应急响应基本流程_重建系统应急工作流程及规范

应急响应实战笔记

应急响应工具包

背景简介

当前随着时代的发展和国家信息化进程的加速，计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件，各个地区和单位对网络安全应急响应也更为重视，一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。

流程分析

准备阶段

准备阶段需要做的是主要是明确资产范围，对可能产生安全问题的地方进行加固。

检测阶段

通过日常的监控，收集系统信息日志等手段对可疑的迹象进行分析、判定，如果判定他属于网络安全应急响应时间则对该事件进行上报【可以利用netstat -ano查看端口连接情况，也可以使用tasklist | findstr "PID"对具体pid进程定位。系统日志可以win+R，输入eventvwr.msc，直接进入事件查看器分析日志】。



应急响应基础——Windows日志分析

抑制阶段

分析影响范围，根据预案采取相应手段，限制攻击的范围，设置隔离区，把影响降低到最小【可以使用安全软件把危险文件进行隔离，如果整台电脑完全沦陷，也可以考虑首先断网】。

根除阶段

分析产生安全事件的原因，如果是木马、病毒就需要寻找病毒的传播源并且遏制；如果是入侵行为就可以通过入侵检测的方式捕获并检测数据流，也可以利用一些工具对病毒特征进行扫描分析和定位。

恢复阶段

对受到破坏的系统和信息还原成正常状态，从可信任的备份中恢复还原系统配置数据库等等，并对其进行监控，确保无误后可适当去掉之前的隔离等抑制措施。

总结阶段

对我们上面所发生的安全事件进行总结，对你使用到有效的手段和方法做一个记录，对后面可能遇到的事件做一个示例。

案例分析

本次案例使用的CMS为cltphp。

红队角度

1. 首先点击最上方的会员中心进行注册账号
   
   
   说明存在xss漏洞。
   

2. 回到修改个人信息处，我们在格言处再次尝试xss注入
   
   查看对应源码，尝试重现修改一下闭合标签</textarea>

xss注入成功。
   

3. 我们继续测试是否有未授权访问漏洞。我们尝试将这个登录成功的url再另一浏览器打开，发现直接就可以登录，不需要重新输入账号密码，因此我们猜测可能存在未授权访问漏洞。我们在打开得了另一网页中修改个人信息，再来到原本得了浏览器中刷新，发现个人信息未被修改，因此，不存在未授权访问漏洞。

4. 继续测试是否存在越权漏洞。还是需要注册两个用户，尝试抓取一个用户提交信息的数据包，记录其id值；同时放包后抓取另一用户的数据包，将其id值修改为第一个用户的id值，修改数据包之后刷新页面，则发现用户信息被修改，因此，我们判断该cms存在一个明显的越权漏洞。

5. 继续测试是否存在CSRF漏洞。在burp中生成一个csrfPOC，点击触发之后提示数组报错。我们观察数据包中没有token之类的值，因此我们判断这里大概率存在CSRF漏洞。

6. 尝试测后台登录漏洞。
   

7. 测试头像位置是否存在文件上传漏洞。尝试上传一个图片马，可以直接上传成功；再次重现上传，使用burp抓取数据包修改图片后缀为php，依然可以上传成功，我们使用蚁剑进行连接即可成功得到shell。

8. 蚁剑连接成功，可以尝试使用net user 账号gyy 密码/add去添加名为gyy的用户，并且使用net localgroup administrators gyy /add添加到管理员组。

9. 远程连接到主机，选中开始->管理机工具->计算机管理，修改用户名后添加$进行隐藏，但隐藏的并不完全【隐藏用户】。

蓝队角度

1. 首先netstat查看进程连接，发现了一些奇怪的地方。
   
2. 于是我们去查看web的日志，发现了一些比较可疑的数据。
   
3. 我们继续去查看一下系统日志phpstudy\Apache\logs\access.log【其中默认关闭，需要在phpstudy\Apache\conf|httpd.conf中手动开启】，发现了入侵痕迹。
   
4. 根据刚刚查找到的web日志，分析发现根目录下有个/public/uploads/20210812/4bbc7f88f1cced12d267b4c52dec91a7.php的文件，打开发现就是webshell
   
5. 利用工具D盾对目录进行扫描，查询到还有其他的webshell，全部进行删除。
   
6. 利用工具中的账号检测功能发现了异常账户直接删除。
   
7. 还可以利用工具里面的功能对3389端口进行修改和添加白名单。