数据库&漏洞口令检索&应急取证箱

ac7e504cfe2a0cf5a035bfef1f209da6

必须知识点:

1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,

除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。

2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本

3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫

Win 日志自动神器 LogonTracer-外网内网

项目地址:https://neo4j.com/download-center/#community

1
2
3
4
5
6
7
8
9
service docker start		#启动容器

docker pull jpcertcc/docker-logontracer			#拉取镜像

docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.70.128 jpcertcc/docker-logontracer		#运行   LTHOSTNAME改成自己的

浏览器访问:http://[本地IP地址]:7474

默认账号neo4j/neo4j,接着要求修改密码,输入新密码即可。

Snipaste_2023-08-14_08-45-14

好像有点不对(登录不进),所以还是用下载的把

Snipaste_2023-08-14_09-48-52

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

安装 java11 环境:
sudo yum install java-11-openjdk -y

修改 neo4j 配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &

下载 LogonTracer 并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt

启动 LogonTracer 并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP 地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX 文件] -z [时区] -u [用户名] -p [密码] -s [IP 地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

上传到kali中

Snipaste_2023-08-14_09-56-25

Snipaste_2023-08-14_09-57-14

我这个新版的还需要java17,安装又报错,更新源还是不行,更新系统报错,不想在下老版了

数据库 Mysql&Mssql&Oracle 等日志分析-爆破注入操作

常见的数据库攻击包括弱口令、SQL 注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。

1
2
3
4
#Mysql:启用,记录,分析(分析 SQL 注入及口令登录爆破等)
show variables like '%general%';
SET GLOBAL general_log = 'On';
SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';

案例演示1-mysql日志

查看日志设置,默认关闭状态,手动打开

Snipaste_2023-08-14_10-14-40

模拟注入攻击

Snipaste_2023-08-14_10-39-51

这个日志就是执行任何的SQL语句都会被记录下

案例演示2-SqlServer日志

SqlServer日志位置

Snipaste_2023-08-14_10-46-46

SqlServer数据库属性可以配置日志是否记录,日志保存多久等

Snipaste_2023-08-14_10-50-55

对服务器进行报错,然后查看日志

Snipaste_2023-08-14_10-52-43

估计这种严重性14,状态8的就是爆破攻击

首先说明一下SQL Server Express版本是没有SQL Profiler工具的,企业版有这个工具

这里我没有这个监控工具,就算了

Snipaste_2023-08-14_11-09-25

自查漏洞模拟渗透测试寻找攻击源头-漏洞口令检索

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
场景:
1.日志被删除或没价值信息
2.没有思路进行分析可以采用模拟渗透
 
1.windows,linux 系统漏洞自查:
WindowsVulnScan,linux-exploit-suggester
D:\Myproject\venv\Scripts\python.exe cve-check.py -C -f KB.json
./linux-exploit-suggester.sh
 
https://github.com/chroblert/WindowsVulnScan
https://github.com/mzet-/linux-exploit-suggester
 
2.windows,linux 服务漏洞自查:
windows:Get-WmiObject -class Win32_Product #Powershell命令
linux:LinEnum.sh
searchsploit weblogic
利用前期信息收集配合 searchsploit 进行应用服务协议等漏洞检索
 
https://github.com/rebootuser/LinEnum
https://github.com/offensive-security/exploitdb
<br>以上,前面已经讲过,不再演示3.windows,linux 协议弱口令自查-工具探针或人工获取判断-snetcraker
 
分析脚本工具原理,尝试自己进行编写修改,成为自己的工具箱杀器
https://github.com/diogo-fernan/ir-rescue

总结,这里的几款工具在提权的时候都用过,所以这里不细说,就是模拟攻击者,在结合前期的信息收集,看看服务器以及网站上有没有漏洞,没打补丁就打补丁

专业要求-自动化 ir-rescue 应急响应取证工具箱-实时提供服务

下载地址:https://github.com/diogo-fernan/ir-rescue