原创｜网络安全应急响应学习记录-接触

之前学习了很多理论知识与操作流程，但未进行实际验证，未避免”纸上谈兵”这一哲学问题出现，故今天“实战”验证下前期所学，不敢奢求太多，此文对伙伴们有稍许即可，更盼望伙伴可以引导与指正，共同学习、共同进步，咳咳，闲聊到此，开始步入正题：

了解敌人

欲先制敌,必先惑敌

主流Web攻击目的及现象

一般来说，没有无缘无故的攻击，攻击总是伴随着相关的目的性和攻击现象。

1.常见的主流Web攻击目的分类

数据窃取

数据窃取是指黑客一般通过获取相关数据进行进一步的利用变现。

案例：雅虎用户数据被窃取

网页篡改

网页篡改是指对网站网页进行篡改/对重要网站植入暗链SEO。

案例：某网站被挂“黑页”

恶意软件

恶意软件是指通过网站的安全漏洞，植入勒索病毒等，让受害者支付相关比特币或者其他的虚拟货币进行解密，以及利用漏洞植入挖矿程序，让受害者服务器/电脑成为矿机以挖取相关的虚拟货币。

案例：勒索病毒

2.常见主流Web攻击现象

当网站遭遇了Web 攻击，通常会出现以下异常现象。

数据异常

数据异常是指通过各种手段发现数据外流、出现各种不合法数据以及网站流量异常伴随着大量攻击报文等。

例如：使用入侵检测系统检测异常数据

系统异常

系统异常是指服务器出现异常、异常网页、异常账号、异常端口等。

案例：系统登录异常

系统CPU

根据CPU异常使用率，分析可疑进程。

案例：使用procexp进行分析

网络数据异常

流量异常是指流量浮动明显与往常不一致，或者夹杂着异常攻击，出现这种情况很有可能已被病毒感染。

案例：防火墙提示服务器发出异常流量可能感染病毒

告警异常

使用某些防护设备，当检测到攻击行为时，会进行告警操作，若出现告警情况，很有可能已被攻击，这个时候就需要仔细排查下了，但也可能是误报。

案例：攻击告警?

常见Web攻击入侵方式

命令执行

应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。

组件漏洞

例如：WebLogicWLS组件中存在远程代码执行漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击。

反序列化

通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

注入攻击

例如Sql注入通过注入点列出数据库里面管理员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。

社工攻击

人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。

你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。

虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。

旁站攻击

这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。

上传漏洞

利用上传功能的控制不足或者处理缺陷，或解析漏洞，让攻击者越权上传恶意文件，进行攻击行为。

信息泄露

例如泄露用户名、密码、内部人员信息等等，为进一步攻击做准备工作。

跨站攻击

例如利用xss漏洞进行下载病毒、木马，并进行窃取账号密码操作。

溢出攻击

Web服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTPHeader域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。

拒绝服务

拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。简单来说就是不想让你好过，我拿不到“权限”，你也别想用。

模拟演练

准备完毕，开始演练。

工具准备

Windows Sysinternals

Sysinternals工具是一套用于微软Windows平台，免费的高级管理、诊断和排错工具。

https://docs.microsoft.com/zh-cn/sysinternals/

事件一

张三在用电脑看电影，突然屏幕锁定了，开始以为是误操作，但和他一起看电影的李四感觉不对劲。

?

这看的好好的，什么也没干怎么就锁屏了呢，还显示已登录，让输入密码。因前一阵老师讲了些计算机安全知识，李四想这个症状有点像被远程登录了，于是就说了句：不好坏了，被攻击了，张三惊了，来了句：mmp，我的珍藏啊，想到这里，就开始以下操作：

1.拔掉网线：防止被进一步攻击

2.输入密码：可以挤掉攻击者的远程登录状态（若网络未断开，并第一时间发现，攻击方还未进行下一步操作的时候），例如下图所示：

?

输入密码后，进入学习资料文件夹，发现珍藏还在，放心了，但还是很害怕，于是就对李四说：四哥能不能帮我看看是咋回事，要是被攻击了，看看能不能找到这个憨批，他到底要干啥啊，还好我的珍藏还在，四哥的意识是真NB。

李四回：好，那我试试，正好检验下前阵子所学的知识，看看是不是被攻击了，要是被攻击了，高低要找到这个憨批，不行的话百度下学习下新的知识，实战不行咱俩问问”老师”。说着接过键盘鼠标，按Ctrl R 输入cmd打开了cmd窗口。

检测是否有可疑账号存在?

重新启动注册表编辑器，已让权限设置生效。

小技巧：按方向键，调用之前的命令。?

看的一个带特殊符合的账号，因之前学习的时候查询无这个账号，还真被攻击了，都创建账号了，这攻击者手速够快啊，一看就是单身多年。?

日志分析

知道被攻击后，分析系统日志，验证攻击者攻击方式，并查询其IP地址。cmd窗口输入eventvwr.msc(输入eventvwr.exe也可以打开)，打开事件查看器。

事件ID:4648,攻击者尝试登录，查询其访问IP。?

事件ID:4624,攻击者登录成功，登录用户:study 登录类型：10 登录IP:192.168.50.1

小知识：

登录类型10：远程交互（RemoteInteractive）

当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。?

事件ID:4672,申请了特殊权限。?

事件ID:4620,创建用户帐户：study![网络安全应急响应学习记录接触20.jpg]

事件ID:4648,使用身份凭据在尝试登录

总结：

2020-08-31 9:46:14 ：攻击者进行远程登录，IP:192.168.50.1

2020-08-31 9:46:14 ：攻击者申请特殊权限

2020-08-31 9:46:45 ：攻击者创建隐藏账户

2020-08-31 9:46:45 ：用户被添加到安全本地组

2020-08-31 9:48:26 ：夺回控制权限

?

?

?

???

来源：白帽子