安全矩阵

 找回密码
 立即注册
搜索
查看: 1388|回复: 0

HW真实溯源笔记思路

[复制链接]

251

主题

270

帖子

1783

积分

金牌会员

Rank: 6Rank: 6

积分
1783
发表于 2022-8-4 23:16:09 | 显示全部楼层 |阅读模式
本帖最后由 Meng0f 于 2022-8-4 23:18 编辑

HW真实溯源笔记思路
[url=]转载于:HACK之道[/url] 2022-08-03 09:30 发表于重庆
收录于合集
#2022HW1个
#攻防演练2个
#蓝队溯源1个

HACK之道
HACK之道,专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。
9篇原创内容

公众号

## 0x00 第一次信息收集

获取攻击IPIP反查定位(考虑是否为代理)IP资产探测(masscan+nmap)、在线端口探测等IP web的指纹识别等信息收集
0x01 尝试获取getshell提权
根据获取的资产信息,进行渗透(awvs等工具)
0x02 第一次提权后的信息收集
****
查看历史的shell命令是否存在数据:
取消shell命令历史记录:set + o history
删除上一步的取消命令:history -d id
查询登录过当前系统的IP:last,定位该IP
进行该IP的第一次信息收集同上
系统信息收集:内核,系统版本情况等,尝试是否可以提权操作
查看你进程中的IP:ps -aux 反查IP信息,信息收集
查看计划任务:cat /var/log/cron
查看启动项:touch /var/lock/subsys/local
查看暂居前五的进程:ps auxw | head -1;ps auxw|sort -rn -k4|head -6
对进程排查,进行进程中的程序信息收集
查询类似的可疑文件:find / -name “xxx“
0x03 对发现的IP资产进行第二次信息收集
IP定位资产扫描端口框架等指纹信息尝试提权例如:redis,mysql弱口令爆破等 masscan + nmap全端口探测如提权成功,重复上一步的提权后的信息收集
0x04 溯源总结
IP信息总结,排查出可疑IP人员whois等查询邮箱等信息微步在线查询相关身份信息sgk进一步查询:sj、cp、sfz等
作者: Hsy.Sec链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/本文章著作权归作者所有,任何形式的转载都请注明出处。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-28 19:22 , Processed in 0.014123 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表