75:应急响应-数据库&漏洞口令检索&应急取证箱——Win 日志自动神器 LogonTracer是一个好东西,漏洞和弱密码工具是本地漏洞检查,扫描探测思路
75:应急响应-数据库&漏洞口令检索&应急取证箱
必须知识点:
- 1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
- 2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
- 3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫
本课重点:
- 案例1:系统日志-Win 日志自动神器 LogonTracer-外网内网日志
- 案例2:应用分析-数据库 Mysql&Mssql&Oracle 等分析-爆破注入操作
- 案例3:模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
- 案例4:专业要求-自动化 ir-rescue 应急响应取证工具箱-实时为您提供服务
案例1:Win 日志自动神器 LogonTracer-外网内网
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
如何安装使用:https://github.com/JPCERTCC/LogonTracer/wiki/ linux安装使用笔记:阿里云主机记得开放端口及关闭防火墙1.下载并解压 neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar2.安装 java11 环境:sudo yum install java-11-openjdk -y3.修改 neo4j 配置保证外部访问:dbms.connector.bolt.listen_address=0.0.0.0:7687dbms.connector.http.listen_address=0.0.0.0:7474./bin/neo4j console &4.下载 LogonTracer 并安装库:git clone https://github.com/JPCERTCC/LogonTracer.gitpip3 install -r requirements.txt5.启动 LogonTracer 并导入日志文件分析python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.16.刷新访问 LogonTracer-web_gui 查看分析结果 |
案例演示
案例2:数据库 Mysql&Mssql&Oracle 等日志分析-爆破注入操作
|
1
2
3
4
5
6
7
8
|
常见的数据库攻击包括弱口令、SQL 注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。Mysql:启用,记录,分析(分析 SQL 注入及口令登录爆破等)show variables like '%general%';SET GLOBAL general_log = 'On';SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';Mssql:查看,跟踪,分析(配置跟踪可分析操作,查看日志可分析登录等) |
案例演示1-mysql日志
<1>查看日志设置,默认关闭状态,手动打开
<2>模拟注入攻击
<3>查看日志,发现注入记录
<4>模拟爆破攻击
<5>查看日志,发现爆破记录
案例演示2-SqlServer日志
<1>SqlServer日志位置
<2>SqlServer数据库属性可以配置日志是否记录,日志保存多久等
<3>模拟爆破攻击
<4>查看日志,发现爆破记录
<5>登录系统,模拟用户名sql注入
<6>数据库日志实时记录了注入语句
案例3:自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
1.日志被删除或没价值信息2.没有思路进行分析可以采用模拟渗透1.windows,linux 系统漏洞自查:WindowsVulnScan,linux-exploit-suggesterD:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json./linux-exploit-suggester.shhttps://github.com/chroblert/WindowsVulnScanhttps://github.com/mzet-/linux-exploit-suggester2.windows,linux 服务漏洞自查:windows:Get-WmiObject -class Win32_Product #Powershell命令linux:LinEnum.shsearchsploit weblogic利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索https://github.com/rebootuser/LinEnumhttps://github.com/offensive-security/exploitdb<br>以上,前面已经讲过,不再演示 |
|
1
|
3.windows,linux 协议弱口令自查-工具探针或人工获取判断-snetcraker |
案例4:自动化 ir-rescue 应急响应工具箱-实时为您提供服务
|
1
2
3
4
5
|
https://github.com/diogo-fernan/ir-rescue分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器应急响应资料工具-小迪安全https://pan.baidu.com/s/1tQS1mUelmEh3I68AL7yXGg 提取码:xiao |
