73应急响应-Web分析php&javaWeb&自动化工具

上线之叁2024-01-09 9:09

我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章

应急响应笔记就开始比较潦草

应急响应基础知识

应急响应流程

保护阶段(断网,避免继续渗透;备份),分析阶段(分析攻击行为,找对应漏洞),复现阶段,修复阶段(防止再次攻击),建议阶段(写报告)

目的;分析出攻击事件,攻击操作,攻击后果,安全修复冰给出合理解决方案

必备知识点;1.熟悉常见web攻击手段,2.熟悉相关日志以及存储查看等(网上搜索默认日志位置一些资料等等),3.熟悉日志记录的数据以及分析

准备工作(在现场)

1.收集目标服务器各类信息(操作系统等等),2.部署相关分析软件机平台等(),3.整理相关安全渗透攻击指纹库(黑客攻击特征库),4.真对异常表现第一时间出发思路(攻击者的思路),

从表现预估入侵面及权限面进行排查

有明确的信息表明网站被入侵

基于时间,基于操作(例如数据库被更改),基于指纹(通过指纹发现攻击软件),基于其他

无明确入侵的信息

1.web漏洞-检测源码类别及漏洞情况

2.中间件漏洞-检查对应版本及漏洞情况

3.第三方应用漏洞-检测是否存在漏洞利用

4.操作系统层面漏洞-检查是否存在系统漏洞

5.其他安全问题(若口令,网站源码自带后门等)-检查相关应用口令及后门扫描

案例一Windows+IIS+Sql-日志,搜索

iis有图形化,牛逼

iis日志在哪,怎么看,直接网上搜,直接秒

如果站长没有开日志,当我没说

日志默认记录这些信息,打开日志文件,就算没有学过,也能看一个大概出来

一看我日志被各种攻击,前面记录的攻击者ip,时间,url请求体啊,攻击者浏览器信息啊,操作系统啊,可能还要利用什么软件,响应体等等

指纹还有可能是百度或者谷歌,这种就可能是爬虫

Linux+BT_Nginx+tp5-日志,后门

故事回顾:某黑产哥哥反应自己的网站出现异常,请求支援

信息收集:

来到宝塔界面,选"网站",点击网站的根目录,从网站的根目录找到nginx的安装目录(直接搜nginx也行)

来到"conf"文件夹下,找到"nginx.conf",打开后找到access_log的目录

然后,看看配置文件里面也没有日志文件的信息,直接页面搜关键字log也可以试试

然后来到和他同一个目录下

然后就找到了和被入侵网站一样的log文件,肯定就是被入侵网站的日志了

发现大量HEAD请求,请求各种压缩文件,显然是扫描网站文件;

发现包含"phpinfo""shell.php"的数据包;发现指纹"antSword/v2.1 ",根据该记录发现有攻击者使用蚁剑连接x.php

根据连接之前的攻击数据包,分析攻击者可能攻击的TP5版本的漏洞

然后就可以自己进行一个来到复现过程,自己尝试访问

在宝塔的文件目录界面,对应文件夹右侧选择"目录查杀",启动宝塔自带的木马查杀工具,在"安全"页面查看结果。可以把扫描出来的木马带回日志中查找

360星图,官方都停更了,感觉学的必要不大

Linux+Javaweb+st2-日志,后门,时间

打开日志文件

着重看这两个文件

post,不正常请求啊,谁家好人在都是get请求的对方,提交数据啊,ip也是公网ip

定位一下这个ip

只有post请求三次,接下来该怎么办,他有请求的东西,他之前就已经干了坏事了,看之前的日式文件,

在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具

搜索完了,这个ip这个日志文件夹里面只出现过三次,思路断了,继续看日志文件

nmap,搜nmap的ip

也是只在这一个日志出现过,但是一开始找我们的时候就给了我们信息,给了后门文件,再去查看后门文件,直接搜索后门文件的名字

然后再根据这个ip去搜索

这文件就多了,但是这个网站并没有上传点,猜测可能是写入的,所以就是命令执行,

然后就根据特定的后门代码搜索试试,复制这个pwd,在java会调用java库尝试写入,所有格式都搜索一下,

下面的txt文件都是名字的名字,只有最上面的log文件命中的内容,下面没什么作用,看命中内容的,

找到了,这个数据包就是攻击的数据包,

然后根据上面的请求时间,在看日志post请求时间。

就是这个人写入的文件,确定攻击ip,拉黑,然后还可以去你的圈子群啥的搜搜他,再查查ip地址,问问那个名字一样的网友家是那里的,如果对上了,

其他工具推荐:ELK、Splunk(两者为蓝队必备)

10个好用的Web日志安全分析工具:https://www.cnblogs.com/xiaozi/p/13198071.html

10款常见的Webshell检测工具:https://www.cnblogs.com/xiaozi/p/12679777.html

应急响应资料工具:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao

ping

an

相关推荐
lqlj223325 分钟前
Linux常用命令
linux·运维·服务器
wanhengidc1 小时前
怎样分辨是否是高防服务器?
运维·服务器·网络
gma9991 小时前
【GB28181】 SIP信令服务器
运维·服务器
张烫麻辣亮。1 小时前
【教程】使用docker+Dify搭建一个本地知识库
运维·docker·容器
不是笨小孩i1 小时前
如何使用Docker一键本地化部署LibrePhotos搭建私有云相册
运维·docker·容器
还有几根头发呀2 小时前
Ubuntu中dpkg命令和apt命令的关系与区别
linux·运维·ubuntu
IT_张三2 小时前
LVS+Keepalived高可用群集配置案例
运维·服务器·lvs
Neozsvc2 小时前
飞书工单审批对接腾讯电子签:开启合同流程自动化新时代
运维·人工智能·后端·自动化·飞书
peanutfish4 小时前
CCNA Started
运维
我是唐青枫4 小时前
Linux 下使用tracepath进行网络诊断分析
linux·运维·网络
热门推荐
01DeepSeek各版本说明与优缺点分析02本地部署DeepSeek教程(Mac版本)03如何在WPS和Word/Excel中直接使用DeepSeek功能04DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具05太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)06DeepSeek本地部署详细指南07从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek r1本地安装全指南10保姆级教程:利用Ollama与Open-WebUI本地部署 DeedSeek-R1大模型