75应急响应-数据库漏洞口令检索应急取证箱

必要知识点

第三方应用是选择性的安装的,比如mysql,如何做好信息收集,有没有爆过它的漏洞,和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。 

排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本

由于工具或脚本更新,分类复杂,打造自己工具箱也好分辨攻击者使用了什么工具

系统日志-Win 日志自动神器 LogonTracer-外网内网日志 

如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/ 

具体教程去网上搜索即可

Linux安装使用笔记:

阿里云主机记得开放端口及关闭防火墙

下载并解压插件neo4j:

    tar -zvxf neo4j-community-4.2.1-unix.tar

安装java11环境,java环境配合插件版本选择:

    sudo yum install java-11-openjdk -y

修改neo4j配置保证外部访问:

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

启动neo4j:

    cd /opt/neo4j-community-4.2.1/

    ./bin/neo4j console &

默认账号密码为“neo4j”“neo4j”

下载LogonTracer并安装库:

    git clone https://github.com/JPCERTCC/LogonTracer.git

    pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

启动

    python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]

    python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

打开的界面

可以通过这个界面的upload去上传日志文件,也可以通过命令行导入文件

导入日志文件

    python3 logontracer.py -e [日志文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]

 

来文件查看器,查看系统日志的路径,找到系统日志文件,然后复制下来,然后上传到服务器上

   python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

导入之后刷新一下界面

6.结果要在网页端查看,也可以直接在网页端左侧“Upload”导入日志,地址为

http://[本地IP]:[启动时填写的端口]

会给一个可视化视图,可以搜索筛选 

数据库Mysql&Mssql&Oracle等日志分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

数据库主要针对虚拟的游戏币,修改参数等等行为,还可以用数据库进行提权操作;

主要还是看攻击者有没有对数据操作,

Mysql:启用,记录,分析(分析SQL注入及口令登录爆破等)

查看数据库日志设置

    show variables like '%general%';

保存日志默认是关闭的,路径在d盘里面

启用日志

    SET GLOBAL general_log = 'On';

设置日志的保存目录

    SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log'; 

这个我就不设置了,默认的就行

随便打开一个靶场测试一下

执行个and1=1

日志里面就有记录,

在爆破一下试试

日志里面就有很多尝试登录,所以数据库执行过的目录,它都有记录

Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)

打开Microsoft SQL Server Management Studio

登录日志位置:“管理”“SQL Server日志”

这个记录的信息比较多,攻击者ip什么的,这个日志记录登录信息;

还有一个日志记录历史命令

实时监控日志位置:“工具”“SQL Server Profiler”

实时监控日志开启:选中数据库,右键“属性”“更改属性”,确保更改属性为“True”

想要保存过往数据,在“自动清除”处选“False”  

选择某个数据库,开启数据库的这个才会有历史命令记录,

然后登录框注入攻击

模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

有时候所有日志文件都没有分析到攻击行为,有时候攻击者会把日志删了,在攻击者拿下系统权限之后,就是提权成功,就有权力删除日志,

这种情况,一找专业的团队恢复日志;然后模拟攻击者,猜想攻击者怎么攻击进来的,该怎么去修复这个漏洞;

当出现没有日志,有没有思路去猜想攻击者行为,那就可以试着自查漏洞

windows,linux系统漏洞自查:

WindowsVulnScan;linux-exploit-suggester

两个工具

第一工具,先system收集好主机信息。

打开PowerShell,来到文件目录,运行程序

    .\KBCollect.ps1

将生成的文件KB.json从被检测机复制到个人电脑上“cve-check.py”的文件夹下 

给出可以利用的exp

linux-exploit-suggester

直接执行

    ./linux-exploit-suggester.sh

会显示存在的漏洞和exp 

系统漏洞一个简单排查

windows,linux服务漏洞自查:

查看服务器上有哪些第三方应用 例如安装了weblogic,phpmyadmin

windows:

可以在PowerShell上运行该命令来收集电脑上安装了哪些第三方软件

    Get-WmiObject -class Win32_Product 

linux:

可以使用LinEnum.sh脚本

    ./LinEnum.sh 

利用前期信息收集配合searchsploit进行应用服务协议等漏洞检索

    ./searchsploit [软件名]

    ./searchsploit weblogic 

weblogic哪一个版本对应的漏洞exp都会出现,然后假如我电脑刚好装有weblogic,10.3.3版本,然后图中有这个版本爆过的漏洞,然后来到他对应的exp目录下,

然后测试一下是否存在,如果存在的话,攻击者可能就利用的这个,同时分析这个漏洞是什么,需不需要前提条件,漏洞的危害,如果危害很小,比如信息收集,报错漏洞就没啥用

自动化ir-rescue应急响应工具箱-实时为您提供服务

取证工具包,支持Windows和Linux

https://github.com/diogo-fernan/ir-rescue 

只需要运行.bat文件,一个是更新,一个是运行

运行之后就会自动下载常见的工具

该软件是各种工具的合集,会自动下载常见应急和取证的工具

分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器 

然后也可以自己修改内容,添加下载地址

ping

an


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/234892.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

力扣刷题-二叉树-合并二叉树

617.合并二叉树(经典) 合并二叉树是操作两棵树的题目里面很经典的,如何对两棵树遍历以及处理? 给定两个二叉树,想象当你将它们中的一个覆盖到另一个上时,两个二叉树的一些节点便会重叠。 你需要将他们合并…

LabVIEW在微生物检测中的应用

随着对食品安全关注的增加,食品检测的准确性变得越来越重要。其中,微生物计数作为食品合格的关键指标,对其检测技术的准确性和实时性要求极高。传统的微生物检测面临着菌落识别困难、设备实时性差和自动化程度不高等问题,尤其在疫…

华清远见作业第二十五天——IO(第八天)

思维导图&#xff1a; 使用信号灯集完成三个进程的同步&#xff0c;A进程输出字符A&#xff0c;B进程输出字符B&#xff0c;C进程输出字符C&#xff0c;要求输出结果为ABCABCABCABCABC 代码&#xff1a; #include<stdio.h> #include<string.h> #include<stdli…

基于 IP 多播的网络会议程序(2024)

1.题目描述 局域网 IP 多播程序&#xff0c;设计一个图形界面的网络会议程序&#xff08;实现文本多播方式即可&#xff09;。 2.演示Demo 3.参考代码 广播发送代码 //服务端 #include <winsock2.h> #include <iostream> #include <list>#pragma comment(l…

test fuzz-05-模糊测试 kelinci AFL-based fuzzing for Java

拓展阅读 开源 Auto generate mock data for java test.(便于 Java 测试自动生成对象信息) 开源 Junit performance rely on junit5 and jdk8.(java 性能测试框架。性能测试。压测。测试报告生成。) test fuzz-01-模糊测试&#xff08;Fuzz Testing&#xff09; test fuzz-…

YOLOv8-Seg改进:轻量化改进 | 华为Ghostnetv2,端侧小模型性能新SOTA | NeurIPS22 Spotlight

🚀🚀🚀本文改进:GhostNetV2 是 GhostNet 的增强版本,GhostBottleneckV2与YOLOV8建立轻量C2f_GhostBottleneckV2 🚀🚀🚀YOLOv8-seg创新专栏:http://t.csdnimg.cn/KLSdv 学姐带你学习YOLOv8,从入门到创新,轻轻松松搞定科研; 1)手把手教你如何训练YOLOv8-seg…

微信小程序使用mqtt开发可以,真机不行

以下可以解决我的问题&#xff0c;请一步一步跟着做&#xff0c;有可能版本不一样就失败了 一、下载mqtt.js 前往蓝奏云 https://wwue.lanzouo.com/iQPdc1k50hpe 下载好后将.txt改为.js 然后放入项目里 二、连接mqtt const mqtt require(../../utils/mqtt.min); let cli…

Windows BAT脚本 | 定时关机程序

使用说明&#xff1a;输入数字&#xff0c;实现一定时间后自动关机。 单位小时&#xff0c;用后缀 h 或 H。示例 1h 单位分钟&#xff0c;用后缀 m 或 M 或 min。示例 30min 单位秒。用后缀 s 或不用后缀。示例 100s 源码 及 配置方法 桌面新建文本文件&#xff0c;输入下面…

WPF自定义漂亮顶部工具栏 WPF自定义精致最大化关闭工具栏 wpf导航栏自定义 WPF快速开发工具栏

在WPF应用程序开发中&#xff0c;自定义一个漂亮的顶部工具栏具有多重关键作用&#xff0c;它不仅增强了用户体验&#xff0c;还提升了整体应用的专业性和易用性。以下是对这一功能的详细介绍&#xff1a; 首先&#xff0c;自定义顶部工具栏是用户界面设计的重要组成部分&…

excel中解决多行文本自动调整行高后打印预览还是显示不全情况

注意&#xff1a;此方法对于多行合并后单元格行高调整不适用&#xff0c;需要手动调整&#xff0c;如大家有简便方法&#xff0c;欢迎评论。 一、调整表格为自动调整行高 1&#xff09;点击此处全选表格 2&#xff09;在第一行序号单元格的下端&#xff0c;鼠标成黑十字时&am…

图片纹理贴图

/* * 当需要给图形赋予真实颜色的时候&#xff0c;不太可能为没一个顶点指定一个颜色&#xff0c;通常会采用纹理贴图 * 每个顶点关联一个纹理坐标 (Texture Coordinate) 其它片段上进行片段插值 * */#include <iostream> #define STBI_NO_SIMD #define STB_IMAGE_IMPLE…

【Week-P4】CNN猴痘病识别

文章目录 一、环境配置二、准备数据三、搭建网络结构四、开始训练五、查看训练结果六、总结2.3 ⭐torch.utils.data.DataLoader()参数详解6.1 print()常用的三种输出格式6.2 修改网络结构&#xff0c;观察训练结果6.2.1 增加pool2、conv6、bn6&#xff0c;test_accuracy82.5%6.…

航天航空线束工艺3D虚拟展馆支持多人异地参观漫游

为了满足汽车线束企业员工工作需要&#xff0c;让新老员工了解到更先进、规范的线束工艺设计技术&#xff0c;华锐视点基于VR虚拟仿真、web3d开发和图形图像技术制作了一款汽车线束工艺设计VR虚拟仿真模拟展示系统。 汽车线束工艺设计VR虚拟仿真模拟展示系统共分为pc电脑端和VR…

时序分解 | Matlab实现CPO-VMD基于冠豪猪优化算法(CPO)优化VMD变分模态分解时间序列信号分解

时序分解 | Matlab实现CPO-VMD基于冠豪猪优化算法(CPO)优化VMD变分模态分解时间序列信号分解 目录 时序分解 | Matlab实现CPO-VMD基于冠豪猪优化算法(CPO)优化VMD变分模态分解时间序列信号分解效果一览基本介绍程序设计参考资料 效果一览 基本介绍 【原创】CPO-VMD【24年新算法…

Element+vue3.0 tabel合并单元格span-method

Elementvue3.0 tabel合并单元格 span-method :span-method"objectSpanMethod"详解&#xff1a; 在 objectSpanMethod 方法中&#xff0c;rowspan 和 colspan 的值通常用来定义单元格的行跨度和列跨度。 一般来说&#xff0c;rowspan 和 colspan 的值应该是大于等于…

zabbix监控windows主机

下载安装zabbix agent安装包 Zabbix官网下载地址: https://www.zabbix.com/cn/download_agents?version5.0LTS&release5.0.40&osWindows&os_versionAny&hardwareamd64&encryptionOpenSSL&packagingMSI&show_legacy0 这里使用zabbix agent2 安装 …

qml实现动态轮播图

一、效果展示 二、源码分享 DynamicCarousel.qmlimport QtQuick import QtQuick.Controls import QtQuick.Layouts import QtQuick.ShapesItem {id:selfsignal clearError(string numberStr)PathView{id:pathViewanchors.fill: parentfocus: trueclip: truemodel:listModeldele…

[Docker] Mac M1系列芯片上完美运行Docker

docker pull qinchz/dm8-arm64 container_name: dm8ports:- "5236:5236"mem_limit: 1gmemswap_limit: 1gvolumes:- /data/dm8:/home/dmdba/data 数据库实例参数已修改&#xff0c;接近oracle使用习惯 #字符集 utf-8 CHARSET1 #VARCHAR 类型对象的长度以字符为单位 …

软件测试|Windows系统配置pytest+allure环境教程

前言 allure可以输出非常精美的测试报告&#xff0c;也可以和pytest进行完美结合&#xff0c;不仅可以渲染页面&#xff0c;还可以控制用例的执行。本文我们将介绍Windows系统中如何配置allure环境。 第一步&#xff1a;配置Java环境 因为allure的运行依赖于Java环境&#x…

WEB 3D技术 three.js 光照与阴影

本文 我们来说 灯光与阴影 之前 我们有接触到光照类的知识 但是阴影应该都是第一次接触 那么 我们先来看光 首先是 AmbientLight 环境光 你在官网中搜索 AmbientLight 官方是就写明了 环境光是不会产生阴影的 因为 它没有反向 然后是 DirectionalLight 平行光 它是可以投射阴…