Detectionlab安装及使用

STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

前言

DetectionLab项目是一个安装了一些安全工具及其日志检测工具的集合，可以轻松捕获到大部分的威胁，能够为用户快速搭建一个windows域。

安装及部署环境

根据自己的环境进行选择https://detectionlab.network/deployment/我的环境信息如下

Win10VMware Workstation 16 Pro其中需要配置如下：硬盘需55G+可用运行内存 16GB 以上VMware Workstation 15+

在搭建之前需要安装如下工具

vagrant - https://www.vagrantup.com/downloadsVagrant VMware Utility - https://www.vagrantup.com/vmware/downloadsvagrant plugin install vagrant-vmware-desktop

安装完成所需工具之后，将DetectionLab下载回来

git clone https://github.com/clong/DetectionLab.git

检查是否符合安装条件

.\prepare.ps1

符合安装条件后，有以下两种方法进行安装

1.

vagrant up --provider=vmware_desktop

2.命令窗口1和窗口2分别运行

vagrant up loggervagrant up dc

当logger和dc安装完成之后就可以继续安装剩下的机器

vagrant up wefvagrant up win10

下载和安装完成之后，运行脚本测试环境是否搭建完成

post_build_checks.ps1

如图上所示，则说明环境部署成功

使用介绍

通过架构展示可以看到，win10为模拟用户，dc和win10将收集到的数据发送到wef，wef则将接收到的数据上传ATA进行检测，同时将数据导入到Splunk中，Splunk并会对所有收集到的日志进行解析。所有主机的PowerShell日志会被保存在WEF服务器中，位置在\\wef\pslogs并在Splunk中可以查询到。Zeek和Suricata预先配置为监控网络流量并发出告警，Guacamole方便我们从浏览器访问实验机器。

实验环境相关密码及平台

Domain Name: windomain.localAdmininstrator login: vagrant:vagrantFleet login: https://192.168.56.105:8412 - admin@detectionlab.network:admin123#Splunk login: https://192.168.56.105:8000 - admin:changemeMS ATA login: https://192.168.56.103 - wef\vagrant:vagrantGuacamole login: http://192.168.56.105:8080/guacamole - vagrant:vagrantVelociraptor login: https://192.168.56.105:9999 - admin:changeme

威胁检测分析MS ATA使用mimikatz进行dcsync

在ATA上查看检测结果

检测PsExec

不过不知道为什么显示的攻击结果是失败的

Splunk检测dcsync从源机器数据进行检测

index="sysmon" CommandLine="mimikatz.exe \"lsadump::dcsync /user:krbtgt /domain:windomain.local\""

从DC数据进行检测

(index="wineventlog" source="WinEventLog:Security" (EventCode="4662" Object_Type="%{19195a5b-6da0-11d0-afd3-00c04fd930c9}" Access_Mask="0x100") NOT ((SubjectDomainName="Window Manager") OR ((Account_Name="NT AUTHORITY*" OR Account_Name="MSOL_*")) OR (Account_Name="*$")))

检测PsExec从目标机器数据进行检测

index="wineventlog" EventCode="4674" Object_Server="SC Manager" Object_Name="PSEXESVC"

index="wineventlog" EventCode="7045" Service_Name="PSEXESVC" Service_File_Name="%SystemRoot%\\PSEXESVC.exe"

从源机器数据进行查询

index="wineventlog" EventCode="4688" Process_Command_Line="*.exe -u * -p * \\\*"

除了上述的方法，还可以从sysmon的数据进行检测，这里就不一一列举了。

检测nopac

noPac.exe -domain windomain.local -user vagrant -pass vagrant /dc dc.windomain.local /mAccount test -mPassword 12qwAS.. /service cifs /ptt

index="wineventlog" EventCode="4781" host="dc.*.*" New_Account_Name="dc" Old_Account_Name="*$"

我们可以新建告警，假如有检测出来的我们就可以第一时间了解到

选择实时，根据个人需求选择触发操作

可在设置-->知识-->搜索、报表和告警处进行修改所添加的告警

可以在活动-->触发的告警中进行查看

VelociraptorVelociraptor是开源端点监控、数字取证和网络响应平台点击Show All 则可以看到所在线的机器

点击Client ID进入如下界面

点击VFS则可以查看机器中文件，可以进行下载方便取证等

通过Quarantine host可以对该机器进行隔离，隔离之后该机器只能与Velociraptor服务器进行通信

下面通过USN日志查询noPac.exe的创建及使用等信息新建狩猎，添加描述

通过搜索快速查找到进行USN查询的Artifact

选择完成之后，进行配置PathRegex参数填入noPac.exe，输入完成点击Launch

点击开始狩猎即可

当狩猎完成之后，可在Notebook查看结果，也可下载回来在本地查看，通过结果可以看到noPac.exe创建时间及使用等情况

Fleet基于osquery的开源设备管理平台，可以在平台设置策略及定时查询等

该平台可以对机器所安装的软件进行收集，当开启漏洞自动化时，所安装软件发现CVE漏洞时，则会向指定的网址发送webhook请求

踩坑总结

0.网卡设置问题将Vmnet2子网地址设置为192.168.56.0，或者设置vmnet0(虚拟机默认网卡是vmnet0)

设置完成之后需要更改

假如后面你要进行vagrant provision当机器重启时也要重新进行设置，不然加入域和安装agent连接105的时候会出现问题

1.wef无法加入域在DC中以管理员模式运行configure-ou.ps1脚本即可2.虚拟机工具不齐全运行

vagrant provision 主机名

想要不报错可以设置系统代理，需要下载的时候vagrant会自动使用代理

linux设置全局代理

sudo vim ~/.bashrc输入以下内容export http_proxy="http://192.168.31.123:7890"export https_proxy="http://192.168.31.123:7890"export no_proxy="localhost,127.0.0.1"执行source ~/.bashrc

windows设置系统代理即可

3.一直卡着在服务启动

查看是否能正常访问

将红框内容删除并保存，运行工具补全命令即可

vagrant provision logger

vagrant plugin install vagrant-reload

4.The Hyper-V cmdlets for PowerShell are not available

管理员运行cmd，输入以下命令重启即可

bcdedit /set hypervisorlaunchtype auto

RECRUITMENT

招聘启事

安恒雷神众测SRC运营（实习生）————————【职责描述】1. 负责SRC的微博、微信公众号等线上新媒体的运营工作，保持用户活跃度，提高站点访问量；2. 负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作，促进审核人员与白帽子之间友好协作沟通；3. 参与策划、组织和落实针对白帽子的线下活动，如沙龙、发布会、技术交流论坛等；4. 积极参与雷神众测的品牌推广工作，协助技术人员输出优质的技术文章；5. 积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。【任职要求】1. 责任心强，性格活泼，具备良好的人际交往能力；2. 对网络安全感兴趣，对行业有基本了解；3. 良好的文案写作能力和活动组织协调能力。

简历投递至

bountyteam@dbappsecurity.com.cn

设计师（实习生）

————————

【职位描述】负责设计公司日常宣传图片、软文等与设计相关工作，负责产品品牌设计。【职位要求】1、从事平面设计相关工作1年以上，熟悉印刷工艺；具有敏锐的观察力及审美能力，及优异的创意设计能力；有 VI 设计、广告设计、画册设计等专长；2、有良好的美术功底，审美能力和创意，色彩感强；

3、精通photoshop/illustrator/coreldrew/等设计制作软件；4、有品牌传播、产品设计或新媒体视觉工作经历；【关于岗位的其他信息】企业名称：杭州安恒信息技术股份有限公司办公地点：杭州市滨江区安恒大厦19楼学历要求：本科及以上工作年限：1年及以上，条件优秀者可放宽

简历投递至

bountyteam@dbappsecurity.com.cn

安全招聘

————————公司：安恒信息岗位：Web安全 安全研究员部门：战略支援部薪资：13-30K工作年限：1年+工作地点：杭州（总部）、广州、成都、上海、北京

工作环境：一座大厦，健身场所，医师，帅哥，美女，高级食堂…【岗位职责】1.定期面向部门、全公司技术分享;2.前沿攻防技术研究、跟踪国内外安全领域的安全动态、漏洞披露并落地沉淀；3.负责完成部门渗透测试、红蓝对抗业务;4.负责自动化平台建设5.负责针对常见WAF产品规则进行测试并落地bypass方案【岗位要求】1.至少1年安全领域工作经验；2.熟悉HTTP协议相关技术3.拥有大型产品、CMS、厂商漏洞挖掘案例；4.熟练掌握php、java、asp.net代码审计基础（一种或多种）5.精通Web Fuzz模糊测试漏洞挖掘技术6.精通OWASP TOP 10安全漏洞原理并熟悉漏洞利用方法7.有过独立分析漏洞的经验，熟悉各种Web调试技巧8.熟悉常见编程语言中的至少一种（Asp.net、Python、php、java）【加分项】1.具备良好的英语文档阅读能力；2.曾参加过技术沙龙担任嘉宾进行技术分享；3.具有CISSP、CISA、CSSLP、ISO27001、ITIL、PMP、COBIT、Security+、CISP、OSCP等安全相关资质者；4.具有大型SRC漏洞提交经验、获得年度表彰、大型CTF夺得名次者；5.开发过安全相关的开源项目；6.具备良好的人际沟通、协调能力、分析和解决问题的能力者优先；7.个人技术博客；8.在优质社区投稿过文章；

岗位：安全红队武器自动化工程师薪资：13-30K工作年限：2年+工作地点：杭州（总部）【岗位职责】1.负责红蓝对抗中的武器化落地与研究；2.平台化建设；3.安全研究落地。【岗位要求】1.熟练使用Python、java、c/c++等至少一门语言作为主要开发语言；2.熟练使用Django、flask 等常用web开发框架、以及熟练使用mysql、mongoDB、redis等数据存储方案；3:熟悉域安全以及内网横向渗透、常见web等漏洞原理；4.对安全技术有浓厚的兴趣及热情，有主观研究和学习的动力；5.具备正向价值观、良好的团队协作能力和较强的问题解决能力，善于沟通、乐于分享。【加分项】1.有高并发tcp服务、分布式等相关经验者优先；2.在github上有开源安全产品优先；3:有过安全开发经验、独自分析过相关开源安全工具、以及参与开发过相关后渗透框架等优先；4.在freebuf、安全客、先知等安全平台分享过相关技术文章优先；5.具备良好的英语文档阅读能力。

简历投递至

bountyteam@dbappsecurity.com.cn

岗位：红队攻防(正式/实习)

工作地点：杭州/上海【职位亮点】1.种类丰富的内部红蓝对抗工具；

2.安全大牛作为技术后盾，带你提升实战攻防能力；3.参与战略级红蓝对抗项目 (部级、省级、重点行业 等)。【岗位要求】1.具备红蓝对抗项目实战经验；

2.具备一定的编程能力，至少掌握一门语言 (C#/C++、Go、Java、Python 等)

3.外网打点/内网横向/域渗透/远控免杀/社工钓鱼/隐蔽持久化 等一个或多个领域有深入的理解；4.具备良好的沟通和团队协作能力、责任心强、热爱技术、愿意分享；【加分项】1.实战型开源项目者优先；2.具备丰富的实战经验，大型HW经验优先；3:个人技术博客、优质社区投稿过文章者优先；简历投递至

anonysec.zhang#dbappsecurity.com.cn (杭州)

ethan.hong#dbappsecurity.com.cn (上海)

微信投递至

AnonySec (杭州)

a0011221100 (上海)

岗位：安全研究(正式/实习)

工作地点：杭州/上海【职位亮点】

1.漏洞挖掘与研究的时间自由；

2.探索前沿的攻防技术，并在实战中进行实践验证；

3.参与红蓝对抗等高端项目，丰富个人实战攻防经验；

4.与安全大牛一起打造武器化工具落地，赋能一线人员.

【岗位要求】1.拥有大型产品、CMS、厂商漏洞挖掘案例；

2.具备出色的编程能力，熟练掌握一门语言 (C#/C++、Go、Java、Python 等)

3.深入了解漏洞原理，能够独立挖掘/分析包括但不限于PHP/JAVA/.NET/ASP等大中型应用漏洞；4.对安全有浓厚兴趣和较强的独立钻研能力，有良好的团队精神、愿意分享；【加分项】1.开发过安全相关的开源项目者优先；2.个人技术博客、优质社区投稿过文章者优先；3:提交过高质量的CVE、具备0day挖掘能力者优先；

简历投递至

anonysec.zhang#dbappsecurity.com.cn (杭州)

ethan.hong#dbappsecurity.com.cn (上海)

微信投递至

AnonySec (杭州)

a0011221100 (上海)

END

长按识别二维码关注我们

关键词： 工作地点 安全相关 审美能力