MSF&Cobaltstrike聯動shell
WEB攻擊應急響應溯源-后門,日志
WIN系統攻擊應急響應溯源-后門,日志,流量
臨時看CTF如何進對應
演示案例:
• MSF&CobaltStrike聯動Shell
• WEB攻擊應急響應朔源-后門,日志
• WIN系統攻擊應急響應朔源-后門,日志,流量
• 臨時給大家看看學的好的怎么干對應CTF比賽
案例1-MSF&CobaltStrike聯動Shell
CS->MSF
創建Foreign監聽器->MSF監聽模塊設置對應地址端口->CS執行Spawn選擇監聽器
MSF->CS
CS創建監聽器->MSF載入新模塊注入設置對應地址端口->執行CS等待上線
use exploit/windows/local/payload_inject
站在攻擊者的角度,去分析。攻擊者當前拿到哪些權限,網站還是系統權限。裝沒裝殺軟,用滲透者的思路去想問題。
注重信息搜集,從攻擊面入手查看應急響應。
案例2-WEB攻擊應急響應溯源-后門,日志
故事回顧:某客戶反應自己的網站首頁出現篡改,請求支援
分析:涉及的攻擊面,涉及的操作權限,涉及的攻擊意圖,涉及的攻擊方式
思路1:利用日志定位修改時間基數,將前時間進行攻擊分析,后時間進行操作分析
思路2:利用后門webshell查殺腳本或工具找到對應后門文件,定位第一次時間分析
tasklist /svc 查看pid進程號(windows)
查看access.log文件,查看日志 (查看工具指紋)
案例3-WIN系統攻擊應急溯源-后門,日志,流量
分析:涉及的攻擊面,涉及的操作權限,涉及的攻擊意圖,涉及的攻擊方式
故事回顧:某客戶反應服務器出現卡頓等情況,請求支援
思路:利用監控工具分析可疑文件,利用接口工具抓流量
獲取進行監控:PCHunter64
ua userassistview 可查看exe進程運行時間,便於分析計算機發生的事情。