之前学习了很多理论知识与操作流程,但未进行实际验证,未避免"纸上谈兵"这一哲学问题出现,故今天“实战”验证下前期所学,不敢奢求太多,此文对伙伴们有稍许即可,更盼望伙伴可以引导与指正,共同学习、共同进步,咳咳,闲聊到此,开始步入正题:
欲先制敌,必先惑敌
主流Web攻击目的及现象
一般来说,没有无缘无故的攻击,攻击总是伴随着相关的目的性和攻击现象。
1.常见的主流Web攻击目的分类
数据窃取
数据窃取是指黑客一般通过获取相关数据进行进一步的利用变现。
案例:雅虎用户数据被窃取
网页篡改
网页篡改是指对网站网页进行篡改/对重要网站植入暗链SEO。
案例:某网站被挂“黑页”
恶意软件
恶意软件是指通过网站的安全漏洞,植入勒索病毒等,让受害者支付相关比特币或者其他的虚拟货币进行解密,以及利用漏洞植入挖矿程序,让受害者服务器/电脑成为矿机以挖取相关的虚拟货币。
案例:勒索病毒
2.常见主流Web攻击现象
当网站遭遇了Web 攻击,通常会出现以下异常现象。
数据异常
数据异常是指通过各种手段发现数据外流、出现各种不合法数据以及网站流量异常伴随着大量攻击报文等。
例如:使用入侵检测系统检测异常数据
系统异常
系统异常是指服务器出现异常、异常网页、异常账号、异常端口等。
案例:系统登录异常
系统CPU
根据CPU异常使用率,分析可疑进程。
案例:使用procexp进行分析
网络数据异常
流量异常是指流量浮动明显与往常不一致,或者夹杂着异常攻击,出现这种情况很有可能已被病毒感染。
案例:防火墙提示服务器发出异常流量可能感染病毒
告警异常
使用某些防护设备,当检测到攻击行为时,会进行告警操作,若出现告警情况,很有可能已被攻击,这个时候就需要仔细排查下了,但也可能是误报。
案例:攻击告警
常见Web攻击入侵方式
命令执行
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
组件漏洞
例如:WebLogicWLS组件中存在远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击。
反序列化
通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
注入攻击
例如Sql注入通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL。
社工攻击
人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。
你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。
虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
旁站攻击
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
上传漏洞
利用上传功能的控制不足或者处理缺陷,或解析漏洞,让攻击者越权上传恶意文件,进行攻击行为。
信息泄露
例如泄露用户名、密码、内部人员信息等等,为进一步攻击做准备工作。
跨站攻击
例如利用xss漏洞进行下载病毒、木马,并进行窃取账号密码操作。
溢出攻击
Web服务器没有对用户提交的超长请求没有进行合适的处理,这种请求可能包括超长URL,超长HTTPHeader域,或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务,这一般取决于构造的数据。
拒绝服务
拒绝服务产生的原因多种多样,主要包括超长URL,特殊目录,超长HTTP Header域,畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当,因此出错终止或挂起。简单来说就是不想让你好过,我拿不到“权限”,你也别想用。
准备完毕,开始演练。
Windows Sysinternals
Sysinternals工具是一套用于微软Windows平台,免费的高级管理、诊断和排错工具。
https://docs.microsoft.com/zh-cn/sysinternals/
张三在用电脑看电影,突然屏幕锁定了,开始以为是误操作,但和他一起看电影的李四感觉不对劲。
这看的好好的,什么也没干怎么就锁屏了呢,还显示已登录,让输入密码。因前一阵老师讲了些计算机安全知识,李四想这个症状有点像被远程登录了,于是就说了句:不好坏了,被攻击了,张三惊了,来了句:mmp,我的珍藏啊,想到这里,就开始以下操作:
1.拔掉网线:防止被进一步攻击
2.输入密码:可以挤掉攻击者的远程登录状态(若网络未断开,并第一时间发现,攻击方还未进行下一步操作的时候),例如下图所示:
输入密码后,进入学习资料文件夹,发现珍藏还在,放心了,但还是很害怕,于是就对李四说:四哥能不能帮我看看是咋回事,要是被攻击了,看看能不能找到这个憨批,他到底要干啥啊,还好我的珍藏还在,四哥的意识是真NB。
李四回:好,那我试试,正好检验下前阵子所学的知识,看看是不是被攻击了,要是被攻击了,高低要找到这个憨批,不行的话百度下学习下新的知识,实战不行咱俩问问"老师"。说着接过键盘鼠标,按Ctrl R 输入cmd打开了cmd窗口。
检测是否有可疑账号存在
net user
哎正常啊,不行,安全第一,我还是注册表查看下。
regit.exe
修改SAM文件夹权限,已满足当前用户查询要求。注意:查询完毕后,不要忘记恢复之前的权限设置(因SAM文件夹的特殊性,注册表备份恢复效果不是很好)
重新启动注册表编辑器,已让权限设置生效。
小技巧:按方向键↑,调用之前的命令。
看的一个带特殊符合的账号,因之前学习的时候查询无这个账号,还真被攻击了,都创建账号了,这攻击者手速够快啊,一看就是单身多年。
日志分析
知道被攻击后,分析系统日志,验证攻击者攻击方式,并查询其IP地址。cmd窗口输入eventvwr.msc(输入eventvwr.exe也可以打开),打开事件查看器。
事件ID:4648,攻击者尝试登录,查询其访问IP。
事件ID:4624,攻击者登录成功,登录用户:study 登录类型:10 登录IP:192.168.50.1
小知识:
登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
事件ID:4672,申请了特殊权限。
事件ID:4620,创建用户帐户:study ![网络安全应急响应学习记录接触20.jpg]
(/img/sin/M00/00/3E/wKg0C19Pkm6AHL-vAADm4j__-a0367.jpg) 事件ID:4732,study用户被添加到安全本地组。
事件ID:4648,使用身份凭据在尝试登录
总结:
2020-08-31 9:46:14 :攻击者进行远程登录,IP:192.168.50.1
2020-08-31 9:46:14 :攻击者申请特殊权限
2020-08-31 9:46:45 :攻击者创建隐藏账户
2020-08-31 9:46:45 :用户被添加到安全本地组
2020-08-31 9:48:26 :夺回控制权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论