排查思路(笔记)
Windows入侵排查思路
1.1检查系统账号时候安全 是否有弱口令(意义不大)
windows远程端口3389 使用rdp协议
linux远程端口22 使用ssh协议
爆破不太现实
2.2查看服务器是否存在可疑账号,克隆账号
建议拿管理员账号 administrator
可以直接那明文吗
mimikatz从isass进程中抓取明文
3.3可以创建隐藏账号,影子账户(把administrators的sid赋值给test账户,再把test账户删掉)
net user test$ /add
net localgroup administrators test$ /add 约等于没隐藏
net user test$ /del
日志分析
| 时间ID | 说明 |
|---|---|
| 4624 | 登陆成功 |
| 4625 | 登陆失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4672 | 使用超级用户(管理员)进行登录 |
| 4720 | 创建用户 |
Logparser.exe --i:EVT --o:DATAGRID "SELECT * FROM c:\xx.evtx"
思路:
我先去审计他的账户,发现他的账户没有影子账户,克隆账号等等,那么我就会怀疑他使用了mimikatz抓取到了我的明文密码,然后快去通过日志来筛选他的远程登录的信息eventid=4624和eventtype=10的信息type=2是本地登录
在lsass 进程中抓取密码
netstat -ano | findstr ESTAB(windows下查看进程端口)
tasklist /svc | findstr 26008(查看可疑端口的进程号)
系统信息----->软件环境------>正在进行的程序
查看端口是防止木马
查启动项防止留后门
Linux入侵检查
/ect/passwd |grep /bin/bash
bash所创建的用户你不清楚那就是被入清了
nologin是正常的
/ect/shadow
看看是否有密码
awk -F: '3==0{print 1}' /etc/passwd
-F是分隔符,以冒号分隔 看看是否有特权用户(还未完成)
Windows下的入侵排查
1.打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
2.Win+R 打开运行,输入"eventvwr.msc",回车运行,打开"事件查看器"。
3.使用netstat -ano 命令查看目前的网络连接,定位可疑的 PID
4.检查启动项:单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项:
要注意下面三个表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce
打开后检查右侧是否有启动异常的项目,如有就删除。
5.做完后可以查看系统日志,这也是非常重要的一部分。
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义
实验复现(cs4.9)
传输文件(exe传入虚拟机win10)
一、配置Win10虚拟机的网络
设置虚拟机网络模式 在虚拟机软件(如VMware、VirtualBox)中,将网络适配器设置为「桥接模式」或「NAT模式」:
桥接模式:虚拟机将获得与宿主机同网段的独立IP,相当于局域网中的一台独立设备。
NAT模式:虚拟机通过宿主机共享网络,IP通常为虚拟机软件分配的私有网段(如192.168.xxx.xxx)。
获取虚拟机IP地址 在Win10虚拟机中,按 Win+R 输入 cmd 打开命令提示符,输入 ipconfig,记录IPv4地址(如 192.168.1.100)。
二、在Win10虚拟机中开启FTP服务
安装FTP服务组件
打开「控制面板」→「程序」→「程序和功能」→「启用或关闭Windows功能」。
勾选「Internet Information Services」下的「FTP服务器」(包括「FTP服务」和「FTP扩展性」),以及「Web管理工具」下的「IIS管理控制台」,点击「确定」安装。
创建FTP站点
安装完成后,打开「IIS管理器」(Win+R输入 inetmgr)。
在左侧导航栏右键「网站」→「添加FTP站点」:
输入「站点名称」(自定义,如"VM-FTP")和「物理路径」(选择要共享的文件夹,如 C:\FTP共享)。
绑定「IP地址」选择虚拟机的IP(如192.168.1.100),端口默认21,SSL选择「无」(测试用,生产环境建议配置SSL)。
身份验证勾选「基本」,授权选择「指定用户」(输入虚拟机的用户名,如管理员账户),权限勾选「读取」和「写入」。
关闭防火墙(或配置规则)
临时关闭虚拟机的防火墙(「控制面板」→「Windows Defender防火墙」→「关闭防火墙」),或添加规则允许FTP端口(21)通过。
三、使用Xftp连接虚拟机
打开Xftp,点击左上角「新建」按钮,弹出会话属性窗口。
配置连接信息:
主机(H):输入虚拟机的IP地址(如192.168.1.100)。
端口(P):默认21(若修改过FTP端口则对应输入)。
协议:选择「FTP」(或根据配置选择「SFTP」,需额外开启SSH服务)。
用户名(U):输入Win10虚拟机的登录用户名。
密码(W):输入对应用户的密码。
点击「连接」,若配置正确,Xftp会显示虚拟机的FTP共享文件夹,即可拖拽文件完成传输。
别忘记把虚拟机里面的防火墙也一起关闭
