【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

admin 2025年3月26日14:26:51评论16 views字数 2091阅读6分58秒阅读模式

1-web 攻击事件

获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)

分析思路:

1、利用时间节点筛选日志行为

2、利用对漏洞进行筛选日志行为

3、利用后门查杀进行筛选日志行为

4、利用文件修改时间筛选日志行为

5、利用流量捕获设备数据包分析行为

2-web 日志分析

确定存储路径及查看细节

IIS Apache Nginx Tomcat

1、数据包流量特征

2、工具流量特征指纹

了解使用哪种工具或哪种技术、漏洞利用等

因为日志大部分不会存储POST数据包或存储过少,导致无法分析具体行为

主机会采用流量捕获设备或防御检测系统抓到攻击流量包,便于分析具体行为

1、哥斯拉流量包

2、漏洞利用流量包

3、特有加密流量包

3-IIS 日志分析

4-1 日志的位置

  1. 打开 IIS 管理器,找到对应网站 点击打开日志
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
  1. 【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

这个就是网站日志的路径

  1. 找到对应网站对应 ID 的目录
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

点击打开里面就是我们的日志了

4-2 日志的分析

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

有一个特点

就是看不到 POST 提交的数据

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

先去 icp 搜索 ip 获取备案号与 ip

拿到备案号 去奇安信进行搜备案号

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

5-Apache 日志分析

日志常见

Usr/local/apache2/logs

/var/log/apache2

Apache2.4.39/logs

/var/log/httpd/access.log

5-1 复现

  1. 攻击者发送攻击流量

这里是蓝队自己的网站用 ThinkPHP 和 apache 搭建的  然后攻击者发送漏洞检查

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
  1. 分析日志

windows 的 apache 日志位置

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

根据时间点刷选

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

就能看得到有大量的攻击流量

6-tomcat 日志分析

日志文件位置一般在

D:javatomcatapache-tomcat-8.0.53logsaccess.log

  1. 复现
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

看到日记可以看到访问了 1 网站下的 test.jsp

我们就可以怀疑是不是 webshell 或者时哥斯拉的 webshell

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

在网上看我们可以看到他是通过 manager 弱口令访问的 然后通过上传文件上传的

  1. 我们就可以使用蓝队工具想扫描一下看看是不是后门
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

扫描到发现是后门 但是我们能不能判断为是哥斯拉生成的呢

通过人工是看不出来的

这时候我们就需要通过 流量来分析了 wireshark

7-wireshark 流量分析

7-1 追踪 webshell

我们都知道 webshell 执行 要先访问当前木马的 url 的

这样就形成了 http 协议

我们抓取 http 协议即可

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

我们可以进行 http 过滤 查询找 http 协议的

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

7-2 追踪 webshell 执行命令执行

我们先知道哥斯拉触发的条件

就是假设对方已经把 jsp 木马上传到目录了

然后用哥斯拉连接

当执行一次命令此时的时候

会先跟当前 jsp 目录建立 http 连接

例如:

<?phpeval($_POST[name]);?>

我们上传这个 php 后门 当我们要执行命令此时 我们需要在请求体添加 name 的值 这样抓到数据跟普通访问木马是不同的

那么当他要执行命令的时候,http 先连接成功,然后执行命令形成 tcp 流

返回的数据就通过 tcp 返回给哥斯拉的

7-2-1 复现抓取 webshell 流量 命令执行
  1. 攻击者先模拟流量 进行命令执行
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
  1. 蓝队抓取流量
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

可以看到这些就是 webshell 执行的流量

虽然是加密的 但是我们可以用工具进行解密

7-2-1-1 BlueTeamToolsV1.08 恢复哥斯拉等 webshell 流量
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

可以看到这里有个 pass 传递的值 里面的值可以就是它执行命令的流量

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

这下面就是它执行的命令

我们也可以观察服务器返回的数据

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

7-2 追踪 shiro 框架类利用流量

我们可以追踪 shiro 漏洞流量

  1. 攻击者模拟大量 shior 框架利用流量
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
  1. 蓝队过滤 http 数据
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

追踪 http 流

【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理
  1. 用蓝队工具 分析 remeberme
【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

8-web 后门查杀地址

https://mp.weixin.qq.com/s/qPGLNtzJFLorTfwIjL29fw

https://mp.weixin.qq.com/s/jTHPVlQA-qROO44-A_lp0w

注:关于内存马查杀还需后续讲解

1、阿里伏魔

https://ti.aliyun.com/#/webshell

2、百度WEBDIR+

https://scanner.baidu.com/#/pages/intro

3、河马

https://n.shellpub.com/

4CloudWalker(牧云)

https://stack.chaitin.com/security-challenge/webshell

5、在线webshell查杀-灭绝师太版

http://tools.bugscaner.com/killwebshell/

6WebShellDetectorWebShell扫描检测器

http://www.shelldetector.com/

7D

http://www.d99net.net

8、各类杀毒

火绒,管家,X60DefenderNod32

0x05 参考链接

https://www.yuque.com/u41457375/ni7121/lgvvi41umzdp3ftp#

转载自:springCloud

如有侵权,请联系删除

原文始发于微信公众号(Z0安全):【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日14:26:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【蓝队】应急响应&web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理https://cn-sec.com/archives/3886617.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息