0x00 序言
之前答應說分享一篇真實案例,來兌現一下承諾,分享一個攻擊隊不注意細節被反制并溯源加分的故事。
故事發生在一個多月前的行業小hw,我和我的小夥伴在研判組發呆......
0x01 巧借裝置定來源
現在大環境在防守的時候都會有各種各樣的裝置來監控,層層防守,叮叮叮~,忽然監控組上報了一個可疑ip進行很多惡意行為,報警圖(由于保密性,靈魂畫師登場)如下:
除了流量監控裝置,小夥伴的蜜罐裝置同時也捕獲到了惡意攻擊,不過是一個域名,先給定研判結果,針對該代理ip及域名進行有效封堵,防止惡意掃描嗅探,然後我們通過在場的微步老哥,進行進一步的溯源反置。
通過微步線上查詢發現,這個域名已經被很多人标記,也具有很明顯的特征,然後通過ip反查,發現之前捕獲的ip為代理ip,通過域名解析到真實ip,由于隻得到真實ip上交給裁判組獲得的分數很低,偶爾有忽略的情況,我們決定進一步溯源黑客畫像,定位真實攻擊人。
0x02 溯源反置需思考
通過nmap掃描ip端口,發現開放了3389,8080,80,443,8024,8888端口,分别通路,并進行目錄掃描。
發現8080為nps代理的web管理通路端口,使用預設使用者名和密碼登入失敗(admin/123),80與443端口為域名解析模式預設端口,8024為網橋端口,用于用戶端與伺服器通信。
發現8888為Langzi師傅在github開源的src子域名資産監控工具LangSrcCurise,發現使用django+mysql8.0,嘗試django爆出的模版注入等,無果,嘗試前台預設賬戶登入,成功登入。
可以看到針對我客戶及其它hw客戶資産進行監控,但是隻有一些監控資料,并沒有給我們的溯源工作帶來進展,有重要資訊的背景由于是安裝過程使用者自己建立的,登入失敗,嘗試pull代碼,進行代碼審計,發現前台xss,插入未果。
3398端口爆破失敗,通過ptr判斷出該伺服器在華為雲上,嘗試收集雲服務資源等資訊。
中間處理了幾個研判攻擊事件,小夥伴們說這個溯源估計就到這裡了,準備集中精力針對之前擱置的攻擊事件及新發現的事件進行溯源,可是學安全的誰又有一顆輕言認輸的心呢,嘗試推算一個使用LangSrcCurise平台做監控的攻擊者的心理,很大機率不會是紅隊,eg,精心準備的c&c,無與倫比的域名,一台謹慎又謹慎的高隐匿伺服器,最少暴露的端口面等,那如果是一個準備很倉促的攻擊者,一定會留下不注意的蛛絲馬迹,之前搭建過LangSrcCurise,推算最小的攻擊成本時間,最友善的辦法就是使用phpstudy搭建,是否有可能存在phpstudy後門或者phpmyadmin呢,check後門,無果,phpstudy的phpmyadmin一般目錄為版本路徑,如/phpMyAdmin4.8.5/index.php,嘗試fuzz,未果,忽然想到,自己為了防止目錄爆破,會把預設的phpmyadmin加一層路徑,比如/my/phpMyAdmin4.8.5/index.php,繼續嘗試fuzz路徑,終于,柳暗花明又一村。
0x03 柳暗花明又一村
我們嘗試phpmyadmin爆破工具爆破一下密碼,然後發現是root/root,預設密碼,我吐了,是因為修改以後,找不到LangSrcCurise的config.ini配置檔案,導緻工具不能用,就又改回來了,隻是加了一層路徑麼?
通過phpmyadmin寫webshell方式有很多比如select into outfile直接寫入,開啟全局日志getshell,使用慢查詢日志getshell,phpmyadmin的版本漏洞(CVE-2016-5734,CVE-2018-12613)等,我就不一一細說了湊字數了。
配合高權限webshell及3389端口,成功登入到伺服器,檢視使用者情況,發現存在目标人物拼音的使用者名,發現多個python腳本,copy回來以後,發現存在相同作者的注釋,高度疑似該攻擊者網名。
至此我們的資訊有,
姓名拼音
網絡用名
郵箱及qq号。
0x04 查詢定位講技巧
其實我們拿到的資訊已經足夠的多了,通過這些資訊去通過百度啊,谷歌啊,你會發現很多很多有趣的東西,翻到了幾個src排名,翻到了他的個人簡介,查了查sgkjqr,翻到了他的微網誌及照片,翻到了他關于上學時候的一些資訊,照片不經意間的地理位置,通過支付寶确認了他的真實姓名,是個很活躍的黑客,經常在一些論壇回帖,又問了圈裡的朋友确認了他所在的公司,最後進行了完整的報告送出,并獲得了足夠高的分數,由于保密性,其實溯源到的很多關于人物畫像的資訊都不能放出來,附贈一張大學畢業合影吧。
0x05 結尾
主要步驟:
發現入侵-擷取攻擊ip-反滲透攻擊者伺服器-擷取伺服器使用者資訊及可利用資訊-查詢使用者相關資訊溯源到個人-送出報告
- 可以看到文章裡有很多嘗試了最後沒有成功的方式,我有把我的思路包括失敗的思路都寫出來,去進行查缺補漏,想着自己要有一個攻擊的思維,不要盲目去碰撞,失敗就放棄。因為喜歡這個行業,到現在我還是很喜歡那部叫《我是誰:沒有絕對安全的系統》的電影,推薦給大家一起看看。
- 這本來就是一次簡單的溯源反制,後面很多同學會覺得,啊,就這,我上我也行,确實如此,但是需要說明的是,當我們距離後面的簡單步驟一步之遙的時候,很多人選擇放棄了。
- 在溯源的過程中,最後的溯源報告尤為重要,如何讓裁判去判斷你所擷取的資訊是有效資訊,是可以進行歸檔定位的資訊,以及如何跟事件進行關聯,這是判斷的得分的重點,有很多小的tips,目前不太好分享。
- 其實hw溯源和我們工作中的應急響應還是有一些差別的,hw講的是時效性和應急不太一樣,在規定時間内進行發現,研判,處置及上報,會擷取很高的分數并且不扣分,其本質就是對企業是否具有發現問題處理問題的能力考核,而且不隻是判斷出攻擊行為,攻擊方式就可以,往往最重要的就是今年防守規則加分最多的一項,如何描述攻擊者畫像。
- 文章中有一些不太嚴謹的地方,或者思路,希望大家可以多多留言讨論,共同學習進步。
本篇完!