应急响应-数据库&漏洞口令检索&应急取证箱

最新推荐文章于 2024-05-12 23:54:46 发布
最新推荐文章于 2024-05-12 23:54:46 发布
阅读量5.9k 收藏 1
点赞数 1
分类专栏: 渗透笔记2 文章标签: 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/123761618
版权

在这里插入图片描述

必须知识点:
1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,
除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫

在这里插入图片描述

案例 1-Win 日志自动神器 LogonTracer-外网内网

如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/

linux 安装使用笔记:阿里云主机记得开放端口及关闭防火墙

1.下载并解压 neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar

2.安装 java11 环境:sudo yum install java-11-openjdk -y

3.修改 neo4j 配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474

./bin/neo4j console &

4.下载 LogonTracer 并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt

5.启动 LogonTracer 并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

6.刷新访问 LogonTracer-web_gui 查看分析结果

配置完neo4j后,启动即可
在这里插入图片描述
启动后访问服务器7474端口即可,默认用户名密码是neo4j
在这里插入图片描述
再在服务器上下载LogonTracer并安装

切换到LogonTracer的目录,通过python3启动LogonTracer
在这里插入图片描述
启动后访问服务器的8080端口
可以在图形化界面将日志上传进行分析
在这里插入图片描述
也可以通过命令行上传日志文件进行分析

将日志文件上传到服务器的LogonTracer的目录
在这里插入图片描述

通过python3运行脚本,将日志导入进行分析
在这里插入图片描述
执行后访问服务器的8080端口
LogonTracer会将日志进行分析并以导图的形式展现出来
在这里插入图片描述

案例 2-数据库 Mysql&Mssql&Oracle 等日志分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL 注入、提升权限、窃取备份等。对数据库日志进行分析,可以
发现攻击行为,进一步还原攻击场景及追溯攻击源。

Mysql:启用,记录,分析(分析 SQL 注入及口令登录爆破等)
show variables like '%general%';
SET GLOBAL general_log = 'On';
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';

show variables like '%general%';查看数据库状态,数据库配置文件路径
在这里插入图片描述SET GLOBAL general_log = 'On';开启数据日志
在这里插入图片描述

Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等)

案例 3-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

1.日志被删除或没价值信息
2.没有思路进行分析可以采用模拟渗透
1.windows,linux 系统漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh
2.windows,linux 服务漏洞自查:
windows:Get-WmiObject -class Win32_Product
linux:LinEnum.sh
searchsploit weblogic
利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索
3.windows,linux 协议弱口令自查-工具探针或人工获取判断-snetcraker

案例 4-自动化 ir-rescue 应急响应工具箱-实时为您提供服务

https://github.com/diogo-fernan/ir-rescue
分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器
深白色耳机
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应篇】数据泄露应急响应指南
大河之犬的博客
05-31 1248
分析针对重要服务器、数据库、应用系统的访问日志,依据被泄露数据的关键字段、特征、时间、量级等要素,发现异常的数据操作和访问行为。发生数据泄露事件后,首先需要及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等。6、监控启动后,在监控概览页面可查看监控结果,包含监控到的泄露总数、已经处置的数量,以及查询引擎的状态等。分析重要服务器、终端、应用系统等的流量数据,发现可能窃取数据的攻击行为、异常访问与操作行为、病毒木马等。提取在排查范围内的服务器、终端、应用系统等的告警日志。
Windows应急响应信息采集工具
lza20001103的博客
09-02 794
Windows应急响应信息采集工具 文章目录Windows应急响应信息采集工具GetInfo介绍功能列表使用说明注意事项:可能存在的问题下载地址目录结构:项目地址: GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information collection 功能列表 ✔️进程列表 ✔️系统服务 ✔️系统日志 ✔️网络连接 ✔️HOST信息 ✔️计划任务 ✔️已装软件 ✔️系统补丁
应急响应工具箱介绍
m0_74079109的博客
02-19 833
奇安信应急响应工具箱是一款集成了奇安信安全情报及专家分析经验的自动化应急响应工具,旨在解决应急响应人效低、应急处置标准化程度低、处置人员能力不足等痛点。应急响应工具箱源于实战、用于实战,是真正解决客户痛点的产品,而不是常见工具的简单集成。应急响应工具箱在产品设计阶段就引入了大量的应急响应专家,也经过了安服团队多年来的实战使用和不断改进,在应急响应服务、攻防演习服务、重要时期安全保障服务等业务中都发挥了不可或缺的作用。
记一次应急响应实战分析-附加应急响应工具包
告白的博客
10-28 2204
0x00 应急响应安全事件的分类 今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应! 常见安全事件的分类 数据安全事件:数据泄露,数据破坏,数据篡改 应用安全事件:网站篡改,sql注入,xss攻击等等 系统安全事件:口令破解,系统提权,木马挖矿等 网络安全事件:DDOS,DNS劫持,ARP欺骗等 应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级 预警等级:红色预警,橙色预警,黄色预警,蓝色预警 事件类型:特别重大,重大,较大,一般 0x01 应急响应准备流程: 响应前期: 1.准备阶段:
FireKylin(火麒麟)-网络安全应急响应工具(系统痕迹采集)_firekylingui(1)
2401_84301389的博客
05-12 794
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
windows应急响应信息采集工具(附下载地址)
Javachichi的博客
11-09 206
GetInfo介绍快速收集 Windows 相关信息,为应急响应争取更多的时间Windows Emergency Response (应急响应信息采集) Windows information collection。
[应急响应]
weixin_47920370的博客
04-22 4249
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web安
第75天:应急响应-数据库&漏洞口令检索&应急取证1
08-03
1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作, 2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3
企业应急响应和溯源排查之道.pdf
06-22
7.Tomcat安全漏洞:Tomcat存在多个安全漏洞,例如PUT任意文件写入漏洞、弱口令部署war包getshell等,需要对Tomcat进行安全检查和加固。 8. ActiveMQ安全漏洞:ActiveMQ存在多个安全漏洞,例如反序列化命令执行、...
奇安信:95015网络安全应急响应分析报告(2023)
01-25
一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有 13.6%的政企机构能够通过安全巡检提前发现问题,避免损失,而绝大多数政企机构只能在重大损失发生之后,或被第三方机构通报后...
实验-数据库安全保护实验优质资料.doc
12-01
数据库安全保护实验优质资料 数据库安全保护是指保护数据库,以防止不合法的使用所造成的数据泄露、更改或破坏。作为数据库管理员,需要深入理解数据库安全性控制策略,以实现安全管理的目标。 数据库安全保护的...
南开大学复习资料-数据库应用系统设计.docx
12-17
10. 安全性控制技术:包括用户标识与口令验证、权限和角色管理、视图、审计、加密等,确保只有授权的用户才能访问和操作数据库。 以上内容详细阐述了复习资料中关于数据库应用系统设计的关键知识点,包括数据库的...
蓝队应急响应工具/Webshell查杀工具下载Windows/Linux
weixin_43167326的博客
12-28 1021
蓝队工具箱是为打造一款专业级应急响应的集成多种工具的工具集,由真实应急响应环境所用到的工具进行总结打包而来,由ChinaRan404,W啥都学,清辉等开发者编写.把项目现场中所用到的工具连同环境一同打包,并实现“可移植性”“兼容性”“使用便捷”等优点。
蓝队应急响应工具箱v10 [重要更新]
Liyu_6618的博客
03-13 709
蓝队应急响应工具箱v10 [重要更新]
蓝队应急响应工具箱v2024.1​
Liyu_6618的博客
02-19 896
蓝队工具箱是为打造一款专业级应急响应的集成多种工具的工具集,由真实应急响应环境所用到的工具进行总结打包而来,由 ChinaRan404,W 啥都学,清辉等开发者编写.把项目现场中所用到的工具连同环境一同打包,并实现“可移植性”“兼容性”“使用便捷”等优点。集成模块:“常用工具”,“流量分析”,“应急响应”,“日志分析”,“逆向分析”,“检测规则”,“上传应急”,“蓝队思路图”,”安装文档“,“临时笔记”等 10 个模块。3。
应急响应三 - 数据库&漏洞口令检索&应急取证
acepanhuan的博客
04-02 471
应急响应三 - 数据库&漏洞口令检索&应急取证
第75天-应急响应-数据库&漏洞口令检索&应急取证
MCTSOG的博客
04-28 1453
思维导图 知识点 必须知识点: 1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。 2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本 3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫 演示案例 系统日志-Win 日志自动神器 LogonTracer-外网内网日志 案例 1-Win 日志自动神器 LogonTracer-外网内网 如何安装使用:https://github.com/
应急响应日志采集工具(附下载地址)
公众号:乌云安全
09-03 455
应急响应工具下载
蓝队应急响应工具箱v2024(1),最新高频网络安全笔试题分享
2401_83974660的博客
04-14 387
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
weblogic弱口令漏洞
最新发布
05-27
WebLogic是一种广泛使用的Java应用服务器,但在默认情况下,它会有一个弱口令漏洞。攻击者可以利用该漏洞通过一些简单的网络请求来获得WebLogic管理员权限,从而可以对服务器进行控制和攻击。 具体来说,当WebLogic被安装并启动时,它会启动一个叫做"console"的Web应用程序。该应用程序包含了一个管理控制台,用户可以通过它对WebLogic服务器进行管理和配置。但是,默认情况下,控制台的用户名和密码都被设置为"weblogic",这就是弱口令漏洞的来源。 攻击者可以通过发送一个HTTP请求来利用该漏洞。攻击者只需在HTTP请求头中加入"Authorization: Basic d2VibG9naWM6d2VsY29tZQ==",其中"d2VibG9naWM6d2VsY29tZQ=="是"weblogic:welcome1"这一组合的Base64编码。如果服务器返回HTTP 200状态码,则表明攻击成功。 为了避免WebLogic弱口令漏洞,用户需要修改控制台管理员账户的用户名和密码,并且确保不要使用弱口令。此外,还可以通过其他方式,如启用SSL/TLS协议来提高WebLogic服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值