凡是Web入侵必然存在一个攻击的流程,关于这个攻击的流程我们要如何准确的发现,这是一个关乎个人思路的问题,所以说我们要进行应急,首先就要知道如何分析Web入侵的入口
分析思路
- 利用时间节点筛选日志行为:当已知漏洞出现时间节点时,我们就可以针对这个时间节点前后进行分析
- 利用对漏洞进行筛选日志行为:当我们不知道漏洞发现的时间节点时,漏洞可能发生在最近,也可能发生在一年前,那么我们面对成千上万条日志,我们可以选择通过漏洞进行分析,来提升我们的效率(比如说:Java程序会存在Shiro、Log4j、fastjson等漏洞,根据这些漏洞特征来匹配)
- 利用后门查杀进行筛选日志行为:当攻击者成功利用网站漏洞时,通常会留下后门文件,通过后门文件的生成时间,我们就可以定位到该段时间的日志,对该段时间的日志进行分析,进一步定位攻击者
- 利用文件修改时间筛选日志行为:根据源代码文件修改时间,排查出异常修改的文件,从而定位到该段时间的日志,然后进一步分析
- 利用流量捕获设备数据包分析行为
Web日志分析
明确存储路径及查看细节(后续会讲到日志分析利器使用)
IIS,Apache,Tomcat,Nginx等
IIS日志存储
复制目录到文件资源管理器打开
这边存在多个文件夹,不知道哪个是对应的网站日志文件夹
返回刚刚的页面进行查看,选择高级设置
可以看到这边的ID为5,显而易见的就是W3SVC5这个目录了
以上就是对应的日志文件
当我们启动sqlmap进行攻击的时候,日志就会进行生成
这边我的sqlmap加了UA,所以看着不太明显
以下是新的日志信息
- date - 请求的日期。
- time - 请求的具体时间。
- s-ip - 服务器的IP地址。
- cs-method - 客户端使用的HTTP方法(如GET、POST)。
- cs-uri-stem - 请求的URI的主体部分。
- cs-uri-query - 请求的URI中的查询字符串部分。
- s-port - 服务器监听的端口号。
- cs-username - 进行请求的用户的用户名。
- c-ip - 客户端的IP地址。
- cs(User-Agent) - 发出请求的客户端浏览器或设备的信息。
- sc-status - 服务器返回的HTTP状态码。
- sc-substatus - 服务器返回的子状态码,用于提供更详细的错误信息。
- sc-win32-status - Windows服务器返回的Win32状态码。
- time-taken - 服务器处理请求所花费的时间。
然后我是使用sqlmap跑登录框的,所以后面的日志都是使用POST提交数据的,但是我们可以发现POST提交数据是没有数据包的内容显示的,这一点就不便于我们进行分析
还有就是这边的状态码都是200居多,说明这时候的sql注入攻击极有可能成功注入了
Apache日志存储
Apache日志存储的路径(以PHPStudy为例):
首先使用PHPStudy搭建一个ThinkPHPv5的网站
访问对应的网站,测试是否搭建成功
然后使用对应的综合利用工具来制造一些攻击的日志,模拟红队的攻击流量
查看对应的日志目录,寻找日志文件
那么我们的目标就是访问日志了
可以看到Apache日志跟上面的IIS日志是相差不多了,基本信息都相同
这边可以很明显的看到有POC进行攻击,这就是我们刚刚模拟的综合利用工具的流量
这时候就可以结合到我们的漏洞筛选日志的思路来进行分析了
Tomcat日志分析
搭建环境
apache-tomcat-9.0.93-windows-x64.zip
直接到bin目录下启动程序
模拟攻击者留后门
tomcat:tomcat进入部署war包的界面
将哥斯拉生成的木马部署到tomcat上,并进行连接和一些恶意操作
然后我们可以使用D盾对网站的目录进行查杀
发现1.jsp是后门,直接进入网站的log日志,查看访问日志
可以看到第一访问时20/Sep/2024:14:48:09 +0800
所以在后门访问之前就是漏洞的攻击操作,根据前面的日志可以看到这些
然后可以看到/manager/html/upload这个目录,其实这个目录就是访问的tomcat的war包部署,所以这个后门是通过tomcat的war包部署获取后门的。
但是我们要怎么确定这是什么类型的后门呢?
确定WebShell后门类型
因为我们仅仅通过网站日志是无法看到POST请求提交的数据的,如果后门文件加了混淆或者删除文件的话,我们就没法对源文件进行分析了,所以说我们得通过流量设备或者说我们本地的wireshark来进行流量的抓取
开启wireshark监听和虚拟机通信的流量,然后使用kali启动哥斯拉来连接后门,监听流量
追踪流可以看到对应的加密数据
我们可以通过蓝队工具进行解密来确定是否为哥斯拉数据包
第96篇:蓝队分析研判工具箱1.08版本(溯源辅助|解密攻击流量|冰蝎、哥斯拉、天蝎解密|资产测绘搜索)
DecryptTools综合解密工具 V2.0(内置20+OA系统加解密110+设备默认账号密码等|解密工具
成功解密数据包,可以证明这是哥斯拉的后门了
WebShell查杀平台
阿里伏魔:
百度WEBDIR+:
https://scanner.baidu.com/#/pages/intro
河马:
CloudWalker(牧云):
在线webshell查杀-灭绝师太版:
WebShell Detector WebShell扫描检测器:
D盾:
各类杀毒:
火绒,管家,X60,Defender,Nod32等
漏洞利用流量包
这边我展示Shiro的攻击流量包
先搭建一个shiro的攻击靶场
然后还是启动wireshark来进行流量的监控,使用win10作为攻击机
查看wireshark的流量数据包
进行关键词在于rememberMe这个Cookie字段,这是Shiro框架特有的字段
进行数据解密如下
可见key也出来了,所以已经可以确认攻击者使用Shiro进行攻击。
特有加密流量包
在护网中会遇到各种OA系统,针对各种OA系统也有各式各样的综合利用工具,并且这些综合利用工具都进行了一些加密,我们可以通过如下的工具进行解密
数据库日志分析
明确数据库的日志存储位置,结合Web日志进行分析,可能存在sql注入等攻击,二者结合会有意想不到的效果
后续处理
找到攻击利用点并修复,写出攻击者流程,清理后门并后续溯源等
待提升技能
- 如何做到Webshell查杀的精准
- 如何做到日志分析效率和准确
- 如何做到流量包分析效率和准确
- 如何做到后续溯源定位效率和准确
- 如何做到应急分析溯源报告的书写
本节仅作为入门篇章,主要讲解Web入侵的分析思路
评论 (0)