本帖最后由 Meng0f 于 2022-8-4 23:18 编辑
HW真实溯源笔记思路[url=]转载于:HACK之道[/url] 2022-08-03 09:30 发表于重庆 收录于合集 #2022HW1个 #攻防演练2个 #蓝队溯源1个
HACK之道 HACK之道,专注于红队攻防、实战技巧、CTF比赛、安全开发、安全运维、安全架构等精华技术文章及渗透教程、安全工具的分享。 9篇原创内容
公众号
## 0x00 第一次信息收集
获取攻击IPIP反查定位(考虑是否为代理)IP资产探测(masscan+nmap)、在线端口探测等IP web的指纹识别等信息收集 0x01 尝试获取getshell提权
根据获取的资产信息,进行渗透(awvs等工具) 0x02 第一次提权后的信息收集**** 查看历史的shell命令是否存在数据: 取消shell命令历史记录:set + o history 删除上一步的取消命令:history -d id 查询登录过当前系统的IP:last,定位该IP 进行该IP的第一次信息收集同上 系统信息收集:内核,系统版本情况等,尝试是否可以提权操作 查看你进程中的IP:ps -aux 反查IP信息,信息收集 查看计划任务:cat /var/log/cron 查看启动项:touch /var/lock/subsys/local 查看暂居前五的进程:ps auxw | head -1;ps auxw|sort -rn -k4|head -6 对进程排查,进行进程中的程序信息收集 查询类似的可疑文件:find / -name “xxx“ 0x03 对发现的IP资产进行第二次信息收集
IP定位资产扫描端口框架等指纹信息尝试提权例如:redis,mysql弱口令爆破等 masscan + nmap全端口探测如提权成功,重复上一步的提权后的信息收集 0x04 溯源总结
IP信息总结,排查出可疑IP人员whois等查询邮箱等信息微步在线查询相关身份信息sgk进一步查询:sj、cp、sfz等
| 
发表于 2022-8-4 23:16:09