Arachni和命令的简单记录

Misc Web

Word count: 1.7kReading time: 6 min

 2020/04/11   Share

AWVS和Arachni区别

https://blog.csdn.net/qq_25246873/article/details/88910522
总体上来说，wvs是一款功能强大的漏扫工具，对于安全人员来说算是一款神器，但对于攻击人员来说就有点鸡肋。Arachni正如介绍所说是一款功能算不上强大但是很有特色的漏扫工具。对于安全人员来说不算好用，但是对于攻击人员来说可能就会很好用，因为其Ruby框架，功能一般的问题就可以通过集成其他的工具弥补，再加上分布式扫描的优势可能让其更加受到攻击者的青睐。
Arachni扫注入有点问题，不是很ok，而awvs则好很多

简单的命令记录

首先查看系统内核和发行版本

1 2	uname -a #查看当前操作的Linux内核，经常会根据内核版本来判断是有本地提权风险 lsb_release -a #查看发行版本

针对不同的发行版本，比如ubuntu、centos可能需要cat不同文件来查看，具体大家碰到的时候可以Google下

cat，直接输出某个文件的全部内容

类似cat这种把文件全部内容输出，假如文件比较大内容比较多，如果直接cat到屏幕上是不现实的，我们可以通过head和tail来输出文件头部和尾部的内容，并通过参数-n指定输出的行数

如果需要实时的输出比如日志文件最新的日志，也就是文件新增的内容，可以用

1	tail -f auth.log

由于直接tail或者head是把当前文件内容的头部或者尾部输出。在一些场景下，我们需要实时的观察最新产生的日志，这时候如果不断的执行tail来打印最新产生的日志肯定是不现实的，所以可以直接指定-f，这样一旦日志内容有变更，就会输出到屏幕。

Vim是从vi发展出来的一个文本编辑器。通常我们会经常接触到的类UNIX系统，如Linux的各种常见发行版，MacOS都默认安装有VIM。

我们可以用编辑器打开文件查看编辑内容，可以使用vim，直接vi 文件

vi 进去文件后默认是命令模式，即所以按键操作被当做命令处理，可以通过J向下移动光标和K向上移动光标,左移动是H，右移动是L；如果需要涉及到查找字符串，在命令模式下/输入搜索关键词后回车即可进行搜索，小写的n是next到下个匹配的位置，大写的N上到上一个匹配的位置。

如果想要退出，则可以直接在命令模式下输入:q即可退出，如果有涉及改动，保存退出是:wq，同样单纯:w就是保存不退出。那么如果需要编辑某个位置的内容怎么办？
先JKHL移动光标到编辑位置，在按i即可进入编辑模式，编辑模式下如果要移动光标是使用上下左右按键。编辑完之后，要做一些比如搜索、保存等命令模式下做的操作，就需要按esc键退出编辑模式进入命令模式才可以操作。
用vim新建文件时，可以编辑新文件再保存，来生成新文件。或者使用touch命令来生成一个空文件。

1
2
3

ps aux|grep xxx #查找某个进程,grep为查找的意思
ps aux  #列出全部进程
ps -u ubuntu  #指定进程用户ubuntu

如果指定用户的基础上需要查找，那么同理是

1	ps -u ubuntu\|grep xxx

关于进程的话，还可以使用top进入进程监视状态，类似Windows下的任务管理器。进程top模式下，按c可以显示进程的完整命令行，按M可以按内存占用降序排序，按P可以按CPU占用降序排序，退出的话，直接ctrl+c，同样可以通过-u来指定值查看某个用户的集成信息

如果想查看端口信息，可以使用netstat -anp，就可以列出所有端口，最后一列为进程ID
netstat -anpt可以只看tcp端口信息

在入侵溯源或者病毒排查的场景下，我们需要通过PS或者top命令来查找异常的进程，比如通过Top我们根据CPU排序，当发现排序前面的进程CPU占用接近100%，那么基本就可以怀疑是挖矿进程；而查看端口则可以帮助我们通过检查端口的异常监听，包含说连接的IP为未知或者国外的IP，则该端口监听往往有问题，这时再根据PID信息查找对应进程进行进一步确认。

1 2	crontab -l #列表系统的计划任务 crontab-e #则进入编辑

默认操作进入的是当前用户的计划任务,如果想要查看某个用户的，需要用-u 指定，比如crontab -u root -e，当然，想要编辑操作某个用户的crotab任务，需要对应的权限。一般黑客入侵服务器后会喜欢通过设定crontab任务来达到执行脚本、启动某个程序的目的，比如启动挖矿程序。

查看历史命令操作记录是history、lastlog查看最后登录信息、

1 2	last -f /var/log/wtmp #查看历史用户登录信息 ifconfig #查看IP信息

这些命令都或多或少记录了黑客入侵的痕迹，如果黑客没有清理，则可以成为溯源的重要参考。

find命令用来查找文件，比如在当前目录下查找txt文件文件

1	find . -name '*.txt'

在溯源的时候经常需要用这个命令来查找已知黑客入侵事件范围内变更的文件，那么得到的就可能是黑客新增和改动的文件

可以通过touch命令-t生成指定时间的文件
比如touch -t 201803110000 t_start和touch -t 201803140000 t_end分别生成18年3月11日的t_start文件和3月14日的t_end文件，然后通过
find . -type f -newer t_start ! -newer t_end
查找更改时间比t_start新，但比t_end旧的文件

一些关键目录和文件：
1、vi ~/.bash_history 命令操作历史，对应命令history输出的结果
2、/var/spool/cron/(crontabs) 对应不同用户计划任务
3、cd /proc/pid 对应进程的目录，进程对应目录再ls -lh 可以看到对应进程的相关信息(kali没有pid)
4、/var/log 日志目录，包含系统登录日志auth.log都在这个目录，经常黑客入侵后会删除这个目录下的文件以达到清除痕迹的效果

Author：DGZ

原文链接：https://dgz-cyber.github.io/2020/04/11/Arachni%E5%92%8C%E5%91%BD%E4%BB%A4%E7%9A%84%E7%AE%80%E5%8D%95%E8%AE%B0%E5%BD%95/

发表日期：April 11th 2020, 12:30:20 am

更新日期：April 11th 2020, 3:08:06 pm

Next Post

肖特基势垒与欧姆接触
Previous Post

关于RGB数值转图片脚本以及蚁剑备注以及Z3学习简单记录

CATALOG

1. AWVS和Arachni区别
2. 简单的命令记录

