渗透测试和应急响应 5

一、渗透测试

1、信息收集：

主要使用nmap、御剑、fofa等工具，收集端口、同网段的IP、子域名、相关服务、框架、以及使用的中间件等组件的版本信息，还有就是历史漏洞信息等。

 

2、漏洞扫描：

根据收集到的信息使用漏扫等工具进行扫描爆破等自动化探测，按照扫描结果进行漏洞验证。

 

3、手工漏洞挖掘：

进行手工漏洞验证和手工漏洞的挖掘，先将收集到的框架漏洞、组件漏洞进行手工验证；然后对主要功能点，比如登录页面、文件上传页面、信息查询页面、密码重置页面等，使用burpsuite等工具进行漏洞挖掘。

 

4、提权：

在客户许可后，对拿到shell权限的漏洞点进一步提权或者内网渗透。

 

5、痕迹清除：

清理渗透过程中留下的木马、账号等内容。

 

6、报告书写：

根据检查出的漏洞及漏洞修复建议，写漏洞报告。

 

7、漏洞复测：

在客户修复完成之后，进行漏洞复测，检查漏洞是否修复完成，完成闭环。

 

二、应急响应

基本流程：

1. 检查服务器进程列表，排查是否存在异常进程。
2. 进一步检查可疑的进程，如果是可疑进程，立即杀掉进程。
3. 检查服务器上的可疑文件，找出是否有异常修改并追溯攻击来源。
4. 检查服务器的网络连接记录，查看流量和连接的来源，排除外部攻击的可能。
5. 报告相关情况给公司负责人以及溯源人员。

 

案例：

在之前的护网期间，有一次我们的服务器遭到了攻击，我们立即展开应急响应工作，我们首先做的是向攻击者的IP范围加入防火墙，限制恶意流量进入服务器，当时我们的服务器已经接收到了一部分恶意流量，我们当时选择了丢弃，因为我们不能让其影响服务器的带宽和处理能力，然后我们在服务器上查看进程信息，发现恶意进程后，我们也是第一时间关闭了恶意进程，我们也删除了攻击者留下的恶意文件，因为攻击者是利用我们服务器的一些安全漏洞从而攻击我们的服务器，所以我们也是给服务器做了安全修复并且也打了补丁，最后我们维护日志文件并进行调查，在确定了攻击方式、攻击目的和攻击来源后，向研判进行汇报。