75应急响应-数据库&漏洞口令检索&应急取证箱

必要知识点

第三方应用是选择性的安装的，比如mysql，如何做好信息收集，有没有爆过它的漏洞，和漏洞探针也是获取攻击者思路的重要操作，除去本身漏洞外，提前预知或口令相关攻击也要进行筛选。

排除三方应用攻击行为，自查漏洞分析攻击者思路，人工配合工具脚本

由于工具或脚本更新，分类复杂，打造自己工具箱也好分辨攻击者使用了什么工具

系统日志-Win 日志自动神器 LogonTracer-外网内网日志

如何安装使用：https://github.com/JPCERTCC/LogonTracer/wiki/

具体教程去网上搜索即可

Linux安装使用笔记：

阿里云主机记得开放端口及关闭防火墙

下载并解压插件neo4j：

tar -zvxf neo4j-community-4.2.1-unix.tar

安装java11环境，java环境配合插件版本选择：

sudo yum install java-11-openjdk -y

修改neo4j配置保证外部访问：

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

启动neo4j：

cd /opt/neo4j-community-4.2.1/

./bin/neo4j console &

默认账号密码为“neo4j”“neo4j”

下载LogonTracer并安装库：

git clone https://github.com/JPCERTCC/LogonTracer.git

pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

启动

python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]

python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

打开的界面

可以通过这个界面的upload去上传日志文件，也可以通过命令行导入文件

导入日志文件

python3 logontracer.py -e [日志文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]

来文件查看器，查看系统日志的路径，找到系统日志文件，然后复制下来，然后上传到服务器上

python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

导入之后刷新一下界面

6.结果要在网页端查看，也可以直接在网页端左侧“Upload”导入日志，地址为

http://[本地IP]:[启动时填写的端口]

会给一个可视化视图，可以搜索筛选

数据库Mysql&Mssql&Oracle等日志分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。

数据库主要针对虚拟的游戏币，修改参数等等行为，还可以用数据库进行提权操作；

主要还是看攻击者有没有对数据操作，

Mysql：启用，记录，分析（分析SQL注入及口令登录爆破等）

查看数据库日志设置

show variables like ‘%general%’;

保存日志默认是关闭的，路径在d盘里面

启用日志

SET GLOBAL general_log = ‘On’;

设置日志的保存目录

SET GLOBAL general_log_file = ‘/var/lib/mysql/mysql.log’;

这个我就不设置了，默认的就行

随便打开一个靶场测试一下

执行个and1=1

日志里面就有记录，

在爆破一下试试

日志里面就有很多尝试登录，所以数据库执行过的目录，它都有记录

Mssql：查看，跟踪，分析（配置跟踪可分析操作，查看日志可分析登录等）

打开Microsoft SQL Server Management Studio

登录日志位置：“管理”“SQL Server日志”

这个记录的信息比较多，攻击者ip什么的，这个日志记录登录信息；

还有一个日志记录历史命令

实时监控日志位置：“工具”“SQL Server Profiler”

实时监控日志开启：选中数据库，右键“属性”“更改属性”，确保更改属性为“True”

想要保存过往数据，在“自动清除”处选“False”

选择某个数据库，开启数据库的这个才会有历史命令记录，

然后登录框注入攻击

模拟测试-自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

有时候所有日志文件都没有分析到攻击行为，有时候攻击者会把日志删了，在攻击者拿下系统权限之后，就是提权成功，就有权力删除日志，

这种情况，一找专业的团队恢复日志；然后模拟攻击者，猜想攻击者怎么攻击进来的，该怎么去修复这个漏洞；

当出现没有日志，有没有思路去猜想攻击者行为，那就可以试着自查漏洞

windows，linux系统漏洞自查:

WindowsVulnScan；linux-exploit-suggester

两个工具

第一工具，先system收集好主机信息。

打开PowerShell，来到文件目录，运行程序

.\KBCollect.ps1

将生成的文件KB.json从被检测机复制到个人电脑上“cve-check.py”的文件夹下

给出可以利用的exp

linux-exploit-suggester

直接执行

./linux-exploit-suggester.sh

会显示存在的漏洞和exp

系统漏洞一个简单排查

windows，linux服务漏洞自查:

查看服务器上有哪些第三方应用 例如安装了weblogic，phpmyadmin

windows：

可以在PowerShell上运行该命令来收集电脑上安装了哪些第三方软件

Get-WmiObject -class Win32_Product

linux：

可以使用LinEnum.sh脚本

./LinEnum.sh

利用前期信息收集配合searchsploit进行应用服务协议等漏洞检索

./searchsploit [软件名]

./searchsploit weblogic

weblogic哪一个版本对应的漏洞exp都会出现，然后假如我电脑刚好装有weblogic，10.3.3版本，然后图中有这个版本爆过的漏洞，然后来到他对应的exp目录下，

然后测试一下是否存在，如果存在的话，攻击者可能就利用的这个，同时分析这个漏洞是什么，需不需要前提条件，漏洞的危害，如果危害很小，比如信息收集，报错漏洞就没啥用

自动化ir-rescue应急响应工具箱-实时为您提供服务

取证工具包，支持Windows和Linux

https://github.com/diogo-fernan/ir-rescue

只需要运行.bat文件，一个是更新，一个是运行

运行之后就会自动下载常见的工具

该软件是各种工具的合集，会自动下载常见应急和取证的工具

分析脚本工具原理，尝试自己进行编写修改，成为自己的工具箱杀器

然后也可以自己修改内容，添加下载地址

ping

an