企业官网建设流程全解析

北京智能网站建设哪里好,江苏住房城乡建设部网站,有没有免费做企业网站的,自己做网站步骤攻击阶段攻击手段核心原理典型工具防御措施一、信息收集1. 内网存活主机探测#xff08;ARP/ICMP 扫描#xff09;利用 ARP 广播或 ICMP 请求识别活跃主机#xff0c;无扫描特征或特征弱arp-scan、fping、nmap -sn1. 部署内网防火墙#xff0c;限制非授权主机的 ARP 扫描请…攻击阶段攻击手段核心原理典型工具防御措施一、信息收集1. 内网存活主机探测ARP/ICMP 扫描利用 ARP 广播或 ICMP 请求识别活跃主机无扫描特征或特征弱arp-scan、fping、nmap -sn1. 部署内网防火墙限制非授权主机的 ARP 扫描请求2. 开启主机防火墙拦截异常 ICMP 包3. 禁用不必要的网络协议如 NetBIOS2. 域环境信息枚举用户 / 组 / DC 查询利用 Windows 域协议LDAP/SMB查询域内敏感信息构建攻击路径BloodHound、PowerView、net 命令1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞3. 主机信息探测补丁 / 进程 / 服务读取系统补丁列表、进程、服务配置寻找未打补丁漏洞或弱权限服务WinPEAS、LinPEAS、systeminfo1. 建立补丁管理机制定期更新系统和应用补丁2. 最小化服务权限禁止普通用户读取敏感进程信息3. 部署 EDR 工具监控异常信息收集行为二、横向移动1. 哈希传递攻击PTH利用 Windows NTLM 认证漏洞直接使用哈希代替明文密码登录其他主机mimikatz、Impacketpsexec.py1. 禁用 NTLM 认证强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名防止哈希窃取3. 限制管理员账户在普通主机登录避免哈希泄露2. 票据传递攻击PTT伪造 Kerberos 票据TGT/TGS模拟域用户身份访问域内服务mimikatz、Rubeus1. 定期更换 KRBTGT 账户密码防止黄金票据伪造2. 开启 Kerberos 票据审计监控异常票据请求3. 限制票据的有效时间缩短攻击窗口期3. 远程服务利用WMI/WinRM/SSH利用开放的远程管理服务执行命令或获取 shellevil-winrm、wmiexec.py、SSH 暴力破解工具1. 禁用不必要的远程服务如 WMI、WinRM仅在必要主机开启2. 为 SSH/WinRM 设置强密码禁止密码复用3. 限制远程服务的访问 IP仅允许管理网段连接4. 漏洞利用永恒之蓝 / PrintNightmare利用未打补丁的系统漏洞远程执行恶意代码获取权限Metasploit、searchsploit1. 紧急修复高危漏洞如 MS17-010、CVE-2021-345272. 部署网络入侵检测系统IDS拦截漏洞利用流量3. 对关键服务如 SMB、打印服务进行流量监控三、权限提升1. Windows 系统漏洞提权利用内核或服务漏洞突破用户权限限制提升至 SYSTEM 权限wesng、PrivescCheck1. 定期扫描系统漏洞优先修复权限提升类漏洞2. 限制普通用户的进程创建权限禁止加载恶意驱动3. 部署应用白名单仅允许可信程序运行2. Linux SUID/sudo 提权利用 SUID 文件或 sudo 配置漏洞获取 root 权限LinPEAS、find 命令1. 定期清理不必要的 SUID/SGID 文件chmod u-s 文件名2. 严格配置 sudoers 文件限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH使用普通用户 sudo 提权3. 服务配置错误提权修改权限过高的服务二进制路径重启服务执行恶意代码sc 命令、注册表编辑器1. 检查服务权限配置禁止普通用户修改服务路径2. 对系统关键服务如 RPC、Windows Update进行权限加固3. 开启服务变更审计监控服务配置的异常修改四、持久化控制1. 隐藏账户 / 启动项持久化创建隐藏管理员账户或修改注册表启动项实现开机自启net 命令、注册表编辑器1. 定期审计本地账户和域账户排查隐藏账户如带 $ 后缀的账户2. 监控注册表启动项的变更禁止非授权程序添加自启项3. 启用账户登录审计记录所有账户的登录行为2. 黄金 / 白银票据持久化伪造 Kerberos 票据长期控制域内资源无需重复攻击mimikatz1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具检测伪造票据的使用3. 限制域管理员的权限范围避免权限滥用3. SSH 密钥 / 计划任务持久化植入 SSH 公钥或添加定时任务实现无密码登录或定期执行后门ssh-keygen、crontab1. 定期检查~/.ssh/authorized_keys文件删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计五、数据窃取 痕迹清理1. 敏感数据窃取密码 / 文件提取内存中的密码哈希、下载 NTDS.dit 等敏感文件mimikatz、LaZagne1. 启用内存保护机制防止进程内存被读取2. 对敏感文件如 NTDS.dit进行加密存储3. 部署数据防泄漏DLP系统监控敏感数据的传输2. 日志清理删除系统日志、安全日志掩盖攻击痕迹wevtutil、history 命令1. 将系统日志同步到远程日志服务器防止本地删除2. 开启日志访问审计禁止普通用户修改或删除日志3. 定期检查日志完整性排查日志缺失或篡改情况