前言

纯是个人的浅薄理解,大佬勿喷。传递一些混子经验(x

时隔一年再次更新博客,最近一年都没有碰CTF比赛。

绝对不要透露任何项目相关的内容,不要在公共社交媒体发任何与项目相关的内容!

面试

我个人感觉对于正常的CTF web方向选手而言,需要加强对常见nday漏洞的复现(weblogic\fastjson\shiro\spring…),内网渗透(略懂即可,在面试中占少量篇幅),应急响应(蓝队能力),溯源,还有就是业务能力、沟通能力,业务能力也是面试官比较看重的点,回答问题的时候尽量要体现自己的业务能力,一些专有名词得会,可以多看看技战法,学一学里面是怎么说的,多一点书面语表达。举个栗子,

1
2
排查被入侵到发现入侵这段时间是否攻击其他主机
排查入侵后的空白期内是否进行横向渗透

。有比赛经验的话在研判分析这方面是有基础的,除此之外还有一些奇奇怪怪的问题就需要积累了,客户现场啥都有可能。

不建议刚学网安的新人去hvv。如果真啥也不会,面试hvv去到现场可能会有清退的风险(项目没成还倒贴钱),这种方式到现场的都是要有独立处理能力的,想一想在客户现场你有信心独立面对客户吗(对自己负责,也对客户负责)。稳妥起见,如果是第一次,可以考虑去找实习,并且尽量不要去北上广深(生活成本高),钱不多,但是多一些经验,下次参加面试就可以说,我去年在xxx担任监测/研判,用过xxx设备。

可能这里讲得不够直白,我也不好太直白,可以加联系方式详聊。

提前入场

提前入场的情况还是比较少的,大部分都是项目开始了才通知进场,项目经理会提前通知,告知一些对接的注意事项。

提前入场可能会安排做资产暴露面梳理、渗透测试、最后预监测。

资产暴露面梳理

资产暴露面梳理可以先找客户有没有资产表,但是要了资产表也不能靠资产表,资产表不可信,你不清楚这份表多久没有更新了,首先还是要自己来一两遍信息收集,然后再与客户给的资产表比对,整合一下。最后整理成一份资产梳理清单,可以写

1
所属公司、域名、服务地址、ip、端口、协议、操作系统、应用信息、网页标题、ICP备案号、城市

有的企业资产比较少,可能只给你一个ip,自己去做信息收集。

为了及时排查0day,资产梳理的时候一定要问客户具体的端口对应的应用是什么。如果是没有用的废弃服务一定要及时关闭。

渗透测试

这里的渗透测试,如果没得写的话,XSS、明文密码、暴力破解这些都可以写进去,并不是只要危害高的漏洞,把所有可能存在风险的地方写进去就对了(总不能交一份空白报告吧。

其他

都已经提前入场了,最好是找客户要一份网络拓扑图(有的企业出于保密可能不会给),了解网络架构,安全设备部署在哪里,需要保证设备的正常运行,能够监测到所有流量。设备不足的话,如果要部署也要在这段时间调试好(销售会安排实施人员的,一般不需要护网人员部署),不然等项目开始会手忙脚乱。还有白名单ip,一定要了解清楚客户这边哪些ip是绝对不能封的,DNS这些更不用说,切记不要封错了,特别是出口ip,外网业务服务器ip,如果比较多的话就记录起来,封ip的时候用蓝队工具去筛除白名单ip(推荐希潭实验室的blue teamtools)。

设备这个事不需要太担心,如果是提前入场的话会有大把的时间摸设备,一般来讲一天就能熟悉设备的常规操作了,误报漏报这些则是要一段时间的使用过后才会有感触。闲下来的时候可以写一写脚本,有的设备可能没有一键封禁/自动封禁,需要提取ip,然后到封禁设备加入黑名单中,所以可以自己写一个脚本提取设备告警的ip。

预监测

项目正式开始前如果没有其他事的话就开始预监测,提前开始监测,防范rt提前的打点。

项目期间

项目开始了不要紧张,不要一惊一乍的,不要什么事都找客户,不然客户找你来是干嘛的?研判确认过后确定有问题再去找客户/高级人员。刚开始会有很多红队的扫描流量告警,大部分情况是有代理池的,先把ip封了,研判的事等一会儿扫描告警结束了再去做,包括写日报也是,日报等到扫描结束后写,一定要当场写,不要等到快下班了再写。

告警

多个设备情况下

如果有态势感知的话看态势感知,如果态势感知接的设备比较少,还是看原设备为好,不要有遗漏,每个设备都要看到,比如五分钟看一次告警,那就所有设备都检查一遍,有的设备会漏过去,但是其他设备可能监测到了。

XFF头

看告警的时候一定要看XFF头,有些厂商的设备比较方便一点,可以勾选XFF头选项,看起来就比较方便,不用一个一个点开详情去看,有些厂商就比较麻烦了,需要点开详情去找XFF头,不利于监测。

XFF头默认是每经过一层代理,就往最右边加一个代理ip,所以最左边的是真实IP。

一些环境中几乎所有流量都是转发的,所以XFF头很重要,用来分清是内网告警还是外网告警(这种代理IP也要加到白名单,封了就你问题可就大咯)。

日常告警有哪些

通常会有木马外联、明文密码登录、弱密码登录、todesk/向日葵外联…

木马外联不用紧张,一般办公区都会有,广告软件/灰黑产木马居多(有假的chrome浏览器、激活工具),先确认一下在护网前有没有出现过,然后确认一下办公区跟内网是否有阻断,把外连地址封禁,如果有EDR的话可以跟客户沟通是否需要上机排查(个人PC嘛,事发之前肯定不愿意)

明文密码登录这些如果是提前入场可以尝试报上去让开发修复。弱口令也是,最好是提前整改,如果弱口令是管理员,看到什么admin/admin的,项目开始了也要报上去。

todesk/向日葵这类远控工具,有些地方会在项目期间禁用这类工具,如果现场有软件供应商团队的话可能会比较多,并且禁用也难。

除此之外,还有一些根据实际情况会有的告警,多监测几天就习惯了。比如有些开发把sql语句写在请求里,有些还有目录穿越的../ ,这种可以报上去,能修复最好。还有就是一些经常出现的误报,比如有的设备匹配shiro反序列化只匹配了rememberMe,就算正常的请求也会被告警,而且非常多(有些设备会显示告警详情,会直接把匹配到的字段放上去,这样看着就方便)。如果是纯误报,很影响监测的话可以考虑加到白名单里。

常用工具/网站推荐

威胁情报

奇安信、360、安恒、微步、深信服、腾讯

微步查的比较快,奇安信的也不错,其他的我用得比较少,不熟悉

1
2
3
4
5
6
https://ti.qianxin.com/portal
https://sc.360.net/
https://ti.dbappsecurity.com.cn/
https://x.threatbook.com/
https://ti.sangfor.com.cn/
https://tix.qq.com/

其他

1
2
3
4
5
6
https://fofa.info/
https://ping.chinaz.com/
https://myssl.com/
https://web.archive.org/
https://ping0.cc/
https://site.ip138.com/

有时候会结合fofa去分析ip上开放的服务,可能分辨出ip具体是什么组织。比如灰黑产,title就会有bc的字样。

1
https://fofa.info/

多地ping看有没有CDN

1
https://ping.chinaz.com/

ssl证书查询,定位域名

1
https://myssl.com/

wayback,查询域名历史页面

1
https://web.archive.org/

这里给一个wayback的例子,这个站点过去页面是一个卖货平台,但是fofa搜索可以发现它现在已经成为非法网站。

1
https://web.archive.org/web/20180805104943/http://xianzhaoquan.com/

ip地址查询,这个结果挺全的,我用很久了,还有一些站点支持api的查询方式

1
https://ping0.cc/

如果要批量调用api查询ip地址的话可以用这个

1
https://ip-api.com/docs/api:json

ip反查域名

1
https://site.ip138.com/

其他

每天检查设备是否有新的规则库更新,护网期间一天更个两三次都是正常的。

不要议论客户…什么没零食,不包餐,没啥好议论的,把你清退了你就完啦。

工作态度不要太散漫了,要有职业操守好吧,12个小时说不摸鱼肯定不现实,但是告警也别忘了看,被打穿了肯定没好处的。