本文由掌控安全学院 -
不许打呼噜
投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
前言
在网络中,IP地址是每个设备连接到互联网的唯一标识,通过IP地址可以初步定位攻击来源。但是在溯源过程中充满了复杂型,vpn、跳板机、代理、IP地址伪造等,很大的扩大了溯源的复杂度。
0x1 攻击源捕获
首先就是WAF/态势感知设备/日志,查看数据流、数据信息,发现攻击源IP地址:47.94.xxx.xxx,在数据包发现存在大量poc扫描的特征,确定为恶意的攻击行为。
现在要对此地址进行溯源。
0x2 溯源反制
1、通过站长之家,查询该地址的归属地、运营商、IP类型是数据中心,应该是服务器地址 https://www.ip138.com/
img2、利用微步威胁情报社区查询该IP地址,发现IP地址开放了5003,22,49668端口,且知道了该服务器是Ubuntu系统的。 https://x.threatbook.com/
img
img使用nmap在进行端口扫描,看看有无其他端口。
img扫描到开放了5003,22,23端口。ok,清楚了,这台服务器应该就是攻击者使用灯塔来扫描的。 3、现在就是,看能不能进入灯塔或连接ssh端口,看有无弱口令。 访问5003端口,确定是灯塔资产,去github中查找,看默认密码是啥
Powered by TCC(Tophant Competence Center) ARL 2.6.2
img
imgadmin/admin,这么简单吗?感觉有点悬。果不其然,错误,继续在网上查找一些灯塔的弱口令。admin/arlpass,一样错误,尝试了一些简单的弱口令也都不行。
img一边找了一个复杂的弱口令跑灯塔密码,一边尝试连接ssh端口,结果没用。 4、在ipwhois查询IP地址,看是否可以找到绑定的邮箱,手机号等信息。这里我没有查到有用的信息。 演示: https://www.whois365.com/tw/
img
img若是查到手机号或邮箱,就可利用社工库,去查询绑定的账号,然后去查询手机号,在zfb搜索手机号、邮箱进行转账,点此验证,往往都会暴露最后一个字,若是两个字,猜测出姓,直接拿到姓名
img
img
img姓还是比较好猜的。什么张、李、王、刘,然后就是加微信了,通过姓名、手机号加,或者将姓名首字母加手机号都试试,大部分还是会这样起名字的。
img0x3 总结
在溯源反制过程中,通过IP地址,描绘出攻击者画像,获取攻击者的住址、手机号、邮箱、姓名,在现在的网络攻防中是极为重要的手段之一,如何从ip/域名溯源描绘出详细的攻击者画像能够使被动方直接转变成主动方,掌握生死大权。
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(掌控安全EDU):蓝队知识 | IP溯源思路学习
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论