域名解析器开放服务怎么开启_HW防守｜溯源反制攻击方的服务器

0x00 序言

之前我承诺分享一个真实的案例，为了兑现我的承诺，我会分享一个不注重细节的攻击团队被反击追根溯源获得积分的故事。

故事发生在一个多月前的行业小硬件里。我和小伙伴们在研判组里发呆……

0x01 巧妙借用设备确定来源

现在一般环境在防御的时候，都会有各种设备监控，层层防御，叮叮叮～，突然监控组报告了一个可疑的IP，该IP进行了很多恶意行为，报警图片（由于保密） ，灵魂画师出现）如下：

除了流量监控设备之外，合作伙伴的蜜罐设备也捕获到了恶意攻击。这只是一个域名。首先，根据研判结果，我们有效屏蔽了代理IP和域名，防止恶意扫描和嗅探。然后我们通过现场韦步哥做了进一步的追踪和反演。

通过微步网上查询发现，该域名已被很多人标记，具有明显的特征。然后通过IP反查，发现之前捕获的IP是代理IP，通过域名解析出真实IP。由于只获取真实IP，裁判组得到的分数很低，偶尔会被忽略。我们决定进一步追踪黑客画像，定位真正的攻击者。

0x02 需要考虑溯源和反演

通过nmap扫描IP端口，发现3389、8080、80、443、8024、8888端口开放。分别访问它们并进行目录扫描。

发现8080是nps代理的web管理访问端口。使用默认用户名和密码登录失败 (admin/123)。 80和443端口是域名解析模式的默认端口。 8024是用于客户端和服务器之间通信的桥接端口。

我发现8888是开源的src子域资产监控工具，发现使用了+.0。我尝试了暴露模板注入等，但没有效果。我尝试用前台默认账号登录，登录成功。

我们可以看到我的客户和其他硬件客户的资产都受到监控，但是只有一些监控数据，这并没有给我们的溯源工作带来进展。包含重要信息的后端是用户在安装过程中创建的。登录失败并尝试拉取。代码，进行了代码审计，发现前端xss，但是插入失败。

3398端口爆破失败。通过ptr确定服务器在华为云上，并尝试收集云服务资源等信息。

在此过程中，我们处理了多起调查分析攻击事件。朋友说这就是溯源的终结了。他们准备将重点放在先前搁置的攻击和新发现的事件的追踪上。然而，安全领域谁有轻易认输的心呢？请注意，尝试推断使用该平台进行监控的攻击者的心理。很有可能不是红队，例如精心准备的C&C、无与伦比的域名、谨慎谨慎的高隐藏服务器、最少暴露的端口。等等，如果是仓促准备的攻击者，肯定会留下自己没有注意的蛛丝马迹。我之前已经建过。要计算最小的攻击成本和时间，最方便的方法是使用构建。是否有可能存在后门之类的？检查后门，无果，一般目录是版本路径，如/.8.5/index.php。我尝试模糊测试，但失败了。我突然想到，为了防止目录爆炸，我会在默认的路径上添加一层路径，比如/my/。 8.5/index.php，继续尝试fuzz路径，终于，又一个亮点出现了。

0x03 另一个村庄有美好的未来

我们尝试使用爆破工具爆破密码，然后发现是root/root，默认密码。我吐槽了，因为修改后，找不到.ini配置文件，导致工具无法使用，所以我又改回来了，只是加了一层路径？

写法有很多种，比如直接写入、开启全局日志、使用慢查询日志、版本漏洞（CVE-2016-5734、CVE-2018-12613）等，我就不一一赘述了来弥补字数。

以高权限、3389端口成功登录服务器，查看用户状态，发现有目标人的拼音用户名。我找到了多个脚本。复制回来后发现有同一作者的评论，对攻击者的网名高度怀疑。

到目前为止我们的信息是，

姓名拼音

网络名称

邮箱和QQ号。

0x04 查询定位技巧

事实上，我们已经获得了足够的信息。如果你用这些信息去百度和谷歌搜索，你会发现很多有趣的东西。你可以查一下几个SRC的排名，他的个人资料，查看一下。我翻了他的微博和照片，找到了一些他学生时代的信息。我无意中找到了照片的地理位置，并通过支付宝确认了他的真实姓名。他是一位非常活跃的黑客，经常在一些论坛上回复。我又问了一遍。圈内朋友确认了他就职的公司，最终提交了完整的报告，并获得了足够高的评分。由于保密，很多肖像的溯源信息无法公开。我会给你一份免费报告。大学毕业后我们拍张合照吧。

0x05结束

主要步骤：

发现入侵-获取攻击IP-逆向攻击者服务器-获取服务器用户信息及可用信息-查询用户相关信息溯源至个人-提交报告

可以看到文章中有很多尝试过但失败的方法。我写下了我所有的想法，包括那些失败的想法，以检查缺陷并填补空白。我觉得应该有进攻的心态，不要盲目的去碰撞。如果失败，就放弃。因为喜欢这个行业，所以还是很喜欢《我是谁：没有绝对安全的系统》这部电影，推荐给大家观看。

这原本是一个简单的溯源对策。后来很多同学就会想，啊，就这样吧，我也能行。确实如此，但需要注意的是，当我们离后面的简单步骤一步之遥时，很多学生都选择放弃。

在溯源过程中，最终的溯源报告尤为重要。如何让裁判判断你获取的信息是有效信息、可以存档和定位的信息，以及如何将其与事件关联起来。这是判断分数的重点。还有很多小技巧，暂时不方便分享。

事实上，我们工作中的硬件溯源和应急响应是有一些区别的。 hw讲的是及时性和应急响应。在规定时间内发现、判断、处理、举报，即可获得高分，且不会扣分。积分的本质是考核企业是否有发现问题、处理问题的能力。它不仅决定了攻击行为，还决定了攻击方式。通常最重要的是今年防御规则中得分最高的项目，如何描述攻击者的轮廓。 。

文章中有一些松散的部分或想法。希望大家多多留言讨论学习，共同进步。

这篇文章就结束了！