日志分析和漏洞特征.pptxVIP

日志分析和漏洞特征魔方安全

?日志类型?常见漏洞攻击特征?实战案例

11常见日志类型

/var/log/messages记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该文件获得相关的事件记录信息/var/log/cron记录crond计划任务产生的事件消息/var/log/secure记录验证与授权信息。例如sshd会将所有信息记录在此/var/log/lastlog记录系统中所有用户最后一次登录的日志，此文件是二进制文件，不能直接cat、vi查看，需要使用lastlog命令查看/var/log/utmp记录当前登录的每个用户的详细信息，此文件是二进制文件，不能直接cat、vi查看，需要使用w，who命令查看/var/log/wtmp永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。此文件是二进制文件，不能直接cat、vi查看，需要使用last命令查看Linux系统日志

Windows系统日志默认存放路径C:\Windows\System32\Winevt\Logs

Web服务器日志Web服务器日志路径常用日志Tomcat安装目录下logs文件夹localhost_access_logApache通过httpd.conf查看access.logWeblogic安装目录下user_projects/domains/server文件夹下access.logIIS默认C:\inetpub\logs\LogFilesNginx/usr/local/nginx/logsaccess.log

2常见漏洞攻击特征

端口扫描攻击特征分析Nmap是渗透中信息收集阶段最常用的端口扫描工具

端口扫描特征分析

Shiro反序列化漏洞(cve_2016_4437)攻击特征分析漏洞简介：ApacheShiro是一个Java安全框架，执行身份验证、授权、密码和会话管理。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。漏洞原理ApacheShiro框架提供了记住我（RememberMe）的功能，关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。

Shiro对rememberMe的cookie做了加密处理，shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。

在识别身份的时候，需要对Cookie里的rememberMe字段解密。

Shiro反序列化漏洞(cve_2016_4437)特征分析Shiro利用工具Shiro反序列化漏洞综合利用v2.2/j1anFen/shiro_attack

Shiro反序列化漏洞(cve_2016_4437)特征分析爆破密钥、利用链以及回显方式

Shiro反序列化漏洞(cve_2016_4437)特征分析命令执行

Shiro反序列化漏洞(cve_2016_4437)特征分析注入内存shell

Struts2远程代码执行漏洞(S2-045)特征分析漏洞简介：Struts是Apache基金会的一个开源项目，Struts通过采用JavaServlet/JSP技术，实现了基于JavaEEWeb应用的Model-View-Controller(MVC)设计模式的应用框架，是MVC经典设计模式中的一个经典产品。漏洞原理ApacheStruts2被曝存在远程命令执行漏洞，漏洞编号S2-045，CVE编号CVE-2017-5638，在使用基于Jakarta插件的文件上传功能时，有可能存在远程命令执行，导致系统被黑客入侵。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令。

Struts2远程代码执行漏洞(S2-045)特征分析利用工具:Struts-scan-master/Lucifer1993/struts-scan

Struts2远程代码执行漏洞(S2-045)特征分析命令执行

ThinkPHP5.0.23远程代码执行漏洞特征分析漏洞简介：ThinkPHP是一款被广泛使用的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。漏洞原理攻击者可以控制_method参数值调用__construct构造函数，控制filter参数值与value值，最终调用回调函数达到任意代码执行的效果。

ThinkPHP5.0.23远程代码执行漏洞特征分析利用工具Tpscan-Master/L