问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
记两次内网入侵溯源
渗透测试
记两次内网入侵溯源
1.1、入侵告警 ======== 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-b99ead5a037f7e8496f068236b54031cf3f99ec6.png) 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-76824d98c66e049ef6ce1d84b6ab120b66879460.png) 3、测试目标网站存在shiro反序列化漏洞 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c6e543105665ebd4465ba2b5cc70b98ca50fb05f.png) 1.2、上机排查 ======== 1、上机将CS木马下载下来,丢到云沙箱中运行,发现外联IP ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-03cd25b3a5e6b5e29b72cea25cb1121af5990250.png) 2、根据态感的告警时间排查日志,发现文件上传 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c74b03155b8587e8aa2c742e60ab705d87e32461.png) 3、上机排查木马文件,找了好久没找到木马文件,一个个打开文件查看,终于找到了木马,哥斯拉的jsp木马 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-97b45c32ac9682c1c10283ea51cee537cde78c7e.png) 可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-213f8f739ca734d74c81ff6455845bd2bb987c45.png) 排查发现反弹shell,IP与CS外联地址一致 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-116d5c35dd6972a02e4c2475ab93d698db64a2e8.png) 攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-7a540b5ca511db2f6a88d7e2538496efd5411cb6.png) fscan扫描结果 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-3ab69b75fa8c4fc02b8d5abe327c998b35c3531f.png) 1.3、溯源 ====== 1、根据IP查询到域名 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6e5d3579e4d61eceb065734ba3ca5be3db01d59a.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-eb3b7090d7c34374d5a54e1ded3a4fe1e51eae78.png) 2、直接访问域名,发现为个人博客 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6db294bdc36ae15a2db713cf95dc3932e785815b.png) 博客的文章没有什么发现,但是在查看友链时发现了几位眼熟的ID 通过其中一个昵称找到了其CSDN账号,通过CSDN的找回密码功能,爆破出了手机号,在脉脉上搜索发现为某厂渗透测试工程师,通过另外一个昵称询问熟人发现也是某厂员工,我们溯源的目标很大概率也是该公司的人。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-b359cb56f746861bc536da2037cbf51bb048b81d.png) 3、后续通过github搜索域名,查到了个人博客备份仓库 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c8ac7a7ee7d3c67723600281793db9dc5366c099.png) 通过GitHub接口查询到仓库同步代码的邮箱号<https://docs.github.com/cn/graphql/overview/explorer> ```php { repository(name: "name",owner: "test1278"){ ref(qualifiedName: "master"){ target{ ... on Commit { id history(first: 5) { edges { node { author { name email } } } } } } }}} ``` 查询到攻击者的QQ号 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-8bdd77b4aa967aa18a9267fc08455ff75dc14e32.png) 通过API接口查询QQ号绑定的手机号 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c921dc75024e01937ae8f42956bd5fc3fef49453.png) 4、通过手机号加钉钉好友,发现名字,想通过支付宝转帐猜解姓氏,但是目标把支付宝搜索关闭了 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-64b338cc66fcded2318f3401b4929507d87e397d.png) 只能发动群众力量在微信中搜索微信昵称,最终在一个客户群中发现该名攻击者,确实是某厂的工程师。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-db0a21c4ca735c96e1c00c96d395b867bc172908.png) XX厂商 XXX邀请攻击者加入了群聊 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-73c91d160235ef24f808314456ce694f1d0a6ec4.png) 1.4、总结 ====== ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-e03e594e3c65447e9ad1614a36dc9d0eca1823d7.png) 2.1、排查 ====== 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。在这种情况下,只能依赖这台防火墙进行深入的排查。 在与客户进行了初步的交流后,他们指出了几台可能存在问题的服务器。在登录这些服务器后,发现都运行着Tomcat服务。于是,笔者决定从Tomcat的日志文件中寻找线索。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6ff9395ac425c932a0ae1fad5d2b3d8db06b46af.png) 2、经过长时间细致的排查,发现从凌晨0时39分起有大量的异常扫描行为 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-0e01ff22795526c4b1842cf774fac53fc7565f5d.png) 在凌晨0时40分发现struts2命令执行漏洞被利用成功。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c3fc041171e8d2a3cd136f7ce8f565dfae21de37.png) 在另一台服务器发现,凌晨2时02分万户ezOFFICE smartUpload.jsp 任意文件上传漏洞被执行成功。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-2cd41a687cb3804489c5f93e4a7c4dcbc2189888.png) 3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-188f7279d18f77509463e6cd1000db2013a90139.png) 但是在威胁情报平台并未查到有效信息 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-a26d76e62a28386208d1598ccef66974afa250eb.png) 4、在受害主机上发现了frp以及fscan,frp远控服务器地址XXX.XXX.72.91 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c3bfa14b9f745e5e12f7244ff3d616f0072ad125.png) 域名反查,找到一个疑似域名所有者姓名的域名,但是搜索域名并未找到更多信息。 5、天无绝人之路,在另一台受害主机上找到了更多信息。KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-75aaecdc78b7c9196e098f9313f9d61eb5f7e44f.png) 在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.87 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-32d3ce5cf06dad1c68f0723454eed9efd150e35c.png) 2.2、溯源 ====== 1、对XXX.XX.XXX.87进行域名反查,发现存在备案人姓名(不是,真有人实名上网啊) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-d80605d3a2af518fc7b0b062b233ee6ec9df2313.png) 2、对域名解析IP为XXX.XX.XXX.87,证明现为攻击者所有 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-723cc6c02c191fb281a8c2e0cc46fcac19e2ad0a.png) 通过搜索引擎搜索,侧面证明为安全从业者 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-7b8b42cba87b708bd07afc160c90c8b88e8e0bee.png) 网站80端口为nps服务 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-91b6f857492af41dc856cd8376856cc1e85748e5.png) 3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx,和备案人的姓氏是相同的 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-a49f8d49a975b106ff985b00fdacba03e8ede093.png) 4、对xxx进行搜索,发现其csdn账号 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-1e92a03505ed47513bf2c4d36bc68cf23a25437a.png) 通过CSDN的密码找回功能,爆破手机号 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-9481a22c645f535e17f298e7a4932469429678b2.png) 成功爆破出手机号181\*\*\*\*0865 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-ee32a83f358b1d70d8ea81fafe851cfa3beacae7.png) 并且在gitee中也找到手机号:181\*\*\*\*0865,QQ等信息。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c735495a19ba8e113b405bac6ed8447e849b36f8.png) 5、使用百度云盘的找回账号的功能,输入服务器IPXXX.XX.XXX.87,可以看到手机号后四位和CSDN手机号后四位是一样的,可以确定为同一人所属。使用181\*\*\*\*0865进行支付宝转账认证,也可确认为同一人所属。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-1f6d90e3905dd7d37334aa8fbb429c352184b2b5.png) 2.3、总结 ====== 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP数字证书找到了用户常用昵称,搜索找到了CSDN账号,爆破获得手机号,域名备案人锁定了真实姓名,反向印证同一人。只是可惜没有找到明确的单位。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-0149d18c50767bbb24253e5704bd154531357aa8.png)
发表于 2023-10-07 09:00:00
阅读 ( 7977 )
分类:
应急响应
12 推荐
收藏
3 条评论
云舒
2023-10-07 10:39
刚刚去看了下csdn找回密码处,手机号只显示前后两位了,师傅图中的前三后四位是什么时候的截图呢
请先
登录
后评论
叨仔民学安全
2023-10-08 18:51
学习大佬
请先
登录
后评论
阿叔
2023-10-16 21:43
看来多开几张卡有必要的
请先
登录
后评论
请先
登录
后评论
苏苏的五彩棒
25 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!