安全事件響應分析--基礎命令

----萬能密碼

'or'='or'
' 1 or #
1'or'1'='1?? ??? ?
1 or 1=1

=============安全事件響應分析==========

------***windoes***------方法

開機啟動有無異常文件
【開始】?【運行】?【msconfig】

文件排查
各個盤下的temp(tmp)相關目錄下查看有無異常文件：Windows產生的
臨時文件
可以通過查看日志且通過篩選 ?
根據文件夾內文件列表時間進行排序，查找可疑文件。當然也可以搜索指
定日期范圍的文件及文件
------
文件排查
Recent是系統文件夾，里面存放著你最近使用的文檔的快捷方式，查看用
戶recent相關文件，通過分析最近打開分析可疑文件：
【開始】?【運行】?【%UserProfile%\Recent】
------
netstat -ano 查看目前的網絡連接，定位可疑的ESTABLISHED
netstat 顯示網絡連接、路由表和網絡接口信息；
參數說明：
-a 顯示所有網絡連接、路由表和網絡接口信息
-n 以數字形式顯示地址和端口號
-o 顯示與每個連接相關的所屬進程 ID
-r 顯示路由表
-s 顯示按協議統計信息、默認地、顯示IP
常見的狀態說明：
LISTENING 偵聽狀態
ESTABLISHED 建立連接
CLOSE_WAIT 對方主動關閉連接或網絡異常導致連接中斷

tasklist 顯示運行在本地或遠程計算機上的所有進程；
根據wmic process 獲取進程的全路徑
【開始】?【運行】?【compmgmt.msc】?【本地用戶和組】?【用
戶】 (用戶名以$結尾的為隱藏用戶，如：admin$)
命令行方式：net user，可直接收集用戶信息（此方法看不到隱藏用戶）
，若需查看某個用戶的詳細信息，可使用命令?net user username；
查看當前系統用戶的會話
使用? query user 查看當前系統的會話，比如查看是否有人使用遠程終
端登錄服務器；
logoff id號 //踢出該用戶； ?
5156（查看記錄遠程連接的信息）4720（查看創建的用戶）4726（查看刪除賬戶） ?

4624— 成功登錄

4625 —失敗的登錄

4634/4647 — 成功注銷

4648— 使用顯式(explicit)憑證登錄(RunAs)

4776/4672 — 用戶使用超級用戶權限的登錄 (Administrator)//特殊登錄。憑證驗證

4720 — 賬戶創建

4688 - 記錄重啟進程

4698計劃任務已創建/4699計劃任務已刪除/4700計劃任務已啟用/4701計劃任務已停用/4702計劃任務已變更// -計劃任務的詳細信息

------------------***Linux***--------方法

查看tmp目錄下的文件??? ls –alt /tmp/

查看開機啟動項內容???ls -alt /etc/init.d/，/etc/init.d 是z
/etc/rc.d/init.d 的軟鏈接
針對可疑文件可以使用stat進行創建修改時間、訪問時間的詳細查看，若
修改時間距離事件日期接近，有線性關聯，說明可能被篡改或者其他。
查看歷史命令記錄文件~/.bash_history
查看操作系統用戶信息文件/etc/passwd
/var/www/html/?? ?//這個目錄就是Apache的網站根目錄（默認是index.html）
用netstat 網絡連接命令，分析可疑端口、可疑IP、可疑PID及程序進程
netstat –antlp | more

?html目錄下： ? find -name "*.php" ?| grep flag 或者【grep ?-i "flag" ./*】 {./*所有當前下根目錄的子目錄文件} ?====//找到所有關于.php的文件，同時顯示出來所在的目錄

crontab -l //查看定時啟動的任務

history//查看最近一些的命令

lastlog//查看最后一次登錄的情況

cat /var/log/lastlog或者last -f /var/log/lastlog //查看登錄情況

=========================常見命令==============

----------------------Windows下
cmd: ? ?systeminfo//查看系統信息
cmd: ? ?net user 名字 /add//創建“名字”的用戶
cmd： ? ? ?net user 名字/del//刪除“名字“的賬戶
cmd:?? ? ?wevtutil cl "logname"//清除所有安全日志
cmd: ? ? ? nvidia-smi//查看gpu的使用率
cmd: ?lusrmgr.msc //查看是否有新增/可疑的賬號
cmd: ? ?netstat -ano//查看當前網絡狀態
cmd: ? ?tasklist | findstr PID(進程號)//指定查看PID 的詳細信息
win+R: ?eventvwr.msc//查看事件查看器
win+R: ?eventvwr//查看事件查看器
win+R: ?Log Parser//日志進行分析
win+R: ?recent//查看最近修改的文件

----------------------------Linux下三劍客
----grep用法---
grep -n -i "root" ./flag.txt ?//
grep '^#' ./flag.txt //輸出以#開頭的內容
grep '\.$' ./flag.txt //輸出以.結尾的內容 ?/---{'/'轉義符【正則表達式除外可以不加】}{x$【輸出以x為結尾的內容】}?
grep '.x' ./flag.txt //輸出與x字母所匹配的所有行列
-i : 不區分大小寫/-n : 顯示匹配行及行號/-c : 只輸出匹配行的計數/ -v ：排除匹配結果 /^ : 匹配正則表達式的以“某字符串”開頭的行 '^#'//找出空行/-o : 只顯示匹配字符串的部分/. :單個字符，匹配任意一個字符 ?//[ - ] : 范圍匹配，如[A-C0-9]，即A、B、C1、2、3等字母數字都符合要求；如[a,b]，即只有a和b符合要求

擴展正則表達式grep實踐

使用grep -E進行實踐擴展正則
豎線|再正則中是或者的意思
grep -E "a|b" flag.txt//找帶有a或b的內容

---sed用法----

----awk用法---- ? ? file.txt內容為【/bin/bash/flag/php】flag.txt 【flag/php/png】

awk '{print $1}' file.txt ?-----// ? ? ? 輸出并篩選出file文檔中以空格符為分隔符的第一列且所有行的內容 ?【bin】
awk -F ":" '{print $1}' file.txt ----// ? ? 輸出并篩選出file文件中以：為分隔符的第一列且所有行的內容 ? ?
awk -F "/" '{print $1,$2,$NF}' file.txt ---//輸出并篩選出file文件中以/為分隔符的第一列、第二列和最后一列且所有行的內容并以,形式輸出【bin bash php】變量之間加上逗號?? ??? ??? ??? ??? ??? ??? ??? ??? ?就以變量之間空格的方式輸出出來
awk -v OFS="----" '{print $1,$2,$3}' ----//【bin----bash----flag】
awk '{print $1,"----",$NF}' file.txt ? ?-----輸出并篩選出file文件中以/為分隔符的第一列所有行的內容且變量之間以----輸出出來【bin ---- php】
awk '{print $1,NF,NR}' file.txt flag.txt ?-----//【等】
-F "//以字母或者符號為分隔符進行篩選" ? ? -v var=value 定義或修改一個awk內部的變量 ?OFS：輸出字段分隔符，默認為空白字符 ?-v OSF="\t"等

? { $0輸出一整行信息（$n[篩選出第n列的內容]）$NF顯示最后一列且所有行的內容；$NR}【分隔符默認為空格OFS輸出字段的分隔符；還有一種：FS?? ?指定每行的字段分隔符，默認為空格或制表位（相當于選項 -F ）】NF?? ?【Number Fields】當前處理的行的字段個數（就是：有多少列） ? ? ?NR?? ?【Number Records】 ?當前處理的行的行號（就是：有多少行）

----uniq --
uniq -c 去重并進行計數多少次 ? ?

----head---

? -n//顯示文件的前3行?? ?
head -n 10 log.txt//顯示文件前10個字節

----sort ---
sort 從小到大進行排序 ? ? ??
sort -n 按照數字排序
sort -nr按照數字倒序排序
sort -t【指定分隔符排序】 -k 【指定第幾列進行排序】
sort -t “ ” -k 2 flag.txt //

openssl rsautl -decrypt -in key.txt -inkey rsa.key -out flag.txt //rsa解密

----------------------------------------------------------

chmod ?777 文件 ?//修改為最高的權限（可讀可寫可執行）

netdiscover –r ? ///掃描該與主機在同一網段存活的其他主機
nmap -sP IP網段（namp -sP 192.168.1.0/24） ///掃描該網段的存活的主機
arp-sacn -l 網段///掃描該網段的存活的主機

nmap -sS -sV -A -p- IP地址 ///掃描這個IP地址的一些常用的信息 ? // -A ：(-A非常全面，但是時間久點)全面掃描 ?-p : 掃描指定的端口（-p-就是所有的端口就行掃描） -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式來對目標主機進行掃描（Nmap不需要通過完整的握手，就能獲得遠程主機的信息。Nmap發送SYN包到遠程主機，但是它不會產生任何會話.因此不會**在目標主機上產生任何日志記錄**,因為沒有形成會話。這個就是SYN掃描的優勢.如果Nmap命令中沒有指出掃描類型,默認的就是Tcp SYN.但是它需要root/administrator權限。-sV 版本掃描和開啟的服務
————————————————

dirb http://ip地址 ? ? ///掃描該地址的文件后綴
dirb http://ip地址 -X .php的后綴的地址 ? //掃描的后綴的地址 ?
dirb http://ip地址 robots.txt ? //掃描robots.php文件中有響應的網站

ssh 登錄名@IP地址 ?（ssh xiaoming@10.120.120.12）//進入ssh服務
可以進入python交互shell ?----python -c 'import pty;pty.spawn("/bin/bash")'----進行提權
uname -a 查看內核版本信息 ? ?searchsploit -m id后綴//下載對應的內核版本信息

scp 內核版本信息用戶@地址 :/tmp（tmp臨時存放路徑）//上傳內核版本信息到對應的地址上，為python提權做準備//（ scp 37292.c@xiaoming120.120.120.120:/tmp）
在python交互shell下切換到tmp目錄下 ?用命令 ?// ?--gcc xiaoming.c -o hello-- //編譯 xiaoming.c 并指定輸出文件為 hello ? ?//通過--whoami--命令查看自己的對用的權限用戶 ?

wget url （wget 瀏覽器的網址）//下載對應的文件

hydra -L 用戶文檔{找到文檔所在位置直接拖就行} -P 密碼文檔 {同} ip地址{所要爆破的地址} ssh；；[rdp/smp/ftp/pop3/mssql/mysql/oracle等]{或者其它的服務（rdp）}////用九頭蛇工具爆破網站用戶及密碼【成功的話，會把賬號和密碼高亮顯示出來】 ?---hydra -l root -P flag.txt 120.120.120.120 ssh---- ? ?/// -L 指定用戶名字典?? ? -l 指定用戶名?? ??? ??? ? ?-P 指定密碼字典?? ?

ftp IP地址（ftp 10.120.120.12）//進入ftp下載文件用（get 文件名）下載文件?

sqlmap -u http://192.168.159.133/personel.php --data="kullanici_adi= &parola= " -b
-u 指定目標url
-b 檢索數據庫管理系統的標識
--data= 通過POST提交數據

unzip 文件 ?//（unzip 123.zip）---解壓文件

fcrackzip -D -u -p //-u 是顯示出來爆破出來的密碼格式,對于使用字典命令是-D，但是必須要有-p 這個參數才行，也就是：--fcrackzip -u -D -p password.txt test.zip------
fcrackzip -b -c 1 -l 1-6 -p 0 -u 1.zip////-b 暴力破解
-c 指定掩碼類型(-c1=純數字,-c2=純字母,-c3=數字字母混合模式（a=a-z;1=0-9;!=特殊字符）)
-l 1-6限制密碼長度為1到6
-p 0 初始化破解起點為 0
-u 顯示破解出來的密碼 ?

md5sum 123.jpg/txt/png/zip ?//查看123文件的MD5值
md5sum *.jpg/png/txt/等 ? //查看同一目錄下所有jpg/png/等文件MD5值可以進行對比，找到不同MD5值的異常文件

base64 -d 123.txt >> 12.txt ? //用base64解密123定向輸出到12 ? ----//-d用來解密 -e用來加密//（默認加密\\base64 123.txt >> 12）
echo "base64解密的字符" | -d //解密 -e加密

-----分析圖片----
exiftool ?1.jpg ? ?//查看圖片的詳細信息/會輸出一大片信息，包括分辨率，廠商，拍攝時間，EOTF，色域等信息，色域信息