蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

知识点

1、应急响应-Web入侵指南-分析入口思路
2、应急响应-Web入侵指南-Webshell查杀
3、应急响应-Web入侵指南-流量包捕获解密分析

演示案例-蓝队技能-Web入侵-入口&查杀&攻击链等

1、Web攻击事件

获取当前WEB环境的组成架构（脚本，数据库，中间件，系统等）
分析入侵思路：
1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为
5、利用流量捕获设备数据包分析行为

2、Web日志分析

WEB日志如果不知道放哪里都可以百度查

IIS+.net（基于时间节点筛选日志）

通过日志分析猜测攻击者似乎在尝试SQL注入，可以尝试访问攻击者一直访问的地址，发现是一个后台登录，那么能使用POST方式提交的只有登录操作才会使用POST，可以进行抓包测试

Apache+php（基于漏洞筛选日志）

Tomcat+jsp（基于后门查杀筛选日志）

Nginx

3、Web后门查杀

注：关于内存马查杀还需后续讲解

1、阿里伏魔(在线)
https://ti.aliyun.com/#/webshell
2、河马(软件)
https://n.shellpub.com/
3、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
4、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
5、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
6、D盾(软件)
http://www.d99net.net
7、各类杀毒
火绒，管家，X60，Defender，Nod32等

4、Web攻击链分析

1、数据包流量特征
2、工具流量特征指纹

了解使用哪种工具或哪种技术、漏洞利用等
因为日志大部分不会存储POST数据包或存储过少，导致无法分析具体行为
主机会采用流量捕获设备或防御检测系统抓到攻击流量包，便于分析具体行为

1、哥斯拉流量包

Tomcat+jsp 攻击者已经通过后台上传war包方式上传了一个哥斯拉shell，蓝队人员如何通过流量分析出shell是哥斯拉的的流量。

2、漏洞利用流量包

shiro反序列化漏洞