应急响应实战笔记——日志分析篇:④ MSSQL 日志分析

最新推荐文章于 2024-05-20 21:56:33 发布
最新推荐文章于 2024-05-20 21:56:33 发布
阅读量365 收藏 8
点赞数 3
分类专栏: 安全 文章标签: 笔记 Webshell 应急响应 入侵排查 sqlserver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/137085397
版权

目录

第4篇:MSSQL日志分析

0x01 MSSQL日志分析

0x02 SQL注入入侵痕迹


 

第4篇:MSSQL日志分析

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

0x01 MSSQL日志分析

首先,MSSQL数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户登录进行审核。

登录到SQL Server Management Studio,依次点击 管理--SQL Server 日志

双击日志存档文件即可打开日志文件查看器,并可以对日志进行筛选或者导出等操作。

另外,MSSQ提供了一个工具SQL Server Profiler ,方便查找和发现SQL执行的效率和语句问题。

日志分析案例:

在日志文件查看器中,选择筛选,在筛选设置中源设置为“登录”,应用筛选器,确定。

筛选后的结果,可以很清晰的识别用户登录信息,记录内容包括用户登录时间、登录是否成功、登录使用的账号以及远程登录时用户使用的IP地址。

如下图:客户端:192.168.204.1进行尝试弱口令登录,并发现其中有一条登录成功的记录。

0x02 SQL注入入侵痕迹

在利用SQL注入漏洞的过程中,我们会尝试利用sqlmap的--os-shell参数取得shell,如操作不慎,可能留下一些sqlmap创建的临时表和自定义函数。我们先来看一下sqlmap os-shell参数的用法以及原理:

1、构造一个SQL注入点,开启Burp监听8080端口

sqlmap.py -u http://192.168.204.164/sql.asp?id=1 --os-shell --proxy=http://127.0.0.1:8080

HTTP通讯过程如下:

创建了一个临时表sqlmapoutput,调用存储过程执行系统命令将数据写入临时表,然后取临时表中的数据展示到前端。

通过查看数据库中最近新建的表的结构和内容,可以判断是否发生过sql注入漏洞攻击事件。

检查方法:

1、数据库表检查

2、检查xp_cmdshell等存储过程

xp_cmdshell在mssql2005之后的版本中是默认禁止的,查看xp_cmdshell是否被启用。

`Exec master.dbo.xp_cmdshell 'whoami'

3、需要结合web日志,通过查看日志文件的大小以及审计日志文件中的内容,可以判断是否发生过sql注入漏洞攻击事件。

你可知这世上再难遇我
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应实战笔记——2020最新版
01-04
入侵排查日志分析、权限维持、Windows实战、Linux实战Web实战
信息安全工程师第二版考试总结+笔记
11-29 1万+
信息安全工程师第二版考试总结+笔记
渗透学习笔记
莫黎小天
11-06 2095
一、SQL注入漏洞 SQL注入:web程序对用户输入数据的合法性没有判断,前端传入后端的参数可控的,并且参数带入数据库查询,攻击者可通过构造SQL语句来实现对数据库的任意操作。 1.sql注入原理 满足条件: ​ 参数用户可控:前端传入后端的内容用户可以控制 ​ 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询。 原因:用户输入的数据被SQL解释器执行 2.注入漏洞分类 1)数字型注入 当输入的参数为整型时,如:ID、年龄、页码,若存在注入漏洞,则可认为是数字型 测试:
基于kali的域控环境搭建——黑盒测试环境搭建
kali_Ma的博客
12-28 2290
前言 本环境为黑盒测试,在不提供虚拟机帐号密码的情况下进行黑盒测试拿到域控里面的flag。 环境搭建 攻击机: kali:192.168.1.10 靶场: CentOS(内):192.168.93.100 CentOS(外):192.168.1.110 Ubuntu:192.168.93.120 域内主机: Winserver2012:192.168.93.10 Winserver2008:192.168.93.20 Windows7:192.168.93.30 kali跟CentOS能够ping通 拓扑
渗透攻击红队百科全书
热门推荐
龙哥盟
08-27 23万+
据说原始扫描件有病毒,我就解析 Xref 提取图片然后重新生成了一份。我也拿不到纸质书,根据网上流传的版本加工了一下,不清楚是肯定的。其他的不说了,懂的都懂。 目录 第一章 信息搜集 1.1 主机发现 1.2 关联信息生成 1.3 开放漏洞情报 1.4 开源情报信息搜集(OSINT) 1.5 Github Hacking 1.6 Google Hacking 1.7 Gitlcret 1.8 Mailsniper.psl获取Outlook所有联系人 1.9 内网渗透之信息收集 1.10 后渗透信息收集之.
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查 第02章:日志分析 第03章:...
应急响应实战笔记2020.pdf
06-23
面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。我将持续更新这份笔记,希望能帮到有需要的人。
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧实战。第1~3章为技巧,分别对应入侵排查日志分析和权限维持,第4~6章为实战,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar
02-11
[ 应急响应 ] 应急响应实战笔记_2020最新版.rar 包含文件如下 应急响应实战笔记_2020最新版.pdf 应急响应实战笔记_2020最新版.docx 详细内容如下 入侵排查 日志分析 权限维持 Windows实战 Linux实战 Web...
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 667
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
推荐系统学习笔记(一)
weixin_44880995的博客
05-15 145
同类策略(精排中的两种模型)天然互斥,并且(两条召回通道)效果会相互影响,避免干扰。反转:有的指标立刻影响,有的需要长期观测-------尽快推全也可以长期观测。10%作为holdout桶,实验使用剩余的90%,做diff(需要归一化)不同策略(添加召回通道,优化粗排模型)通常不会干扰,可以作为正交的两层。保留10%,完全不受实验影响,可以考察整个部门对业务指标的贡献。同层互斥----避免一个用户被两个实验影响。不同层正交----每层独立随机分配用户。推全:新层,与其他层正交,90%用户。
并发编程笔记3--synchronize底层实现原理
qq_41056506的博客
05-17 737
Java中每一个对象都可以作为锁,具体的表现为以下3中方式当一个线程试图访问同步代码块时,他必须先获得锁。退出或抛出异常必须释放锁。那么锁到底存在哪里呢?锁中存储的是什么信息呢?从JVM规范中可以看到Synchronize在JVM中的实现原理,JVM是基于进入或退出Monitor对象来实现方法同步和代码块同步,但两者的实现细节不一样。1、代码块同步是使用monitorenter和monitorexit指令实现,2、而方法同步是使用另一种方式实现的,细节在JVM规范中并未详细说明。
Vue3实战笔记(23)—路由Vue-Router 实战指南(关于路由命名那点事儿)
山花的博客
05-15 1040
除了 path 之外,你还可以为任何路由提供 name。在 Vue Router 中,命名路由是一种通过指定名称来标识路由的方式,而不是使用路径。这为路由的跳转提供了一种更直观和易于维护的方式。命名路由特别有用,尤其是在链接到路由时,不必硬编码 URL,也不必在路由对象中查找路径字符串。},在这个例子中,我们给路径为 /user/:username的路由命名为 user。User在这两种情况下,路由将导航到路径 /user/erina。
计算机网络原原理学习资料分享笔记---第三章/第三节(为有梦想的自己加油!)
Java000I的博客
05-13 988
2 、收到 1 个ACKn。1 、正确接收到序号在接收窗口范围内的分组PTKn,发送ACKn,窗口滑动。序号为基序号,则发送一个ACKn,接收窗口滑动到序号n+ 1 的位置。3 )发送方如果收到ACK,则继续发送后续报文段,否则重发刚刚发送。3 )发送方如果收到ACK,则继续发送后续报文段,否则重发刚刚发送。发送方接收到NAK,表示接收方没有正确接收数据,则将出错的数据重。2 )接收方如果差错检测无误且序号正确,则接收报文段,并向发送方。2 )接收方如果差错检测无误且序号正确,则接收报文段,并向发送方。
Vision Mamba代码笔记
最新发布
Zssss12的博客
05-20 415
事实上Vision Mamba重写了这个Mamba类,可以看到里边是由bimamba_type这个参数的(这其实也是Vision Mamba的主要贡献),执行如下代码。值得说明的一点是,如果你之前在跑其他的mamba,环境拿过来是不能直接直接用的,因为标准的Mamba类是没有bimamba_type这个参数的,所以,需要去Vim代码官网去找到mamba-1p1p1包,下载之后放自己项目里。按照官方readme.md配置,如果有问题照着下面这个链接改。我手敲的带中文注释的链接。
线性回归学习笔记
julyclj55555的博客
05-15 265
换句话说,多元线性回归可以有足够的精确性,但对于该精确性的合理解释会比较难,因为在多个属性中,可能有其中多组子属性的组合都能拟合到近似最优的模型效果,但对不同组的子属性的组合解释,会因为属性不同而有很大区别,这就是统计学家莱奥·布雷曼口中的“罗生门”(Rashomon)。它的值越大代表,拟合的结果越可信;将“罗生门”深挖一步,就是机器学习和统计学在认识论上的差异:统计学讲究的是“知其然,知其所以然”,它不仅要找出数据之间的关联性,还要挖出背后的因果性,给计算出的结果赋予令人信服的解释才是统计的核心。
canvas学习笔记-透明度
m0_51181022的博客
05-17 446
在上面画一系列半径递增的半透明圆。圆叠加得越多,原先所画的圆的透明度会越低。通过增加循环次数,画更多的圆,从中心到边缘部分,背景图会呈现逐渐消失的效果。方法类似,就多了一个用于设置色彩透明度的参数。它的有效范围是从 0.0(完全透明)到 1.0(完全不透明)。里所有图形的透明度,有效的值范围是0.0(完全透明)到1.0(完全不透明),默认值是1.0。第二个例子和上面的那个类似,不过不是画圆,而是画矩形。可以分别设置轮廓和填充样式,因而具有更好的可操作性和使用灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值