<aside> 💡 Notion Tip: 红队面经.
</aside>
1、攻击源捕获:
1.1、监测安全设备报警:通过扫描IP、威胁阻断、病毒木马、入侵事件等安全设备的报警信息,及时发现异常活动。
1.2、日志与流量分析:分析异常的通讯流量、攻击源与攻击目标等日志信息,找出攻击源的特征。
1.3、检测服务器资源异常:查找异常的文件、账号、进程、端口,启动项、计划任务和服务等服务器资源信息。
1.4、邮件钓鱼分析:获取恶意文件样本、钓鱼网站URL等,分析其中的信息。
1.5、利用蜜罐系统:通过设置诱骗系统来吸引攻击者,获取其ID、电脑信息、浏览器指纹、行为和意图的相关信息。
2、溯源反制:
2.1、IP定位技术:通过IP地址定位物理地址,包括代理IP,可以通过IP和端口扫描,反向渗透服务器进行分析,最终定位到攻击者的相关信息。
2.2、ID追踪术:通过搜索引擎、社交平台、技术论坛、社工库等进行ID追踪,匹配相关信息,例如从技术论坛追溯邮箱,然后通过邮箱追溯真实姓名,最终找到相关简历信息。
2.3、网站URL:通过域名Whois查询注册人的姓名、地址、电话和邮箱,进行域名隐私保护,通过攻击IP的历史解析记录/域名,对域名注册信息进行溯源分析。
2.4、恶意样本分析:提取恶意样本特征、用户名、ID、邮箱、C2服务器等信息进行同源分析,例如通过样本分析过程中发现攻击者的个人ID和QQ,从而成功定位到攻击者。
2.5、社交账号:利用JSONP跨域,获取攻击者的主机信息、浏览器信息、真实IP及社交信息等,前提是可以找到相关社交网站的jsonp接口泄露敏感信息,并且相关网站登录未注销。
3、攻击者画像:
3.1、攻击路径:确定攻击目的(拿到权限、窃取数据、获取利益、DDOS等)、使用网络代理(代理IP、跳板机、C2服务器等)、采用的攻击手法(鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等)。
3.2、攻击者身份画像:包括虚拟身份(ID、昵称、网名)、真实身份(姓名、物理位置)、联系方式(手机号、QQ/微信、邮箱)和组织情况(单位名称、职位信息)等。通过分析这些信息,可以描绘出攻击者的画像,有助于进一步追溯和反制攻击行为。
xp_cmdshell执行系统命令
前提
select global variables like '%secure_file_priv%';
大文件传输
HTTP带外注入-Oracle
UTL_HTTP.REQUEST ( url IN VARCHAR2,proxy IN VARCHAR2 DEFAULT NULL);**流程:**ntlm认证、连接共享目录admin$、写文件psexesvc到共享目录、调用svcctl服务来间接调用psexesvc服务、创建四个命名管道
原理:
使用提供的凭证,通过 SMB 会话 进行身份验证。
将 PSEXESVC.exe 上传到 ADMIN$ (指向 /admin$/system32/PSEXESVC.EXE)共享文件夹内;
远程创建用于运行 PSEXESVC.exe 的服务;
远程启动服务。
PSEXESVC 服务充当一个重定向器(包装器)。它在远程系统上运行指定的可执行文件(事例中的是 cmd.exe)。同时,它通过主机之间来重定向进程的输入/输出(利用命名管道)。
限制: