Windows 域环境中的 Kerberos 与认证攻击检测分析
在一个月黑风高的夜晚,突然收到邮件说要准备准备,分享一下对Kerberos告警的分析,心里震惊了一下,我都好多年没有正经学习了,写个小作文还是有点困难的,不过, 还好我有Kimi(Kimi K2.6 模型已正式发布,长程代码编写能力更强更稳。) 以下内容可能会有地方说的不够清楚,有啥问题的可以留言一起探讨。 一、Kerberos 基本认证流程简单分析 上图中涉及到了三个请求返回过程:Client与KDC的AS,Client与KDC的TGS,Client与Server,详细的请求响应如下: Step 1:AS-REQ:Client向KDC(AS)发起一个认证请求,请求的凭据是Client的NTLM Hash加密的时间戳以及身份信息等 Step 2:AS-REP:AS使用Client NTLM HASH进行解密,若检验正确则返回用KRBTGT HASH加密的TGT票据(再TGS-REQ中发送到TGS并用于换取ST),TGT里面包含PAC Step 3:TGS-REQ:Client获得TGT缓存在本地(不能解密),可用来向TGS换取访问相应服务的ST票据 Step 4:TGS-REP:TGS使用KRBTGT HASH解密TGT,若结果正确,返回用提供服务的服务器的Server Hash(机器用户HASH)加密的ST(server ticket) Step 5:AP_REQ:Client拿着获得的ST去服务器请求资源 Step 6:AP_REP:Server使用自己的Hash解密ST,若解密正确,则拿着获取的PAC去访问KDC判断Client是否有权限访问。KDC解密PAC后获取用户sid以及所在组的信息,并根据访问控制表(ACL)判断权限。若符合,Server返回资源给Client 名词解释: Domain Controller 域控制器,简称DC,一台计算机,实现用户、计算机的统一管理 Key Distribution Center 秘钥分发中心,简称KDC,默认安装在域控里,包括AS和TGS Authentication Service 身份验证服务,简称AS,用于KDC对Client认证 Ticket Grantng Service 票据授予服务,简称TGS,用于KDC向Client和Server分发Session Key(临时秘钥) Active Directory 活动目录,简称AD,用于存储用户、用户组、域相关的信息。 Client 客户端,指用户。 Server 服务端,可能是某台计算机账户,也可能是某个服务。 黄金票据:黄金票据伪造的是:TGT(Ticket Granting Ticket)而签发 TGT 的关键密钥来自:KRBTGT […]
PVE + OpenWrt+ USB 外接硬盘重启后无法进入PVE
启动进入 Emergency Mode、重启后无网络的完整解决方案 适用于:Proxmox VE 家用服务器 / NAS / 软路由一体机关键词:PVE Emergency Mode、OpenWrt 自动启动、USB 硬盘挂载、UUID、断电恢复网络 一、问题背景 在家庭服务器环境中,常见如下架构: 理想状态应当是: 断电 → 开机 → 自动有网 → 数据完整不需要登录 PVE、不需要手动修复 二、常见故障现象 1. PVE 启动进入 Emergency Mode 启动时出现类似日志: 现象结果: 2. USB 外接硬盘重插后“变成新盘” 例如: 这是 Linux 的正常行为: /dev/sdX 不是固定标识,只与识别顺序有关。 三、核心原则(必须理解) ❌ 不可靠的做法 ✅ 正确且稳定的做法 四、使用 UUID 正确挂载 USB 硬盘(不影响任何数据) 1️⃣ 查看磁盘 UUID […]
Fix Failed to communicate with QUIC.cloud server in WordPress
This guide explains how to fix the “QUIC.cloud’s access to your WP REST API seems to be blocked” error in WordPress, especially when using Cloudflare and LiteSpeed Cache. When using the Litespeed Cache plugin in WordPress, I encountered an issue: -“QUIC.cloud’s access to your WP REST API seems to be blocked.” -“Failed to communicate with […]
【解决】 Clash Could not switch to this profile的问题
解决Clash could not switch to this profile 问题保姆级教程,更适合新手食用。 像下面这个图所显示的就是IP问题 Could not switch to this profile! proxy 4:ss [ip]: 443 obfs mode error 这时候不要慌,记下这个IP等会要用到[103.177.33.180],点击 Edit in Text Mode *如果你电脑已经装了VS Code ,那点击【 Edit in Text Mode】 之后看到的就是下面的效果 然后按一下电脑的Ctrl + F ,输入刚刚上面提示有问题的IP,就是这个103.177.33.180 在这里看到的是第12行,现在请把第12行内容全部选上 同时按下Ctrl + / 这两个键 然后它就会变成下面这样的绿色,并且前面多了个#号 一般来说,这个时候你保存一下这个文件,再重新打开Clash 就可以解决问题了,但是为了以防万一,你可以再继续进行下面这一步 继续Ctrl + F 查找所有包括台湾的行(因为刚刚这个IP地址是台湾的),然后同样把他们注释掉 最后保存,重新启动Clash 如果以上方式不能解决问题,请留言,24小时内会有回复,谢谢。 或者也可以查看另一篇文章,看看是否有帮助: Clash提示Could […]
一个(难看的)Cloudflare DNS 可视化管理面板
这个面板目前还很初级,有时间的话当然会好好升级它的,不过得看有没有人要用。 每次管理dns解析的时候都要去登陆Cloudflare 后台修改有点麻烦,所以就搞了这么一个东西。 话说它的升级空间还是很大的。 目前的功能: 通过API读取CF后台数据,然后展示出来 你可以通过这个面板修改DNS解析 你可以通过这个面板观察设置的解析能不能ping通(这个地方其实可以扩展其他的功能) 界面: 难看且不太直观 登陆界面: 随便搞了一下,下个版本再搞好看点吧┭┮﹏┭┮ 它的样子: 使用方式: 宝塔面板/随便一个什么面板 把压缩包下载下来,把他丢到网站的根目录去,然后修改里面config文件 保存 然后就输入你的地址/域名即可访问 整理一下晚点发出来
网络安全中,红队、蓝队、紫队代表什么
这个是在网络安全中很入门的概念,看到这篇文章的时候,您应该大概也知道他们代表着什么了,在我们的现实世界中,离不开吃喝住行,而支持吃喝住行的则是千千万万个连接着不同设备的业务系统。 比如我在美团点外卖,从打开APP的那一刻开始,你手机的数据就已经和美团后台开始连接交互了,数据通过特定的接口,特定的格式,特定的验证方式进行传输,从点单到出餐,再到送到你家门口,整个环节其实数据一直在不停变化。这个过程没人能保证永远按照设计的程序走, 假如有坏人想做坏事呢?或者说美团有漏洞被坏人利用了,要怎么办? 不能等到真的出问题了再想解决办法。 所以得提前知道自己的系统究竟有什么弱点,这时候你可以花钱(不花钱也行)叫一帮人扫描(模拟攻击)你的系统,然后结束后你就可以通过报告来看你系统究竟有啥漏洞,这帮人可以理解为红队。 当然攻击不是一瞬间的事情,它可能会持续一天,一周、一个月、甚至几年,为了动态观察这中间发生了什么,业务系统里有一批人会对攻击行为响应(补救)、记录,这些人可以理解成蓝队。 如果说仅仅只是像机械般运作,那网络安全将会简单很多,但实际上蓝队在防守的时候,即使进行了溯源,也可能有些事情他们也无法知道,只是知道通过某些手段,阻止了某次攻击,这时紫队的作用就出来了,尽管紫队是独立的,但他们可以像拥有上帝视角一样,观察全局,梳理每一条链路,从而帮助创建更有效的防御。 总的来说红队、蓝队、紫队的概念都是在合理授权、合理范围、可控操作的前提下进行的,似乎国内的攻防演习对紫队的引入不是很多,这个事情还是任重而道远。
一键清空 Docker 日志
要清空 Docker 容器的日志,可以按照以下步骤操作: 这样就成功清空了该容器的日志。请注意,如果您需要保留该容器的历史日志记录,请先将其备份到其他地方,然后再执行以上操作。 一键清空 docker 日志脚本 以下是一个一键清空所有 Docker 容器日志的 Bash 脚本: 这个脚本会先停止所有正在运行的 Docker 容器,然后清空每个容器的日志文件,最后再启动所有容器。请注意,在执行此脚本之前,请确保已备份并保存了您需要的日志记录。 不停止容器,清除日志脚本 以下是一个清除所有 Docker 容器日志但不停止容器的 Bash 脚本: 这个脚本会遍历所有 Docker 容器的 ID,然后清空每个容器的日志文件。请注意,此脚本不会停止容器,因此您可以在不影响正在运行的容器的情况下清除它们的日志。但是,请注意,清除容器的日志文件可能会影响容器的性能,因此最好在必要时使用此脚本。
软考信安考点
网络攻击概述 网络攻击模型:掌握网络攻击模型有助于更好地理解分析网络攻击活动,以便对目标系统的抗攻击能力进行测评。 常见的网络攻击模型如下: 优点:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去; 能够进行费效分析或者概率分析; 能够建模非常复杂的攻击场景。 缺点:由于树结构的内在限制,攻击树不能用来建模多重常识攻击、时间依赖及访问控制等场景不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。 网络攻击一般过程 (1)隐藏攻击源:利用被侵入的主机作为跳板; 免费代理网关; 伪造IP地址;假冒用户账号。 (2)收集攻击目标信息:收集目标系统一般信息、配置信息、安全漏洞信息、安全措施信息、用户信息。 (3)挖掘漏洞信息:系统或应用服务软件漏洞; 主机信任关系漏洞; 目标网络的使用者漏洞; 通信协议漏洞; 网络业务系统漏洞。 (4)获取目标访问权限:获得系统管理员的口令; 利用系统管理上的漏洞; 让系统管理员运行一些特洛伊木马; 窃听管理员口令。 (5)隐蔽攻击行为:连接隐藏; 进程隐藏; 文件隐蔽。 (6)实施攻击:攻击其他被信任的主机和网络、修改或删除重要数据、窃听敏感数据、停止网络服务、下载敏感数据、删除数据账号、修改数据记录。 (7)开辟后门:放宽文件许可权; 重新开放不安全的服务; 修改系统的配置;替换系统本身的共享库文件; 修改系统的源代码,安装各种特洛伊木马;安装嗅探器;建立隐蔽信道。 (8)清除攻击痕迹:篡改日志文件中的审计信息; 改变系统时间造成日志文件数据紊乱以迷惑系统管理员; 删除或停止审计服务进程; 干扰入侵检测系统的正常运行; 修改完整性检测标签。 网络攻击常见技术方法 1. 端口扫描:目的是找出目标系统上提供的服务列表。挨个尝试与TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反映推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。 扫描类型包括: 2. 口令破解:口令机制是资源访问控制的第一道屏障,网络攻击者常常以破解用户的弱口令作为突破口,获取系统的访问权限。 主要工作流程: 第一步,建立与目标网络服务的网络连接; 第二步,选取一个用户列表文件及字典文件; 第三步,在用户列表文件及字典文件中,选取一组用户和口令,按网络服务协议规定,将用户名及口令发送给目标网络服务端口; 第四步,检测远程服务返回信息,确定口令尝试是否成功; 第五步,再取另一组用户和口令,重复循环试验,直至口令用户列表文件及字典文件选取完毕。 3.缓冲区溢出攻击是一种通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其他预设指令,以达到攻击目的的攻击方法。缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据,然后让计算机转去运行这行预设的程序,达到执行非法操作、实现攻击的目的 4.恶意代码是指为达到恶意目的而专门设计的程序或代码,是指一切旨在破坏计算机或者网络系统可靠性、可用性、安全性和数据完整性或者损耗系统资源的恶意程序。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。 5. 拒绝服务攻击 6. 网络钓鱼(Phishing,与fishing发音相近得名)是一种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的攻击方式。网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,诱骗访问者提供一些个人信息,以谋求不正常的利益。 […]
wordpress 系统被入侵,除了后台地址,打开任何页面都会自动跳转到https://fr1.readytocheckline.com,解决方案及一些记录
前言: 最近两个月,有客户反应,打开官方网站后会自动跳转到其他网页,一开始我以为是他们那边的DNS被劫持了,没怎么重视,过了1周客户又提到这个问题,我才觉得得确认一下了。 一开始我没清理浏览器网站缓存,所以没发现这个异常。/(ㄒoㄒ)/~~ 现象: 打开客户网站后,大约1s后会自动跳转到https://fr1.readytocheckline.com/ykDZbM,在Virtual tool 查了一下,这url确实有问题 网站架构: WordPress+Mysql 解决思路: 一方面是要检查数据库有没有被插入异常代码,一方面检查插件有没有异常,比如Code snnippets这种的,另外还要把网站目录下有问题的文件删除或者文件内的恶意代码删除。 如果想知道当时是怎么被拿下的,就需要去看Cloudflare 的WAF 和 你服务器 Nginx 的log 咯,这个后面再说。 停止插件的缓存功能,清除缓存,CDN的缓存也一起清除。 分步操作: 在进行操作前,请务必对你的网站进行备份,虽然许多服务商都有提供备份功能,但是建议你还是将网站压缩并保存到本地。 第一步,先用https://sitecheck.sucuri.net 意思意思,这个工具可以从外部扫描你的网站,如果发现有恶意代码或者恶意行为,它会爆出来的,你可以将它的结果作为参考依据。 将网址填入其中,点击Scan Website 即可 第二步,进入你的网站后台,打开Wordfence插件,这个是很著名的Wordpress 安全插件,可以用于扫描网站中有异常代码的文件。 根据提示,对每个Critical 和 High 还有 Medium 的告警进行处理,有些文件是可以直接删除的,对于一些受到感染的Wordpress核心文件,我们不能够直接删除,需要根据提示,找到那个文件并进行编辑,删除恶意代码。 第三步,如果你的网站安装了类似Code snnippets 之类插入代码的插件,那你就需要小心了,务必查看有没有奇怪的代码片段,一般我们只是为了方便插入统计代码或者广告代码,如果你发现有其他的代码,请核实是否恶意代码,如果是的话,将其删除。 到这一步,似乎我们已经完成了所有工作,但是请不要开心得太早,不要忽略数据库!你的网站必定会从数据库存取信息,所以,我们得检查数据库有无被感染! 第四步,通过phpMyAdmin打开wordpress的数据库,检查是否有恶意代码。 执行 SELECT * FROM wp_posts WHERE post_content LIKE ‘%<script%’; 这一步是为了检查 WordPress 的 wp_posts 表中所有 post_content […]
关键信息基础设施安全保护条例
第一章 总 则 第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。 省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。 第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。 第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。 任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。 第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。 第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。 第二章 关键信息基础设施认定 第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。 第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。 制定认定规则应当主要考虑下列因素: (一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度; (二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度; (三)对其他行业和领域的关联性影响。 第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。 第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。 第三章 运营者责任义务 第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。 第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。 第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。 第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责: (一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划; (二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估; (三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件; (四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议; (五)组织网络安全教育、培训; (六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度; (七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理; (八)按照规定报告网络安全事件和重要事项。 第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。 第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。 第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。 第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。 第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。 第四章 保障和促进 第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。 第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。 第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。 第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。 第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。 第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。 有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。 第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。 第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。 第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。 第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。 能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。 第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。 第三十四条 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。 […]