0x00 序言

之前答應說分享一篇真實案例，來兌現一下承諾，分享一個攻擊隊不注意細節被反制并溯源加分的故事。

故事發生在一個多月前的行業小hw，我和我的小伙伴在研判組發呆......

0x01 巧借設備定來源

現在大環境在防守的時候都會有各種各樣的設備來監控，層層防守，叮叮叮～，忽然監控組上報了一個可疑ip進行很多惡意行為，報警圖（由于保密性，靈魂畫師登場）如下：

除了流量監控設備，小伙伴的蜜罐設備同時也捕獲到了惡意攻擊，不過是一個域名，先給定研判結果，針對該代理ip及域名進行有效封堵，防止惡意掃描嗅探，然后我們通過在場的微步老哥，進行進一步的溯源反置。

通過微步在線查詢發現，這個域名已經被很多人標記，也具有很明顯的特征，然后通過ip反查，發現之前捕獲的ip為代理ip，通過域名解析到真實ip，由于只得到真實ip上交給裁判組獲得的分數很低，偶爾有忽略的情況，我們決定進一步溯源黑客畫像，定位真實攻擊人。

0x02 溯源反置需思考

通過nmap掃描ip端口，發現開放了3389,8080,80,443,8024,8888端口，分別訪問，并進行目錄掃描。

發現8080為nps代理的web管理訪問端口，使用默認用戶名和密碼登錄失敗（admin/123），80與443端口為域名解析模式默認端口，8024為網橋端口，用于客戶端與服務器通信。

發現8888為Langzi師傅在github開源的src子域名資產監控工具，發現使用django+mysql8.0，嘗試django爆出的模版注入等，無果，嘗試前臺默認賬戶登錄，成功登錄。

可以看到針對我客戶及其它hw客戶資產進行監控，但是只有一些監控數據，并沒有給我們的溯源工作帶來進展，有重要信息的后臺由于是安裝過程用戶自己創建的，登錄失敗，嘗試pull代碼，進行代碼審計，發現前臺xss，插入未果。

3398端口爆破失敗，通過ptr判斷出該服務器在華為云上，嘗試收集云服務資源等信息。

中間處理了幾個研判攻擊事件，小伙伴們說這個溯源估計就到這里了，準備集中精力針對之前擱置的攻擊事件及新發現的事件進行溯源，可是學安全的誰又有一顆輕言認輸的心呢，嘗試推算一個使用平臺做監控的攻擊者的心理，很大概率不會是紅隊，eg，精心準備的c&c，無與倫比的域名，一臺謹慎又謹慎的高隱匿服務器，最少暴露的端口面等，那如果是一個準備很倉促的攻擊者，一定會留下不注意的蛛絲馬跡，之前搭建過，推算最小的攻擊成本時間，最方便的辦法就是使用搭建，是否有可能存在后門或者呢，check后門，無果，的一般目錄為版本路徑，如/.8.5/index.php，嘗試fuzz，未果，忽然想到，自己為了防止目錄爆破，會把默認的加一層路徑，比如/my/.8.5/index.php，繼續嘗試fuzz路徑，終于，柳暗花明又一村。

0x03 柳暗花明又一村

我們嘗試爆破工具爆破一下密碼，然后發現是root/root，默認密碼，我吐了，是因為修改以后，找不到的config.ini配置文件，導致工具不能用，就又改回來了，只是加了一層路徑么？

通過寫方式有很多比如select into outfile直接寫入，開啟全局日志，使用慢查詢日志，的版本漏洞(CVE-2016-5734,CVE-2018-12613)等，我就不一一細說了湊字數了。

配合高權限及3389端口，成功登錄到服務器，查看用戶情況，發現存在目標人物拼音的用戶名，發現多個python腳本，copy回來以后，發現存在相同作者的注釋，高度疑似該攻擊者網名。

至此我們的信息有，

姓名拼音

網絡用名

郵箱及qq號。

0x04 查詢定位講技巧

其實我們拿到的信息已經足夠的多了，通過這些信息去通過百度啊，谷歌啊，你會發現很多很多有趣的東西，翻到了幾個src排名，翻到了他的個人簡介，查了查sgkjqr，翻到了他的微博及照片，翻到了他關于上學時候的一些信息，照片不經意間的地理位置，通過支付寶確認了他的真實姓名，是個很活躍的黑客，經常在一些論壇回帖，又問了圈里的朋友確認了他所在的公司，最后進行了完整的報告提交，并獲得了足夠高的分數，由于保密性，其實溯源到的很多關于人物畫像的信息都不能放出來，附贈一張大學畢業合影吧。

0x05 結尾

主要步驟：

發現入侵-獲取攻擊ip-反滲透攻擊者服務器-獲取服務器用戶信息及可利用信息-查詢用戶相關信息溯源到個人-提交報告

可以看到文章里有很多嘗試了最后沒有成功的方式，我有把我的思路包括失敗的思路都寫出來，去進行查缺補漏，想著自己要有一個攻擊的思維，不要盲目去碰撞，失敗就放棄。因為喜歡這個行業，到現在我還是很喜歡那部叫《我是誰：沒有絕對安全的系統》的電影，推薦給大家一起看看。

這本來就是一次簡單的溯源反制，后面很多同學會覺得，啊，就這，我上我也行，確實如此，但是需要說明的是，當我們距離后面的簡單步驟一步之遙的時候，很多人選擇放棄了。

在溯源的過程中，最后的溯源報告尤為重要，如何讓裁判去判斷你所獲取的信息是有效信息，是可以進行歸檔定位的信息，以及如何跟事件進行關聯，這是判斷的得分的重點，有很多小的tips，目前不太好分享。

其實hw溯源和我們工作中的應急響應還是有一些區別的，hw講的是時效性和應急不太一樣，在規定時間內進行發現，研判，處置及上報，會獲取很高的分數并且不扣分，其本質就是對企業是否具有發現問題處理問題的能力考核，而且不只是判斷出攻擊行為，攻擊方式就可以，往往最重要的就是今年防守規則加分最多的一項，如何描述攻擊者畫像。

文章中有一些不太嚴謹的地方，或者思路，希望大家可以多多留言討論，共同學習進步。

本篇完！