网络安全学习(ing)

根据网站后缀猜测开发语言及服务在这里插入图片描述常见端口及对应的服务
22 ssh
445 smb 漏洞ms17-010 永恒之蓝
3306 mysql
3389 rdp远程桌面连接服务
80 http
443 https

(一)SSH爆破—模拟攻击

1.信息收集

nmap扫描目标主机的端口
nmap IP
发现22端口开放

2.爆破ssh

hydra (略)
ssh登录命令:ssh root@IP

3.尝试创建隐藏计划任务

ssh登录后
网络安全学习(ing)_第1张图片

4.尝试nc连接目标主机的shell

靶机开启监听:nc -lvp 8888

5.应急响应—事件排查

  1. 查看网络连接情况 netstat -antpl
    网络安全学习(ing)_第2张图片
  2. 查看守护进程
    查看进程树:pstree -p
    查看进程:systemctl status xxxx
    网络安全学习(ing)_第3张图片
    网络安全学习(ing)_第4张图片
  3. 查看计划任务

网络安全学习(ing)_第5张图片
4. 找到task.sh文件
网络安全学习(ing)_第6张图片

6.应急响应—溯源分析

  1. 分析任务文件task.sh
    网络安全学习(ing)_第7张图片
  2. 查看登录日志
    网络安全学习(ing)_第8张图片
  3. 总结
    网络安全学习(ing)_第9张图片

7.应急响应—事件处置

  1. 删除计划任务,结束异常进程
    网络安全学习(ing)_第10张图片
  2. 删除恶意文件
    网络安全学习(ing)_第11张图片
  3. 修改密码,关闭root用户远程连接权限
    网络安全学习(ing)_第12张图片

你可能感兴趣的:(web安全,学习,安全)