案例1：MSF&CobaltStrike聯(lián)動(dòng)Shell

CS->MSF 創(chuàng)建Foreign監(jiān)聽器->MSF監(jiān)聽模塊設(shè)置對(duì)應(yīng)地址端口->CS執(zhí)行Spawn選擇監(jiān)聽器 MSF->CS CS創(chuàng)建監(jiān)聽器->MSF載入新模塊注入設(shè)置對(duì)應(yīng)地址端口->執(zhí)行CS等待上線 use exploit/windows/local/payload_inject首先準(zhǔn)備一臺(tái)外網(wǎng)的服務(wù)器，安裝上cs和msf

將cs會(huì)話反彈到msf上

本地連接cs，目標(biāo)cs上線后，創(chuàng)建監(jiān)聽

msf處創(chuàng)建監(jiān)聽模塊
設(shè)置payload時(shí)，需要與cs處協(xié)議保持一致

設(shè)置參數(shù)
端口處要與cs設(shè)置的端口一致

想反彈哪個(gè)上線的主機(jī)的shell，就選擇它右鍵Spawn

綁定剛才創(chuàng)建的監(jiān)聽器

msf這邊收到反彈的shell

將msf上會(huì)話反彈到cs上

首先cs處創(chuàng)建監(jiān)聽器，設(shè)置msf的ip以及端口

msf獲取到shell會(huì)話后
先background退出會(huì)話，查看當(dāng)前的sessions會(huì)話

進(jìn)入模塊exploit/windows/local/payload_inject，查看需要設(shè)置的參數(shù)

設(shè)置payload，這里的payload需要與cs處監(jiān)聽器設(shè)置的協(xié)議保持一致

show options查看并設(shè)置參數(shù)
設(shè)置端口，與cs處保持一致
設(shè)置lhost為cs服務(wù)器的ip地址
載入對(duì)應(yīng)的session會(huì)話

執(zhí)行

cs這里已經(jīng)上線了，成功將msf中session 4的shell會(huì)話反彈到cs上

應(yīng)急響應(yīng)

案例2-WEB攻擊應(yīng)急響應(yīng)朔源-后門，日志

回顧：某客戶反應(yīng)自己的網(wǎng)站首頁出現(xiàn)被篡改，請(qǐng)求支援分析：涉及的攻擊面涉及的操作權(quán)限涉及的攻擊意圖涉及的攻擊方式等思路1：利用日志定位修改時(shí)間基數(shù)，將前時(shí)間進(jìn)行攻擊分析，后時(shí)間進(jìn)行操作分析 思路2：利用后門Webshe11查殺腳本或工具找到對(duì)應(yīng)后門文件，定位第一次時(shí)間分析

案例3-WIN系統(tǒng)攻擊應(yīng)急響應(yīng)朔源-后門，日志，流量

分析：涉及的攻擊面涉及的操作權(quán)限涉及的攻擊意圖涉及的攻擊方式等故事回顧：某客戶反應(yīng)服務(wù)器異常出現(xiàn)卡頓等情況，請(qǐng)求支援思路：利用監(jiān)控工具分析可疑進(jìn)程，利用殺毒軟件分析可疑文件，利用接口工具抓流量 獲取進(jìn)行監(jiān)控：PCHunter64 獲取執(zhí)行列表：UserAssistview AppCompatCacheParser.exe --csv c:\temp -t

windows系統(tǒng)可以用PCHunter64工具查看，藍(lán)色字體運(yùn)行的進(jìn)程都不是系統(tǒng)進(jìn)程

總結(jié)

以上是生活随笔為你收集整理的内网安全-域横向CSMSF联动及应急响应初识的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。