内网安全-域横向CS&MSF联动及应急响应初识
第72天:内网安全-域横向CS%26MSF联动及应急响应初识 - 图1第72天:内网安全-域横向CS%26MSF联动及应急响应初识 - 图2
演示案例:

  • MSF&CobaltStrike联动Shell
  • WEB攻击应急响应朔源-后门,日志
  • WIN系统攻击应急响应朔源-后门,日志,流量
  • 临时给大家看看学的好的怎么干对应CTF比赛

案例1-MSF&CobaltStrike联动Shell
CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject

案例2-WEB攻击应急响应朔源-后门,日志
故事回顾:某客户反应自己的网站首页出现被篡改,请求支援
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
思路1:利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析
思路2:利用后门Webshell查杀脚本或工具找到对应后门文件,定位第一次时间分析

案例3-WIN系统攻击应急响应朔源-后门,日志,流量
分析:涉及的攻击面 涉及的操作权限 涉及的攻击意图 涉及的攻击方式等
故事回顾:某客户反应服务器异常出现卡顿等情况,请求支援
思路:利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
获取进行监控:PCHunter64
获取执行列表:UserAssistView
AppCompatCacheParser.exe —csv c:\temp -t

案例4-临时给大家看看学的好的怎么干对应CTF比赛
涉及资源:
https://www.onlinedown.net/soft/628964.htm
https://www.cnblogs.com/xiaozi/p/12679777.html
http://www.pc6.com/softview/SoftView_195167.html
https://github.com/EricZimmerman/AppCompatCacheParser/releases/