2025年3月26日14:26:51评论16 views字数 2091阅读6分58秒阅读模式

1-web 攻击事件

获取当前WEB环境的组成架构（脚本，数据库，中间件，系统等）

分析思路：

1、利用时间节点筛选日志行为

2、利用对漏洞进行筛选日志行为

3、利用后门查杀进行筛选日志行为

4、利用文件修改时间筛选日志行为

5、利用流量捕获设备数据包分析行为

2-web 日志分析

确定存储路径及查看细节

IIS Apache Nginx Tomcat

1、数据包流量特征

2、工具流量特征指纹

了解使用哪种工具或哪种技术、漏洞利用等

因为日志大部分不会存储POST数据包或存储过少，导致无法分析具体行为

主机会采用流量捕获设备或防御检测系统抓到攻击流量包，便于分析具体行为

1、哥斯拉流量包

2、漏洞利用流量包

3、特有加密流量包

3-IIS 日志分析

4-1 日志的位置

打开 IIS 管理器,找到对应网站点击打开日志

这个就是网站日志的路径

点击打开里面就是我们的日志了

4-2 日志的分析

有一个特点

就是看不到 POST 提交的数据

先去 icp 搜索 ip 获取备案号与 ip

拿到备案号去奇安信进行搜备案号

5-Apache 日志分析

日志常见

Usr/local/apache2/logs

/var/log/apache2

Apache2.4.39/logs

/var/log/httpd/access.log

5-1 复现

攻击者发送攻击流量

这里是蓝队自己的网站用 ThinkPHP 和 apache 搭建的然后攻击者发送漏洞检查

分析日志

windows 的 apache 日志位置

根据时间点刷选

就能看得到有大量的攻击流量

6-tomcat 日志分析

日志文件位置一般在

D:javatomcatapache-tomcat-8.0.53logsaccess.log

复现

看到日记可以看到访问了 1 网站下的 test.jsp

我们就可以怀疑是不是 webshell 或者时哥斯拉的 webshell

在网上看我们可以看到他是通过 manager 弱口令访问的然后通过上传文件上传的

我们就可以使用蓝队工具想扫描一下看看是不是后门

扫描到发现是后门但是我们能不能判断为是哥斯拉生成的呢

通过人工是看不出来的

这时候我们就需要通过流量来分析了 wireshark

7-wireshark 流量分析

7-1 追踪 webshell

我们都知道 webshell 执行要先访问当前木马的 url 的

这样就形成了 http 协议

我们抓取 http 协议即可

我们可以进行 http 过滤查询找 http 协议的

7-2 追踪 webshell 执行命令执行

我们先知道哥斯拉触发的条件

就是假设对方已经把 jsp 木马上传到目录了

然后用哥斯拉连接

当执行一次命令此时的时候

会先跟当前 jsp 目录建立 http 连接

例如:

<?phpeval($_POST[name]);?>

我们上传这个 php 后门当我们要执行命令此时我们需要在请求体添加 name 的值这样抓到数据跟普通访问木马是不同的

那么当他要执行命令的时候,http 先连接成功,然后执行命令形成 tcp 流

返回的数据就通过 tcp 返回给哥斯拉的

7-2-1 复现抓取 webshell 流量命令执行

攻击者先模拟流量进行命令执行

蓝队抓取流量

可以看到这些就是 webshell 执行的流量

虽然是加密的但是我们可以用工具进行解密

7-2-1-1 BlueTeamToolsV1.08 恢复哥斯拉等 webshell 流量

可以看到这里有个 pass 传递的值里面的值可以就是它执行命令的流量

这下面就是它执行的命令

我们也可以观察服务器返回的数据

7-2 追踪 shiro 框架类利用流量

我们可以追踪 shiro 漏洞流量

攻击者模拟大量 shior 框架利用流量

蓝队过滤 http 数据

追踪 http 流

用蓝队工具分析 remeberme

8-web 后门查杀地址

https://mp.weixin.qq.com/s/qPGLNtzJFLorTfwIjL29fw

https://mp.weixin.qq.com/s/jTHPVlQA-qROO44-A_lp0w

注：关于内存马查杀还需后续讲解

1、阿里伏魔

https://ti.aliyun.com/#/webshell

2、百度WEBDIR+

https://scanner.baidu.com/#/pages/intro

3、河马

https://n.shellpub.com/

4、CloudWalker(牧云)

https://stack.chaitin.com/security-challenge/webshell

5、在线webshell查杀-灭绝师太版

http://tools.bugscaner.com/killwebshell/

6、WebShellDetectorWebShell扫描检测器

http://www.shelldetector.com/

7、D盾

http://www.d99net.net

8、各类杀毒

火绒，管家，X60，Defender，Nod32等

0x05 参考链接

https://www.yuque.com/u41457375/ni7121/lgvvi41umzdp3ftp#

转载自：springCloud

如有侵权，请联系删除

原文始发于微信公众号（Z0安全）：【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫