应急响应LINUX&Windows

应急响应LINUX&Windows

linux

文件名	说明
/etc/passwd	用户信息文件
/etc/crontab	定时任务文件
/etc/anacrontab	异步定时任务文件
/etc/rc.d/rc.local	开机启动项
/var/log/btmp	登录失败日志，使用last命令查看
/var/log/cron	定时任务执行日志
/var/log/lastlog	所有用户最近登录信息，使用lastlog查看
/var/log/secure	验证、授权等日志
/var/log/wtmp	包含用户登录日志，使用last命令查看
/var/log/utmp	当前登录系统的用户信息，使用last命令查看

查看进程资源占用：top

查看进程：ps -aux

查看网络连接：netstat -antpl 

查看进程开打的文件，打开文件的进程，进程打开的端口：lsof

显示错误的尝试登录信息：lastb

显示系统用户最近的登录信息：last

现实所有的用户最近的登录信息：lastlog

查看定时任务：crontab -l 、 cat /etc/crontab

查看历史命令：history、cat ~/.bash_history

查看当前目录下所有文件并排序：ls -alt   ls -lrth

校验RPM软件包：rpm -Va、dpkg -verify
S：	表示对应文件的大小（Size）不一致；
M：	表示对于文件的mode不一致；
5：	表示对应文件的MD5不一致；
D：	表示文件的major和minor号不一致；
L：	表示文件的符号连接内容不一致；
U：	表示文件的owner不一致；
G：	表示文件的group不一致；
T：	表示文件的修改时间不一致；

查看文件（文件夹）详细的访问、修改、创建等信息：stat

查找当前目录下，指定天数内修改的指定类型（or名称）文件：find ./ -mtime 0 -name *.jsp

查找当前目录下，指定天数内新增的指定类型（or名称）文件： find ./ -ctime 0 -name *.jsp

登录成功的IP
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有爆破行为的IP
grep "Failed password" /var/log/secure|awk '{print $11}' | sort | uniq -c | sort -nr |more

查看每个 IP 地址访问次数：cat access.log |awk '{print $1}' |sort|uniq –c

访问URL排序：cat access.log |awk '{print $11}'|sort|uniq -c|sort -rn|head

访问指定资源日志：cat access.log | awk '{print $7}' |grep /%25Domain |sort|uniq -c|sort -rn|more

应急工具 - Busybox   官网：[https://busybox.net/]

chkrootkit是一个linux下检RootKit的脚本。	官网：[http://www.chkrootkit.org/]
Chkrootkit 安装：下载源码：ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
解压后执行 make进行编译，就可以使用了。

./chkrootkit | grep INFECTED
一般直接运行，一旦有INFECTED，说明可能被植入了RootKit

Rkhunter

河马Webshell查杀工具 官网：[https://www.shellpub.com/]
Webshell 文件内容中的恶意函数
    PHP：eval(、system(、assert(
    JSP：getRunTime(、 FileOutputStream(
    ASP：eval(、execute(、 ExecuteGlobal（

Windows

命令	说明
regedit	注册表
Taskmgr	任务管理器
Msconfig	系统配置(包含启动项)
eventvwr.msc	事件查看器
compmgmt.msc	计算机管理(本地用户和组)
gpedit.msc	本地组策略
taskschd.msc	计划任务
lusrmgr.msc	本地用户和组

渗透测试中常用windows命令

ifconfig /all 获取获取域名、IP地址、DHCP服务器、网关、MAC地址、主机名
net time /domain 查看域名、时间
net view /domain 查看域内所有共享
net view ip 查看对方局域网内开启了哪些共享
net config workstation 查看域名、机器名等
net user 用户名 密码 /add 建立用户
net user 用户名 /del #删除用户
net user guest /active:yes 激活guest账户
net user 查看账户
net user 账户名 查看指定账户信息
net user /domain 查看域内有哪些用户，Windows NT Workstation 计算机上可用，由此可以此判断用户是否是域成员。
net user 用户名 /domain 查看账户信息
net group /domain 查看域中的组
net group "domain admins" /domain 查看当前域的管理用户
query user 查看当前在线的用户
net localgroup 查看所有的本地组
net localgroup administrators 查看administrators组中有哪些用户
net localgroup administrators 用户名 /add 把用户添加到管理员组中
net start 查看开启服务
net start 服务名 开启某服务
net stop 服务名 停止某服务
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net share ipc$ /del 删除ipc$共享
net share c$ /del 删除C：共享
\\192.168.0.108\c 访问默认共享c盘
dsquery server 查看所有域控制器
dsquery subnet 查看域内内子网
dsquery group 查看域内工作组
dsquery site 查看域内站点
netstat -a 查看开启了哪些端口,常用netstat -an
netstat -n 查看端口的网络连接情况，常用netstat -an
netstat -v 查看正在进行的工作
netstat -p 协议名 例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）
netstat -s 查看正在使用的所有协议使用情况
nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写
reg save hklm\sam sam.hive 导出用户组信息、权限配置
reg save hklm\system system.hive 导出SYSKEY
net use \\目标IP\ipc$ 密码 /u:用户名 连接目标机器
at \\目标IP 21:31 c:\server.exe 在某个时间启动某个应用
wmic /node:"目标IP" /password:"123456" /user:"admin" 连接目标机器
psexec.exe \\目标IP -u username -p password -s cmd 在目标机器上执行cmd
finger username @host 查看最近有哪些用户登陆
route print 显示出IP路由，将主要显示网络地址Network addres，子网掩码Netmask，网关地址Gateway addres，接口地址Interface
arp 查看和处理ARP缓存，ARP是名字解析的意思，负责把一个IP解析成一个物理性的MAC地址。
arp -a 将显示出全部信息
nslookup IP地址侦测器
tasklist 查看当前进程
taskkill /pid PID数 终止指定PID进程
whoami 查看当前用户及权限
systeminfo 查看计算机信息（版本，位数，补丁情况）
ver 查看计算机操作系统版本
tasklist /svc 查看当前计算机进程情况
netstat -ano 查看当前计算机进程情况
wmic product > ins.txt 查看安装软件以及版本路径等信息，重定向到ins.txt

获取本机用户列表：net user
本机管理员：net localgroup administrators 			

查看当前运行的服务：net start
远程连接：net use 						
查看当前用户下的共享目录：net share
最近打开的文件：%UserProfile%\Recent 、%APPDATA%\Microsoft\Windows\Recent
查找文件中的字符串：findstr /m /i /s "hello" *.txt
查看当前会话：net session

查看网络连接：netstat - ano	
操作系统的详细配置信息：systeminfo
获取系统进程信息： processWmic

根据应用程序查找PID：wmic process where name="cmd.exe" get processid,executablepath,name
 
根据PID查找应用程序：wmic process where processid="4296" get executablepath,name
获取系统进程信息： tasklist
对于要查询特定dll的调用情况，可以使用命令tasklist /m dll名称
计算样本MD5：certutil -hashfile 样本 MD5

敏感目录
%WINDIR%
%WINDIR%\system32\
%TEMP%
%LOCALAPPDATA%
%APPDATA%

PChunter AntiRootkit工具
PCHunter是一款强大的内核级监控软件，软件可以查看内核文件、驱动模块、隐藏进程、注册表,内核，网络等等信息，
和PCHunter功能相似的还有火绒剑，PowerTool等。

Autoruns	启动项查看工具
登录时的加载程序、驱动程序加载、服务启动、任务计划等 Windows 中各种方面的启动项。
下载地址：[https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns]

ProcessExplorer  进程查看工具
Process monitor主要是监控进程的行为应用程序运行时使用此软件来监控程序的各种操作。此软件主要监控程序的五种行为：文件系统，注册表，进程，网络，分析。由于此款软件监控的是系统中所有的进程的行为，数据量往往很大，不利于我们分析数据，所以需要对其设置过滤选项，通过Filter->Filter选项可以看到右侧的窗口，在此窗口中增加过滤项。
下载地址：[https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer]


ProcessMonitor 进程实时监控
TCPView 网络连接查看工具
TCPView可以直接查看系统上与所有进程UDP和TCP端点的详细信息，
下载地址：[https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview]


Microsoft Network Monitor   网络连接查看工具
一款统计准确、占用资源小的网络流量监控软件
下载地址：[https://www.microsoft.com/en-us/download/confirmation.aspx?id=4865]

D盾  
下载地址：[http://www.d99net.net/]


Webshell查杀工具
Everything
搜索工具


情报平台分析

奇安信威胁情报中心
微步在线社区
Virus total
IBM XFORCE

情报平台分析资源地址：
https://github.com/hslatman/awesome-threat-intelligence/blob/master/README_ch.md

日志

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件：系统日志、 安全日志、应用程序日志。

打开方式：
1、开始  ->  运行  ->  eventvwr
2、开始  ->  管理工具  ->  事件查看  ->  安全
系统日志主要是记录了系统组件产生的事件。系统日志主要记录的信息包括驱动程序产生的信息、系统组件产生的信息
和应用程序崩溃的信息以及一些数据丢失情况的信息。

默认位置：%SystemRoot%System32WinevtLogsSystem.evtx

系统启动 					ID 12
事件日志服务已启动 			 ID 6005
事件日志服务已停止 			 ID 6006
系统关闭 					ID 13

安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件
以及系统策略的更改事件，如果要查看安全日志信息，则操作员必须具有系统管理员的权限。

默认位置：%SystemRoot%System32WinevtLogsSecurity.evtx

事件ID	说明 (与2000/xp/2003ID不同)
1102	清理审计日志
4624	账号成功登录
4625	账号登录失败
4672	授予特殊权限
4719	系统审计策略修改
4720	创建用户
4726	删除用户
4728	将成员添加到启用安全的全局组中
4729	将成员从安全的全局组中移除
4732	将成员添加到启用安全的本地组中
4733	将成员从启用安全的本地组中移除
4756	将成员添加到启用安全的通用组中
4757	将成员从启用安全的通用组中移除
4768	Kerberos身份验证（TGT请求）
4769	Kerberos服务票证请求
4776	NTLM身份验证
7030	服务创建错误
7040	IPSEC服务服务的启动类型已从禁用更改为自动启动
7045	服务创建

event4624 登陆日志类型

登录类型	描述
2	交互式登录（用户从控制台登录）
3	网络（例如：通过net use,访问共享网络）
4	批处理（为批处理程序保留）
5	服务启动（服务登录）
6	不支持
7	解锁（带密码保护的屏幕保护程序的无人值班工作站）
8	网络明文（IIS服务器登录验证）
10	远程交互（终端服务，远程桌面，远程辅助）
11	缓存域证书登录

Windows日志分析 - 应用程序日志

指的在上的应用程序产生的日志。一般指的的是微软幵发的应用程序，第三发幵发的基于系统的应用程序如果使用日志记录的函数，则这个应用程序将可以通过事件查看器查看其日志信息 。

默认位置：%SystemRoot%System32WinevtLogsApplication.evtx