java1.8,所以需要配置Java地址vim /home/sonarqube/sonarqube-8.0/conf/wrapper.conf
# 我是yum安装的java11,如果大家是配置或者编译的需要使用对应的java地址wrapper.java.command=/usr/lib/jvm/java-11-openjdk-11.0.6.10-1.el7_7.x86_64/bin/java
# 启动服务./bin/linux-x86-64/sonar.sh start访问:http://10.10.10.12:9000,账号密码:admin/admin。
ES启动报错

  • 报错信息如下:

[1]max file descriptors [4096] for elasticsearch process is too lowincrease to at least [65535][2]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

  • 解决方案如下:

vim /etc/sysctl.conf
# 添加如下内容vm.max_map_count=655360
# 立即生效sysctl -p
vim /etc/security/limits.conf
# 添加如下内容*       soft    nofile  65536*       hard    nofile  65536
# limits不需要重启,但是需要重新登录
注意:内存至少应该大于3G,否则容易出现ES不报错,但是自己停止运行。
 
Centos7安装SonarScanner
# 下载SonarScannerwget https://binaries.sonarsource.com/Distribution/sonar-scanner-cli/sonar-scanner-cli-4.2.0.1873-linux.zip
unzip sonar-scanner-cli-4.2.0.1873-linux.zip -d /home/sonarqube/
SonarScanner执行扫描

  1. SonarQube管理⻚面创建一个Token68bec86cee8ec9a9ad8621592670c9939e6ba71e

  2. 执行扫描

/home/sonarqube/sonar-scanner-4.2.0.1873-linux/bin/sonar-scanner -Dsonar.host.url=http://127.0.0.1:9000 -Dsonar.login=68bec86cee8ec9a9ad8621592670c9939e6ba71e -Dsonar.projectKey=java-sec-code_scanner -Dsonar.java.binaries=/home/sonarqube/projects/java-sec-code
此时的扫描结果如下:

 
SonarQube集成FindBugs
Sonar-FindBugs GitHub地址:https://github.com/spotbugs/sonar-findbugs/releases/
集成方式有两种:

  • 应用市场中下载安装

  • GitHub下载jar文件放置到SonarQube的插件目录中

如果SonarQube集成了FindBugs,调用SonarScanner进行扫描时,必须对Java项目进行打包后再执行扫描。
使用FindBugs配置扫描
下图是SonarQube质量配置⻚面:

mvn clean package -DskipTests
/home/sonarqube/sonar-scanner-4.2.0.1873-linux/bin/sonar-scanner -Dsonar.host.url=http://127.0.0.1:9000 -Dsonar.login=68bec86cee8ec9a9ad8621592670c9939e6ba71e -Dsonar.projectKey=java-sec-code_findbugs -Dsonar.java.binaries=/home/sonarqube/projects/java-sec-code
此时的扫描结果如下:

使用FindBugs Security Audit配置扫描
通过在进行安全代码审计时,推荐使用的规则下图:

此时的扫描结果如下:

不加载FindBugs插件
如果你安装了FindBugs插件,又不想执行编译,那么在质量配置中将FindBugs设为默认的规则全部取即可。

 
SonarQube集成DependencyCheck
DependencyCheck-SonarQube GitHub地址:https://github.com/dependency-check/dependency-check-sonar-plugin
DependencyCheck GitHub地址:https://github.com/jeremylong/DependencyCheck/
SonarQube安装DependencyCheck插件与FindBugs一致。在使用SonarScanner执行扫描的时候,可以不编译项目,但是需要希望对jar包进行扫描则必须进行编译。
DependencyCheck使用命令
# 不更新漏洞库执行扫描/home/sonarqube/dependency-check/bin/dependency-check.sh -n
# 只更新漏洞库库,不执行扫描/home/sonarqube/dependency-check/bin/dependency-check.sh --updateonly
# 使用代理更新漏洞库/home/sonarqube/dependency-check/bin/dependency-check.sh --updateonly --proxyserver host --proxyport port
# 编译项目mvn clean package -DskipTests
# 生成xml报告/home/sonarqube/dependency-check/bin/dependency-check.sh -s /home/sonarqube/projects/java-sec-code/target/java-sec-code-1.0.0.jar -f XML -o /home/sonarqube/reports/java-sec-code-report.xml
# 在5.3.2 版本中,小B遇到了一个坑就是第一项执行DependencyCheck时,当执行到 Central Analyzer 分析时非常缓慢(由于网络原因导致的),可以使用--disableCentral禁用,但是官方文档中不推荐禁用,所以只能在执行是使用代理或调整网络来解决
# 生成html报告/home/sonarqube/dependency-check/bin/dependency-check.sh -s /home/sonarqube/projects/java-sec-code/target/java-sec-code-1.0.0.jar -f HTML -o /home/sonarqube/reports/java-sec-code-report.html
# 将报告导入SonarQube并执行SonarScanner扫描,这里我们使用的是FindBugs Security Audit审计规则/home/sonarqube/sonar-scanner-4.2.0.1873-linux/bin/sonar-scanner -Dsonar.host.url=http://127.0.0.1:9000 -Dsonar.login=68bec86cee8ec9a9ad8621592670c9939e6ba71e -Dsonar.projectKey=java-sec-code_dependency -Dsonar.java.binaries=/home/sonarqube/projects/java-sec-code -Dsonar.dependencyCheck.reportPath=/home/sonarqube/reports/java-sec-code-report.xml -Dsonar.dependencyCheck.htmlReportPath=/home/sonarqube/reports/java-sec-code-report.html
此时的扫描结果如下:

对比上面的四种扫描结果可以发现,SonarQube自带的规则对代码Bug的检查效果最好,DependencyCheck+FindBugs Security Audit对代码安全性检查效果最好。
SonarQube集成到CI&CD中



 
使用Giltab-CI集成SonarScanner
PS.注意SonarScannerdependency-check的权限(在执行pipeline时可以查看详情来观察是否出现异常)
stages:  - sast
sast:  stage:sast  script:    - mvn clean package -DskipTests # 编译项目    - mkdir $PWD/reports # 创建报告目录    - /home/gitlab-runner/dependency-check/bin/dependency-check.sh -s $PWD/ -f XML -o $PWD/reports/dependency-check-report.xml # 执行扫描,并生成xml报告    - /home/gitlab-runner/dependency-check/bin/dependency-check.sh -s $PWD/ -f HTML -o $PWD/reports/dependency-check-report.html # 执行扫描,并生成html报告    - sonar-scanner -Dsonar.host.url=http://10.10.10.12:9000 -Dsonar.login=token -Dsonar.projectKey=$CI_PROJECT_NAME:$CI_COMMIT_REF_NAME -Dsonar.java.binaries=$PWD -Dsonar.dependencyCheck.reportPath=$PWD/reports/dependency-check-report.xml -Dsonar.dependencyCheck.htmlReportPath=$PWD/reports/dependency-check-report.html # 执行扫描,并将报告传输给SonarQube  tags:    - security
 
关于CI&CD集成代码扫描的思考
如果每次提交代码都需要进行依赖包扫描则会出现非常浪费时间的情况(因为打包是一个非常耗时的过程)。所以推荐是在发布到测试环境或预生产环境时的Jenkins pipeline中使用依赖包扫描。
并且推荐定期更新DependencyCheck的漏洞库,最好选择在周末的夜间执行定时任务,定期更新的周期不应该超过7 ,因为间隔不超过7天只需要维护一个很小的XML列表,时间消耗大概只会在一分钟之内。
至于普通的代码扫描,可以在Gitlab合并代码分支时进行。
 
对于扫描出来的代码如何进行闭环
在这里主要需要思考这么几个问题:
扫描完成后如何通知安全人员或者研发人员?
关于通知相关人员,重要的是知道什么项目通知哪些人。可以使用构建对应关系(project -- username)来映射,可以在pipeline的代码扫描流程之后添加一个钉钉或邮件通知的过程即可。在这里小B通过一段代码将SonarQube扫描结果中严重、高危、中危级别的漏洞提取出来发送给安全人员(http://172.16.26.13:9000/web_api/)
import requests
def get_vul(project_name):    url = "http://172.16.26.13:9000/api/issues/search?project=%s&types=VULNERABILITY" % project_name    vulnerability_number = requests.get(url,auth=('admin','admin')).json()['paging']['total']
    for row in requests.get(url,auth=('admin','admin')).json()['issues']:        if row['status'] == "OPEN":            if row['severity'] == "MAJOR" or row['severity'] == "CRITICAL" or row['severity'] == "BLOCKER":                alarm_data = ""            else:                pass        else:            pass
    print("漏洞数量: ", vulnerability_number)

if __name__ == '__main__':    project_name = "java-sec-code_dependency"    get_vul(project_name)

扫描出来的问题的准确性
是工具就会有误报与漏报,所以很多时候直接将结果推送给研发人员是不靠谱的选择,需要安全人员初步过一遍以后再发送到业务方进行处理。所以小B对上一步脚本的提取结果进行复查,如果确认漏洞存在相应的危害性再将漏洞提交到企业自身的漏洞管理平台
扫描出来的问题应该如何进行修复?
处于漏洞管理平台中的漏洞根据漏洞生命周期要求推动修复。
SonarQube在安装使用中的一些问题



 
项目私有化处理
SonarQube默认项目为公有,此时不需要登录就可以查看SonarQube中的项目,为了避免信息泄露问题,推荐将项目属性修改为默认私有

 
SonarQube如何使用其他类型数据库

  • 使用阿里云RDS,新版本不支持MySQL了可以使用阿里云的PostgreSQL

sonar.jdbc.url=jdbc:mysql://address:3306/sonar?useUnicode=true&characterEncoding=utf8
 
不允许从数据库中直接删除规则
不要从数据库中直接删除规则,否则会报错如下:
ERROR: Unable to load component class org.sonar.scanner.report.MetadataPublisherERROR: Caused by: Unable to load component class org.sonar.scanner.rule.QualityProfiles
 
sonar.projectKey命名
在普通使用SonarScanner过程中,我们可以自定义sonar.projectKey的值,但是如果把SonarScanner集成到CI&CD流程中时,我们会使用预定义变量来命名,通常我们会使
CI_COMMIT_REF_NAME,但是如果使用这个变量在项目名称中包含/#等特殊字符时,Gitlab-CIpipeline会执行失败。这个时候我们选择CI_COMMIT_REF_SLUG(先将$CI_COMMIT_REF_NAME的值转换成小写,最大不能超过63个字节,然后把除了0-9a-z的其他字符转换成-。在URLs和域名名称中使用。)
GitLab CI/CD Variables中文文档:http://www.ttlsa.com/auto/gitlab-cicd-variables-zh-document/
refer



阅读原文

跳转微信打开

]]> Mon, 27 Apr 2020 20:35:00 +0800 一次有趣的钓鱼测试 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483972&idx=1&sn=b550837ee842c41eec445450877f07d9 这一天小B正在晒太阳,突然接到了老板的电话,要求对M公司进行一次内部全员邮件钓⻥测试,试图找出那些安全意识薄弱的员工。根据老板的要求,小B开始了这次的有趣的钓⻥之旅。 原创 bloodzer0 2020-04-22 19:39

这一天小B正在晒太阳,突然接到了老板的电话,要求对M公司进行一次内部全员邮件钓⻥测试,试图找出那些安全意识薄弱的员工。根据老板的要求,小B开始了这次的有趣的钓⻥之旅。


本系列故事纯属虚构,如有雷同纯属巧合

这一天小B正在晒太阳,突然接到了老板的电话,要求对M公司进行一次内部全员邮件钓⻥测试,试图找出那些安全意识薄弱的员工。根据老板的要求,小B开始了这次的有趣的钓⻥之旅。

钓鱼前的准备


在执行这次钓⻥之前小B需要先完成一系列的准备工作,包括:邮件主题选择搭建一个用于收集员工信息的站点批量发送邮件的工具构造钓⻥邮件等。
钓鱼邮件主题选择
网上关于这方面的资料很多大家有兴趣也可以多查查,小B在这里也简单列一些:(PS.我们在伪造邮件主题时也需要注意邮件不能过于逼真,否则会出现命中率极高的情况)
以攻击目的进行分类
针对攻击目标的不同,我们在选择主题时也需要更有针对性一些,这样能提高命中率。
  • 需要控制目标PC或在目标PC植入后⻔或木⻢等信息;
  • 只需要收集目标的个人信息;

以邮件主题进行分类

  • 企业内部通知
    • 人事变动通知:冒充行政部⻔发送人事变动的相关邮件,利用邮件中的附件进行钓⻥;
    • 薪资/奖金通知:同上
    • 安全警告:冒充IT类部⻔发送内部安全警告的相关邮件,利用邮件中的附件或链接进行钓⻥;
  • 企业内部活动
    • 优惠活动:以企业名义给员工发送一些优惠活动,让用户报名参与进行⻥;
    • 聚餐活动:以聚餐报名为主题进行⻥;
  • 员工信息变更:冒充IT部⻔发送员工个人信息(密码、手机号)已过期或失效需要更新进行钓⻥;
  • 社会实事关注:比如最近的新型冠状病毒
当然钓⻥的方案还是很多的,还是需要结合实际的情况来定邮件主题
钓鱼站点准备

由于没有开发资源,并且小B的目的是获取内部员工的信息,所以选择了实事相关的调查问卷来作为本地邮件主题。由于没有开发,小B找了一个开源的调查问卷系统:LimeSurvey(https://www.limesurvey.org/)部署方案使用Apache+MariaDB+PHP即可,我这里简单记录了一下:

# 部署环境是:Centos7.4 最小化安装# LimeSurvey需要PHP5.5 以上的版本,但是Centos7默认的是5.4版本,所以需要更改PHP的源 yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpmyum install yum-utils -yyum-config-manager --enable remi-php56
# 安装依赖环境yum install httpd.x86_64 mariadb-server.x86_64 mariadb.x86_64 mariadb-libs.x86_64 php.x86_64 php-fpm.x86_64 php-mysql.x86_64 php-mbstring.x86_64 php-ldap.x86_64 php- xmlrpc.x86_64 php-xml.x86_64 php-gd.x86_64 php-imap.x86_64 -y
# 最后将下载的压缩包放置到网站目录,并开启防火墙与关闭SELinux即可。 

关于LimeSurvey的使用这里不过多描述,简单一句话就是:创建调查文件--创建新题组--创建问题。

此时我们就准备好了我们的钓⻥邮件,接下来就是选择一个好用的工具了。
钓鱼工具的选择
相对来说钓⻥工具很多比较经典的有:

这里不作过多的描述了,为了方便后期使用脚本自定义发送,所以小B选择的是Swaks。选择好工具以后我们就需要来构造我们的邮件了。

构造钓鱼邮件
构造邮件,其实主要是看你参考的邮件主题是如何发送的,根据其模拟一个即可,比如小B模拟的钓⻥邮件如下(当然了因为脱敏小B并没有截完整):

做好这一切的准备后,我们就可以开始发送邮件了。

使用Swaks发送钓鱼邮件


导出邮件为eml或其他格式的内容
B使用的网易邮箱大师与OutlookmacOS客户端。如果使用网易邮箱大师那么在导出邮件的格式为eml;如果是Outlook那么导出的就是源文件,保存为TXT即可。
但是需要对文件进行修改,我们先来看一下网易邮箱大师导出的eml文件修改内容:

对于Outlook的邮件修改内容也大致相同,建议在修改以后先使用--data加载测试是否能发送成功。
发送钓鱼邮件
如果使用126作为发件服务器,要求--from后的参数与--au的参数一致,如果使用smtp2go平台则没有这个要求,并且显示代发信息的时候会有一些不同。同时需要注意的是修改的eml被我保存在test.txt文件中,并且需要保证文件中To参数的值与--to的值一致,否则会出现收到的邮件没有收件人:
 ./swaks --to yyfortest@126.com --from sender_user@126.com --ehlo 126.com --h-From "OA <oa@126.com>" --data test.txt --server smtp.126.com --au sendder_user@126.com --ap sender_user_pass

 ./swaks --to yyfortest@126.com --from oa@126.com --ehlo 126.com --h-From "OA <oa@126.com>" --data test.txt --server mail.smtp2go.com --au smtp2go_user --ap smtp2go_user_pass
批量发送邮件
其实我们使用bash脚本就可以批量发送了,但是由于我们这里是加载的邮件内容,并且每次只需的时候需要更改内容中To这一行的收件人,所以小B使用最笨的方法如下:
#!/usr/bin/env python3 # -*- coding: utf-8 -*-
# @Time: 2020/4/20 10:25 上午 # @Author: bloodzer0# @File : send_email.py
import os
email_tmp = []# 发件人文件for email in open('user_email.txt','r').readlines():    email_tmp.append(email.strip())# 发送邮件的内容email_old = open('test.txt','r+') content = email_old.readlines() email_old.close()
for send_email in email_tmp:    write_file = open('test.txt', 'w')    write_file.writelines("To: <%s>" % send_email + '\n' + "".join(content[1:]))     write_file.close()    command = './swaks --to %s --from oa@126.com --ehlo 126.com --h-From "OA<oa@126.com>" --data test.txt --server mail.smtp2go.com -p 2525 --au smtp2go_user --ap smtp2go_user_pass' % send_email    print(command)    # os.popen(command)

统计命中率


在本次测试中,我们的调查问卷系统可以辅助,或者自己编写⻚面将录入的数据写入数据库。


钓鱼邮件防护


识别钓⻥邮件:

  1. 看发件人地址(有的时候看到的是表象,发件人是公司内部地址也不一定真实);

  2. 看邮件标题;

  3. 看正文措辞;

  4. 看正文目的;

防范钓⻥邮件:

  1. 安装杀毒软件;

  2. 个人信息要保密,填写前请人为核对是否属于内部要求;

  3. 箱账号需要启用双因素校验,即使密码丢了也不怕;

  4. 重要的邮件请即时从邮件服务器删除,保存到本地;

  5. 不要轻信发件人地址中的"显示名"、不要轻易点开陌生邮件中的链接与附件、不要放松对"熟人"件的警惕、不要使用公共场所的网络执行敏感操作、不要将敏感信息发布到互联网;

中招后的操作:

  1. 及时报告给IT团队;

  2. 及时修改密码;

  3. 隔离网络;

  4. 进行一次全盘杀毒;


refer



钓⻥邮件模板:https://github.com/SimplySecurity/SimplyTemplate

钓⻥邮件模板:https://github.com/criggs626/PhishingTemplates
钓⻥邮件工具:https://github.com/xHak9x/SocialPhish
如何伪造一封合格的钓⻥邮件:https://blog.csdn.net/yiifaa/article/details/78471241
记一次真实的邮件钓⻥演练:https://xz.aliyun.com/t/5412
记一次企业安全意识宣传活动-钓⻥邮件:https://www.freebuf.com/column/154460.html
钓⻥邮件攻击防范指南:https://cloud.tencent.com/developer/news/234444



谷歌是个好东⻄

阅读原文

跳转微信打开

]]> Wed, 22 Apr 2020 19:39:00 +0800 浅谈基于IaaS公有云的中小型企业基础安全建设 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483954&idx=1&sn=604d60116c632278aa939e901d40b71b 云IDC是时下的热点,关于企业在使用云IDC时遇到的安全痛点与解决方案,让我们一起来探讨。 原创 bloodzer0 2020-04-16 13:29

云IDC是时下的热点,关于企业在使用云IDC时遇到的安全痛点与解决方案,让我们一起来探讨。



背景

互联网数据中心(IDC)属于互联网基础设施范畴的一个细分领域。为企业、金融机构等提供一个存放服务器的空间场所,随着科技技术的发展,IDC也经历了一个又一个的里程碑,如下图是:摘自《美国数据中心建设发展历程分析情况》

从图中我们可以看到IDC发展由传统的自建IDC机房、租用或托管服务器的方式向虚拟化云IDC转型。过去的几年里,选择云IDC的中小型企业数不胜数,小B也曾经在几家企业中参与相关的安全建设。提到云IDC那么不得不提的就是现在云计算模式的不同带来的云IDC类型不同:

云计算平台本身提供三种类型的云服务:

  • IaaS(基础设施即服务):消费者通过Internet可以从完善的计算机基础设施获得服务,这类服务称为基础设施即服务,基于Internet的服务(如存储和数据库)是IaaS的一部分。

  • PaaS(平台即服务)PaaS提供了用户可以访问的完整或部分的应用程序开发。

  • SaaS(软件即服务):SaaS则提供了完整的可直接使用的应用程序,比如通过Internet管理企业资源。

同样的,在云服务的衍生下,我们还出现了:公有云私有云混合云等概念。在本篇文章中,我们主要探讨的是基于IaaS公有云的安全,因为IaaS是最贴近传统IDC这样的理念,它具有用户可访问的资源(主机、数据库等等)。

IaaS云的安全痛点
B在参考了一些行业内的资料以及根据自身的实践,将云安全痛点分为了3类:

第一类是CSA云计算联盟定义的威胁分级种类;第二类就是根据云平台自身的属性所导致的安全⻛险;第三类是小B在从企业安全建设时遇到的痛点与难题。我们从这三类中不难看出主要的⻛险集中在:资产管理问题、网络攻击⻛险、数据安全管理、身份管理与访问控制、业务连续性管理、监管合规。
因为精力与时间,当然了主要问题是很多层面的安全⻛险小B没有接触过,所以下文就主要从企业安全建设的⻆度来谈:
凭证管理的痛点
对于凭证管理,小B主要列举了2类的痛点:第一类是比传统IDC更多的凭证类型,在传统IDC中我们更多的是使用服务器管理凭证,但是在云IDC中我们会新增两类凭证:

  • 云控制台访问凭证,此类凭证用于我们通过Internet访问云控制台,在这其中又存在两个小类:

    • 主账号:拥有其下所有资源和企业级分布式应用服务的所有操作权限。

    • 子账号:主账号通过创建子账号,避免用户间共享密钥,按需给子账号分配权限。

  • AccessKey:访问密钥AccessKeyAK)用于程序方式调用云服务API(主账号与子账号都有AccessKey)。

第二类痛点就是由于云IDC的非集中化导致的分散式凭证生命周期管理。多样化的凭证与凭证的分散性导致了我们难以集中化管理,也经常会导致凭证管理不当而出现的安全问题。

资产管理的痛点

  • 分散的地区:在使用传统IDC机房的时候,中小型企业可能只有1~3机房,但是我们在使用云IDC时面临的地域就会变得更多,上述提到的4种架构都会形成不同的地域IDC分布,给我们管理云资产带来不便。

  • 多样的类型:云上的产品的细分类给我们提供了使用便捷的同时也带来了资产管理的难题,多样的类型导致我们在进行管理的时候需要处理的数据源更多,不同数据源的字段、属性也不一致也会造成统一采集的困难。

  • 不同的维度:在这里需要提到的一个系统就是CMDB,可能对于很多企业来讲CMDB的维护都是做的很一般或者做不到资产的实时管理。这个问题在中小型企业就更为常⻅,他们可能都没有CMDB或者是非常简易的CMDB。并且运维与安全对于CMDB数据的细粒度要求是不一致的,很难将两者合二为一,更多的做法是各行其事,数据互补。最后在安全做黑盒的云资产管理时云平台自身会对黑盒的方式进行一些拦截从而造成一些资产收集的误报以及漏报,这些问题我们都会在下面的解决方案中提到。

访问控制的痛点
对于访问控制来说,它是基于前面两者痛点的延伸:其中主要是2类问题,第一类问题是从凭证层面的访问控制:

  • 云控制台有哪些用户可以访问?

    • 主账号是否存在共享使用?(有多少企业是所有运维直接共用主账号进行管理)

    • 子账号是否存在共享使用?(云控制台用户是否将自己的账号共享给其他用户)

    • 子账号是否有⻆色权限以外的权限?

    • 灰度账号是否处于活跃状态?(离职员工的账号是否及时清理)

    • AccessKey是否拥有过高的权限?

    • ............

  • 服务器资源哪些用户可以访问?

    • 谁拥有服务器上的特权账户?

    • 统一单点登录以外的账号?

第二类的痛点是网络层面的访问控制:在这一类问题中云控制台本身就是针对互联网开放的,我们需要做好的就是凭证管理,其次就是云资产的访问控制

  • 云资产对互联网或办公网络的访问控制策略(RDS是否允许互联网直接访问?核心服务器是否允许互联网直接访问?)

  • 不同类型云资产之间的访问控制策略(RDS对ECS的访问控制策略)

  • 相同类型不同属性云资产的访问控制策略(生产环境与测试环境的访问控制)

当然了访问控制的痛点远远不止我这里列举的这些,还有很多企业在安全建设时都会遇到不同的安全痛点。
流量采集的痛点
因为云IDC边界淡化失去了传统意义上的统一入口或出口,我们无法在对出入口的流量进行镜像或汇聚处理,导致安全建设中失去了一张王牌。
其他安全痛点

  • 胡乱的资产分组:生产与测试处于同一VPC;

  • 成吨的网络攻击:由于云IDC的开放性,所以每天会面临成吨的访问控制扫描、漏洞扫描、Web扫描等;

  • 分散的补丁管理:如果企业没有统一资产管理系统或者服务器未使用域环境,那么我们在安装补丁时也会遇到麻烦;



IaaS云的基础安全建设

在知道了⻛险之后,我们就需要进行安全防护了,本文没有涉及数据、应用与业务层面的安全防护方案。云安全自身是一个大的安全话题,也不是一篇文章就能够写完的。
购买云产品

B在这里只是列举了应对上述提出的安全问题的云产品,当然我这里也只选择了一家云服务商的产品,并且可能还忽略了一些产品,所以大家只参考一下即可。
对于购买产品,小B这里有一点想分享的经验:云产品更多是普遍适用性的,可能在不同企业中使用相同产品达到的效果也是不一致的。
其次就是购买产品是需要money的,加之本文的前提是中小型企业,这样的企业很可能就是无安全人员或者1~3个人的安全部。如果企业无安全人员,小B的建议是别折腾,能买一些重要的产品再好好运营一些也是OK,包括小B在图中提到的也不是每一项都要钱。如果是1~3个人安全部,企业愿意花钱与无安全团队的做法建议是一致的,不愿意花钱可以选择折腾一些开源产品,小B在博客上也提到过很多相关的安全产品(https://bloodzer0.github.io/ossa/
最后就是产品也好,开源工具也罢都是需要我们去不断运营和优化的。工具是死的人是活的,我们需要做的就是将工具发挥出它最大的价值。
解决凭证管理难题
在解决凭证管理这个问题上,小B经历了3个阶段:第一个阶段是没有任何辅助,只能通过主账号来梳理凭证并且通过一些IT流程来进行管理;第二个阶段是利用云API进行自动化的凭证管理;第三个阶段就是实现集中化的凭证管理。在这里小B主要提一下后两个阶段:
利用云API实现凭证管理

在这一个部分小B主要是通过代码来实现3个方向上的凭证管理:

  1. 通过内部通讯工具的接口获取用户原始数据,并且采集通讯工具中的用户属性;

  2. 利用云API管理云控制台账户,根据用户属性决定是否需要创建或删除云控制台账户;

  3. 与内部的跳板机打通,根据用户属性决定是否需要创建登录或删除资产访问账户;

在这里小B还额外做了一件事情,就是监控互联网的部分平台,查看是否有公司的凭证信息泄露,主要是GitHub、码云与网盘。
集中化的凭证管理
在前一阶段的基础之上,小B完善了凭证管理体系,还是以内部通讯工具中用户属性作为源数据,并且实现统一账户管理(基于FreeIPA)与统一单点登录,最后将统一账户管理接入跳板机(JumpServer)与单点登录接入云控制台:

解决资产管理难题
资产管理小B也分为了几步走,但是本文提到的最后一步是小B还未实现的;

  1. 黑盒资产管理:以扫描的形式发现资产(masscan+nmap+nessus等),通过将扫描结果进行数据处理后入库然后以CMDB的形式展示。但是在这个阶段中会由于云平台的拦截产生误报与漏报,所以这里的资产管理数据我们还需要更进一步的处理。

  2. 白盒资产管理(利用云API),之前小B也分析过对应的文章:

    https://bloodzer0.github.io/ossa/other-security-branch/asset-management/asset-acquisition/

  3. 利用主机入侵检测Agent采集数据,不论是前面的黑盒方式或利用API的方式,我们获取到的数据在细粒度上都达不到安全后期的要求,所以利用主机入侵检测的Agent可以获取更详细的信息,但是由于这个层面需要对底层开发有着足够深厚的了解,这也是小B未实现的原因。但是小B也实践过开源的主机入侵检测系统(OSSEC)采集信息完善安全的CMDB,效果也是很不错的。

解决访问控制问题
访问控制是一个很大的话题,涉及的面也是多种多样的,小B可能一句两句也讲不清楚,但是会尽力把实践过的内容给大家讲清楚:

  1. 制定访问控制策略与管理流程:访问控制难题不仅仅是一个通过技术就能解决的,首先我们需要制定好访问控制策略,在制定策略之前我们需要梳理我们的主体(使用者)与客体(资源),在评估主体的需求后制定出策略,访问控制策略一定要依据最小权限原则。制定好策略只是一个起始点,后期策略的管理也至关重要,在这其中小B是通过以IT流程的形式进行策略变更管理。

  2. 制定好策略以后我们需要实现策略控制,在这里对于凭证的访问控制,主要是通过云控制台管理进行。对于资产的管理主要是利用安全组来实现的,安全组可能并不具备攻击防护能力,但是具备良好的访问控制策略。在安全组实现访问控制的时候,会遇到一个大坑,就是当我们的IDC数量越来越多时,我们管理就会变的更加困难。所以如果前期就有这样的安全意识是最好的,后期就会需要我们逐一的去调整已有的策略。

  3. 定期审计访问控制策略是否合理,这里提一点的就是,我们的策略审计最好是以实践的方式进行审计。通过将审计策略拉取到本地(API是可以拉取的,云控制台也可以导出)然后根据策略的内容去实践策略是否有效。

其他安全痛点
每个企业在使用云都会遇到不同的安全难点,一千个读者就有一千个哈姆雷特,安全也是如此,希望大家一起讨论云安全建设。


■ Over ■


阅读原文

跳转微信打开

]]> Thu, 16 Apr 2020 13:29:00 +0800 Swaks SMTP协议操作工具 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483915&idx=1&sn=6eb5fa78da1849ca9fd7123147977e71 Swaks:Swiss Army Knife SMTP (SMTP界的瑞士军刀)利用它我们可以操作SMTP协议报文。 原创 bloodzer0 2020-04-13 20:09

Swaks:Swiss Army Knife SMTP (SMTP界的瑞士军刀)利用它我们可以操作SMTP协议报文。



日常不稳定更新系列


Swaks:Swiss Army Knife SMTP (SMTP界的瑞士军刀)利用它我们可以操作SMTP协议报文。

Swaks官网地址:https://www.jetmore.org/john/code/swaks/
Swaks GitHub地址:https://github.com/jetmore/swaks

1

Swaks安装


直接使用二进制文件

wget https://www.jetmore.org/john/code/swaks/files/swaks-20190914.0.tar.gztar -xf swaks-20190914.0.tar.gzcd swaks-20190914.0/# 执行./swaks
# git clone https://github.com/jetmore/swaks.git

macOS安装Swaks

brew install swaks

Kali自带Swaks

2

Swaks使用
# 测试邮件服务器连通性./swaks --to email_user@domain_1
# 发件人邮箱--from email_user@domain_2
# 伪造邮件头--ehlo domain_2

测试126邮箱

# 直接发送成功,见下图./swaks --to yyfortest@126.com
# 伪造发件人不成功,但是在执行命令的返回中显示是成功的./swaks --to yyfortest@126.com --from pentest@126.com --ehlo 126.com
swaks_1

使用邮件托管平台

smtp2go:https://support.smtp2go.com/hc/en-gb 注册一个免费的账户可以发送1000封邮件

./swaks --to yyfortest@126.com --from root@126.com --ehlo 126.com --server mail.smtp2go.com -p 2525 --au username --ap password
此时邮件发送成功,但是可以看到邮件中会显示由xx服务器代发。
swaks_2

加载附件

./swaks --to yyfortest@126.com --from root@126.com --ehlo 126.com --attach 1.txt --server mail.smtp2go.com -p 2525 --au username --ap password
swaks_3

3

所谓的绕过SPF
看了一些关于绕过SPF的,其实就是--from后面的参数与--server后面的参数保持一致,如下:
./swaks --to receiver@domain1 --from sender@domain2 --ehlo domain1 --server domain2 -p 2525 --au username --ap password
原理就是:接收方在收到邮件时会获取发件邮件服务器的IP,然后校验发件人的IP是否在发件邮件服务的IP列表中。有点拗口,通俗理解就是发件人的后缀需要与发件邮件服务器一致或是被包含关系。

4

Refer


关于伪造邮件的简单研究:https://hex.moe/p/4878b295/
Swaks伪造邮件:https://payloads.online/archivers/2019-05-09/1
Swaks绕过SPF验证进行邮件伪造:https://www.cnblogs.com/backlion/p/10842676.html

阅读原文

跳转微信打开

]]> Mon, 13 Apr 2020 20:09:00 +0800 工具推荐系列 - Genymotion模拟器ARM转换 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483911&idx=1&sn=7ab8c3eb218407de82ba65db3b4288e4 Genymotion默认使用的是x86的架构,安装ARM架构的APP时会报错,可以使用该工具进行解决。 2020-04-08 17:47

Genymotion默认使用的是x86的架构,安装ARM架构的APP时会报错,可以使用该工具进行解决。



日常不稳定更新系列


Genymotion_ARM_Translation:https://github.com/m9rco/Genymotion_ARM_Translation
Genymotion默认使用的是x86的架构,安装ARM架构的APP时会报错如下:
genymotion_ram_1
我这里的模拟器版本为:
genymotion_ram_2
在提供的转换器地址下载6.0版本进行安装转换
# push文件到模拟器中adb push Downloads/Genymotion-ARM-Translation_for_6.0.zip /sdcard
# 进入模拟器adb shell
# 执行安装sh /system/bin/flash-archive.sh /sdcard/Genymotion-ARM-Translation_for_6.0.zip
# 退出模拟器exit
# 重启模拟器adb reboot
这个时候再重新安装APP即可成功:
genymotion_ram_3
APP也可以正常使用
genymotion_ram_4

阅读原文

跳转微信打开

]]> Wed, 08 Apr 2020 17:47:00 +0800 工具推荐系列 - PESecurity编译选项安全检测 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483907&idx=1&sn=26eb42ff033c1565986c9a6ca2c77706 PESecurity:一个PowerShell的模块,用来检查EXE/DLL文件编译选项。 bloodzer0 2020-04-07 19:00

PESecurity:一个PowerShell的模块,用来检查EXE/DLL文件编译选项。



日常不稳定更新系列


PESecurity GitHub地址:https://github.com/NetSPI/PESecurity
一个Powershell的模块,用来检查EXE/DLL文件编译选项,包括:ASLR, DEP, SafeSEH, StrongNaming, Authenticode
Import-Module .\Get-PESecurity.psm1Get-PESecurity -file "file_path"Get-PESecurity -directory "dir_path"
bianyi_check_1

阅读原文

跳转微信打开

]]> Tue, 07 Apr 2020 19:00:00 +0800 工具推荐系列 - sigcheck文件签名检测 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483903&idx=1&sn=f1f24c3bee856302fd4aed893ab94315 sigcheck:分析CS应用程序需要检查应用程序是否被签名,常用于CS程序安全测试中。 bloodzer0 2020-04-06 20:19

sigcheck:分析CS应用程序需要检查应用程序是否被签名,常用于CS程序安全测试中。




日常不稳定更新系列


sigcheck官网地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck

析CS应用程序需要检查应用程序是否被签名,常用于CS程序安全测试中。小B找了两个例子:一个是没有签名的文件,一个签名的文件:

sigcheck_1
sigcheck_2
当然sigcheck还支持对整个目录进行签名检查:
sigcheck_3

阅读原文

跳转微信打开

]]> Mon, 06 Apr 2020 20:19:00 +0800 日志分析系列(三):分析实战篇 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483899&idx=1&sn=c8de3d1a0d74981bc7a78814056d67a5 在之前的系列中,小B完成了日志分析平台的实现,也接入了各种日志源,做好了这些前期工作,接下来就是真正利用平台实现分析并体现日志价值的时候了。 原创 bloodzer0 2020-03-16 08:46

在之前的系列中,小B完成了日志分析平台的实现,也接入了各种日志源,做好了这些前期工作,接下来就是真正利用平台实现分析并体现日志价值的时候了。

本系列故事纯属虚构,如有雷同纯属巧合

在之前的系列中,小B完成了日志分析平台的实现,也接入了各种日志源,做好了这些前期工作,接下来就是真正利用平台实现分析并体现日志价值的时候了。

日志分析价值

在安全日志分析的大场景中,我们都是根据不同场景下的特征来进行分析,我们以主机安全场景特征判断为例:

通过对这些场景的思路整理,我们可以发现识别攻击场景的方式大致包括:关键字匹配统计分析聚合分析关联分析。这四种分析方式在前面的文章中我们也提到过,大家有兴趣可以翻看历史文章进行查看。

熟悉ES的朋友都应该知道(如果不熟悉的建议阅读几遍ES的官方文档)它支持上述的关联分析之外的所有分析方式,那么我们就可以使用ES的这些查询语句来实现我们的安全日志分析,下文我分享了几个安全日志分析的具体案例:

demo1:常见的Web攻击

普通的Web攻击在日志分析中的分析方式与WAF识别攻击相似,都是通过正则表达式或者关键字匹配的方式来实现,ES中存在很多相关的查询语句,我们来体验一下:

  • match匹配
  • 利用bool方式进行复合查询

可以看到的是,我们使用match来进行查找时,需要对关键字进行优化,否则会出现无法找到的情况。那么如何解决这个问题呢?ES中其实还提供了通配符(Wildcard)正则表达式查询

  • 通配符查询
  • 正则表达式查询:正则表达式匹配的方式与通配符类似,但是正则表达式支持更复杂的模式进行查询。

对于正则匹配我们还有一种方式就是使用logstash,jeary曾经在https://github.com/anbai-inc/AttackFilter实现了。

我们可以利用此种模式对常见的Web攻击进行分析,需要的就是我们收集常见的关键字:

值得一提的是,以正则或者查询的方式去做安全分析都不适合做实时的分析拦截,因为数据量很大的时候查询很费时间,而如果使用Logstash Grok更是可能将日志分析平台搞挂。

demo2:统计与聚合

对常见API的聚合统计分析,根据访问API的IP进行排序:查询5分钟内访问api_path的数据,并根据remote_addr进行聚合排序。

{
    "size": 0,
    "query": {
    "bool": {
        "must": [
        {"term": {
            "request_api.keyword": {
            "value": "api_path"
            }
        }}
        ],
        "filter": {
        "range": {
            "@timestamp": {
            "gte": "now-5m",
            "lte": "now"
            }
        }
        }
    }
    },
    "aggs": {
    "ip_count": {
        "terms": {
        "field": "remote_addr.keyword",
        "size": 1000000
        }
    }
    }
}

完整的demo我放在了GitHub上:https://github.com/bloodzer0/python_es_aggs

  • 嵌套聚合

ElastAlert分析模式

ElastALert GitHub地址https://github.com/Yelp/elastalert/

elastalert支持多样的规则类型:https://elastalert.readthedocs.io/en/latest/ruletypes.html#rule-types

本文写的很仓促,很多东西都没有完整的去写。由于工作变更的原因,没有时间去折腾这个系列了,所以今天就算是写个结尾。后续应该会开个新的系列,但是更多偏向于乙方的东西!对于日志分析系列的虎头蛇尾,小B也很抱歉,后期在有精力的时候,我会把一些之前在甲方企业中实践的内容分享出来。主要是如下这幅图的内容:

- REFER -
《19个很有用的ES查询语句》:https://n3xtchen.github.io/n3xtchen/elasticsearch/2017/07/05/elasticsearch-23-useful-query-example
- HISTORY -
《日志分析系列(一):介绍篇》
《日志分析系列(二):平台实现篇》
《日志分析系列(外传一):Nginx透过代理获取真实客户端IP
《日志分析系列(外传二):Nginx日志统一化
《日志分析系列(外传三):平台安全性

阅读原文

跳转微信打开

]]> Mon, 16 Mar 2020 08:46:00 +0800 完成一次渗透测试项目 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483895&idx=1&sn=06be4f21fd7410af16c73d3ec15bd113 小B接到一个渗透测试任务,由于很久没有从乙方视⻆执行渗透测试的他决定先梳理一下自己的思路。 原创 bloodzer0 2020-03-02 08:45

小B接到一个渗透测试任务,由于很久没有从乙方视⻆执行渗透测试的他决定先梳理一下自己的思路。

背景:小B接到一个渗透测试任务,由于很久没有从乙方视执行渗透测试的他决定先梳理一下自己的思路。

准备工作

第一个是渗透测试用例:对于技术人员来讲这是一个比较好的知识点沉淀的方式,不但有助于你在每一次的渗透测试中不遗漏掉某个点,并且还可以在团队内部进行共享方便提升团队内部成员的技能。


第二个是工具箱:工欲善其事必先利其器,有一个好的工具箱决定我们在渗透测试时的效率。一个好的工具箱应该包括,不同操作系统(Win、Linux、macOS);各种环境与基础工具(Java、Py2与Py3、Ruby、NodeJS、Go、数据库连接客户端、SSH连接客户端等等);常用的工具(Nessus、AWVS、BurpSuite、SQLMap、各种小工具、CVE漏洞利用POC);


做好准备工作是平时的积累,不要在每一次面对项目时再去做。

前期沟通

对于乙方的渗透测试而言,在开始之前与客户沟通一些相关事宜是非常有必要的:


第一个是渗透测试目的:客户进行本次需求是为了什么?等保、日常安全巡检还是其他目的,不同的目的决定漏洞评判等级的不一样,也觉得测试过程中方法的不一样。


第二个是渗透测试目标:目标通常情况会分为主机和应用系统,这两类目标的渗透方法上是大致相同的。做应用系统的渗透测试,我们需要判断应用系统后端的主机,往往在渗透应用系统无果的时候我们可以从主机层面出发突破,反之亦然。


第三个是目标环境:一般我们渗透测试会在两种环境中进行,一是生产,二是测试。不同的环境对渗透测试的要求也不一样,假设是生产环境,我们需要避免对目标进行DoS拒绝服务、缓冲区溢出等可能导致服务中断或延缓服务响应的攻击;其次生产环境的测试时间段需要选择在非业务高峰期;还有就是生产环境我们做渗透测试的时候要避免向目标插入、删除或修改数据的动作。


在目标环境的不同上,做渗透测试还会面临一个问题就是如何接入目标环境中。一般对互联网开放的生产系统或主机我们可以直接通过Internet进行测试;但是如果客户的测试目标是内部的系统或主机,尤其是测试环境这时Internet都是不可以直接访问的,此时我们有几个选择一是进入客户现场执行渗透测试,二是VPN或者IP访问白名单的形式访问。记住一个点,如果是在家进行渗透测试建议买一个云主机提供一个公网IP,因为这个IP是固定的,家用的宽带一般都是动态IP,客户一般是不应该允许将这种类型的动态IP添加访问的。


第四个是执行时间:这一点在第三点中我也提到了,主要是需要与客户确认好特别是在生产环境执行。


第五个是险规避方案:与客户一起协商做好险规避方案,有助于我们在测试过程中应对各种紧急情况。执行系统备份与做好应急预案方便在出现突发情况时恢复系统;做好测试时间段内的安全监控,当出现异常时及时叫停;


沟通好以上的内容之后,就可以开始技术测试部分了。

技术测试

技术测试这部分是老生常谈的话题了,其实当有了渗透测试用例以后你会发现技术测试这个部分就是:1.常规操作;2.外带"猥琐"思路的突发奇想;3.坚持不懈的精神。我们还是从流程上过一遍整个技术测试:


第一步信息收集


记住做信息收集时需要从渗透测试目的出发。


子域名收集:需要注意的是否需要做此步骤,如果客户的目的只是做一个域名的安全测试,那么做子域名收集的意义不是很大,如果是要求对某个网站进行以某种目的为导向的渗透就需要做子域名收集了。子域名收集的方法偏向DNS漏洞、暴力破解、DNS解析查询等方式。对于部分的渗透来说通过旁站查询也是一种思路。


IP信息收集:C段与B段适用于目标传统IDC机房或自建私有云的情况,如果是云环境大家可以关注一下私钥或Token泄露的情况,在文末我放了一些关于云环境渗透的参考资料。


端口与服务信息:主要是通过相关工具进行扫描,nmap、masscan。敏感目录与路径:注意依赖于平日收集的字典与工具判断返回的方式;


Web容器与后端组件可以依赖一些浏览器插件(Wapplayzer)来识别,也可以通过扫描器识别;


CMS:这个比较重要,一般比较大的客户要么是自研发系统要么是成熟的CMS系统,我们收集这个信息方便我们查询已知漏洞从而进一步攻击;


其他信息:还有就是账号密码、Token、AK/SK信息、历史漏洞、历史漏洞中的敏感信息等信息,收集途径主要是搜索引擎与第三方平台(GitHub为主要渠道)。


在做信息收集比较重要的是平日里字典、工具库的收集,以及多变通做信息收集的方式,不要局限自己的思路。


第二步漏洞利用


漏洞利用主要依赖于第一步信息收集的结果,一般会有四种结果:可直接利用,比如敏感文件信息泄露;可间接利用,后端组件或CMS版本处于已知漏洞的影响范围之内;未来可用,部分信息当前不能给出一些帮助,但是在后续的渗透过程中会提供帮助,比如某个内网的账号密码;无用信息。


一般漏洞利用就是常的漏洞,如SQL注入、XSS跨站;一些CVE漏洞,如:CVE-2017-10271;逻辑漏洞,如任意密码重置;


平日多积累,漏洞利用的时候就不会慌。


第三步后渗透:如果有需要做后渗透的话,一般包括:内网渗透,权限维持,权限提升,读取用户hash,浏览器密码等。关于这块小B也是菜鸡写不出来很有营养的东,也是小B正在学习的东,大家可以多看看网上的资料。


技术测试小结:


不要总盯着一个点不放,思路需要打开;


不是每一次都能成功拿到权限或者找到高危等级的漏洞的:给一台只开放了443的独立主机让你入侵,直接攻击就算了吧!也许通过APT能实现呢~~~先对内部人员弄个钓,获取一个内网权限,再横向移动,找到可访问目标的网络段,再想办法从内部获取账号(纯属YY)

报告输出

一份渗透测试报告是客户评估此次渗透测试效果的东,所以报告至关重要。要输出一份好的报告需要我们做到以下几个点:


1.与客户沟通报告的要求,不同客户对于报告的详细程度是不一致的,有些客户甚至会提供报告模板只要填入对应的内容;


2.对漏洞理解足够深入,需要描述清楚漏洞的概述、漏洞的险、漏洞的危险等级(危险等级的计算方式)、漏洞的发现过程(图文结合的方式是最好的,同时要求我们在做渗透测试时养成良好的过程记录习惯)、漏洞的修复建议(不同客户对于漏洞的修复要求是不一致的,内外部系统的修复建议也应该是不一致的)。

refer

阅读原文

跳转微信打开

]]> Mon, 02 Mar 2020 08:45:00 +0800 挖矿应急响应小结 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483890&idx=1&sn=904136c23baa60a8c818843b13bd5b7f 总结一下遇到挖矿时应该如何做应急响应与溯源分析。 原创 bloodzer0 2020-02-24 08:45

总结一下遇到挖矿时应该如何做应急响应与溯源分析。


背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。

1.挖矿特征分析

当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:
  • 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。
  • 服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。
  • 服务器或PC的定时任务发生变更。

2.挖矿应急响应流程

PS:在整个处理挖矿的应急响应过程中,我们应该严格执行做好记录与备份工作。包括对分析过程中的命令、分析的文件都做好记录与备份。
这里的流程是一个最简化的流程,通常对于小B来说完整的流程包括:

2.1 确认告警是否属于挖矿

通常我们都是通过告警的形式得知服务器或PC被挖矿。这个时候我们首先需要判断告警是否属于误报,如果不是误报那么需要确认告警是否真的属于恶意挖矿,如果不属于需要丢到其它的应急响应流程中,如果属于挖矿就需要进行后续的处理。
下面是一些常见的确认挖矿方法:

2.1.1 Windows确认挖矿

  • 使用图形化界面分析确认

    a. 打开任务管理器Ctrl + Alt + Delete 快捷键 或者 win + r 快捷键,输入 taskmgr

    b. 在任务管理器中找到资源管理器

    c. 通过资源管理器找到占用CPU资源较高的服务或进程,获取其PID信息;

    d. 利用获取的PID信息在任务管理器中的详细信息一栏中找到对应的程序,右键打开文件位置,获取异常文件目录;

    e. 进入到异常文件目录中,对文件进行分析,确认是否属于挖矿程序;

  • 使用命令分析确认:打开终端或powershell:win + r 快捷键,输入 cmd
# 获取所有进程详情并将结果输出到tmp.txt文件
wmic process get caption,commandline /value >> tmp.txt
# 获取单一进程详情
wmic process where caption=”svchost.exe” get caption,commandline /value
# 获取子进程的父进程信息
wmic process where Name="svchost.exe" get ParentProcessID
  • 使用第三方工具分析确认:各有千秋,大家自己选择。
    • Process Monitor:无需安装
    • Process Hacker:无需安装
    • 火绒剑:需安装,界面展示更友好(个人意见)

2.1.2 Linux确认挖矿

a. 使用top命令查看系统性能,找出消耗资源较高的进程PID;
b. 根据获取的PID信息利用ps -ef -p PID命令找出系统进程详细信息;
c. 根据进程详细信息定位到文件位置,进入文件位置进行文件分析,确认是否属于挖矿程序。
# 除了top之外,还有很多比较好用的一些Linux命令
uptime # 查看机器的负载情况
vmstat 1 # 每秒输出一次系统核心指标
mpstat -P ALL 1 # 每秒显示所有CPU的占用情况
pidstat 1 # 每秒输出一次CPU的占用率
iostat -xz 1 # 每秒输出一次磁盘IO
# 在使用ps时,需要注意一些ps的参数

2.2 确认挖矿后的清理工作

当我们通过2.1确认服务器或PC属于被挖矿后,我们需要执行清理工作。当然了关于不同应急响应人员在执行2.2与2.3这两步时顺序可能不太一样,在小B看来没什么区别,如果先分析再删除,更多是为了不破坏被攻击的环境方便溯源;但是如果我们在整个过程中做好完整的备份与记录,先删除再分析也OK。
下面是一些常见的清理挖矿方法:

2.2.1 Windows清理挖矿

在2.1.1小节确认挖矿程序后,先对挖矿程序进行备份。然后先关闭对应的服务与进程,再删除对应的定时任务,最后删除对应的文件。在删除文件之后,反向再查询一遍定时任务、进程与服务,最好是在间隔一定时间段后再复查一次。
在Windows中通常使用图形界面进行操作,所以就不废话了。

2.2.2 Linux清理挖矿

Linux中在确认挖矿以后,也同样需要备份挖矿程序,再执行响应的操作。
  • 停止服务:systemctl stop *.service
  • 杀掉进程:kill 9 PID,很多时候不光杀掉一个进程;
  • 删除文件:rm -fr abnormal_file,删除文件时可以使用find / -name abnormal_file查找出系统中所有的恶意文件;
  • 清理定时任务:crontab -e
与Windows相同的是在删除完成后我们需要反向操作一次与间隔一定时间后再复查一次是否清理干净。

2.3 为什么会被挖矿(溯源)?

2.3.1 用户分析

主要分析用户的新增、修改(用户属性的修改)、删除、登录,以及两类用户:特权用户和可登录用户。
  • Linux:分析用户除了使用命令之外,还可以使用系统日志和安全设备日志进行分析。
cat /etc/passwd # 查看用户信息
awk -F ":" '{ if($3==0)print $1 }' /etc/passwd # 查看特权账户
awk -F ":" '{ print $1,$7 }' /etc/passwd | grep -E "/bin/bash*" # 查看可登陆用户
# 除此之外Linux还有很多查看用户登录信息的命令
lastlog
users
w # w -s
who # who | cut -d' ' -f1 | sort | uniq
whoami
  • Windows:分析用户可以使用图形化界面:控制面板 --> 用户账户,也可以通过命令行进行分析,对于Windows要分析历史登录用户信息需要从系统事件日志或安全设备日志着手,我这边没有发现有效的命令,大家知道可以私我。
net user # 查看用户,值得注意的是,如果攻击者添加一个类似username$的用户,使用net user命令查看不到
net localgroup administrators # 查看属于管理员组用户,使用此命令可以看到类似username$的用户
query user # 查询当前登录用户

2.3.2 端口与网络连接分析

在分析端口与网络连接时有2个点需要注意,一是系统开放给互联网的端口并不一定真实开放了,需要考虑是否有防火墙等因素的存在,如果有我们还需要分析防火墙的规则;二是攻击者可能不一定是通过被挖矿服务器攻入,也可能是通过局域网内部其他机器侵入。
  • Linux:分析端口与网络连接可以使用命令,还可以使用第三方工具tcpdump与网络流量监控设备等。
netstat -tulnp # 查看系统的udp与tcp连接
  • Windows:分析端口与网络连接可以使用命令,也可以使用第三方工具windump、wireshark等。
netstat -ano | find "ACK"
netstat -ano -p tcp | findstr "LISTENING"

2.3.3 定时任务分析

分析定时任务需要注意不同目录、不同用户下的定时任务。
  • Linux
# 查看crontab目录中所有文件
cat /etc/cron.*/*
cat /etc/crontab
# 查看不同用户的定时任务
crontab -u username -l
# 通过定时任务日志进行分析
cat /var/log/cron*
  • Windows:对于Windows中的定时任务,一般有两种形态:一是图形化界面管理工具 --> 任务计划程序(PS:2008之后任务计划程序不在控制面板中了,而是在管理工具中) ;二是BAT文件。前者打开即可查看,后者需要找到对应的文件进行查看。

2.3.4 启动项分析

  • Linux
# 查看所有已启动服务
systemctl list-units --type=service
# 查看服务启动项
systemctl list-unit-files | grep enabled
  • Windows:对于Windows的启动项有两种形式分析
    • win + r,输入shell:startup 查看。
    • 注册表启动项:win + r,输入regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查看

2.3.5 历史命令分析

历史命令分析一般只可以在Linux上进行分析,并且要保证历史执行命令以日志形式存储到统一日志分析平台中,否则历史命令容易被攻击者清除,并且如果攻击者未登陆服务器(以webshell的形式)执行命令也记录不到攻击者执行的命令。

2.3.6 日志分析

溯源很多程度依赖日志分析,不论是 Windows Server 或者是 Linux Server ,我们都需要从日志中提取攻击者的攻击路径,是通过暴力破解服务还是通过应用层服务进入都可以从日志中找到痕迹,这里不做太多的叙述,大家有兴趣可以读一下公众号heysec的日志分析系列,关于分析的文章后续会陆续放出。
特定说一下的是Linux下的日志可以通过 awkgrepsed 等命令直接进行分析,在文末的Refer中我有引入一些比较好的文章大家可以查看;对于Windows查看事件日志可以在图形化界面直接查看 win + r,输入eventvwr 或者 控制面板 --> 系统和安全 --> 查看事件日志 。

2.3.7 病毒木马等分析

  • Webshell:可以使用免费的一些工具对系统网站目录进行排查与分析。
  • Linux:相对Windows来说,Linux的病毒木马较少,主要是分析是否有rootkit,可以使用chkrootkit与rkhunter检查后门或rootkit信息。
  • Windows:Windows有很多的恶意病毒查杀软件,包括上文中提到的火绒也可以进行分析。
分析方法还可以查找系统特定目录最近一段时间被修改或访问过的文件。

2.3.8 通过挖矿程序分析

在找到挖矿程序之后,首先我们可以分析挖矿程序在服务器或PC做的操作,这有助于帮助我们清理挖矿程序;其次我们还可以得到几个基本信息,利用这些信息我们也可以对其进行溯源。大部分的挖矿程序都是脚本文件可以直接使用文本编辑器进行分析,仅有少部分的挖矿程序需要用到类似WinHex等专业的文本工具。
  • 挖矿程序运行用户,比如运用Confluence用户运行挖矿程序,很可能意味着我们服务器上的Confluence被攻陷了。
  • 挖矿程序自身特征:名称、矿池或钱包地址。

2.3.9 模拟攻击

通过模拟攻击者入侵的方式,对目标进行以获取权限的多维度渗透,一般耗时比较久不到万不得已一般不推荐使用。主要包括:端口扫描、暴力破解、GetWebShell、RCE、未授权访问等主流的获取权限方式。

2.3.10 其他信息

  • 服务器或PC补丁安装信息;
  • 服务器或PC运行服务版本信息;
  • …………

2.4 对被攻陷目标进行安全加固

其实做加固,大部分情况都是如下三种:
  1. 打补丁或升级版本:不论是系统、应用程序、服务组件等都应该使用不含有已知高危漏洞的版本;
  2. 关端口或者通过防火墙做访问控制策略;
  3. 购买安全防护产品:IDS、IPS、Firewalls等;

2.5 举一反三内部排查

当我们完成了以上所有步骤后,我们还有件事情待做,这也是很多应急响应程序中忽视的一步,就是通过当前的整个过程去排查内部服务器或PC是否还有被挖矿的情况。也许没有被挖矿的情况但服务器或PC存在被攻击的可能性也是我们需要去排查的。
做完这一步,整个挖矿的应急响应流程也就基本结束了,写好报告进行汇报就是最后的收尾工作了!

3.常见的挖矿附链接

一般挖矿的攻击者是不会去找一些复杂的入侵手段的,目前市面上比较多的挖矿都是未授权访问和RCE漏洞,所以大家平时在对内部服务器或PC进行扫描或者测试的时候需要额外注意这类型的漏洞,以及在分析的时候也可以多向这个思路靠近。

阅读原文

跳转微信打开

]]> Mon, 24 Feb 2020 08:45:00 +0800 分享一个漏洞的发现到利用的过程 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483881&idx=1&sn=1002320620a54b3d944c11e804ccf105 本文将分享一个RocketMQ的漏洞从发现到自动化利用的实践过程,最后也将安利一个开源的神器Arthas(阿尔萨斯)。本文技术含金量不高,但也希望读者能从中有所收获。 原创 CF_HB 2020-02-17 08:15

本文将分享一个RocketMQ的漏洞从发现到自动化利用的实践过程,最后也将安利一个开源的神器Arthas(阿尔萨斯)。本文技术含金量不高,但也希望读者能从中有所收获。


哈喽,EveryOne。本文将分享一个RocketMQ的漏洞从发现到自动化利用的实践过程,最后也将安利一个开源的神器Arthas(阿尔萨斯)。本文技术含金量不高,但也希望读者能从中有所收获。
一、介绍一下RocketMQ


RocketMQ是阿里贡献给apache的开源项目,地址在:https://github.com/apache/rocketmq,它是一种纯Java语言开发的消息中间件。也是国内首个非Hadoop生态体系的顶级项目,被国内外数百家企业广泛使用。具有:高性能、低延迟、高可靠 的特点。

1.1 架构简图

RocketMQ的服务端由Name Server 和 Broker组成。消费者/生产者在使用RocketMQ做消息调度时,必须要指定Topic。Broker在整个RocketMQ中又担当着消息中枢的功能,Topic的创建和更新消息通过Broker转发到namesrv。

1.2 如何运行RocketMQ

我们从官方下载rocketmq-all-4.6.1.zip 解压后打开到bin目录:

同时配置环境变量如下:

1.3 可视化管理界面:rocketmq-console

可以下载这个工具的jar包,然后用下面的命令,就可以很方便的管理RocketMQ了。【TIPS:RocketMQ 9876端口未授权访问,可以用这个工具很方便的利用哟。】
java -Xmx512m -Xms512m -jar rocketmq-console-ng-1.0.0.jar --server.port=8081
--rocketmq.config.namesrvAddr="10.13.32.203:9876" --auth.username=admin --auth.password=admin

1.4 消息存储

RocketMQ的消息存储是由consume queue和commit log配合完成的。consume queue是消息的逻辑队列,相当于字典的目录,用来指定消息在物理文件commit log上的位置。当创建一个话题(Topic)时会创建一个独立的存储文件夹,官方定义是:
${rocketmq.home}/store/consumequeue/${topicName}/${queueId}/${fileName}
例如下面的:

生产者在使用RocketMQ进行创建消息时,必须要指定topic,对于topic的设置有一个开关autoCreateTopicEnable,一般在开发测试环境中会使用autoCreateTopicEnable = true(默认为true),官方建议在生产环境里需要手动设置autoCreateTopicEnable = false
当开启autoCreateTopicEnable后,我们的每一个topic在RocketMQ的服务端上都会创建一个独立的文件夹来存储 consume queue。

1.5 构造一个生产者

我们构造一个生产者来实践如下,具体的细节就不细说了。如下:

在Windows上我们看到存储消息的文件夹创建成功了,并且文件初始大小约为5.72M如下:

这个创建的路径为固定的:当前用户目录\store\consumequeue 这是所有消息存储的文件路径,更多关于这块的介绍可以看文档:
消息存储设计
(https://github.com/apache/rocketmq/blob/971fa8ed8b209b39bdfe41c57cd64576d244e6bd/docs/en/Design_Store.md)
二、猜测与攻击

2.1 像黑客一样思考

黑客大多都是脑洞大开的,既然topic由生产者创建消息时指定的,哪么创建文件时会不会有漏洞呢?如果创建文件夹的参数为 ../../../fuzz2019 ,即topic参数传值为../../../fuzz2019,哪么服务端会发生什么呢??
构造Topic为 ../../../demo 试一试,发现结果如下:
红色提示
The specified topic[../../../fuzz2019] contains illegal characters, allowing only ^[%|a-zA-Z0-9_-]+$
看来是对topic的格式有要求,根据提示找到 过滤类 org.apache.rocketmq.client.Validators
错误信息提示了在86行这里的有对消息的topic做本地检查 Validators.checkTopic(msg.getTopic());
这里是被本地创建消息时被检查格式不合法给拒绝了,如果RocketMQ服务端没有做这个Topic的格式检查,信任了客户端的Topic,直接使用传入的Topic值进行了文件夹创建。这就可能存在漏洞,使用 ../ 可以目录穿越到其他任意目录。

2.2 想办法进行POC验证

为了验证上面的想法,于是需要客户端构造恶意的Topic值如:../../../fuzz2019
这里下面我想到有三种方式实现我们的目的:
  1. 使用IDE工具调试功能,通过下断点动态修改内存中Topic值。
  2. 下载源码修改检查逻辑后,编译新的rocketmq-client包导入使用。
  3. 使用JAVA Agent技术,运行时修改对象的值。
为了快速验证猜想,就通过在Eclipse上调试,动态修改内存中对象的topic的值为恶意的poc。
首先传一个正常的topic值,如:fuzz2019,当执行流程通过 Validators.checkTopic(msg.getTopic())的格式检查后,下断点,在IDE里直接修改msg对象的topic值为恶意的如:../../../../fuzz2019
如下所示

在Eclipse里,右键-Change Value

填入 payload

然后快速的放行,等待程序执行完成如下。
可以看到在C盘的根目录下成功创建一个名叫 fuzz2019的文件夹

或者穿越到其他目录下创建
至此,一个简单的构想,POC验证已经完成,证明RocketMQ服务端,未做topic的格式合法检查,仅在rocketmq-client端生产者请求时做了特殊字符判断,该漏洞存在~~
试着分析了一下产生的原因在于broker的处理类中:
broker/src/main/java/org/apache/rocketmq/broker/processor/AbstractSendMessageProcessor.java
这个文件的165行的msgCheck函数里,在对rocketmq-client发过来的消息检查时,如果topic不存在就会通过TopicConfigManager类调用createTopicInSendMessageMethod方法,将请求头里获取的topic直接用于创建topic.

TopicConfigManager类文件为 /broker/src/main/java/org/apache/rocketmq/broker/topic/TopicConfigManager.java
这里我做了一些其他测试,结论:
  1. 不能覆盖已存在的文件夹,因为服务端检查会认为已经存在该文件夹,然后直接存放在其下面。
  2. 不能控制生成任意的文件和文件内容
到此关于这个漏洞的发现过程,产生原因已经描述清楚。哪么这个漏洞还能有什么更大的利用空间吗??我能想到的就是 利用目录穿越到系统敏感目录,fuzz创建带有特殊字符的文件夹,使系统core dump或某些服务的crash
三、如何更进一步利用
虽然这个漏洞不及反序列化导致RCE那样的严重危害,但是这个如果被恶意利用也是有一定安全隐患的。从官方设计文档 存储设计文档(https://github.com/apache/rocketmq/blob/master/docs/cn/design.md) 中关于存储架构中1.1节中的描述:
具体存储路径为:$HOME/store/consumequeue/{topic}/{queueId}/{fileName}。同样consumequeue文件采取定长设计,每一个条目共20个字节,分别为8字节的commitlog物理偏移量、4字节的消息长度、8字节tag hashcode,单个文件由30W个条目组成,可以像数组一样随机访问每一个条目,每个ConsumeQueue文件大小约5.72M
攻击者每发送一次网络请求,都可以在任意指定的目录下创建5.72M大小的文件夹。这个放大的比例应该是非常大了吧:1次请求换来消耗目标5.72M磁盘空间 这个是不是可以用作于放大攻击呢??攻击者可以写出EXP向服务器任意目录进行喷射,短时间内可以在任意目录下创建大量垃圾文件,消耗尽磁盘存储空间。
为了方便自动化攻击或方便前面提到的Fuzz,需要更好的方式解决传入../../这样的特殊符号。
下面将介绍第二种的方式: RASP中使用的JAVA Agent技术之 agentmain(热部署)。 agentmain是JDK6后引入的新的特性,agentmain 可以在类加载之后再次加载一个类,也就是重定义。更多的介绍可以看:
agentmain(https://www.jianshu.com/p/6096bfe19e41)

3.1 编写用于Hook 替换的目标Class

关于agentmain的原理就不介绍了,直接上手使用吧。经过debug,我知道关键的校验点在Validators类里的checkMessage函数,这里我直接注释掉所有的检查,只打印 当前传入的topic值。
编写好以后,保存,然后你就准备好了用于替换目标Class的字节码文件啦。。地址在这里: /Users/CFHB/DevTools/rocketmq-master/client/target/classes/org/apache/rocketmq/client/Validators.class

3.2 编写agent代理

后面用到的代码都来自GitHub的Demo JavaHotSwap(https://github.com/Jason112788/JavaHotSwap/), 感谢GitHub上的无数无私的网友们,不然一天从入门到上手真的难。
拿到JavaAgent的Demo后,需要做的就是重写agentmain函数里的内部transform函数,这个的作用就是前面说的利用JDK提供的API,重定义已经加载的类。我这里需要这样做:
@Override
public byte[] transform(ClassLoader loader, String className, Class<?> classBeingRedefined, ProtectionDomain protectionDomain, byte[] classfileBuffer) throws IllegalClassFormatException {
    System.out.println("[transform] hotswap class name :" + className);
    if ("org/apache/rocketmq/client/Validators".equalsIgnoreCase(className)){ //如果是目标类,则进行替换。
        byte[] bytes = fileToBytes(new File("/Users/CFHB/DevTools/rocketmq-master/client/target/classes/org/apache/rocketmq/client/Validators.class"));
        return bytes;
    }else{
        return null; // 返回null,表示不修改
    }
简单理解,transform 是进行替换的,返回null则不做替换,返回字节数组,则进行替换。上面判断如果是目标类:
org/apache/rocketmq/client/Validators
就会进行替换,如果你要问为什么是/这样的?你先不替换,只打印出来className,看看格式就知道了。
至此,JavaAgent编写已完成,maven 命令打包一下吧。
maven clean
maven package
maven install

3.3 编写测试热更新代码

也就是这里的JavaHotSwap,这里就是给JVM加载agentmain.jar,传递目标类做参数:org.apache.rocketmq.client.Validators

3.4 编写RocketMQ的生产者,发送payload

上面的工作是利用热更新,动态改掉了rocket-client包里的检查逻辑,现在需要做的就是构造../../这样的请求啦。这里循环100次,每次sleep 2秒,代码如下:

至此,所有的东西已经准备好了,

3.5 测试效果

直接攻击,被检查拦截

加载热更新,改掉检查逻辑

攻击成功效果:
ubuntu下被攻击后:

至此,介绍完毕利用JAVA Agent技术帮助Fuzz攻击的演示。
四、关于修复

4.1 官方发布4.6.1修复

RocketMQ在最新发布的4.6.1版本中已经完成了该漏洞的修复。在文件broker/src/main/java/org/apache/rocketmq/broker/processor/AbstractSendMessageProcessor.java中将rocketmq-client客户端的检查逻辑,同样添加在了服务端。

4.2 安全实践

  • 推荐使用最新版本,RocketMQ 4.6.1(已修复)
  • rocketmq-client使用4.6.0以上版本(fastjson已升级到1.2.61)
  • 禁止使用ROOT权限启用RocketMQ服务端和消费端
  • 禁止自动创建topic,必须将autoCreateTopicEnableRocketMQ设置为false. 修改Broker配置文件,broker.properties,添加一项autoCreateTopicEnable=false.
  • 配置ACL,开启用户身份认证。修改RocketMQ的默认端口9876为不常用端口,防止被扫描发现。
五、安利神器(Arthas)

5.1 GitHub地址:

Arthas(https://github.com/alibaba/arthas/blob/master/README_CN.md)
Arthas 是Alibaba开源的Java诊断工具,深受开发者喜爱。

5.2 Arthas可以做什么?

当你遇到以下类似问题而束手无策时,Arthas可以帮助你解决:
  • 这个类从哪个 jar 包加载的?为什么会报各种类相关的 Exception?
  • 我改的代码为什么没有执行到?难道是我没 commit?分支搞错了?
  • 遇到问题无法在线上 debug,难道只能通过加日志再重新发布吗?
  • 线上遇到某个用户的数据处理有问题,但线上同样无法 debug,线下无法重现!
  • 是否有一个全局视角来查看系统的运行状况?
  • 有什么办法可以监控到JVM的实时运行状态?
  • 怎么快速定位应用的热点,生成火焰图?
总结一句话:查看任意方法调用情况,传入参数,返回值,反编译源码,热更新等等。

5.3 怎么使用

  • 启动命令: java -jar arthas-boot.jar

输入help,查看支持哪些命令。下面介绍几个关键的命令:sc、watch、
  • sc 命令

  • watch命令

  • sm命令

  • jad命令

5.4 热更新-实例:bypass Rocketmq-client限制

我们以修改上面漏洞的Rocketmq-client客户端Topic合法检查为例子,哪么需要下面几步,命令如下:
使用的命令如下:
  1. java -jar arthas-boot.jar --telnet-port 9996 --http-port -1
  2. jad --source-only org.apache.rocketmq.client.Validators > /tmp/Validators.java
  3. vim /tmp/Validators.java, 注释掉check处代码
  4. sc -d *Validators | grep classLoaderHash
  5. mc -c 2a139a55 /tmp/Validators.java -d /tmp
  6. redefine /tmp/org/apache/rocketmq/client/Validators.class
效果如下:

5.5 辅助发现SQL注入漏洞

这里以某套大数据分析工具的漏洞为例子,漏洞如下:

找到漏洞存在的本质:错误的使用预编译方法,将SQL语句拼接了传入prepareStatement函数。
  • 类:java.sql.PreparedStatement 函数:prepareStatement 参数sql
  • 类:java.sql.Statement 函数:executeQuery 参数 sql
对比一下正确和错误的用法如下:

所以,我们使用watch命令关注prepareStatement函数,如果直接把我们的参数拼接进了SQL语句并传入了这个函数,哪么一定是存在SQL注入漏洞的。watch命令如下: watch java.sql.Connection prepareStatement "params[0]" -n 888888

5.6 取证冰蝎

甚至可以用于webshell的取证哟,比如冰蝎工具的。 options unsafe true
其他更多的玩法,更多的技巧,可以看使用文档:https://alibaba.github.io/arthas/index.html
也欢迎大家去发现更多的玩法,然后和我交流带带我。
参考文章:
1. https://alibaba.github.io/arthas/index.html
2. 认识 JavaAgent  
    https://paper.seebug.org/1099/
3. 探秘 Java 热部署三 (agentmain) 
    https://www.jianshu.com/p/6096bfe19e41


 插播一则小广告

base:成都 or  深圳

招聘:安全攻防、安全研究

WeChatID:lc10516

阅读原文

跳转微信打开

]]> Mon, 17 Feb 2020 08:15:00 +0800 日志分析系列(外传三):平台安全性 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483870&idx=1&sn=d662fb5ed290f19d1dc9f650f59ef0ae 本系列故事纯属虚构,如有雷同纯属巧合小B在实现了统一日志分析平台后,想到的第一个问题就是平台的安全性,用于安 原创 bloodzer0 2020-01-13 08:00

本系列故事纯属虚构,如有雷同纯属巧合小B在实现了统一日志分析平台后,想到的第一个问题就是平台的安全性,用于安

本系列故事纯属虚构,如有雷同纯属巧合

小B在实现了统一日志分析平台后,想到的第一个问题就是平台的安全性,用于安全分析的平台被攻击成功,那么小B将颜面扫地还可能被扫地出门。所以小B认证分析了平台可能存在的安全风险:

  • 平台产品自身的安全漏洞(解决方案:及时安装补丁或升级版本);

  • 数据泄露:在采集存储使用等过程中造成的数据泄露问题(解决方案:加密);

  • 未授权访问:平台无任何访问控制措施导致未授权访问(解决方案:见后文);

对于平台的安全性,小B觉得首要的是使用没有已知漏洞的产品版本,其次就是添加访问控制。对于小B的日志分析平台,其中有这么几个地方需要额外注意:ES与Kibana的安全性、Kafka的安全性。

通用访问控制实现

使用防火墙实现第一层访问控制是常见也是很多中小型企业使用的方法。大家一般在网络防火墙(云安全组)、本机防火墙实现访问控制功能。
在使用防火墙时,推荐使用白名单对平台的安全性进行保障,我这里使用firewall实现基础的访问控制:
# 如果操作系统是Centos系列7以上版本,推荐使用
# 保护Kafka与Zookeeper
# 只允许Kafka的机器访问ZK,这种方法也是最有效防护ZK未授权访问导致信息泄露的办法
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.10.9" port port="2181" protocol="tcp" accept'
# 只允许Beats机器访问Kafka
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.10.0/24" port port="9092" protocol="tcp" accept'
# 只允许办公网络IP访问Kibana
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="182.*.*.107" port port="5601" protocol="tcp" accept'
# 如果白名单IP比较分散,可以使用firewall结合ipset,关于ipset的使用大家就自行百度吧!
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source ipset="ipset_name" port port="9092" protocol="tcp" accept'

Elastic安全性


>>>>

Xpack实现访问控制

Elastic在6.8与7.2版本之后开放了免费认证功能。我这里是7.4.1的实验环境:
# 停止Kibana与elasticsearch服务
systemctl stop kibana.service
systemctl stop elasticsearch.service
# 创建es证书颁发机构
/usr/share/elasticsearch/bin/elasticsearch-certutil ca
# 创建es集群通信证书
/usr/share/elasticsearch/bin/elasticsearch-certutil cert --ca /etc/elasticsearch/elastic-stack-ca.p12
# 修改证书权限
chmod 644 /etc/elasticsearch/elastic-certificates.p12
# 修改配置文件
vim /etc/elasticsearch/elasticsearch.yml
# 在文件末尾添加如下内容
xpack.security.enabled: true
xpack.security.transport.ssl.enabled: true
xpack.security.transport.ssl.verification_mode: certificate
xpack.security.transport.ssl.keystore.path: /etc/elasticsearch/elastic-certificates.p12
xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/elastic-certificates.p12
# 如果配置了证书密码
# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password
# /usr/share/elasticsearch/bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password
# 启动Elasticsearch服务
systemctl start elasticsearch.service
# 创建账号密码
/usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive
  • elastic:超级用户
  • apm_system:使用APM时的用户
  • kibana:用来连接ES的用户
  • logstash_system:使用Logstash时的用户
  • beats_system:使用Beats时的用户
  • remote_monitoring_user:收集和存储监控信息的用户
# 修改kibana配置文件
vim /etc/kibana/kibana.yml
# 在文件末尾添加如下内容
elasticsearch.username: "kibana"
elasticsearch.password: "kibana"
# 启动kibana
systemctl start kibana.service
# 使用elastc账户登录kibana
>>>>

Nginx实现访问控制

  • 方法一:使用Nginx Proxy实现
# 安装认证模块
yum install httpd-tools.x86_64 -y
# 创建认证账号
htpasswd -cm /etc/nginx/kibana-user kibana
# 配置nginx
vim /etc/nginx/nginx.conf
server {
        listen       80;
        server_name  kibana;
        auth_basic      "Restricted Access";
        auth_basic_user_file    /opt/nginx/conf/kibana-user;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {
            proxy_pass http://10.10.10.9:5601;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection 'upgrade';
            proxy_set_header Host $host;
            proxy_cache_bypass $http_upgrade;
        }
    }
  • 方法二:使用Nginx Lua实现
>>>>

其他实现访问控制方法

Kafka与Zookeeper安全性

对于Kafka与Zookeeper,其官网都提供了加密(TLS)、认证(SASL)和授权(ACL)的方式来保障安全性。但本节只介绍了Kafka与Zookeeper关于SASL认证的情况,其他的方式大家可以阅读参考资料自行获取。
  • TLS:提供加密,是否能解决未授权访问?未知。
  • SASL:只针对客户端连接访问,无法解决Zookeeper未授权访问;
  • ACL:只针对节点内的授权,无法解决Zookeeper未授权访问;
>>>>

Zookeeper配置SASL认证

Zookeeper是一个分布式服务框架,在Kafka的依赖中,ZK主要用于:
  • 存放Broker节点的配置信息和controller节点的配置信息;
  • 监听父节点的子节点列表来进行controller的选举;
  • partition信息的存储;
下面就是用SASL来对Zookeeper进行认证(实际没什么用):
  1. 修改Zookeeper的配置文件,加入官网提供的配置文件
vim /opt/zookeeper-3.4.14/conf/zoo.cfg
# 在文件末尾添加如下内容
# 打开SASL开关
quorum.auth.enableSasl=true
# 打开Client-to-Server authentication
authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
quorum.cnxn.threads.size=20
# 认证模式使用SASL
requireClientAuthScheme=sasl
  1. 创建Zookeeper的认证文件
vim /opt/zookeeper-3.4.14/conf/zookeeper-server.conf
# 创建一个用户名为kafka,密码为123456的用户信息
Server {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    user_kafka="123456";
};
  1. 修改Zookeeper运行的环境变量
vim /opt/zookeeper-3.4.14/bin/zkServer.sh
# 在140行,nohup后面加入运行的环境变量
# 原文 nohup "$JAVA" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" \
# 添加 -DJava.security.auth.login.config信息
nohup "$JAVA" "-Djava.security.auth.login.config=/opt/zookeeper-3.4.14/conf/zookeeper-server.conf" "-Dzookeeper.log.dir=${ZOO_LOG_DIR}" "-Dzookeeper.root.logger=${ZOO_LOG4J_PROP}" \
  1. 启动Zookeeper验证SASL是否配置成功
# 启动服务端
/opt/zookeeper-3.4.14/bin/zkServer.sh start
# 使用客户端连接
/opt/zookeeper-3.4.14/bin/zkCli.sh
注意图片中被红色框起来的部分,我们会发现即使我们服务端配置了SASL认证,客户端依旧可以连接,那么我们再来使用账号密码连接一下。
  1. 创建客户端认证文件
vim /opt/zookeeper-3.4.14/conf/zookeeper-client.conf
Client {
    org.apache.zookeeper.server.auth.DigestLoginModule required
    username="kafka"
    password="12345";
};
注意配置文件中的密码是错误的,这时我们来使用客户端连接就会出现
我们将密码修改正确后重新连接发现
上述就是Zookeeper配置SASL的全过程,但是我们使用Zookeeper未授权访问脚本测试此时的Zookeeper发现(此时我的端口是开放给外网所有的):
所以SASL不能解决Zookeeper的未授权访问问题。Zookeeper的ACL也不能解决该问题,至于TLS能否解决待研究。
备注:在这里回答为什么我们配置了服务端SASL,客户端不使用账号密码也可以登录,只是会提示unknown error。来自非官方的回答:"Zookeeper认证是插件化架构,SASL只是其中一种方式,故没有Client能进入,错误的不能进入为特性,而非bug。"
所以对于Zookeeper而言,最好的办法就是使用防火墙进行安全防护。
>>>>

Kafka配置SASL认证

在新版本的Kafka中支持SASL的GSSAPI与PLAIN两种认证方式,但是在fIlebeat output kafka配置中只支持SASL/PLAIN,所以我们这里也只测试SASL/PLAIN的方法:
  1. 在上面我们已经配置好了Zookeeper的SASL了,这里我们直接进行Kafka的SASL配置
# 首先修改Kafka服务端配置文件,启动SASL/PLAIN认证
vim /opt/kafka_2.11-2.3.1/config/server.properties
# PLAIN是SASL的一种认证方式,PLAINTEXT是通信过程是明文,不加密。
listeners=SASL_PLAINTEXT://10.10.10.9:9092
# 启用的认证模式PLAIN,也可使用GSSAPI
sasl.enabled.mechanisms=PLAIN
# kafka broker之间也需要使用PLAIN方式认证,也可使用GSSAPI
sasl.mechanism.inter.broker.protocol=PLAIN
# 通信为明文。如果需要使用SSL加密通信,则使用SASL_SSL,不过需要配置证书
security.inter.broker.protocol=SASL_PLAINTEXT
  1. 创建一个Kafka的认证文件
vim /opt/kafka_2.11-2.3.1/config/kafka.conf
# kafkaServer为KafkaServer的SASL
# Client是Kafka用来连接Zookeeper的配置,如果不配置Client,会提示WARN不会报错,原理在上面已经解释过了
KafkaServer {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka_user"
    password="kafka_pass"
    user_producer="producer"
    user_consumer="consumer";
};
Client {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="kafka"
    password="123456";
};
  1. 修改Kafka运行的环境变量
vim /opt/kafka_2.11-2.3.1/bin/kafka-run-class.sh
# 找到KAKFA_OPTS
if [ -z "$KAFKA_OPTS" ]; then
  KAFKA_OPTS="-Djava.security.auth.login.config=/opt/kafka_2.11-2.3.1/config/kafka.conf"
fi
  1. 启动Kafka并测试Kafka认证
# 启动Kafka服务
/opt/kafka_2.11-2.3.1/bin/kafka-server-start.sh -daemon /opt/kafka_2.11-2.3.1/config/server.properties
# 启动Kafka Producer测试是否能使用Kafka,记住先创建一个system-messages的topic
/opt/kafka_2.11-2.3.1/bin/kafka-console-producer.sh --broker-list 10.10.10.9:9092 --topic system-messages
如图证明我们没有配置客户端的账号密码就不能使用Kafka。
  1. 配置Kafka Client SASL认证
# 首先是修改Producer的配置文件
vim /opt/kafka_2.11-2.3.1/config/producer.properties
# 在文件末尾添加如下内容
# 如果不添加还是不能使用
security.protocol=SASL_PLAINTEXT
sasl.mechanism=PLAIN
# 其次是创建Kafka认证的文件,我这里Kafka CLient与Server是同一台,所以配置文件我写在同一个文件中
vim /opt/kafka_2.11-2.3.1/config/kafka.conf
# 在文件末尾添加如下内容
KafkaClient {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="producer"
    password="producer";
};
如果不是使用同一个文件,需要单独配置运行环境变量。
  1. Kafka客户端配置完成后,我们再来测试
# 切记,必须制定producer的配置文件
/opt/kafka_2.11-2.3.1/bin/kafka-console-producer.sh --broker-list 10.10.10.9:9092 --topic system-messages
  1. 与Producer一样的配置Consumer。如果你与小B一样使用的是一个配置文件就不用重复配置了,如果不是记得配置,并且需要指定运行环境变量。
>>>>

Filebeat与Logstash配置Kafka

  1. 首先是Filebeat成为Kafka的Producer
vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/test.log
output.kafka:
  hosts: ["10.10.10.9:9092"]
  topic: "test"
  username: "producer"
  password: "producer"
  1. 其次就是Logstash成为Kafka的Consumer
vim /etc/logstash/conf.d/kafka.conf
input {
	kafka {
		bootstrap_servers => "10.10.10.9:9092"
		security_protocol => "SASL_PLAINTEXT"
		sasl_mechanism => "PLAIN"
		jaas_path => "/etc/logstash/kafka-client-jaas.conf"
		topics => ["test"]
	}
}
output {
    stdout {}
}
# 配置Kafka的Client信息
vim /etc/logstash/kafka-client-jaas.conf
KafkaClient {
    org.apache.kafka.common.security.plain.PlainLoginModule required
    username="consumer"
    password="consumer";
};
好了,平台安全性就先讲这么多吧!
未完待续。。。
 
- HISTORY -
《日志分析系列(一):介绍篇》
《日志分析系列(二):平台实现篇》
《日志分析系列(外传一):Nginx透过代理获取真实客户端IP
《日志分析系列(外传二):Nginx日志统一化

阅读原文

跳转微信打开

]]> Mon, 13 Jan 2020 08:00:00 +0800 日志分析系列(二):平台实现篇 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483869&idx=1&sn=5b43cdc88622a39b9f3eddf930d653cc 本系列故事纯属虚构,如有雷同纯属巧合平台实现前的说明小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立 原创 bloodzer0 2020-01-06 08:15

本系列故事纯属虚构,如有雷同纯属巧合平台实现前的说明小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立

本系列故事纯属虚构,如有雷同纯属巧合

平台实现前的说明

小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业与开源的日志分析平台架构,大家都神似如下图:
知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面:
  • 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。假设运维已经有一套ELK,就没有必要重复搭建,只需要与之结合优化数据源与增加安全分析场景即可。
  • 技术实力:负责统一日志分析平台人员的技能栈。
  • 产品自身优劣:不同产品有各自最适用的场景,所以选择合理产品是核心依据。
小B在选择产品时,参考了一些些资料(见参考资料)。
在经过一番对比之后,小B最终选择了以下产品来实现统一日志分析平台:
下面就容小B细细道来实现统一日志分析平台的那些心酸历程:(如果大家尝试复现小B的统一日志分析平台,请优先阅读踩坑记录,在文章末尾)
小B的统一日志分析平台结构(简易版,实际要复杂的多,这里只是一个Demo环境):
搭建过程,我就不一一描述了,搭建自己可以查询相关产品的安装文档或者:
https://bloodzer0.github.io/ossa

实现日志采集处理与展示

>>>>

服务器日志

首先关注的是服务器上的日志,Q公司所有的服务器都是Linux(Centos7.x),极大的减少了小B的工作:

服务器日志采集

  • /var/log/audit/audit.log:审计日志,跟用户相关的日志。
  • /var/log/cron:记录与系统定时任务相关的日志。
  • /var/log/messages:记录系统中主要信息的日志。
  • /var/log/secure:记录验证和授权方面信息的日志,如:ssh登录、su切换用户、sudo授权等。
  • /var/log/yum.log:记录yum安装软件信息。
关于服务器日志采集filebeat提供了两种采集方法:
  • 方法一:直接写配置文件采集:vim /etc/filebeat/filebeat.yml
  • 方法二:使用filebeat模块来收集,使用模块收集也是我们本次采用的方法。因为使用模块内置了pipeline可以解析服务器日志,并且在Kibana中提供了很多图表,减少我们的工作时间。备注:这里有坑,详情请看踩坑0x02
# 首先在我们的测试服务器上安装filebeat
rpm -ivh filebeat-7.4.1-x86_64.rpm
# 修改filebeat配置文件中的ES和Kibana地址,并初始化filebeat
vim /etc/filebeat/filebeat.yml
setup.kibana:
  host: "10.10.10.9:5601"
  
output.elasticsearch:
  hosts: ["10.10.10.9:9200"]
# 初始化filebeat
filebeat setup
# 启动filebeat模块
filebeat modules enable system
filebeat modules enable auditd
# 初始化filebeat模块的pipelines
filebeat setup --pipelines --modules system
filebeat setup --pipelines --modules auditd
# 修改system模块中日志文件路径
vim /etc/filebeat/modules.d/system.yml
- module: system
  syslog:
    enabled: true
    var.paths: ["/var/log/messages"]
  auth:
    enabled: true
    var.paths: ["/var/log/secure"]
# 修改audit模块中日志文件路径
vim /etc/filebeat/modules.d/auditd.yml
- module: auditd
  log:
    enabled: true
    var.paths: ["/var/log/audit/audit.log"]
# 修改filebeat配置文件中输出 为Kafka
vim /etc/filebeat/filebeat.yml
# output.elasticsearch:
#   hosts: ["10.10.10.9:9200"]
output.kafka:
  hosts: ["10.10.10.9:9092"]
  topics:
    # 这里的含义:当存在@metadata.pipeline字段时(这个字段是使用module默认生成的字段),topic命名为%{[service.type]}-%{[fileset.name]}
    # 在这里推荐大家,如果不想使用我这种命名方式,可以使用kafka消费者查看详细信息,从信息中获取字段来命名
    - topic: '%{[service.type]}-%{[fileset.name]}'
      when.has_fields: ["@metadata.pipeline"]
# 测试配置文件
filebeat test config -c /etc/filebeat/filebeat.yml
# 启动filebeat
filebeat -e
一旦filebeat开始工作,我们就可以看到在kafka服务器上新增了三个topic:
这里我使用kafka消费topic查看日志消息内容,大家使用不同命名格式时也可以从这里获取。甚至可以在每一个topic的名称中包含客户端信息。
接下来我们需要使用logstash接受kafka的消息,并输出到ES中。需要注意的是,由于我们使用的是filebeat采集并且在ES与Kibana的配置中也是使用filebeat开头的template信息,所以我们输出的index前缀不要轻易修改,可以在中间添加我们需要的信息。
# 创建Logstash配置文件
vim /etc/logstash/conf.d/system.conf
input {
    kafka {
        bootstrap_servers => "10.10.10.9:9092"
        topics => ["system-auth","system-syslog","auditd-log"]
        codec => json
    }
}
output {
    if [@metadata][pipeline] and [@metadata][topic] == "auditd-log" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "%{[@metadata][beat]}-%{[@metadata][version]}-audit-log-%{+YYYY.MM.dd}"
            pipeline => "%{[@metadata][pipeline]}"
        }
    }
    else if [@metadata][pipeline] and [@metadata][topic] == "system-syslog" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "%{[@metadata][beat]}-%{[@metadata][version]}-system-syslog-%{+YYYY.MM.dd}"
            pipeline => "%{[@metadata][pipeline]}"
        }
    }
    
    # **********
}
# 启动Logstash
/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d
# 查看Kibana中的索引信息

服务器日志展示

当一切完成后,我们可以在Kibana的Dashboard中查看默认配置好的图表:
总结一下: 对于服务器日志的收集处理小B觉得,如果你后续还考虑接入入侵检测与防护系统的日志的话,对于服务器日志这块相对可以忽略部分,因为这里能够分析处理的日志内容在入侵检测与防护日志中也能体现。
>>>>

Web日志

Q公司使用的Web服务器是Nginx,所以只需要对日志统一化,就很好处理

Web日志采集

  • 方式一:使用Filebeat Module,但是如果自定义了日志格式,需要修改Filebeat的pipeline规则:vim /usr/share/filebeat/module/nginx/access/ingest/default.json
  • 方式二:自己写Pattern解析,我们这里使用此种方法。
# 首先修改采集端filebeat的配置
vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  paths:
    - /opt/nginx/logs/access.log
  fields:
    nginx: access
  json.keys_under_root: true
  json.overwrite_keys: true
output.kafka:
  hosts: ["10.10.10.9:9092"]
  topics:
    - topic: '%{[service.type]}-%{[fileset.name]}'
      when.has_fields: ["@metadata.pipeline"]
    - topic: 'nginx-access'
      when.has_fields: ["fields.nginx"]
# 修改Logstash配置
vim /etc/logstash/conf.d/nginx.conf
input {
    kafka {
        bootstrap_servers => "10.10.10.9:9092"
        topics => ["nginx-access"]
        codec => json
    }
}
output {
	if [fields][nginx] == "access" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "nginx-access-%{+YYYY.MM.dd}"
        }
    }
}

Web日志展示

总结一下: Web服务的日志很多时候是我们关注的重点,这里只是展示了采集与简单处理,在后续的分析篇中会提到更多关于Web日志的分析技巧。
>>>>

堡垒机日志

堡垒机日志采集

Q公司使用的堡垒机是开源JumpServer,版本信息是:1.5.4-2,JumpServer的相关信息在MySQL中,需要分析可以将结果从MySQL中获取,对于JumpServer日志分析也有两种方法:
  • 写定时SQL将结果导出到文件中,在使用filebeat从文件中读取。
  • 直接使用logstash jdbc input plugin,远程获取,我们这里使用此种方法(此种方法是没有使用到filebeat的)。
# 配置jumpserver Logstash采集
vim /etc/logstash/conf.d/jumpserver.conf
input {
  jdbc {
    jdbc_driver_library => "/usr/share/logstash/logstash-core/lib/jars/mysql-connector-java-5.1.36.jar"
    jdbc_driver_class => "com.mysql.jdbc.Driver"
    jdbc_paging_enabled => "true"
    jdbc_connection_string => "jdbc:mysql://10.10.10.6:3306/jumpserver"
    jdbc_user => "root"
    jdbc_password => "root"
    schedule => "*/1 * * * *"
    statement => "select * from terminal_session where date_start >= SUBDATE(now(),interval 481 minute)"
    type => "terminal_session"
  }
  jdbc {
    jdbc_driver_library => "/usr/share/logstash/logstash-core/lib/jars/mysql-connector-java-5.1.36.jar"
    jdbc_driver_class => "com.mysql.jdbc.Driver"
    jdbc_paging_enabled => "true"
    jdbc_connection_string => "jdbc:mysql://10.10.10.6:3306/jumpserver"
    jdbc_user => "root"
    jdbc_password => "root"
    schedule => "*/1 * * * *"
    statement => "select id,user,asset,system_user,input,session,timestamp,org_id from terminal_command where FROM_UNIXTIME(timestamp) >= SUBDATE(now(),interval 1 minute);"
    type => "terminal_command"
  }
}
output {
    if [type] == "terminal_session" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "jumpserver-session-%{+YYYY.MM.dd}"
        }
    }
    else if [type] == "terminal_command" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "jumpserver-command-%{+YYYY.MM.dd}"
        }
    }
}

堡垒机日志展示

总结一下: 对于堡垒机或者其他网络运维设备的日志,我们更多时候是将日志统一到日志平台中,然后进行展开的深入分析,包括:
  • 异常的登录时间、地址位置、用户信息;
  • 异常的操作行为等等;
这些都将在后续的分析中慢慢放出来。
>>>>

入侵检测系统日志

对于入侵检测系统,这里介绍两种开源的系统:Bro(Zeek)与Wazuh,前者在Elastic 7.x版本之后以SIEM形式提供支持,Wazuh自身可以与Elastic集成。所以这里也介绍两种入侵检测系统的日志收集处理展示方式:

使用Elastic SIEM

  • 安装Bro网络入侵检测系统
# 安装依赖
yum install cmake.x86_64 gcc.x86_64 gcc-c++.x86_64 flex.x86_64 bison.x86_64 libpcap.x86_64 libpcap-devel.x86_64 openssl-devel.x86_64 python-devel.x86_64 swig.x86_64 zlib-devel.x86_64 -y
# 配置yum源
wget http://download.opensuse.org/repositories/network:bro/CentOS_7/network:bro.repo -O /etc/yum.repos.d/network:bro.repo
yum install bro.x86_64 -y
# 配置环境变量
echo 'export PATH=/opt/bro/bin:$PATH' >> /etc/profile
source /etc/profile
  • 修改Bro的日志格式
vim /opt/bro/share/bro/site/local.bro
# 在文件末尾添加
@load tuning/json-logs
redef LogAscii::json_timestamps = JSON::TS_ISO8601;
redef LogAscii::use_json = T;
  • 启动bro进行监控,启动前请修改配置文件(百度获取)
  • 收集Bro日志到Elastic SIEM
# 启动zeek模块,执行这里时需要将output.kafka注释,还原output.elasticsearch
filebeat setup --pipelines --modules zeek
# 如果你已经执行初始化就不用重复执行了
filebeat -e
# Filebeat的配置文件与收集系统日志一致,只需要修改logstash的配置文件的input中的topic内容
input {
    kafka {
        bootstrap_servers => "10.10.10.9:9092"
        topics => ["system-auth","system-syslog","auditd-log","zeek-connection","zeek-dns","zeek-http","zeek-files"]
        codec => json
    }
}
# output内容不用变换,只需要替换条件即可

使用Wazuh+Elastic

关于Wazuh安装过程,我这里就不重复补充了,唯一说明一下是:在Filebeat的新版本中(没有具体测试从哪个版本开始)不支持多个output,所以我们这里还是output到kafka再到ES中。
  • 修改filebeat的配置文件:vim /etc/filebeat/filebeat.yml
filebeat.modules:
  - module: wazuh
    alerts:
      enabled: true
    archives:
      enabled: false
setup.template.json.enabled: true
setup.template.json.path: '/etc/filebeat/wazuh-template.json'
setup.template.json.name: 'wazuh'
setup.template.overwrite: true
setup.ilm.enabled: false
output.kafka:
  hosts: ["10.10.10.9:9092"]
  topics:
    - topic: '%{[service.type]}-%{[fileset.name]}'
      when.has_fields: ["@metadata.pipeline"]
  • 修改logstash配置文件:vim /etc/logstash/conf.d/wazuh.conf
input {
    kafka {
        bootstrap_servers => "10.10.10.9:9092"
        topics => ["wazuh-alert"]
        codec => json
    }
}
output {
    if [@metadata][pipeline] and [@metadata][topic] == "auditd-log" {
        elasticsearch {
            hosts => ["10.10.10.9:9200"]
            index => "wazuh-alerts-3.x-%{+YYYY.MM.dd}"
        }
    }
}
总结一下: 对于入侵检测与防护系统、WAF、防火墙等安全设备的日志,我们更多是收集日志做展示,需要基础的分析,因为日志自身本就是经过分析的,我们需要做的是对这些日志进行深入挖掘。
在本篇的平台实现就先到这里了,大致体现了几种不同类型的:收集方式 --> 存储 --> 展示 。因为篇幅原因不想写的太冗长影响阅读。后续还会有一些番外传:
  • 利用大数据处理日志信息;
  • 基于Elastic的监控报警系统;
  • 统一日志分析平台的安全性;

踩坑记录

对于踩坑,最好的帮助就是多搜索,多看看官方的说明文档,所有的问题都会迎刃而解。

0x01 Filebeat output.kafka无法输出数据

必须在filebeat的客户端机器上配置域名解析:vim /etc/hosts
10.10.10.9      big_data

0x02 Logstash解析系统日志失败

如果大家使用Logstash自带的解析规则,在某些情况下会出现解析系统日志失败的情况,原因是因为:系统主机名包含下划线时会解析失败,我们来看一下Logstash中关于主机名部分的解析规则:vim /usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns
此时的配置在出现下划线时就不能被正确解析
所以如果我们要使用,需要修改成如下图所示
# 将 HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b) 修改为
HOSTNAME \b(?:[0-9A-Za-z][0-9A-Za-z_-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z_-]{0,62}))*(\.?|\b) # 注意看两者多了两个下划线
如果使用Filebeat的模块,也会出现这个问题。

0x03 Logstash使用jdbc input

/usr/share/logstash/bin/logstash-plugin install logstash-input-jdbc
wget https://repo1.maven.org/maven2/mysql/mysql-connector-java/5.1.36/mysql-connector-java-5.1.36.jar -O /usr/share/logstash/logstash-core/lib/jars/mysql-connector-java-5.1.36.jar
chown logstash:logstash /usr/share/logstash/logstash-core/lib/jars/mysql-connector-java-5.1.36.jar
chmod 644 /usr/share/logstash/logstash-core/lib/jars/mysql-connector-java-5.1.36.jar

0x04 Kibana无法加载Wazuh-API配置页面

错误图:
原因分析:对比了官方的安装文档,如果在安装Kibana的插件时,使用root用户,那么就会报错。是因为使用root用户安装插件导致插件中的版本文件丢失。
解决方案:
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp-3.10.2_7.4.1.zip
 
- 参考资料 -
《Apache流框架Flink、Spark Streaming、Storm对比分析》:https://bigdata.163yun.com/product/article/5
《Difference Between Apache Kafka and Flume》https://www.educba.com/apache-kafka-vs-flume/
《Flume、Logstash、Filebeat调研报告》:https://www.twblogs.net/a/5d24244bbd9eee1ede06988b/zh-cn
《Log Monitoring and Analysis: Comparing ELK, Splunk and Graylog》:https://devops.com/log-monitoring-and-analysis-comparing-elk-splunk-and-graylog/
《System Properties Comparison ElasticSearch vs. HBase vs. Hive》:https://db-engines.com/en/system/Elasticsearch%3BHBase%3BHive
《多种日志收集工具比较》:
https://www.cnblogs.com/wzj4858/p/8252730.html
《详解日志采集工具--Logstash、Filebeat、Fluentd、Logagent对比》:
https://juejin.im/post/5cc121abf265da036b4a683f

- HISTORY -
《日志分析系列(一):介绍篇》
《日志分析系列(外传一):Nginx透过代理获取真实客户端IP》
《日志分析系列(外传二):Nginx日志统一化》

阅读原文

跳转微信打开

]]> Mon, 06 Jan 2020 08:15:00 +0800 日志分析系列(外传二):Nginx日志统一化 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483868&idx=1&sn=c66ce6cf610faf3f10b5bf0011d5386d 本系列中的故事纯属虚构,如有雷同实属巧合 原创 bloodzer0 2019-12-30 09:00

本系列中的故事纯属虚构,如有雷同实属巧合

本系列故事纯属虚构,如有雷同纯属巧合

为了完成对Nginx服务器的日志分析,小B对Q公司的Nginx日志做了统一化要求。下面是小B在统一化过程中遇到的一些知识点:

Nginx日志与字段解析

Q公司的Nginx版本信息是:1.17.6,使用编译安装,安装过程如下:

yum install zlib-devel.x86_64 zlib.x86_64 openssl.x86_64 openssl-devel.x86_64 pcre-devel.x86_64 -y
# 安装lua支持,后续的response_body需要# 这里有坑,解决方案见最后wget http://luajit.org/download/LuaJIT-2.0.5.tar.gztar -xf LuaJIT-2.0.5.tar.gz -C /opt/ && cd /opt/LuaJIT-2.0.5/make install PREFIX=/usr/local/luajit
echo 'export LUAJIT_LIB=/usr/local/luajit/lib' >> /etc/profileecho 'export LUAJIT_INC=/usr/local/luajit/include/luajit-2.0' >> /etc/profilesource /etc/profile
# 下载ngx_devel_kitwget https://github.com/simpl/ngx_devel_kit/archive/v0.3.1.tar.gztar -xf v0.3.1.tar.gz -C /opt/
# 下载lua-nginx-module# 这里有坑,解决方案见最后wget https://github.com/openresty/lua-nginx-module/archive/v0.10.15.tar.gztar -xf v0.10.15.tar.gz -C /opt/
# 下载nginxwget https://nginx.org/download/nginx-1.17.6.tar.gztar -xf nginx-1.17.6.tar.gz && cd nginx-1.17.6/
# 安装nginx./configure --prefix=/opt/nginx --with-http_realip_module --with-http_ssl_module --with-pcre --with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib --add-module=/opt/lua-nginx-module-0.10.15 --add-module=/opt/ngx_devel_kit-0.3.1
make -j2 && make install
  • Nginx原始日志格式:vim /opt/nginx/conf/nginx.conf
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
  • 原始Nginx的日志为:tail -n 1 -f /opt/nginx/logs/access.log
10.10.10.1 - - [18/Dec/2019:13:27:27 +0800] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.79 Safari/537.36" "-"
>>>>  Nginx日志字段解析
首先小B需要弄明白Nginx日志中每个字段的含义:
>>>>  Nginx获取body信息

在Q公司目前的架构中,使用GET传递参数的方式已经很少了,为了了解攻击者是否在body中嵌入攻击payload以及了解攻击者获取到了什么结果,小B需要采集body的日志信息。

打印request_body

打印request_body有两种方式:一种是使用nginx的模块;另外一种是使用lua编写脚本,如果需要限制nginx收集request_body的长度,最好使用后者。

  • 使用nginx ngx_http_core模块采集request_body

ngx_http_core模块官网地址 http://nginx.org/en/docs/http/ngx_http_core_module.html 中有一段关于采集request_body的说明,内容如下:

The variable’s value is made available in locations processed by the proxy_pass, fastcgi_pass, uwsgi_pass, and scgi_pass directives when the request body was read to a memory buffer.

# 首先修改配置文件,我这里采集的日志只有request_body字段vim /opt/nginx/conf/nginx.conf
    log_format  main    $request_body;
    access_log  logs/access.log  main;
        location / {            root   /opt/nginx/html;            # 以下为添加内容            fastcgi_pass 127.0.0.1:9000;            fastcgi_index index.php;            fastcgi_param SCRIPT_FILENAME       $document_root$fastcgi_script_name;            include fastcgi_params;        }

此时Nginx的日志为:

使用ngx_http_core模块收集日志有没有办法限制request_body的长度呢?其实是有的。

在nginx配置文件中的http{}里面添加client_max_body_size 1k;即可。

但是这个配置是不允许用户上传超过1K大小的body内容,如果用户需要上传图片,业务可能就无法正常运行,所以不推荐使用此种方法。

我们在这里测试一下ngx_http_core的内容限制:

# 我这里使用1024个A来测试,我的配置是否有效curl -XPOST "http://10.10.10.13/test.php?id=123" -H "X-Forwarded-For: 10.10.10.5" -H "Referer: http://10.10.10.13" --data "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"

此时Nginx正常打印出了request_body。

# 如果我们超过1024个字节,就会报错,注意1024个A后面有一个1curl -XPOST "http://10.10.10.13/test.php?id=123" -H "X-Forwarded-For: 10.10.10.5" -H "Referer: http://10.10.10.13" --data "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA1"

此时Nginx无法打印request_body。

  • 使用lua编写脚本采集request_body
# 修改nginx的配置文件vim /opt/nginx/conf/nginx.conf

    log_format  main    $request_body_head;
    access_log  logs/access.log  main;
        location / {            root   /opt/nginx/html;            # 以下为添加内容            set $request_body_head      "";            content_by_lua_block {                ngx.req.read_body()                local   req_body = ngx.req.get_body_data()                # 这里的1000代表我们截取request_body的长度,不要取的太长,否则容易导致日志过大                ngx.var.request_body_head =  req_body:sub(1,1000)            }        }

此时Nginx的日志为:

打印response_body

对于response_body我们只有使用lua编写脚本来采集。

  • 修改nginx的配置:vim /opt/nginx/conf/nginx.conf
    server {        listen       80;        server_name  localhost;        # 以下为添加内容        lua_need_request_body   on;        set $response_body      "";        body_filter_by_lua      '            # 这里的1000就代表截取response_body的长度,不要取的太长,否则容易导致日志过大            local       response_body = string.sub(ngx.arg[1],1,1000)            ngx.ctx.buffered =  (ngx.ctx.buffered or "")        ..      response_body            if ngx.arg[2] then                ngx.var.response_body = ngx.ctx.buffered            end            ';    }

此时Nginx的日志为:

request_body与response_body如果在上传文件或者下载文件时,内容会很大,采集全部内容需要考虑对系统、Nginx性能和日志存储等方面的影响。如果采集的body内容太短,也会导致采取不到我们想要的信息,所以根据业务取一个合理阈值。

>>>>  nginx-->syslog-->logstash

小B在测试中与朋友交流得知,可以将nginx日志直接传输到logstash中而不落盘,但是这种方法传输的日志不可靠,并且会对nginx产生性能影响,可以在测试的时候使用。

  • nginx配置文件:vim /opt/nginx/conf/nginx.conf
    log_format  logstash  '$remote_addr - $remote_user [$time_local] "$request" '                          '$status $body_bytes_sent "$http_referer" '                          '"$http_user_agent" "$http_x_forwarded_for"';    # access_log  logs/access.log  main;    access_log  syslog:server=127.0.0.1:514,nohostname,tag=nginx_access logstash;
  • logstash配置文件:vim /etc/logstash/conf.d/nginx.conf
input {    udp {        host => "127.0.0.1"        port => 514    }}output {    stdout {}}
  • 执行logstash,并查看效果:/usr/share/logstash/bin/logstash -f /etc/logstash/conf.d

统一Nginx日志格式

在完成了调研之后,小B就开始统一所有的日志字段了,为了方便后续查询分析操作,小B决定所有的字段采用JSON格式存盘,并且添加了运维、安全、研发都关注的字段。

  • 修改配置文件:vim /opt/nginx/conf/nginx.conf
# 完整的nginx配置
worker_processes  1;events {    worker_connections  1024;}
http {    include       mime.types;    default_type  application/octet-stream;    log_format main     escape=json '{'                                        '"timestamp": $time_local '                                        '"remote_addr": $remote_addr '                                        '"remote_user": "$remote_user '                                        '"request_method": $request_method '                                        '"request_uri": "$request_uri" '                                        '"request_protocol": "$server_protocol" '                                        '"request_length": $request_length '                                        '"request_time": $request_time '                                        '"request_body_head": "$request_body_head" '                                        '"response_status": $status '                                        '"body_bytes_sent": $body_bytes_sent '                                        '"bytes_sent": $bytes_sent '                                        '"response_body": "$response_body" '                                        '"http_referer": "$http_referer" '                                        '"http_user_agent": "$http_user_agent" '                                        '"http_x_forwarded_for": "$http_x_forwarded_for" '                                        '"http_host": "$http_host" '                                        '"server_name": "$server_name" '                                        '"upstream_addr": "$upstream_addr" '                                        '"upstream_status": $upstream_status'                                        '}';                                            access_log  logs/access.log  main;    sendfile        on;    keepalive_timeout  65;        server {        listen       80;        server_name  localhost;      lua_need_request_body   on;      set $response_body      "";      body_filter_by_lua      '          local       response_body = string.sub(ngx.arg[1],1,1000)          ngx.ctx.buffered =  (ngx.ctx.buffered or "")        ..      response_body          if ngx.arg[2] then            ngx.var.response_body = ngx.ctx.buffered          end      ';
        location /lua {          root  html;          index  index.html;          set $request_body_head      "";          content_by_lua_block {            ngx.req.read_body()            local   req_body = ngx.req.get_body_data()            ngx.var.request_body_head =  req_body:sub(1,1000)          }        }
        error_page   500 502 503 504  /50x.html;        location = /50x.html {            root   html;        }    }}

此时Nginx的日志为:

>>>>  小结一下
  • 对于timestamp参数,可以不使用time_local而使用time_iso8601。
  • 如果运维对于网络的性能有要求,可以考虑使用$tcpinfo_rtt, $tcpinfo_rttvar, $tcpinfo_snd_cwnd, $tcpinfo_rcv_space这些参数可能需要我们给nginx添加其他模块。

踩坑记录

>>>>  启动nginx报错
  • 由于luajit导致的报错
nginx: [alert] detected a LuaJIT version which is not OpenResty's; many optimizations will be disabled and performance will be compromised (see https://github.com/openresty/luajit2 for OpenResty's LuaJIT or, even better, consider using the OpenResty releases from https://openresty.org/en/download.html)

解决方案:卸载原有的luajit

wget https://github.com/openresty/luajit2/archive/v2.1-20190912.tar.gztar -xf v2.1-20190912.tar.gz && cd luajit2-2.1-20190912/make install PREFIX=/usr/local/luajit
echo 'export LUAJIT_LIB=/usr/local/luajit/lib' >> /etc/profileecho 'export LUAJIT_INC=/usr/local/luajit/include/luajit-2.1' >> /etc/profilesource /etc/profile
  • 由于lua-nginx-module导致的报错
nginx: [error] lua_load_resty_core failed to load the resty.core module from https://github.com/openresty/lua-resty-core; ensure you are using an OpenResty release from https://openresty.org/en/download.html (rc: 2, reason: module 'resty.core' not found:

解决方案:不要使用v0.10.15,使用14就没有问题了

wget https://github.com/openresty/lua-nginx-module/archive/v0.10.14.tar.gztar -xf v0.10.14.tar.gz -C /opt/
# 安装nginx./configure --prefix=/opt/nginx --with-http_realip_module --with-http_ssl_module --with-pcre --with-ld-opt=-Wl,-rpath,/usr/local/luajit/lib --add-module=/opt/lua-nginx-module-0.10.14 --add-module=/opt/ngx_devel_kit-0.3.1
make -j2 && make install

 

- 参考资料 -

《Nginx安装Lua支持》:http://1t.click/b6ru

《Nginx安装lua-nginx-module》http://1t.click/b6tw


- HISTORY -

《日志分析系列(一):介绍篇》

《日志分析系列(外传一):Nginx透过代理获取真实客户端IP

阅读原文

跳转微信打开

]]> Mon, 30 Dec 2019 09:00:00 +0800 日志分析系列(一):介绍篇 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483849&idx=1&sn=cdb1bbe88e24156df44b12f531c48456 小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。 原创 bloodzer0 2019-12-23 09:00

小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。

本系列故事纯属虚构,如有雷同实属巧合

小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。

听到此话的小B冷汗连连,找到最近几次攻击的记录文档,认真剖析未发现真相的原因,总结如下:

  • 系统未记录日志:部分系统无日志信息可用。
  • 日志信息无备份:日志被攻击者删除,或因存储空间不够被删除,无备份日志可用。
  • 采集维度不详细:日志格式为默认配置,不够详细,不能从中提取太多有效价值信息。
  • 采集信息不准确:类似IP等用户识别维度信息不准确,不能定位到攻击者。
  • 记录结果不统一:相同字段在不同的日志中类型不统一,无法进行日志关联。

找到了原因,小B就知晓了要想解决这些问题,就必须实现统一日志分析平台。拥有了这个平台,那么在下一次面对攻击时就不会那么两眼一抹黑了。

小B说目的

建设统一日志分析平台,小B需要先向领导汇报得到领导的支持。首要就是向领导说明搭建统一日志分析平台的目的。

日志分析在企业内部是一项很基础的核心技术,不光运用在安全团队中,还运用在IT研发团队、业务团队中。不同的是目的:

  • 从安全来看:安全团队提取日志分析主要是为了发现未知安全事件、对已知的安全事件进行溯源分析还有另外一个很重要的目的是国家层面的监管合规要求
  • 从IT研发来看:企业内部的非安全技术团队做日志分析主要也是为了发现位置问题、分析已知问题,主要集中在:系统监控、APM(APM包含了研发团队关注的所有监控项)。
  • 从业务来看:业务团队对于日志分析的需求,更多集中在风险控制、运营推广、用户画像、网站画像等方面。

日志躺在硬盘中毫无价值,通过日志分析技术能实现日志信息的价值化。日志价值体现程度越高,也能变相反映公司的技术实力。

日志分析的更新换代

日志分析并不是一项新颖的技术了,虽然现在有人给它换了很多新衣。但是对于只有较小安全团队的公司来说,不要追求高大上的地图炮,需要的是实际解决问题的思路或工具,哪怕是一段只有20行的命令脚本都可以。从古至今,小B将日志分析经历划分成了4个时代:

石器时代: 这个时代大家在做日志分析的时候更多依靠的是Excel、终端命令(awk、grep、sort、uniq、wc等)。在这里推荐大家阅读 Web日志安全分析技巧 与 Web日志安全分析浅谈(https://xz.aliyun.com/t/1121),其中提到了关于使用命令来进行安全分析的案例。

铁器时代: 这个时代大家在做日志分析的时候更多依靠的是脚本工具(自写工具)、简易交互式工具(logwatch、logparser)等。

工业时代: 这个时代大家在做日志分析的时候相比前两个时代已经有了太多的进步了,各种开源、免费、付费的软件可供选择,比如:Elastic系列、Splunk、ArcSight等等。

未来时代: 这个时代大家在做日志分析的时候我不知道会用到什么,但是从目前来看,机器学习、人工智能应该是核心之一。

小B是这么认为的:不论我们处在哪个时代,过去的思路与工具都有着不可替代之处。因为那是一个时代经历了优胜劣汰之后留下的优秀产物,本质上新时代的产品也是经历史长河演变而来。(内心OS:有小部分的工具或系统是辣鸡的,大家慎用!)

如何实现统一日志分析平台

>>>>

统一日志分析架构

实现统一日志分析平台在不同企业中各不相同。主要表现在:平台对企业的适用性、企业自身的技术能力、技术团队对产品的优劣选择不同等。但是核心的架构基本还是如下图所示:

>>>>

实现统一日志分析难点

  • 难度1:技术难点
    • 复杂的网络环境如何来采集信息?
    • 繁杂的日志类型如何定义统一解析规则?
    • TB甚至PB级别的日志如何快速查询?
    • 地图炮无用什么才是最好的展示方式?
    • 每天被报警打晕,如何自救?
  • 难度2:人,主要体现在没有良好的沟通撕逼撕不过
    • 推动力度不够:老板不重视或伪重视;
    • 推动阻力太大:别人是老板,你是工程师

小B作为一个安全工程师,理所当然的认为安全是最重要的(其实这是错误的),但是小B也会灵活变通勾兑IT研发团队、业务团队一起推动,人多力量大。虽然大家的分析目的不一致,但是统一日志分析平台架构是大家都需要的。

>>>>

安全场景下的分析思路

如果硬要给安全场景分类的话,小B会分为:已知场景和未知场景。在已知场景中,我们常用的分析手法包括:基于正则表达式分析、基于统计聚合分析、基于关联分析;在未知场景中,我们使用的分析方法主要是数据挖掘,从数据中挖掘未知的东西。

基于正则表达式分析

此类的分析方法主要适用于常见带有特征的攻击场景,比如:

  • 特定Payload场景:SQL注入、XSS、Bypass WAF等,可以总结为基于规则库进行分析;
  • 特定关键字场景:爬虫(特定UA、Cookie等);

基于统计与聚合分析

此类的分析方法是:尽可能在不同维度下进行统计与聚合,根据统计聚合结果挖掘有价值的信息。最常见的就是分析场景就是:单位时间内的某个客户端对某个服务端的操作信息。

基于关联分析

此类的分析方法,需要有一定的基础数据,通过关联分析来举一反三,比如

  • 与外部情报关联分析:企业可以购买威胁情报(微步、威胁猎人)来关联内部的日志数据从而发现风险,比如:通过购买恶意域名情报,然后通过办公网出口流量与日志分析看是否有访问记录,如果有就可能代表内部有人中了木马或病毒。
  • 与内部情报关联分析:以前面分析技术得到的结果作为依据标准来进行关联分析发现其他风险,比如:找到了一个恶意的用户IP,然后在日志分析系统中查找该IP的其它行为,说不定有意外收获,在IP这个维度要注意IP自身的属性信息。

数据挖掘分析

  • 异常场景分析:通过聚类、分类等数据挖掘方法分析单点异常、上下文异常、集体异常等。
  • 未知场景分析:通过机器学习算法识别0Day、Bypass技巧等。

日志分析的思路:思考各种场景,合理利用已有信息与可获取信息从而让信息产生价值。

>>>>

优化日志平台

统一日志分析平台不是简单的有一套系统,做个大屏biubiubiu就完事了的。搭建日志分析平台是一项集技术、沟通撕逼、运营的老大难项目,50%的人死在了起点、30%的人死在了中途、15%的人死在了成功的前一步,只有5%的人做好了这个平台。

日志分析坑太多,如果领导支持人力与财力,就可以考虑买一套产品再有人来维护是最好的状态!如果领导不支持人力与财力,算了吧!利用运维的东西做一做也挺好。

统一日志分析平台的工作在小B看来可以简单分为2个阶段:

  1. 平台实现:日志规范化 --> 日志采集 --> 日志存储 --> 日志分析 --> 日志展示 --> 告警实现,在这些部分中,小B认为日志规范化是很重要的一步,因为这个步骤是牵扯到与其他团队的配合最多的一步,尽可能的把要做的工作集中一次性完成(虽然这是不可能的)。
  2. 平台优化:这个阶段是对平台实现中的每一个步骤进行优化。

对于平台优化又可以简单细分为(小B能想到的就这么多):

  • 规范优化
    • 日志种类优化:系统、服务、应用、业务等日志都需要采集;
    • 日志字段优化:采集尽可能多且有用的信息;
    • 日志格式优化:从TXT到JSON(从JSON到Protocol Buffer);
  • 采集优化:从Rsyslog到Logstash、从Logstash到Flume、Filebeat(主要是对客户端系统性能影响优化);
  • 传输优化:从无到有的消息队列、从不可靠传输(UDP)到可靠传输(TCP)、从无加密到加密(SSL);
  • 存储优化:从文本存储到数据库存储、从数据库存储到分布式文件系统;
  • 分析优化:从单一场景到多场景、从经验之谈到数据分析技巧;
  • 展示优化:从地图炮到直观安全风险展示、从单一到丰富;
  • 告警优化:从每天报警不断到分级别告警、从单一告警方式到多层次告警;
  • 架构优化:从单机到集群、从单集群到分布式集群;

关键是:持续运营,能力沉淀、数据沉淀

以上就是小B给领导汇报关于统一日志分析平台立项报告中的一些关键点了。

也许是因为开篇吧,十分不好写!日志分析这个话题以小B目前的水平也很难写的深入,大家将就看一下。

下一篇:小B就要开始实现统一日志分析平台了!

 

-HISTORY-

《日志分析系列(外传一):Nginx透过代理获取真实客户端IP》


阅读原文

跳转微信打开

]]> Mon, 23 Dec 2019 09:00:00 +0800 日志分析系列(外传一):Nginx透过代理获取真实客户端IP https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483806&idx=1&sn=dbd9264bc3fece3bcaa92f18c2dd0bd4 原创 bloodzer0 2019-12-16 08:58

本系列中的故事纯属虚构,如有雷同实属巧合

小B是Q公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。

首先小B弄明白了Q公司的应用系统架构是:Client --> CDN --> SLB --> Server

发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFFremote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都是直连时的IP,在经过多层代理、网关等设备时,更容易导致后端服务器获取的客户端IP不真实。

于是乎小B开始研究"Nginx如何获取客户端真实IP",下文是一些研究总结:

默认设置获取到不真实的IP

代理与服务器配置

  • Nginx_Server配置:vim /opt/nginx/conf/nginx.conf,服务器不作任何修改
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            root   html;            index  index.html index.htm;        }    }
  • Proxy_1配置:vim /opt/nginx/conf/nginx.conf,配置代理转发
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.99;        }    }
  • Proxy_2配置:vim /opt/nginx/conf/nginx.conf,配置代理转发
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.100;        }    }

正常访问的日志情况

此时我们的网络架构为:

# 客户端使用命令访问curl -XGET "http://10.10.10.98"
  • Nginx_Server日志:
10.10.10.99 - - [11/Dec/2019:09:04:42 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_1日志:
10.10.10.1 - - [11/Dec/2019:09:04:43 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志:
10.10.10.98 - - [11/Dec/2019:09:04:42 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"

此时在Nginx_Server中无法获取客户端真实IP。

伪造XFF的日志情况

此时我们的网络架构为:

# 客户端访问时使用XFFcurl -XGET "http://10.10.10.98" -H "X-Forwarded-For: 10.10.10.5"
  • Nginx_Server日志:
10.10.10.99 - - [11/Dec/2019:09:07:33 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_1日志:
10.10.10.1 - - [11/Dec/2019:09:07:32 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_2日志:
10.10.10.98 - - [11/Dec/2019:09:07:32 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5"

此时在Nginx_Server中无法获取客户端真实IP。

使用X-Forwarded-For+Nginx readip模块获取

使用realip模块可以获取客户端真实IP,该方法也是目前使用最多最有效的方法。

查看nginx的编译参数:/opt/nginx/sbin/nginx -V(如果是yum安装Nginx,则该模块是默认安装的,我这里是使用编译安装的)

  • set_real_ip_from:表示从何处获取真实IP,只认可自己信赖的IP,可以是网段,也可以设置多个。
  • real_ip_header:表示从哪个header属性中获取真实IP。
  • real_ip_recursive:递归检索真实IP,如果从X-Forwarded-For中获取,则需要递归检索;如果中X-Real-IP中获取,无需递归。

代理与服务器配置

  • Nginx_Server配置:vim /opt/nginx/conf/nginx.conf,主要是在Server中新增代理服务器信息。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;        # 注意这里的key value之间使用Tab而不要使用单个空格        set_real_ip_from        10.10.10.98;        set_real_ip_from        10.10.10.99;        real_ip_header  X-Forwarded-For;        real_ip_recursive       on;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            root   html;            index  index.html index.htm;        }    }

检查配置文件是否正确:/opt/nginx/sbin/nginx -t,然后重新加载配置文件:/opt/nginx/sbin/nginx -s reload

  • Proxy_1配置:vim /opt/nginx/conf/nginx.conf,设置代理并且设置XFF字段信息。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.99;            proxy_set_header    Host    $http_host;            proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;        }    }
  • Proxy_2配置:vim /opt/nginx/conf/nginx.conf,设置代理并且设置XFF字段信息。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.100;            proxy_set_header    Host    $http_host;            proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;        }    }

正常访问的日志情况

此时我们的网络架构为:

# 客户端使用命令访问curl -XGET "http://10.10.10.98"
  • Nginx_Server日志:
10.10.10.1 - - [09/Dec/2019:09:19:21 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1, 10.10.10.98"
  • Proxy_1日志:
10.10.10.1 - - [09/Dec/2019:09:19:21 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:09:19:21 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1"

此时在Nginx_Server中remote_addr就是用户的真实IP。

伪造XFF的日志情况

此时我们的网络架构为:

# 客户端访问时使用XFFcurl -XGET "http://10.10.10.98" -H "X-Forwarded-For: 10.10.10.5"
  • Nginx_Server日志:
10.10.10.1 - - [09/Dec/2019:09:20:03 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5, 10.10.10.1, 10.10.10.98"
  • Proxy_1日志:
10.10.10.1 - - [09/Dec/2019:09:20:03 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:09:20:03 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5, 10.10.10.1"

此时在Nginx_Server中XFF字段依旧代表客户端的真实IP,并且伪造的IP并没有传递到Nginx_Server中。

使用代理的日志情况

此时我们的网络架构为:

# 客户端使用命令访问,我这里配置的是终端全局代理,所以不用单独指定代理参数curl -XGET "http://47.x.x.156"
  • Nginx_Server日志
43.x.x.74 - - [09/Dec/2019:14:58:02 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "43.x.x.74, 172.16.178.76"
  • Proxy_1日志
43.x.x.74 - - [09/Dec/2019:14:58:02 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志
172.16.178.76 - - [09/Dec/2019:14:58:02 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "43.x.x.74"

此时在Nginx_Server中XFF字段就是用户的代理IP,并且可以看到单独使用Nginx无法获取客户端的真实IP。

使用X-Forwarded-For与安全设置获取

在第一层代理服务器位置,处理用户传递的XFF信息,忽略用户的XFF值。

代理与服务器配置

  • Nginx_Server配置:vim /opt/nginx/conf/nginx.conf,Nginx_Server配置不作任何修改,默认即可。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            root   html;            index  index.html index.htm;        }    }
  • Proxy_1配置:vim /opt/nginx/conf/nginx.conf,定义XFF为remote_addr。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.99;            proxy_set_header    X-Forwarded-For $remote_addr;        }    }
  • Proxy_2配置:vim /opt/nginx/conf/nginx.conf,只做代理转发。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.100;        }    }

正常访问的日志情况

此时我们的网络架构为:

# 客户端使用命令访问curl -XGET "http://10.10.10.98"
  • Nginx_Server日志:
10.10.10.99 - - [09/Dec/2019:09:37:39 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1"
  • Proxy_1日志:
10.10.10.1 - - [09/Dec/2019:09:37:39 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:09:37:39 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1"

此时在Nginx_Server中XFF字段就代表用户的真实IP。

伪造XFF的日志情况

此时我们的网络架构为:

# 客户端访问时使用XFFcurl -XGET "http://10.10.10.98" -H "X-Forwarded-For: 10.10.10.5"
  • Nginx_Server日志:
10.10.10.99 - - [09/Dec/2019:09:41:53 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1"
  • Proxy_1日志:
10.10.10.1 - - [09/Dec/2019:09:41:53 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:09:41:53 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.1"

此时在Nginx_Server中XFF字段依旧代表客户端的真实IP,并且伪造的IP并没有传递到Nginx_Server中。

使用代理的日志情况

此时我们的网络架构为:

# 客户端使用命令访问,我这里配置的是终端全局代理,所以不用单独指定代理参数curl -XGET "http://47.x.x.156"
  • Nginx_Server日志
172.16.178.77 - - [09/Dec/2019:15:07:45 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "43.x.x.74"
  • Proxy_1日志
43.x.x.74 - - [09/Dec/2019:15:07:44 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志
172.16.178.76 - - [09/Dec/2019:15:07:44 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "43.x.x.74"

此时在Nginx_Server中XFF字段就是用户的代理IP,并且可以看到单独使用Nginx无法获取客户端的真实IP。

使用X-Real-IP

代理与服务器配置

  • Nginx_Server配置:vim /opt/nginx/conf/nginx.conf,将日志中的remote_addr替换为http_x_real_ip。
  # 注意日志配置的第一个字段,将remote_addr修改为http_x_real_ip  log_format  main  '$http_x_real_ip - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            root   html;            index  index.html index.htm;        }    }
  • Proxy_1配置:vim /opt/nginx/conf/nginx.conf,设置代理与x-real-ip字段。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.99;            proxy_set_header    X-Real-IP       $remote_addr;        }    }
  • Proxy_2配置:vim /opt/nginx/conf/nginx.conf,只做代理转发。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  logs/access.log  main;
    # ************* 省略了中间的配置        server {        listen       80;        server_name  localhost;
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {            #root   html;            #index  index.html index.htm;            # 注意这里的key value之间使用Tab            proxy_pass  http://10.10.10.100;        }    }

正常访问的日志情况

此时我们的网络架构为:

# 客户端使用命令访问curl -XGET "http://10.10.10.98"
  • Nginx_Server日志:
10.10.10.1 - - [09/Dec/2019:09:55:16 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_1日志:
10.10.10.1 - - [09/Dec/2019:09:55:16 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:09:55:16 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"

此时在Nginx_Server中第一个字段就代表客户端的真实IP。

伪造XFF的日志情况

此时我们的网络架构为:

# 客户端访问时使用XFFcurl -XGET "http://10.10.10.98" -H "X-Forwarded-For: 10.10.10.5"
  • Nginx_Server日志:
10.10.10.1 - - [09/Dec/2019:10:00:38 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_1日志
10.10.10.1 - - [09/Dec/2019:10:00:38 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "10.10.10.5"
  • Proxy_2日志:
10.10.10.98 - - [09/Dec/2019:10:00:38 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "10.10.10.5"

此时在Nginx_Server中第一个字段依旧代表客户端真实IP,伪造的IP在XFF字段中。

使用代理的日志情况

此时我们的网络架构为:

# 客户端使用命令访问,我这里配置的是终端全局代理,所以不用单独指定代理参数curl -XGET "http://47.x.x.156"
  • Nginx_Server日志:
43.x.x.74 - - [09/Dec/2019:15:16:05 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_1日志:
43.x.x.74 - - [09/Dec/2019:15:16:05 +0800] "GET / HTTP/1.1" 200 612 "-" "curl/7.64.1" "-"
  • Proxy_2日志:
172.16.178.76 - - [09/Dec/2019:15:16:05 +0800] "GET / HTTP/1.0" 200 612 "-" "curl/7.64.1" "-"

此时在Nginx_Server中第一个字段依旧代表客户端真实IP。

云厂商如何获取客户端真实IP

总结一下

关于服务端获取客户端的真实IP可以实际场景实际分析吧!本文中提到的也只是一种很初级的网络架构。本文的适用范围相对也比较狭窄。

如果是复杂的网络结构,可以在每一层的产品上对对应厂商进行沟通:是否可以透传用户的真实IP,然后通过每一层的配置将真实IP传递到服务端使用合理的字段进行存储。

当然了安全本质就是不可信,传递的IP数据是否真实与客户端伪造技术、各层级之间相关配置都息息相关。IP维度也只是后端分析识别的一个维度而已,我们在尽可能保证这个维度的准确度时,不用太过钻牛角尖(除非是精准度要求非常高的场景)。对于中小型的企业,能结合IP、Location、Username、UA、Browser Banner、OS Banner等维度来做一些简单的关联分析即可。

以上就是小B做日志分析的前期调研第一篇,小B后续还会写一写关于日志分析的其他文章。(WeChat:Lzero2012)

参考资料


阅读原文

跳转微信打开

]]> Mon, 16 Dec 2019 08:58:00 +0800 攻防视角下的信息收集 https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483798&idx=1&sn=b3ff98d502c18a6bd7942ff0862e5cc2 信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步,也是关键的一步。---百度百科 原创 bloodzer0 2019-12-09 08:47

信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步,也是关键的一步。---百度百科

信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步,也是关键的一步。---百度百科

信息收集是指黑客为了更加有效地实施渗透攻击而在攻击前或攻击过程中对目标的所有探测活动。

背景: 不论曾经作为白帽子、安全服务工程师还是现在作为甲方安全工程师,都明白信息收集这项工作的重要性。目前网络上关于信息收集的文章数不胜数,那么为什么还要老生常谈?主要是目前网络上的文章更多是站在白帽子或者攻击者的视角下进行展开讨论,但甲方做信息收集的话题没有被提及,本文抛砖引玉,希望更多大佬提出意见。其实是对自己曾经做过的信息收集内容进行一个总结。

本文通过两个角度来讨论信息收集:攻击方、防守方,它们二者之间在信息收集方向的关系如下图:

不论是攻击方还是防守方做信息收集工作主要是四种方法:

  • 社会工程:
    • Google Hacking(不一定是Google);
    • 社交软件(微信、QQ、朋友圈等等);
site:example.com
site:example.com 登录
site:example.com login
  • 花式工具:各种扫描器与漏洞利用工具、爬虫;
  • 奇葩技巧:这个主意是靠经验的积累与多看看大佬的文章;
  • 手工:坚持+耐心

攻击方视角下的信息收集

网络上关于攻击方做信息收集的工具、方法都有了很不错的文章,大家搜索"信息收集"关键字就可以获取。攻击方做信息收集讨论两个问题:为什么做信息收集?收集什么与如何收集?

为什么做信息收集?

要明白的是知己知彼百战百胜,攻击方做信息收集就是一个知彼的过程。做好了这项工作更有利于我们去开展后续的工作。

举个例子:我们要在SRC平台进行漏洞挖掘,首先我们要做的就是明确SRC平台收录的漏洞范围,其次就是收集收录范围内的可攻击目标("万物"皆可被攻击),最后才是对这些目标进行分析漏洞挖掘或渗透的工作。

其实攻击方在各个阶段做信息收集工作的意义都是为了获取攻击面。在做信息收集之前,你掌握的信息是一个攻击点,通过信息收集你掌握了多个攻击点,这些攻击点有可利用的也有不可利用的,然后通过将这些攻击点连接起来汇成一个攻击面。当我们拥有一个攻击面时就能利用自己掌握的攻击方法找到攻击面中的薄弱点进行攻击,如果我们拥有的攻击面越宽广,那么我们攻击成功的概率也就越高。

对于信息收集结果来说分为:直接可用、间接可用、未来可用三个状态。

  • 直接可用:结果可以直接进行利用,比如:数据库配置文件泄露等;
  • 间接可用:结果不能直接进行利用,但是可以间接的产生产生效果,比如:后台登录地址;
  • 未来可用:结果当前时间不能进行可用,但是未来某个时间点可用,比如:新系统上线公告(别疑惑,如果你知道某个系统下周一上线,万一他们没有做安全测试就上线了呢!你的机会就来了);

收集什么与如何收集?

企业信息

  • 企业组织架构:获取攻击入口。
    • 企业组成:集团、下属单位等信息;
    • 部门划分
    • 人员信息:姓名、手机号、工号、邮箱(邮箱命名格式:bloodzer0@example.com、blood.zer0@example.com、zer0.blood@example.com)、身份证号、工作职能、所属部门、内部OA默认密码等信息;
  • 企业的供应商或合作商:方便钓鱼或社工时使用。
    • 软硬件供应商等信息;
    • 供应商对接人员信息;
  • 企业备案信息:ICP信息查看、天眼查获取等。

IT信息

收集IT信息主要是为了扩大攻击面。

域名信息

  • 主域名
    • 在sitemap、about或SRC的公告上查找企业主域名或业务信息,比如:https://www.pingan.com/homepage/sitemap.shtml等;
    • 通过HTTPS的证书查看主域名信息;
    • 通过whois反向查询主域名信息,包括:注册人反查、联系电话反查、联系邮箱反查等;
    • 通过图片、JS、CSS等文件或URL跳转地址获取主域名信息;
    • 通过反编译APP查看代码获取主域名与子域名信息,推荐工具:ApkIDE;
  • 子域名
    • 域名信息查询:nslookup、dig等;
    • DNS区域传输漏洞:dig @dns-server domain -T axfr
    • 域名暴力破解:subDomainBrute、Layer等等;
    • 搜索引擎:site: example.com,如果是搜索国内的域名多用Bing与Baidu有的时候比Google效果更好;
    • https://www.shodan.io/、https://fofa.so/等类似站点;
    • 其他:crossdomain.xml、爬虫(慎用爬虫);

网络信息

  • IP及IP网段:服务器真实IP、是否有C段IP或B段IP;如果没有CDN或F5等类似设备的情况下,可以直接ping获取服务器真实IP,如果有CDN或F5等类似设备的情况下,可以通过以下方法获取,但是结果不一定准确:
    • 超级ping、多地ping:https://ping.chinaz.com/, 判断是否有CDN也可以通过此种方式。
    • 通过二级域名:只要不是所有的二级域名都处于CDN的接入中,可以通过二级域名来获取真实IP;
    • nslookup:找一些国外偏僻的DNS解析服务器进行DNS查询,大部分CDN只针对国内市场。
    • traceroute
    • 透过F5获取服务器真实IP](http://www.lewisec.com/2017/06/13/Get_the_real_IP_through_F5/);
    • 收集常用的CDN IP、云SLB IP、云弹性IP等IP集合;
    • XSS漏洞、DDoS、邮件订阅等;
  • 网络架构
    • 应用系统访问架构(Client --> [CDN] --> [SLB] --> Server)等信息;
    • 网络设备:路由器、交换机、防火墙等网络与网络安全设备信息;

服务器信息

  • 服务器操作系统
    • 操作系统类型与版本信息:操作系统识别工具;
    • 操作系统补丁信息:服务器安全扫描工具;
  • 服务器开放端口及服务
    • 端口信息:端口扫描工具
    • 服务版本信息:服务识别工具;
    • 服务是否存在未授权访问:未授权访问扫描;

应用信息

  • Web应用
    • CMS信息:CMS识别工具;
    • 中间件、Web容器、Web服务器指纹:默认文件或路径、报错信息、HTTP Response信息、Chrome Wappalyzer插件等其他指纹识别工具;
    • WAF判断:是否有WAF,WAF指纹识别(wafw00f、sqlmap的waf脚本、nmap的http-waf-detect和http-waf-fingerprint脚本);
  • 移动应用:APP、H5、公众号、小程序:关键字搜索
  • 其他应用信息

敏感信息

收集敏感信息更多是找到比较精准的攻击入口或直接利用信息收集结果。

  • 代码信息
    • GitHub、码云等代码托管平台;
    • 代码备份文件(以前存在打包备份的代码文件存放在网站目录下);
    • 代码文件:网站对代码脚本未执行解析导致可以直接下载;
  • 敏感文件
    • 测试文件:robots.txt、test.php、info.php等;
    • 配置文件:数据库配置文件等;
    • PDF或图片:很多PDF或图片中包含敏感信息,比如:PDF文件中包含保单完整信息;图片中包含身份证信息等;
    • 前端代码:HTML源代码、JS代码中泄露敏感信息;
  • 敏感目录
    • 仓库托管默认文件夹:.git、.svn、.bzr等;
    • 管理后台目录:目录扫描工具;
    • 接口目录与地址;
  • 文档信息
    • 合同、产品或项目文档、人力资源文档、战略规划文档等;
  • 账号密码信息
    • 内部运维开发系统账号密码,比如:Zabbix、Jenkins、GitLab等平台的账号密码;
    • 使用的第三方系统账号密码,比如:堡垒机、防火墙等其他网络设备与网络安全设备账号密码;
    • 默认密码信息:比如:OA、邮箱、通讯工具等;
    • 云平台Token:阿里云、亚马逊云、七牛云等;
  • 其他信息
    • 敏感数据:某些企业内部没有大文件共享平台时,会使用网盘、U盘等类似工具共享敏感数据;
    • 历史漏洞信息:乌云镜像、历史漏洞中暴露出来的信息;

防守方视角下的信息收集

防守方做信息收集也讨论两个问题:为什么做信息收集?收集什么与怎么收集?

为什么要做信息收集

要明白的是知己知彼百战百胜,防守方做信息收集就是一个知己的过程。做这项工作的目的主要是为了安全摸底,了解企业安全现状与探知未知风险。

例1:了解服务器端口开放信息、补丁信息等,是为了了解服务器所面临的安全风险,方便我们后续推进安全措施。

例2:收集情报信息,是为了了解企业正在面对或即将面对的风险,根据情报作出安全响应动作。

防守方在做信息收集的过程就是在不断摸清安全风险,然后通过安全方案来解决风险。当防守方得到的信息收集结果越丰富,对自身安全状况了解也就越清晰,通过对抗的思路防守者也就明白应该如何最优的去解决这些安全风险。

收集什么与如何收集?

如开篇中的图片,防守方信息收集的内容是包含攻击方的信息收集内容的。所以攻击方收集的内容防守方也必须收集,而且信息准确度要求更高。

对于防守方做信息收集主要有两个途径:

  • 黑盒收集:主要就是攻击方做信息收集的方法;
  • 白盒收集:利用内部平台和已知信息做收集;

对于防守方做信息收集内容主要包括两个大的方向:管理类与技术类。

在本文中主要从技术角度出发,分析容易出现安全风险的项:

IT资产

域名资产

  • 关注内容:
    • 域名基础信息:注册邮箱、注册联系人、注册时间、过期时间(防止出现域名过期被抢注);
    • 域名是否使用HTTPS(监管要求以及防止网络嗅探攻击);
  • 收集方式:
    • 黑盒收集;
    • 从域名注册商直接查看;
    • 从Nginx或其他Web服务器、网关配置文件中查看;

服务器资产

  • 关注内容
    • 操作系统:类型及详细的版本信息、操作系统补丁信息等;
    • 服务信息:系统运行服务、服务版本信息与配置信息、服务绑定端口信息等;
    • 运行状态:CPU、网络IO、磁盘IO等信息;
    • 细粒度信息:软件库版本信息等;
  • 收集方式:
    • 黑盒收集;
    • 手工Excel整理;
    • 云管理平台查看或自动获取(可以使用API进行自动获取);
    • 利用入侵检测系统等获取服务器信息;
    • 利用运维监控系统收集服务器信息;

网络资产

  • 关注内容:
    • 网络架构:IP与网段信息、网络划分信息(生产、测试、办公、DMZ)
    • 网络访问控制信息;
  • 收集方式:
    • 内部网络拓扑图;
    • 查看防火墙规则;

设备资产

  • 关注内容:网络设备、安全设备、IDC机房等;
  • 收集方式:采购合同、实施方案、网络拓扑图等;

应用资产

  • 关注内容:应用系统、APP、小程序、H5等;
  • 收集方式:
    • 黑盒收集;
    • 查看版本管理系统、发版邮件、持续集成系统等获取;

代码资产

  • 关注内容:代码引入的第三方包、代码依赖的组件等
  • 收集方式:代码白盒审计与扫描等;

账号资产

  • 关注内容:特权帐号owner;
  • 收集方式:人工调研、登录系统查看等;

数据信息

  • 关注内容:数据采集方式及内容、数据传输方式、数据存储与使用、数据销毁等;
  • 收集方式:人工调研数据流、查看数据安全产品等;

情报信息

  • 漏洞情报
    • 关注内容:各渠道提交的相关漏洞、爆发的新漏洞等;
    • 收集方式:SRC、漏洞平台、应急响应服务、朋友圈、exploitdb、CNVD等;
  • 威胁情报
    • 关注内容:羊毛党、恶意攻击(恶意APP、恶意链接)等;
    • 收集方式:社交群聊(聊天机器人)、查看相关论坛贴吧、爬虫等;
  • 事件情报
    • 关注内容:针对性的攻击事件,比如:蠕虫、病毒、DDoS、勒索等;
    • 收集方式:事件报告等;

汇总来说防守方做信息收集应该关注企业的所有信息,信息收集也要做所有安全关注而未知的项(security should focus on all aspects)。

但是目前以自己的能力能想到的就这么多,欢迎大家留言补充。

附带一张管理视角的信息收集:

信息收集,一直在谈,却一直未做好的话题。 未完待续,后期将还有一篇信息收集新说(欢迎加我沟通:Lzero2012)~~~


阅读原文

跳转微信打开

]]> Mon, 09 Dec 2019 08:47:00 +0800 利用SSH隧道构建多级tunnel https://mp.weixin.qq.com/s?__biz=MzU2NzY5MDY3MQ==&mid=2247483785&idx=1&sn=a881c0c3d142f7e05aeaf4120bf41444 01简介隧道是把一种网络协议封装进另外一种网络协议进行传输的技术。SSH构建隧道有三种方式: 本地转发、远程 原创 2019-12-02 08:52

01简介隧道是把一种网络协议封装进另外一种网络协议进行传输的技术。SSH构建隧道有三种方式: 本地转发、远程

01

简介


隧道是把一种网络协议封装进另外一种网络协议进行传输的技术。SSH构建隧道有三种方式: 本地转发、远程转发、动态转发。本次只使用到第一、三种方式来构建多级跳板。


02

原理


本地转发: 将本地的端口与远程机器上的端口构建映射关系。其原理是本地机器上分配一个端口进行侦听,一旦该端口有了连接,就将数据经过通道转发给远端机器上的端口。其格式为:

ssh -C -f -N -L listen_port:DST_Host:DST_port user@Tunnel_Host -p Tunnel_Host_sshport


动态转发: 对于本地转发,存在两个一一对应的端口,分别位于SSH的客户端和服务端; 动态转发的目标端口则是不固定的,其原理是在本地机器上分配了一个端口进行侦听,一旦该端口有了连接,转发出去的数据由发起的请求来决定交给远端机器的哪个端口。其格式为:

ssh -C -f -N -D listen_port user@Tunnel_Host -p Tunnel_Host_sshport


参数说明:

# -N 不打开远程shell,处于等待状态,只是搭好了隧道,不ssh连接远端。用于转发端口(PS:无 ssh登陆日志)# -f 后台执行# -C 数据压缩传输


利用ssh构建多级跳板,就是先用本地转发将远端机器的ssh端口与本地端口做映射,然后再通过本地端口继续与其他远端机器的ssh端口构建映射,直至最后一跳时采用任意动态端口转发(建立socks服务器)。


最后本地使用socks代理工具进行配置,就可以根据需要让应用按照之前构建的隧道进行通信。


示例:两级跳板,系统为linux,实验环境:

# Client A:Windows Localhost# Tunnel B:Linux ssh 192.168.1.39:22 # Tunnel C:Linux ssh 192.168.1.42:55


第一层转发: 

A(localhost:12345)->B(192.168.1.39:22)->C(192.168.1.42:55) 

ssh -Nf -C -L 12345:192.168.1.42:55 rootB@192.168.1.39 -p 22


这一步是做了本地12345端口到远程C的55端口映射,A与B之间的通信是SSH加密通信。 


第二层转发: 

ssh(localhost:9833) -> tunnel2(localhost:12345)

ssh -Nf -C -D localhost:9833 rootC@localhost -p 12345


这一步只绑定本地端口(9833),虽然是与本地的12345通信,但实质是通过tunnel1与C建立了动态转发关系。此时C充当Socks代理服务器的⻆色。

Ref: 

http://linux.51yip.com/search/ssh https://blog.csdn.net/king_cpp_py/article/details/79560606


03

服务器配置

修改SSH端口: 在/etc/ssh/sshd_config修改Port为想要的端口,检查AllowTcpForwarding的值是否为Yes(允许远程主机本地端口转发),如果需要绑定到0.0.0.0机器上,则检查GatewayPorts的值是否为Yes。然后执行

service sshd restart


SSH IP访问限制:

sudo vi /etc/hosts.allow# 尾部添加(根据情况参照下列格式)
sshd:192.168.0.1sshd:192.168.0.1/24sshd:192.168.1.*
sudo vi /etc/hosts.deny# 尾部添加
sshd:ALL

在这两个文件中的配置是立即生效,本机测试需要在新窗口中进行。

Ref: 

https://blog.csdn.net/god12

3209/article/details/17683939


04

使用工具配置


1.使用mobaxterm配置tunnel

打开mobaxterm,在tools中的network中选择MobaSSHTunnel,在弹出的对话框中选择New SSH tunnel

在端口转发配置窗口中选择Local port forwarding,按照提示填写信息

点击save保存回到MobaSSHTunnel对话框,再次添加新的tunnel,选择Dynamic port forwarding 

示例配置结果如下:

依次启用tunnel,提示输入相对应的密码,确认保存密码

在所有tunnel通道启用完后,点击各tunnel尾部的闪电标识符,启用Autoreconnect,确保断线自动重连。(使用autossh也能实现连接断开之后自动重连功能)


☞注意:Mobaxterm免费版只能使用两个tunnel,xshell不限。 

2.本机使用proxifier代理

打开proxifier,选择Profile -> Proxy Server -> add,根据实际填写对应的端口信息(此处应为9833) 

然后保存,弹出规则变更提示框,点击是即可。之后可以用其为各类应用进行socks代理,最终通过C访问目标。 



阅读原文

跳转微信打开

]]> Mon, 02 Dec 2019 08:52:00 +0800