2020HW 之 与其错失良机不如果断出击

网络安全知识小百科，就点上方蓝字关注我们

出品｜MS08067实验室(www.ms08067.com)

本文作者：小白鼠1号（投稿）

小白鼠1号微信（欢迎骚扰交流）：

投稿（原创）请发邮件至[email protected]，一经采用均可获赠实验室纪念品，文章阅读数超4000者更可获实验室出版图书之作者定制签名版，并优先纳入实验室核心团队，享受团队各类福利！

2020HW因疫情影响推迟，但这丝毫不影响同志们的修仙的热情。在一次漫漫长夜值守中我突然想起三大战役、拿破仑和天亮了吃什么的时候。咳咳，言归正传。我突然想起老李说过的一句话:“这种防御战最没意思了，躲在这等着别人来打。”我突然很是热血沸腾，是啊咱们独立团向来讲究进攻，不得行我得起身看看蜜罐日志找个ip反制一手。

           

找了半天发现日志中有一个ip频繁触发告警好家伙就是你了，然后我通过pcap包发现其UA为非正常状态。为此对此IP进行了一波溯源操作。

好家伙其IP所在地为广东阿里云，广东靓仔啊。

对其端口进行探测

好家伙发现存在22、3306、8443可访问端口，其中8443端口为gitblit（gitlab的相似软件）

其中4444端口疑似为msf后门反弹端口。

经过测试发现gitblit的代码均为公开项目。且gitblit用户名密码均为admin

为此怀疑攻击者攻陷此台主机后，使用此主机为跳板。

将gitblit代码使用git方式下载至本地后，使用命令find . -type f|xargs grep -e mysql 查找代码中存在password字段的内容，经过检查，发现如下代码字段：

好家伙直接发现了数据库账号和密码，我直连了一下好家伙直接捅了好家伙的窝了，我查看了一下此账户的权限发现权限较低且好家伙数据库是8.0.12版本。（主要还是自己菜没有进行提权操作）看来天色已晚就先休息了。

后面总结了一下在这特殊时期还明目张胆的把源代码放在公网上还让我找到数据库的账号密码，是我钓了别人的鱼还是被别人反钓了。这是一个值得令人深思的人生问题。

关于源代码泄露的问题在日常开发的过程中对源代码做访问控制，对公司开发用的计算机安装后台监控软件，监控操作行为；所有办公电脑都不接入外网，；对外部出口的数据流量进行审计。对用来做开发的计算机usb接口进行封堵和关闭危险不常用的端口，并且任何需要内外网拷贝数据的行为，都必须经过一套特殊流程这些防护措施显得尤为重要。

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！

目前35000+人已关注加入我们