前言

一次重保项目，通过社工+IP定位的方式成功溯源出攻击者身份信息，包括微博，百度，58，腾讯优酷等多个账号接管。

溯源

IPS告警，发现源IP地址

使用360威胁情报中心显示三个通信样本

查看通信样本信息，最后一次出现的时间为2022年

再去微步在线情报社区看看情况，没啥有用的信息

经过多家情报中心查看，发现在奇安信的威胁情报中心下域名反查发现曾经绑定过三个域名，其中最近的为xx.xxamz.com

通过域名解析的方法拆线呢该域名目前情况，发现绑定在xx.xx.xx.189IP上

再次使用IP反查域名，发现域名最近绑定的时间为24年三月，且域名为xxfe.top

通过查询该域名，发现注册信息为zou xx feng，到这里需要去猜测一下人名信息，不过这一步也不难

这里直接通过阿里云验证该用户信息，发现名字为xx锋，且邮箱也是以zyf字段开头

通过社工，成功获取到该用户的身份证，密码等多个要素

解密MD5密码，成功登录该用户网易邮箱

通过网易邮箱绑定关系，成功接管github

再邮箱中翻找信息，发现有58同城账号注册或者登录验证码，成功接管58同城

直接拿下攻击者的简历，某学校计算机专业学生，这不久专业对口了嘛

再去支付宝进行验证，用户信息一目了然了

迅雷账号，直接接管

优酷视频账号，直接接管

并且发现了QQ号信息

去搜索QQ号，发现职业为计算机，这不又实锤了嘛

百度个人账号，直接接管！

拉网接管！

用手机号社工一下该用户信息，发现微博地址

直接去微博上搜搜，攻击者头像，直接获取到了。IP溯源到此结束。

原文始发于微信公众号（蓝云Sec）：实战|一次IP溯源的真实案例！