記一次溯源過程

起因

在hw期間收到需要對某個攻擊IP進行溯源分析，并對整個過程進行記錄

對IP進行初步的收集

站長工具查IP定位，印度尼西亞

對IP進行簡單探測，利用masscan+nmap

不知道啥原因我的IP居然被封了，上代理用goby進行探測

事實證明是真的掃不到，利用在線掃描進行探測

開啟了22端口說明是臺Linux（有可能不是），開啟了3306為mysql數據庫（默認端口）

先從80開始入手吧

對IP進行Web滲透

對網站進行指紋識別

可以看出是PHP建站，并且不存在waf，可以使用awvs進行掃描

運氣不錯存在一處PHP遠程代碼執行

獲取網站權限

驗證漏洞：

反彈shell:

首先執行set +o history取消shell歷史命令記錄，在使用history -d id 刪除歷史命令中set +o history記錄,就可以進行接下來的滲透操作了

對獲取到權限進行信息收集

查出最近當前哪些IP地址登錄過系統，大多數為印度尼西亞IP，用處不大

查看機器為2020年，內核為2.6.32，看著好像很容易提權，一把下來全部不過，放棄

Ps -aux 發現兩個IP，一個為俄羅斯，一個為阿里云（重點）

查看與計劃任務相關信息 Cat  /var/log/cron   發現一個IP

啟動項發現開啟啟動創建一個目錄但是目錄下沒有任何東西

查看當前使用端口發現沒有工具安裝，然而當前賬號沒有權限安裝軟件

查看內存占用前五的  ps auxw | head -1;ps auxw|sort -rn -k4|head -5

發現一個進程有點眼熟悉

發現是挖礦木馬，單純kill無法刪除，勾起了好奇心隨便練習一下木馬清理

systemctl status pid 查看發現挖坑程序存在守護進程，并且獲取到植入挖礦的IP

先kill掉守護進程，在kill掉挖礦進程

find / -name "*kdevtmpfsi*"  查詢是否存在的其他挖礦文件

對發現的IP進行滲透

目前共發現4個IP

195.3.*.*  拉脫維亞    有計劃任務

194.87.*.* 俄羅斯

120.79.*.* 阿里云（重點關注）

58.45.*.*  湖南 （應該不是攻擊方）挖礦

利用goby進行掃描，發現120.79的7879端口是疑似sping框架

使用dirsearch進行目錄掃描，發現是swagger框架無法利用

對redis和MySQL數據庫進行弱口令爆破無果，利用masscan+nmap進行全端口探測，發現8088存在tomcat,并且存在弱口令

獲取120.79的網站權限

利用弱口令登錄tomcat,部署webshell

jar cvf test.war test.jsp 使用命令冰蝎jsp打包war

對120.79進行信息收集

剛才在部署shell的時候發現tomcat還部署了一個后臺，冰蝎連接后找了兩個小時的配置文件及數據庫文件啥都沒找到，最后試一下弱口令登錄進去了，，，，，，，坑了，進行后沒發現什么有用的信息

查看登錄IP，使用均為代理IP有臺灣，香港，root用戶IP為廣州應該是真是IP，并且通過IP精準定位經緯度找到大概位置，這里就不貼查詢圖片出來了

在root用戶歷史命令找到一個url鏈接

發現一開始印度尼西亞網站的IP，入侵證據

對鏈接進行訪問發現為企業網絡安全攻防實訓平臺，歷史命令是從越下面代表越后執行命令，這樣子可以串起來，入侵者入侵這臺機器然后往自己平臺測試網絡，最后入侵印度尼西亞主機在對我們發起掃描（假設）

查看日志目錄可以發現已計劃任務相關的日志已經清0，并且郵件日志數據量很大

在郵件日志中發現QQ號

整合收集到的信息

IP：193.112.*.*         企業網絡實訓攻防平臺

微步威脅情報分析，反查域名

繼續通過微步查詢域名，獲取到注冊手機號及郵箱

通過QQ查詢資料發現為滲透測試，軟件開發人員

繼續通過社工庫進行信息查詢，獲取到地址，證件，車牌，及一些歷史密碼

到此為止不在深入探究