打击涉网犯罪技战法【二】

这里所说的服务器主机提供商，就是提供服务器给网络犯罪分子的公司或者运营者。

为什么要搞他们？

对供应商开展渗透，获取服务器机房管理权。可以绕过与服务器部署的安全防护措施的对抗，绕过安全策略防护，直接攻陷后取得如下权限：重置密码，重装服务器，进入pe镜像，读取历史密码，拷贝整个服务器镜像，等操作。具备夺取最高权限，直捣黄龙。

题外话：搞不定正主，就干他的猪队友，干狗腿子，直接解决提供基础设施的人，搞定源头，一本万利，一个IDC机房不止一个目标服务器，既然有一个违法犯罪分子能用，就不排除还有其他违法犯罪用途的服务器在运行，所以搂草打兔子，两不耽误。

为涉网犯罪分子提供服务器供应者，他们的宣传关键词和服务器用途具备如下特点：

海外服务器：服务器位于中国大陆以外地区，不需要遵守中国法律，不限用途。

免备案：不需要向监管部门提供实名登记和用途说明。

免翻墙：直接可以访问国际互联网，不被长城墙限制。

多ip资源：有多ip地址，作为备用，随时切换。

高防抗攻击：抗网络攻击，避免被同行攻击断网，损失业务。

抗投诉：对于违规甚至违法行为，服务器供应商无视投诉，避免被封停服务器。导致业务报废。

国内免备案服务器/vps：在国内，某些地区，有这种服务器，可以不备案，所以，会被一些涉网犯罪分子使用。

收集目标思路，去收集违法网站，收集木马病毒回连反弹ip和域名，对网址域名ip进行解析，然后对ip归属公司进行查询，收集，整理，汇总，筛选规模较大。位于海外的目标。

部分国内公司也经营海外服务器，因为自己装聋作哑，不进行审核人员真实身份，不备案客户真实信息，服务器销售出去会被用于互联网作恶用途。

说起来容易，做起来其实一点也不简单……

所以列出多种方式给网安民警同志们选择。仅供参考。

1.渗透思路：

收集供应商网站-收集域名-收集ip-收集资产-收集办公资产-收集各类泄露信息，包括网站建站源码，管理系统源码。

代码审计目标网站源码，……具体看天意😎

代码来源：

对供应商网站批量扫描，万一有傻子根目录下有wwwroot. zip文件，就有戏了。

或者公开搜索有没有被分享到代码平台github的情况。

扫描目标，扫描资产，扫描可能存在的漏洞，对于打下的shell权限，打包网站所有源码，留作以后代码审计，发现新的漏洞进行批量利用，对shell到的目标进行渗透，也可以进行水坑钓鱼🎣，诱导对方工作人员访问下载，控制对方主机，方便进入带白名单认证的后台，长期维持控制权，……

打进去，进控制台，开始取证勘验工作，梳理各类违法犯罪用途服务器……

打不进去，就从源码审计找漏洞，研究如何利用。如果具备批量，再去批量通杀，宁可错杀一千，不肯放过一个。

2.非渗透思路：

聊天，钓鱼🎣，发文件。

文件大致内容：需求表格，租用协议，发票协议，等等，文件是假，加载c2才是核心目的。

去上班，去和对方合作当代理，当分销商，意思就是打入敌人内部，能接触到对方权限还有后台，或者办公资产，以及客户信息。

确认卖服务器的在协助作恶，可以去监控对方收款账户，核查对方客户身份，还有对方的资金流。顺便拉一下对方的使用境内社交软件的聊天记录。

3.维权操作，远控维权，网站webshell维权，清理攻击和登录日志，避免漏洞利用过程被分析泄露，保护0day的exp不被泄露，擦痕迹，细水长流，做到长期稳定打击，不做一锤子买卖。

附送：服务器供应商使用的常见源码名称大致列表：

HostBill（付费），RackNap（付费），Blesta（免费/付费），Clientexec（付费），WISECP（付费），BillingServ（付费），Ubersmith（付费），RunCloud（付费），FOSSBilling：（免费），WHMCS（付费），智简魔方，行云管家，nokvm，等。

欢迎各路大神补充思路以及成功实践……