73应急响应-Web分析phpjavaWeb自动化工具

我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章

应急响应笔记就开始比较潦草

应急响应基础知识

应急响应流程

保护阶段(断网,避免继续渗透;备份),分析阶段(分析攻击行为,找对应漏洞),复现阶段,修复阶段(防止再次攻击),建议阶段(写报告)

目的;分析出攻击事件,攻击操作,攻击后果,安全修复冰给出合理解决方案

必备知识点;1.熟悉常见web攻击手段,2.熟悉相关日志以及存储查看等(网上搜索默认日志位置一些资料等等),3.熟悉日志记录的数据以及分析

准备工作(在现场)

1.收集目标服务器各类信息(操作系统等等),2.部署相关分析软件机平台等(),3.整理相关安全渗透攻击指纹库(黑客攻击特征库),4.真对异常表现第一时间出发思路(攻击者的思路),

从表现预估入侵面及权限面进行排查

有明确的信息表明网站被入侵

基于时间,基于操作(例如数据库被更改),基于指纹(通过指纹发现攻击软件),基于其他

无明确入侵的信息

1.web漏洞-检测源码类别及漏洞情况

2.中间件漏洞-检查对应版本及漏洞情况

3.第三方应用漏洞-检测是否存在漏洞利用

4.操作系统层面漏洞-检查是否存在系统漏洞

5.其他安全问题(若口令,网站源码自带后门等)-检查相关应用口令及后门扫描

案例一Windows+IIS+Sql-日志,搜索 

iis有图形化,牛逼

iis日志在哪,怎么看,直接网上搜,直接秒

如果站长没有开日志,当我没说

日志默认记录这些信息,打开日志文件,就算没有学过,也能看一个大概出来

一看我日志被各种攻击,前面记录的攻击者ip,时间,url请求体啊,攻击者浏览器信息啊,操作系统啊,可能还要利用什么软件,响应体等等

指纹还有可能是百度或者谷歌,这种就可能是爬虫

Linux+BT_Nginx+tp5-日志,后门

故事回顾:某黑产哥哥反应自己的网站出现异常,请求支援

信息收集:

来到宝塔界面,选“网站”,点击网站的根目录,从网站的根目录找到nginx的安装目录(直接搜nginx也行)

来到“conf”文件夹下,找到“nginx.conf”,打开后找到access_log的目录

然后,看看配置文件里面也没有日志文件的信息,直接页面搜关键字log也可以试试

然后来到和他同一个目录下

然后就找到了和被入侵网站一样的log文件,肯定就是被入侵网站的日志了

发现大量HEAD请求,请求各种压缩文件,显然是扫描网站文件;

发现包含“phpinfo”“shell.php”的数据包;发现指纹“antSword/v2.1 ”,根据该记录发现有攻击者使用蚁剑连接x.php

根据连接之前的攻击数据包,分析攻击者可能攻击的TP5版本的漏洞

然后就可以自己进行一个来到复现过程,自己尝试访问

在宝塔的文件目录界面,对应文件夹右侧选择“目录查杀”,启动宝塔自带的木马查杀工具,在“安全”页面查看结果。可以把扫描出来的木马带回日志中查找 

    360星图,官方都停更了,感觉学的必要不大

 Linux+Javaweb+st2-日志,后门,时间 

打开日志文件

着重看这两个文件

post,不正常请求啊,谁家好人在都是get请求的对方,提交数据啊,ip也是公网ip

定位一下这个ip

只有post请求三次,接下来该怎么办,他有请求的东西,他之前就已经干了坏事了,看之前的日式文件,

在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具 

搜索完了,这个ip这个日志文件夹里面只出现过三次,思路断了,继续看日志文件

nmap,搜nmap的ip

也是只在这一个日志出现过,但是一开始找我们的时候就给了我们信息,给了后门文件,再去查看后门文件,直接搜索后门文件的名字

然后再根据这个ip去搜索

这文件就多了,但是这个网站并没有上传点,猜测可能是写入的,所以就是命令执行,

然后就根据特定的后门代码搜索试试,复制这个pwd,在java会调用java库尝试写入,所有格式都搜索一下,

下面的txt文件都是名字的名字,只有最上面的log文件命中的内容,下面没什么作用,看命中内容的,

找到了,这个数据包就是攻击的数据包,

然后根据上面的请求时间,在看日志post请求时间。

就是这个人写入的文件,确定攻击ip,拉黑,然后还可以去你的圈子群啥的搜搜他,再查查ip地址,问问那个名字一样的网友家是那里的,如果对上了,

其他工具推荐:ELK、Splunk(两者为蓝队必备)

10个好用的Web日志安全分析工具:https://www.cnblogs.com/xiaozi/p/13198071.html

10款常见的Webshell检测工具:https://www.cnblogs.com/xiaozi/p/12679777.html

应急响应资料工具:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao 

ping

an

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/236574.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++|44.智能指针

文章目录 智能指针unique_ptr特点一——无法进行复制 shared_ptr特点一——可复制特点二——计数器(用于确定删除的时机) 其他 智能指针 通常的指针是需要特殊地去申请对应的空间,并在不使用的时候还需要人工去销毁。 而智能指针相对普通的指…

用模方软件进行模型的透明贴图,为什么翻出来透明部分是黑的?

答:透贴需要用PNG格式。 模方是一款针对实景三维模型的冗余碎片、水面残缺、道路不平、标牌破损、纹理拉伸模糊等共性问题研发的实景三维模型修复编辑软件。模方4.1新增自动单体化建模功能,支持一键自动提取房屋结构,平均1栋复杂建筑物只需3…

了解ASP.NET Core 中的文件提供程序

写在前面 ASP.NET Core 通过文件提供程序来抽象化文件系统访问。分为物理文件提供程序(PhysicalFileProvider)和清单嵌入的文件提供程序(ManifestEmbeddedFileProvider)还有复合文件提供程序(CompositeFileProvider );其中PhysicalFileProvider 提供对物理文件系统…

1panel中的sftpgo webadmin 更新修改docker容器文件的配置教程

本篇文章主要讲解1panel中的sftpgo webadmin 更新修改docker容器文件的配置教程,适合sftpgo webadmin和1panel系统用户配置时使用。 作者:任聪聪 rccblogs.com 日期:2024年1月8日 sftpgo是无法直接直接更改容器内部的网站目录的,但…

uniapp 如何使用echarts 以及解决tooltip自定义不生效问题

使用的是echarts-for-wx插件&#xff1b; 正常写法案例&#xff1a;给tooltip数值加个% <template><view><uni-ec-canvas class"uni-ec-canvas"id"uni-ec-canvas"ref"canvas"canvas-id"uni-ec-canvas":ec"ec&quo…

使用nginx+HTML2canvas将任意html网页转为png图片自定义张数

文章目录 概述网页的转换html2canvas的使用导入导入HTML2canvas库函数定义 nginx部署编写控制截图网页代码iframe 网页控制代码 测试说明 概述 本文简述如何使用nginxhtml2canvas将任意网页html转为png图片 网页的转换 如果是本地网页&#xff0c;直接进行nginx反向代理就行…

vue3dLoader Cannot read properties of null (reading ‘setCrossOrigin‘)“这个报错怎么解决?

默认情况下crossOrigin默认值是“anonymous” 如果出现报错的情况 请设置crossOrigin为空字符串即可。如&#xff1a; <vue3dLoader crossOrigin""> 相关阅读 推荐&#xff1a;vue-3d-loader支持.dae/.fbx/.gltf/.glb/.obj/.ply/.stl/.json&#xff0c;并支…

5G前装搭载率即将迈过10%大关,车载通讯进入多层次增长通道

对于智能化来说&#xff0c;车载通讯性能的提升&#xff0c;对于相关功能的用户体验优化、进一步减少通讯时延以及打开应用新空间&#xff0c;至关重要。 目前&#xff0c;2G/3G正在进入运营商逐步关闭运营的阶段&#xff0c;4G依然是主力&#xff0c;但5G也在迎来新的增长机会…

vue3 生命周期

与 2.x 版本生命周期相对应的组合式 API beforeCreate -> 使用 setup() created -> 使用 setup() beforeMount -> onBeforeMount mounted -> onMounted beforeUpdate -> onBeforeUpdate updated -> onUpdated beforeDestroy -> onBeforeUnmount destroye…

Fedora Linux 中安装 nginx

Fedora 35 中安装 nginx 的方法非常简单。 运行下面的命令&#xff1a; sudo dnf install nginx 在提示你需要确认的地方&#xff0c;输入 y 后回车即可。 开机自动启动 如果你希望在你的操作系统重启的时候自动启动 nginx&#xff0c;请输入下面的命令&#xff1a; syst…

百度吉利合作造车生态,极越“智价比”能否带来科技平权?

文|AUTO芯球 作者|文泽 临近年关&#xff0c;车企迎来“降价潮”。为了获得更好的年终成绩单&#xff0c;包括上汽大众、比亚迪、长安汽车、智己汽车等20多家品牌推出了购车补贴、限时优惠等措施&#xff0c;优惠幅度最高近20万元。 在此背景下&#xff0c;新车发布一个多月…

双指针问题——求只包含两个元素的最长连续子序列(子数组)

一&#xff0c;题目描述 你正在探访一家农场&#xff0c;农场从左到右种植了一排果树。这些树用一个整数数组 fruits 表示&#xff0c;其中 fruits[i] 是第 i 棵树上的水果 种类 。 你想要尽可能多地收集水果。然而&#xff0c;农场的主人设定了一些严格的规矩&#xff0c;你必…

AOT-GAN-for-Inpainting项目解读|使用AOT-GAN进行图像修复

项目地址&#xff1a; https://github.com/researchmm/AOT-GAN-for-Inpainting 基于pytorch实现 论文地址&#xff1a; https://arxiv.org/abs/2104.01431 开源时间&#xff1a; 2021年 项目简介&#xff1a; AOT-GAN-for-Inpainting是一个开源的图像修复项目&#xff0c;其对 …

蚂蚁爱购--靠谱的SpringBoot项目

简介 这是一个靠谱的SpringBoot项目实战&#xff0c;名字叫蚂蚁爱购。从零开发项目&#xff0c;视频加文档&#xff0c;十天就能学会开发JavaWeb项目。 教程路线是&#xff1a;搭建环境> 安装软件> 创建项目> 添加依赖和配置> 通过表生成代码> 编写Java代码&g…

图像融合论文阅读:CrossFuse: 一种基于交叉注意机制的红外与可见光图像融合方法

article{li2024crossfuse, title{CrossFuse: A novel cross attention mechanism based infrared and visible image fusion approach}, author{Li, Hui and Wu, Xiao-Jun}, journal{Information Fusion}, volume{103}, pages{102147}, year{2024}, publisher{Elsevier} } 论文…

redis stream restTemplate消息监听队列框架搭建

整体思路 1. pom增加redis依赖&#xff1b; 2. 消息监听器&#xff0c;实现StreamListener接口&#xff0c;处理消息到达逻辑&#xff1b; 3. 将消息订阅bean及监听器注册到配置中&#xff1b; 1. pom <?xml version"1.0" encoding"UTF-8"?> <…

Go并发快速入门:Goroutine

Go并发&#xff1a;Goroutine 1.并发基础概念&#xff1a;进程、线程、协程 (1) 进程 可以比作食材加工的一系列动作 进程就是程序在操作系统中的一次执行过程&#xff0c;是由系统进行资源分配和调度的基本单位&#xff0c;进程是一个动态概念&#xff0c;是程序在执行过程…

力扣hot100 路径总和Ⅲ dfs 前缀和 一题双解 超全注释

Problem: 437. 路径总和 III 思路 树的遍历 DFS 一个朴素的做法是搜索以每个节点为根的&#xff08;往下的&#xff09;所有路径&#xff0c;并对路径总和为 targetSumtargetSumtargetSum 的路径进行累加统计。 使用 dfs1 来搜索所有节点&#xff0c;复杂度为 O(n)O(n)O(n)&am…

【hyperledger-fabric】使用couchDB

简介 本文章主要参考来自于官方文档使用CouchDB以及 https://www.bilibili.com/video/BV1Li4y1f7ex/?spm_id_frompageDriver&vd_source2c5f2831e1c63d3a20045b167ae044e6 B站视频&#xff0c;还是非常感谢up主提供了学习的思路。 为什么要使用couchDB&#xff1f; 原文…

Redis:原理速成+项目实战——Redis实战7(优惠券秒杀+细节解决超卖、一人一单问题)

&#x1f468;‍&#x1f393;作者简介&#xff1a;一位大四、研0学生&#xff0c;正在努力准备大四暑假的实习 &#x1f30c;上期文章&#xff1a;Redis&#xff1a;原理速成项目实战——Redis实战6&#xff08;封装缓存工具&#xff08;高级写法&#xff09;&&缓存总…