真实溯源笔记思路

## 0x00 第一次信息收集

获取攻击IP
IP反查定位（考虑是否为代理）
IP资产探测（masscan+nmap）、在线端口探测等
IP web的指纹识别等信息收集

0x01 尝试获取getshell提权

根据获取的资产信息，进行渗透（awvs等工具）

0x02 第一次提权后的信息收集

查看历史的shell命令是否存在数据：
取消shell命令历史记录：set + o history
删除上一步的取消命令：history -d id
查询登录过当前系统的IP：last，定位该IP
进行该IP的第一次信息收集同上
系统信息收集：内核，系统版本情况等，尝试是否可以提权操作
查看你进程中的IP：ps -aux 反查IP信息，信息收集
查看计划任务：cat /var/log/cron
查看启动项：touch /var/lock/subsys/local
查看暂居前五的进程：
ps auxw | head -1;ps auxw|sort -rn -k4|head -6
对进程排查，进行进程中的程序信息收集
查询类似的可疑文件：find / -name “xxx“

0x03 对发现的IP资产进行第二次信息收集

IP定位
资产扫描
端口框架等指纹信息
尝试提权
例如：redis，mysql弱口令爆破等 masscan + nmap全端口探测
如提权成功，重复上一步的提权后的信息收集

0x04 溯源总结

IP信息总结，排查出可疑IP人员
whois等查询邮箱等信息
微步在线查询相关身份信息
sgk进一步查询：sj、cp、sfz等

作者: Hsy.Sec
链接: http://www.kxsy.work/2022/03/14/ji-yi-ci-hw-zhen-shi-su-yuan-bi-ji-si-lu/
本文章著作权归作者所有，任何形式的转载都请注明出处。

侵权请私聊公众号删文