网安学习-应急响应4

最新推荐文章于 2024-06-07 09:48:23 发布
最新推荐文章于 2024-06-07 09:48:23 发布
阅读量1.1k 收藏 6
点赞数 3
分类专栏: 网络安全学习笔记 文章标签: 学习 安全 web安全 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/126293917
版权

目录

第三方应用分析以及应急取证

必备知识点

案例1:win日志分析神器-LogonTracer

数据库日志分析

Mysql

Mssql 

 自查漏洞模拟渗透攻击溯源

系统漏洞自查(win、linux)

服务漏洞自查

自动化工具ir-rescue应急响应工具箱

        此后如竟没有炬火,我便是唯一的光。

第三方应用分析以及应急取证

必备知识点

  1. 第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,出去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。
  2. 排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本。
  3. 由于攻击和脚本更新迭代快,分类复杂,那么打造自己的工具箱迫在眉睫。

案例1:win日志分析神器-LogonTracer

下载地址:https://github.com/JPCERTCC/LogonTracer

下载并解压neo4j

git clone https://github.com/neo4j/neo4j
tar -zvxf neo4j-community-4.2.1-unix.tar

安装java11环境

sudo yum install java-11-openjdk -y

修改neo4j配置保证外部访问

dbms.connector.bolt.listen_address=0.0.0.0:7687

开启neo4j

./bin/neo4j console &

 尝试访问(如果是阿里云的服务器,记得将端口开启一下)

 这里默认的账号密码就是Neo4j 。 

接下来就是下载Logontracer并且安装库

git clone https://github.com/JPCERTCC/LogonTracer.git 
pip3 install -r requirements.txt

启动Logontracer并且导入日志文件:

python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址] 
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126 

最下面有上传的地方,上传我们需要的日志。也可以通过命令来上传文件

python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址] 
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

当导入成功之后,刷新页面。

数据库日志分析

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等,对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景和溯源攻击。

Mysql

日志启用查看

show variables like "%gengeral";
SET GLOBAL general_log = 'On';
# 这里可以设置mysql日志存放目录
SET GLABAL general_log_file = '/var/lib/mysql/mysql.log' 

通过超级弱口令工具对目标进行模拟爆破攻击

查看日志并分析。

Mssql 

查看日志

mssql日志文件需要进行配置。 

点击“数据库”->选择一个数据库->右击找到属性->更改跟踪设置为TRUE

接下来就可以进行模拟注入攻击,来查看对应的日志文件。

这里将用户名和密码全部使用admin' and 1=1。查看日志文件:

 发现明显的攻击。 

 自查漏洞模拟渗透攻击溯源

主要针对两种情况:

  1. 日志被删除或者是没有利用价值
  2. 没有思路进行分析且可以采用模拟渗透

系统漏洞自查(win、linux)

主要工具为WindowsvulnScan、linux-exploit-suggester

windows自查

工具地址

GitHub - chroblert/WindowsVulnScan

首先运行powershell脚本KBCollect.ps收集一些信息

.\KBCollect.ps1

将运行后产生的KB.json文件移动到cve-check.py所在的目录下

安装python模块

python3 -m pip install requirements.txt

运行cve-check.py -u创建CVEKB数据库,运行cve-check.py -u更新CVEKB数据库中的hasPOC字段,可以使用-m ALL 更新所有。

之后便是运行cve-check.py -C -f KB.json查看具有公开EXP的CVE。

linux自查

工具地址

GitHub - mzet-/linux-exploit-suggester: Linux privilege escalation auditing tool 

服务漏洞自查

windows

Get-WmiObject -class Win32_Product

linux

使用工具LinEnum,工具下载地址: GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

根据检索出来的服务进行漏洞扫描,主要使用 searchsploit

例如searchsploit weblogic

自动化工具ir-rescue应急响应工具箱

下载地址:GitHub - diogo-fernan/ir-rescue: A Windows Batch script and a Unix Bash script to comprehensively collect host forensic data during incident response.

主要用来打造自己的应急响应工具箱。

Y4y17
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows 系统安全事件日志取证工具:Logon Tracer
y@n1n的博客
04-09 4657
一.前言 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录以及使用哪个主机。(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。) 相关事件ID: 4624:成功登...
应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog
今天是几号的博客
05-03 2770
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析。
发现网络暗流:深入解析logonTracer日志分析工具
gitblog_00063的博客
06-07 313
发现网络暗流:深入解析logonTracer日志分析工具 项目地址:https://gitcode.com/TheKingOfDuck/logonTracer网络安全的海洋里,每一行日志都可能是揭示恶意活动的关键线索。今天,我们为您带来了一款精心打造的日志分析利器——logonTracer汉化修正版,它专为Windows Active Directory设计,让复杂无序的事件日志瞬间清晰可见,...
JavaScript学习笔记(二十)DOM动画效果
2401_84254011的博客
04-28 486
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
探索网络安全新视角:LogonTracer
gitblog_00065的博客
05-12 642
探索网络安全新视角:LogonTracer 项目地址:https://gitcode.com/JPCERTCC/LogonTracer 当涉及到Windows Active Directory的事件日志调查时,LogonTracer是一个不可或缺的工具。它以图形化的形式揭示恶意登录行为,让安全分析师能够快速识别异常模式,从而有效地对抗网络威胁。 项目介绍 LogonTracer是JPCERTCC...
Windows系统安全登录日志分析工具logonTracer汉化修正版_windows下载logontracer(3)
2401_84254087的博客
05-08 549
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
网安1903-U201910471-张二勇1
08-03
4) 使用特定的替换策略,根据二进制序列修改DCT系数; 5) 重新组合修改后的DCT块,形成隐藏信息的JPEG图像。 1.2.3 实验结果及性能分析 实验结果显示,JSTEG能够成功地在JPEG图像中嵌入信息而不易被察觉。然而,...
SAS网安俱乐部-推翻性质的重建.md
10-14
SAS网安俱乐部-推翻性质的重建.md
东南大学-网安学院-系统安全课程设计-内含源码和运行说明.zip
05-12
该压缩包文件“东南大学-网安学院-系统安全课程设计-内含源码和运行说明.zip”显然是针对东南大学网络安全学院系统安全课程的一份学习资料。这份资料可能包含了学生在进行课程设计时所需的全部资源,包括源代码和...
东南大学-网安学院-操作系统课程设计-内含源码和运行说明.zip
05-12
这份"东南大学-网安学院-操作系统课程设计-内含源码和运行说明.zip"压缩包,提供了丰富的学习资源,包括源代码和运行说明,帮助学生深入理解操作系统的工作机制。 首先,"试卷"部分可能包含历年的考试题目和答案,...
东南大学-网安学院-线性代数课程设计-内含源码和运行说明.zip
05-12
总结,这份"东南大学-网安学院-线性代数课程设计"资料包,提供了丰富的学习资源,包括理论讲解和实践代码,有助于学生全面掌握线性代数在网络安全领域的应用。通过这个课程设计,学生将能够运用线性代数的工具解决...
Python-LogonTracer通过可视化和分析Windows事件日志来调查恶意Windows登录
08-10
通过查看和分析Windows活动目录事件日志来调查恶意登录。LogonTracer使用PageRank和ChangeFinder从事件日志中检测恶意主机和帐户。
LogonTracer-master.zip
11-29
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。
应急响应三 - 数据库&漏洞口令检索&应急取证箱
acepanhuan的博客
04-02 471
应急响应三 - 数据库&漏洞口令检索&应急取证箱
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 586
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
热门推荐
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
网络安全 hw 蓝队实战之溯源
msb_114的博客
03-27 2507
记一次网络安全 hw 蓝队实战之溯源
内网穿透从搭建到溯源
whatday的专栏
01-11 816
目录 背景 内网穿透及溯源 网络层隧道搭建 传输层隧道搭建 应用层隧道搭建 测试通信 案例 总结 背景 在攻防博弈这个永久的话题中,永远不会缺少一个重要角色即内网穿透。当渗透测试人员在进入内网,需要扩大战果的时候,往往会遇到内网的一些防护策略,不外乎边界设备、防火墙及入侵检测设备对端口或者数据包的拦截,导致流量无法出网,此时就需要熟练掌握内网穿透技术,从复杂的内网环境中获取稳定的流量交互,从而达到目的。 本文针对边界安全设备等对内网端口的屏蔽及数据包的拦截,从不同的网络协议层进行搭建隧
网络安全 hw 蓝队实战之溯源(仅供参考学习
yy1715713348的博客
10-27 744
网络安全 hw 蓝队实战之溯源(仅供参考学习
创建数据库 网安22-314
最新发布
06-23
4. **配置数据库**:设置数据库的名称、用户账户、权限以及连接参数等。可能需要设置安全性选项,比如加密和防火墙规则。 5. **设计数据库结构**:通过SQL语言创建表、字段和索引,定义数据模型,确保满足课程中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值