HW真实溯源笔记思路

## 0x00 第一次信息收集

获取攻击IP

IP反查定位（考虑是否为代理）

IP资产探测（masscan+nmap）、在线端口探测等

IP web的指纹识别等信息收集

0x01 尝试获取getshell提权

根据获取的资产信息，进行渗透（awvs等工具）

0x02 第一次提权后的信息收集

查看历史的shell命令是否存在数据：

取消shell命令历史记录：set + o history

删除上一步的取消命令：history -d id

查询登录过当前系统的IP：last，定位该IP

进行该IP的第一次信息收集同上

系统信息收集：内核，系统版本情况等，尝试是否可以提权操作

查看你进程中的IP：ps -aux 反查IP信息，信息收集

查看计划任务：cat /var/log/cron

查看启动项：touch /var/lock/subsys/local

查看暂居前五的进程：

ps auxw | head -1;ps auxw|sort -rn -k4|head -6

对进程排查，进行进程中的程序信息收集

查询类似的可疑文件：find / -name “xxx“

0x03 对发现的IP资产进行第二次信息收集

IP定位

资产扫描

端口框架等指纹信息

尝试提权

例如：redis，mysql弱口令爆破等 masscan + nmap全端口探测

如提权成功，重复上一步的提权后的信息收集

0x04 溯源总结

IP信息总结，排查出可疑IP人员

whois等查询邮箱等信息

微步在线查询相关身份信息

sgk进一步查询：sj、cp、sfz等