2.7 大數據
2.7.1 Elsaticsearch
Elasticsearch 是一個分佈式的搜索和分析引擎,可以用於全文檢索、結構化檢索和分析,並能將這三者結合起來。Elasticsearch 基於 Lucene 開發,現在是使用最廣的開源搜索引擎之一,Wikipedia、Stack Overflow、GitHub 等都基於 Elasticsearch 來構建他們的搜索引擎。
默認端口:9200()、9300()攻擊方法:未授權訪問;遠程命令執行;文件遍歷;低版本webshell植入;參考http://www.freebuf.com/sectool/38025.htmlhttps://www.secpulse.com/archives/5401.html2.7.2 hadoop
Hadoop是一個開源的框架,可編寫和運行分佈式應用處理大規模數據,是專為離線和大規模數據分析而設計的,並不適合那種對幾個記錄隨機讀寫的在線事務處理模式。Hadoop=HDFS(文件系統,數據存儲技術相關)+ Mapreduce(數據處理),Hadoop的數據來源可以是任何形式,在處理半結構化和非結構化數據上與關係型數據庫相比有更好的性能,具有更靈活的處理能力,不管任何數據形式最終會轉化為key/value,key/value是基本數據單元。用函數式變成Mapreduce代替SQL,SQL是查詢語句,而Mapreduce則是使用腳本和代碼,而對於適用於關係型數據庫,習慣SQL的Hadoop有開源工具hive代替。 Hadoop就是一個分佈式計算的解決方案。
參考:
https://tech.meituan.com/hadoop-security-practice.htmlhttps://zhuanlan.zhihu.com/p/33525241https://www.anquanke.com/post/id/85343https://www.cloudera.com/documentation/cdh/5-0-x/CDH5-Security-Guide/cdh5sg_hadoop_security_intro.html2.7.3 Hive
Hive是Hadoop家族中一款數據倉庫產品,Hive最大的特點就是提供了類SQL的語法,封裝了底層的MapReduce過程,讓有SQL基礎的業務人員,也可以直接利用Hadoop進行大數據的操作。
參考:
https://cwiki.apache.org/confluence/display/Hive/Securityhttps://www.cnblogs.com/yejibigdata/p/6394719.html2.7.4 Sqoop
Apache Sqoop(SQL-to-Hadoop) 項目旨在協助 RDBMS 與 Hadoop 之間進行高效的大數據交流。用戶可以在 Sqoop 的幫助下,輕鬆地把關係型數據庫的數據導入到 Hadoop 與其相關的系統 (如HBase和Hive)中;同時也可以把數據從 Hadoop 系統裡抽取並導出到關係型數據庫裡。除了這些主要的功能外,Sqoop 也提供了一些諸如查看數據庫表等實用的小工具。
參考
https://sqoop.apache.org/docs/1.99.7/security.html2.7.5 HBase
HBase建立在HDFS之上,提供高可靠性、高性能、列存儲、可伸縮、實時讀寫的數據庫系統。它介於NoSQL和RDBMS之間,僅能通過行鍵(row key)和行鍵序列來檢索數據,僅支持單行事務(可通過Hive支持來實現多表聯合等複雜操作)。主要用來存儲非結構化和半結構化的鬆散數據。與Hadoop一樣,HBase目標主要依靠橫向擴展,通過不斷增加廉價的商用服務器,來增加計算和存儲能力。
參考:
https://www.cloudera.com/documentation/enterprise/5-6-x/topics/admin_hbase_security.htmlhttp://www.cloudera.com/documentation/cdh/5-1-x/CDH5-Security-Guide/cdh5sg_hbase_security.html2.7.6 Spark
Spark是UC Berkeley AMP lab所開源的類Hadoop MapReduce的通用的並行計算框架,Spark基於map reduce算法實現的分佈式計算,擁有Hadoop MapReduce所具有的優點;但不同於MapReduce的是Job中間輸出和結果可以保存在內存中,從而不再需要讀寫HDFS。
參考:
http://cwiki.apachecn.org/pages/viewpage.action?pageId=28879053 後滲透
3.1 提權
SecWiki 總結了:
https://github.com/SecWiki/windows-kernel-exploitshttps://github.com/SecWiki/linux-kernel-exploits3.2 域攻擊
通常域內滲透的過程
確定目標系統和應用程序識別潛在的漏洞利用漏洞獲得初始訪問提升權限定位域管理進程或者獲取遠程系統上的本地身份驗證令牌通過本地管理員的密碼Hash,破解密碼,使用mimikatz工具抓取密碼驗證運行在遠程系統上的域名管理進程遷移域管理進程創建一個域管理員假設到這裡已經從外網或內網利用漏洞入侵到到一臺服務器,並且通過提權獲取了主機管理員權限,接下來要做的工作是獲取域管理員權限,並找到敏感數據。
通常會使用到的工具:
EmpirePowerUpPowerView一般熟練使用一種就夠用了,以 Empire 為例:
Empire 和 Metasploit 的使用原理是一樣的,都是先設置一個監聽,然後去生成一個木馬,然後在目標主機運行該木馬,我們的監聽就會連接上反彈回來的代理。
參考:
https://www.anquanke.com/post/id/87328http://www.4hou.com/technology/4704.html域滲透另外一個工具 mimikatz,用於抓 Windows 密碼,使用參考:
http://www.mottoin.com/98506.htmlhttps://zhuanlan.zhihu.com/p/349912693.3 建立後門/端口轉發
參考:
http://www.zerokeeper.com/experience/network-port-forwarding-and-penetration.htmlhttps://1sparrow.com/2018/01/20/%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E6%80%BB%E7%BB%93/http://drops.xmd5.com/static/drops/tools-15000.html端口轉發及代理類工具
LCX:windows下面的端口轉發軟件。sockscap:主要針對windows平臺的端口轉發和代理轉發。proxifier:跨平臺的端口轉發和代理工具,適用windows,linux,Macos平臺,代理轉發利器Rsscoks:*nix平臺下的端口轉發和代理工具,配合proxychains好用到不行。Proxychains:*nix平臺下老牌的socks代理工具,一般的系統都會自帶,誰用誰知道。ssh proxy:通過ssh做端口代理和轉發,一般*nix系統都自帶。netcat:socat,hping,在很多情況下可以做端口轉發和數據代理轉發。metasploit:metasploit的後滲透模塊中有不少代理模塊和端口轉發模塊。在中轉服務器上下載端口轉發工具(加密壓縮):
3.4 傳輸文件
3.4.1 文件打包
關於打包
Rar文件打包,壓縮d:\data\目錄下所有2013-01-01後修改的doc文件,100M/包密碼為Pass,-x為排除選項rar.exe a–r –v100m new.rar –ta20130101000000 –hpPass –n*.doc –x*.exe d:\data\7z加密,壓縮d:\data下所有文件,密碼為Pass,分卷100M/包
7z.exe a c:\\xx.7z -pPass -mhe d:\data -v100mLinux用 tar 打包文件是可以加密碼,要跟openssl結合使用。
tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3使用 tar 對加密文件解壓:
dd if=pma.des3 |openssl des3 -d -k password|tar zxf -### 3.4.2 文件傳輸幾個思路使用端口轉發直接傳送數據;搭建 FTP、HTTP 協議;上傳到雲端再下載;
3.5 製作後門/木馬程序
一般用Matisploit 的 msfvenom,使用參考:
https://github.com/rapid7/metasploit-framework/wiki/How-to-use-msfvenomhttps://www.offensive-security.com/metasploit-unleashed/msfvenom/SET 也可以生成後門程序,另外也可以關注一下最新的 Office、PDF 的漏洞
4 日誌清理
在做日誌清理前需要了解以下的內容:
Windows日誌類型
web日誌:IIS、Apache以及其它web日誌操作日誌:3389登錄列表、最近訪問文件、IE等瀏覽器訪問日誌、文件訪問日誌登陸日誌:系統應用日誌-安全日誌等攻擊前和狀態還原,儘量保持一致Linux操作日誌
Linux歷史操作unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;SSHD登陸記錄刪除~/.ssh/known_hosts中記錄修改文件時間戳touch –r 原文件要修改文件刪除臨時使用文件,尤其是tmp目錄logtamper