内网安全-域横向CS&MSF联动及应急响应初识

案例1：MSF&CobaltStrike联动Shell

CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
use exploit/windows/local/payload_inject

首先准备一台外网的服务器，安装上cs和msf

将cs会话反弹到msf上

本地连接cs，目标cs上线后，创建监听

msf处创建监听模块
设置payload时，需要与cs处协议保持一致

设置参数
端口处要与cs设置的端口一致

想反弹哪个上线的主机的shell，就选择它右键Spawn

绑定刚才创建的监听器

msf这边收到反弹的shell

将msf上会话反弹到cs上

首先cs处创建监听器，设置msf的ip以及端口

msf获取到shell会话后
先background退出会话，查看当前的sessions会话

进入模块exploit/windows/local/payload_inject，查看需要设置的参数

设置payload，这里的payload需要与cs处监听器设置的协议保持一致

show options查看并设置参数
设置端口，与cs处保持一致
设置lhost为cs服务器的ip地址
载入对应的session会话

执行

cs这里已经上线了，成功将msf中session 4的shell会话反弹到cs上

应急响应

案例2-WEB攻击应急响应朔源-后门，日志

回顾：某客户反应自己的网站首页出现被篡改，请求支援

分析：涉及的攻击面涉及的操作权限涉及的攻击意图涉及的攻击方式等

思路1：利用日志定位修改时间基数，将前时间进行攻击分析，后时间进行操作分析
思路2：利用后门Webshe11查杀脚本或工具找到对应后门文件，定位第一次时间分析

案例3-WIN系统攻击应急响应朔源-后门，日志，流量

分析：涉及的攻击面涉及的操作权限涉及的攻击意图涉及的攻击方式等

故事回顾：某客户反应服务器异常出现卡顿等情况，请求支援

思路：利用监控工具分析可疑进程，利用杀毒软件分析可疑文件，利用接口工具抓流量
获取进行监控：PCHunter64
获取执行列表：UserAssistview 
AppCompatCacheParser.exe --csv c:\temp -t 

windows系统可以用PCHunter64工具查看，蓝色字体运行的进程都不是系统进程