记一次HW溯源攻击实例

  • A+
所属分类:安全文章

前言



    在网络安全攻防实战演习的过程中,防守方可以通过对捕获的攻击行为进行一系列的溯源,得到攻击者的真实身份,提交溯源报告从而获得加分。下面分享一个我们在参加HW实战攻防演练期间的真实溯源案例,与大家探讨以下蜜罐追踪溯源方法和经验。


蜜罐追踪及查询IP

记一次HW溯源攻击实例

我方安全设备监测到外网攻击记录,并根据已布置好的蜜罐系统追踪到攻击IP地址 。

记一次HW溯源攻击实例

接到监测人员通知,第一时间对IP地址进行信息收集。

首先用IP whois信息查询。 

记一次HW溯源攻击实例

通过whois信息可以看到邮件地址为某服务器厂商邮件地址 

记一次HW溯源攻击实例


巧用社工获手机号

记一次HW溯源攻击实例

经过访问该域名服务器厂商地址,初步判断服务器是通过此服务器厂商购买。

记一次HW溯源攻击实例

利用社工手段对服务商的客服进行社工,获得6位手机号码。
但问题来了,中间的5位数字却无可得知....
  

记一次HW溯源攻击实例

漏洞挖掘及爆破遍历

记一次HW溯源攻击实例

经过对该服务器厂商官网一番探索,发现此网站前台存在用户遍历漏洞。
使用burp对中间未知的号码进行99999个号码遍历

记一次HW溯源攻击实例

正确用户返回 {"success":true,"msg":""}
从而得知中间的未知号码,并获取到准确的手机号码

记一次HW溯源攻击实例


社工QQ查询邮箱

记一次HW溯源攻击实例

伪装用户对服务器厂商QQ客服进行社工获取信息

记一次HW溯源攻击实例

记一次HW溯源攻击实例

如同以上手机号码情况,同样隐藏了中间几位号码。
so,照样利用遍历漏洞,进行邮箱遍历

记一次HW溯源攻击实例

经过一番爆破后,可准确得知其邮箱号码了

记一次HW溯源攻击实例


关联查询获取信息

记一次HW溯源攻击实例

    获得信息有(手机号码,通过关联查询,发现攻击者真实姓名、身份证号、多个QQ号,多个平台账号密码),再利用更多信息进行反查,使用REG007平台查看该手机号所已注册的平台,并进一步获得其真实信息,如下:
#01某彩票网站
使用已知的手机号码,并尝试弱口令成功登录

记一次HW溯源攻击实例

从图中已可得知其大概身份信息

#02支付宝转账
通过支付宝转账以再次明确其真实姓名信息

记一次HW溯源攻击实例

#03身份证号码查询归属地

记一次HW溯源攻击实例

#04搜索QQ获取用户名

记一次HW溯源攻击实例

记一次HW溯源攻击实例

#05百度贴吧搜索

记一次HW溯源攻击实例
#05钉钉查询用户

记一次HW溯源攻击实例


记一次HW溯源攻击实例


溯源结果

记一次HW溯源攻击实例

    攻击溯源属于防守工作中的重要部分,发现攻击行为后,防守方需要立即转变视角,由防转为攻。掌握攻击事件的溯源方法,对攻击者进行溯源反制,收集其攻击手法、攻击路径、身份信息,更有利于我们做好漏洞风险整改工作,避免同类事件再次发生


本文始发于微信公众号(黑白天实验室):记一次HW溯源攻击实例

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: