应急响应全栈

这篇具有很好参考价值的文章主要介绍了应急响应全栈。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言: 7月4号就入厂了,兄弟们,还剩一波机会,认真学了相关应急的内容后做了份全栈脑图,解决面试的时候面对空气不知道说什么的咎境。
做的可能不是很对,辅助作用而已,我的理解
应急响应全栈

实际HW应急:
1.冰蝎的的内存马怎么查杀?

冰蝎内存马用的是jvm加载类字节码的能力,常规的工具很难检测查杀,github上已经有查杀冰鞋jvm内存马的工具。
2.你本人应急的案例

我拿个之前的应急排查来说吧,就是我们这边接到通知他们公司几台服务器有问题,让我们去检测。然后看到是windows的机子,本地用户和组排查的时候发现新建可疑的用户,确定主机是有问题的,对方已经拿到主机权限,然后事件管理器有大量的登录日志爆破,采取的措施是直接删除可疑的和隐藏账号,排查登录日志,确定系统账号已经不安全,更新了管理员账号,对启动项和可疑进程做了清除,取了一份样本拿去分析,通告上级紧急修补web站点的漏洞.
3.你本人溯源的思路

1.红队攻击都会挂着代理,你溯源的话只能溯源到他的代理ip,没有太大的意义,如果说服务器被上了内存马的情况,可以去工具取样他内存马的ip,对内存马ip反向扫描端口,
因为他们也是通过远程进去的,去爆破他们的ssh,3389和cs的密码。
1.反序列化的取样,他打shiro,里面就有他的基本设备vps,通过中间件吧这些有特征的ip收集,放到在线情报平台上识别,检测是不是有ip绑定域名的,通过whois反查他的域名注册时间、邮箱,通过社工库查他的手机号,然后通过社交软件,qq、微信、支付宝来给他转一毛钱,拼接他的个人信息。

4.已经被上传webshell应急
2.系统如果已经被植入后门,说明攻击者已经攻击成功,而且拿到权限,这时候日志信息可能提供不了帮助,首先要去考虑系统的账户是否安全,,又没口令爆破成功的痕迹,排查账号的密码是否已经不安全.
(Linux)的话看计划任务,没有定时反弹shell,还有就是进程是不是可疑在通信.发现可疑问题,就要样本分析.
(windows)的话就看启动项和进程.
如果是web入侵,看日志web服务是不是安全?还原攻击的流程.
5.流量溯源
1.先看日志,看攻击时间做一个审计,搜索这个时间文件上传的操作,一般是GET和POST两种,GET的话可以直接看到他请求的资源、地址和content,然后webshell该杀就杀,后门改补就补,如果是POST,那么就看不到请求的内容,可以去防火墙上下载完整数据包来分析。
漏洞

1.log4j
Log4j就是java的日志插件,处理日志存在”KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …入,流量特点就是数据包里面有”{“字段。

2.Shiro
1.2.4 key是写在源码里的,找到key就能构造攻击链,1.2.4之后的775key是随机生成的,但我们还可以构造cookie,尝试构造攻击链。
Shiro流量特征:数据包含有多个$$$符号,C参数含有base64编码。

3.Fastjson
原理也是jdni注入 利用就是构造一个json字符,用@type指定一个类库,流量特征就是json autotype

4.Weblogic
xml的反序列化漏洞,通过xmldecoder还是什么导致的xml解析代码执行。弱口令。
流量特征:不加密,常见的出网协议也可以用。有很多T3协议的特征,文件操作和冰蝎一样有fileoutstream字段。

命令:
计划任务的命令和目录
Kuntab命令排查计时任务,位置在/var/spool/cron 参数r和e就可以删除和编辑
/etc/cron
开机启动项/etc/rd.local文件

进程和端口命令
进程的话有ps命令,任务管理器 参数au列进程,x是吧其他用户的进程也列出来。
端口的话有netstat,常见配合grep命令和p参数筛选有问题的进程,

Windows下载文件命令
证书命令certutil、上传下载监控bitamin 还有powershell。
他要问参数的话,就是下载常数都是固定的,比较长
第一次简述

windows应急排查
初步排查:
1.系统账号排查(通过本地用户组去可疑账号、隐藏账号,有的话就删除掉)
2.事件管理器检测登陆日志,用微软的Log parser导出后分析
3.可疑端口,建立的链接,排查他对应的进程,用微软的msinfo32查看进程的路径和签名是否可疑。
后门排查:(权限维持:一个进程杀掉了,过段时间重新派生)
Linux机子应急排查
1.和windows应急思路相同,登录账号检测
2.后门排查(检测定时任务、开机启动项、异常端口(比如建立的可疑连接),进程排查)
update留意系统运行到现在登录多久、多少用户。
1.影子账户,/etc/shadow因为/etc/passwd任何用户都可以访问,密码信息就分离到shadow,shadow文件只有root权限才能访问,如果说,stat命令发现,shodow文件权限变化了,这检测就有问题。
Ssh公钥,linux的机子22端口基本都是开的,如果写公钥进去,就是明显的后门

谈提权和查杀
Windows提权
1.土豆全家桶,photo(smb)
2.常用的补丁提权,syteminfo复制系统信息,拿去辅助提权。
3.数据库提权,mysql的udf提权。(安全模式未开,root权限)
4.很常用的ms14-068驱动提权。
5.配置不当的提权,注册表的install安装配置的话是最高权限启动的。

Linux 提权
1.内核提权(脏牛) 和windows一样看系统内核 uname-a
2.sudo提权 就是很多运维给普通用户通过sudo执行root命令的权限,条件的话需要sudo没密码。
3.写计划任务,还有mysql的udf提权。

安全加固
主要是对接入服务器ip的方式限制,还有一个是密码策略,(就是如果服务器被拿到shell和留下后门,这时候不是去考虑日志的问题,要去重点注意当前用户的密码是否安全)

守护进程: linux的后台进程,但他是root命令运行的,比如/var/log/boot.log
权限维持查杀: 看他做了什么服务,删除配置文件就行

Webshell检测工具:D盾、河马、百度webdir
免杀的可疑行为:
比较常见的有操作注册表、操作powershell、还有操作用户(比如添加用户、删除用户)、操作敏感文件。

杀软的识别
常见的静态、还有行为检测的,还有之前用到的云查杀。
如果他问你怎么实现:我知道的有代码混淆、花指令借助mssf
谈票据

如果面试问你一个问题,黄金票据怎么拿域管?
知识:Kerberos认证(krb)
域管krbtgt的hash
0.是否存在域
Ipconfig/all systeminfo 还有net config workastion看工作站
1.域控的权限维持
第一次拿到域管后,第二次的域渗透只需要域管的hash就可以做成票据,拿域管的权限。
或者还有ske-key的万能密码,我知道他的原理是注入lsass进程。不需要域管密码和hash。用域用户身份也可以登录。
2.常用的横向手法
1.ptk(密钥)
2.pth(通过hash,就是用minikatz做pth的横向)
3.域里面的常用漏洞
Ms14-068 吧域内用户获得域管权限。
4.白银票据
和黄金票据差别是他不是域控加密的,是服务器本身的ntlm加密。

很重要的几部分
1.邮件服务器EXchange
域控DC的sync,minikatz的插件,可以导出域内全部用户的hash。
谈ssrf
服务器加载外部资源没对目的地址做过滤,只有有网址的地方都可能有ssrf。
常用协议有gopher(沟fe) dist file http https
初步的探测可以通过file协议读取本机文件,探测本机的网段。
Dist协议探测端口
怎么通过ssrf拿shell?
可以借助gopher协议探测内网的web服务sql注入,直接在url后面拼接内网的地址,后面加上sql注入语句就行。
修复:从根源入手(限制资源的地址)、禁用不必要的协议
Csrf
1.登录了某个网站,有cookie,2.点开他的url链接
谈网络基础

网络基础
打内网大部分流量都走socks协议,有防火墙过不去
Regeorg(瑞joju)和代理链 都是socks协议的代理。
Socks协议走的是tcp,不支持icmp,所以不能ping。
正向代理:客户端代理 服务器不知道客户端的真实ip。
反向代理: 服务端代理 客户端是不知道服务器的真实地址。

路由表:这就是设备流量通过数据包的传输路径,比如一些业务系统入口是内网地址,做了访问控制,就需要加一条路由表。

http的两个状态 无状态和无连接,处理完请求就断开,不会记录客户端的任何信息。

NOSQL数据库: mongo(27017) redis 6379
跨域,说下jsonp和cors (跨域) 就是访问其他域名,端口不同或者域名不同都算跨域,jsonp协议数据包是json格式,cors允许跨域加载的资源。
越权的修复: 给用户添加token值,做逻辑判断先去判断token值再走业务流程。
钓鱼邮件的识别: 邮件附带连接,链接需要输入账号密码、文件格式exe或者文档。
遇到.exe文件如何处理?主要是看exe是不是钓鱼还是远控,拿去杀软沙箱分析和微步样本分析。
Awk和sad,awk配合uniq用来做日志筛选的,sad是删除文件中的指定字符。文章来源地址https://www.toymoban.com/news/detail-430555.html

到了这里,关于应急响应全栈的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全应急响应中心SRC

    目录 安全应急响应中心SRC 一、SRC介绍 二、SRC准则 三、SRC评级 四、SRC公告和活动 五、SRC导航平台 六、企业SRC平台 ​安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。 SRC平台 ​报告平台是指由独立的第三方公司

    2024年02月03日
    浏览(42)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(42)
  • 应急响应-Windows

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:不知名白帽的博客_CSDN博客-网络安全,CTF,内网渗透领域博主 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 常用命令 敏感目录 日志分析 系统日志 安全日志 命令 说明 regedit         注册表 taskmgr       

    2024年02月12日
    浏览(40)
  • Windows快捷命令-应急响应

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan 目录 注意: 操作系统信息 查看操作系统信息 环境变量 账户和组 网卡 进程 计划任务 日志 文件 其他 查找隐藏用户 查找克隆用户

    2024年02月06日
    浏览(41)
  • 蓝队-应急响应-日志分析

    在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。 下面的工具讲的是日志分析,是在攻击者进行攻击之后才能发现 #日志自动提取脚本—— 七牛Logkit观星应急工具

    2024年02月11日
    浏览(52)
  • Windows应急响应小结

    目录 应急响应流程 账户排查 网络排查 进程排查 内存分析 日志分析 PDCERF模型 P(Preparation 准备):信息搜集,工具准备 D(Detection 检测):了解资产现状,明确造成影响,尝试进行攻击路径溯源 C(Containment 遏制):关闭端口、服务,停止进程,拔网线 E(Eradication 根除):

    2024年04月27日
    浏览(37)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(49)
  • 应急响应:系统入侵排查指南

    目录 系统基本信息排查 Windows系统排查 Linux系统排查 CPU信息 操作系统信息 载入模块排查 用户排查 Windows系统用户排查 排查所有账户 Linux用户排查 root账户排查 查看所有可登录账户   查看用户错误的登录信息 查看所有用户最后登录信息 排查空口令账户 启动项排查 Windows系

    2024年02月09日
    浏览(56)
  • Windows应急响应排查思路

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2023年04月20日
    浏览(43)
  • Linux应急响应小结

    目录 用户排查 历史命令 网络排查 进程排查 文件排查 持久化排查 日志分析 通过系统运行状态、安全设备告警,主机异常现象来发现可疑现象通常的可疑现象有:资源占用、异常登录、异常文件、异常连接、异常进程等。 如果发现异常用户活动,例如尝试多次登录失败、执

    2024年04月27日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包