前言:
xss我都差不多学会知识点了,但是就是不会挖,就是要多尝试挖掘漏洞点,多花时间
正题:
应急响应
就是网站被攻击了,该怎么办,
对目标进行渗透,就是要对目标进行信息收集(直接就是搜历史漏洞,包能出洞的)
服务器信息、脚本语言、中间件、数据库
1、基于时间的日志报告分析(IIS&&.NET)
日志文件有默认位置,更改的花,在iis里面的设置里面,有具体的路径
公司给出了具体的被攻击时间,就可以在日志上查找了
2、基于漏洞查找日志分析(apache&&php)
日志文件,在apache目录下的log日志
基于红队的思路,先模拟攻击目标,然后利用攻击的手法,去日志里面查找,如访问具体的目录
3、基于后门的日志分析(tomcat&&jsp)
因为目标自己攻击不上去,公司也没有提供具体的时间节点,所以只能通过找后门文件,来找到具体的攻击者,找后门然后翻日志,看谁访问过这个后门地址,然后找攻击者ip地址
总结
基于多文件的搜索,软件有tomm,闪电文件搜索
常规后门查杀(比较好用的后门查杀工具)
1、阿里伏魔
2、河马
5445
更新
这节课需要掌握的知识点
1、中间件日志储存位置
iis在iis管理器的设置里面就能找到,更改了,就在设置里面找
apache,日志文件存储在其安装目录下的logs子目录中
Tomcat将日志文件存储在其安装目录下的logs子目录中
2、日志格式内容介绍
ua头,ip,时间,访问方法,访问文件,状态码
3、webshell的查杀
常规木马查杀
直接网上找工具查杀,例如阿里云webshell在线检查平台
内存马
用河马,(有很多bug)
有个内存马检测脚本,专门检测tomcat中的java的(tomcat-memshell-scanner.jsp)