视频教学来源于--艾莉
通过一个工具进行中间件日志分析获取攻击入口、时间、ip。
安全工具箱 · 纸飞机安全
把日志拖进去,然后等待分析,里面会出现百万条数据,然后对数据进行过滤,一定不要“草木皆兵”,时间才是最珍贵的
如上,过滤掉:
- 不在护网期间的时间
- 不含静态页面:jpg,png,css,js,webp,svg,woff2,/ 等等自己在数据里面看哪些没必要,因为攻击者如果获取shell那都是动态的
- 请求(或者post请求这种),
- 最后再去除响应不成功的
大概确定在这些·范围内后,我们要找那种一连串的数据的路径一样但是请求字节不一样的原因
当攻击者获取去shell之后,在小黑窗口里面不断输入指令,他的请求路径是不变的但是每条指令请求的字节不一样,如图;
在最后写应急响应报告的时候一定还要写::多实锤,少可能,一定要标注疑似,可能
最后还可以根据被扣的分数来确定哪块出了问题