一、必备知识点
1、第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。
2、排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3、由于工具和脚本更新迭代快、分类复杂,那么打造自己的工具箱迫在眉睫
二、案例分析
1.Win 日志自动神器 LogonTracer-外网内网
需要部署在linux云服务器,在win本地上传日志文件实现自动化分析。
项目地址:https://github.com/JPCERTCC/LogonTracer
需要安装配置neo4j、java11、py3、安装Logontracer库等等操作,比较繁琐,见项目安装文档或这篇笔记。
最终效果:
2.数据库 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等,对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景和溯源攻击源。
1)mysql:
show variables like '%general%';
SET GLOBAL general_log = 'On';
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
查看日志存放地点和开启日志并查看。
我们自己爆破一下:
去看日志分析,不知是集成环境还是爆破字典少的缘故,mysql并没有直接分析出攻击:
2)Mssql:
查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)
查看日志:
设置追踪可以修改保存时间:
监控器,监控攻击:
3)不同数据库不同分析,自己之后在搜寻资料积累吧
3.自查漏洞 模拟渗透测试寻找攻击源(漏洞、口令检索)
- 日志被删除或没价值信息
- 没有思路进行分析可以采用模拟渗透
1)系统漏洞自查(win、lin):
工具:WindowsvulnScan、linux-exploit-suggester(提权篇介绍过)
2)服务漏洞自查(win/lin上服务:如phpmyadmin):
查看安装的服务:
- windows:Get-WmiObject -class Win32_Product 命令
- linux:LinEnum.sh 脚本
- searchsploit 漏洞库 查找测试
利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索,比如weblogic。
4.windows、linux 协议 弱口令自查、工具探针或人工获取判断—snetcraker工具
5.自动化工具ir-rescue应急响应工具箱:
https://github.com/diogo-fernan/ir-rescue
直接运行那个update批处理文件就会自动下载一些应急响应常见工具。
可以下载下来分析脚本原理,尝试二次开发,成为自己的工具箱。
相关资源:
