应急响应中的入侵排查和权限维持

最新推荐文章于 2024-10-05 10:00:00 发布
最新推荐文章于 2024-10-05 10:00:00 发布
阅读量3.6k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52776876/article/details/123019852
版权
本文详细介绍了在应急响应中如何进行Windows系统的入侵排查,包括检查系统账号安全、异常端口和进程、启动项、计划任务和服务。同时,文章讨论了攻击者如何维持权限,如注册表自启动、组策略脚本、计划任务、服务、WMI后门、DLL劫持和COM劫持等,并提供了相应的检查和防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

入侵排除

一、检查系统账号安全

(一)排查服务器弱口令
尝试使用弱口令登录爆破或直接咨询管理员
在这里插入图片描述
(二)排查可疑账号、新增账号
1、打开cmd窗口,输入 lusrmgr.msc
2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用
在这里插入图片描述
(三)排查隐藏账号
打开注册表,查看管理员对应键值
1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口
3、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器
4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
5、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下

最低0.47元/天 解锁文章
鱼传尺素zz
关注
网络安全——应急响应之Linux入侵排查
CoffeMilk的博客
11-13 1139
本文主要介绍关于Linux系统被入侵后的应急响应工作流程排查内容
网络安全——应急响应入侵排查
W981113的博客
02-14 7477
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
Windows系统从权限维持角度进行应急响应
ALLEN'Blog
02-16 756
红队攻击者在对目标进行渗透利用后通常都会进行权限维持,以达到持续利用的目的。而作为防守方进行应急响应时,应该如何与技术高超(jiaohuajianzha)的攻击者斗智斗勇呢?或许可以通过本文可以找到答案。以下内容不仅可以助力你拿捏应急响应,也能够让你在红蓝对抗中更胜一筹。篇幅有限只能先写一下Windows系统的应急响应。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程规范。(非常重要)
应急响应排查
S_cx666的博客
02-08 665
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 **信息内容安全事件** 违反宪法
网络安全权限维持(持续更新)
qq_52074678的博客
05-22 2248
权限维持 我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制目标。 渗透流程 Windows权限维持 1.用户维持 隐藏用户维持(影子用户) 隐藏账户,顾名思义就是计算机看不到的用户(不是不存在用户只是用一般的查看方式看不到) $符号隐藏用户 $符号隐藏用户就是在一个用户名后面加$符号,如(hack$)达到简单的隐藏用户目的,从而进行简单的权限维持 1.我们平时查看一个操作系统的几个用户的命令如下 net user.
内网安全--权限维持
weixin_58782362的博客
11-05 866
C:\Windows\System32\mimilsa.log 记录登录的账号密码(前提条件是需要在线切换用户,且服务器不重启)1、mimilib.dll 传到目标域控的c:\windows\system32\目录下。c:\windows\system32\kiwissp.log 记录账号密码文件。方法一:但如果域控制器,被注入的内存的伪造的ssp将会丢失。域环境的权限维持、单机版的权限维持、web权限维持。使用此方法即使系统重启,也不会影响到持久化的效果。权限维持:为攻击者创造出稳定的输出。
第一章 应急响应- Linux入侵排查
qq_63928796的博客
07-17 428
而且还是隐藏的,md5解密一下。但没有权限,给一下权限再运行。在第四题看见ip也看见端口了。连接靶机后下载网站目录。在web路径发现有个。
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查是指在 Linux 系统中检测响应入侵活动的技术方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术应用场景。 一、账号安全 账号安全是 Linux 应急...
中间件之权限控制
enkayi的博客
08-16 1081
权限控制中间件 http://blog.youkuaiyun.com/qq_20745827/article/details/50514394
权限控制设计思路
12-30 1万+
<br /> 最近的一个项目做了一个权限的控制,大概来说下思路:权限控制具体的目的是不仅要控制页面,还要可以控制到页面上的某一个按钮是否有权限操作或页面的某一个模块是否可以显示或是否有权限写等等 <br /> <br />      数据库表设计:管理员,角色,页面,模块 <br /> <br />(1)、模块是属于页面,模块可以是页面上的一个按钮或某一块内容 <br />(2)、页面分为一级页面二级页面,一级页面作为导航页面,二级页面是导航下的子页面 <br />(3)、角色可以根据需要来选择页面页面
Windows 应急响应
qq_59201520的博客
05-11 422
对windows系统的应急响应检测流程
通过劫持explorer.exe的dll文件来实现权限维持
热门推荐
Shanfenglan's blog
11-12 10万+
CATALOG前言操作过程对抗方法参考文章 前言 这是一种主动的后门触发方式,只要对方主机重启机器的操作,就会触发我们之前设置的dll。系统在启动时默认启动进程explorer.exe,如果劫持了COM对象MruPidlList,就能劫持进程explorer.exe,实现后门随系统开机启动,相当于是主动后门。而劫持MruPidlList劫持注册表中的一个{42aedc87-2188-41fd-b9a3-0c966feabec1}CLSID,将其的键值换成恶意dll即可。 操作过程 更改注册表劫持MruPi
应急取证window脚本(测试中)
weixin_34144450的博客
05-02 277
测试发现还是有很多问题,继续改进中,欢迎大家提供建议,小白学习中 ::取证应急脚本 v2.0 ::2018年/5/02 del c:\antiy_information.txt del c:\antiy_executablepath.csv del c:\antiy_process.html del c:\antiy_startup.csv chcp 65001 @echo *********...
第2篇:Windows权限维持----应急响应权限维持
最新发布
星河梦瑾的博客
10-05 789
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClassMMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
windows应急响应(一)
Websec
09-10 1919
常见的入侵时间的排查思路如下: 攻击类型定位-&gt;时间范围-&gt;文件分析-&gt;进程分析-&gt;系统分析-&gt;日志分析-&gt;关联分析-&gt;逻辑推理-&gt;事件总结 参考文章:http://www.freebuf.com/column/178677.html https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...
146-Web权限维持&各语言内存马&Servlet-api类&Spring类&Agent类
DamnVanish的博客
09-08 806
对于打攻防来说内存马确实是比较好的维持权限的手段。
linux巡检脚本生成word,windows、linux应急响应安全巡检
weixin_32778881的博客
05-01 548
手动篇0. 注意最好提前获取客户操作系统等相关信息千万不要一开始就使用一些扫描工具。因为有些工具可能带有打开文件操作,这样会导致所以文件的修改时间全被刷新一次。//别问我为啥知道本文主要使用linux、windows自带的相关命令程序。//避免工具对生产系统服务器带来的未知后果。linux1.日志记录ssh 后门 strings /usr/bin/.sshd | egrep '[1-9]{1...
Linux服务器应急响应入侵排查安全策略
2. **入侵排查**: - 使用`awk`命令筛选出特权用户可远程登录的账号。 - 检查`sudoers`文件,移除不必要的sudo权限,防止普通用户滥用权限。 - 禁用或删除不再需要的账号,以减少潜在风险。 3. **日志分析**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值