文章总结： 本文记录了攻防实战中的溯源过程，包括两个案例：通过日志分析发现攻击IP，利用威胁情报平台和域名枚举追踪到攻击者身份；以及针对高频扫描IP的溯源尝试。文章还分享了完整的服务流程和成果，包括漏洞挖掘、内网环境梳理等，最后总结了实战经验。 综合评分： 88 文章分类： 应急响应,红队,威胁情报,实战经验,漏洞分析

攻防实战|记录一次攻防实战中流程与溯源

原创

爱州

州弟学安全

2024年5月21日 19:01 山东

0x01 前言

    本次预想发关于HVV的一些干货来着，由于最近比较忙，然后事也比较多，所以预备着下篇文章再发，本次主要记录一篇关于某次行业内攻防的为客户漏洞挖掘及溯源的记录，因为可能涉及敏感信息，所以本次简单写一下过程，溯源的过程和服务结果，关于漏洞方面因为涉及敏感信息，此处不做公开，感谢理解！

* 文章仅供参考学习、本人不对所理解过程及结果负有责任

0x02 溯源过程描述

溯源事件一：

    某天收到客户紧急信息，次日赶往现场(过程不描述)、根据现场描述，先对日志进行排查，命令如下：先对日志访问IP从多至少列出，依次排查

awk '{print $1}' access.log | sort | uniq -c | sort -nr>ip.txt

    作为我们点鼠标的猴子，当然是对恶意IP封封封就完了，封禁之后先看日志，此IP共访问一万四千余次

    然后根据IP查询WAF中近期日志，由于筛选策略原因，匹配到一千多次攻击事件和漏扫事件，并且时间集中

    导出此IP的日志，主要目的查看此IP是否查看、下载、上传等敏感操作

cat access.log |grep 111.xxx.xxx.xxx>log.txt

    通过现场描述，我先对相关业务系统进行了漏洞挖掘，并确认存在漏洞(过程不在描述)，然后通过搜索相关URL路径得到攻击者确实访问并下载了此文件(下图所示)，然后又顺手通过某API拿下未授权访问漏洞，攻击者在这之前未拿到相关漏洞(此处对漏洞过程不在描述)

    这就非常明显了，拿着这个IP去微步和奇安信的威胁研判分析看一下，历史有扫描行为，这个也正常

    然后能看到此IP下有泛解析域名，子域名不少，全都是以proxyxx.xxx.xx为主

    查询到域名备案人为朱XX，此处称为朱哥，在2021年备案更新的

    但是苦于没有其它信息，这样无法组成关联相关的证据链，正在我一筹莫展之际，想到了对于信息收集不能局限于一块地方，开始对域名进行枚举，此处使用灯塔，然后对配置文件中的key和字典放大

    然后挨个访问可疑域名，域名比较多，proxyxx的比较多，但是也有其它比较不一样的子域名，点到faq.xxx.xxx访问后，看到首页的公司名

    并且直接查询到此公司名的备案人邮箱及手机号信息，通过手机号查询到微信、某宝，通过魔法查询到微薄及其它信息

    将大概流程关联后按照模板套上之后，检查无误后，将溯源报告进行提交就可以了

溯源事件二：

    某日下午，在WAF上看到存在攻击事件，且频率很高，最后经统计查询到，此IP在2分钟内漏扫次数一万三千多次

    前往WAF细致观察日志，看一下请求包中携带的参数，因为可能有dnslog或者是log4j等代码注入，会携带一些相关的地址，可以根据这个判断到对方使用的是AWVS

    先查询到攻击方IP是在北京，思维来讲应该是台服务器，或者是跳板

   然后通过微步查询到，相关端口12345开启了AWVS，那就无疑了

    但是这台服务器没有解析域名，在微步标注的是企业专线

    关于企业专线，我这里请教了做测绘的师傅，师傅是这样回答的，然后经过我后期探测理解

    然后我换的其它威胁情报资产测绘平台，查询到此IP之前有过备案，留下了QQ邮箱，经过查询，此IP段备案是一家IDC公司备案的

    所以说企业专线有时候可能和企业有关，再或者是因为地理位置，或是相关的IP/IP段企业曾备案过，如IDC备案等一些其它的性质，都有可能是企业专线，并不一定全是跳板

    然后通过相关账号搜索到此公司名称，手机号，邮箱等信息，加上QQ一开始没回我信息，后来我向手机号打了电话，并表述我们的业务收到了攻击，需要提供相关的信息

    此负责人表示，需要提供相关的数据，会给我相应的信息，结果我给了之后他告诉我，相关机器已封禁，但是信息给不了，因为需要保护客户隐私，我心里一万次***

    不过他说的也在理，我又不是执法单位，但是我们总得把这份报告整理好吧，然后不得不以此负责人结尾，一开始我就怀疑这个家伙是不是攻击队，但是也只是怀疑，结果知道我多天后再次访问那个12345端口，仍然在开着，我就知道，写你就没错了

    到后来刷朋友圈看到，这个负责人不知道因为啥事被罚了1W，可能不是因为我们这吧，反正看着肯定违规了

0x03 服务过程及收获

    本次完整流程及漏洞挖掘过程因涉及敏感原因不公开

本次流程:1. 入场后为客户解决先行漏洞问题2. 对相关漏洞复现后对攻击队日志进行匹配后确认无误3. 对攻击队进行溯源并提交报告4. 后续先后对互联网资产及内网资产进行梳理5. 对相关资产模拟攻击队进行信息收集、漏洞挖掘等6. 对互联网资产梳理完成后继续多次漏洞扫描及复测漏洞7. 对内网环境进行梳理且进行内网主机漏洞扫描和WEB扫描8. 对内网环境进行漏洞挖掘并提交修复建议9. 对之前遇到问题进行二次测试确认无误、现场时刻盯防    (包括但不限于流量监控、日志监控、白名单监测等)

本次成果:1. 促进企业双方的公信力及安全感2. 确认攻击队5次(IP5条)3. 溯源攻击队3次(提交溯源报告2份)4. 互联网漏洞挖掘中高危12个左右(具体多少也忘了)   (包括但不限于 敏感信息泄露、未授权访问、RCE、服务弱口令、XSS等)5. 内网环境漏洞挖掘10+中高危漏洞   (包括但不限于 敏感信息泄露、未授权访问、RCE、服务弱口令等)6. 配合相关工作人员制订策略及漏洞复现说明

0x04 总结

    关于上方溯源有部分我也想不到，但是毕竟第一次接触实战攻防的溯源，有哪些学习的地方，希望师傅们多多指教，感激涕零

    本次收获满满，但是也挺累挺的，对于完成一场实战中应该做到哪些，如何理解，如何梳理资产，如何快速适应现场环境等各种情况进行学习，因为我刚出来的第一天就上火了，嘴上就起了个泡，哈哈，反正不断学习提升能力刷经验，对于自己热爱做的事情坚持下去就是好事

文章仅供参考，具体以实际情况为准

查看原文：《攻防实战|记录一次攻防实战中流程与溯源》