应急响应LINUX&Windows
linux
| 文件名 | 说明 |
|---|---|
| /etc/passwd | 用户信息文件 |
| /etc/crontab | 定时任务文件 |
| /etc/anacrontab | 异步定时任务文件 |
| /etc/rc.d/rc.local | 开机启动项 |
| /var/log/btmp | 登录失败日志,使用last命令查看 |
| /var/log/cron | 定时任务执行日志 |
| /var/log/lastlog | 所有用户最近登录信息,使用lastlog查看 |
| /var/log/secure | 验证、授权等日志 |
| /var/log/wtmp | 包含用户登录日志,使用last命令查看 |
| /var/log/utmp | 当前登录系统的用户信息,使用last命令查看 |
查看进程资源占用:top
查看进程:ps -aux
查看网络连接:netstat -antpl
查看进程开打的文件,打开文件的进程,进程打开的端口:lsof
显示错误的尝试登录信息:lastb
显示系统用户最近的登录信息:last
现实所有的用户最近的登录信息:lastlog
查看定时任务:crontab -l 、 cat /etc/crontab
查看历史命令:history、cat ~/.bash_history
查看当前目录下所有文件并排序:ls -alt ls -lrth
校验RPM软件包:rpm -Va、dpkg -verify
S: 表示对应文件的大小(Size)不一致;
M: 表示对于文件的mode不一致;
5: 表示对应文件的MD5不一致;
D: 表示文件的major和minor号不一致;
L: 表示文件的符号连接内容不一致;
U: 表示文件的owner不一致;
G: 表示文件的group不一致;
T: 表示文件的修改时间不一致;
查看文件(文件夹)详细的访问、修改、创建等信息:stat
查找当前目录下,指定天数内修改的指定类型(or名称)文件:find ./ -mtime 0 -name *.jsp
查找当前目录下,指定天数内新增的指定类型(or名称)文件: find ./ -ctime 0 -name *.jsp
登录成功的IP
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有爆破行为的IP
grep "Failed password" /var/log/secure|awk '{print $11}' | sort | uniq -c | sort -nr |more
查看每个 IP 地址访问次数:cat access.log |awk '{print $1}' |sort|uniq –c
访问URL排序:cat access.log |awk '{print $11}'|sort|uniq -c|sort -rn|head
访问指定资源日志:cat access.log | awk '{print $7}' |grep /%25Domain |sort|uniq -c|sort -rn|more
应急工具 - Busybox 官网:[https://busybox.net/]
chkrootkit是一个linux下检RootKit的脚本。 官网:[http://www.chkrootkit.org/]
Chkrootkit 安装:下载源码:ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
解压后执行 make进行编译,就可以使用了。
./chkrootkit | grep INFECTED
一般直接运行,一旦有INFECTED,说明可能被植入了RootKit
Rkhunter
河马Webshell查杀工具 官网:[https://www.shellpub.com/]
Webshell 文件内容中的恶意函数
PHP:eval(、system(、assert(
JSP:getRunTime(、 FileOutputStream(
ASP:eval(、execute(、 ExecuteGlobal(
Windows
| 命令 | 说明 |
|---|---|
| regedit | 注册表 |
| Taskmgr | 任务管理器 |
| Msconfig | 系统配置(包含启动项) |
| eventvwr.msc | 事件查看器 |
| compmgmt.msc | 计算机管理(本地用户和组) |
| gpedit.msc | 本地组策略 |
| taskschd.msc | 计划任务 |
| lusrmgr.msc | 本地用户和组 |
渗透测试中常用windows命令
ifconfig /all 获取获取域名、IP地址、DHCP服务器、网关、MAC地址、主机名
net time /domain 查看域名、时间
net view /domain 查看域内所有共享
net view ip 查看对方局域网内开启了哪些共享
net config workstation 查看域名、机器名等
net user 用户名 密码 /add 建立用户
net user 用户名 /del #删除用户
net user guest /active:yes 激活guest账户
net user 查看账户
net user 账户名 查看指定账户信息
net user /domain 查看域内有哪些用户,Windows NT Workstation 计算机上可用,由此可以此判断用户是否是域成员。
net user 用户名 /domain 查看账户信息
net group /domain 查看域中的组
net group "domain admins" /domain 查看当前域的管理用户
query user 查看当前在线的用户
net localgroup 查看所有的本地组
net localgroup administrators 查看administrators组中有哪些用户
net localgroup administrators 用户名 /add 把用户添加到管理员组中
net start 查看开启服务
net start 服务名 开启某服务
net stop 服务名 停止某服务
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net share ipc$ /del 删除ipc$共享
net share c$ /del 删除C:共享
\\192.168.0.108\c 访问默认共享c盘
dsquery server 查看所有域控制器
dsquery subnet 查看域内内子网
dsquery group 查看域内工作组
dsquery site 查看域内站点
netstat -a 查看开启了哪些端口,常用netstat -an
netstat -n 查看端口的网络连接情况,常用netstat -an
netstat -v 查看正在进行的工作
netstat -p 协议名 例:netstat -p tcq/ip 查看某协议使用情况(查看tcp/ip协议使用情况)
netstat -s 查看正在使用的所有协议使用情况
nbtstat -A ip 对方136到139其中一个端口开了的话,就可查看对方最近登陆的用户名(03前的为用户名)-注意:参数-A要大写
reg save hklm\sam sam.hive 导出用户组信息、权限配置
reg save hklm\system system.hive 导出SYSKEY
net use \\目标IP\ipc$ 密码 /u:用户名 连接目标机器
at \\目标IP 21:31 c:\server.exe 在某个时间启动某个应用
wmic /node:"目标IP" /password:"123456" /user:"admin" 连接目标机器
psexec.exe \\目标IP -u username -p password -s cmd 在目标机器上执行cmd
finger username @host 查看最近有哪些用户登陆
route print 显示出IP路由,将主要显示网络地址Network addres,子网掩码Netmask,网关地址Gateway addres,接口地址Interface
arp 查看和处理ARP缓存,ARP是名字解析的意思,负责把一个IP解析成一个物理性的MAC地址。
arp -a 将显示出全部信息
nslookup IP地址侦测器
tasklist 查看当前进程
taskkill /pid PID数 终止指定PID进程
whoami 查看当前用户及权限
systeminfo 查看计算机信息(版本,位数,补丁情况)
ver 查看计算机操作系统版本
tasklist /svc 查看当前计算机进程情况
netstat -ano 查看当前计算机进程情况
wmic product > ins.txt 查看安装软件以及版本路径等信息,重定向到ins.txt
获取本机用户列表:net user
本机管理员:net localgroup administrators
查看当前运行的服务:net start
远程连接:net use
查看当前用户下的共享目录:net share
最近打开的文件:%UserProfile%\Recent 、%APPDATA%\Microsoft\Windows\Recent
查找文件中的字符串:findstr /m /i /s "hello" *.txt
查看当前会话:net session
查看网络连接:netstat - ano
操作系统的详细配置信息:systeminfo
获取系统进程信息: processWmic
根据应用程序查找PID:wmic process where name="cmd.exe" get processid,executablepath,name
根据PID查找应用程序:wmic process where processid="4296" get executablepath,name
获取系统进程信息: tasklist
对于要查询特定dll的调用情况,可以使用命令tasklist /m dll名称
计算样本MD5:certutil -hashfile 样本 MD5
敏感目录
%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%
PChunter AntiRootkit工具
PCHunter是一款强大的内核级监控软件,软件可以查看内核文件、驱动模块、隐藏进程、注册表,内核,网络等等信息,
和PCHunter功能相似的还有火绒剑,PowerTool等。
Autoruns 启动项查看工具
登录时的加载程序、驱动程序加载、服务启动、任务计划等 Windows 中各种方面的启动项。
下载地址:[https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns]
ProcessExplorer 进程查看工具
Process monitor主要是监控进程的行为应用程序运行时使用此软件来监控程序的各种操作。此软件主要监控程序的五种行为:文件系统,注册表,进程,网络,分析。由于此款软件监控的是系统中所有的进程的行为,数据量往往很大,不利于我们分析数据,所以需要对其设置过滤选项,通过Filter->Filter选项可以看到右侧的窗口,在此窗口中增加过滤项。
下载地址:[https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer]
ProcessMonitor 进程实时监控
TCPView 网络连接查看工具
TCPView可以直接查看系统上与所有进程UDP和TCP端点的详细信息,
下载地址:[https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview]
Microsoft Network Monitor 网络连接查看工具
一款统计准确、占用资源小的网络流量监控软件
下载地址:[https://www.microsoft.com/en-us/download/confirmation.aspx?id=4865]
D盾
下载地址:[http://www.d99net.net/]
Webshell查杀工具
Everything
搜索工具
情报平台分析
奇安信威胁情报中心
微步在线社区
Virus total
IBM XFORCE
情报平台分析资源地址:
https://github.com/hslatman/awesome-threat-intelligence/blob/master/README_ch.md
日志
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:系统日志、 安全日志、应用程序日志。
打开方式:
1、开始 -> 运行 -> eventvwr
2、开始 -> 管理工具 -> 事件查看 -> 安全
系统日志主要是记录了系统组件产生的事件。系统日志主要记录的信息包括驱动程序产生的信息、系统组件产生的信息
和应用程序崩溃的信息以及一些数据丢失情况的信息。
默认位置:%SystemRoot%System32WinevtLogsSystem.evtx
系统启动 ID 12
事件日志服务已启动 ID 6005
事件日志服务已停止 ID 6006
系统关闭 ID 13
安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件
以及系统策略的更改事件,如果要查看安全日志信息,则操作员必须具有系统管理员的权限。
默认位置:%SystemRoot%System32WinevtLogsSecurity.evtx
| 事件ID | 说明 (与2000/xp/2003ID不同) |
|---|---|
| 1102 | 清理审计日志 |
| 4624 | 账号成功登录 |
| 4625 | 账号登录失败 |
| 4672 | 授予特殊权限 |
| 4719 | 系统审计策略修改 |
| 4720 | 创建用户 |
| 4726 | 删除用户 |
| 4728 | 将成员添加到启用安全的全局组中 |
| 4729 | 将成员从安全的全局组中移除 |
| 4732 | 将成员添加到启用安全的本地组中 |
| 4733 | 将成员从启用安全的本地组中移除 |
| 4756 | 将成员添加到启用安全的通用组中 |
| 4757 | 将成员从启用安全的通用组中移除 |
| 4768 | Kerberos身份验证(TGT请求) |
| 4769 | Kerberos服务票证请求 |
| 4776 | NTLM身份验证 |
| 7030 | 服务创建错误 |
| 7040 | IPSEC服务服务的启动类型已从禁用更改为自动启动 |
| 7045 | 服务创建 |
event4624 登陆日志类型
| 登录类型 | 描述 |
|---|---|
| 2 | 交互式登录(用户从控制台登录) |
| 3 | 网络(例如:通过net use,访问共享网络) |
| 4 | 批处理(为批处理程序保留) |
| 5 | 服务启动(服务登录) |
| 6 | 不支持 |
| 7 | 解锁(带密码保护的屏幕保护程序的无人值班工作站) |
| 8 | 网络明文(IIS服务器登录验证) |
| 10 | 远程交互(终端服务,远程桌面,远程辅助) |
| 11 | 缓存域证书登录 |
Windows日志分析 - 应用程序日志
指的在上的应用程序产生的日志。一般指的的是微软幵发的应用程序,第三发幵发的基于系统的应用程序如果使用日志记录的函数,则这个应用程序将可以通过事件查看器查看其日志信息 。
默认位置:%SystemRoot%System32WinevtLogsApplication.evtx
