HW真实溯源笔记思路
作者: Hsy.Sec
链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/
0x00 第一次信息收集
获取攻击IP
IP反查定位(考虑是否为代理)
IP资产探测(masscan+nmap)、在线端口探测等
IP web的指纹识别等信息收集
0x01 尝试获取getshell提权
根据获取的资产信息,进行渗透(awvs等工具)
0x02 第一次提权后的信息收集
查看历史的shell命令是否存在数据:
取消shell命令历史记录:set + o history
删除上一步的取消命令:history -d id
查询登录过当前系统的IP:last,定位该IP
进行该IP的第一次信息收集同上
系统信息收集:内核,系统版本情况等,尝试是否可以提权操作
查看你进程中的IP:ps -aux 反查IP信息,信息收集
查看计划任务:cat /var/log/cron
查看启动项:touch /var/lock/subsys/local
查看暂居前五的进程:
ps auxw | head -1;ps auxw|sort -rn -k4|head -6
对进程排查,进行进程中的程序信息收集
查询类似的可疑文件:find / -name “xxx“
0x03 对发现的IP资产进行第二次信息收集
IP定位
资产扫描
端口框架等指纹信息
尝试提权
例如:redis,mysql弱口令爆破等 masscan + nmap全端口探测
如提权成功,重复上一步的提权后的信息收集
0x04 溯源总结
IP信息总结,排查出可疑IP人员
whois等查询邮箱等信息
微步在线查询相关身份信息
sgk进一步查询:sj、cp、sfz等