<menu id="guoca"></menu>

<nav id="guoca"></nav><xmp id="guoca">

<xmp id="guoca">

<nav id="guoca"><code id="guoca"></code></nav>

<nav id="guoca"><code id="guoca"></code></nav>

實戰 | 記某次值守中對攻擊IP的溯源分析

VSole2022-01-08 06:03:05

0x01概述

在某次值守看告警中，態勢感知系統監測到我市某政府單位的網站遭到來著IP：112.xx.xx.xx（上海）Apache shiro反序列化攻擊，且告警中的攻擊結果為成功，但后續經人工驗證使用shiro反序列化利用工具未能成功利用該漏洞，利用不成功的原因后面也得到確認是因為其在攻擊時數據包中存在較為容易猜解key命中了特征庫的規則從而觸發了告警，進一步確認需要人工核驗，心中暗暗自喜還好不是安全事件不然又得出去應急了，隨后并對攻擊IP進行溯源分析。

0x02事件分析

到日志檢索中心對攻擊IP：112.xx.xx.xx進行檢索，發現其不止攻擊了告警中的單位，還攻擊了我市內其他大量的政府單位與系統，于2021年8月30日至2021年9月29日一個月內該攻擊IP累計對我市單位信息系統攻擊共計46101余次，只能說這位兄弟頭真鐵。

粗略的統計了一下攻擊的類型占比，其中敏感信息的攻擊類型占了總比的49%，接著是代碼執行17%之后是目錄遍歷11%，從攻擊的占比度來看其的攻擊手法極大可能是通過掃描器進行批量的攻擊，專門尋找脆弱的目標，但只挑gov打既然頭那么鐵下面就對攻擊來源溯源一波。

0x03溯源攻擊者

根據攻擊IP：112.xx.xx.xx在奇安信威脅研判分析平臺捕獲到該IP在近期今年的9月25號開始就已經出現了大量的攻擊活動跡象，在微步在線情報平臺也是在近期9月28開始發現該IP有漏洞利用的行為特征。

經奇安信威脅研判分析平臺IP反查域名得到目前該攻擊IP：112.xx.xx.xx解析的域名為sxxx.xxxxd.cc，為確保準確性經過反查DNS解析可確認當前該域名的是112.xx.xx.xx這個IP。

繼續在威脅研判分析平臺查詢該域名的whois注冊信息，雖然該域名目前的whois注冊信息顯示為空可能域名持有者做了信息保護，但在奇安信威脅研判分析平臺是可以查詢到域名第一次注冊時未更改的歷史信息的，得到關鍵信息注冊人：xxxxxxxxwang，QQ郵箱：10xxxxxxx@qq.com，并通過該QQ進行搜索，其資料上也有該域名的相關字樣，可以確定該域名屬于該QQ的持有者。

下面通過搜索引擎搜索語法site:xxxxd.cc得到以下該域名的收錄信息，并得到其的二級域名blog.xxxxd.cc個人博客。

在并在其博客的下方頁腳處發現該域名的備案號滬ICP備1xxxxxx號，并在工信部進行備案查詢，得到結果為此域名已在工信部備案，備案人：王某某（對應前面奇安信威脅研判分析平臺該域名的歷史whois注冊人：xxxxxxwang）。

繼續對該攻擊者進一步的信息收集，通過得到的QQ郵箱10xxxxxx@qq.com進行大數據檢索庫進行查詢，得到目前該QQ綁定的手機號為136xxxxxxxx（上海移動），泄露的密碼中大部分含有19981123字樣可直觀的猜測此數字為出生年月日，并得到泄露的地址為：上海市xxxxxxxxxxxx附近。

為確保得到的手機號目前正在使用的，并在次對手機號進行一波反向查詢得到微博地址：https://www.weibo.com/u/xxxxxx，其已在微博實名認證并且頭像與QQ頭像一致，資料內的生日年月份也一致，并通過對手機號136xxxxxxxx進行微信好友添加，其微信使用的頭像與微信昵稱wxx對應王某某基本可以確定該手機號目前為再用號碼。

0x04關聯好友線索

通過得到blog.xxxxd.cc該二級域名并在奇安信威脅研判分析平臺進行關聯域名查詢，得到84xxxxxxx.xxxx.xxxxd.cc帶有QQ號的三級域名。

為證實其中有一定的聯系，通過DNS解析查詢當前blog.xxxxd.cc與84xxxx.xxxx.xxxxd.cc所解析的服務器IP均為185.xx.xx.xx（美國）足以說明了王某某與84xxxx這個QQ號的主人有一定的關系。

再次使用大數據檢索QQ號84xxxxx得到其真實姓名為劉某某QQ綁定的手機號為138xxxxxxxx（重慶移動），網絡名：某某Kill，并通過泄露的菜鳥驛站信息得到詳細地址：重慶市xxxxxxxxxxx附近，并且通過泄露的QQ群關系其在重慶中學群中的昵稱也為劉某某由此可確認該名為真實姓名。

為進一步的證實兩人有關聯，通過反查IP：185.xx.xx.xx所綁定的域名，可看到www.zhxxxxxx.com也解析到了該IP上。

訪問www.zhxxxxxx.com可看到該網站以某某Kill（對應以上泄露的網絡昵稱）命名的一個個人博客，網站備案號渝ICP備xxxxxxxx號，但在工信部查詢備案該備案號的備案域名為www.gxxxxxx.cn備案人也為劉某某所有，并在好友友情鏈接到了王某某的博客blog.xxxxxd.cc上。

0x05 總結

綜合上訴溯源分析得出，攻擊IP：112.xx.xx.xx對我市內政府單位實施網絡攻擊，當前攻擊IP所解析的域名為sxxxx.xxxxxd.cc溯源得到該域名持有者真實姓名為王某某地址：上海市xxxxxxxxxxxx號，關聯出其好友真實個人信息劉某某其地址：重慶市xxxxxxxxxx號，以下為溯源關聯圖。

另外在提一句，所有在未授權情況下的攻擊掃描都是禁止的，互聯網并非法外之地不要觸碰法律的底線，現在正直春節年底防疫的敏感期間不要對政府單位系統進行惡意的掃描，給國家省省心讓自己也過個好年。

ip反查域名域名綁定

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

反查 IP 自動化

2023-11-28 10:28:52

從域名到 IP 的轉換，通過 DNS 服務可以直接查詢到，屬于正向解析，但是從 IP 到域名，DNS 服務器并沒有提供這項服務，屬于不可逆查詢

實戰 | 記某次值守中對攻擊IP的溯源分析

2022-01-08 06:03:05

經奇安信威脅研判分析平臺IP反查域名得到目前該攻擊IP：112.xx.xx.xx解析的域名為sxxx.xxxxd.cc，為確保準確性經過反查DNS解析可確認當前該域名的是112.xx.xx.xx這個IP。

網絡掃描：探測域名

2021-07-28 11:12:21

Ping掃描，域名解析，反向DNS查詢，子域名枚舉。

干貨 | 最全Web 滲透測試信息搜集-CheckList

2022-03-17 22:06:40

如果網站開啟了CDN加速，就無法通過網站的域名信息獲取真實的IP，要對目標的IP資源進行收集，就要繞過CDN查詢到其真實的IP信息。使用ping域名判斷是否有CDN直接使用ping域名查看回顯地址來進行判斷，如下回顯cname.vercel-dns.com，很明顯使用了cdn技術。使用不同主機ping域名判斷是否有CDN如果自己在多地都有主機可以ping域名，就可以根據返回的IP信息進行判斷。

藍隊面試題整理（防守方面試題整理）

2022-10-14 22:24:53

用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時間間隔：密碼有效期：密碼修改到期到的警告天數：密碼過期之后的寬限天數：賬號失效時間：保留。查看下pid所對應的進程文件路徑，

網安26號院|黑客環伺！12家國家級APT組織緊盯我國

2021-11-25 17:12:41

毒云藤、蔓靈花、海蓮花等國家級攻擊組織，持續針對我國境內開展攻擊活動。（感恩節互動有禮）

12個國家級APT組織緊盯我國

2021-11-19 07:33:53

國家級APT（Advanced Persistent Threat，高級持續性威脅）組織是有國家背景支持的頂尖黑客團伙，專注于針對特定目標進行長期的持續性網絡攻擊。 2021 年上半年，網絡武器威力和攻擊規模持續增大，可能是近年來APT攻擊活動最黑暗的半年。全球 APT 組織為達到攻擊目的，不惜花費巨額資金和人力成本，使用的在野0day 漏洞數量陡然劇增，出現的頻次之高為歷年罕見。

解析真實域名IP的方法

2023-07-18 15:21:11

一.DNS歷史解析記錄查詢域名的歷史解析記錄，可能會找到網站使用CDN前的解析記錄，從而獲取真實IP。

src漏洞挖掘淺談

2023-02-20 11:22:13

信息收集就說到這里，信息收集的主要目的就是擴大可利用面，10000萬個資產你可能碰到弱口令，但1個資產你肯定沒有弱口令挖掘前篇前邊已經講了信息收集，在測試前為了能高效的挖掘src，就需要有數據進行測試，這個數據就是我們常說的字典，字典怎么來，整理，收集，經驗，積累。金額，數量都是可以篡改的地方小結挖掘src漏洞最主要還是挖掘邏輯漏洞，無非就是耐心，細節，多留意數據包的可疑數據，數據包所實現的功能。

VSole

網絡安全專家

亚洲欧美自拍唯美另类