作者: Hsy.Sec

鏈接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/

0x00 第一次信息收集

獲取攻擊IP

IP反查定位（考慮是否為代理）

IP資產(chǎn)探測(cè)（masscan+nmap）、在線端口探測(cè)等

IP web的指紋識(shí)別等信息收集

0x01 嘗試獲取getshell提權(quán)

根據(jù)獲取的資產(chǎn)信息，進(jìn)行滲透（awvs等工具）

0x02 第一次提權(quán)后的信息收集

查看歷史的shell命令是否存在數(shù)據(jù)：

取消shell命令歷史記錄：set + o history

刪除上一步的取消命令：history -d id

查詢登錄過(guò)當(dāng)前系統(tǒng)的IP：last，定位該IP

進(jìn)行該IP的第一次信息收集同上

系統(tǒng)信息收集：內(nèi)核，系統(tǒng)版本情況等，嘗試是否可以提權(quán)操作

查看你進(jìn)程中的IP：ps -aux 反查IP信息，信息收集

查看計(jì)劃任務(wù)：cat /var/log/cron

查看啟動(dòng)項(xiàng)：touch /var/lock/subsys/local

查看暫居前五的進(jìn)程：

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

對(duì)進(jìn)程排查，進(jìn)行進(jìn)程中的程序信息收集

查詢類似的可疑文件：find / -name “xxx“

0x03 對(duì)發(fā)現(xiàn)的IP資產(chǎn)進(jìn)行第二次信息收集

IP定位

資產(chǎn)掃描

端口框架等指紋信息

嘗試提權(quán)

例如：redis，mysql弱口令爆破等 masscan + nmap全端口探測(cè)

如提權(quán)成功，重復(fù)上一步的提權(quán)后的信息收集

0x04 溯源總結(jié)

IP信息總結(jié)，排查出可疑IP人員

whois等查詢郵箱等信息

微步在線查詢相關(guān)身份信息

sgk進(jìn)一步查詢：sj、cp、sfz等