赞
踩
保护阶段(护案发现场,断网防止持续渗透,数据备份恢复),分析阶段(找到漏洞),复现阶段(复现攻击过程),修复阶段(修复漏洞),建议阶段(给出安全建议)
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
从表现预估入侵面及权限面进行排查
基于时间 基于操作 基于指纹 基于其他
WEB 漏洞-检查源码类别及漏洞情况
中间件漏洞-检查对应版本及漏洞情况
第三方应用漏洞-检查是否存在漏洞应用
操作系统层面漏洞-检查是否存在系统漏洞
其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
故事回顾:某小企业反映自己的网站出现异常,请求支援
思路:进入网站服务器,通过配置文件找到网站日志目录,打开日志,搜索分析(iis搭建的靶场,但是好像没有加载MDB数据库)
我这里是在虚拟机部署一个iis的服务器,部署方法:IIS之WEB服务器_iisweb服务器
我这里没有视频中老师演示的案例,就不跟着他来了我就演示个类似的,就知道这个思路就可以了,以后遇到就可以参考这个思路进行排除
日志的格式:
- # 访问日期 时间 站点名称 服务器ip 请求方法 uri-资源 uri-查询 服务器端口 用户名 客户端ip 用户代理 协议状态 协议子状态 win32状态
- 2023-04-07 08:48:29 W3SVC1 192.168.1.45 GET /iisstart.htm - 80 - 192.168.1.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/111.0.0.0+Safari/537.36+Edg/111.0.1661.62 200 0 0
- # url改成自己的
- sqlmap -u '192.168.1.45:80'
如果要搜索日志内容直接按ctrl+f或放到其他编辑工具内
故事回顾:某黑X哥哥反映自己的网站出现异常,请求支援
工具下载:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
配置360星图的日志的路径(缺点:只能识别iis,apache,nginx)
点击start.bat运行分析,在result中查看分析结果
其他工具:10个好用的Web日志安全分析工具
其他日志该怎么分析?ELK,Splunk配合使用--ELK,Splunk是蓝队必备工具
因为大型网站的日志非常大,不像自己的网站需要用到大数据进行分析
在现实环境中一个服务器的日志文件会有很多个,有些是一天一个有些是一周一个,我们分析日志的时候不可能一个一个的打开查看,所以需要用工具辅助我们分析。
如:客户说2023/4/8发现自己的服务器被攻击了,我们就先查看这个日志文件分析攻击者的ip,然后再根据ip搜索全部文件(因为别人可能很久之前就进行攻击过了,只是今天才被发现)
因为我没有视频中的日志文件所以就随便找两个日志文件演示一下操作,思路都是一样的。
工具下载链接跟刚才的一样:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
包含文件中的: *.* # 意思是匹配所有的文件名与后缀名,这个可以改,比如:*.txt 就是匹配所有文件后缀名为.txt的文件
下面是我刚才使用360星图对日志文件进行分析的报告图,发现有人上传了一些后门文件然后访问了如:shellz.php、php-findsock-shell.php
我们就可以搜索这些后门文件
比如:视频中老师演示的案例是个真实的java项目的案例,后门文件名是caiyun.jsp(“彩云”的拼音),然后他就加入了很多这个中渗透技术交流群他就直接搜索这个名字,还真匹配上了,很可能就是攻击者(这种就是通过社工查询)
我们还是可以根据这些日志信息进行漏洞修复,如:他是通过先上传木马文件进行攻击的那就说明网站存在文件上传漏洞,是通过sql进行攻击的那就说明存在sql注入漏洞
最后再提一句:在渗透测试时一般都是要提前进行信息收集具体如下图:
https://wangzhan.qianxin.com/activity/xingtu
10个好用的Web日志安全分析工具
10款常见的Webshell检测工具
https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。