作者: Hsy.Sec

链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/

0x00 第一次信息网络

获取攻击IP

IP反查定位（思量是否为署理）

IP资产探测（masscan+nmap）、在线端口探测等

IP web的指纹识别等信息网络

0x01 实验获取getshell提权

凭证获取的资产信息，，，，，，，，举行渗透（awvs等工具）

0x02 第一次提权后的信息网络

审查历史的shell下令是否保存数据：

作废shell下令历史纪录：set + o history

删除上一步的作废下令：history -d id

盘问登录过目今系统的IP：last，，，，，，，，定位该IP

举行该IP的第一次信息网络同上

系统信息网络：内核，，，，，，，，系统版本情形等，，，，，，，，实验是否可以提权操作

审查你历程中的IP：ps -aux 反查IP信息，，，，，，，，信息网络

审查妄想使命：cat /var/log/cron

审查启动项：touch /var/lock/subsys/local

审查暂居前五的历程：

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

对历程排查，，，，，，，，举行历程中的程序信息网络

盘问类似的可疑文件：find / -name “xxx“

0x03 对发明的IP资产举行第二次信息网络

IP定位

资产扫描

端口框架等指纹信息

实验提权

例如：redis，，，，，，，，mysql弱口令爆破等 masscan + nmap全端口探测

如提权乐成，，，，，，，，重复上一步的提权后的信息网络

0x04 溯源总结

IP信息总结，，，，，，，，排查出可疑IP职员

whois等盘问邮箱等信息

微步在线盘问相关身份信息

sgk进一步盘问：sj、cp、sfz等