Ki1shan/Hands-on-writeups

# 🛡️ 安全实操报告      ## 概述 此仓库包含来自真实实验练习的实操技术报告。每份报告均包含目标、方法论、使用的工具、实际的扫描/捕获文件、截图以及安全分析——不仅是理论，更是附带记录结果的真实执行过程。 ## 报告列表 | # | 主题 | 工具 | 关键发现 | |---|-------|-------|------------| | 1 | [网络扫描](#1-network-scanning) | Nmap, Wireshark | 跨 NAT 和桥接网络暴露了 SMB 和 MySQL | | 2 | [防火墙加固](#2-firewall-hardening) | UFW, Windows Defender | 在 Linux 和 Windows 上阻断了 Telnet (端口 23) | | 3 | [钓鱼分析](#3-phishing-analysis) | MessageHeader, URLVoid, IPVoid | 剖析了 2 个钓鱼活动 —— Wells Fargo 和 Microsoft | | 4 | [流量分析](#4-traffic-analysis) | Wireshark, tcpdump | 发现了未加密的 HTTP 流量和 DNS 侦察模式 | | 5 | [漏洞评估](#5-vulnerability-assessment) | Nessus Essentials | 本地主机和本机上的严重 Node.js CVE 漏洞 (CVSS 9.8) | ## 1. 网络扫描 **文件夹:** `Network-Scanning/` ### 目标 在 NAT 和桥接环境中使用 TCP SYN 扫描执行网络侦察，以识别活跃主机、开放端口和暴露的服务。 ### 方法论 - 工具: Nmap 7.95 - 扫描类型: TCP SYN 扫描 (`-sS`) - 网络: NAT `10.0.2.0/24` 和桥接 `192.168.1.0/24` - 使用 Wireshark 捕获流量进行分析 ### 关键发现 **NAT 网络 (10.0.2.0/24)** | 主机 | 端口 | 服务 | 风险 | |------|------|---------|------| | 10.0.2.2 | 135/tcp | MSRPC | 中 | | 10.0.2.2 | 445/tcp | SMB | 高 | | 10.0.2.2 | 3306/tcp | MySQL | 高 | | 10.0.2.2 | 9080/tcp | Web Service | 中 | | 10.0.2.3 | 53/tcp | DNS | 低 | **桥接网络 (192.168.1.0/24)** | 主机 | 端口 | 服务 | 风险 | |------|------|---------|------| | 192.168.1.1 | 53/tcp | DNS | 低 | | 192.168.1.1 | 80/tcp | HTTP | 中 | | 192.168.1.1 | 443/tcp | HTTPS | 低 | | 192.168.1.9 | 135/tcp | MSRPC | 中 | | 192.168.1.9 | 139/tcp | NetBIOS | 高 | | 192.168.1.9 | 445/tcp | SMB | 高 | | 192.168.1.9 | 3306/tcp | MySQL | 高 | ### 安全分析 - **SMB (445)** — 容易受到横向移动和漏洞利用攻击 (EternalBlue, WannaCry) - **MySQL (3306)** — 暴露的数据库端口若未妥善加固，存在未授权访问风险 - **HTTP (80)** — 未加密的通信，容易被拦截和遭受中间人攻击 (MITM) - **DNS (53)** — 可能被滥用于侦察和基于 DNS 的数据窃取 ### 包含文件 ``` nat_scan.txt → NAT network raw Nmap output nat_scan.xml → NAT network XML format bridged_scan.txt → Bridged network raw Nmap output nmap_scan.pcapng → Wireshark packet capture of scan traffic ``` ### 使用工具 - Nmap 7.95 - Wireshark ## 2. 防火墙加固 **文件夹:** `Firewall-Hardening/` ### 目标 通过限制不安全的网络服务并验证 Linux (Kali) 和 Windows 环境中的防火墙配置，增强系统安全性。 ### 方法论 - 在两个平台上均阻断了 Telnet (端口 23) - 在 Linux 上允许了 SSH (端口 22) - 通过尝试 Telnet 连接来验证规则 ### Linux — UFW (Kali) ``` sudo ufw enable # Activate firewall sudo ufw status numbered # View active rules sudo ufw deny 23 # Block Telnet sudo ufw allow 22 # Allow SSH ``` **验证结果:** ``` telnet localhost 23 → Connection failed: Connection refused ✅ ``` ### Windows — Windows Defender 防火墙 - 创建新的入站规则 → 阻断端口 23 (Telnet) - 规则名称: "Block Telnet" - 应用于所有配置文件 (公共、专用、域) **验证结果:** ``` C:\Users\kisha> telnet localhost 23 Connecting To localhost...Could not open connection to the host, on port 23: Connect failed ✅ ``` ### 关键发现 - Telnet (端口 23) 在两个环境中均被成功阻断 - SSH (端口 22) 在加固后依然可访问 - 防火墙规则有效阻止了未授权的明文访问 ### 安全分析 - Telnet 以明文形式传输所有数据（包括凭证）—— 阻断它至关重要 - 用 SSH 替代 Telnet 可消除凭证暴露风险 - 适当的防火墙配置可直接减少攻击面 ### 包含文件 ``` firewall-ufw-commands → UFW commands reference Windows-firewall → Windows Firewall configuration notes ufw.png → UFW terminal output (rules active) telnet-localhost23.png → Telnet connection refused on Linux block_telnet_.png → Windows Defender block rule configured windows-inbound.png → Windows inbound rules list ``` ### 使用工具 - UFW (Uncomplicated Firewall) - Windows Defender 防火墙 - Telnet (用于验证测试) ## 3. 钓鱼分析 **文件夹:** `Phishing-Analysis/` ### 目标 通过检查电子邮件头、发件人详细信息、嵌入链接和社会工程学技术来分析钓鱼邮件，以识别恶意指标。 ### 方法论 - 收集了两个钓鱼电子邮件样本 - 提取并分析了电子邮件头 - 调查了发件人域名和回复地址 - 使用 MessageHeader 分析器追踪源 IP - 使用 URLVoid 和 IPVoid 验证恶意域名和 IP ### 案例 1 — Wells Fargo 钓鱼 **电子邮件主题:** *"Secure your WellsFargo Online Key"* **头部分析:** ``` From: "Wells Fargo Alerts" Return-Path: bounces@phishing-site.com Received: from shadyhosting.biz (91.234.56.78) X-Mailer: Outlook Express (fake) Reply-To: security@wellsfargo-secure.xyz ``` **钓鱼指标:** | 指标 | 详情 | |-----------|--------| | 域名不匹配 | `wellsfargo-support.net` — 不是 Wells Fargo 的官方域名 | | 恶意链接 | `http://cabinetkignima.com/Wellsfargo_keys_account5/page2.html` | | 不安全链接 | 使用 HTTP 而非 HTTPS | | 源服务器 | `shadyhosting.biz` — IP 经 IPVoid 确认被列入黑名单 | | 诱导话术 | "Your security key has expired" (您的安全密钥已过期) | | 泛滥式称呼 | "Dear James" — 抓取/随机生成的名字 | | 语法错误 | 多处结构错误 | ### 案例 2 — Microsoft 账户钓鱼 **电子邮件主题:** *"Unusual sign-in activity"* **头部分析:** ``` From: "Microsoft Team" Return-Path: bounces@scam-server.ru Received: from mail.scamhost.net (185.143.223.17) X-Mailer: Some Phishing Kit v2.0 Reply-To: support@microsoft-security.xyz ``` **钓鱼指标:** | 指标 | 详情 | |-----------|--------| | 免费电子邮件域名 | `outlook.com` — 不是 Microsoft 官方域名 | | 钓鱼工具包暴露 | 邮件头中可见 `X-Mailer: Some Phishing Kit v2.0` | | 正文中包含无效 IP | `293.09.101.9` — 第一段数字超出了有效 IP 范围 | | 虚假电话号码 | `1-800-816-0380` — 非经验证的 Microsoft 号码 | | 诱导话术 | "Unusual sign-in from Russia" (来自俄罗斯的异常登录) | | 可疑的回复地址 | `microsoft-security.xyz` | | 隐藏的恶意 CTA | "Review recent activity" 按钮链接至钓鱼页面 | ### 安全分析 - 攻击者利用域名欺骗冒充可信品牌 - 社会工程学 (制造紧迫感 + 恐惧) 诱使受害者在未核实的情况下采取行动 - 电子邮件头分析可揭示真实来源，即使显示名称看起来合法 - `X-Mailer` 字段可能会暴露钓鱼工具包签名 ### 包含文件 ``` wellsfargo.txt → Wells Fargo email body + header + indicators Microsoft-phishing.txt → Microsoft email body + header + indicators wellsfargo.png → MessageHeader analysis screenshot windows-phishing.png → Microsoft phishing header analysis screenshot ``` ### 使用工具 - MessageHeader 分析器 - URLVoid - IPVoid ## 4. 流量分析 **文件夹:** `Traffic-Analysis/` ### 目标 使用 Wireshark 分析捕获的网络流量，以识别协议、检查数据包流并检测潜在的可疑或恶意活动。 ### 方法论 - 使用 Wireshark 和 tcpdump 捕获实时网络流量 - 分析 PCAP 文件以查看协议分布 - 应用显示过滤器以隔离特定流量类型 - 跟踪 TCP 流以重建完整的通信会话 ### 应用的过滤器 ``` http → HTTP request/response inspection dns → DNS query and response analysis tcp → Full TCP handshake and stream analysis ``` ### 关键发现 - **TCP** — 识别出多个具有完整握手可见性的活跃连接 - **HTTP** — 观察到未加密的 Web 流量，暴露了请求内容 - **DNS** — 可见域名解析查询，包括时间和响应数据 ### 安全分析 - 未加密的 HTTP 流量会将敏感数据暴露给任何网络观察者 - DNS 流量揭示了主机正在与哪些域进行通信 —— 对 C2 检测非常有用 - TCP 流重建可以完整重放会话，用于事件调查 - 数据包级别的可见性对于异常检测和取证分析至关重要 ### 包含文件 ``` traffic-cap → tcpdump capture reference traffic1.pcapng → Wireshark packet capture file ``` ### 使用工具 - Wireshark - tcpdump ## 5. 漏洞评估 **文件夹:** `Vulnerability-Assessment/` ### 目标 通过在运行过时软件的系统上执行本地和基于网络的扫描，使用 Tenable Nessus 识别、分析和验证系统漏洞。 ### 方法论 - 工具: Nessus Essentials (CVSS v3.0 评分) - 扫描类型: 基本网络扫描 - 扫描目标: - **本地主机** — `127.0.0.1` - **本机** — `192.168.1.10` ### 扫描结果摘要 | 目标 | 漏洞总数 | 严重 | 高 | 中 | 信息 | |--------|------------|---------|------|--------|------| | 127.0.0.1 | 61 | 4 | 2 | — | 75 | | 192.168.1.10 | 59 | 1 | 3 | 1 | 1 | ### 严重发现 — Node.js 多个漏洞 ``` Plugin ID : 190856 Severity : CRITICAL CVSS Score: 9.8 Affected : Node.js < 18.19.1 / < 20.11.1 / < 21.6.2 Installed : Node.js 20.11.0 ``` **已识别的 CVE:** | CVE | 描述 | 影响 | |-----|-------------|--------| | CVE-2024-21892 | 提权情况下不当的环境变量处理 | 权限提升 | | CVE-2024-22019 | HTTP 分块传输编码 → 无限制内存读取 | 拒绝服务 | | CVE-2024-21896 | 通过 monkey-patching 实现的 Buffer.from() 路径遍历 | 路径遍历 | | CVE-2024-22017 | setuid() 绕过 —— 执行特权操作而不放弃特权 | 权限提升 | | CVE-2023-46809 | privateDecrypt() 中的 PKCS#1 计时侧信道 | RSA 密钥恢复 | | CVE-2024-21891 | 通过 --allow-fs-read 实现的通配符路径遍历 | 文件系统访问 | ### 修复建议 ``` Upgrade Node.js to: → 18.19.1 or later → 20.11.1 or later → 21.6.2 or later ``` ### 安全分析 - **两个**目标上都存在严重漏洞 —— 源于相同的过时 Node.js 安装 - CVSS 9.8 意味着在具有网络访问权限的情况下具有接近最高的可利用性 - 权限提升 CVE 在多用户系统上尤其危险 - RSA 计时攻击 (CVE-2023-46809) 使得针对 API 端点的远程密钥恢复成为可能 ### 包含文件 ``` Local_Machine_scan_gi4cv0.nessus → Full Nessus scan export local-machine → Local machine scan notes localhost → Localhost scan notes localhost1.png → Localhost scan overview localhost2.png → Localhost critical finding detail localmachine1.png → Local machine vulnerability list localmachine2.png → Local machine critical CVE detail ``` ### 使用工具 - Nessus Essentials - CVSS v3.0 评分系统 ## 展示的技能 | 技能 | 报告 | |-------|---------| | 网络侦察 | 网络扫描 | | 防火墙规则管理 | 防火墙加固 | | 电子邮件头取证 | 钓鱼分析 | | 社会工程学识别 | 钓鱼分析 | | 数据包捕获与分析 | 流量分析 | | 漏洞识别与 CVE 分析 | 漏洞评估 | | 修复指导 | 漏洞评估 | ## 所有报告中使用的工具 - **Nmap** — 网络扫描和主机发现 - **Wireshark / tcpdump** — 数据包捕获和流量分析 - **UFW** — Linux 防火墙管理 - **Windows Defender 防火墙** — Windows 火墙管理 - **Nessus Essentials** — 漏洞扫描和 CVE 识别 - **MessageHeader 分析器** — 电子邮件头追踪 - **URLVoid / IPVoid** — 恶意域名和 IP 验证 ## 作者 **Kishan N** Offensive Security 工程师 | Blue Team 从业者 涵盖核心防御和进攻安全技能的实操实验练习 —— 从网络侦察到漏洞评估，均附带真实证据记录。 *安全源于实践 —— 而不仅仅是阅读。*

标签：AES-256, Beacon Object File, CTI, CVE, DNS侦察, HTTP明文, IP 地址批量处理, Nessus, Nmap, SMB, TCP SYN扫描, UFW, Windows Defender, Wireshark, 云存储安全, 句柄查看, 安全实验, 密码管理, 技术文档, 插件系统, 数字签名, 渗透测试报告, 漏洞评估, 网络安全, 网络扫描, 蓝军, 虚拟驱动器, 钓鱼邮件分析, 错误配置检测, 防火墙配置, 隐私保护, 靶场Writeup