跟随micropoor前辈之渗透笔记（2）

此笔记的原书来源于Micropoor前辈的Micro8，这里我仅对我感兴趣的地方做些自己的学习笔记，开头会注明来自哪几节课。
以下来自第6节课
由于师傅写的已经很清楚了，这里只做思路和其他介绍

反攻溯源情况介绍

事件过程：某厂商日志分析发现IP，但是日志记录的其中行为直接大量登陆内网，并无攻击 过程，以及攻击手法，导致内网安全加固不知从何下手，并且不知道有什么后门需要清除， 而且日志里攻击者IP为外国IP，不确定真实IP，还是代理IP。无法定位真正攻击者的地理位 置。
思路：反入侵得到攻击者机器权限，入侵现场还原，摸清入侵思路。并且须知入侵者的 相关后门遗留，以便处理后门。抓取入侵者的真实IP获得地理位置。并按照攻击者的攻击路 线加固相关漏洞安全。

学习补强

1. tns日志
TNS协议是ORACLE服务端和客户端通讯的协议。TNS协议传输可以使用TCP/IP协议、使用SSL的TCP/IP协议、命名管道和IPC协议传输，其中TCP/IP协议传输是使用明文传送。
2. 通过DHCP记录查看应用发现存在loadfile漏洞
说实话，这里没有明白，希望懂的大佬能指点一下
3. shift后门
放一个写的比较有意思的链接

思路

1. 查看厂商日志和tns日志进行分析===》通过Oracle相关存储得到hacker的存储利用文件和源IP，此处得到两个IP和一个样本文件
   
   
2. 刺探以上两个IP的服务器等信息，根据情况改变思路，例如尝试拿到服务器权限，查看日志，ip和对应时间，并记住尽量不留痕迹
3. 通过DHCP记录查看应用发现存在文件包含漏洞和shift漏洞，16进制读取分析后连接。
   
4. 逆向分析得到的两个样本文件，侧重点为shift后门
5. 连接shift后门后，弹出cmd命令和system权限
   
6. 找服务器日志进行关于攻击者ip，对应时间和其他文件的取证
7. 根据以上样本分析及服务器的文件，进行厂商网站等加固