来源:奇安信攻防社区,作者:苏苏的五彩棒
原文:https://forum.butian.net/share/2449
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
案例一
1.1、入侵告警
1.2、上机排查
1.3、溯源
1、根据IP查询到域名
博客的文章没有什么发现,但是在查看友链时发现了几位眼熟的ID
{repository(name: "name",owner: "test1278"){ref(qualifiedName: "master"){target{... on Commit {idhistory(first: 5) {edges {node {author {name}}}}}}}}}
通过API接口查询QQ号绑定的手机号
1.4、总结
案例二
1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。在这种情况下,只能依赖这台防火墙进行深入的排查。
在凌晨0时40分发现struts2命令执行漏洞被利用成功。
3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。
4、在受害主机上发现了frp以及fscan,frp远控服务器地址XXX.XXX.72.91
域名反查,找到一个疑似域名所有者姓名的域名,但是搜索域名并未找到更多信息。
5、天无绝人之路,在另一台受害主机上找到了更多信息。KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具
在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.87
2.2、溯源
1、对XXX.XX.XXX.87进行域名反查,发现存在备案人姓名(不是,真有人实名上网啊)
3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx,和备案人的姓氏是相同的
2.3、总结
本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP数字证书找到了用户常用昵称,搜索找到了CSDN账号,爆破获得手机号,域名备案人锁定了真实姓名,反向印证同一人。只是可惜没有找到明确的单位。
关注我们
还在等什么?赶紧点击下方名片开始学习吧
知 识 星 球
推 荐 阅 读
