前言
在网络安全攻防实战演习的过程中,防守方可以通过对捕获的攻击行为进行一系列的溯源,得到攻击者的真实身份,提交溯源报告从而获得加分。下面分享一个我们在参加HW实战攻防演练期间的真实溯源案例,与大家探讨以下蜜罐追踪溯源方法和经验。
蜜罐追踪及查询IP
我方安全设备监测到外网攻击记录,并根据已布置好的蜜罐系统追踪到攻击IP地址 。
接到监测人员通知,第一时间对IP地址进行信息收集。
首先用IP whois信息查询。
通过whois信息可以看到邮件地址为某服务器厂商邮件地址
巧用社工获手机号
经过访问该域名服务器厂商地址,初步判断服务器是通过此服务器厂商购买。
利用社工手段对服务商的客服进行社工,获得6位手机号码。
但问题来了,中间的5位数字却无可得知....
漏洞挖掘及爆破遍历
经过对该服务器厂商官网一番探索,发现此网站前台存在用户遍历漏洞。
使用burp对中间未知的号码进行99999个号码遍历
正确用户返回 {"success":true,"msg":""}
从而得知中间的未知号码,并获取到准确的手机号码
社工QQ查询邮箱
伪装用户对服务器厂商QQ客服进行社工获取信息
如同以上手机号码情况,同样隐藏了中间几位号码。
so,照样利用遍历漏洞,进行邮箱遍历。
经过一番爆破后,可准确得知其邮箱号码了。
关联查询获取信息
获得信息有(手机号码,通过关联查询,发现攻击者真实姓名、身份证号、多个QQ号,多个平台账号密码),再利用更多信息进行反查,使用REG007平台查看该手机号所已注册的平台,并进一步获得其真实信息,如下:
#01某彩票网站
使用已知的手机号码,并尝试弱口令成功登录
从图中已可得知其大概身份信息
#02支付宝转账
通过支付宝转账以再次明确其真实姓名信息
#03身份证号码查询归属地
#04搜索QQ获取用户名
#05百度贴吧搜索
#05钉钉查询用户
溯源结果
攻击溯源属于防守工作中的重要部分,发现攻击行为后,防守方需要立即转变视角,由防转为攻。掌握攻击事件的溯源方法,对攻击者进行溯源反制,收集其攻击手法、攻击路径、身份信息,更有利于我们做好漏洞风险整改工作,避免同类事件再次发生。
本文始发于微信公众号(黑白天实验室):记一次HW溯源攻击实例
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论