证券简称:天融信 证券代码:002212
全天候7x24小时服务: 400-777-0777

hw真实溯源笔记思路-凯发k8国际首页登录

根据获取的资产信息,进行渗透(awvs等工具)
发布时间:2022-08-12
浏览次数:2859
分享:

作者: hsy.sec

链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/

0x00 第一次信息收集

获取攻击ip

ip反查定位(考虑是否为代理)

ip资产探测(masscan nmap)、在线端口探测等

ip web的指纹识别等信息收集

0x01 尝试获取getshell提权

根据获取的资产信息,进行渗透(awvs等工具)

0x02 第一次提权后的信息收集

查看历史的shell命令是否存在数据:

取消shell命令历史记录:set o history

删除上一步的取消命令:history -d id

查询登录过当前系统的ip:last,定位该ip

进行该ip的第一次信息收集同上

系统信息收集:内核,系统版本情况等,尝试是否可以提权操作

查看你进程中的ip:ps -aux 反查ip信息,信息收集

查看计划任务:cat /var/log/cron

查看启动项:touch /var/lock/subsys/local

查看暂居前五的进程:

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

对进程排查,进行进程中的程序信息收集

查询类似的可疑文件:find / -name “xxx“

0x03 对发现的ip资产进行第二次信息收集

ip定位

资产扫描

端口框架等指纹信息

尝试提权

例如:redis,mysql弱口令爆破等 masscan nmap全端口探测

如提权成功,重复上一步的提权后的信息收集

0x04 溯源总结

ip信息总结,排查出可疑ip人员

whois等查询邮箱等信息

微步在线查询相关身份信息

sgk进一步查询:sj、cp、sfz等

在线咨询





在线留言





客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注
网站地图