本文会从红蓝队两个角度去描述

攻击机操作系统：Windows10，kali linux

被攻击操作系统：k8s集群，容器为centos7

测试框架：dvwa

测试目的：检测阿里云上的云安全中心能够采集的日志以及云安全中心能够获取的alerts

红队：

前提：已在集群容器中安装了dvwa

1. 上传webshell至docker容器

（我们上传了webshell的文件至服务器目录下(因为没有其他的需求所以没有任何安全软件)

2. 连接至web服务器

用neoreg.py去连接网页服务器, 在本地创建sock5代理

3. 转发流量

我们用了proxifier去配置转发流量的规则, 通过代理将容器的流量转发至本地 紧接着应用规则

4. 端口扫描

我们在转发流量的时候可以找到开放端口的节点

5.登录到节点服务器

因为我们把流量都应用到了本地，所以通过neoreg.py获取的流量可以直接应用在本地进入内网连接

6. 同样我们也使用了暴力破解的方法去获取服务器的密码

以上就是一系列测试，接下来我们可以通过蓝队的角度去查看

蓝队：

在阿里云安全中心查看日志

1. 上传文件

2.登录流水（针对ssh暴力破解）

在安全中心查看ssh暴力破解

3. webshell告警

5. 网络通讯日志

以上操作仅为测试，请勿使用在非法用途，若他人利用本文章进行渗透测试触犯法律，与本人无关。

本文原创，转载请标注链接。