HW真实溯源笔记思路

admin 2023年3月18日23:25:15评论99 views字数 765阅读2分33秒阅读模式


## 0x00 第一次信息收集


获取攻击IP
IP反查定位(考虑是否为代理)
IP资产探测(masscan+nmap)、在线端口探测等
IP web的指纹识别等信息收集


0x01 尝试获取getshell提权


根据获取的资产信息,进行渗透(awvs等工具)


0x02 第一次提权后的信息收集


查看历史的shell命令是否存在数据:
取消shell命令历史记录:set + o history
删除上一步的取消命令:history -d id
查询登录过当前系统的IP:last,定位该IP
进行该IP的第一次信息收集同上
系统信息收集:内核,系统版本情况等,尝试是否可以提权操作
查看你进程中的IP:ps -aux 反查IP信息,信息收集
查看计划任务:cat /var/log/cron
查看启动项:touch /var/lock/subsys/local
查看暂居前五的进程:
ps auxw | head -1;ps auxw|sort -rn -k4|head -6
对进程排查,进行进程中的程序信息收集
查询类似的可疑文件:find / -name “xxx“


0x03 对发现的IP资产进行第二次信息收集


IP定位
资产扫描
端口框架等指纹信息
尝试提权
例如:redis,mysql弱口令爆破等 masscan + nmap全端口探测
如提权成功,重复上一步的提权后的信息收集


0x04 溯源总结


IP信息总结,排查出可疑IP人员
whois等查询邮箱等信息
微步在线查询相关身份信息
sgk进一步查询:sj、cp、sfz等

作者: Hsy.Sec
链接: 
http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/
本文章著作权归作者所有,任何形式的转载都请注明出处。

加我好友进2022HVV 交流群

HW真实溯源笔记思路


HW真实溯源笔记思路


原文始发于微信公众号(HACK之道):HW真实溯源笔记思路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月18日23:25:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW真实溯源笔记思路https://cn-sec.com/archives/1218805.html

发表评论

匿名网友 填写信息