基于阿里云Kubernetes集群内容器的一次安全测试
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
背景
本文会从红蓝队两个角度去描述
攻击机操作系统:Windows10,kali linux
被攻击操作系统:k8s集群,容器为centos7
测试框架:dvwa
测试目的:检测阿里云上的云安全中心能够采集的日志以及云安全中心能够获取的alerts
红队
前提:已在集群容器中安装了dvwa
-
上传webshell至容器
(我们上传了webshell的文件至服务器目录下(因为没有其他的需求所以没有任何安全软件)
-
连接至web服务器
用neoreg.py去连接网页服务器, 在本地创建sock5代理
-
转发流量
我们用了proxifier去配置转发流量的规则, 通过代理将容器的流量转发至本地 紧接着应用规则
-
端口扫描
我们在转发流量的时候可以找到开放端口的节点
-
登录到节点服务器
因为我们把流量都应用到了本地,所以通过neoreg.py获取的流量可以直接应用在本地进入内网连接
-
同样我们也使用了暴力破解的方法去获取服务器的密码
以上就是一系列模拟红队的测试,接下来我们可以通过蓝队的角度去查看
蓝队
在阿里云安全中心查看日志
-
上传文件日志
-
登录流水(针对ssh暴力破解)
-
在安全中心查看ssh暴力破解
-
webshell告警
-
网络通讯日志
总结
在最近大会中提出了更多关于网络安全的概念, 代表着未来网络安全仍是主力, 网络安全也是国家安全, 在不久的未来会有越来越多安全产品安全服务诞生在我们眼前, 网络安全迫在眉睫.
在作为红队的时候我们可以自己脑补蓝队的安全设备有什么, 同样在作为蓝队的时候, 我们也可以想想红队的攻击思路是什么, 哪一部分最脆弱, 但是世界上没有绝对安全的系统, 所以技术在被开发的同时安全也需要跟进, 网络安全界是必需存在的, 即便有了人工智能, 但是大部分的分析还是得由人工来实现. 所以不管是红队还是蓝队, 在未来都会有更大的潜能.所以, 一起加油吧!
本文章仅用于演示, 其中所包含的相关技术请勿用于违法用途, 若他人利用本文章进行渗透测试触犯法律,与本人无关。
本文原创,转载请标注链接。
原创文章,作者:moonsec,如若转载,请注明出处:https://www.moonsec.com/7585.html