2.7 大數據

2.7.1 Elsaticsearch

Elasticsearch 是一個分佈式的搜索和分析引擎，可以用於全文檢索、結構化檢索和分析，並能將這三者結合起來。Elasticsearch 基於 Lucene 開發，現在是使用最廣的開源搜索引擎之一，Wikipedia、Stack Overflow、GitHub 等都基於 Elasticsearch 來構建他們的搜索引擎。

• 默認端口：9200（）、9300（）
• 攻擊方法：
• 未授權訪問；
• 遠程命令執行；
• 文件遍歷；
• 低版本webshell植入；
• 參考
• http://www.freebuf.com/sectool/38025.html
• https://www.secpulse.com/archives/5401.html

2.7.2 hadoop

Hadoop是一個開源的框架，可編寫和運行分佈式應用處理大規模數據，是專為離線和大規模數據分析而設計的，並不適合那種對幾個記錄隨機讀寫的在線事務處理模式。Hadoop=HDFS（文件系統，數據存儲技術相關）+ Mapreduce（數據處理），Hadoop的數據來源可以是任何形式，在處理半結構化和非結構化數據上與關係型數據庫相比有更好的性能，具有更靈活的處理能力，不管任何數據形式最終會轉化為key/value，key/value是基本數據單元。用函數式變成Mapreduce代替SQL，SQL是查詢語句，而Mapreduce則是使用腳本和代碼，而對於適用於關係型數據庫，習慣SQL的Hadoop有開源工具hive代替。 Hadoop就是一個分佈式計算的解決方案。

參考：

• https://tech.meituan.com/hadoop-security-practice.html
• https://zhuanlan.zhihu.com/p/33525241
• https://www.anquanke.com/post/id/85343
• https://www.cloudera.com/documentation/cdh/5-0-x/CDH5-Security-Guide/cdh5sg_hadoop_security_intro.html

2.7.3 Hive

Hive是Hadoop家族中一款數據倉庫產品，Hive最大的特點就是提供了類SQL的語法，封裝了底層的MapReduce過程，讓有SQL基礎的業務人員，也可以直接利用Hadoop進行大數據的操作。

參考：

• https://cwiki.apache.org/confluence/display/Hive/Security
• https://www.cnblogs.com/yejibigdata/p/6394719.html

2.7.4 Sqoop

Apache Sqoop（SQL-to-Hadoop） 項目旨在協助 RDBMS 與 Hadoop 之間進行高效的大數據交流。用戶可以在 Sqoop 的幫助下，輕鬆地把關係型數據庫的數據導入到 Hadoop 與其相關的系統 (如HBase和Hive)中；同時也可以把數據從 Hadoop 系統裡抽取並導出到關係型數據庫裡。除了這些主要的功能外，Sqoop 也提供了一些諸如查看數據庫表等實用的小工具。

參考

• https://sqoop.apache.org/docs/1.99.7/security.html

2.7.5 HBase

HBase建立在HDFS之上，提供高可靠性、高性能、列存儲、可伸縮、實時讀寫的數據庫系統。它介於NoSQL和RDBMS之間，僅能通過行鍵(row key)和行鍵序列來檢索數據，僅支持單行事務(可通過Hive支持來實現多表聯合等複雜操作)。主要用來存儲非結構化和半結構化的鬆散數據。與Hadoop一樣，HBase目標主要依靠橫向擴展，通過不斷增加廉價的商用服務器，來增加計算和存儲能力。

參考：

• https://www.cloudera.com/documentation/enterprise/5-6-x/topics/admin_hbase_security.html
• http://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Security-Guide/cdh5sg_hbase_security.html

2.7.6 Spark

Spark是UC Berkeley AMP lab所開源的類Hadoop MapReduce的通用的並行計算框架，Spark基於map reduce算法實現的分佈式計算，擁有Hadoop MapReduce所具有的優點；但不同於MapReduce的是Job中間輸出和結果可以保存在內存中，從而不再需要讀寫HDFS。

參考：

• http://cwiki.apachecn.org/pages/viewpage.action?pageId=2887905

3 後滲透

3.1 提權

SecWiki 總結了：

• https://github.com/SecWiki/windows-kernel-exploits
• https://github.com/SecWiki/linux-kernel-exploits

3.2 域攻擊

通常域內滲透的過程

1. 確定目標系統和應用程序
2. 識別潛在的漏洞
3. 利用漏洞獲得初始訪問
4. 提升權限
5. 定位域管理進程或者獲取遠程系統上的本地身份驗證令牌
6. 通過本地管理員的密碼Hash，破解密碼，使用mimikatz工具抓取密碼驗證運行在遠程系統上的域名管理進程
7. 遷移域管理進程
8. 創建一個域管理員

假設到這裡已經從外網或內網利用漏洞入侵到到一臺服務器，並且通過提權獲取了主機管理員權限，接下來要做的工作是獲取域管理員權限，並找到敏感數據。

通常會使用到的工具：

1. Empire
2. PowerUp
3. PowerView

一般熟練使用一種就夠用了，以 Empire 為例：

Empire 和 Metasploit 的使用原理是一樣的，都是先設置一個監聽，然後去生成一個木馬，然後在目標主機運行該木馬，我們的監聽就會連接上反彈回來的代理。

參考：

• https://www.anquanke.com/post/id/87328
• http://www.4hou.com/technology/4704.html

域滲透另外一個工具 mimikatz，用於抓 Windows 密碼，使用參考：

• http://www.mottoin.com/98506.html
• https://zhuanlan.zhihu.com/p/34991269

3.3 建立後門/端口轉發

參考：

• http://www.zerokeeper.com/experience/network-port-forwarding-and-penetration.html
• https://1sparrow.com/2018/01/20/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E6%80%BB%E7%BB%93/
• http://drops.xmd5.com/static/drops/tools-15000.html

端口轉發及代理類工具

• LCX：windows下面的端口轉發軟件。
• sockscap：主要針對windows平臺的端口轉發和代理轉發。
• proxifier：跨平臺的端口轉發和代理工具，適用windows，linux，
• Macos平臺，代理轉發利器
• Rsscoks：＊nix平臺下的端口轉發和代理工具，配合proxychains好用
• 到不行。
• Proxychains：＊nix平臺下老牌的socks代理工具，一般的系統都會自
• 帶，誰用誰知道。
• ssh proxy：通過ssh做端口代理和轉發，一般＊nix系統都自帶。
• netcat：socat，hping，在很多情況下可以做端口轉發和數據代理轉
• 發。
• metasploit：metasploit的後滲透模塊中有不少代理模塊和端口轉發
• 模塊。

在中轉服務器上下載端口轉發工具（加密壓縮）：

• 能連接互聯網下載
• 通過 mstsc 的磁盤加載
• 通過入口服務器中轉
• 通過遠程控制軟件上傳

3.4 傳輸文件

3.4.1 文件打包

關於打包

• Rar文件打包，壓縮d:\data\目錄下所有2013-01-01後修改的doc文件，100M/包密碼為Pass，-x為排除選項

rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n*.doc –x*.exe d:\data\

• 7z加密，壓縮d:\data下所有文件，密碼為Pass，分卷100M/包

7z.exe a c:\\xx.7z -pPass -mhe d:\data -v100m

• Linux用 tar 打包文件是可以加密碼，要跟openssl結合使用。

tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3

• 使用 tar 對加密文件解壓：

dd if=pma.des3 |openssl des3 -d -k password|tar zxf -

• ### 3.4.2 文件傳輸
• 幾個思路
• 使用端口轉發直接傳送數據；
• 搭建 FTP、HTTP 協議；
• 上傳到雲端再下載；

3.5 製作後門/木馬程序

一般用Matisploit 的 msfvenom，使用參考：

• https://github.com/rapid7/metasploit-framework/wiki/How-to-use-msfvenom
• https://www.offensive-security.com/metasploit-unleashed/msfvenom/

SET 也可以生成後門程序，另外也可以關注一下最新的 Office、PDF 的漏洞

4 日誌清理

在做日誌清理前需要了解以下的內容：

• 攻擊和入侵很難完全刪除痕跡，沒有日誌記錄本身就是一種入侵特徵；
• 刪除或清理入侵系統的本地日誌不代表刪除了痕跡，在網絡設備、安全設備、集中化日誌系統上仍然留存記錄；
• 留存的後門本身會有攻擊者的信息；
• 使用的代理或跳板可能會被反向入侵;
• 在操作前檢查是否有管理員登錄；
• 刪除上傳的工具，使用磁盤覆寫的功能刪除；

Windows日誌類型

• web日誌：IIS、Apache以及其它web日誌
• 操作日誌：3389登錄列表、最近訪問文件、IE等瀏覽
• 器訪問日誌、文件訪問日誌
• 登陸日誌：系統應用日誌-安全日誌等
• 攻擊前和狀態還原，儘量保持一致

Linux操作日誌

• Linux歷史操作

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;

• SSHD登陸記錄
• 刪除~/.ssh/known_hosts中記錄
• 修改文件時間戳
• touch –r 原文件要修改文件
• 刪除臨時使用文件，尤其是tmp目錄
• logtamper

5 工具和其他

1. 內網使用工具滲透的一些原則

• 使用適合自己的工具，工具沒必要收集太多，夠用就行；
• 能根據實際情況編寫適用的工具；
• 不能確保安全的工具均要在虛擬機中運行（很
• 多捆綁病毒木馬）；
• 做安全檢查的話，儘量使用 GitHub 上開源的工具。

1. 工具介紹
2. 個人習慣使用 kali 自帶工具，特定 POC 先從 Github 上搜索。
3. 推薦一個工具介紹的網站：https://www.kitploit.com/
4. 滲透注意事項

• 檢查內網監控防範系統
• 謹慎使用ARP軟件和大面積掃描軟件
• 使用目標網絡中無空閒機器，作為打包對象
• 使用內網大流量機器作為傳輸對象，如wsus服務
• 器、視頻會議系統
• 使用臨時機器打包、數據傳輸，不要使用已控機器，可利用wmi腳本或wmic遠程操作
• 滲透注意事項
• 禁止使用psexec.exe
• 打包時避開用戶工作時間
• 控制捲包大小<100M
• 選擇用戶常用壓縮軟件
• 錯峰下載數據
• 控制傳輸流量
• 清除所有操作日誌
• 登錄主機前先看看管理員是否在

閱讀更多 信息安全搬運工 的文章

關鍵字: SQL Linux IaaS