Metasploit是一个十分受欢迎的浸透测验结构,被视为安全测验人员手中的一把利器。但在另一方面由于他过于强壮,因而也常常被一些歹意攻击者所运用。当然,在本文咱们首要评论的是关于内存取证,这对于咱们来说是至关重要的。由于咱们(受害者)的机器极有或许会被歹意攻击者,注入Meterpreter(一种先进的,可动态扩展的Metasploit有效载荷),这是一种彻底驻留在内存中的shell,而且不会向受害者的驱动器写入任何内容。下面,我将向你展现怎么运用取证结构Volatility来找出Metasploit的蛛丝马迹。
在剖析内存镜像时,首要咱们应该搜集有关操作体系的信息,以挑选正确的Volatility配置文件。更佳做法是在内存镜像时记载体系版别,由于Volatility检测成果或许会有误。假如你是从第三方取得的镜像而且版别不知道,那么我主张你运用imageinfo插件:
以上的检测成果显现,该镜像的体系版别为Windows 7 SP1 x86,这次的成果十分精确我的体系版别的确为该版别。咱们运用pslist插件,来查看下进程列表:
你有发现什么不对的当地吗?一个PID 3000的进程,用户或许发动了防病毒更新进程?但奇怪的是,该进程在发动42秒后退出。让咱们运用netscan插件进一步的查下 *** 衔接状况:
能够看到,一个不知道的进程与192.168.1.39:4444建立了衔接。有经历的人一眼就能反应出,4444端口Metasploit的默许回连端口。Meterpreter注入方针体系进程,让咱们测验运用malfind插件找到它:
这看起来Meterpreter像是被搬迁到了PID为3312的svchost.exe上。让咱们将它转储到一个文件,并运用杀毒软件查杀看是否能被正确辨认:
从检测成果中咱们能够看到,尽管不是百分百的免杀,但大部分杀毒软件包含许多干流的杀毒软件,如McAfee,Malwarebytes,DrWeb等,居然都没有检测出该歹意进程。
假如你喜爱运用YARA规矩进行歹意软件检测,那么你能够编写自己的规矩或在线查找一些规矩,然后运用yarascan插件:
在这儿我写了一个十分简易的规矩:
现在让咱们回到之前的pslist输出,能够看到这儿仅有运转的Web阅读器是Internet Explorer(iexplore.exe,PID 2568和2640)。咱们运用iehistory插件来查看下前史阅读记载:
没错!受害者运用咱们看到的URL从服务器下载了一个名为antivirus_update.exe的程序。但这儿我有个疑问,是什么促进他们这么做的呢?让咱们用memdump插件转储Internet Explorer的进程内存并搜索“antivirus”字符串:
正如你所看到的,攻击者运用了一些社工技巧以及将地址做了短网址处理,从而使受害者上圈套。当受害者下载并运转文件后,攻击者就会取得一个meterpreter session。为了愈加的荫蔽,攻击者将其搬迁到了svchost.exe(PID 3312)。
这儿我还有个疑问,受害者真的运转了它吗?让咱们找到履行的依据!首要,咱们运用shimcache插件,它能够盯梢应用程序的最近修正时刻,文件完好途径和履行标志:
能够看到文件的确被履行了!让咱们持续,运转userassist插件获取注册表上的依据:
除了以上的 *** ,还有一些其它手法例如,预取文件。当然,你也能够在内存中找到这些依据,Volatility甚至有一个插件–prefetchparser。
[1] [2] 黑客接单网
还在用wget和curl?试试HTTPie吧 :) HTTPie (读作aych-tee-tee-pie)是指令行方法的HTTP客户端。可经过简略的http指令,可合作语法发送恣意HTTP恳求数据,...
为了更好去发掘php缝隙,关于盛行的结构,咱们也要了解一下,这样才干发掘到高位缝隙。关于结构学习,不同公司有不同结构,所以关于结构,也因人而应,别的看公司需求,假如你的公司大部分选用某一种结构,你来...
0x01 前语 材料来历: http://javaweb.org/?p=567 http://zone.wooyun.org/content/19379 http://drops.wooyun.or...
FireEye近期承认TRITON歹意活动正在针对一个新的要害基础设施建议进犯,咱们现在现已对该歹意行为采取了呼应办法。 2019年12月,FireEye揭露发布了咱们针对TRITON进犯的第一次剖析...
为什么有今日这篇文章?原因是我在阅读Twitter时,发现关于长途文件包括RFI的一个奇淫技巧!值得记载一下,思路也很别致!由于它打破我之前认为RFI已死的观念:) 正文 RFI引出 咱们知道php最...
前段时间有个网友给我发了个网址,说找到个专门做垂钓网站的衔接,让我看看,然后就引出了一系列事情。 网址如下:http://mfnyongshihuigui.jiebao8.top 其时也没介意,有天闲...