渗透测试行动攻防演练中的攻击溯源思路

          在攻防演练对抗的环节中,蓝队通常会采用反击方式来采用红队的某些数据,那样在取得1台服务器后,须要搜集某些重要数据,因此就想起这种实际操作彻底可以利用代码来实现。liunx下可以应用gscan,或是应用自个写的shell代码,windows下可以应用bat或powershell代码。目标非常简单,应用代码简单化某些操作流程,与此同时提示某些实际操作。

追溯构思

在取得1台服务器后,大家通常会开展下列实际操作来采用有关网络攻击者的某些数据,查普通用户,查询IP地址或是用户名数据,利用该数据更进一步搜索。

查连接数据,利用查询已经在创建连接的状况,挑选出上一跳IP地址。查系统日志,利用查询历史时间的远程登陆数据,来采用上一跳IP地址。查登陆密码,查询工具采用windwos下登陆密码,或是liunx下的公钥文件,这种地方也很有可能会曝露id号数据,RDP存储的登陆密码也是一个重中之重,登陆密码采用到还能更进一步实际操作,如查询电脑浏览器登陆密码,试着连接上一跳服务器等windwos高版本号默认设置不会再存储在缓存文件中,抓登陆密码须要先注册表修改,随后其再次登陆才可以采用。

历史时间痕迹

历史时间运行命令中很有可能会存有远程下载的实际操作,电脑浏览器中历史时间访问记录等数据敏感文件目录与文件下载文件目录,近期查询的文件,环境变量,别的登陆密码如navicat、xshell等。脚本编写,依据大家要想数据,我们可以开发好用代码,这儿放一下下平常应用的智能化代码。利用网站系统日志的分析,大家很有可能查到网络攻击者的攻击方式及用意,这对大家更进一步抓取攻击队伍可以给予有效帮忙。最先大家须要明确大概侵入事情段,为此为案件线索,搜索这一时间段内异常的系统日志。利用后门文件还可以精准定位其方式。有关共享下抄下来的某些指令:在某些服务器上面对外开放MySQL数据库服务,网络攻击者会利用数据库采用服务器管理权限,在实际操作数据库时也会留有某些痕迹。查询当前正在登录的普通用户。

分享: