HW真實溯源筆記思路

## 0x00 第一次信息收集

獲取攻擊IP

IP反查定位（考慮是否為代理）

IP資產探測（masscan+nmap）、在線端口探測等

IP web的指紋識別等信息收集

0x01 嘗試獲取getshell提權

根據獲取的資產信息，進行滲透（awvs等工具）

0x02 第一次提權后的信息收集

查看歷史的shell命令是否存在數據：

取消shell命令歷史記錄：set + o history

刪除上一步的取消命令：history -d id

查詢登錄過當前系統的IP：last，定位該IP

進行該IP的第一次信息收集同上

系統信息收集：內核，系統版本情況等，嘗試是否可以提權操作

查看你進程中的IP：ps -aux 反查IP信息，信息收集

查看計劃任務：cat /var/log/cron

查看啟動項：touch /var/lock/subsys/local

查看暫居前五的進程：

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

對進程排查，進行進程中的程序信息收集

查詢類似的可疑文件：find / -name “xxx“

0x03 對發現的IP資產進行第二次信息收集

IP定位

資產掃描

端口框架等指紋信息

嘗試提權

例如：redis，mysql弱口令爆破等 masscan + nmap全端口探測

如提權成功，重復上一步的提權后的信息收集

0x04 溯源總結

IP信息總結，排查出可疑IP人員

whois等查詢郵箱等信息

微步在線查詢相關身份信息

sgk進一步查詢：sj、cp、sfz等

?