前天做了个配合客户进行攻击演示视频录制的项目,今天又到北办听马老师讲了xhack的工具使用,感觉又深深的理解了一遍,happing中。
一、工具下载 1、xhack 在【自助服务】-【常用工具】下载
2、vAF 在【自助服务】-【产品资源】-【超融合HCI】-【虚拟网络设备模板】下载
二、搭建环境 1、理论拓扑 在攻击机和耙机中间部署防火墙即可。耙机一个为Debian虚拟机,一个为运行xhack工具的服务器。
2、实际拓扑 只要保证攻击机的数据经过AF即可。具体拓扑按自己想法配置即可。
三、配置 1、在攻击端windows系统上安装xhack工具 以管理员权限运行exe程序,安装前退出安全软件,安装后会重启系统。
2、在耙机windows系统上安装xhack工具
3、配置好耙机debian系统的IP,保证攻击机与耙机数据通信正常。 debian系统的用户名密码:af/sangfor
4、防火墙配置 建议以网桥模式或虚拟网线部署,保证网络畅通,建议应用控制策略全放通,配置一条安全防护策略
四、测试 1、安全数据检测 (1)数据流检测 这个检测功能是基于回放攻击包的原理进行测试。 勾选要检测的攻击类型
配置“检测勾选项”,这里要配置xhack耙机的IP。
检测通过后点击确定。
在运行历史可以查看跑包状态:
(2)pcappkt检测 上面是基于流的检测,这个是基于包的检测,一个数据流可能包含多个包。主要用于虚拟化单网卡环境。
选择网卡和包文件,点击“触发回放”即可。
(3)威胁情报检测 这个主要是配合SIP等环境检测。 比如,发现恶意URL和恶意域名,可以拿到这里来跑。
到防火墙上验证上下: 【监控】--【日志】--【安全日志】
2、实况靶场 (1)WEB实况攻击 区别于回放攻击,就是真实的攻击。
先检测靶机地址,这里指的是debian系统的地址。
选择SQL注入,点击发送。
注入成功,返回页面:
查看防火墙的拦截日志,因为安全日志需要时间较长,这里采用直通拦截的方式验证:
我们关闭直通,再看下SQL注入返回的结果:
再去安全日志里验证下:
(2)病毒下载检测 选中要下载的文件
下面有个“下载”按钮,点击进行下载。 看下反馈的结果:
查看AF安全日志:
(3)病毒上传检测 配置好要上传的文件,点击“确定”。
xhack回传上传失败:
安全日志:
五、注意 1、防火墙攻击防护及时阻断,而日志显示会有4.7分钟延迟,最长不超10分钟,攻击大屏显示会比日志显示快一些 日志显示慢是因为一次性收到大量的攻击包会逐渐显示也有硬件资源有关系。 2、存储显示不正常排查 客户反馈桌面云组建虚拟存储看不到磁盘。 原因:把磁盘添加到了本地磁盘。
删除:只保留系统盘
再组建虚拟存储:
完成:
PS:这么好用的工具,你不想试下吗?  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2021-2-5 17:08
技术专家4级 
