安全矩阵

 找回密码
 立即注册
搜索
查看: 2143|回复: 0

溯源反制案例分享(二)

[复制链接]

249

主题

299

帖子

1391

积分

金牌会员

Rank: 6Rank: 6

积分
1391
发表于 2022-6-17 11:57:53 | 显示全部楼层 |阅读模式

云服务器
出于反弹shell,或者跳板攻击的需要,攻击者常常会使用到自己的VPS。云服务商在为我们提供便捷的同时,或多或少也都存在一些安全隐患,变相泄露租户隐私,或为有心者提供便利的查询渠道。

还是一个风和日丽的午后,一名攻击者对我方资产进行漏洞扫描攻击,攻击次数10738次。

编辑

该IP开放了8443端口,并搭建了Acunetix 漏洞扫描器:

编辑

查询该IP,位于四川成都的IDC服务器,是一台 腾讯云 的云主机:

​编辑

​编辑

这里要说到,不管是腾讯云还是阿里云,都为各租户提供了一个便捷通道,“忘记账号”,当然这条通道也为我们的溯源之路提供莫大的帮助:

编辑

编辑

编辑

​编辑

这条通道可以为我们提供:


           
  •         手机号验证

           
  •         域名验证

           
  •         实名信息验证


使用腾讯云的服务器IP找回功能,可以发现该IP绑定的电话号码为 184****6377 :

编辑

编辑

腾讯云最大的失败就是只隐藏了中间四位数字,总共只有10000种可能性,使用脚本生成10000个手机号码后进行空号清洗,基本上去掉近 7/8 的空号或失效号。

这里顺便贴一下小伙伴的文章:http://greatagain.dbappsecurity. ... ?id=6728&type=1

而且腾讯云刚好又能检测一个手机号是否开通了云主机,如下:

​编辑

只是比较蛋疼的是每次都需要拖动一个图片验证码,这样一来工作量就提升了一个档次,如下:

编辑

不过这也不是无解的,曾看到一篇介绍使用 python 的 selenium 模块进行自动登录的文章,有兴趣的小伙伴可以自行研究

通过上千次重复的验证过程,发现了好几个绑定过腾讯云的相似手机号,而根据服务器IP进行找回可以验证该手机号是否属于此IP,终于皇天不负有心人,找到属于 山西太原移动 的手机号:

编辑

通过添加该手机号为联系人,在钉钉通讯录功能中确定其名字为 x锦源 :

​编辑

百度 x锦源 ,第一条就是CISAW风险管理方向考试合格人员名单,其中泄露了他的工作单位为 中国xxxx研究院 ,该单位正好参演了本次hw演练:

​编辑

通过信息安全等级测评师也可查询到其信息:

编辑

有了手机号,一切就好办多了,通过手机号搜索微信名为:xxxx stars

编辑

祭出社工库,可查询到他的 微博地址 和 QQ邮箱 :

编辑

微博中发现所在地:山西 临汾  生日:1993年6月10日 :

编辑

翻看历史微博,能够找到其毕业大学:

编辑

QQ号为 :xxxxx3392 ,名为 xxxxxx_M ,留言板发现情侣名为 xxxxxx_L ,通过查看QQ空间的说说查到xxxxxx_M和xxxxxx_L有互动,确定为情侣关系。

编辑

从QQ空间和空间相册,可以确定x锦源户籍所在地为:山西 临汾 翼城 及本人照片:

编辑

于此,溯源工作又告一段落。

总结:

编辑

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 02:49 , Processed in 0.013365 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表