应急响应全栈

这篇具有很好参考价值的文章主要介绍了应急响应全栈。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言: 7月4号就入厂了,兄弟们,还剩一波机会,认真学了相关应急的内容后做了份全栈脑图,解决面试的时候面对空气不知道说什么的咎境。
做的可能不是很对,辅助作用而已,我的理解
应急响应全栈

实际HW应急:
1.冰蝎的的内存马怎么查杀?

冰蝎内存马用的是jvm加载类字节码的能力,常规的工具很难检测查杀,github上已经有查杀冰鞋jvm内存马的工具。
2.你本人应急的案例

我拿个之前的应急排查来说吧,就是我们这边接到通知他们公司几台服务器有问题,让我们去检测。然后看到是windows的机子,本地用户和组排查的时候发现新建可疑的用户,确定主机是有问题的,对方已经拿到主机权限,然后事件管理器有大量的登录日志爆破,采取的措施是直接删除可疑的和隐藏账号,排查登录日志,确定系统账号已经不安全,更新了管理员账号,对启动项和可疑进程做了清除,取了一份样本拿去分析,通告上级紧急修补web站点的漏洞.
3.你本人溯源的思路

1.红队攻击都会挂着代理,你溯源的话只能溯源到他的代理ip,没有太大的意义,如果说服务器被上了内存马的情况,可以去工具取样他内存马的ip,对内存马ip反向扫描端口,
因为他们也是通过远程进去的,去爆破他们的ssh,3389和cs的密码。
1.反序列化的取样,他打shiro,里面就有他的基本设备vps,通过中间件吧这些有特征的ip收集,放到在线情报平台上识别,检测是不是有ip绑定域名的,通过whois反查他的域名注册时间、邮箱,通过社工库查他的手机号,然后通过社交软件,qq、微信、支付宝来给他转一毛钱,拼接他的个人信息。

4.已经被上传webshell应急
2.系统如果已经被植入后门,说明攻击者已经攻击成功,而且拿到权限,这时候日志信息可能提供不了帮助,首先要去考虑系统的账户是否安全,,又没口令爆破成功的痕迹,排查账号的密码是否已经不安全.
(Linux)的话看计划任务,没有定时反弹shell,还有就是进程是不是可疑在通信.发现可疑问题,就要样本分析.
(windows)的话就看启动项和进程.
如果是web入侵,看日志web服务是不是安全?还原攻击的流程.
5.流量溯源
1.先看日志,看攻击时间做一个审计,搜索这个时间文件上传的操作,一般是GET和POST两种,GET的话可以直接看到他请求的资源、地址和content,然后webshell该杀就杀,后门改补就补,如果是POST,那么就看不到请求的内容,可以去防火墙上下载完整数据包来分析。
漏洞

1.log4j
Log4j就是java的日志插件,处理日志存在”KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …入,流量特点就是数据包里面有”{“字段。

2.Shiro
1.2.4 key是写在源码里的,找到key就能构造攻击链,1.2.4之后的775key是随机生成的,但我们还可以构造cookie,尝试构造攻击链。
Shiro流量特征:数据包含有多个$$$符号,C参数含有base64编码。

3.Fastjson
原理也是jdni注入 利用就是构造一个json字符,用@type指定一个类库,流量特征就是json autotype

4.Weblogic
xml的反序列化漏洞,通过xmldecoder还是什么导致的xml解析代码执行。弱口令。
流量特征:不加密,常见的出网协议也可以用。有很多T3协议的特征,文件操作和冰蝎一样有fileoutstream字段。

命令:
计划任务的命令和目录
Kuntab命令排查计时任务,位置在/var/spool/cron 参数r和e就可以删除和编辑
/etc/cron
开机启动项/etc/rd.local文件

进程和端口命令
进程的话有ps命令,任务管理器 参数au列进程,x是吧其他用户的进程也列出来。
端口的话有netstat,常见配合grep命令和p参数筛选有问题的进程,

Windows下载文件命令
证书命令certutil、上传下载监控bitamin 还有powershell。
他要问参数的话,就是下载常数都是固定的,比较长
第一次简述

windows应急排查
初步排查:
1.系统账号排查(通过本地用户组去可疑账号、隐藏账号,有的话就删除掉)
2.事件管理器检测登陆日志,用微软的Log parser导出后分析
3.可疑端口,建立的链接,排查他对应的进程,用微软的msinfo32查看进程的路径和签名是否可疑。
后门排查:(权限维持:一个进程杀掉了,过段时间重新派生)
Linux机子应急排查
1.和windows应急思路相同,登录账号检测
2.后门排查(检测定时任务、开机启动项、异常端口(比如建立的可疑连接),进程排查)
update留意系统运行到现在登录多久、多少用户。
1.影子账户,/etc/shadow因为/etc/passwd任何用户都可以访问,密码信息就分离到shadow,shadow文件只有root权限才能访问,如果说,stat命令发现,shodow文件权限变化了,这检测就有问题。
Ssh公钥,linux的机子22端口基本都是开的,如果写公钥进去,就是明显的后门

谈提权和查杀
Windows提权
1.土豆全家桶,photo(smb)
2.常用的补丁提权,syteminfo复制系统信息,拿去辅助提权。
3.数据库提权,mysql的udf提权。(安全模式未开,root权限)
4.很常用的ms14-068驱动提权。
5.配置不当的提权,注册表的install安装配置的话是最高权限启动的。

Linux 提权
1.内核提权(脏牛) 和windows一样看系统内核 uname-a
2.sudo提权 就是很多运维给普通用户通过sudo执行root命令的权限,条件的话需要sudo没密码。
3.写计划任务,还有mysql的udf提权。

安全加固
主要是对接入服务器ip的方式限制,还有一个是密码策略,(就是如果服务器被拿到shell和留下后门,这时候不是去考虑日志的问题,要去重点注意当前用户的密码是否安全)

守护进程: linux的后台进程,但他是root命令运行的,比如/var/log/boot.log
权限维持查杀: 看他做了什么服务,删除配置文件就行

Webshell检测工具:D盾、河马、百度webdir
免杀的可疑行为:
比较常见的有操作注册表、操作powershell、还有操作用户(比如添加用户、删除用户)、操作敏感文件。

杀软的识别
常见的静态、还有行为检测的,还有之前用到的云查杀。
如果他问你怎么实现:我知道的有代码混淆、花指令借助mssf
谈票据

如果面试问你一个问题,黄金票据怎么拿域管?
知识:Kerberos认证(krb)
域管krbtgt的hash
0.是否存在域
Ipconfig/all systeminfo 还有net config workastion看工作站
1.域控的权限维持
第一次拿到域管后,第二次的域渗透只需要域管的hash就可以做成票据,拿域管的权限。
或者还有ske-key的万能密码,我知道他的原理是注入lsass进程。不需要域管密码和hash。用域用户身份也可以登录。
2.常用的横向手法
1.ptk(密钥)
2.pth(通过hash,就是用minikatz做pth的横向)
3.域里面的常用漏洞
Ms14-068 吧域内用户获得域管权限。
4.白银票据
和黄金票据差别是他不是域控加密的,是服务器本身的ntlm加密。

很重要的几部分
1.邮件服务器EXchange
域控DC的sync,minikatz的插件,可以导出域内全部用户的hash。
谈ssrf
服务器加载外部资源没对目的地址做过滤,只有有网址的地方都可能有ssrf。
常用协议有gopher(沟fe) dist file http https
初步的探测可以通过file协议读取本机文件,探测本机的网段。
Dist协议探测端口
怎么通过ssrf拿shell?
可以借助gopher协议探测内网的web服务sql注入,直接在url后面拼接内网的地址,后面加上sql注入语句就行。
修复:从根源入手(限制资源的地址)、禁用不必要的协议
Csrf
1.登录了某个网站,有cookie,2.点开他的url链接
谈网络基础

网络基础
打内网大部分流量都走socks协议,有防火墙过不去
Regeorg(瑞joju)和代理链 都是socks协议的代理。
Socks协议走的是tcp,不支持icmp,所以不能ping。
正向代理:客户端代理 服务器不知道客户端的真实ip。
反向代理: 服务端代理 客户端是不知道服务器的真实地址。

路由表:这就是设备流量通过数据包的传输路径,比如一些业务系统入口是内网地址,做了访问控制,就需要加一条路由表。

http的两个状态 无状态和无连接,处理完请求就断开,不会记录客户端的任何信息。

NOSQL数据库: mongo(27017) redis 6379
跨域,说下jsonp和cors (跨域) 就是访问其他域名,端口不同或者域名不同都算跨域,jsonp协议数据包是json格式,cors允许跨域加载的资源。
越权的修复: 给用户添加token值,做逻辑判断先去判断token值再走业务流程。
钓鱼邮件的识别: 邮件附带连接,链接需要输入账号密码、文件格式exe或者文档。
遇到.exe文件如何处理?主要是看exe是不是钓鱼还是远控,拿去杀软沙箱分析和微步样本分析。
Awk和sad,awk配合uniq用来做日志筛选的,sad是删除文件中的指定字符。文章来源地址https://www.toymoban.com/news/detail-430555.html

到了这里,关于应急响应全栈的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全应急响应中心SRC

    目录 安全应急响应中心SRC 一、SRC介绍 二、SRC准则 三、SRC评级 四、SRC公告和活动 五、SRC导航平台 六、企业SRC平台 ​安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。 SRC平台 ​报告平台是指由独立的第三方公司

    2024年02月03日
    浏览(44)
  • 安全运营和应急响应详解

    1、应急响应流程 应急响应分为六个阶段,分别是: 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法。 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析: 1. 准备阶段 以预防为主,主要是要进行风险评估

    2024年02月02日
    浏览(42)
  • Linux应急响应小结

    目录 用户排查 历史命令 网络排查 进程排查 文件排查 持久化排查 日志分析 通过系统运行状态、安全设备告警,主机异常现象来发现可疑现象通常的可疑现象有:资源占用、异常登录、异常文件、异常连接、异常进程等。 如果发现异常用户活动,例如尝试多次登录失败、执

    2024年04月27日
    浏览(41)
  • 什么是应急响应?

    面对各种各样的突发的安全事件,我们怎么处理呢?这是一个关于安全事件应急响应的事件处理及分析。 “应急响应”(Incident Response / Emergency Response),顾名思义,是指为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的 措施 。 准备阶段:人员,工具,服务

    2024年02月05日
    浏览(112)
  • 应急响应:系统入侵排查指南

    目录 系统基本信息排查 Windows系统排查 Linux系统排查 CPU信息 操作系统信息 载入模块排查 用户排查 Windows系统用户排查 排查所有账户 Linux用户排查 root账户排查 查看所有可登录账户   查看用户错误的登录信息 查看所有用户最后登录信息 排查空口令账户 启动项排查 Windows系

    2024年02月09日
    浏览(57)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(53)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(44)
  • Linux应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月03日
    浏览(45)
  • Windows快捷命令-应急响应

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 注意: 操作系统信息 查看操作系统信息 环境变量 账户和组 网卡 进程 计划任务 日志 文件 其他 查找隐藏用户 查找克隆用户

    2024年02月06日
    浏览(44)
  • Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包