75应急响应-数据库漏洞口令检索应急取证箱

必要知识点

第三方应用是选择性的安装的,比如mysql,如何做好信息收集,有没有爆过它的漏洞,和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。 

排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本

由于工具或脚本更新,分类复杂,打造自己工具箱也好分辨攻击者使用了什么工具

系统日志-Win 日志自动神器 LogonTracer-外网内网日志 

如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/ 

具体教程去网上搜索即可

Linux安装使用笔记:

阿里云主机记得开放端口及关闭防火墙

下载并解压插件neo4j:

    tar -zvxf neo4j-community-4.2.1-unix.tar

安装java11环境,java环境配合插件版本选择:

    sudo yum install java-11-openjdk -y

修改neo4j配置保证外部访问:

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

启动neo4j:

    cd /opt/neo4j-community-4.2.1/

    ./bin/neo4j console &

默认账号密码为“neo4j”“neo4j”

下载LogonTracer并安装库:

    git clone https://github.com/JPCERTCC/LogonTracer.git

    pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

启动

    python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]

    python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

打开的界面

可以通过这个界面的upload去上传日志文件,也可以通过命令行导入文件

导入日志文件

    python3 logontracer.py -e [日志文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]

 

来文件查看器,查看系统日志的路径,找到系统日志文件,然后复制下来,然后上传到服务器上

   python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

导入之后刷新一下界面

6.结果要在网页端查看,也可以直接在网页端左侧“Upload”导入日志,地址为

http://[本地IP]:[启动时填写的端口]

会给一个可视化视图,可以搜索筛选 

数据库Mysql&Mssql&Oracle等日志分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

数据库主要针对虚拟的游戏币,修改参数等等行为,还可以用数据库进行提权操作;

主要还是看攻击者有没有对数据操作,

Mysql:启用,记录,分析(分析SQL注入及口令登录爆破等)

查看数据库日志设置

    show variables like '%general%';

保存日志默认是关闭的,路径在d盘里面

启用日志

    SET GLOBAL general_log = 'On';

设置日志的保存目录

    SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log'; 

这个我就不设置了,默认的就行

随便打开一个靶场测试一下

执行个and1=1

日志里面就有记录,

在爆破一下试试

日志里面就有很多尝试登录,所以数据库执行过的目录,它都有记录

Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)

打开Microsoft SQL Server Management Studio

登录日志位置:“管理”“SQL Server日志”

这个记录的信息比较多,攻击者ip什么的,这个日志记录登录信息;

还有一个日志记录历史命令

实时监控日志位置:“工具”“SQL Server Profiler”

实时监控日志开启:选中数据库,右键“属性”“更改属性”,确保更改属性为“True”

想要保存过往数据,在“自动清除”处选“False”  

选择某个数据库,开启数据库的这个才会有历史命令记录,

然后登录框注入攻击

模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

有时候所有日志文件都没有分析到攻击行为,有时候攻击者会把日志删了,在攻击者拿下系统权限之后,就是提权成功,就有权力删除日志,

这种情况,一找专业的团队恢复日志;然后模拟攻击者,猜想攻击者怎么攻击进来的,该怎么去修复这个漏洞;

当出现没有日志,有没有思路去猜想攻击者行为,那就可以试着自查漏洞

windows,linux系统漏洞自查:

WindowsVulnScan;linux-exploit-suggester

两个工具

第一工具,先system收集好主机信息。

打开PowerShell,来到文件目录,运行程序

    .\KBCollect.ps1

将生成的文件KB.json从被检测机复制到个人电脑上“cve-check.py”的文件夹下 

给出可以利用的exp

linux-exploit-suggester

直接执行

    ./linux-exploit-suggester.sh

会显示存在的漏洞和exp 

系统漏洞一个简单排查

windows,linux服务漏洞自查:

查看服务器上有哪些第三方应用 例如安装了weblogic,phpmyadmin

windows:

可以在PowerShell上运行该命令来收集电脑上安装了哪些第三方软件

    Get-WmiObject -class Win32_Product 

linux:

可以使用LinEnum.sh脚本

    ./LinEnum.sh 

利用前期信息收集配合searchsploit进行应用服务协议等漏洞检索

    ./searchsploit [软件名]

    ./searchsploit weblogic 

weblogic哪一个版本对应的漏洞exp都会出现,然后假如我电脑刚好装有weblogic,10.3.3版本,然后图中有这个版本爆过的漏洞,然后来到他对应的exp目录下,

然后测试一下是否存在,如果存在的话,攻击者可能就利用的这个,同时分析这个漏洞是什么,需不需要前提条件,漏洞的危害,如果危害很小,比如信息收集,报错漏洞就没啥用

自动化ir-rescue应急响应工具箱-实时为您提供服务

取证工具包,支持Windows和Linux

https://github.com/diogo-fernan/ir-rescue 

只需要运行.bat文件,一个是更新,一个是运行

运行之后就会自动下载常见的工具

该软件是各种工具的合集,会自动下载常见应急和取证的工具

分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器 

然后也可以自己修改内容,添加下载地址

ping

an


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/308185.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

古典吉他教师阿木:来自新疆的音乐才子

阿木,全名木合汤夏甫依克,于 1990 年 10 月 8 日出生在新疆这片美丽的土地上,是一位哈萨克族人。他是英皇认证古典吉他教师、中国社会艺术吉他考级考官、中国智慧工程研究会艺术教育委员会执行委员、新疆吉他艺术节发起人之一兼评审组组长。 阿木自幼受到哥哥的影响,对吉他产生…

85.乐理基础-记号篇-力度记号

内容来源于:三分钟音乐社 上一个内容:78.乐理基础-非常见拍号如何打拍子-CSDN博客 85-78之间的内容观看索引: 腾讯课堂-三分钟音乐社-打拍子(20)-总结、重点、练习与检验方法开始看 力度记号:p、f、mp、…

linux和windows机器下创建共享文件夹

1、安装samba sudo apt-get install samba 2、创建共享文件夹 sudo mkdir /smb sudo chmod 777 /smb/ 3、备份配置 sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.bak 4、修改配置 sudo vim /etc/samba/smb.conf 添加以下信息到文件结尾 [SMB share] #描述信息…

Element+vue3.0 tabel合并单元格span-method

Elementvue3.0 tabel合并单元格 span-method :span-method"objectSpanMethod"详解: 在 objectSpanMethod 方法中,rowspan 和 colspan 的值通常用来定义单元格的行跨度和列跨度。 一般来说,rowspan 和 colspan 的值应该是大于等于…

锻炼身体固然好,爱护听力也重要

新年新气象!你制定了那些新年计划和目标呢?相信健身一定在不少人的清单里。 根据美国调查网站 FiveThirtyEight 的报告的结果,新年目标的榜单前三是:减肥、健身、成为更好的人。 进入健身房,随着动感的音乐节奏朝着更强…

Map与JSONObject区别

相同点: 都可以存key-value;key是唯一的,如果key重复了会覆盖前面的 不同点: (1)JSONObject 不可以存空,Map可以存空。 (2)Map由jdk提供,JsonObject需要第三方jar包提供。…

pc下载apk文件到andriod开发板,并实现可视化

PC端安装APK下载器 点击下载 刷机精灵APK安装器 界面如下,可将下载好的apk文件,直接拖拽到该界面,然后点击安装全部按钮进行安装,安装过程中的具体状态会显示在具体的apk后面。 如下图,安装错误、安装完成等皆为apk安…

如何在IEC61850的ICD文件中添加新的DO节点

写在前面 恭喜“梅山剑客”粉丝突破1K,为了纪念这一伟大的时刻,今日发表此文, 纪念这神圣的时间节点,愿各位 青春永驻,笔耕不息。 本文参考链接: 1、61850开发知识总结与分享 2、IEC61850建模说明 1 简介…

针对大规模服务日志敏感信息的长效治理实践

文章目录 1 背景2 目标与措施3 实施3.1 脱敏工具类3.2 JSON脱敏3.3 APT自动脱敏3.3.1 本地缓存问题3.3.2 JDK序列化问题 3.4 弃用方案 4 规划5 总结 1 背景 近年来,国家采取了多项重要举措来加强个人数据保护,包括实施《中华人民共和国网络安全法》和《…

计算机网络 第1章(概述)

系列文章目录 计算机网络 第1章(概述) 文章目录 系列文章目录1. 计算机网络在信息时代的作用2. 因特网概述2.1 网络、互连网(互联网)和因特网2.2 因特网发展的三个阶段2.3 因特网的标准化工作2.4 因特网的组成 3. 三种交换方式3.…

java基本类型与包装类型之间的关系

JAVA基本类型和包装类型 前言 Java语言中的数据类型分为基本数据类型和引用类型,而我们进行Java开发的时候都听说过基本数据类型和包装类型,今天我们就来详细聊一聊Java中的基本数据类型和包装类型之间的区别。 基本数据类型 Java中的基本数据类型一共有…

Java版直播商城:电商源码、小程序、三级分销及 免 费 搭 建 方案

一、技术选型 java开发语言:java是一种跨平台的编程语言,适用于大型企业级应用开发。使用java开发直播商城可以保证系统的稳定性和可扩展性。 spring boot框架:spring boot是一个快速构建spring应用的框架,简化了开发过程&#xf…

GNN如何处理表格?

链接: https://ieeexplore.ieee.org/document/10184514 在这篇综述中,我们深入探讨了使用图神经网络(GNNs)进行表格数据学习(TDL)的领域,这是一个深度学习方法在分类和回归任务中相比传统方法表现出越来越…

Java虚拟机类加载机制探究:生命周期、初始化、使用与验证

一、java虚拟机与程序的生命周期 在如下几种情况之下,java虚拟机将结束生命周期: 执行了System.exit()方法程序正常执行结束程序在执行过程中遇到了异常或者错误而异常终止由于操作系统用出现错误而导致java虚拟机进程终止 二、类的加载,链…

2023年度总结:但行前路,不负韶华

​ 🦁作者简介:一名喜欢分享和记录学习的在校大学生 🐯个人主页:妄北y 🐧个人QQ:2061314755 🐻个人邮箱:2061314755qq.com 🦉个人WeChat:Vir2021GKBS &#x…

Pure Mathematics 3-(磨课课件)-反三角函数求导(更新中)

6.6 Differentiating trigonometric functions(反三角函数求导) Edexcel Pure Mathematics 3(2018版本教材) /-------------------------------------------------------------------------------------------------------------------- Prior Knowledge…

第三十八周周报:文献阅读 +BILSTM+GRU+Seq2seq

目录 摘要 Abstract 文献阅读:耦合时间和非时间序列模型模拟城市洪涝区洪水深度 现有问题 提出方法 创新点 XGBoost和LSTM耦合模型 XGBoost算法 ​编辑 LSTM(长短期记忆网络) 耦合模型 研究实验 数据集 评估指标 研究目的 洪…

双向冒泡排序的数据结构实验报告

目录 实验目的: 实验内容(实验题目与说明) 算法设计(核心代码或全部代码) 运行与测试(测试数据和实验结果分析) 总结与心得: 实验目的: 理解双向冒泡排序算法的原…

2024年AI红利:抓住AI内容写作、绘画、数字人、等四大变现机遇

2023年见证了人工智能大模型的爆发,其影响力超出了科技界范畴,成为推动社会进步的重要力量。大模型的突破性进展引起了全球关注,被视为科技发展4.0时代的革命性创新。而每一次革命性创新都是一把双刃剑,随之而来的互联网大裁员事件…

「服务器」4.新手小白如何安装服务器环境-宝塔

刚开始初始化好的服务器,使用了阿里云客户端,看着网络脚本乱装,后来决定宝塔环境发现有重复的环境,遂决定重新初始化一下,然后重头干起。 重置服务器 将服务器关闭运行状态后,点击重新初始化云盘即可重新初…