红蓝演练告警IPS告警_v2

2019年8月3日 23:18:34OnionT@KillBoy

OnionT@KillBoy

作者

关注

47
文章

0
粉丝

渗透测试427,599字数 707阅读2分21秒阅读模式

AI智能摘要

红蓝演练中，如何实时捕捉红队攻击痕迹？本文揭秘一套基于IPS日志的自动化监控脚本，通过识别特定IP、URL特征和攻击行为（如SQL注入、Struts2漏洞利用、XSS攻击），实现对红队行动的即时告警。代码实战演示了日志解析、攻击特征匹配与声音提醒机制，适用于网络安全演练中的威胁感知环节，帮助蓝队快速响应真实攻击流量。

— AI 生成的文章内容摘要

#!coding:utf-8
from socket import *
import pygame,re

tmpSip = ''
tmpDip = ''
tmpEventName = ''
URL1 = '/user/loginid/?id=3'
URL2 = '/user/loginid/?id=-'
URL3 = '/login.action?' #红队struts2特征
URLxss = ''

#!红队IP
Sip = ['210.72.243.18','114.242.71.226','114.242.71.227','114.242.71.228','114.242.71.229','114.242.71.230','114.242.71.231','114.242.71.232','114.242.71.233','114.242.71.234','114.242.71.235','114.242.71.236','114.242.71.237','114.242.71.238','114.242.71.239','114.242.71.240','114.242.71.241','114.242.71.242','114.242.71.243','114.242.71.244','114.242.71.245','114.242.71.246','114.242.71.247','114.242.71.248','114.242.71.249','114.242.71.250','114.242.71.251','114.242.71.252','114.242.71.253','114.242.71.254']

#接收IPS告警
revlog = socket(AF_INET,SOCK_DGRAM)
addr = ('172.16.26.120',514)
revlog.bind(addr)
while True:
    receive_data = revlog.recvfrom(204800)
    date = receive_data[0]#decode('gbk')# 存储接收的数据
    addr = receive_data[1]
    Dev_ip = addr[0]
    port = addr[1]
    
    try:
        #监测红队IP
        SrcIP = str(re.findall("SrcIP=+(d+S+)",date)[0])
        DstIP = str(re.findall("DstIP=+(d+S+)",date)[0])
        EventName = str(re.findall("EventName=+(S+)",date)[0])#.decode('gbk').encode('utf-8')
        SecurityType = str(re.findall("SecurityType=+(S+)",date)[0])#.decode('gbk').encode('utf-8')
        ProtocolType = str(re.findall("ProtocolType=+(S+)",date)[0])#.decode('gbk').encode('utf-8')
        Action = str(re.findall("Action=+(w+)",date)[0])
    except:
        pass

    print "=",#日志接收状态

    #!去重
    if tmpSip == SrcIP:
        if tmpDip == DstIP:
            if tmpEventName == EventName:
                continue


    #!告警
    if SrcIP in Sip:
        tmpSip = SrcIP
        tmpDip = DstIP
        tmpEventName = EventName
        pygame.mixer.init()
        track = pygame.mixer.music.load(r"/root/work/anquan/script/listing/hw/MP3/222.wav")
        pygame.mixer.music.play()
        print "针对IP的监测"*3 #调试
        print "+++++ This is IPS +++++n"
        print "33[1;35m检测到红队攻击IP： %s 目标服务器IP：%s 安全事件：%s 类型：%s 动作：%s33[0mn"%(SrcIP,DstIP,EventName,SecurityType,Action)
        print "+++"*10

    #!监测红队sqlinject、struts2、xss攻击
    try:
        URLsql = str(re.findall("URL=+(S{1,19})",date)[0])
        URLstr = str(re.findall("URL=+(S{1,14})",date)[0])
        
    except:
        continue
    try:
        URLxss = str(re.findall("URL=+.*(alert(d+))",date)[0])
        #URLxss1 = str(re.findall("URL=+(/w+.jsp?)",date)[0])#调试
    except:
        pass

    #!告警
    if URLsql == URL1:
        tmpSip = SrcIP
        tmpDip = DstIP
        tmpEventName = EventName
        pygame.mixer.init()
        track = pygame.mixer.music.load(r"/root/work/anquan/script/listing/hw/MP3/222.wav")
        pygame.mixer.music.play()
        #print "针对 SQLinject的监测"*3 #调试
        print "+++++ This is IPS +++++n"
        print "33[1;32m检测到红队攻击IP %s 目标服务器IP：%s 安全事件：%s 类型：%s 动作：%s33[0mn"%(SrcIP,DstIP,EventName,SecurityType,Action)
        print "+++"*10
    if URLsql == URL2:
        tmpSip = SrcIP
        tmpDip = DstIP
        tmpEventName = EventName
        pygame.mixer.init()
        track = pygame.mixer.music.load(r"/root/work/anquan/script/listing/hw/MP3/222.wav")
        pygame.mixer.music.play()
        #print "针对 SQLinject的监测22222222222222"*3 #调试
        print "+++++ This is IPS +++++n"
        print "33[1;32m检测到红队攻击IP %s 目标服务器IP：%s 安全事件：%s 类型：%s 动作：%s33[0mn"%(SrcIP,DstIP,EventName,SecurityType,Action)
        print "+++"*10
    
    #!监测红队struts2攻击并告警
    if URLstr == URL3:
        tmpSip = SrcIP
        tmpDip = DstIP
        tmpEventName = EventName
        pygame.mixer.init()
        track = pygame.mixer.music.load(r"/root/work/anquan/script/listing/hw/MP3/222.wav")
        pygame.mixer.music.play()
        #print "针对 struts2的监测"*3 #调试
        print "+++++ This is IPS +++++n"
        print "33[1;31m检测到红队攻击IP %s 目标服务器IP：%s 安全事件：%s 类型：%s 动作：%s33[0mn"%(SrcIP,DstIP,EventName,SecurityType,Action)
        print "+++"*10

    #!监测红队xss攻击并告警
    if URLxss :
        if 'HTTP_XSS' in EventName: 
            tmpSip = SrcIP
            tmpDip = DstIP
            tmpEventName = EventName
            pygame.mixer.init()
            track = pygame.mixer.music.load(r"/root/work/anquan/script/listing/hw/MP3/222.wav")
            pygame.mixer.music.play()
            #print "针对 xss的监测"*3 #调试
            print "+++++ This is IPS +++++n"
            print "33[1;33m检测到红队攻击IP %s 目标服务器IP：%s 安全事件：%s 类型：%s 动作：%s33[0mn"%(SrcIP,DstIP,EventName,SecurityType,Action)
            print "+++"*10

阿里巴巴程荣：IPv6的安全之路

信息安全 59,413 01/22 2

墨者学院 – X-Forwarded-For注入漏洞实战Writeup

SQL注入 47,083 03/14 1

phpMyAdmin 通用密码漏洞

渗透测试 11,912 09/23 1

对方不想和你说话并扔了一段代码

渗透测试 8,133 08/03 3

评论 42 访客 42

烟火气十足 1
2026年1月7日 12:26:00 上海市 1F
回复

这个脚本是用来监控红队攻击的？
炽炎魔导师 0
2026年1月7日 18:23:58 江苏省苏州市 2F
回复

代码看着还行，就是告警逻辑有点绕。
妖梦阁 0
2026年1月7日 20:07:56 江苏省盐城市 3F
回复

之前做演练也写过类似的，不过用的是syslog。
星辰预言师 0
2026年1月7日 20:32:12 上海市 4F
回复

struts2那个特征现在还常见吗？
北极熊船长 0
2026年1月8日 09:11:09 韩国 5F
回复

要是告警能发邮件就更实用了。
- 冥渊独行 0
  2026年1月23日 12:24:37 日本 B1
  回复
  
  @ 北极熊船长告警邮件确实更实用，能及时通知
西厢记 0
2026年1月8日 09:38:20 湖南省株洲市 6F
回复

直接用pygame播报警声这操作挺骚的哈哈
土掌农夫 1
2026年1月8日 12:39:15 印度 7F
回复

IP列表写死了，实际用起来得动态更新吧？
- 纸上流年 0
  2026年1月23日 16:58:54 上海市 B1
  回复
  
  @ 土掌农夫动态更新IP列表会更灵活些
夜梦无痕 0
2026年1月8日 22:28:20 浙江省 8F
回复

只检测了GET参数？POST的SQL注入不管吗？🤔
土灵守护 0
2026年1月8日 22:30:10 广东省佛山市 9F
回复

对新手挺友好的，可以照着改改直接用。
深空漫游者 0
2026年1月9日 19:52:45 北京市 10F
回复

告警去重的思路可以，但感觉会有漏报。
智鸦谜语 0
2026年1月9日 21:37:46 美国 11F
回复

这个去重逻辑会不会漏掉连续攻击？
永恒夜行 0
2026年1月10日 13:02:01 马来西亚 12F
回复

要是能集成到SIEM里就更好了。
- 风语轻歌 1
  2026年1月25日 20:04:17 台湾省桃园市 B1
  回复
  
  @ 永恒夜行集成到SIEM确实更方便管理
韵绕竹林 1
2026年1月11日 11:08:00 上海市静安区 13F
回复

正则匹配URL那段容易误报吧？
彩云偷香 1
2026年1月11日 23:15:43 印度 14F
回复

告警声音可以换个更醒目的。
韵染江山 0
2026年1月12日 13:31:57 重庆市 15F
回复

用pygame播报警声挺有创意的233
- 坚韧不拔 0
  2026年2月3日 22:03:51 北京市 B1
  回复
  
  @ 韵染江山 pygame放警报声确实骚，但实战中会不会太吵了？
糯米小鹿 1
2026年1月12日 20:35:58 山东省 16F
回复

这个端口514是syslog默认端口吧？
旅梦未央 0
2026年1月13日 13:33:02 山东省淄博市 17F
回复

实战中遇到过类似场景，确实需要实时告警。
咒术之影 1
2026年1月14日 08:25:46 浙江省杭州市 18F
回复

新手问下，这个脚本在Windows能跑吗？
- 自行车 1
  2026年1月28日 14:50:14 福建省泉州市 B1
  回复
  
  @ 咒术之影这脚本在Windows跑估计得改不少，pygame和路径都得调
电竞王者 0
2026年1月14日 11:47:43 韩国 19F
回复

只监控特定IP段会不会有盲区？
月下蔷薇 1
2026年1月14日 22:40:02 黑龙江省 20F
回复

代码结构再清晰点就好了。
- 四驱车狂人 0
  2026年1月30日 00:21:26 上海市 B1
  回复
  
  @ 月下蔷薇代码缩进和注释乱糟糟的，看着头疼
夜行魂 0
2026年1月15日 19:04:26 重庆市 21F
回复

正则匹配那块感觉可以优化下，容易误报
幻光浮沫 0
2026年1月15日 22:00:15 上海市 22F
回复

这个脚本在linux下测试过没？
蒸汽朋克学者 0
2026年1月17日 14:56:46 重庆市 23F
回复

告警声音直接pygame有点魔性hhh
呆萌小火山 1
2026年1月17日 14:59:11 北京市 24F
回复

去重逻辑简单但实用，适合快速部署
幻影Shadow 0
2026年1月18日 14:51:09 韩国 25F
回复

只监控GET确实不够，POST也得考虑
毒蛇 1
2026年1月19日 10:03:41 山东省临沂市 26F
回复

实战用过类似的，告警及时性确实重要
奶糖丸 0
2026年1月20日 19:52:37 韩国 27F
回复

IP列表静态的容易被绕过啊
霜雪吟游 0
2026年1月20日 23:02:16 甘肃省兰州市 28F
回复

struts2现在很少见了吧
黄昏算法的园丁 1
2026年1月21日 21:38:12 日本 29F
回复

新手表示看不太懂，有更详细的注释吗
玄冥叟 1
2026年1月22日 13:25:12 北京市 30F
回复

这个配置在云环境能用不？
TimberFrame 1
2026年1月23日 17:40:05 河南省平顶山市 31F
回复

pygame放告警音效还挺会玩的
- VortexSeeker 1
  2026年1月23日 18:07:26 越南 B1
  回复
  
  @ TimberFrame 哈哈，你也发现了，这个功能挺有意思的
SandsOfFreedom 1
2026年1月31日 09:40:05 江苏省徐州市 32F
回复

这代码风格有点像我同事写的
- SableFury 1
  2026年1月31日 10:15:09 广东省东莞市 B1
  回复
  
  @ SandsOfFreedom 哈哈，这代码风格挺眼熟的
玄墨孤舟 0
2026年2月4日 11:20:47 内蒙古呼和浩特市 33F
回复

IP列表全写死，红队换个出口IP不就直接绕过了？
梁十八 0
2026年2月4日 23:17:50 福建省厦门市 34F
回复

只抓GET参数的SQL注入，现在谁还这么搞啊，基本都是POST或者JSON了吧🤔

红蓝演练告警IPS告警_v2

热门话题

阿里巴巴程荣：IPv6的安全之路

墨者学院 – X-Forwarded-For注入漏洞实战Writeup

phpMyAdmin 通用密码漏洞

对方不想和你说话并扔了一段代码

发表评论

热门搜索

热门话题

阿里巴巴程荣：IPv6的安全之路

墨者学院 – X-Forwarded-For注入漏洞实战Writeup

phpMyAdmin 通用密码漏洞

对方不想和你说话并扔了一段代码

发表评论