网安学习-应急响应2

最新推荐文章于 2024-03-23 17:00:00 发布
最新推荐文章于 2024-03-23 17:00:00 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: 网络安全学习笔记 文章标签: 学习 网络安全 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/126210932
版权

 

目录

必备知识点

准备工作

#案例一:windows+IIS+SQL日志搜索

#案例二:linux+BT+Nginx+TP5日志后门

#案例三:简单分析日志

ELK

Splunk

                     ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​        ​​​​​​​         此后如竟没有炬火,我便是唯一的光。

必备知识点

  1. 熟悉常见的web安全攻击技术
  2. 熟悉相关日志启用以及存储查看等
  3. 熟悉日志中记录数据分类和分析等

准备工作

  1. 收集目标服务器信息
  2. 部署相关分析软件和平台等
  3. 整理相关安全渗透测试工具指纹库
  4. 针对异常表现第一时间整理思路

从受害方提供的信息预估入侵面以及权限面进行排查,分为有明确信息和无明确信息两种情况:

  1. 有明确信息的情况(基于时间、操作、指纹等)
    1. 基于时间:如果被攻击者提供了文件被修改的时间、异常登录时间,那么我们就可以锁定这一时期的相关日志,进行查询,就不需要对整个日志进行翻阅,从而能够更加有针对性的对攻击事件进行分析。
    2. 基于操作:如果被攻击者可以提供类似于被删除、被加密的数据、文件的位置,如数据库、磁盘等等,那么我们就可以通过攻击者的操作判断出攻击者攻击的目标,并且有可能分析出攻击的过程。
    3. 基于指纹:如果被攻击者只说是网页被修改、网站被上马,那么我们可以根据攻击工具的指纹、病毒、木马的指纹等判断攻击者使用了什么工具。
  2. 无明确信息的情况
    1. web漏洞:检查源码类别和漏洞情况
    2. 中间件漏洞:检查对应版本和漏洞情况
    3. 第三方应用漏洞:检查是否存在漏洞应用
    4. 操作系统漏洞:检查是否存在系统漏洞
    5. 其他安全问题:检查相关用户口令以及后门扫描

#案例一:windows+IIS+SQL日志搜索

目前使用IIS很少了,IIS图形化界面相对好理解,先来做这个实验。

使用IIS搭建时,可以看到日志这个功能。 

点击之后是可以看到,对应的日志文件的存储地址。还可以看到格式为W3C(后面会用到)

 

通过高级设置可以找到相关的一些信息,比如说ID是12。我们在找到日志文件的目录的时候,会发现有许多的日志文件。日志文件的命名规则是由格式+ID构成的。

 

查看具体的日志内容:

以上便是日志的全部内容,可以清楚的看到时间、源IP地址、请求方式、请求的资源、参数等以及还有状态码等信息。

我们可以查找特定的关键字,比如说针对sql注入,就可以查询select 、information等关键字。

当然还可以查询工具的指纹。比如sqlmap。

上面的日志就告诉我们有sql注入攻击,攻击者使用的是sqlmap工具。 

#案例二:linux+BT+Nginx+TP5日志后门

打开网站的根目录,找到nignx的配置文件;

打开nignx的配置文件,来找相应的日志文件,存储的路径。

找到对应的目录;从宝塔下载日志到本地

 

之所以下载下来是便于查看,分析。 接下来便是分析日志文件的内容。

上面便可以发现,攻击者在扫描文件,像御剑等这样的工具。

 这个还可以清楚的看到antSword,显而易见了,攻击者使用了蚁剑。并且还可以判断出在网站的目录下面被上传了webshell文件x.php。

当然BT是有自带的webshell后门查杀的功能。如下:

有一个目录查杀的功能,点击之后,便可以自定义查杀的路径。 

#案例三:简单分析日志

xiaodi老师拿着自己的博客分析了一波 :)逮住了两个弟弟:)

 

好家伙这个鸟毛,一直在扫描。 之后得到IP地址,便可以查该IP地址的所属地。

之后有学习到几个工具:

先说下,接下来的实验背景,某真实hvv行动中,RT通过Struts2成功打穿,扒下来的日志如下:

被攻击者提供的时间为四月九号。那就先来看一下四月九号的日志吧。

这里就涉及到了一款工具, 百度搜一下:好用的日志分析工具。

ELK

开源实时日志分析的ELK平台,有ElasticSearch、Logstash和Kiabana三个开源的项目组成,在企业级日志管理平台中十分常见。

Splunk

Splunk使用最广泛的日志管理平台之一。Splunk实时监控日志和数据。Splunk的多功能性使其能够从网络中的几乎任何设备或应用中获取日志数据。使用时,可以使用搜索栏查看实时和历史数据。还有搜索建议可帮助你更轻松地找到所需信息。

网络管理员必备的10个优秀日志分析工具

这里实验使用的是360星图。下载之后需要进行配置一下:

就是这里需要配置下,加上我们的日志文件存放的路径即可。其他的不无需配置,当然也是可以根据自己的需求来配置。

根据上面的日志,查询到相关的可以的IP地址171.11.231.56 使用360星图来查询。

发现该IP地址就仅仅在四月九号出现,也刚好就是我们一开始分析到的三个地方。

再根据攻击者提供的后门相关文件为caiyun.jsp 那么继续使用星图查询关键字caiyun。

查到了IP地址为111.198.88.85在五月15号的时候访问了webshell文件,那肯定攻击者就是他了,其他的人怎么会知道这个文件呢?

找到这个文件,看到以上内容。 发现文件中的内容有着Pwd=“cy” 在使用星图查询关键字Pwd

发现了2020-04-09.log文件中有着相关的内容,而其他的文件只是涉及Pwd而已,并不是真正的文件上传的时候的操作。打开看一下。

 刚好匹配我们看到的jsp木马文件中的内容。看来这就是上传文件了。锁定了IP地址,可以查看以下IP所属地。

(xd老师根据qq的搜索功能,搜了以下彩云,哈哈哈哈哈,搜到了网名为彩云的这个鸟毛)

由于自己最近也在参加hvv,这部分的学习相当于顺便复习知识点了。

Y4y17
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网安1903-U201910471-张二勇1
08-03
2) 对每个DCT块进行量化,找出适合隐藏信息的系数; 3) 将秘密信息编码为二进制序列; 4) 使用特定的替换策略,根据二进制序列修改DCT系数; 5) 重新组合修改后的DCT块,形成隐藏信息的JPEG图像。 1.2.3 实验结果及...
SAS网安俱乐部-推翻性质的重建.md
10-14
SAS网安俱乐部-推翻性质的重建.md
使用日志进行调查 - SQL 注入攻击示例
allway2的博客
07-30 2788
通常,攻击的证据包括对隐藏或异常文件的直接访问、在有或没有身份验证的情况下访问管理区域、远程代码执行、其中一个日志被包含大量SQL命令的记录轰炸,这些命令清楚地表明对似乎是与SQL服务器一起使用的自定义插件的。上述虚构示例中的攻击者非常马虎,留下了大量的证据和痕迹,这使得调查非常容易。在没有该日志文件的情况下,您可能永远不知道有人发现并运行了您网站上的秘密或受限脚本并转储数据库。服务器被隔离以保留系统的当前状态及其日志,阻止对攻击者的远程访问(如果安装了后门),以及阻止与网络上的任何其他机器交互。...
MySQL日志安全分析技巧
weixin_45116657的博客
10-28 496
友情链接:个人原创精华文章汇总 常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 一、Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。 1、查看log配置信息 show variables like ...
SQL注入检测工具及方法,黑客零基础入门
Python栈
03-23 1600
SQL注入检测是通过各种手段来识别和验证应用程序是否容易受到SQL注入攻击的方法。
SpringBoot-狂神(14. 整合Druid)学习笔记
圆的博客
09-18 414
上一篇:13.整合JDBC
网安21-2许宸阳 赫夫曼树(1).cpp
11-10
网安21-2许宸阳 赫夫曼树(1).cpp
东南大学-网安学院-系统安全课程设计-内含源码和运行说明.zip
05-12
该压缩包文件“东南大学-网安学院-系统安全课程设计-内含源码和运行说明.zip”显然是针对东南大学网络安全学院系统安全课程的一份学习资料。这份资料可能包含了学生在进行课程设计时所需的全部资源,包括源代码和...
东南大学-网安学院-操作系统课程设计-内含源码和运行说明.zip
05-12
这份"东南大学-网安学院-操作系统课程设计-内含源码和运行说明.zip"压缩包,提供了丰富的学习资源,包括源代码和运行说明,帮助学生深入理解操作系统的工作机制。 首先,"试卷"部分可能包含历年的考试题目和答案,...
注入攻击日志分析
11-06
一般的注入攻击的日志分析 SQL注入案例回顾 IIS日志系统概述 IIS日志分析工具及方法
p6spy日志监控 sql注入
09-27
# oracle driver # realdriver=oracle.jdbc.driver.OracleDriver # mysql Connector/J driver # realdriver=com.mysql.jdbc.Driver # informix driver # realdriver=com.informix.jdbc.IfxDriver # ibm db2 driver # realdriver=COM.ibm.db2.jdbc.net.DB2Driver # the mysql open source driver realdriver=org.gjt.mm.mysql.Driver #specifies another driver to use realdriver2= #specifies a third driver to use realdriver3=
网络安全应急响应技术实战指南》知识点总结(第1~2章 网络安全应急响应概述和基础技能)
qiuqiunile_的博客
03-24 3639
一、应急响应概念 一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失。 二、应急响应流程 PDCERF方法: 准备阶段(预防) 检测阶段(检测已发生或者正在发生的事件以及原因) 抑制阶段(限制破坏的范围,同时降低潜在的损失) 根除阶段(通过事件分析找出根源并彻底根除,以防再次发生) 恢复阶段(把破坏的信息彻底还原到正常运作状态) 总结阶段(回顾应急响应事件的过程,分析总结,以防入侵的再次发生) 三、网络安全应急响应基础技能 1、系统排查 1)查看系统工具信息
数据库慢sql日志监控
weixin_44131167的博客
08-20 485
数据库监控
通过分析mysql日志检测sql注入
weixin_34301307的博客
05-14 995
通过分析mysql日志来检测sql注入。 对于mysql注入的防御思路: 禁止访问系统表 主要是information_schema表,这里包含了数据库中表结构等关键信息,拖库时非常依赖这个表。 关注敏感系统函数 如sleep等,太多不一一列举 等等 PS:在mysql日志这一层面检测sql注入的好处是不用考虑编码绕过等问题...
在线靶场-墨者-电子数据取证2星-日志文件分析溯源(SQL注入IP地址2)
weixin_42079912的博客
08-10 328
打开靶场网页,下载文件并解压。 根据题目有人对网站进行了SQL注入,分析日志找到该IP地址。(使用记事本打开文件,界面太乱,不方便分析,而且打开后等待内容出现需要一段时间。) 使用Notepad++.7.7.1软件打开SQL.log文件,按Ctrl + F搜索union和order by。发现了在180927 14:56:59这个时间里,多次出现union和order by匹配查询。 于是使...
使用sqlmap进行日志sql注入检测
weixin_34409822的博客
11-24 1093
sqlmap可以导入webserver的日志进行查找注入点 日志需要sqlmap指定的格式sqlmap.py -l demo.log --batch --smart tips:甲方的一些动态扫描器 日志分析扫描器 可以调用sqlmap来检测注入 毕竟是神器 毕竟在更新 自己去重写检测sqlmap 也不一定写的有sqlmap这么完美有时间做个demo出来 记录下。vi...
数据库活动监控系列之:SQL注入***
weixin_34144848的博客
06-02 123
如果你每天访问的网站需要登录,那么你的登录用户名和密码很可能是保存在关系数据库中,其他网站用户的登录信息也和你一起保存在数据库中,但愿你的密码保存前经过加密处理,如果是明文存储的话简直太可怕了。   不幸的是,有一些网站存在安全漏洞,***者可以通过一种叫做SQL注入的***技术窃取到存储在数据库中的密码信息。   更令人担忧的是,即使数据库打上所有补丁也不能避免这种*...
给Mysql加语句监控日志
流子的专栏
07-31 1293
[mysqld] long_query_time =1 log-slow-queries= /data/log/mysql/slow.log log=/data/log/mysql/info.log log-error=/data/log/mysql/error.log
创建数据库 网安22-314
最新发布
06-23
创建数据库是网络安全22-314课程中的一项基础任务,主要涉及到数据库管理系统(DBMS)的使用和设置。以下是创建数据库的一般步骤: 1. **选择数据库管理系统**:常见的有MySQL、Oracle、SQL Server、PostgreSQL等。根据课程需求和个人偏好选择合适的数据库。 2. **安装数据库软件**:下载并安装所选DBMS的客户端或服务器版本,按照官方文档进行安装。 3. **创建实例或服务器**:对于云数据库如AWS RDS、Azure SQL Database,需要在云服务提供商平台上创建一个新的数据库实例。 4. **配置数据库**:设置数据库的名称、用户账户、权限以及连接参数等。可能需要设置安全性选项,比如加密和防火墙规则。 5. **设计数据库结构**:通过SQL语言创建表、字段和索引,定义数据模型,确保满足课程中的数据存储需求。 6. **插入数据**:使用INSERT语句将数据添加到创建的表中。 7. **测试连接和查询**:确保能够成功连接到数据库,并执行SELECT、UPDATE、DELETE等操作验证数据的读写。 8. **备份和维护**:定期备份数据库以防止数据丢失,并执行必要的性能优化和维护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值