75：應急響應-數據庫&漏洞口令檢索&應急取證箱

必須知識點：

• 1.第三方應用由於是選擇性安裝，如何做好信息收集和漏洞探針也是獲取攻擊者思路的重要操作，除去本身漏洞外，提前預知或口令相關攻擊也要進行篩選。
• 2.排除三方應用攻擊行為，自查漏洞分析攻擊者思路，人工配合工具腳本
• 3.由於工具或腳本更新迭代快，分類復雜，打造自己的工具箱迫在眉睫

本課重點：

• 案例1：系統日志-Win 日志自動神器 LogonTracer-外網內網日志
• 案例2：應用分析-數據庫 Mysql&Mssql&Oracle 等分析-爆破注入操作
• 案例3：模擬測試-自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索
• 案例4：專業要求-自動化 ir-rescue 應急響應取證工具箱-實時為您提供服務

案例1：Win 日志自動神器 LogonTracer-外網內網

如何安裝使用：https://github.com/JPCERTCC/LogonTracer/wiki/  

linux安裝使用筆記：阿里雲主機記得開放端口及關閉防火牆

1.下載並解壓 neo4j：tar -zvxf neo4j-community-4.2.1-unix.tar

2.安裝 java11 環境：sudo yum install java-11-openjdk -y

3.修改 neo4j 配置保證外部訪問：
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &

4.下載 LogonTracer 並安裝庫：
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt

5.啟動 LogonTracer 並導入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX 文件] -z [時區] -u [用戶名] -p [密碼] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

6.刷新訪問 LogonTracer-web_gui 查看分析結果

案例演示

案例2：數據庫 Mysql&Mssql&Oracle 等日志分析-爆破注入操作

常見的數據庫攻擊包括弱口令、SQL 注入、提升權限、竊取備份等。
對數據庫日志進行分析，可以發現攻擊行為，進一步還原攻擊場景及追溯攻擊源。

Mysql：啟用，記錄，分析（分析 SQL 注入及口令登錄爆破等）
show variables like '%general%';
SET GLOBAL general_log = 'On';
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';
Mssql：查看，跟蹤，分析（配置跟蹤可分析操作，查看日志可分析登錄等）

案例演示1-mysql日志

<1>查看日志設置，默認關閉狀態，手動打開

<2>模擬注入攻擊

<3>查看日志，發現注入記錄

<4>模擬爆破攻擊

<5>查看日志，發現爆破記錄

案例演示2-SqlServer日志

<1>SqlServer日志位置

<2>SqlServer數據庫屬性可以配置日志是否記錄，日志保存多久等

<3>模擬爆破攻擊

<4>查看日志，發現爆破記錄

<5>登錄系統，模擬用戶名sql注入

<6>數據庫日志實時記錄了注入語句

案例3：自查漏洞模擬滲透測試尋找攻擊源頭-漏洞口令檢索

1.日志被刪除或沒價值信息
2.沒有思路進行分析可以采用模擬滲透

1.windows，linux 系統漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh

https://github.com/chroblert/WindowsVulnScan
https://github.com/mzet-/linux-exploit-suggester

2.windows，linux 服務漏洞自查:
windows：Get-WmiObject -class Win32_Product #Powershell命令
linux：LinEnum.sh
searchsploit weblogic
利用前期信息收集配合 searchsploit 進行應用服務協議等漏洞檢索

https://github.com/rebootuser/LinEnum
https://github.com/offensive-security/exploitdb

以上，前面已經講過，不再演示

3.windows，linux 協議弱口令自查-工具探針或人工獲取判斷-snetcraker

案例4：自動化 ir-rescue 應急響應工具箱-實時為您提供服務

https://github.com/diogo-fernan/ir-rescue
分析腳本工具原理，嘗試自己進行編寫修改，成為自己的工具箱殺器

應急響應資料工具-小迪安全
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取碼：xiao