目录
- 演示案例:
- MSF&CobaltStrike联动Shell
- WEB攻击应急响应朔源-后门,日志
- WIN系统攻击应急响应朔源-后门,日志,流量
- 临时给大家看看学的好的怎么干对应CTF比赛
- 涉及资源
权限维持留到后面在补充,先把后面的知识点给大家讲起来,因为权限维持它是我们前期如果拿到权限之后,能做的事情,前期没有拿到权限的话,这个东西是个多余的技术,所以我们还是比较偏向于攻击方面,像权限维持是为了自身知识的全面性才讲的
CS和msf的联动,这个是非常必要的操作,所以单独把它讲一下
演示案例:
MSF&CobaltStrike联动Shell
cs和msf经常会相互调用,有些功能可能cs强大一些,有些MSF强大一些,所以我们在渗透测试的时候,经常要把这个东西进行切换,所以这个联动操作是必须要的
这边是模拟域里面主机上线,从这边执行木马,然后上线到cs,从cs把会话移交到msf上面,等一下再从msf的会话,再把它移交到cs,就是相互移交
powershell的移交就不讲了,因为powershell跟不上cs和msf的,总的来说powershell的用处不是很大,因为powershell网上有些渗透框架empire,很多都是真实环境下面,有些powershell的默认执行策略是关闭的,所以你要执行powershell脚本需要一些前提条件的,总的来说有点小鸡肋
CS -> MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器 -> MSF载入新模块注入设置对应地址端口->执行cs等待上线
use exploit/windows/local/payload_inject
先把cs的团队服务器给起来
让目标服务器上线
启动msf,我们自己操作的时候,可以在外网服务器上面同时部署cs和msf,或者把他们单独放一个服务器也可以
在cs上创建个会话出来,因为是cs移交到msf,选择的payload是 foreign HTTP或HTTPS,host主机地址就给到msf的IP地址上面
然后就生成监听器
之前生成木马保留的是beacon,然后你现在要反弹到msf,就选择foreign
msf设置监听模式,0.0.0.0就是监听任意的,然后这里端口要保持一致
我们想反弹谁,想把shell返回给谁,就点击那个
spawn相当于权限委派的意思,选择这个刚才生成反弹的点,对应的4444端口这里
选中之后,稍等一下它的反弹结果,如果这里没有反弹结果,那就是网络的原因,如果你使用阿里云,那就会有端口上的问题
你要在你搭建的服务器那边,把这个6677端口要把它开放
我们现在把msf的权限给还回去,windows当地的载入模块
WEB攻击应急响应朔源-后门,日志
突然出现大量数据包,通过流量工具或者你服务器厂商安装一些设备,报了一些相关安全提示和安全警告,
第三方一般是软件问题,上面大部分是被入侵了
网站被篡改,我们首先想到的是网站被入侵,我们知道在我们常规的渗透过程来讲,网站被入侵和服务器被入侵是两个概念,按原理来讲,两个都有可能,它可能入侵服务器再去修改网络环境,也可能入侵网站修改网站环境,其中网站被入侵的可能性大一些
文件丢失,文件是在web服务器上面,还是文件有没有权限的操作,因为我们知道网站即使被拿下,除去一些特殊的jsp脚本网站,java网站,它网站被拿下可能获取系统权限,其它像php或者asp、python脚本web框架文件的网站,那么它的web权限被丢失,被人植入webshell的话,也不大可能或造成文件的一些泄露或丢失,我们说的文件指的是服务器上面的重要文件,这重要文件只要不是管理员乱搞,这个文件权限一般是能够修改、能够删除,一些系统权限一般是管理员才能操作的,所以你要去分析文件的操作权限,它是属于webshell用户权限能够操作的,还是说属于管理员的用户能够操作的,这是非常重要的,因为从这里能够判断攻击者取得的权限大小,这样子也便于你去分析它的攻击行为,从而找到漏洞修复漏洞
我们在做应急响应的时候,更重要的是,我们要站在攻击者角度去看待这个问题,之前我们学到一些相关知识点,权限、攻击过程来去分析,你要想到这个攻击者,当前能得到那些东西,那么你就知道从那方面去入手,如果是得到网站权限,那肯定从网站入手,得到系统权限的话,那有可能从系统漏洞得到的,这个也是有概率的,那么分析攻击过程,你就知道,它的漏洞会产生在那里
第二点是要信息收集,这个收集就是当时你第一个到达现场,因为应急响应大部分都会在现场,然后有可能会远程连接服务器,在服务器上面采集数据,然后去分析,记录情况,这种不管是那一种都可以,然后我们针对的大部分是linux和windows,也有个人的mac服务器,操作系统无所谓,只要我们会操作就行,我们要收集网络架构、端口上面有那些服务、操作系统版本、有没有一些第三方软件,上面有没有装杀毒软件,这些都是要注意的,因为这些信息能让你从攻击者角度思考这个东西好不好攻击,难度大不大,你自己就会用你渗透者的思路去思考,换做是你,你会怎么去攻击它,环境给到你,你就能站在攻击者角度去思考这个问题,那么你分析的第一反应,那就是相当正确的一个地方,如果上面没有网站,就是些其它服务,那这里你就能直接排除网站攻击,所以信息收集是为你后期怎么去分析它的时候做好的一个铺垫
网站攻击是首要其冲的,第二点是第三方自己在上面选中的平台软件的东西,有些人可能在服务器上面部署一些协议、相关的软件这些东西在上面,方便自己的一些想法,比如说它安装了一些远程连接软件,便于自己远程管理git服务器,安装了一些HTTP的东西,安装数据库的东西,各种各样的一大堆,都属于第三方,就是不是系统自带的,都属于第三方
因为在前期的渗透测试过程中讲过第三方软件也会出现漏洞,包括像web层面的,java里面的jboss、weblogic等等,各种各样的平台,都有漏洞,这些都是可以存在攻击的面,网站漏洞一大堆,像sql注入,有些搭建平台可能有漏洞、网站CC攻击,操作系统也会出现漏洞,攻击者进行权限提升的时候,可以借助操作系统漏洞,内网渗透可以借助操作系统的弱口令,也比较方便,远程漏洞直接秒杀,只是这种可能性比较小,攻击者会从多方向攻击它,应急响应这个知识点你能学好,在于你对攻击相当熟悉,你攻击熟悉,学应急响应只是知识的积累,只是思路的开拓,或者一些优秀软件的接触,你就能学会应急响应,学不好的原因就是因为你前期攻击方向的思路没有
应急响应很简单,就是攻击,你只要把攻击思路理清楚就行,学不好就是前期攻击没学好,不是说这个知识点难,网上给的资料都是自己的思路,你可以在学完之后,自己去整理一下,形成自己的思路
根据客户给到你的相关信息,他这个东西上面有什么异常,按照他给到你的信息你去思考,如何分析会好一点,有基于日志分析、后门分析、流量分析,另外还有借助软件脚本自动化分析,还有就是模拟渗透分析,就是让你自己作为攻击者,你怎么去渗透
修复无非就是打补丁,有代码的地方就加验证代码,调用网站漏洞的地方就打网上的补丁,装防护软件、杀毒软件,装一些入侵检测系统,IDS等等,这个就是属于相关安全运维的知识点,这个是属于蓝队方向的知识
我用的都是windows系统,后面会把windows、linux关于网站和系统还有各方面的攻击,他的还原过程会给大家讲到
故事回顾: 某客户反应自己的网站首页出现被篡改,请求支援
分析: 涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
思路1: 利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
思路2: 利用后门webshell查杀脚本或工具找到对应后门文件,定位第一次时间分析
第一反应是网站被入侵了,定位也告诉我们了,是首页,他没告诉我们也不要紧,很简单你对比一下修改时间,你就知道是那个文件被修改了,我们根据网站源码的修改时间对比就行了,但是我,大部分会从网站入手,因为他是网站出了问题,不是服务器权限没有被拿到,网站权限被拿到了,第二种情况后台也被拿了,也可能只是后台权限被拿了,因为我们知道网站后台有些功能能够操作网站目录,有些网站后台提供了文件管理
我们说的权限提升有的只是拿到后台权限,但是后台权限里面功能太多,所以它跟web权限也差不多,这是个很特别的事情,大家要注意对待一下,所以这个被修改,也不排除只是拿到网站后台,具体要看网站后台的功能,再去判断
做应急响应不仅是修复漏洞,堵上漏洞,更重要的是和客户分析谁在攻击你,这人是干吗,一般攻击意图可以从修改的东西、代码这方面去判断,你像这个网站经常被攻击、经常被篡改,原因要么是流量劫持,要么向我们之前网站说的黑客做网站的优化,要么是为了装一下逼,写个txt上去
分析完之后,给出攻击者的完整攻击方式,他是怎么进来的
用日志找到文件被修改的时间,因为攻击是有个阶段的,首先不可能直接后门连进来,后门肯定是它上传进来的,通过漏洞上传进来的,所以它会有个前期过程,修改之前,可能刚刚连后门,可能刚在找漏洞,后时间说明他已经连进来了,他已经得到了
查看一下当前的端口和服务
查看一下进程
找到对应httpd.exe的索引文件,apache里面有日志记录,你分析网站肯定会有平台,tomcat、jboss,很多中间件,那么每个会单独配置日志记录,这个日志记录会有单独路径,如果默认路径不知道,网站上查资料
找到日志记录,会发现这里有莫名文件,x的文件名就很特殊
因为常见文件名肯定不是x.php,对应找到网站目录,然后打开看一下
日志记录其实可以记录很全的东西的,这个需要你在配置上面设置一下,可以记录对方访问浏览器信息,浏览器信息可以分辨出对方是电脑访问还是手机访问,因为操作系统不一样,浏览器信息也不一样,甚至每个浏览器的版本也不一样,也能分辨出对方是什么浏览器,都可以溯源到,这post数据,我们在设置下日志记录里面的功能的话,把post数据找到,我现在只是做演示,所以我都没有设置
我们看一下首页被修改时间,找一下这个时间段的,根据这个日志的时间段往上翻
我们单独做一个应急的话,这个日志全的话,表示你的机会会越大,你基于木马连接的时间和文件被修改的时间,你一对比,前面是攻击的时候,后面是攻击完的时候,由于他攻击是采用蚁剑连接的,每个工具都有指纹信息,就是UA头,如果他不修改的话,这个蚁剑连接的话,自带蚁剑的名字,从日志这里,我们就能知道,正常来讲这个功能是有的,我这里是没有开
通过浏览器信息版本,我们就能看到,他正在连接我的后门,而且后门工具采用的是蚁剑,因为有些特殊工具的特征,这也是蓝队的一些技术,在蓝队里面经常用工具进行监听,有一部分就是基于工具的特征、指纹来判定你采用的是什么工具、什么攻击行为
因为他要修改的话,攻击者大部分都会留后门,后门你就利用网站webshell查询脚本
确定x.php是后门,这个时候可以在日志里面搜索,关于x.php,谁访问了他,谁就是攻击者
这里涉及到很多知识点,第一个关于日志怎么启用,怎么找,日志的配置也很多,都是属于运维方面的知识点,我们多多少少会给大家讲一些,直接找这种可疑文件,然后通过可疑文件来判定,他是什么时间段入侵的,他在入侵之后又干了什么,根据前后的时间进行判断
WIN系统攻击应急响应朔源-后门,日志,流量
分析: 涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
故事回顾: 某客户反应服务器异常出现卡顿等情况,请求支援
思路: 利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
获取进行监控: PCHunter64
获取执行列表: UserAssistView
AppCompatCacheParser.exe --csv c:\temp -t
他这个反应就是大部分不懂的,技术部很专业,他不知道什么鬼情况,只是说服务器感觉不正常,很卡,那这种异常是有很多原因造成的,也可能是自己的服务器没有被攻击,但是他一些软件上有后门,也可能是他乱七八糟下了一些软件,软件占用了CPU,所以排查的话,要花很多时间,现在我们就把他认定为后门攻击,就是上面可能有些后门,因为后门连上去,后门会占用进程,而且后门的攻击者可能会时常的连接这台服务器,在上面看一下、搞一下,所以就会占用资源,那么就会出现卡,因为每个服务器不像我们个人电脑,有些服务器配置比较差,都在上面玩,肯定卡
一般获取到权限之后,比如说是植入后门,还是说上面出现恶意软件,像我们说的勒索病毒、恶意病毒、后门木马,各种各样都会造成这种现象,我们就进行分析
这个工具可以检测当前进程,进程标位蓝色的,表示是系统外的进程,就是这个进程不是系统自带的,就是属于第三方,包括木马病毒,因为木马病毒大部分是上传上去执行的,这个执行的后门木马是上传上去的,不可能说是在你电脑上面本来就有,除非他劫持了
但是这个工具能识别出来,有那几个不一样,帮我们分析,通过可以查看这个文件的厂商服务器信息,当然这里也不排除一些高级信息,免杀性木马,因为免杀性木马为了免杀,它会对这个文件产生编辑,表示这个文件伪装成360的,或腾讯的,这种也会误导,如果简易生成木马,他肯定就不会注意
木马归属公司的一些东西,然后你在这里可以看一下他的名字,这个文件的所属路径
这两个文件说明都没有,但你不能用这个来判定,这个一看就有问题,正规的文件,一般你在网站下的软件,都会有版权,会写文件产商
这个时候你找到这个文件之后你还不能确定,还有一个方法就是这个文件正在执行,那么正在执行,表示说我们就能确定,这个木马病毒他们在被执行之后,怎么确定这是不是木马病毒,第一个就是看他在干嘛,执行完之后,这个东西有什么影响,在系统里面干嘛;第二点就是看他有没有向外部连接,你木马病毒要控制你的服务器,它必定会建立网络连接,不然别人怎么控制这台服务器,所以先从第一点,我们看看网络连接,点网络,我们就找找之前的进程,看一下这里远不远
木马伪装成系统正常的文件进程也是可以的
这里明显一看这个文件绝对有问题,因为这里一直在进行连接,然后这还是外部的,那这里肯定有问题
然后这里还能用这些功能,分析到内核里面去
很多的一些相关功能,然后这里还能看一下启动信息,启动信息就是对方有没有把木马写到你启动信息下面,又或者是权限维持技术的一种方式,把木马写进去,每次启动,就会加载,木马每次都会调用
在看看有没有写到驱动里面去
这是它加载的模块,这里主要是文件分析的时候,配合逆向、反编译破解的知识点,来分析这个文件是后门还是勒索病毒
火绒剑比这个更好
我们要一份完整的分析报告,需要把对方攻击者从什么时候干,或者说从什么时候进来,什么时候在干嘛,什么时候在搞什么事情,这些都要分析很清楚,然后这就是很完整的报告,我知道这个是木马文件,你还可以对这个木马文件进行定位,就像日志分析一样,你要知道这个文件什么时候被执行,就是这个文件进程是已经有了,我们就要分析这个文件什么时候执行了,你想想这是可以在日志里面分析到,但是这个日志比较复杂,你都不知道那个是对应的文件执行,而且事件编号都不一样
他直接将你这个电脑上面执行过的所有文件全部有记录
是不是就能分析得到攻击者在这个时间点,可能做了什么事情,那么你配合日志去找这个时间前后的,就可以认定为攻击前攻击后
他能够方便你去分析,这台计算机,曾经发生了什么事情,因为他竟然用后门去控制病毒,大部分都是可执行文件,可执行文件几乎都在这里,你排除一些正常的,其它的就是不正常的,不正常的要么是木马,要么是一些乱七八糟的,在配合杀毒软件或者网上的在线杀毒平台,把他上传上去都一样的
即使碰到了免杀也不要紧,只是说当时在检测的时候,是可疑文件,不确定的,但是大部分免杀,你放到杀毒网,它免杀只是说会免杀部分,它不可能全部免杀,它免杀肯定是有针对的,国内的话,是360、腾讯管家这种的,那如果说是其它的可能没有了
我们是用PCHunter64找到可疑文件,如果找不到的话,就是UserAssistView上面,看最近几天的,因为攻击不可能是很早之前的,一般都是最近才发生的,那些是正常的,那些是异常的,把它找出来,通过在线杀毒网平台去分析,那如果不是免杀的,直接放上去,就干出杀毒软件,报警,那这明显就有问题了
直接把这个文件执行,放在我们的虚拟机上面去杀,看它有没有外部连接,有外部连接基本上就能确定,要么确定它有没有毒,要么确定它有没有在外面乱搞,都是可以通过这些技巧分析到的文件,是否成功返回
我们后面学的,第一个是要把运维技巧学到,因为合格的应急响应分析员,它必定是个运维,有些日志开启,日志的储存还是需要了解,因为很多情况下,我们要分析出日志,日志是最常见的,要从日志里面找到攻击的行踪,还有一种是后门分析,各种杀毒软件的应用,我们都要会,平台的、流量分析,就是抓流量,还有各种各样的东西,因为很多攻击会产生在路由机和交换器上面,都有可能
临时给大家看看学的好的怎么干对应CTF比赛
打开就是一个空白,而他也是简单题目,要么是扫描文件,要么是看源代码,我们总要找个事情做,肯定是看源代码
?url= 这个信息给到我,我觉得url后面肯定是加上网站地址,我们想想那些参数有这些操作,SSRF、文件包含,像这些漏洞都有类似参数,我们试一下
url重定向也可以,说明他可以远程请求和本地请求
访问它本地,多了一个就表示它请求了
这个时候,我就想http什么都没有探针到,我们可以试一下端口,试了一下都没有,因为这个php是有协议的,我们选择file协议,提前判断一下这个网站是什么操作系统,数据包抓取判断、大小写判断都可以
www-data是网站用户的权限,对应目录是/var/www/,我们测试一下后台使用的是什么脚本语言,我们可以抓包看一下脚本,也可以胡乱试一试
这里写不写index.php是一样的,因为网站默认会加
这个是规矩目录
绕过flag的判断,就能拿到flag的值,因为url参数值里面有flag,所以我们要把这个值用刚才过滤的写法去写,就能得到flag的值
打开一个新的题目看看,看名字ezsql,网上搜,网上也是个好地方
很多东西,我们要灵活的去,不要说这个难,网上你做的题目多,你也能解决,多关点心,这些问题也能解决,包括那个签到题,那个代码都可以去网上搜的
CTF的题目基本上每次比赛都会跟之前比过赛的题目类似的,绝不可能是全新的,因为它搞了更新颖的,有人就会做不出来,就会被说出题人没有水平,它肯定会借鉴前人的出题,在上面多一层过滤,改编一下,题目做的多,看的多,一眼就懂
涉及资源
https://www.onlinedown.net/soft/628964.htm
https://blog.csdn.net/qq_25645753/article/details/110196602