渗透贯穿始终下篇

2021-01-26 14,949

目录

应急响应

分析具体安全事件

异常点排查

查看日志

D盾查杀

追踪溯源

溯源的思维导图

常用的网址

排错

参考链接


应急响应

分析具体安全事件

常见的安全事件:

  1. Web入侵:挂马、篡改、Webshell

  2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞

  3. 病毒木马:远控、后门、勒索软件

  4. 信息泄漏:刷裤、数据库登录(弱口令)

  5. 网络流量:频繁发包、批量请求、DDOS攻击

确认为WEB入侵,查看受害系统基本信息

PS C:\Windows\system32> systeminfo

 20201124105238212.png   

查看CPU和内存消耗

20201124110408901.png

20201124110408901.png

异常点排查

netstat -abo | findstr TCP

 20201124110801885.png

20201124133522872.png

2020112412212515.png

对进程进行排查:tasklist | findstr PID

20201124111345708.png

查看服务:tasklist /SVC

20201124112250818.png

查看动态链接库:tasklist /M > 1.txt

2020112411264465.png

查看日志

进程日志和登录日志    路径 C:\Windows\System32\winevt\Logs

根据时间段进行查看事件

20201124113001520.png

安全事件:筛查登录时间

20201124113237184.png

20201124113446698.png

查看系统事件

20201124113712811.png

D盾查杀

应用服务目录进行的文件内容排查-D盾查杀等

20201124121645244.png

可以看到上传事时间,位置

2020112412021779.png


最后找到了远程控制木马及木马,攻击事件22日上午9点左右;上传木马-远程控制-内网穿透;

可以根据具体情况而定

20201124114908897.png


追踪溯源

     溯源法是一种追究根源的逆向思维方式,也是一种以倒推的方式追寻原因而达到解决问题的工作方式;

溯源的思维导图


20201124130419765.png

常用的网址

https://www.reg007.com/查询邮箱注册过的网站

微博找回密码链接:找回帐号密码 (weibo.com)

网易找回密码链接:https://reg.163.com/naq/findPassword#/verifyAccount

淘宝找回密码链接: https://passport.taobao.com/ac/password_find.htm?spm=a2107.1.0.0.58bb11d9H7OMg N&from_site=0&lang=zh_CN&app_name=tb&tracelog=signin_main_pass

邮箱反查域名:https://www.benmi.com/rwhois?q=

进入网站微博UID查手机号:https://weiboshegongku.ml/Query

百度忘记密码链接: https://passport.baidu.com/?getpassindex&tt=1591344858100&gid=0A6E681-E84A-4 388-A0C3-B262AE20E8CD&tpl=mn&u=https%3A%2F%2Fwww.baidu.com%2F

百度识图链接:https://image.baidu.com/?fr=shitu

谷歌识图链接:https://images.google.com/

在线端口扫描工具扫描其开放的端口:http://coolaf.com/zh/tool/port

csdn忘记密码链接:CSDN-专业IT技术社区-忘记密码

学信网找回用户名: https://account.chsi.com.cn/account/password!rtvlgname

进入 oray 页面找回: https://console.oray.com/passport/find-account.html

通过第三方查找该用户的信息: http://qd.yyimg.com/act/index/id/



排错

win7加入域,查询域控出错

20201121115013888.png

services.msc -computer browser 重启服务

20201121115059649.png


存在域,但当前用户不是域用户,提示说明权限不够

 20201121115747758.png

可以在php.ini中设置short_open_tag = On 


注意:打穿win2008 R2添加补丁包升级至sp1

20201123135802306.png


参考链接


https://www.cnblogs.com/yuzly/p/11610061.html

https://www.cnblogs.com/yuzly/p/11610061.html

https://www.baidu.com/s?wd=CVE-2020-16898%20%7C%20Windows%20TCP%2FIP%E8%BF%9C%E7%A8%8B%E6%89%A7%E8%A1%8C%E4%BB%A3%E7%A0%81%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0&rsv_spt=1&rsv_iqid=0xd6732d7f0005119f&issp=1&f=8&rsv_bp=1&rsv_idx=2&ie=utf-8&rqlang=cn&tn=baiduhome_pg&rsv_dl=tb&rsv_enter=1&oq=cve202019%2526lt%253B8%25E6%25BC%258F%25E6%25B4%259E&rsv_t=8a7aEReRH2bIMUaR9ZVVg%2Fz3T5tYKNmtS8niRNWRVf8%2BhpaDGuAcjUmzEES7PaTBcPkZ&rsv_btype=t&inputT=23060&rsv_pq=8b9d264300010563&rsv_n=2&rsv_sug3=99&rsv_sug1=58&rsv_sug7=000&rsv_sug2=0&rsv_sug4=23060&rsv_sug=1

https://www.secpulse.com/archives/76810.html

https://www.cnblogs.com/yuzly/p/11610061.html

https://www.bilibili.com/read/cv5026378/

https://blog.csdn.net/weixin_41082546/article/details/104926190?utm_medium=distribute.pc_relevant.none-task-blog-title-2&spm=1001.2101.3001.4242

https://blog.csdn.net/qq_18501087/article/details/101593766

https://blog.csdn.net/ws13129/article/details/90071260

https://blog.csdn.net/Fly_hps/article/details/80780989?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param

https://www.sohu.com/a/300983667_658302

https://blog.csdn.net/weixin_41520029/article/details/100126862

https://www.cnblogs.com/iamsoscared/p/13835618.html



本文作者:calmness

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/152089.html

Tags:
评论  (0)
快来写下你的想法吧!

calmness

文章数:4 积分: 90

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号