73应急响应-Web分析php&javaWeb&自动化工具

最新推荐文章于 2024-06-18 14:40:57 发布
最新推荐文章于 2024-06-18 14:40:57 发布
阅读量600 收藏 5
点赞数 9
分类专栏: web安全学习笔记 文章标签: 自动化 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/san3144393495/article/details/135371302
版权

我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章

应急响应笔记就开始比较潦草

应急响应基础知识

应急响应流程

保护阶段(断网,避免继续渗透;备份),分析阶段(分析攻击行为,找对应漏洞),复现阶段,修复阶段(防止再次攻击),建议阶段(写报告)

目的;分析出攻击事件,攻击操作,攻击后果,安全修复冰给出合理解决方案

必备知识点;1.熟悉常见web攻击手段,2.熟悉相关日志以及存储查看等(网上搜索默认日志位置一些资料等等),3.熟悉日志记录的数据以及分析

准备工作(在现场)

1.收集目标服务器各类信息(操作系统等等),2.部署相关分析软件机平台等(),3.整理相关安全渗透攻击指纹库(黑客攻击特征库),4.真对异常表现第一时间出发思路(攻击者的思路),

从表现预估入侵面及权限面进行排查

有明确的信息表明网站被入侵

基于时间,基于操作(例如数据库被更改),基于指纹(通过指纹发现攻击软件),基于其他

无明确入侵的信息

1.web漏洞-检测源码类别及漏洞情况

2.中间件漏洞-检查对应版本及漏洞情况

3.第三方应用漏洞-检测是否存在漏洞利用

4.操作系统层面漏洞-检查是否存在系统漏洞

5.其他安全问题(若口令,网站源码自带后门等)-检查相关应用口令及后门扫描

案例一Windows+IIS+Sql-日志,搜索 

iis有图形化,牛逼

iis日志在哪,怎么看,直接网上搜,直接秒

如果站长没有开日志,当我没说

日志默认记录这些信息,打开日志文件,就算没有学过,也能看一个大概出来

一看我日志被各种攻击,前面记录的攻击者ip,时间,url请求体啊,攻击者浏览器信息啊,操作系统啊,可能还要利用什么软件,响应体等等

指纹还有可能是百度或者谷歌,这种就可能是爬虫

Linux+BT_Nginx+tp5-日志,后门

故事回顾:某黑产哥哥反应自己的网站出现异常,请求支援

信息收集:

来到宝塔界面,选“网站”,点击网站的根目录,从网站的根目录找到nginx的安装目录(直接搜nginx也行)

来到“conf”文件夹下,找到“nginx.conf”,打开后找到access_log的目录

然后,看看配置文件里面也没有日志文件的信息,直接页面搜关键字log也可以试试

然后来到和他同一个目录下

然后就找到了和被入侵网站一样的log文件,肯定就是被入侵网站的日志了

发现大量HEAD请求,请求各种压缩文件,显然是扫描网站文件;

发现包含“phpinfo”“shell.php”的数据包;发现指纹“antSword/v2.1 ”,根据该记录发现有攻击者使用蚁剑连接x.php

根据连接之前的攻击数据包,分析攻击者可能攻击的TP5版本的漏洞

然后就可以自己进行一个来到复现过程,自己尝试访问

在宝塔的文件目录界面,对应文件夹右侧选择“目录查杀”,启动宝塔自带的木马查杀工具,在“安全”页面查看结果。可以把扫描出来的木马带回日志中查找 

    360星图,官方都停更了,感觉学的必要不大

 Linux+Javaweb+st2-日志,后门,时间 

打开日志文件

着重看这两个文件

post,不正常请求啊,谁家好人在都是get请求的对方,提交数据啊,ip也是公网ip

定位一下这个ip

只有post请求三次,接下来该怎么办,他有请求的东西,他之前就已经干了坏事了,看之前的日式文件,

在实战中,日志每天都会产生,黑客很可能不是只在一天攻击,前期很可能进行踩点,因此分析多天的日志很有必要。这里采用FileSeek文件搜索工具 

搜索完了,这个ip这个日志文件夹里面只出现过三次,思路断了,继续看日志文件

nmap,搜nmap的ip

也是只在这一个日志出现过,但是一开始找我们的时候就给了我们信息,给了后门文件,再去查看后门文件,直接搜索后门文件的名字

然后再根据这个ip去搜索

这文件就多了,但是这个网站并没有上传点,猜测可能是写入的,所以就是命令执行,

然后就根据特定的后门代码搜索试试,复制这个pwd,在java会调用java库尝试写入,所有格式都搜索一下,

下面的txt文件都是名字的名字,只有最上面的log文件命中的内容,下面没什么作用,看命中内容的,

找到了,这个数据包就是攻击的数据包,

然后根据上面的请求时间,在看日志post请求时间。

就是这个人写入的文件,确定攻击ip,拉黑,然后还可以去你的圈子群啥的搜搜他,再查查ip地址,问问那个名字一样的网友家是那里的,如果对上了,

其他工具推荐:ELK、Splunk(两者为蓝队必备)

10个好用的Web日志安全分析工具:https://www.cnblogs.com/xiaozi/p/13198071.html

10款常见的Webshell检测工具:https://www.cnblogs.com/xiaozi/p/12679777.html

应急响应资料工具:https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao 

ping

an

上线之叁
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应---WEB分析 php&javaweb&自动化工具
qi_SJQ_的博客
02-18 555
一、应急响应流程 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
应急响应-WEB分析php&javaweb&自动化工具
xhscxj的博客
03-25 1814
#应急响应: 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。 #必备知识点: 1.熟悉常见的 WEB 安全攻击技术 2.熟悉相关日志启用及存储查看等 3.熟悉日志中记录数据分类及分析等 #准备工作: 1.收集目标服务器各类信息 2.部署相关分析软件及平台等 3.整理相关安全渗透工具指纹库 4.针对异常表现第一时间触发思路 从表现预估入侵面及权限面进行排查 #有明确信息网站被入侵: 基于时间 基于操作 基于指纹 基于其他 #.
73 应急响应-WEB分析php&javaweb&自动化工具
山兔的博客
10-24 209
客户告诉你很明确的东西,你是什么时间开始出现异常,他有这种明确的信息给到你的时候,这个时候,你就能够根据以下方法,可以基于时间作为一个条件,筛选攻击者从那里开始搞,这样子,我去分析日志的时候,就不用去看一些垃圾的日志,有很多日志,肯定是垃圾的,一些正常访问,不是攻击者访问,所以我们可以根据时间进行筛选。你只知道被入侵了,但是我们不知道他干了什么,或者是有什么危害都没有反应,就说是异常,这种情况就是没有什么信息,没有告诉你入侵的时间,有没有告诉你做了什么事情,这个时候,我们就需要排查,排查问题就大了。
p73 应急响应-WEB 分析 php&javaweb&自动化工具
weixin_43263566的博客
04-09 441
p73 应急响应-WEB 分析 php&javaweb&自动化工具
73天-应急响应-WEB 分析 php&javaweb&自动化
MCTSOG的博客
04-28 1084
思维导图 知识点 应急响应: 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。 必备知识点: 1.熟悉常见的 WEB 安全攻击技术 2.熟悉相关日志启用及存储查看等 3.熟悉日志中记录数据分类及分析等 准备工作: 1.收集目标服务器各类信息 2.部署相关分析软件及平台等 3.整理相关安全渗透工具指纹库 4.针对异常表现第一时间触发思路 从表现预估入侵面及权限面进行排查 有明确信息网站被入侵: 基于时间 基于操作 基于指纹 基于其他
【代码审计-JAVA】基于javaweb框架开发的
12-10 4647
【代码审计-JAVA】javaweb审计基础
小迪渗透&应急响应(拾)
weixin_41665162的博客
09-04 1094
73. WEB分析php&javaweb自动化工具73-75) 应急响应: 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。 必备知识点: 1.熟悉常见的 WEB 安全攻击技术 2.熟悉相关日志启用及存储查看等 3.熟悉日志中记录数据分类及分析等 准备工作: 1.收集目标服务器各类信息 2.部署相关分析软件及平台等 3.整理相关安全渗透工具指纹库 4.针对异常表现第一时间触发思路 从表现预估入侵面及权限面进行排查 有明确信
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
baimao__Ch的博客
06-11 390
中间件及框架列表:等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask4、开发框架-Javascript-Node.js-JQuery常见语言开发框架:PHP:Thinkphp Laravel YII CodeIgniter CakePHP Zend 等JAVA:Spring MyBatis Hibernate Struts2 Springboot 等。
应急响应“小迪安全课堂笔记”web,系统,数据库三方应用
weixin_42902126的博客
05-06 2108
应急响应应急响应初识WEB 攻击应急响应朔源-后门,日志WIN 系统攻击应急响应朔源-后门,日志,流量应急响应-WEB 分析 php&javaweb&自动化工具应急响应流程必备知识点准备工作从表现预估入侵面及权限面进行排查有明确信息网站被入侵无明确信息网站被入侵常见分析方法:Windows+IIS+Sql-日志,搜索Linux+BT_Nginx+tp5-日志,后门Linux+Javaweb+st2-日志,后门,时间360 星图日志自动分析工具-演示,展望应急响应-win&linux系
day08-HTTP&Tomcat&Servlet
10-28
JavaWeb 是用 Java 技术来解决相关 web 互联网领域的技术栈。它包括 B/S 架构、静态资源、动态资源、数据库、HTTP 协议、Web 服务器等几个方面。 一、B/S 架构 B/S 架构是 Browser/Server 架构模式,它的特点是...
JavaWeb新版教程-配套课件笔记代码-05-XML & Tomcat.zip
05-18
JavaWeb新版教程-配套课件笔记代码-05-XML & Tomcat.zip
java-web-blog.zip_javaweb_javaweb博客_博客web
09-20
基于javaweb的博客系统,适合学习,多学习学习,对以后工作有所帮助
养殖自动化报警系统:利用现代技术提升养殖业的监控与管理
郑州科煊
06-17 279
随着技术的不断进步,养殖自动化报警系统将继续优化,为养殖者带来更多便利,推动整个行业向智能化、精准化发展。养殖业面临的挑战日益增多,如气候变化、疾病爆发、设备故障等,这些都可能给养殖生物的健康和生产效率带来严重威胁。一个可靠的自动化报警系统能够实时监测养殖场内的关键参数,如温度、湿度、水质和气体浓度,及时发现问题并发出警报,从而降低风险,提高生产效率。随着科技的飞速发展,养殖自动化报警系统已经成为现代养殖业不可或缺的一部分。本文将探讨养殖自动化报警系统的重要性,并详细介绍其关键技术和应用场景。
LLM自动化对齐技术
智享与潜沉
06-12 693
近年来,大语言模型(LLMs)的快速发展,极大地重塑了人工智能的格局。一致性是塑造与人类意图和价值观相对应的LLMs行为的核心,例如,教导LLMs遵循响应过程中“有帮助(Helpful)、无害(Harmless)和诚实 (Honest)”的原则(称为“3H原则”)。因此,为了满足人类的需求,LLMs必须“与人类对齐(Alignment)”,这也使得RLHF成为LLM的热点研究方向。
TIA Portal 博途西门子自动化编程软件下载安装,TIA Portal 提高生产效率!
Chen070707的博客
06-16 171
同时,TIA Portal还提供了丰富的库函数和模板,大大简化了工程师们的工作流程,提高了工作效率。在TIA Portal的强大支持下,工程师们可以轻松实现PLC(可编程逻辑控制器)的编程工作,无论是逻辑控制、数据处理还是通信协议,都能得心应手。同时,HMI(人机界面)编程功能让用户能够打造出直观、易用的操作界面,使操作人员能够迅速上手,提高生产效率。驱动编程功能则是TIA Portal的又一亮点,它支持各种驱动器的编程和配置,使设备能够精准地执行各种运动控制任务。
RPA助力企业办公流程自动化:真实应用案例展示
最新发布
weixin_58820787的博客
06-18 253
通过实施RPA,企业可以释放员工的潜力,提高运营效率,降低成本,并为客户提供更优质的服务。
python API自动化(接口自动化简单封装与Logging应用)
m0_63475519的博客
06-11 971
把常用的服务IP、端口(环境变量)、公共参数等,统一定义到全局常量里,方便维护修改1. 新建一个py文件,专门用来存放常量,一般常量的命名都是大写;2. 对应的文件导入这个模块,即可使用创建一个confic文件夹# 配置常量的文件# 环境变量# 正式环境# 测试环境# 测试账号。
适合JavaWeb项目的自动化软件部署工具
04-01
3. CircleCI:CircleCI是另一款基于云的持续集成工具,它提供了易于使用的Web界面和丰富的插件,可以支持JavaWeb项目的自动化构建和部署。 4. Ansible:Ansible是一款自动化部署工具,它可以使用SSH协议对JavaWeb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值