应急响应三 - 数据库&漏洞口令检索&应急取证箱
基础知识
1、第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。
2、排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 。
3、由于工具和脚本更新迭代快、分类复杂,需打造自己的工具箱。
win日志分析神器 - LogonTracer
LogonTracer安装Linux(centos)版本流程:
neo4j依赖安装:
git clone https://github.com/neo4j/neo4j
tar -zvxf neo4j-community-4.2.1-unix.tar
安装java11环境:
sudo yum install java-11-openjdk -y
修改neo4j配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
阿里云服务器记得安全组开放对应端口
开启neo4j:
./bin/neo4j console &
下载Logontracer并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
启动Logontracer并导入日志分析文件:
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xxxxx -s ip地址
使用命令上传日志文件:
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xxxxx -s 127.0.0.1
neo4j 安装完成后 修改 neo4j 配置(vi conf/neo4j.conf)保证外部访问(注意阿里云开启端口):
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
安装完成后启动neo4j:./bin/neo4j console &
访问IP:7474
第一次连接后需要重置账户和密码
neo4j启动后,在服务器上开一个终端,下载 LogonTracer 并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
如果报错的话更新一下镜像源:
apt install update
pip3报错的话换其它的镜像更新pip ,或者更换pip3源
pip3 install --updata
启动 LogonTracer 并导入日志文件分析:
启动命令:
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xxxxx -s ip地址
往下滑这里网页有一个Upload event log可以上传日志文件。
可以通过网页的形式上传,也可以通过命令的形式上传.。
导入日志文件之后刷新网页即可查看到日志分析结果。
数据库日志分析。
常见的数据库攻击包括弱口令、SQL 注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。(例如修改游戏的数据库获取金币等等)
数据库日志在conf配置文件中找,在应用中数据库的日志文件是相当重要的,可以通过日志文件做主从复制,灾难恢复,在获取数据库日志一定要小心操作。
分析数据库日志一般看有没有大量登录操作,如出现大量 Access denied, 看是否有异常语句如语句中出现/** **/ 报错注入的extractvalue函数,len sleep 函数等。
模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
场景:攻击者将网站、中间件、数据库、操作系统的日志删除
1.日志被删除或没价值信息
2.没有思路进行分析可以采用模拟渗透
windows,linux 系统漏洞自查
自查工具WindowsVulnScan(需要Python3环境)
WindowsVulnScan下载与使用https://github.com/chroblert/WindowsVulnScan
利用WindowsVulnScan工具查看操作系统打的补丁,以及存在可进行漏洞利用的公开EXP漏洞,根据漏洞详情去分析,哪种漏洞可能。
自查工具linux-exploit-suggester
linux-exploit-suggester下载与使用: https://github.com/mzet-/linux-exploit-suggester
也可以通过neuss进行系统漏洞扫描
windows,linux 服务漏洞自查:
查看系统安装了那些三方服务:
windows(powershll命令):Get-WmiObject -class Win32_Product 。
linux:./LinEnum.sh
利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索
系统漏洞分析完了,在分析一些三方服务漏洞,借助searchsploit工具分析非常方便,该工具漏洞库来源于该漏洞库数据源于:https://www.exploit-db.com/。
searchsploit下载与使用:https://github.com/offensive-security/exploitdb
使用演示:
搜索关于weblogic 的漏洞:searchsploit redis
自动化 ir-rescue 应急响应取证工具箱
下载地址:https://github.com/diogo-fernan/ir-rescue
这是一个应急响应的工具箱,配备了许多应急响应的工具 ,作用是把常用的应急响应工具集合在一起,使用的时候只需要运行一下这个BAT脚本,它会自动帮我们去下载这些工具。
update.bat就是更新工具箱的工具
如果自己需要哪些工具,也可以在里面修改,实现工具下载的自动化
—分析脚本工具原理,尝试自己进行编写修改,打造自工具箱