技术博客
首页 所有文章 标签 分类 关于
技术博客

目录

蓝队基本技能-web入侵指南-日志分析-后门查杀-流量分析

 收录于 未分类
   约 1017 字   预计阅读 3 分钟 
https://bing.ee123.net/img/rand?artid=146143907

蓝队基本技能 && web入侵指南 && 日志分析 后门查杀 &&流量分析

前言

为了赶工我是没学过红队的,首先我们要做的是

1、拿到用户给的web的时候 要先知道 web的源码  服务器  中间件  数据库这些信息

2、知道web日志放在哪里   会一些基本的分析

3、webshell查杀的基本技能

4、会分析基本的工具链 会写报告

.NET + IIS

https://i-blog.csdnimg.cn/direct/f1e176b8ced64436a60acdbd0e823beb.png

https://i-blog.csdnimg.cn/direct/10d8ecbc9d66443b9a2819c18ea98040.png

https://i-blog.csdnimg.cn/direct/ea5408231ca1452381233462191615b7.png

https://i-blog.csdnimg.cn/direct/d5687cce949241d1a40df3545aa3d531.png

https://i-blog.csdnimg.cn/direct/be27be83159b43449c98e7c1a870c6b7.png

配置靶机信息

https://i-blog.csdnimg.cn/direct/ba627f633ce84f6ba9ac443f639b6783.png

知道路径之后我们模拟一下  sqlmap注入 分析一下时间 和攻击者的手段 https://i-blog.csdnimg.cn/direct/01c9450aba554f5c8ebb72d962786eeb.png

这边只是爆出了他的一些数据库

https://i-blog.csdnimg.cn/direct/527da4590800452dbcef63a979ac1a5a.png

在高级设置中去查看 https://i-blog.csdnimg.cn/direct/311c5f0d85ec4aa8961943a6a45bc066.png

查看目录

PHP+apache

首先呢 先了解一下 这个中间件的基本的目录结构

https://i-blog.csdnimg.cn/direct/f8c119837cec44eaa9700063766e0088.png

然后这个中间件内有个 logs目录就是日志文件 https://i-blog.csdnimg.cn/direct/2860c08ebd7a409f8d581a9c28b62b68.png

然后我们搭建一个TP框架的网站

http://192.168.170.79:91/

外网不用访问内网地址不然只会向本机的服务器进行寻址 https://i-blog.csdnimg.cn/direct/880b1086bd5b4d06994ecb47fa2fb047.png

找access.log文件

https://i-blog.csdnimg.cn/direct/9f9f78074fe24f08a19bb1ea5c8cb612.png

模拟一下攻击 利用TP框架进行 攻击网站 https://i-blog.csdnimg.cn/direct/0120d09b661f44d3a8a644801563aabd.png

这个时候  是攻击者完成攻击了

所以我们需要在日志中找到攻击的时间  方法   攻击者的ip https://i-blog.csdnimg.cn/direct/8413f69f1510413a90f5dee99c045015.png

攻击时间我们可以记录一下我们进行操作的时间  然后找之后的

我们可以知道的是这个是个命令执行   并且知道他是使用工具进行操作的(工具操作的一大特点就是在短时间内有大量的请求包)

当然这个txt日志有个缺点就是  post 是没有data的     只有显示有post模式

Java+tomcat

tomcat也是个集成 的中间件

tomcat的基本配置  官网下载之后   找到

配置环境变量 https://i-blog.csdnimg.cn/direct/28d0255f6716464f9a1ff98466490bd8.png

https://i-blog.csdnimg.cn/direct/e7866a8a5cef419a8a6f013fe6848473.png

直接在汤姆猫下  cmd   输入  startup.bat    启动起来

如果报错 :不知道jar和jre

复制一下错误去  ai 问一下  :  应该是直接在文件头配置  jar=""   jre = "" 的路径

直接启动 https://i-blog.csdnimg.cn/direct/f9a389d3a1a14f439fbec505abd7a674.png

启动成功的页面

https://i-blog.csdnimg.cn/direct/6c2c32c2fd4e49d7aaf2db7603b0de3f.png

配置管理员的用户账号和密码 :

https://i-blog.csdnimg.cn/direct/7cec41a72952443893765eb8bc9a52e0.png

<role rolename="manager-gui"/>
<user username="tomcat" password="123456" roles="manager-gui"/>

之后正常登录  我们来完成实验 :

先完成日志分析 之后再说webshell的流量分析

模拟上传tomcat后门 :

https://i-blog.csdnimg.cn/direct/b97eab5f4b8b493597406a6468b18397.png

只能上传war文件  整个骚操作 : https://i-blog.csdnimg.cn/direct/0e353b0a4e83402eaa4d96089dafdeec.png

之后创建一个文件夹  改名为 xxx和jar文件一样的 https://i-blog.csdnimg.cn/direct/9cc7afba83864661a34ddc2fadf474e4.png 压缩为压缩包 https://i-blog.csdnimg.cn/direct/023a63bb6935496ea5f8b634e3740abd.png

改个名改为   xxx.war https://i-blog.csdnimg.cn/direct/062abea40b244afd9ae1a2b846985e19.png 上传一下 https://i-blog.csdnimg.cn/direct/55870f4bf9d2422ca0fd3c70aa3fba4a.png

复制一下连接 https://i-blog.csdnimg.cn/direct/3fc4242b521b4fa48c54ac75933335ba.png

网站后台上传成功

分析日志 https://i-blog.csdnimg.cn/direct/1ed5f6bbb77849e888d5e6db47fcac4b.png

JAVA shiro框架

这个情况是直接jar包启动的没有日志啊? 日志就是在这个黑框框内的

https://i-blog.csdnimg.cn/direct/7be4237ac92a49adb968c6025612571e.png

当然有骚操作   jar包反编译  看看内容 https://i-blog.csdnimg.cn/direct/20d2b1f269224ef88250b9cdb4578e95.png

https://i-blog.csdnimg.cn/direct/d8d4049fa49c4af1a33250379cac0ac7.png

那就得使用流量记录工具 wireshark  进行记录

关闭混杂模式 (什么是混杂模式就是监听整个网段不论是不是给你的数据) https://i-blog.csdnimg.cn/direct/ca975fcb16a047b5a6ce912365da3edd.png

监听之后我们进行shiro框架的利用 https://i-blog.csdnimg.cn/direct/67820bc0ecd34dc7872b120578a5c8aa.png

开启shiro检测工具 https://i-blog.csdnimg.cn/direct/594b0e90313346c7aa9c00142bf1c5ca.png

网络监听起来

https://i-blog.csdnimg.cn/direct/a9157b6e3582497490d72c3fb1cad9ef.png

看一下监听

流量中找到http  然后复制一次框架利用的命令 : https://i-blog.csdnimg.cn/direct/bbad0326a8a341ef96db32c9841a82c8.png

shiro框架漏洞的一个特点就是在cookie中 有个

rememberMe=1

所以漏洞框架的利用也是在这个上面进行的

更新于 2025-03-13
 蓝队日志分析入门
返回 | 主页