必要知识点
第三方应用是选择性的安装的,比如mysql,如何做好信息收集,有没有爆过它的漏洞,和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
由于工具或脚本更新,分类复杂,打造自己工具箱也好分辨攻击者使用了什么工具
系统日志-Win 日志自动神器 LogonTracer-外网内网日志
如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/
具体教程去网上搜索即可
Linux安装使用笔记:
阿里云主机记得开放端口及关闭防火墙
下载并解压插件neo4j:
tar -zvxf neo4j-community-4.2.1-unix.tar
安装java11环境,java环境配合插件版本选择:
sudo yum install java-11-openjdk -y
修改neo4j配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
启动neo4j:
cd /opt/neo4j-community-4.2.1/
./bin/neo4j console &
默认账号密码为“neo4j”“neo4j”
下载LogonTracer并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
5.启动LogonTracer并导入日志文件分析
启动
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
打开的界面
可以通过这个界面的upload去上传日志文件,也可以通过命令行导入文件
导入日志文件
python3 logontracer.py -e [日志文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]
来文件查看器,查看系统日志的路径,找到系统日志文件,然后复制下来,然后上传到服务器上
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
导入之后刷新一下界面
6.结果要在网页端查看,也可以直接在网页端左侧“Upload”导入日志,地址为
http://[本地IP]:[启动时填写的端口]
会给一个可视化视图,可以搜索筛选
数据库Mysql&Mssql&Oracle等日志分析-爆破注入操作
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。
数据库主要针对虚拟的游戏币,修改参数等等行为,还可以用数据库进行提权操作;
主要还是看攻击者有没有对数据操作,
Mysql:启用,记录,分析(分析SQL注入及口令登录爆破等)
查看数据库日志设置
show variables like '%general%';
保存日志默认是关闭的,路径在d盘里面
启用日志
SET GLOBAL general_log = 'On';
设置日志的保存目录
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
这个我就不设置了,默认的就行
随便打开一个靶场测试一下
执行个and1=1
日志里面就有记录,
在爆破一下试试
日志里面就有很多尝试登录,所以数据库执行过的目录,它都有记录
Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)
打开Microsoft SQL Server Management Studio
登录日志位置:“管理”“SQL Server日志”
这个记录的信息比较多,攻击者ip什么的,这个日志记录登录信息;
还有一个日志记录历史命令
实时监控日志位置:“工具”“SQL Server Profiler”
实时监控日志开启:选中数据库,右键“属性”“更改属性”,确保更改属性为“True”
想要保存过往数据,在“自动清除”处选“False”
选择某个数据库,开启数据库的这个才会有历史命令记录,
然后登录框注入攻击
模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
有时候所有日志文件都没有分析到攻击行为,有时候攻击者会把日志删了,在攻击者拿下系统权限之后,就是提权成功,就有权力删除日志,
这种情况,一找专业的团队恢复日志;然后模拟攻击者,猜想攻击者怎么攻击进来的,该怎么去修复这个漏洞;
当出现没有日志,有没有思路去猜想攻击者行为,那就可以试着自查漏洞
windows,linux系统漏洞自查:
WindowsVulnScan;linux-exploit-suggester
两个工具
第一工具,先system收集好主机信息。
打开PowerShell,来到文件目录,运行程序
.\KBCollect.ps1
将生成的文件KB.json从被检测机复制到个人电脑上“cve-check.py”的文件夹下
给出可以利用的exp
linux-exploit-suggester
直接执行
./linux-exploit-suggester.sh
会显示存在的漏洞和exp
系统漏洞一个简单排查
windows,linux服务漏洞自查:
查看服务器上有哪些第三方应用 例如安装了weblogic,phpmyadmin
windows:
可以在PowerShell上运行该命令来收集电脑上安装了哪些第三方软件
Get-WmiObject -class Win32_Product
linux:
可以使用LinEnum.sh脚本
./LinEnum.sh
利用前期信息收集配合searchsploit进行应用服务协议等漏洞检索
./searchsploit [软件名]
./searchsploit weblogic
weblogic哪一个版本对应的漏洞exp都会出现,然后假如我电脑刚好装有weblogic,10.3.3版本,然后图中有这个版本爆过的漏洞,然后来到他对应的exp目录下,
然后测试一下是否存在,如果存在的话,攻击者可能就利用的这个,同时分析这个漏洞是什么,需不需要前提条件,漏洞的危害,如果危害很小,比如信息收集,报错漏洞就没啥用
自动化ir-rescue应急响应工具箱-实时为您提供服务
取证工具包,支持Windows和Linux
https://github.com/diogo-fernan/ir-rescue
只需要运行.bat文件,一个是更新,一个是运行
运行之后就会自动下载常见的工具
该软件是各种工具的合集,会自动下载常见应急和取证的工具
分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器
然后也可以自己修改内容,添加下载地址
ping
an