证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

HW真实溯源笔记思路

根据获取的资产信息,进行渗透(awvs等工具)

HW真实溯源笔记思路

发布时间:2022-08-12
浏览次数:2890
分享:

作者: Hsy.Sec

链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/

0x00 第一次信息收集

获取攻击IP

IP反查定位(考虑是否为代理)

IP资产探测(masscan+nmap)、在线端口探测等

IP web的指纹识别等信息收集

0x01 尝试获取getshell提权

根据获取的资产信息,进行渗透(awvs等工具)

0x02 第一次提权后的信息收集

查看历史的shell命令是否存在数据:

取消shell命令历史记录:set + o history

删除上一步的取消命令:history -d id

查询登录过当前系统的IP:last,定位该IP

进行该IP的第一次信息收集同上

系统信息收集:内核,系统版本情况等,尝试是否可以提权操作

查看你进程中的IP:ps -aux 反查IP信息,信息收集

查看计划任务:cat /var/log/cron

查看启动项:touch /var/lock/subsys/local

查看暂居前五的进程:

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

对进程排查,进行进程中的程序信息收集

查询类似的可疑文件:find / -name “xxx“

0x03 对发现的IP资产进行第二次信息收集

IP定位

资产扫描

端口框架等指纹信息

尝试提权

例如:redis,mysql弱口令爆破等 masscan + nmap全端口探测

如提权成功,重复上一步的提权后的信息收集

0x04 溯源总结

IP信息总结,排查出可疑IP人员

whois等查询邮箱等信息

微步在线查询相关身份信息

sgk进一步查询:sj、cp、sfz等

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注