知识点
1、应急响应-Web入侵指南-分析入口思路
2、应急响应-Web入侵指南-Webshell查杀
3、应急响应-Web入侵指南-流量包捕获解密分析
演示案例-蓝队技能-Web入侵-入口&查杀&攻击链等
1、Web攻击事件
获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)
分析入侵思路:
1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为
5、利用流量捕获设备数据包分析行为
2、Web日志分析
WEB日志如果不知道放哪里都可以百度查
IIS+.net(基于时间节点筛选日志)
通过日志分析猜测攻击者似乎在尝试SQL注入,可以尝试访问攻击者一直访问的地址,发现是一个后台登录,那么能使用POST方式提交的只有登录操作才会使用POST,可以进行抓包测试
Apache+php(基于漏洞筛选日志)
Tomcat+jsp(基于后门查杀筛选日志)
Nginx
3、Web后门查杀
注:关于内存马查杀还需后续讲解
1、阿里伏魔(在线)
https://ti.aliyun.com/#/webshell
2、河马(软件)
https://n.shellpub.com/
3、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
4、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
5、WebShell Detector WebShell扫描检测器
http://www.shelldetector.com/
6、D盾(软件)
http://www.d99net.net
7、各类杀毒
火绒,管家,X60,Defender,Nod32等
4、Web攻击链分析
1、数据包流量特征
2、工具流量特征指纹
了解使用哪种工具或哪种技术、漏洞利用等
因为日志大部分不会存储POST数据包或存储过少,导致无法分析具体行为
主机会采用流量捕获设备或防御检测系统抓到攻击流量包,便于分析具体行为
1、哥斯拉流量包
Tomcat+jsp 攻击者已经通过后台上传war包方式上传了一个哥斯拉shell,蓝队人员如何通过流量分析出shell是哥斯拉的的流量。
2、漏洞利用流量包
shiro反序列化漏洞