安全路人A 军机故阁
军机故阁
微信号 gh_e57baf46bdf5
功能介绍 最新的安全情报与技术
__发表于
收录于合集
前言
帮朋友整理些蓝队的手段,发现一篇去年hvv中溯源的历史文章,搜索了下,没找到原作者,文章应该是删掉了,基于原文做了些小删减后整理出来了这个案例。
这篇溯源基于22年云服务器的特点,出于反弹shell,或者跳板攻击的需要,攻击者常常会使用到自己的VPS。云服务商在为我们提供便捷的同时,或多或少也都存在一些安全隐患,变相泄露租户隐私,或为有心者提供便利的查询渠道。
详细溯源案例流程
日志发现了一名攻击者对我方资产进行漏洞扫描攻击,攻击次数10738次。
![]()
该IP开放了8443端口,并搭建了Acunetix 漏洞扫描器:
查询该IP,发现是位于四川成都的IDC服务器,是一台 腾讯云 的云主机:
这里要说到,不管是腾讯云还是阿里云,22年都有为各自租户提供了一个便捷通道, “忘记账号” ,当然这条通道也为我们的溯源之路提供莫大的帮助:
这条 “忘记账号” 通道可以为我们提供:
-
手机号验证
-
域名验证
-
实名信息验证
回到案例,使用腾讯云的服务器IP找回功能,可以发现该IP绑定的电话号码为184****6377 :
腾讯云只隐藏了中间四位数字,总共只有10000种可能性,使用脚本生成10000个手机号码后进行空号清洗,基本上去掉近 7/8 的空号或失效号。
而且腾讯云刚好有能检测一个手机号是否开通了云主机,两个配合使用,如下:
但这位置有图片验证码,如下:
使用 python 的 selenium 模块进行自动登录(或直接找图片验证接口买次数)
通过上千次重复的验证过程,发现了好几个绑定过腾讯云的相似手机号,而根据服务器IP进行找回可以验证该手机号是否属于此IP,终于皇天不负有心人,找到这个IP对应的手机号,手机号属于山西太原移动的:
通过添加该手机号为联系人,在钉钉通讯录功能中确定其名字为 x锦源:
百度x锦源 ,第一条就是CISAW风险管理方向考试合格人员名单,其中泄露了他的工作单位为 中国xxxx研究院 ,该单位正好参演了本次hw演练:
有了手机号,一切就好办多了,通过手机号搜索微信名为:xxxx stars
微博中发现所在地:山西 临汾 生日:1993年6月10日
翻看历史微博,能够找到其毕业大学:
从QQ空间和空间相册,可以确定x锦源户籍所在地为:山西 临汾 翼城 及本人照片:
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看