案例一:内网应急-日志分析-爆破&横向&数据库
数据库
这里不同数据库日志不一样,我用mysql分析
首先MySQL数据库需要支持远程连接
GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY '123.com' WITH GRANT OPTION;
其次开启日志
-- 查看general log是否开启
SHOW VARIABLES LIKE 'general_log';
-- 开启general log
SET GLOBAL general_log = 'ON';
-- 设置general log的输出类型,可以是FILE或TABLE
SET GLOBAL log_output = 'FILE';
-- 设置general log的文件路径,如果输出类型是FILE
SET GLOBAL general_log_file = '/path/to/your/logfile.log';
利用hydra进行一次爆破
hydra -L username.txt -P password.txt mysql://192.168.172.139:3306
查看日志,发现在同一时刻有大量登录失败的数据包,quit代表登录成功,并且退出了,证明爆破出了密码
下面是复制的别人sqlserver的图片
可以看到同一时刻3.31在进行爆破,失败多次后突然成功
爆破
爆破rdp3389
查看windows日志
同一时刻大量失败,并且显示登录就证明他在爆破
爆破的用户名以及ip
横向
随便在域内采用一种横向
查看日志,显示win2008采用ntlm方式登录验证
案例二:红队APT-钓鱼邮件-内容&发信人&附件
现在大部分企业感觉都做得比较安全,之前文章中复现代发,转发都无法复现,当然跟我比较菜的原因分不开
第151天:红队APT-钓鱼篇&邮件钓鱼&SPF绕过&自建邮件系统&Swaks&Gophish-CSDN博客
当文件当中出现附件为exe格式的时候千万不要随便点,拿不准的时候可以直接,上传到沙箱系统进行检测
这个是我之前做的比较像的钓鱼邮件
点击显示邮件原文可以查看原文进行分析
在received当中可以查看到发件人的ip地址,这里我的这个格式因为我是ipv6地址
正常邮件里面ip显示
X-Mailer是信件原文中信件头(Header)的其中一项,主要用于表示信件是从哪个客户端或软件发送出来的。它是电子邮件头中的一个重要字段,提供了关于邮件发送者的邮件客户端或邮件发送软件的信息。
查到gophish直接去百度搜索,就可以看到
再来看一个正常的
案例三: 拒绝攻击-DDOS&CC-代理&防火墙防御
只做技术研究,遵守相关法律法规
cc攻击
cc攻击是dos攻击的一种,主要针对网站进行攻击
这里我利用kali的ab命令
假设我们要对http://example.com/
进行压力测试,并发数为100,请求总数为1000,可以使用以下命令:
ab -n 1000 -c 100 http://example.com/
这条命令会模拟100个并发用户,向http://example.com/
发送总共1000个请求。
这里利用命令进行攻击
cpu会拉满 内存也会拉满
但是可能是工具的原因,也可能是流量不够大,网站还可以访问,正常ddos可能会引入一大批肉鸡,同时对他进行攻击
使用cc防火墙,正常没有数据包
攻击以后能够看到有一些数据包在流动
ddos
利用kali自带工具hping3实现ddos
hping3 -S 目标 IP 地址 -a 源 IP 地址(可以不是自己的ip) -p 22 --flood
hping3 -S 192.168.172.151 -a 10.10.10.1 -p 22 --flood
利用wireshark抓包都卡住了
cpu直接爆满
等待缓存下来后,查看数据包,发现mac地址能够对应的上
使用随机IP地址选项
hping3 -S 目标 ip 地址 -p 端口 --flood --rand--source
hping3 -S 192.168.172.151 -p 80 --flood --rand-source
原ip不断变化走的是http协议
所有mac地址均不变,mac地址实在主机出场时和网卡绑定在了一起,比较难以修改,但是想要通过mac地址定义原始ip也是比较困难的
现在的服务器呢性能也是非常的好,而且可能拥有高防护防止ddos,因此可能需要肉鸡配合,一起进行dos攻击,才可以实现(遵守相关法律法规)