MeAndGrilfried蓝方应急响应

已于 2022-12-27 14:07:17 修改
阅读量116 收藏 1
点赞数 2
文章标签: linux web安全
于 2022-12-27 14:00:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhx836161547/article/details/128454258
版权

文章目录

前言

在对MeAndGirlfriend进行黑盒测试后,我们试着从蓝方的角度去进行应急响应来先简单了解一下应急响应的大概流程

应急响应过程

首先,我们已知被渗透了,那么先把root用户的密码修改一下

然后用新密码登录root用户,我们先用lastlog命令去看最近有哪些用户登录
在这里插入图片描述
如图发现最近登录的用户是alice,其中IP地址为192.168.43.1(可能是代理IP),我们用接下来用lastb去看一下ssh日志文件
在这里插入图片描述
发现除了root用户,其它用户的IP地址均为192.168.43.1,说明ssh被爆破了,而flag文件属于高权限,我们可以看一下当前系统中存在几个uid为0的用户

awk -F: ‘{if($3==0) print $1}’ /etc/passwd

uid用户
如图uid用户只有root,但是root用户并没有登录,说明是alice做了一些提权操作
我们再检查一下有没有留下后门

netstat -anlp : more

在这里插入图片描述

如图进程都是正常的,并没有留下后门。

看下是否存在挖矿木马

top

在这里插入图片描述

如图进程都是正常的,并没有哪个进程过多占用CPU
查看24小时以内,有没有什么文件被修改过

find ./ -mtime 0 -name “*.php”

参数-mtimie 等于0的时候表示查找近24小时以内被修改内容的文件

在这里插入图片描述

什么也没有,说明并没有什么文件近期被修改过,接着我们查看24小时以内,有无新增文件

find / -ctime -2 | more | grep php

在这里插入图片描述
可以看到alice下面有一个可疑文件
在这里插入图片描述

我们来查看一下命令历史记录

.bash_history

在这里插入图片描述

如此就可以看到攻击者执行的操作了

那么用户是如何获取alice的相关信息的呢,我们去查看网络日这来寻求结果
在这里插入图片描述

如图发现用户192.168.43.1一直在不断的访问不同的id,说明存在越权访问漏洞导致了alice用户的信息泄露

总结

记住下面常见的命令

改密码:
password

查看用户登录信息:
lastlog

查看ssh日志文件:
lastb					

查看当前系统中存在几个uid为0的用户:
awk -F: ‘{if($3==0) print $1}’ /etc/passwd
 
检查是否留后门:
netstat -anlp : more 

查看是否存在挖矿木马:
top 	

查看最近被修改的php文件:
find ./ -mtime 0 -name “*.php”

查看最近新增的php文件:
find / -ctime -2 | more | grep php

查看命令历史记录:
.bash_history 

查看当前目录下的所有文件及详细信息
ls -alt
IDgoodis
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021护网日记(第二天)-攻防演练红、蓝方职责、linux 和 Windows 如何应急
渗透、攻防、CTF、编程
04-14 8389
来源:微信公众号Hacking黑白红 4月8日,阳光明媚,春风拂面 HW第一天,奋战(划水)12小时,处置7个预警,钉钉、微信一共建了12个群,开了6场腾讯会议,微信好友新增31人,最终6个为误报,还有1个疑似漏报。 这些都不重要,都不如“韩毅”的瓜来的凛冽。 事情经过是这样的,“韩毅”第一次出现在我的微信群是在4月6日(星期二),那天我正在去HW城市的路上,印象深刻。微信记录如下: “韩毅”同学4月6日(周二)15点,第一次出现在我的微信群,向红队发出...
【攻防演练】蓝方值守阶段经验技巧
HBohan的博客
09-16 1609
随着国家对网络安全的建设不断加强,各地组织的攻防演练行动会越来越多。今天来分享蓝方在正式防护阶段时,需要重点加强防护过程中的安全保障工作,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。 【网安学习攻略】 全面监控 安全事件实时监测 借助安全设备(全流量分析设备、Web防火墙、IDS、 IPS、 数据库审计等)开展安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。 综合研判 安全事件综合研判 确认方式:攻击方式确认、攻击路
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 1605
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
Webshell事件应急演练预案
时光漫步
08-28 958
网络拓扑 红方环境 kali linux2.0、burpsuite、nmap、Terminal、Meterpreter等 蓝方环境 Windows 7、Windows Server 2003、安全狗、D盾、远程连接工具等 红方-侦查小组,开始对目标网络10.1.1.0/24进行主机扫描 鼠标右击桌面弹出菜单栏,选择open in terminal打开命令模式,也可以在右边菜单选择 红方-侦查小组使用nmap -sP 10.1.1.0/24 命令对同网段进行扫描。 红方-侦查小组成功发现同网段存活3台主机
应急响应 –以me and my girlfriend 靶机为例
qq_58672257的博客
12-13 970
可以看到,只有root用户,但是root用户并没有登录,说明是alice做了一些操作进行了提权。可以看到,我们的ssh被暴力破解了,除了root用户,其他用户登录使用的ip都是88.1。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。前面已经进行了靶机的渗透测试,接下来我们以蓝方视角来进行应急响应。.bash_history这个文件是命令历史记录,我们查看一下。查看24小时内,有没有什么文件被修改过。
蓝方防守、HW总结报告模板
热门推荐
新广州人的网络安全
09-24 1万+
文章目录护网总结背景及概述一、前期准备二、组织实施(一)加强组织协调(二)安排重点值守(三)开展防守工作三、威胁汇总及整改情况(一)XX平台威胁整改情况(二)非目标系,统威胁整改情况四、存在问题(一)XX平台系统此次攻防演习过程中,存在以下问题(二)公司存在的问题五、整改计划(一)基础运维方面(二)安全防护方面(三)安全监测方面(四)应急处置方面六、总结 ##背景: HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重复。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 1937
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
攻防演练之-成功的钓鱼邮件溯源
村中少年的专栏
06-13 1779
一次成功的基于钓鱼邮件的溯源为团队取得了开门红
重保或蓝方小知识-只针对首次
X_knight的博客
02-14 4669
0x0001 厂家设备的了解 需要先了解去的厂家使用的是什么设备 比如【微步】的【TDP】 【青藤】【HIDS】,对其监控的方向进行了解,【TDP】主要掌控的是主要的流量数据,对网页进行的具体数据访问检测,类似于sql,路径爆破等等,【HIDS】主要是对主机内部的监控,类似于本地提权或者webshell上传到本地了内部协议,还要agint(类似于webshell,可以进行远程的管理)的安装一方面 一般厂家会在进厂前进行系统的培训,所以也不用太慌张 ox0002 进厂后 2.1先使用系统检测一下.
蓝方黑客 解除控屏 防止控屏的神器
03-29
蓝方黑客是一种专业的网络安全工作者,致力于维护网络安全和防范黑客攻击。在网络攻击中,黑客通常会采用控屏的方式入侵目标设备,获取敏感信息、控制系统或者进行其他恶意活动。为了应对这种威胁,蓝方黑客开发了一...
基于BP神经网络的蓝方分层智能决策模型设计.pdf
09-27
本文主要介绍了一种基于BP神经网络的蓝方分层智能决策模型设计,用于电子战模拟训练中的自动化、及时性和真实性决策。该模型旨在模拟蓝方在战场上的多层次决策过程,并根据战场态势变化做出有效应对。 BP神经网络是...
蓝方的进攻——进攻是最好的防守.pdf
08-08
攻防形式 战术 知己知彼 评估 总结
推选FLash基础代码红蓝方框PPT资料.ppt
10-26
例如,在红蓝方框的案例中,可能有一个红方框和一个蓝方框在屏幕上来回移动或者相互交互。通过使用`gotoAndPlay`,你可以让红方框在到达特定位置后跳转到另一帧,然后开始蓝方框的动作,形成复杂的动画序列。 `...
HW红蓝对抗:蓝队视角下的防御体系构建.zip
03-16
网络实战攻防演习,是新形势下关键信息系统网络安全保护工作的重要组成部分。 本手册通过归纳总结蓝队防御的三个阶段(备战、实战、战后整顿)、 应对攻击的常用策略,以及建立实战化的安全体系的基本方法,帮助政企...
linux之ip命令
weixin_61503529的博客
08-03 320
文件配置网络可能不会生效,因为它们可能会覆盖这些配置。在这种情况下,你需要确保使用正确的工具来配置和管理网络。是 Linux 系统下用于配置和管理网络接口和路由表的强大命令行工具。命令的强大之处在于它的模块化和灵活性。命令选项和参数来执行复杂的网络管理任务。选项可以专门处理 IPv6 地址,使用。或者其他网络管理工具,那么使用。命令可能需要管理员权限(使用。选项可以获取更详细的信息等。请记住,如果你的系统使用的是。),特别是在更改网络配置时。获取更详细的帮助信息。
什么是 IDR —— Linux 内核中的一种整数管理机制
Beihai_Van的博客
08-03 663
IDR(ID Radix Tree)是 Linux 内核中的一种整数管理机制,用于将整数 ID 与指针关联起来。IDR 提供了一种高效的方式来分配和管理唯一的整数 ID,并将这些 ID 映射到相应的指针。在 Linux 内核中,整数 ID 是用于唯一标识各种系统资源或对象的数字。通过将整数 ID 与指针关联,可以快速、高效地管理和访问内存中的资源或对象。这种机制简化了内核的资源管理过程,提高了系统的性能和可靠性。
linux 上源码编译安装 PolarDB-X
寂夜了无痕的博客
08-03 757
linux上源码编译安装 PolarDB-X
Linux5:Shell编程——流程控制
最新发布
纸上得来终觉浅
08-03 350
Shell流程控制包括:if-else语句、for循环、while语句、无限循环、until循环、case ... esac和跳出循环。
我该选用什么机器学习算法来决策蓝方战斗机的动作呢
06-16
因为这是一个经典的策略游戏问题,可以通过制定简单的规则和逻辑来决定蓝方战斗机的动作。你可以采用以下步骤: 1. **初始化状态**:根据引用,了解每个战斗机的初始位置、油箱容量和最大载弹量。 2. **读取地图**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值