1-web 攻击事件
获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)
分析思路:
1、利用时间节点筛选日志行为
2、利用对漏洞进行筛选日志行为
3、利用后门查杀进行筛选日志行为
4、利用文件修改时间筛选日志行为
5、利用流量捕获设备数据包分析行为
2-web 日志分析
确定存储路径及查看细节
IIS Apache Nginx Tomcat
1、数据包流量特征
2、工具流量特征指纹
了解使用哪种工具或哪种技术、漏洞利用等
因为日志大部分不会存储POST数据包或存储过少,导致无法分析具体行为
主机会采用流量捕获设备或防御检测系统抓到攻击流量包,便于分析具体行为
1、哥斯拉流量包
2、漏洞利用流量包
3、特有加密流量包
3-IIS 日志分析
4-1 日志的位置
- 打开 IIS 管理器,找到对应网站 点击打开日志
这个就是网站日志的路径
-
找到对应网站对应 ID 的目录
点击打开里面就是我们的日志了
4-2 日志的分析
有一个特点
就是看不到 POST 提交的数据
先去 icp 搜索 ip 获取备案号与 ip
拿到备案号 去奇安信进行搜备案号
5-Apache 日志分析
日志常见
Usr/local/apache2/logs
/var/log/apache2
Apache2.4.39/logs
/var/log/httpd/access.log
5-1 复现
-
攻击者发送攻击流量
这里是蓝队自己的网站用 ThinkPHP 和 apache 搭建的 然后攻击者发送漏洞检查
-
分析日志
windows 的 apache 日志位置
根据时间点刷选
就能看得到有大量的攻击流量
6-tomcat 日志分析
日志文件位置一般在
D:javatomcatapache-tomcat-8.0.53logsaccess.log
-
复现
看到日记可以看到访问了 1 网站下的 test.jsp
我们就可以怀疑是不是 webshell 或者时哥斯拉的 webshell
在网上看我们可以看到他是通过 manager 弱口令访问的 然后通过上传文件上传的
-
我们就可以使用蓝队工具想扫描一下看看是不是后门
扫描到发现是后门 但是我们能不能判断为是哥斯拉生成的呢
通过人工是看不出来的
这时候我们就需要通过 流量来分析了 wireshark
7-wireshark 流量分析
7-1 追踪 webshell
我们都知道 webshell 执行 要先访问当前木马的 url 的
这样就形成了 http 协议
我们抓取 http 协议即可
我们可以进行 http 过滤 查询找 http 协议的
7-2 追踪 webshell 执行命令执行
我们先知道哥斯拉触发的条件
就是假设对方已经把 jsp 木马上传到目录了
然后用哥斯拉连接
当执行一次命令此时的时候
会先跟当前 jsp 目录建立 http 连接
例如:
<?phpeval($_POST[name]);?>
我们上传这个 php 后门 当我们要执行命令此时 我们需要在请求体添加 name 的值 这样抓到数据跟普通访问木马是不同的
那么当他要执行命令的时候,http 先连接成功,然后执行命令形成 tcp 流
返回的数据就通过 tcp 返回给哥斯拉的
7-2-1 复现抓取 webshell 流量 命令执行
-
攻击者先模拟流量 进行命令执行
-
蓝队抓取流量
可以看到这些就是 webshell 执行的流量
虽然是加密的 但是我们可以用工具进行解密
7-2-1-1 BlueTeamToolsV1.08 恢复哥斯拉等 webshell 流量
可以看到这里有个 pass 传递的值 里面的值可以就是它执行命令的流量
这下面就是它执行的命令
我们也可以观察服务器返回的数据
7-2 追踪 shiro 框架类利用流量
我们可以追踪 shiro 漏洞流量
-
攻击者模拟大量 shior 框架利用流量
-
蓝队过滤 http 数据
追踪 http 流
-
用蓝队工具 分析 remeberme
8-web 后门查杀地址
https://mp.weixin.qq.com/s/qPGLNtzJFLorTfwIjL29fw
https://mp.weixin.qq.com/s/jTHPVlQA-qROO44-A_lp0w
注:关于内存马查杀还需后续讲解
1、阿里伏魔
https://ti.aliyun.com/#/webshell
2、百度WEBDIR+
https://scanner.baidu.com/#/pages/intro
3、河马
https://n.shellpub.com/
4、CloudWalker(牧云)
https://stack.chaitin.com/security-challenge/webshell
5、在线webshell查杀-灭绝师太版
http://tools.bugscaner.com/killwebshell/
6、WebShellDetectorWebShell扫描检测器
http://www.shelldetector.com/
7、D盾
http://www.d99net.net
8、各类杀毒
火绒,管家,X60,Defender,Nod32等
0x05 参考链接
https://www.yuque.com/u41457375/ni7121/lgvvi41umzdp3ftp#
0x05 参考链接
https://www.yuque.com/u41457375/ni7121/lgvvi41umzdp3ftp#
转载自:springCloud
如有侵权,请联系删除
原文始发于微信公众号(Z0安全):【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论