记一次艰难的溯源故事（对不起学长）

1337163122

​合天网安实验室

本文转自先知社区：https://xz.aliyun.com/t/9582
作者：amazingday

0x01起因于昨天晚上做了一个梦，梦见自己被抓去了罚坐，以下内容纯属做梦，师傅们当个故事会看吧。起因罚坐期间被告知需要交点东西，看着全是僵尸网络的告警，一阵头大，没有活人啊。被施加压力的第二天，终于来了一个顺眼的攻击行为。
0x02攻击行为就是fastjson的利用，用来接受dns请求的域名一长串，大概规则为字母数字组合+fastjson.xxx.yuns*.org好家伙，这就是专业，对这个域名进行情报查询，果然被标记dnslog。
在子域名中看到还有admin.yuns*.org，对应的活跃ip为47.75.*.230，在去年10月也打过dnslog，交的东西感觉有戏了，太对了哥哥太对。
​
​
0x03从47.*.*.230解析域名找到了一个看着顺眼的mas*.me，访问一下，是个博客，大概长这样，是个从业人员，看了下github，最新的记录是chrome0day。
然后重点关注个人信息，pay页面下有个打赏码，域名就是姓名的全拼，啊这，估计是注册得比较早把，link下面就是一堆安全网站和友链还有邮箱。
接下来就是各种常规操作，翻信息各种搜索去查，这里直接略过，最后的结果找到姓名QQ院校生日等。成了成了，报告有了，又可以混了（差点梦都醒了）。
​
0x04本来该到这就结束的，但是，啪，又被告知最好有攻击人员的单位信息。我？？？这不是难为人吗，盯着眼前的报告无语凝噎。
0x05重新回到mas*.me这个域名（其实后面发现这个博客的后台管理的密码和之前收集到的密码是一个，当时就尝试了几个弱口令无果后没），先收集着看把。发现有一个子域名img.mas*.org的，看起来是传文件用的。长下面这样，难道说。
​
这个站是php的，先尝试传了个txt，返回200并且有路径，访问存在。直接上哥斯拉，一传，页面直接没了，connect reset，被拦截了，怀疑是php后缀的问题，换ip接着整了个<?php echo 1;?>，传上去，输出1，成功解析了。那估计是匹配到了文件内容，接着一顿瞎操作，换了N次ip。最后终于连上了，发现执行不了命令，目录也只有/tmp和当前web路径。
好久没遇见过php的站，看了下php版本是5.6，先用LD_PRELOAD去绕过disfunction看下，结果直接成了。这里避免手动编译改文件内容可以直接用蚁剑的插件还自动bypass'di'r。
0x06一翻文件，之前博客的博客也在上面，并且还有最开始发现的admin.yuns*.org，翻配置文件连上数据库，找到20年的漏洞整理链接，这不上个21年的。还看到个qq号（和之前查到的是同一个，没用直接略过）。
​
​
又翻了一下没找到什么东西，然后把shell删了，整理一下，又又又被告知还是没有攻击者的单位信息（直接气醒了）。
0x07休息了好久才重新入睡，接下来的梦才是重点。问题来了，怎么知道攻击者的单位。思路想到了QQ号，加好友直接问，接着构思一下剧本，结合之前收集到的院校信息，打算装一手面临毕业的计算机专业直系学弟（装学妹的嘤嘤怪我接受不了）求内推或者工作建议，冲了他。
0x08用一个qq等级高点的小号，修改好资料，99年，18届，某某院校，计算机专业，空间搞了些在贴吧找的学校照片。写上18届的学弟想咨询就业信息，订~好友申请已发送。既然是做梦，肯定是半夜，应该是12点左右看到通过了请求，也就过了十来分钟吧。正准备发构思好的问候学长的话。好家伙，直接给我来了一大波内推。
这里暗示的提了一下自己是做开发的不是网络安全降低警惕心。
​
接着闲聊一会然后第一次尝试问在哪个公司，无果。
​
正面不行侧面问先问下工作城市
​
这里暗示了公众号，因为发内推的公众号可能是这个师傅的（相似的id），根据一些发的文章看出这个师傅应该和一个安全组有点关系，看见有个文库能查内部exp，流下了口水。想骗师傅一个邀请码，但是后面想着只是可能又不是单位，爱好而已，还容易暴露，就没继续问了。
​
又是一顿闲聊，再侧面问一下毕业干嘛了。
​
然后这个师傅一直勉励，说现在在学校什么都不会是正常的，还有时间，趁着现在开始学习不晚的，让我自己好好想一下毕业想干嘛考研考公还是找工作，确定目标等等。这里我突然感到了愧疚，艹。但是没办法聊了这么久了，不能忘记目的，顺着师傅发的被某公司众测邀请的截图问了下是不是这个公司的，看下会不会说自己是哪个公司。
​
这里直接放弃了，已经搞了个把小时了，加上内心的煎熬，放工啦，饮杯茶先。但是！！！师傅不让我溜，这也行，师傅你是不是看穿我了，在这熬鹰。行，舍命陪君子。还好师傅说话算话，聊到2点就说睡了。
​
最后又一问也没搞到单位，饮茶饮茶，梦醒了。
​
0x08最后有一点瑕疵，公众号上微信和博客上的转账微信不是同一个，然后又在QQ上确认了一下，没反驳我，就这样吧，故事完结。
​
​
第一次这么费劲心力的去尝试，结果还是没找到单位信息（这不重要反正是做梦）。在闲聊过程中，也被问了一些学校或者老师的信息，都是现场搜和顺着师傅的话说（怕师傅怀疑故意问一些错误的东西以免露馅了，后面发现是自己多虑了）。
​
作为学弟和师傅聊天的时候还是收获挺多的，很乐于分享，对师傅感到不好意思。最后一句，以上内容纯属虚构，认真就没意思了，小心学弟~

本文推荐实操：DoraBox之文件上传（复制链接体验吧）
https://www.hetianlab.com/expc.do?ec=ECIDfaf3-05da-4d49-9e11-72953b14f22c&pk_campaign=weixin-wemedia#stu
​