案例一：内网应急-日志分析-爆破&横向&数据库

数据库

这里不同数据库日志不一样，我用mysql分析

首先MySQL数据库需要支持远程连接

GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY '123.com' WITH GRANT OPTION;

其次开启日志

-- 查看general log是否开启
SHOW VARIABLES LIKE 'general_log';
 
-- 开启general log
SET GLOBAL general_log = 'ON';
 
-- 设置general log的输出类型，可以是FILE或TABLE
SET GLOBAL log_output = 'FILE';
 
-- 设置general log的文件路径，如果输出类型是FILE
SET GLOBAL general_log_file = '/path/to/your/logfile.log';

 利用hydra进行一次爆破

hydra -L username.txt -P password.txt mysql://192.168.172.139:3306

查看日志，发现在同一时刻有大量登录失败的数据包，quit代表登录成功，并且退出了，证明爆破出了密码

下面是复制的别人sqlserver的图片

可以看到同一时刻3.31在进行爆破，失败多次后突然成功

爆破

 爆破rdp3389

查看windows日志

同一时刻大量失败，并且显示登录就证明他在爆破

爆破的用户名以及ip

横向

随便在域内采用一种横向

查看日志，显示win2008采用ntlm方式登录验证

案例二：红队APT-钓鱼邮件-内容&发信人&附件

现在大部分企业感觉都做得比较安全，之前文章中复现代发，转发都无法复现，当然跟我比较菜的原因分不开

第151天：红队APT-钓鱼篇&邮件钓鱼&SPF绕过&自建邮件系统&Swaks&Gophish-CSDN博客

当文件当中出现附件为exe格式的时候千万不要随便点，拿不准的时候可以直接，上传到沙箱系统进行检测

这个是我之前做的比较像的钓鱼邮件

点击显示邮件原文可以查看原文进行分析

在received当中可以查看到发件人的ip地址,这里我的这个格式因为我是ipv6地址

正常邮件里面ip显示

X-Mailer是信件原文中信件头（Header）的其中一项，主要用于表示信件是从哪个客户端或软件发送出来的。它是电子邮件头中的一个重要字段，提供了关于邮件发送者的邮件客户端或邮件发送软件的信息。

查到gophish直接去百度搜索，就可以看到

再来看一个正常的

案例三:  拒绝攻击-DDOS&CC-代理&防火墙防御

只做技术研究，遵守相关法律法规

cc攻击

cc攻击是dos攻击的一种，主要针对网站进行攻击

这里我利用kali的ab命令

假设我们要对http://example.com/进行压力测试，并发数为100，请求总数为1000，可以使用以下命令：

ab -n 1000 -c 100 http://example.com/

这条命令会模拟100个并发用户，向http://example.com/发送总共1000个请求。

这里利用命令进行攻击

cpu会拉满 内存也会拉满

但是可能是工具的原因，也可能是流量不够大，网站还可以访问，正常ddos可能会引入一大批肉鸡，同时对他进行攻击
使用cc防火墙，正常没有数据包

攻击以后能够看到有一些数据包在流动

 ddos

利用kali自带工具hping3实现ddos

hping3 -S 目标 IP 地址 -a 源 IP 地址（可以不是自己的ip） -p 22 --flood

hping3 -S 192.168.172.151 -a 10.10.10.1 -p 22 --flood

利用wireshark抓包都卡住了

cpu直接爆满

等待缓存下来后，查看数据包，发现mac地址能够对应的上

使用随机IP地址选项

hping3 -S 目标 ip 地址 -p 端口 --flood --rand--source

hping3 -S 192.168.172.151 -p 80 --flood --rand-source

原ip不断变化走的是http协议

所有mac地址均不变，mac地址实在主机出场时和网卡绑定在了一起，比较难以修改，但是想要通过mac地址定义原始ip也是比较困难的

现在的服务器呢性能也是非常的好，而且可能拥有高防护防止ddos，因此可能需要肉鸡配合，一起进行dos攻击，才可以实现（遵守相关法律法规）