Web入侵分析入口思路 凡是Web入侵必然存在一个攻击的流程，关于这个攻击的流程我们要如何准确的发现，这是一个关乎个人思路的问题，所以说我们要进行应急，首先就要知道如何分析Web入侵的入口分析思路利用时间节点筛选日志行为：当已知漏洞出现时间节点时，我们就可以针对这个时间节点前后进行分析利用对漏洞进行筛选日志行为：当我们不知道漏洞发现的时间节点时，漏洞可能发生在最近，也可能发生在一年前，那么我们面对成千上万条日志，我们可以选择通过漏洞进行分析，来提升我们的效率（比如说：Java程序会存在Shiro、Log4j、fastjson等漏洞，根据这些漏洞特征来匹配）利用后门查杀进行筛选日志行为：当攻击者成功利用网站漏洞时，通常会留下后门文件，通过后门文件的生成时间，我们就可以定位到该段时间的日志，对该段时间的日志进行分析，进一步定位攻击者利用文件修改时间筛选日志行为：根据源代码文件修改时间，排查出异常修改的文件，从而定位到该段时间的日志，然后进一步分析利用流量捕获设备数据包分析行为Web日志分析明确存储路径及查看细节(后续会讲到日志分析利器使用)IIS，Apache，Tomcat，Nginx等IIS日志存储复制目录到文件资源管理器打开这边存在多个文件夹，不知道哪个是对应的网站日志文件夹返回刚刚的页面进行查看，选择高级设置可以看到这边的ID为5，显而易见的就是W3SVC5这个目录了以上就是对应的日志文件当我们启动sqlmap进行攻击的时候，日志就会进行生成这边我的sqlmap加了UA，所以看着不太明显以下是新的日志信息date - 请求的日期。time - 请求的具体时间。s-ip - 服务器的IP地址。cs-method - 客户端使用的HTTP方法（如GET、POST）。cs-uri-stem - 请求的URI的主体部分。cs-uri-query - 请求的URI中的查询字符串部分。s-port - 服务器监听的端口号。cs-username - 进行请求的用户的用户名。c-ip - 客户端的IP地址。cs(User-Agent) - 发出请求的客户端浏览器或设备的信息。sc-status - 服务器返回的HTTP状态码。sc-substatus - 服务器返回的子状态码，用于提供更详细的错误信息。sc-win32-status - Windows服务器返回的Win32状态码。time-taken - 服务器处理请求所花费的时间。然后我是使用sqlmap跑登录框的，所以后面的日志都是使用POST提交数据的，但是我们可以发现POST提交数据是没有数据包的内容显示的，这一点就不便于我们进行分析还有就是这边的状态码都是200居多，说明这时候的sql注入攻击极有可能成功注入了Apache日志存储Apache日志存储的路径(以PHPStudy为例)：首先使用PHPStudy搭建一个ThinkPHPv5的网站ThinkPHP_full_v5.0.22.zip访问对应的网站，测试是否搭建成功然后使用对应的综合利用工具来制造一些攻击的日志，模拟红队的攻击流量查看对应的日志目录，寻找日志文件那么我们的目标就是访问日志了可以看到Apache日志跟上面的IIS日志是相差不多了，基本信息都相同这边可以很明显的看到有POC进行攻击，这就是我们刚刚模拟的综合利用工具的流量这时候就可以结合到我们的漏洞筛选日志的思路来进行分析了Tomcat日志分析搭建环境apache-tomcat-9.0.93-windows-x64.zip直接到bin目录下启动程序模拟攻击者留后门tomcat:tomcat进入部署war包的界面将哥斯拉生成的木马部署到tomcat上，并进行连接和一些恶意操作然后我们可以使用D盾对网站的目录进行查杀发现1.jsp是后门，直接进入网站的log日志，查看访问日志可以看到第一访问时20/Sep/2024:14:48:09 +0800所以在后门访问之前就是漏洞的攻击操作，根据前面的日志可以看到这些然后可以看到/manager/html/upload这个目录，其实这个目录就是访问的tomcat的war包部署，所以这个后门是通过tomcat的war包部署获取后门的。但是我们要怎么确定这是什么类型的后门呢？确定WebShell后门类型因为我们仅仅通过网站日志是无法看到POST请求提交的数据的，如果后门文件加了混淆或者删除文件的话，我们就没法对源文件进行分析了，所以说我们得通过流量设备或者说我们本地的wireshark来进行流量的抓取开启wireshark监听和虚拟机通信的流量，然后使用kali启动哥斯拉来连接后门，监听流量追踪流可以看到对应的加密数据我们可以通过蓝队工具进行解密来确定是否为哥斯拉数据包第96篇：蓝队分析研判工具箱1.08版本（溯源辅助|解密攻击流量|冰蝎、哥斯拉、天蝎解密|资产测绘搜索）DecryptTools综合解密工具 V2.0（内置20+OA系统加解密110+设备默认账号密码等|解密工具成功解密数据包，可以证明这是哥斯拉的后门了WebShell查杀平台阿里伏魔：阿里云恶意文件检测平台百度WEBDIR+：https://scanner.baidu.com/#/pages/intro河马：SHELLPUB.COM在线查杀CloudWalker(牧云)：CT Stack 安全社区在线webshell查杀-灭绝师太版：在线webshell查杀 - 在线工具WebShell Detector WebShell扫描检测器：Web Shell DetectorD盾：D盾防火墙各类杀毒：火绒，管家，X60，Defender，Nod32等漏洞利用流量包这边我展示Shiro的攻击流量包先搭建一个shiro的攻击靶场然后还是启动wireshark来进行流量的监控，使用win10作为攻击机查看wireshark的流量数据包进行关键词在于rememberMe这个Cookie字段，这是Shiro框架特有的字段进行数据解密如下可见key也出来了，所以已经可以确认攻击者使用Shiro进行攻击。特有加密流量包在护网中会遇到各种OA系统，针对各种OA系统也有各式各样的综合利用工具，并且这些综合利用工具都进行了一些加密，我们可以通过如下的工具进行解密DecryptTools.jar数据库日志分析明确数据库的日志存储位置，结合Web日志进行分析，可能存在sql注入等攻击，二者结合会有意想不到的效果后续处理找到攻击利用点并修复，写出攻击者流程，清理后门并后续溯源等待提升技能如何做到Webshell查杀的精准如何做到日志分析效率和准确如何做到流量包分析效率和准确如何做到后续溯源定位效率和准确如何做到应急分析溯源报告的书写本节仅作为入门篇章，主要讲解Web入侵的分析思路补充资料Linux 应急响应手册v1.9 发行版.pdfWindows应急响应手册v1.2.pdf