安全事件响应分析--基础命令
----万能密码
'or'='or'
' 1 or #
1'or'1'='1
1 or 1=1
=============安全事件响应分析==========
------***windoes***------方法
开机启动有无异常文件
【开始】➜【运行】➜【msconfig】
文件排查
各个盘下的temp(tmp)相关目录下查看有无异常文件 :Windows产生的
临时文件
可以通过查看日志且通过筛选
根据文件夹内文件列表时间进行排序,查找可疑文件。当然也可以搜索指
定日期范围的文件及文件
------
文件排查
Recent是系统文件夹,里面存放着你最近使用的文档的快捷方式,查看用
户recent相关文件,通过分析最近打开分析可疑文件:
【开始】➜【运行】➜【%UserProfile%\Recent】
------
netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED
netstat 显示网络连接、路由表和网络接口信息;
参数说明:
-a 显示所有网络连接、路由表和网络接口信息
-n 以数字形式显示地址和端口号
-o 显示与每个连接相关的所属进程 ID
-r 显示路由表
-s 显示按协议统计信息、默认地、显示IP
常见的状态说明:
LISTENING 侦听状态
ESTABLISHED 建立连接
CLOSE_WAIT 对方主动关闭连接或网络异常导致连接中断
tasklist 显示运行在本地或远程计算机上的所有进程;
根据wmic process 获取进程的全路径
【开始】➜【运行】➜【compmgmt.msc】➜【本地用户和组】➜【用
户】 (用户名以$结尾的为隐藏用户,如:admin$)
命令行方式:net user,可直接收集用户信息(此方法看不到隐藏用户)
,若需查看某个用户的详细信息,可使用命令➜net user username;
查看当前系统用户的会话
使用➜ query user 查看当前系统的会话,比如查看是否有人使用远程终
端登录服务器;
logoff id号 //踢出该用户;
5156(查看记录远程连接的信息)4720(查看创建的用户)4726(查看删除账户)
4624— 成功登录
4625 —失败的登录
4634/4647 — 成功注销
4648— 使用显式(explicit)凭证登录(RunAs)
4776/4672 — 用户使用超级用户权限的登录 (Administrator)//特殊登录。凭证验证
4720 — 账户创建
4688 - 记录重启进程
4698计划任务已创建/4699计划任务已删除/4700计划任务已启用/4701计划任务已停用/4702计划任务已变更// -计划任务的详细信息
------------------***Linux***--------方法
查看tmp目录下的文件➜➜➜ ls –alt /tmp/
查看开机启动项内容➜➜➜ls -alt /etc/init.d/,/etc/init.d 是z
/etc/rc.d/init.d 的软链接
针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若
修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。
查看历史命令记录文件~/.bash_history
查看操作系统用户信息文件/etc/passwd
/var/www/html/ //这个目录就是Apache的网站根目录(默认是index.html)
用netstat 网络连接命令,分析可疑端口、可疑IP、可疑PID及程序进程
netstat –antlp | more
html目录下: find -name "*.php" | grep flag 或者 【grep -i "flag" ./*】 {./*所有当前下根目录的子目录文件} ====//找到所有关于.php的文件,同时显示出来所在的目录
crontab -l //查看定时启动的任务
history//查看最近一些的命令
lastlog//查看最后一次登录的情况
cat /var/log/lastlog或者last -f /var/log/lastlog //查看登录情况
=========================常见命令==============
----------------------Windows下
cmd: systeminfo//查看系统信息
cmd: net user 名字 /add//创建“名字”的用户
cmd: net user 名字/del//删除“名字“的账户
cmd: wevtutil cl "logname"//清除所有安全日志
cmd: nvidia-smi//查看gpu的使用率
cmd: lusrmgr.msc //查看是否有新增/可疑的账号
cmd: netstat -ano//查看当前网络状态
cmd: tasklist | findstr PID(进程号)//指定查看PID 的详细信息
win+R: eventvwr.msc//查看事件查看器
win+R: eventvwr//查看事件查看器
win+R: Log Parser//日志进行分析
win+R: recent//查看最近修改的文件
----------------------------Linux下三剑客
----grep用法---
grep -n -i "root" ./flag.txt //
grep '^#' ./flag.txt //输出以#开头的内容
grep '\.$' ./flag.txt //输出以.结尾的内容 /---{'/'转义符【正则表达式除外可以不加】}{x$【输出以x为结尾的内容】}
grep '.x' ./flag.txt //输出与x字母所匹配的所有行列
-i : 不区分大小写/-n : 显示匹配行及行号/-c : 只输出匹配行的计数/ -v : 排除匹配结果 /^ : 匹配正则表达式的以“某字符串”开头的行 '^#'//找出空行/-o : 只显示匹配字符串的部分/. :单个字符,匹配任意一个字符 //[ - ] : 范围匹配,如[A-C0-9],即A、B、C1、2、3等字母数字都符合要求;如[a,b],即只有a和b符合要求
扩展正则表达式grep实践
使用grep -E进行实践扩展正则
竖线|再正则中是或者的意思
grep -E "a|b" flag.txt//找带有a或b的内容
---sed用法----
----awk用法---- file.txt内容为 【/bin/bash/flag/php】flag.txt 【flag/php/png】
awk '{print $1}' file.txt -----// 输出并筛选出file文档中以 空格符为分隔符的第一列且所有行的内容 【bin】
awk -F ":" '{print $1}' file.txt ----// 输出并筛选出file文件中以:为分隔符的第一列且所有行的内容
awk -F "/" '{print $1,$2,$NF}' file.txt ---//输出并筛选出file文件中以/为分隔符的第一列、第二列和最后一列且所有行的内容并以,形式输出【bin bash php】变量之间加上逗号 就以变量之间空格的方式输出出来
awk -v OFS="----" '{print $1,$2,$3}' ----//【bin----bash----flag】
awk '{print $1,"----",$NF}' file.txt -----输出并筛选出file文件中以/为分隔符的第一列所有行的内容且变量之间以----输出出来【bin ---- php】
awk '{print $1,NF,NR}' file.txt flag.txt -----//【等】
-F "//以字母或者符号为分隔符进行筛选" -v var=value 定义或修改一个awk内部的变量 OFS:输出字段分隔符,默认为空白字符 -v OSF="\t"等
{ $0输出一整行信息($n[筛选出第n列的内容])$NF显示最后一列且所有行的内容;$NR}【分隔符默认为空格OFS输出字段的分隔符 ;还有一种:FS 指定每行的字段分隔符,默认为空格或制表位(相当于选项 -F )】NF 【Number Fields】当前处理的行的字段个数(就是:有多少列) NR 【Number Records】 当前处理的行的行号(就是:有多少行)
----uniq --
uniq -c 去重并进行计数多少次
----head---
-n//显示文件的前3行
head -n 10 log.txt//显示文件前10个字节
----sort ---
sort 从小到大进行排序
sort -n 按照数字排序
sort -nr按照数字倒序排序
sort -t【指定分隔符排序】 -k 【指定第几列进行排序】
sort -t “ ” -k 2 flag.txt //
openssl rsautl -decrypt -in key.txt -inkey rsa.key -out flag.txt //rsa解密
----------------------------------------------------------
chmod 777 文件 //修改为最高的权限(可读可写可执行)
netdiscover –r ///扫描该与主机在同一网段存活的其他主机
nmap -sP IP网段(namp -sP 192.168.1.0/24) ///扫描该网段的存活的主机
arp-sacn -l 网段///扫描该网段的存活的主机
nmap -sS -sV -A -p- IP地址 ///扫描这个IP地址的一些常用的信息 // -A :(-A非常全面,但是时间久点)全面扫描 -p : 扫描指定的端口(-p-就是所有的端口就行扫描) -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描(Nmap不需要通过完整的握手,就能获得远程主机的信息。Nmap发送SYN包到远程主机,但是它不会产生任何会话.因此不会**在目标主机上产生任何日志记录**,因为没有形成会话。这个就是SYN扫描的优势.如果Nmap命令中没有指出扫描类型,默认的就是Tcp SYN.但是它需要root/administrator权限。-sV 版本扫描和开启的服务
————————————————
dirb http://ip地址 ///扫描该地址的文件后缀
dirb http://ip地址 -X .php的后缀的地址 //扫描的后缀的地址
dirb http://ip地址 robots.txt //扫描robots.php文件中有响应的网站
ssh 登录名@IP地址 (ssh xiaoming@10.120.120.12)//进入ssh服务
可以进入python交互shell ----python -c 'import pty;pty.spawn("/bin/bash")'----进行提权
uname -a 查看内核版本信息 searchsploit -m id后缀//下载对应的内核版本信息
scp 内核版本信息 用户@地址 :/tmp(tmp临时存放路径)//上传内核版本信息到对应的地址上,为python提权做准备//( scp 37292.c@xiaoming120.120.120.120:/tmp)
在python交互shell下切换到tmp目录下 用命令 // --gcc xiaoming.c -o hello-- //编译 xiaoming.c 并指定输出文件为 hello //通过--whoami--命令查看自己的对用的权限用户
wget url (wget 浏览器的网址)//下载对应的文件
hydra -L 用户文档{找到文档所在位置直接拖就行} -P 密码文档 {同} ip地址{所要爆破的地址} ssh;;[rdp/smp/ftp/pop3/mssql/mysql/oracle等]{或者其它的服务(rdp)}////用九头蛇工具爆破网站用户及密码【成功的话,会把账号和密码高亮显示出来】 ---hydra -l root -P flag.txt 120.120.120.120 ssh---- /// -L 指定用户名字典 -l 指定用户名 -P 指定密码字典
ftp IP地址 (ftp 10.120.120.12)//进入ftp下载文件用(get 文件名)下载文件
sqlmap -u http://192.168.159.133/personel.php --data="kullanici_adi= &parola= " -b
-u 指定目标url
-b 检索数据库管理系统的标识
--data= 通过POST提交数据
unzip 文件 //(unzip 123.zip)---解压文件
fcrackzip -D -u -p //-u 是显示出来爆破出来的密码 格式,对于使用字典命令是-D,但是必须要有-p 这个参数才行,也就是:--fcrackzip -u -D -p password.txt test.zip------
fcrackzip -b -c 1 -l 1-6 -p 0 -u 1.zip////-b 暴力破解
-c 指定掩码类型(-c1=纯数字,-c2=纯字母,-c3=数字字母混合模式(a=a-z;1=0-9;!=特殊字符))
-l 1-6限制密码长度为1到6
-p 0 初始化破解起点为 0
-u 显示破解出来的密码
md5sum 123.jpg/txt/png/zip //查看123文件的MD5值
md5sum *.jpg/png/txt/等 //查看同一目录下所有jpg/png/等文件MD5值可以进行对比,找到不同MD5值的异常文件
base64 -d 123.txt >> 12.txt //用base64解密123定向输出到12 ----//-d用来解密 -e用来加密//(默认加密\\base64 123.txt >> 12)
echo "base64解密的字符" | -d //解密 -e加密
-----分析图片----
exiftool 1.jpg //查看图片的详细信息/会输出一大片信息,包括分辨率,厂商,拍摄时间,EOTF,色域等信息,色域信息