K8s攻击案例：组件未授权访问导致集群入侵 K8s集群往往会因为组件的不安全配置存在未授权访问的情况，如果攻击者能够进行未授权访问，可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞，主要包括 API Server 未授权访问、kubel... 2023-12-25 11:10:14 | 阅读: 16 | 收藏 | Bypass 攻击 集群 etcd 端口 kubeletctl

K8s攻击案例：Privileged特权容器导致节点沦陷 01、概述特权容器（Privileged Container）是一种比较特殊的容器，在K8s中运行特权容器，需要将 Privileged 设为 true ，容器可以执行几乎所有可以直接在主机上执行的操... 2023-12-19 21:13:11 | 阅读: 7 | 收藏 | Bypass 容器 privileged 攻击

K8s攻击案例：RBAC配置不当导致集群接管 01、概述Service Account本质是服务账号，是Pod连接K8s集群的凭证。在默认情况下，系统会为创建的Pod提供一个默认的Service Account，用户也可以自定义Service A... 2023-12-18 19:15:7 | 阅读: 6 | 收藏 | Bypass 攻击 kubernetes 集群 bypass

镜像安全扫描工具 镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节，通过镜像安全扫描可以检测容器镜像中的漏洞，避免攻击者植入恶意代码，快速响应漏洞，从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具，它们... 2023-11-7 08:5:27 | 阅读: 7 | 收藏 | Bypass veinmind 镜像 安全 容器 github

Docker 恶意挖矿镜像应急实例 01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时，需要快速响应和排查，以阻止进一步的损害。面对docker容器的场景下，如何快速分析和识别恶意挖矿容器?... 2023-9-14 20:25:53 | 阅读: 15 | 收藏 | Bypass 容器 镜像 网络 network containerid

Docker 容器入侵排查 随着越来越多的应用程序运行在容器里，各种容器安全事件也随之发生，例如攻击者可以通过容器应用获取容器控制权，利用失陷容器进行内网横向，并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯... 2023-6-14 20:21:51 | 阅读: 11 | 收藏 | Bypass 容器 信息 dvwa 攻击 失陷

巧用OpenSSH进行域内权限维持 最近在Windows服务器上安装OpenSSH，意外发现了一个很有意思的技巧，可用来做域内权限维持，废话不多说，直接上步骤。01、利用方式（1）在已经获得权限的Windows服务器上，使用msiexe... 2023-5-23 08:2:40 | 阅读: 6 | 收藏 | Bypass openssh ssh windows msiexec 信息

一个AK/SK泄露检测的实现思路 01、简介在企业上云的过程中，AK/SK泄露导致的数据泄露事件屡见不鲜。在企业混合云架构下，公有云和私有云都存在大量的AccessKey，如何有效地检测可能的AK/SK泄露事件，一直困扰着企业的安全人... 2023-4-21 08:2:42 | 阅读: 19 | 收藏 | Bypass ak github 安全 accesskeyid 信息

云原生安全工具合集 以Docker+K8s为代表的容器技术得到了越来越广泛的应用，从安全攻防的角度，攻击者已经不再满足于容器逃逸，进而攻击整个容器编排平台，如果可以拿下集群管理员权限，其效果不亚于域控失陷。在云原生安全攻... 2023-4-10 20:13:27 | 阅读: 33 | 收藏 | Bypass 容器 github 安全 漏洞 镜像

AD域安全攻防实践（附攻防矩阵图） 以域控为基础架构，通过域控实现对用户和计算机资源的统一管理，带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术，在Windows通用攻击技术的基础上自成一套技术体系，将... 2023-3-11 18:3:14 | 阅读: 27 | 收藏 | Bypass 攻击 攻击者 信息 横向 安全

基于AD Event日志监测域委派后门 01、简介域委派是指将域内用户的权限委派给服务账号，使得服务账号能以用户权限开展域内活动。攻击者在获取到域控权限后，可以利用约束委派或者基于资源的约束委派实现后门，以实现达到维持权限的目的。基于AD... 2023-2-6 20:5:42 | 阅读: 9 | 收藏 | Bypass 委派 攻击 攻击者 账号 msds

2023 Todo List 2023年，如约而至。回到老家过年，看着许多熟悉的人、熟悉的房子，总感觉一切都好像在昨天。内心难得平静，终于可以停下脚步，去复盘一下自己这一年的经历，收拾一下心情，重新出发。从这几个方面，简单聊聊关于... 2023-1-28 19:2:12 | 阅读: 6 | 收藏 | Bypass 两三年 买房 几道 安全 房子

基于AD Event日志监测AdminSDHolder 01、简介AdminSDHolder是一个特殊的AD容器，通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护... 2023-1-16 08:1:19 | 阅读: 7 | 收藏 | Bypass sdprop bypass 攻击 控制

基于AD Event日志识别SID History后门 01、简介每个用户都有一个关联的安全标识符（SID），SID History的作用是在域迁移过程中保持域用户的访问权限，即如果迁移后用户的SID改变了，系统会将其原来的SID添加到迁移后用户的SID... 2023-1-13 08:2:38 | 阅读: 8 | 收藏 | Bypass mimikatz 后门 攻击 安全 sidhistory

基于AD Event日志识别Skeleton Key后门 01、简介Skeleton Key(万能密码)，是一种可以对域内权限进行持久化的操作手法，通过将Skeleton Key注入到lsass进程，无需重启域控即可生效，而且能够在不影响当前域用户正常登录的... 2023-1-11 20:5:44 | 阅读: 6 | 收藏 | Bypass mimikatz skeleton 注入 攻击 控制

基于AD Event日志实时检测DSRM后门 01、简介每个域控制器都有一个目录还原模式（DSRM）帐户，它的密码是在安装域控时设置的，实际上它对应的就是sam文件里的本地管理员“administrator”，基本很少会被重置，因此有着极强的隐蔽... 2023-1-8 21:26:8 | 阅读: 6 | 收藏 | Bypass dsrm 账号 控制 安全

基于AD Event日志监测域内信息探测行为 01、简介当攻击者获得内网某台域内服务器的权限，就会以此为起始攻击点，尽可能地去收集域的信息，以获取域控权限作为内网的终极目标。例如，攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息，通过定位... 2022-12-25 22:7:20 | 阅读: 12 | 收藏 | Bypass 信息 攻击 4661 攻击者 5145

基于AD Event日志识别黄金票据攻击 01、简介黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式，常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH，就可以随意伪造域内管理员用户，再加... 2022-12-18 20:9:13 | 阅读: 10 | 收藏 | Bypass 攻击 伪造 4769 4624 攻击者

基于AD Event日志检测哈希传递攻击 01、简介哈希传递攻击是基于NTLM认证的一种攻击方式，当我们获得某个管理员用户的密码哈希值，就可以利用密码哈希值进行横向渗透。在域环境中，只有域管理员的哈希值才能进行哈希传递攻击，攻击成功后，可以访... 2022-12-8 20:31:28 | 阅读: 12 | 收藏 | Bypass 哈希 攻击 219 bypass 横向

基于AD Event日志检测LSASS凭证窃取攻击 01、简介简单介绍一下，LSASS（本地安全机构子系统服务）在本地或域中登录Windows时，用户生成的各种凭证将会存储在LSASS进程的内存中，以便用户不必每次访问系统时重新登录。攻击者在获得起始攻... 2022-11-30 08:5:7 | 阅读: 11 | 收藏 | Bypass 4663 窃取 windows 攻击 安全