75 应急响应-数据库漏洞口令检索应急取证箱

在这里插入图片描述

必须知识点

1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选
2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫

服务器上面会根据需要选择安装自己的应用,有时候第三方应用也会成为攻击面,我们需要做攻击溯源的话,服务器上面装有那些应用,第二步探针一下有没有第三方应用,不仅要收集到那些应用,对这些漏洞进行应用探测,这样子是可以用来获取攻击者思路的,就是探针到应用上面是有漏洞的,思路就可以集中在应用上面进行分析
经常保证工具的使用,保证最新最全的相关工具的使用,这样子可以保证分析的时候更加快捷,所以工具和脚本,他的分类比较复杂,有的是做数据库日志的,有的是系统日志的,有的是中间件日志分析,各种各样的工具脚本,来分析这些特定的东西,不可能说有一个工具能够全部分析到,那只是说综合性工具比较少,都是一些搜索类的检索工具,像elk,spualk这种平台,对各种日志分析到,但是他不提供自动化的分析功能,他只能够帮你快捷的对各种日志进行清晰的探针

演示案例:

系统日志-Win日志自动神器LogonTracer-外网内网日志

#案例1-Win日志自动神器LogonTracer-外网内网
如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/
linux安装使用笔记:阿里云主机记得开放端口及关闭防火墙
1.下载并解压neo4j: tar -zvxf neo4j-community-4.2.1-unix.tar
2.安装java11环境: sudo yum install java-11-openjdk -y
3.修改neo4j配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &
4.下载LogonTracer并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
5.启动LogonTracer并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -P [PASSWORD] -s [IP地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
6.刷新访问LogonTracer-web_gui查看分析结果
Windows安装可能要借助docker技术

应用分析-数据库Mysql&Mssql&Oracle等分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
Mysql:启用,记录,分析 (分析SQL注入及口令登录爆破等)
show variables like ‘%general%’;
SET GLOBAL general_log = ‘On’;
SET GLOBAL general_log_file = ‘/var/lib/mysql/mysql.log’;
Mssql: 查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)
很多攻击者都有个目的,就是修改数据库,比如像一些网站上面,涉及到虚拟金币或者游戏资料,游戏虚拟身份数据的时候,他可以实现通过操作数据库将游戏的角色,或者一些信息进行修改,这样子会达到一些经济利益目的,这个数据库是个非常重要的日志审计的一个过程,所以我们第三方应用是要优先讲到他的,不仅是攻击的方便,很多一些攻击是为了实现这个目的而采取一些攻击
黑客盗取什么平台的多少数据,一般很大情况下就是修改数据,修改个人虚拟金币数,实现对等价值的替换
因为数据库是记录个人数据的,所以分析他是能够检查弱口令攻击,有没有进行sql攻击,有没有对数据库进行提权,同样的看到攻击者有没有对数据进行操作,通过数据进行操作就很要命了,相当于是把你以前的正常操作进行了一些干扰,
我们拿sqlserver来做演示,其它操作都是大同小异,都是可以举一反三的,无非就是日志上面可能储存路径,就是安全设置有一些小差异,基本上你能够网上找些资料
mysql是小中型数据库,用的也是比较多的,一般在大型网站里面多半会采用sql server、oracle和其它数据库,mysql就是小中型网站,所以分析的时候就是根据应用进行判断
在这里插入图片描述
密码简单就是弱口令,密码复杂就不是弱口令
不同的数据库之间是数据库的储存日志不一样,打开方式不一样,但是那些资料网上都能找,我们不可能说把每个数据库都给大家讲到,因为思路交给你,你只要去网上找些资料,每个日志怎么查看就可以了

模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

1.日志被删除或没价值信息
2.没有思路进行分析可以采用模拟渗透
通过常规的一些东西,你分析不到规则,他把日志可能删除了也可能说日志里面没有详细的东西,分析不到或者说服务器上面没有管理员记录到日志,我们讲这个案例就是为了告诉大家,把这些信息都排除了,你可以采取自查漏洞,我们可以分为两个方面

1.windows,linux系统漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh
2.windows,linux服务漏洞自查:
windows: Get-Wmiobject -class win32_Product
linux: LinEnum.sh
searchsploit weblogic
利用前期信息收集配合searchsploit进行应用服务协议等漏洞检索
3.windows,linux协议弱口令自查-工具探针或人工获取判断-snetcraker

自查漏洞就是模拟渗透,就是你在常规的日志和常规的一些数据库,各种各样的日志,中间件的日志,apache日志,tomcat日志等等,像这些日志里面没有分析到什么攻击行为,因为有些攻击者有时候可能会做一些事情,就是把日志删除,当他取得系统权限的时候,就有权去删除这些日志文件,一种是找专业恢复团队,像美亚就有一个部门专门搞这种数据恢复的,你可以找他把日志文件恢复出来
你没有去找数据恢复日志文件,那么只能去分析,有没有在其它地方遗留攻击文件,就是我们模拟去猜一下攻击者,可能怎么会去攻击到你,就是在修复漏洞,因为日志文件一旦缺失的话,就无法知道这个攻击者是怎么一步步来的,他一旦把日志清除的比较干净,你就只能去分析他有没有在其它地方遗留日志文件,你就只能去猜一下攻击者,可能怎么会去攻击到你,就是在修复漏洞,因为日志文件一旦缺失的话,就无法知道攻击者是怎么一步步来的,他一旦把日志清楚的比较干净,就是模拟站在攻击者的角度,模拟渗透,有两种形式,第一种形式就是根据这个服务器上面所存在的漏洞,进行渗透,因为攻击者在攻击的时候是黑盒,你做分析的话是个白盒,服务器你是能够操作的,所以你就能够很好的去分析上面有那些漏洞,有那些应用,很方便的去得到,你就站在攻击者的角度去分析,就这么个意思,就是能恢复日志的话,最好,或者说日志里面找不到可用信息的时候,这个模拟是有必要执行的

专业要求-自动化ir-rescue应急响应取证工具箱-实时为您提供服务

https://github.com/diogo-fernan/ir-rescue
分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器

自己在服务器上构造一个下载地址,或者找个官方网站的下载地址,时常去更新下载,你在第一时间到达案发现场的时候,就可以掏出这个工具直接上去弄了

日志恢复,看你技术,一般是可以恢复出来的,因为现在搞这种日志恢复的公司,都比较专业,基本上很难说恢复不出来,只要花钱就能恢复出来,你自己搞的话,不现实
网站上有文件恢复助手,日志恢复助手,因为日志文件会经常保存到网站下面,他其实就是等同于删除那个文件,像360就有恢复以前误删的文件,有那些工具可以尝试
还有一种思路,就是不要日志,自己去分析,但那一种就比较复杂一点
蓝队技术完整的,elk、spulk、监控流量
应急响应属于蓝队技术的一种,蓝队技术在应急响应上面要偏向于修复漏洞和找到追踪者

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/103759.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

《java 桌面软件开发》swing 以鼠标为中心放大缩小移动图片

swing 使用Graphic2D 绘制图片,要实现对图片进行缩放和自由拖动。 1.以鼠标所在的位置为中心,滚轮控制缩放 2.缩放后再支持鼠标拖动。 基本原理: 利用scale() 函数。进行缩放。但是要注意的地方是,如果是在 public void paintCom…

Docker搭建Plex流媒体服务并播放自己本地视频

Docker搭建Plex流媒体服务 安装Docker创建存储配置文件的目录创建Plex容器配置Plex设置媒体库访问Plex 1 介绍 Plex是一个流媒体服务器,可以轻松地将你的媒体文件库(如电影、电视节目和音乐)通过网络流式传输到各种设备上。 Plex 是一套媒体…

Android 系统架构

首语 由于工作内容的转变,使得我向Android系统方向转变,对于一个Android系统工程师,了解Android整个系统架构是必然的。本篇是Android系统学习的开篇,Android系统庞大且复杂,但是能对Android的认识更深,更…

2019年亚太杯APMCM数学建模大赛B题区域经济活力及其影响因素的分析与决策求解全过程文档及程序

2019年亚太杯APMCM数学建模大赛 B题 区域经济活力及其影响因素的分析与决策 原题再现 区域(或城市或省级)经济活力是区域综合竞争力的重要组成部分。近年来,为了提高经济活力,一些地区推出了许多刺激经济活力的优惠政策&#xf…

Day 10 python学习笔记

高阶函数 map( ) map()函数接收两个参数,一个是函数,一个是Iterable,map将传入的函数依次作用到序列的每个元素,并把结果作为新的Iterator返回。(Iterator是一个可迭代对象) 再简单点说:从可迭代…

LeetCode讲解篇之面试题 01.08. 零矩阵

文章目录 题目描述题解思路题解代码 题目描述 题解思路 遍历矩阵,若当前元素为零,则将该行和该列的第一个元素置零 遍历第一行,若当前元素为零,则将当前列置零 遍历第一列,若当前元素为零,则将当前行置零 …

整理指定文件夹下的所有文件,以类树状图显示并生成对应超链接

最近在整理家里学习资料的时候,由于年代久远,找不到我想要找的文件,windows文件搜索速度感觉太慢。于是想要生成一份类似文件索引的东西来显示所有资料,让我可以快速的找到需要的资料路径 直接上代码 import os import datetim…

73 应急响应-WEB分析phpjavaweb自动化工具

目录 应急响应:必备知识点:准备工作:有明确信息网站被入侵:无明确信息网站被入侵:常见分析方法: 演示案例:WindowsIISSql-日志,搜索LinuxBT_Nginxtp5-日志,后门360星图日志自动分析工…

Sui提供dApp Kit 助力快速构建React Apps和dApps

近日,Mysten Labs推出了dApp Kit,这是一个全新的解决方案,可用于在Sui上开发React应用程序和去中心化应用程序(dApps)。mysten/dapp-kit是专门为React定制的全新SDK,旨在简化诸如连接钱包、签署交易和从RPC…

PyTorch 与 TensorFlow:机器学习框架之战

深度学习框架是简化人工神经网络 (ANN) 开发的重要工具,并且其发展非常迅速。其中,TensorFlow 和 PyTorch 脱颖而出,各自在不同的机器学习领域占有一席之地。但如何为特定项目确定理想的工具呢?本综合指南[1]旨在阐明它们的优点和…

报错:Could not resolve host: mirrorlist.centos.org;Unknown error

报错:Could not resolve host: mirrorlist.centos.org;Unknown error 一般是因为网络配置错误导致无法连接外网,我们先尝试ping一下www.baidu.com发现无法ping通。 果然,接下来我们就开始排查吧!! 1.网络配置查看 打开…

SpringBoot 源码分析(四) 内置Tomcat分析

一、Tomcat相关知识 1. tomcat目录结构 Tomcat文件的目录结构 2.启动流程 启动一个Tomcat服务是执行的bin目录下的脚本程序,startup.bat和 startup.sh.一个是windows的脚本,一个是Linux下的脚本,同样还可以看到两个停止的脚本 shutdown.ba…

64从零开始学Java之关于日期时间的新特性

作者:孙玉昌,昵称【一一哥】,另外【壹壹哥】也是我哦 千锋教育高级教研员、CSDN博客专家、万粉博主、阿里云专家博主、掘金优质作者 前言 在上一篇文章中,壹哥给大家讲解了Java里的格式化问题,这样我们就可以个性化设…

网络套接字编程

1.基础预备知识 1.1源ip和目的ip 在IP数据包头部中, 有两个IP地址, 分别叫做源IP地址, 和目的IP地址 源IP地址表示发起通信的设备的IP地址。它是数据包的出发点,标识了数据包的来源。当一个设备发送数据包到网络上的其他设备时,该数据包的源IP字段会被…

WSL2的安装与配置(创建Anaconda虚拟环境、更新软件包、安装PyTorch、VSCode)

1. WSL2 安装 以管理员身份打开 PowerShell(“开始”菜单 >“PowerShell” >单击右键 >“以管理员身份运行”),然后输入以下命令: dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /a…

Maven学习

Maven介绍 Maven是Apache的一个开源项目,主要服务于基于Java平台的项目构建,依赖管理和项目信息管理。 Maven可以让团队能够更科学的构建项目,我们可以用配置文件的方式,对项目的名称、描述、项目版本号、项目依赖等信息进行描述…

中文编程开发语言编程实际案例:程序控制灯电路以及桌球台球室用这个程序计时计费

中文编程开发语言编程实际案例:程序控制灯电路以及桌球台球室用这个程序计时计费 上图为:程序控制的硬件设备电路图 上图为:程序控制灯的开关软件截图,适用范围比如:台球厅桌球室的计时计费管理,计时的时候…

RedHat8升级GLIBC_2.29,解决ImportError: /lib64/libm.so.6: version `GLIBC_2.29

问题背景 在做大模型微调训练时,执行python脚本时出现如下报错: 查看当前服务器版本,确实没有GLIBC_2.29的 strings /lib64/libm.so.6 | grep GLIBC_ GLIBC_2.2.5 GLIBC_2.4 GLIBC_2.15 GLIBC_2.18 GLIBC_2.23 GLIBC_2.24 GLIBC_2.25 GLIB…

MySQL的优化利器:索引条件下推,千万数据下性能提升273%

MySQL的优化利器:索引条件下推,千万数据下性能提升273%🚀 前言 上个阶段,我们聊过MySQL中字段类型的选择,感叹不同类型在千万数据下的性能差异 时间类型:MySQL字段的时间类型该如何选择?千万…

[Go版]算法通关村第十八关青铜——透析回溯的模版

目录 认识回溯思想回溯的代码框架从 N 叉树说起有的问题暴力搜索也不行回溯 递归 局部枚举 放下前任Go代码【LeetCode-77. 组合】回溯热身-再论二叉树的路径问题题目:二叉树的所有路径Go 代码 题目:路径总和 IIGo 代码 回溯是最重要的算法思想之一&am…