72 内网安全-域横向CS&MSF联动及应急响应初识

目录

• * 演示案例:
  

  •   * MSF&CobaltStrike联动Shell
    

    • WEB攻击应急响应朔源-后门,日志
    • WIN系统攻击应急响应朔源-后门,日志,流量
    • 临时给大家看看学的好的怎么干对应CTF比赛
  • 涉及资源

权限维持留到后面在补充，先把后面的知识点给大家讲起来，因为权限维持它是我们前期如果拿到权限之后，能做的事情，前期没有拿到权限的话，这个东西是个多余的技术，所以我们还是比较偏向于攻击方面，像权限维持是为了自身知识的全面性才讲的
CS和msf的联动，这个是非常必要的操作，所以单独把它讲一下

演示案例:

MSF&CobaltStrike联动Shell

cs和msf经常会相互调用，有些功能可能cs强大一些，有些MSF强大一些，所以我们在渗透测试的时候，经常要把这个东西进行切换，所以这个联动操作是必须要的
这边是模拟域里面主机上线，从这边执行木马，然后上线到cs，从cs把会话移交到msf上面，等一下再从msf的会话，再把它移交到cs，就是相互移交
powershell的移交就不讲了，因为powershell跟不上cs和msf的，总的来说powershell的用处不是很大，因为powershell网上有些渗透框架empire，很多都是真实环境下面，有些powershell的默认执行策略是关闭的，所以你要执行powershell脚本需要一些前提条件的，总的来说有点小鸡肋
CS -> MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器 -> MSF载入新模块注入设置对应地址端口->执行cs等待上线

use exploit/windows/local/payload_inject

先把cs的团队服务器给起来

让目标服务器上线

启动msf，我们自己操作的时候，可以在外网服务器上面同时部署cs和msf，或者把他们单独放一个服务器也可以

在cs上创建个会话出来，因为是cs移交到msf，选择的payload是 foreign HTTP或HTTPS，host主机地址就给到msf的IP地址上面

然后就生成监听器

之前生成木马保留的是beacon，然后你现在要反弹到msf，就选择foreign
msf设置监听模式，0.0.0.0就是监听任意的，然后这里端口要保持一致

我们想反弹谁，想把shell返回给谁，就点击那个

spawn相当于权限委派的意思，选择这个刚才生成反弹的点，对应的4444端口这里

选中之后，稍等一下它的反弹结果，如果这里没有反弹结果，那就是网络的原因，如果你使用阿里云，那就会有端口上的问题
你要在你搭建的服务器那边，把这个6677端口要把它开放


我们现在把msf的权限给还回去，windows当地的载入模块

WEB攻击应急响应朔源-后门,日志

突然出现大量数据包，通过流量工具或者你服务器厂商安装一些设备，报了一些相关安全提示和安全警告，
第三方一般是软件问题，上面大部分是被入侵了
网站被篡改，我们首先想到的是网站被入侵，我们知道在我们常规的渗透过程来讲，网站被入侵和服务器被入侵是两个概念，按原理来讲，两个都有可能，它可能入侵服务器再去修改网络环境，也可能入侵网站修改网站环境，其中网站被入侵的可能性大一些

文件丢失，文件是在web服务器上面，还是文件有没有权限的操作，因为我们知道网站即使被拿下，除去一些特殊的jsp脚本网站，java网站，它网站被拿下可能获取系统权限，其它像php或者asp、python脚本web框架文件的网站，那么它的web权限被丢失，被人植入webshell的话，也不大可能或造成文件的一些泄露或丢失，我们说的文件指的是服务器上面的重要文件，这重要文件只要不是管理员乱搞，这个文件权限一般是能够修改、能够删除，一些系统权限一般是管理员才能操作的，所以你要去分析文件的操作权限，它是属于webshell用户权限能够操作的，还是说属于管理员的用户能够操作的，这是非常重要的，因为从这里能够判断攻击者取得的权限大小，这样子也便于你去分析它的攻击行为，从而找到漏洞修复漏洞

我们在做应急响应的时候，更重要的是，我们要站在攻击者角度去看待这个问题，之前我们学到一些相关知识点，权限、攻击过程来去分析，你要想到这个攻击者，当前能得到那些东西，那么你就知道从那方面去入手，如果是得到网站权限，那肯定从网站入手，得到系统权限的话，那有可能从系统漏洞得到的，这个也是有概率的，那么分析攻击过程，你就知道，它的漏洞会产生在那里

第二点是要信息收集，这个收集就是当时你第一个到达现场，因为应急响应大部分都会在现场，然后有可能会远程连接服务器，在服务器上面采集数据，然后去分析，记录情况，这种不管是那一种都可以，然后我们针对的大部分是linux和windows，也有个人的mac服务器，操作系统无所谓，只要我们会操作就行，我们要收集网络架构、端口上面有那些服务、操作系统版本、有没有一些第三方软件，上面有没有装杀毒软件，这些都是要注意的，因为这些信息能让你从攻击者角度思考这个东西好不好攻击，难度大不大，你自己就会用你渗透者的思路去思考，换做是你，你会怎么去攻击它，环境给到你，你就能站在攻击者角度去思考这个问题，那么你分析的第一反应，那就是相当正确的一个地方，如果上面没有网站，就是些其它服务，那这里你就能直接排除网站攻击，所以信息收集是为你后期怎么去分析它的时候做好的一个铺垫

网站攻击是首要其冲的，第二点是第三方自己在上面选中的平台软件的东西，有些人可能在服务器上面部署一些协议、相关的软件这些东西在上面，方便自己的一些想法，比如说它安装了一些远程连接软件，便于自己远程管理git服务器，安装了一些HTTP的东西，安装数据库的东西，各种各样的一大堆，都属于第三方，就是不是系统自带的，都属于第三方

因为在前期的渗透测试过程中讲过第三方软件也会出现漏洞，包括像web层面的，java里面的jboss、weblogic等等，各种各样的平台，都有漏洞，这些都是可以存在攻击的面，网站漏洞一大堆，像sql注入，有些搭建平台可能有漏洞、网站CC攻击，操作系统也会出现漏洞，攻击者进行权限提升的时候，可以借助操作系统漏洞，内网渗透可以借助操作系统的弱口令，也比较方便，远程漏洞直接秒杀，只是这种可能性比较小，攻击者会从多方向攻击它，应急响应这个知识点你能学好，在于你对攻击相当熟悉，你攻击熟悉，学应急响应只是知识的积累，只是思路的开拓，或者一些优秀软件的接触，你就能学会应急响应，学不好的原因就是因为你前期攻击方向的思路没有

应急响应很简单，就是攻击，你只要把攻击思路理清楚就行，学不好就是前期攻击没学好，不是说这个知识点难，网上给的资料都是自己的思路，你可以在学完之后，自己去整理一下，形成自己的思路

根据客户给到你的相关信息，他这个东西上面有什么异常，按照他给到你的信息你去思考，如何分析会好一点，有基于日志分析、后门分析、流量分析，另外还有借助软件脚本自动化分析，还有就是模拟渗透分析，就是让你自己作为攻击者，你怎么去渗透

修复无非就是打补丁，有代码的地方就加验证代码，调用网站漏洞的地方就打网上的补丁，装防护软件、杀毒软件，装一些入侵检测系统，IDS等等，这个就是属于相关安全运维的知识点，这个是属于蓝队方向的知识

我用的都是windows系统，后面会把windows、linux关于网站和系统还有各方面的攻击，他的还原过程会给大家讲到

故事回顾: 某客户反应自己的网站首页出现被篡改，请求支援
分析: 涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
思路1: 利用日志定位修改时间基数，将前时间进行攻击分析，后时间进行操作分析
思路2: 利用后门webshell查杀脚本或工具找到对应后门文件，定位第一次时间分析

第一反应是网站被入侵了，定位也告诉我们了，是首页，他没告诉我们也不要紧，很简单你对比一下修改时间，你就知道是那个文件被修改了，我们根据网站源码的修改时间对比就行了，但是我，大部分会从网站入手，因为他是网站出了问题，不是服务器权限没有被拿到，网站权限被拿到了，第二种情况后台也被拿了，也可能只是后台权限被拿了，因为我们知道网站后台有些功能能够操作网站目录，有些网站后台提供了文件管理

我们说的权限提升有的只是拿到后台权限，但是后台权限里面功能太多，所以它跟web权限也差不多，这是个很特别的事情，大家要注意对待一下，所以这个被修改，也不排除只是拿到网站后台，具体要看网站后台的功能，再去判断

做应急响应不仅是修复漏洞，堵上漏洞，更重要的是和客户分析谁在攻击你，这人是干吗，一般攻击意图可以从修改的东西、代码这方面去判断，你像这个网站经常被攻击、经常被篡改，原因要么是流量劫持，要么向我们之前网站说的黑客做网站的优化，要么是为了装一下逼，写个txt上去

分析完之后，给出攻击者的完整攻击方式，他是怎么进来的
用日志找到文件被修改的时间，因为攻击是有个阶段的，首先不可能直接后门连进来，后门肯定是它上传进来的，通过漏洞上传进来的，所以它会有个前期过程，修改之前，可能刚刚连后门，可能刚在找漏洞，后时间说明他已经连进来了，他已经得到了

查看一下当前的端口和服务

查看一下进程

找到对应httpd.exe的索引文件，apache里面有日志记录，你分析网站肯定会有平台，tomcat、jboss，很多中间件，那么每个会单独配置日志记录，这个日志记录会有单独路径，如果默认路径不知道，网站上查资料

找到日志记录，会发现这里有莫名文件，x的文件名就很特殊

因为常见文件名肯定不是x.php，对应找到网站目录，然后打开看一下

日志记录其实可以记录很全的东西的，这个需要你在配置上面设置一下，可以记录对方访问浏览器信息，浏览器信息可以分辨出对方是电脑访问还是手机访问，因为操作系统不一样，浏览器信息也不一样，甚至每个浏览器的版本也不一样，也能分辨出对方是什么浏览器，都可以溯源到，这post数据，我们在设置下日志记录里面的功能的话，把post数据找到，我现在只是做演示，所以我都没有设置

我们看一下首页被修改时间，找一下这个时间段的，根据这个日志的时间段往上翻
我们单独做一个应急的话，这个日志全的话，表示你的机会会越大，你基于木马连接的时间和文件被修改的时间，你一对比，前面是攻击的时候，后面是攻击完的时候，由于他攻击是采用蚁剑连接的，每个工具都有指纹信息，就是UA头，如果他不修改的话，这个蚁剑连接的话，自带蚁剑的名字，从日志这里，我们就能知道，正常来讲这个功能是有的，我这里是没有开

通过浏览器信息版本，我们就能看到，他正在连接我的后门，而且后门工具采用的是蚁剑，因为有些特殊工具的特征，这也是蓝队的一些技术，在蓝队里面经常用工具进行监听，有一部分就是基于工具的特征、指纹来判定你采用的是什么工具、什么攻击行为

因为他要修改的话，攻击者大部分都会留后门，后门你就利用网站webshell查询脚本

确定x.php是后门，这个时候可以在日志里面搜索，关于x.php，谁访问了他，谁就是攻击者
这里涉及到很多知识点，第一个关于日志怎么启用，怎么找，日志的配置也很多，都是属于运维方面的知识点，我们多多少少会给大家讲一些，直接找这种可疑文件，然后通过可疑文件来判定，他是什么时间段入侵的，他在入侵之后又干了什么，根据前后的时间进行判断

WIN系统攻击应急响应朔源-后门,日志,流量

分析: 涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
故事回顾: 某客户反应服务器异常出现卡顿等情况，请求支援
思路: 利用监控工具分析可疑进程，利用杀毒软件分析可疑文件，利用接口工具抓流量
获取进行监控: PCHunter64
获取执行列表: UserAssistView
AppCompatCacheParser.exe --csv c:\temp -t

他这个反应就是大部分不懂的，技术部很专业，他不知道什么鬼情况，只是说服务器感觉不正常，很卡，那这种异常是有很多原因造成的，也可能是自己的服务器没有被攻击，但是他一些软件上有后门，也可能是他乱七八糟下了一些软件，软件占用了CPU，所以排查的话，要花很多时间，现在我们就把他认定为后门攻击，就是上面可能有些后门，因为后门连上去，后门会占用进程，而且后门的攻击者可能会时常的连接这台服务器，在上面看一下、搞一下，所以就会占用资源，那么就会出现卡，因为每个服务器不像我们个人电脑，有些服务器配置比较差，都在上面玩，肯定卡

一般获取到权限之后，比如说是植入后门，还是说上面出现恶意软件，像我们说的勒索病毒、恶意病毒、后门木马，各种各样都会造成这种现象，我们就进行分析

这个工具可以检测当前进程，进程标位蓝色的，表示是系统外的进程，就是这个进程不是系统自带的，就是属于第三方，包括木马病毒，因为木马病毒大部分是上传上去执行的，这个执行的后门木马是上传上去的，不可能说是在你电脑上面本来就有，除非他劫持了

但是这个工具能识别出来，有那几个不一样，帮我们分析，通过可以查看这个文件的厂商服务器信息，当然这里也不排除一些高级信息，免杀性木马，因为免杀性木马为了免杀，它会对这个文件产生编辑，表示这个文件伪装成360的，或腾讯的，这种也会误导，如果简易生成木马，他肯定就不会注意

木马归属公司的一些东西，然后你在这里可以看一下他的名字，这个文件的所属路径
这两个文件说明都没有，但你不能用这个来判定，这个一看就有问题，正规的文件，一般你在网站下的软件，都会有版权，会写文件产商

这个时候你找到这个文件之后你还不能确定，还有一个方法就是这个文件正在执行，那么正在执行，表示说我们就能确定，这个木马病毒他们在被执行之后，怎么确定这是不是木马病毒，第一个就是看他在干嘛，执行完之后，这个东西有什么影响，在系统里面干嘛；第二点就是看他有没有向外部连接，你木马病毒要控制你的服务器，它必定会建立网络连接，不然别人怎么控制这台服务器，所以先从第一点，我们看看网络连接，点网络，我们就找找之前的进程，看一下这里远不远


木马伪装成系统正常的文件进程也是可以的
这里明显一看这个文件绝对有问题，因为这里一直在进行连接，然后这还是外部的，那这里肯定有问题

然后这里还能用这些功能，分析到内核里面去
很多的一些相关功能，然后这里还能看一下启动信息，启动信息就是对方有没有把木马写到你启动信息下面，又或者是权限维持技术的一种方式，把木马写进去，每次启动，就会加载，木马每次都会调用![在这里插入图片描述](https://img-
blog.csdnimg.cn/ffc58c4c52b14132a2c39bbfcafa0173.png)
在看看有没有写到驱动里面去

这是它加载的模块，这里主要是文件分析的时候，配合逆向、反编译破解的知识点，来分析这个文件是后门还是勒索病毒

火绒剑比这个更好
我们要一份完整的分析报告，需要把对方攻击者从什么时候干，或者说从什么时候进来，什么时候在干嘛，什么时候在搞什么事情，这些都要分析很清楚，然后这就是很完整的报告，我知道这个是木马文件，你还可以对这个木马文件进行定位，就像日志分析一样，你要知道这个文件什么时候被执行，就是这个文件进程是已经有了，我们就要分析这个文件什么时候执行了，你想想这是可以在日志里面分析到，但是这个日志比较复杂，你都不知道那个是对应的文件执行，而且事件编号都不一样

他直接将你这个电脑上面执行过的所有文件全部有记录

是不是就能分析得到攻击者在这个时间点，可能做了什么事情，那么你配合日志去找这个时间前后的，就可以认定为攻击前攻击后

他能够方便你去分析，这台计算机，曾经发生了什么事情，因为他竟然用后门去控制病毒，大部分都是可执行文件，可执行文件几乎都在这里，你排除一些正常的，其它的就是不正常的，不正常的要么是木马，要么是一些乱七八糟的，在配合杀毒软件或者网上的在线杀毒平台，把他上传上去都一样的

即使碰到了免杀也不要紧，只是说当时在检测的时候，是可疑文件，不确定的，但是大部分免杀，你放到杀毒网，它免杀只是说会免杀部分，它不可能全部免杀，它免杀肯定是有针对的，国内的话，是360、腾讯管家这种的，那如果说是其它的可能没有了

我们是用PCHunter64找到可疑文件，如果找不到的话，就是UserAssistView上面，看最近几天的，因为攻击不可能是很早之前的，一般都是最近才发生的，那些是正常的，那些是异常的，把它找出来，通过在线杀毒网平台去分析，那如果不是免杀的，直接放上去，就干出杀毒软件，报警，那这明显就有问题了

直接把这个文件执行，放在我们的虚拟机上面去杀，看它有没有外部连接，有外部连接基本上就能确定，要么确定它有没有毒，要么确定它有没有在外面乱搞，都是可以通过这些技巧分析到的文件，是否成功返回

我们后面学的，第一个是要把运维技巧学到，因为合格的应急响应分析员，它必定是个运维，有些日志开启，日志的储存还是需要了解，因为很多情况下，我们要分析出日志，日志是最常见的，要从日志里面找到攻击的行踪，还有一种是后门分析，各种杀毒软件的应用，我们都要会，平台的、流量分析，就是抓流量，还有各种各样的东西，因为很多攻击会产生在路由机和交换器上面，都有可能

临时给大家看看学的好的怎么干对应CTF比赛

打开就是一个空白，而他也是简单题目，要么是扫描文件，要么是看源代码，我们总要找个事情做，肯定是看源代码

?url= 这个信息给到我，我觉得url后面肯定是加上网站地址，我们想想那些参数有这些操作，SSRF、文件包含，像这些漏洞都有类似参数，我们试一下

url重定向也可以，说明他可以远程请求和本地请求

访问它本地，多了一个就表示它请求了

这个时候，我就想http什么都没有探针到，我们可以试一下端口，试了一下都没有，因为这个php是有协议的，我们选择file协议，提前判断一下这个网站是什么操作系统，数据包抓取判断、大小写判断都可以


www-data是网站用户的权限，对应目录是/var/www/，我们测试一下后台使用的是什么脚本语言，我们可以抓包看一下脚本，也可以胡乱试一试
这里写不写index.php是一样的，因为网站默认会加

这个是规矩目录


绕过flag的判断，就能拿到flag的值，因为url参数值里面有flag，所以我们要把这个值用刚才过滤的写法去写，就能得到flag的值

打开一个新的题目看看，看名字ezsql，网上搜，网上也是个好地方

很多东西，我们要灵活的去，不要说这个难，网上你做的题目多，你也能解决，多关点心，这些问题也能解决，包括那个签到题，那个代码都可以去网上搜的

CTF的题目基本上每次比赛都会跟之前比过赛的题目类似的，绝不可能是全新的，因为它搞了更新颖的，有人就会做不出来，就会被说出题人没有水平，它肯定会借鉴前人的出题，在上面多一层过滤，改编一下，题目做的多，看的多，一眼就懂

涉及资源

https://www.onlinedown.net/soft/628964.htm
https://blog.csdn.net/qq_25645753/article/details/110196602

网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资源分享