文章总结： 该文档详细介绍了蓝队应急响应的通用排查处置方法，涵盖Windows系统日志分析与关键事件ID、Web日志审计路径、Webshell及内存马查杀技巧、主流Webshell流量特征识别，以及Struts2、Weblogic、Shiro等常见漏洞的攻击特征分析。内容结合实战工具使用与在线平台资源，为安全人员提供了一套从日志审查到攻击溯源的完整操作指南，具备极高的实战参考价值。 综合评分： 81 文章分类： 应急响应,WEB安全,实战经验,恶意软件,安全工具

填入Linux对应的账号密码

\\sshfs\[email protected]\..\

内存马

简介：随着攻防演练热度持续升温，攻防双方不断博弈。流量分析、EDR等专业安全设备被蓝方广泛部署，传统的文件型Webshell或以文件形式驻留的后门越来越容易被检测，因此内存马的使用日益增多。内存马又称无文件马，顾名思义，是一种无文件落地的Webshell技术。其原理是将Webshell注入到容器的常驻进程中，通过将路由与Webshell绑定，实现访问任意URL或指定URL时携带命令执行参数，即可让服务器返回命令执行结果。由于内存马不会在磁盘上留下文件，攻击者更倾向于在Web服务中植入内存马来维持权限。尤其是在Java Web应用存在代码注入或反序列化漏洞时，攻击者会利用这些漏洞写入内存马，再通过Webshell管理工具进行连接。

哥斯拉内存马

冰蝎内存马

蚁剑内存马

排查处置

1、通过关机重启可清除内存马

2、java-memshell-scanner

http//github.c/c0n/java-memshell-scanner

下载内存马检测工具，将其放置在Web根目录下，检测到可疑项后进行kill操作

3、Copagent

http//github.c/LandGr/copagent

使用cop.jar工具，执行java -jar cop.jar命令，运行完成后会在.copagent目录下生成检测结果

webshell流量特征

蚁剑

请求数据包的字段以0x开头

冰蝎2.0

快速识别特征方式

1、冰蝎2默认Accept字段的值较为特殊，且每个阶段都保持一致

Accept: te/html, ima/gif, ima/jpeg, *; q=.2, /**; q=.2

2、Content-Length

Content-Length: 16, 16就是冰蝎2连接的特征

流量特征表现为两次GET请求：第一次请求由服务端生成密钥并写入Session，第二次请求用于获取Key

htt//tools.bugscaner.c/cryptoaes

在该网站中使用上述获取到的Key进行AES解密，解密后的内容为Base64编码的结果

冰蝎3.0

快速识别特征方式

1、Accept字段

冰蝎使用的Accept字段与常规浏览器不同，且每次请求的Accept内容均保持一致

2、长连接

冰蝎通信默认采用长连接，以避免频繁握手带来的资源开销。默认情况下，请求头和响应头中会携带 Connection: Keep-Alive

3、较长的base64编码的请求包

在加密通信过程中，php/jsp shell 会提交经过Base64编码的请求数据

哥斯拉

请求中包含pass=字段

Cobaltstrike

BeaconEye的核心原理是扫描CobaltStrike进程中的内存特征，通过BeaconConfig解析出对应的Beacon配置信息。项目地址：

http//github.c/CC/BeaconEye

常见的攻击事件分析

Struts2

特征

1.content-type出现异常字段，非MIME类型标识
2.字段格式为典型的注入代码格式%{ognl}
3.存在命令执行方法java.lang.ProcessBuilder().start()
4.执行命令“whoami”，返回包中返回执行成功信息“root”
5.出现类似于“3345*23565”的日志，通常都是扫描器扫描的日志

weblogic

CVE-2017-10271特征

1.目标端口7001
2.URL包含/wls-ws/CoordinatorPortType
3.body部分为xml字段
4.执行命令“whoami”，返回包中返回执行成功信息“root”

CVE-2019-2725特征

1.目标端口7001
2.URL包含字/_asy/AsyncResponseService
3.body部分为超长xml字段，且为byte字节码
4.返回包无回显，状态码为202

shiro

特征

1.cookie头的rememberMe字段超长
2.解密rememberMe可获取异常信息
在线解密网站：http//vulsee.c/too/shiro/shiroDecrypt.html http//simolin./too/shi/
3.若有回显，可以看到执行的相关命令和回显结果

fastjson

1.body部分为json格式
2.body部分含有"dataSourceName"字段，其内容为 rmi///exp 或 ldap///exp
3.body部分必定包含"@type"字段（用于指定反序列化的目标类，调用类中属性的特定方法）
4.返回包状态码为500

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity hyyrent hyyrent《【应急响应】蓝队通用排查处置方法》