免责声明
| 由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! |
0x01前言
0x02正文
1.攻击源获取
代理池溯源
分析请求头的X-Forwarded-For和Via字段
X-Forwarded-For字段:该字段用于揭示客户端的真实IP地址。当请求经过代理服务器时,代理服务器会将客户端的IP地址添加到X-Forwarded-For字段中,并将自己的IP地址作为新的请求来源添加到请求头中。这样,在后续的代理服务器或目标服务器上,可以通过读取X-Forwarded-For字段来获取客户端的真实IP地址。
Via字段:该字段用于跟踪请求经过的代理服务器路径。每当请求经过一个代理服务器时,该服务器都会将自己的标识信息添加到Via字段中。通过查看Via字段,可以了解请求是如何穿过各个代理服务器并最终到达目标服务器的。
域前置溯源
详细可见如下文章:
https://www.anquanke.com/post/id/2608882.针对IP或者域名通过公网已有的开放信息进行查询
微步在线:https://x.threatbook.cn/奇安信:https://ti.qianxin.com/启明Venuseye:https://www.venuseye.com.cn/绿盟NTI:https://nti.nsfocus.com/安恒:https://ti.dbappsecurity.com.cn/360:https://ti.360.cn/#/homepagefeed:https://feed.watcherlab.com/index/ioc
中国万网域名WHOIS信息查询地址:https://whois.aliyun.com/西部数码域名WHOIS信息查询地址:https://whois.west.cn/https://who.is/(站长之家如果查到了不过信息被加密了,可以尝试用这个)站长工具-站长之家域名WHOIS信息查询地址:http://whois.chinaz.com/爱站网域名WHOIS信息查询地址:https://whois.aizhan.com/腾讯云域名WHOIS信息查询地址:https://whois.cloud.tencent.com/kali:whois -h 注册服务器地址 域名
1.https://crt.sh/2.https://censys.io/3.https://developers.facebook.com/tools/ct/4.https://google.com/transparencyreport/https/ct/
微步云沙箱:https://s.threatbook.com/360沙箱:https://ata.360.net/detectionVT:https://www.virustotal.com/gui/home/upload
https://www.ipip.net/ip.htmlhttps://chaipip.com/aiwen.htmlhttps://www.opengps.cn/Data/IP/ipplus.aspx
3.信息反查
https://whois.domaintools.com/https://www.alibabacloud.com/zh/whoishttps://whois.cloud.tencent.com/https://www.whois.com/whois/https://www.namecheap.com/domains/whois/https://www.ename.com/https://whois.chinaz.com/https://www.reg007.com/ //查询注册了哪些网站https://zy.xywlapi.cc/home.html //多种信息反查
第一步,微信增加朋友,选择企业微信联系人。第二步,点击增加到通讯录,然后先不动。第三步,点击回退按钮。第四步,然后他的所属企业就显示出来了。
收集手机号与互联网上的各种ID信息(利用google hacking)。通过黑客ID进行信息收集:(1) 百度信息收集:“id” (双引号为英文)(2) 谷歌信息收集(3) src信息收集(各大src排行榜)(4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据)(5) 微信ID收集:微信进行ID搜索(6) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集
4.反制
X-Request-Id: 请求的idX-Api-FuncName: 函数名X-Api-AppId: 对应账号但是不是账号X-Api-ServiceId: 服务idX-Api-HttpHost: 就是把appid 账号id 还有腾讯云函数的域名放一起X-Api-Status: 200 返回值X-Api-UpstreamStatus: 200 返回值
https://github.com/a1phaboy/MenoyGone傀儡机器反制
cat gitsort.log | grep "/language/HTML" | cut -d ' ' -f 1 | sort | uniq -c | sort -nr | head -n 10
C:WindowsSystem32winevtLogsSecurity.evtx、System.evtx、Application.evt
/var/log/boot.log:录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息/var/log/lastlog :记录最后一次用户成功登陆的时间、登陆IP等信息/var/log/messages :记录Linux操作系统常见的系统和服务错误信息/var/log/secure :Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况/var/log/btmp :记录Linux登陆失败的用户、时间以及远程IP地址/var/log/syslog:只记录警告信息,常常是系统出问题的信息,使用lastlog查看/var/log/wtmp:该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看/var/run/utmp:该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件/var/log/syslog 或 /var/log/messages 存储所有的全局系统活动数据,包括开机信息。基于 Debian 的系统如 Ubuntu 在 /var/log/syslog 中存储它们,而基于 RedHat 的系统如 RHEL 或 CentOS 则在 /var/log/messages 中存储它们。/var/log/auth.log 或 /var/log/secure 存储来自可插拔认证模块(PAM)的日志,包括成功的登录,失败的登录尝试和认证方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存储认证信息,而 RedHat 和 CentOS 则在 /var/log/secure 中存储该信息。
lastlog 查看最后登陆日志
查看 /var/log/secure日志
history命令 查看历史命令记录,运气好的话可以获得比较关键的信息
windows的任务管理器是很好的进程查看工具,当然大家还可以使用一些其他工具,比如Kernel Detective 来帮助你检测
https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
wiresharkfiddler
find / -perm +4000 -execls -ld {} ; //查找设置了SUID权限的文件find / -perm +6000 -execls -ld {} ; //上面的-6000表示既具有suid权限又具有sgid权限的文
/etc/inetd.confdaytime stream tcp nowait /bin/sh sh –Ihttp://prdownloads.sourceforge.net/icmpshell/ish-v0.2.tar.gzhttps://github.com/inquisb/icmpsh/blob/master/icmpsh_m.py
0x03小结
原文始发于微信公众号(琴音安全):攻防演练中溯源思路
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论