记录某次 溯源反制 全过程

admin 2024年9月26日12:07:40评论31 views字数 1385阅读4分37秒阅读模式

前言

之前曾哥在微步上发过一个root目录的,我这个和他的也差不多,但是可能要比曾哥发的早两天,后面连续三天,每天都有这种类型

如果觉得太长的话,可以看下面的流程图,不太清晰的话,发送 “溯源” 获取svg文件

记录某次 溯源反制 全过程
本文共分为 溯源 反制 两个阶段

具体流程

溯源阶段

  1. 1. 对下发的高危ip进行溯源,扫描资产发现65500存在列目录

    记录某次 溯源反制 全过程
    image-20240901155816437
  2. 2. 进入后发现为root目录服务,并包含大量渗透钓鱼工具

    记录某次 溯源反制 全过程
    image-20240901154121410
  3. 3. 查看历史命令,在其中发现了测试邮箱

    记录某次 溯源反制 全过程
    image-20240901154310971
  4. 4. 通过查询发现该QQ绑定的相关信息,得到姓名、手机号、IDcard 等

  5. 5. 使用支付宝转账,验证姓名一致,并在名称下方发现第二个绑定邮箱:[email protected]

    记录某次 溯源反制 全过程
    image-20240901154848767
  6. 6. 该邮箱根域并非常见的163 qq等邮箱,通过查询whois信息,发现与上面的QQ查询到的姓名、邮箱相同

    记录某次 溯源反制 全过程
    image-20240901155132411
  7. 7. 使用语法搜索 xxx.cn 发现了博客,得到网名:xxxx 并找到github地址,微信等信息

    记录某次 溯源反制 全过程
    image-20240901155252634
  8. 8. 再次查看历史命令,发现包含疑似攻击者另一个域名,根据域名,猜测为攻击者代理api

    记录某次 溯源反制 全过程
    image-20240901155432044
  9. 9. 同样通过搜索语法,发现另一个博客 blog.xx.cc 发现与上面的博客 网名相同,在这个博客中发现了大量渗透文章,进一步验证此人具有攻击能力。

    记录某次 溯源反制 全过程
    image-20240901155545598
    1. 溯源阶段结束。

反制阶段

通过下载root目录全部文件,发现了某个工具的docker-compose.yml

在其中发现了另一台服务器,以及redis、数据库的配置用户名密码

记录某次 溯源反制 全过程
image-20240901163257408

扫描发现,该服务器只开放了3389端口,尝试利用redis的密码RDP连接

成功登录,发现浏览器中播放着网课

记录某次 溯源反制 全过程
image-20240901163408213

此时我还以为,这个服务器就是挂着刷网课的,没想到他真的在学习,查看桌面发现只有一个浏览器图标,刚查看完桌面就被挤下来了,后面就失去权限了

后面又使用相同的密码去登录攻击服务器,也成功登录了

记录某次 溯源反制 全过程
image-20240901163744392

这个攻击服务器是国外的,所以应该没有异地登陆提醒,因此权限一直没有掉

查看docker容器日志,发现cola dnslog的后台密码

记录某次 溯源反制 全过程
image-20240901163857333

登录后没有内容

记录某次 溯源反制 全过程
image-20240901163914457

后台成功绕过钓鱼邮件平台密码

共发现31种钓鱼受害者邮箱分类,合计3407个受害者邮箱

记录某次 溯源反制 全过程
image-20240901163959592

包含钓鱼邮件模板11种

记录某次 溯源反制 全过程
image-20240901164014580

钓鱼页面2个

记录某次 溯源反制 全过程
image-20240901164032110

发现SMTP账号10个

记录某次 溯源反制 全过程
image-20240901164056092

发现21个攻击配置

记录某次 溯源反制 全过程
image-20240901164114458

根据首页日志信息共发送1685份钓鱼邮件
其中打开邮件 1385个
点击链接 347个
提交数据 167个

记录某次 溯源反制 全过程
image-20240901164136965

原文始发于微信公众号(数据取证杂谈):记录某次 溯源反制 全过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日12:07:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记录某次 溯源反制 全过程https://cn-sec.com/archives/3118753.html

发表评论

匿名网友 填写信息