以下是基于蜜罐捕获到某度用户名情况下的溯源思路:
1.根据某度用户名反查贴吧用户名,有可能获取到常用的社交id
2.根据某度用户名反查贴吧发言记录,获取以前留下的个人信息(QQ、邮箱、学校、地区等)
3.根据某度账号反查到前三后二位的手机号(某云蜜罐只能捕获到用户名,某听蜜罐能捕获到用户名+前三后三位的手机号),再结合前面判断出的地区生成完整的手机号
4.用生成的手机号去筛选出存在CXXN的手机号,再用存在的手机号去筛选安全从业人员的手机号
案例1
蜜罐捕获到某度用户名q********,开始以为用户名q后面的数字就是QQ号,后面搜索查询、Q绑查询等都没查到这个QQ的相关信息。
根据某度用户名反查贴吧记录查到历史发言记录留下了一个QQ,这个QQ估计是个小号而且做了隐私策略,同样查询不到一点信息。这里得到另外一个信息就是攻击者19年从贵港入学河池学院。
根据百度用户名查到前三后二位手机号
将获取到的手机号结合广西贵港地区的区号进行查询,总共有3100种组合,这里因为不是某听蜜罐捕获到的前三后三手机号,数量有点多。
获取到CXXN存在的完整手机号,手机号组合过多不建议使用这种方法,避免对平台造成影响!!!
去各大安全平台查询尝试出来的手机号是否已经注册,如果已经注册了,大概率就是攻击者,可以sgk一把梭然后再关联先前获取到的信息。
后面根据(攻击者常用id+地区)搜到了他之前在贴吧留下的QQ记录,点击访问不了可能是网页快照的记录。
拿到sgk的信息后面就是常规的确认攻击队补充人物画像了。
(该文章仅用于攻防演练中蓝队溯源分享,请勿用于非法用途。对于产生的任何风险及违法问题不承担任何责任)
原文始发于微信公众号(Mask安全小组):某次省级HW中某度用户名溯源方法及案例(1)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论