目录
此后如竟没有炬火,我便是唯一的光。
从受害方提供的信息预估入侵面以及权限面进行排查,分为有明确信息和无明确信息两种情况:
目前使用IIS很少了,IIS图形化界面相对好理解,先来做这个实验。
使用IIS搭建时,可以看到日志这个功能。
点击之后是可以看到,对应的日志文件的存储地址。还可以看到格式为W3C(后面会用到)
通过高级设置可以找到相关的一些信息,比如说ID是12。我们在找到日志文件的目录的时候,会发现有许多的日志文件。日志文件的命名规则是由格式+ID构成的。
查看具体的日志内容:
以上便是日志的全部内容,可以清楚的看到时间、源IP地址、请求方式、请求的资源、参数等以及还有状态码等信息。
我们可以查找特定的关键字,比如说针对sql注入,就可以查询select 、information等关键字。
当然还可以查询工具的指纹。比如sqlmap。
上面的日志就告诉我们有sql注入攻击,攻击者使用的是sqlmap工具。
打开网站的根目录,找到nignx的配置文件;
打开nignx的配置文件,来找相应的日志文件,存储的路径。
找到对应的目录;从宝塔下载日志到本地
之所以下载下来是便于查看,分析。 接下来便是分析日志文件的内容。
上面便可以发现,攻击者在扫描文件,像御剑等这样的工具。
这个还可以清楚的看到antSword,显而易见了,攻击者使用了蚁剑。并且还可以判断出在网站的目录下面被上传了webshell文件x.php。
当然BT是有自带的webshell后门查杀的功能。如下:
有一个目录查杀的功能,点击之后,便可以自定义查杀的路径。
xiaodi老师拿着自己的博客分析了一波 :)逮住了两个弟弟:)
好家伙这个鸟毛,一直在扫描。 之后得到IP地址,便可以查该IP地址的所属地。
之后有学习到几个工具:
先说下,接下来的实验背景,某真实hvv行动中,RT通过Struts2成功打穿,扒下来的日志如下:
被攻击者提供的时间为四月九号。那就先来看一下四月九号的日志吧。
这里就涉及到了一款工具, 百度搜一下:好用的日志分析工具。
开源实时日志分析的ELK平台,有ElasticSearch、Logstash和Kiabana三个开源的项目组成,在企业级日志管理平台中十分常见。
Splunk使用最广泛的日志管理平台之一。Splunk实时监控日志和数据。Splunk的多功能性使其能够从网络中的几乎任何设备或应用中获取日志数据。使用时,可以使用搜索栏查看实时和历史数据。还有搜索建议可帮助你更轻松地找到所需信息。
这里实验使用的是360星图。下载之后需要进行配置一下:
就是这里需要配置下,加上我们的日志文件存放的路径即可。其他的不无需配置,当然也是可以根据自己的需求来配置。
根据上面的日志,查询到相关的可以的IP地址171.11.231.56 使用360星图来查询。
发现该IP地址就仅仅在四月九号出现,也刚好就是我们一开始分析到的三个地方。
再根据攻击者提供的后门相关文件为caiyun.jsp 那么继续使用星图查询关键字caiyun。
查到了IP地址为111.198.88.85在五月15号的时候访问了webshell文件,那肯定攻击者就是他了,其他的人怎么会知道这个文件呢?
找到这个文件,看到以上内容。 发现文件中的内容有着Pwd=“cy” 在使用星图查询关键字Pwd
发现了2020-04-09.log文件中有着相关的内容,而其他的文件只是涉及Pwd而已,并不是真正的文件上传的时候的操作。打开看一下。
刚好匹配我们看到的jsp木马文件中的内容。看来这就是上传文件了。锁定了IP地址,可以查看以下IP所属地。
(xd老师根据qq的搜索功能,搜了以下彩云,哈哈哈哈哈,搜到了网名为彩云的这个鸟毛)
由于自己最近也在参加hvv,这部分的学习相当于顺便复习知识点了。