Loading

七十二:内网安全-域横向CS&MSF联动及应急响应初始

MSF&Cobaltstrike联动shell

WEB攻击应急响应溯源-后门,日志

WIN系统攻击应急响应溯源-后门,日志,流量

临时看CTF如何进对应

演示案例:
• MSF&CobaltStrike联动Shell
• WEB攻击应急响应朔源-后门,日志
• WIN系统攻击应急响应朔源-后门,日志,流量
• 临时给大家看看学的好的怎么干对应CTF比赛

案例1-MSF&CobaltStrike联动Shell

CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject

站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。

注重信息搜集,从攻击面入手查看应急响应。

案例2-WEB攻击应急响应溯源-后门,日志

故事回顾:某客户反应自己的网站首页出现篡改,请求支援
分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式
思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
思路2:利用后门webshell查杀脚本或工具找到对应后门文件,定位第一次时间分析

tasklist /svc 查看pid进程号(windows)
查看access.log文件,查看日志  (查看工具指纹)

案例3-WIN系统攻击应急溯源-后门,日志,流量

分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式
故事回顾:某客户反应服务器出现卡顿等情况,请求支援
思路:利用监控工具分析可疑文件,利用接口工具抓流量
获取进行监控:PCHunter64
				ua userassistview  可查看exe进程运行时间,便于分析计算机发生的事情。
posted @ 2021-03-29 10:09  王嘟嘟~  阅读(788)  评论(0编辑  收藏  举报