一种看运气的云函数溯源方法

0x00前言：

RT 用腾讯云函数防止溯源的是真的多，特此学习一种看运气的云函数溯源方法。

0x01云函数：

构成逻辑：

服务-APPID.地域.apigw.tencentcs.com

APPID：即个人腾讯云账户的唯一标识,是唯一的且不能修改，APPID是腾讯云账号的APPID，是与账号

ID有唯一对应关系的应用 ID，部分腾讯云产品会使用此APPID。您可在腾讯云控制台的账号信息中心查

看UIN和APPID。

地域：如北京(bj)、广州(gz)、上海(sh)

0x02溯源案例：

捕获到一个RT的马流量

使用测绘引擎搜索相关信息，使用FOFA进行测绘，主要特征在beacon里：

可以使用不同的测绘引擎找到历史遗留的一些蛛丝马迹：

https://quake.360.net/

whosyourdaddy?魔兽争霸3的无敌秘籍。

微步：

https://x.threatbook.com

如果拿到属于腾讯云IP，可以使用腾讯云的IP找回密码功能查看手机号

https://cloud.tencent.com/account/recover?_time=1597803502652

PS：不过有限制，如果没有使用那段有问题的云函数配置代码，或者历史DNS信息，或者whois保密的话，也是无法找到个人的，看人品。

原文始发于微信公众号（开普勒安全团队）：一种看运气的云函数溯源方法