文章总结： 文档分享两个攻击者溯源案例。案例一针对扫描IP反制，利用Weblogic漏洞获取权限并解密控制台密码；案例二针对阿里云IP资产，通过备案信息、社交账号及支付宝等渠道，深挖出攻击者真实姓名、身份证、手机号及其学生身份与Hvv经历，展示了完整的溯源情报收集过程。 综合评分： 84 文章分类： 威胁情报,社会工程学,红队,实战经验,应急响应

溯源案例解析：我是怎么一步步找到攻击者的

原创

Ikun Ikun

0xSecurity

2026年1月23日 18:19 广东

事件发现

2023年xxxxxx，114.116.x.x对我司xxx资产x.x.x.x进行大量扫描攻击，属于违规攻击时间。

反制

通过对攻击者ip的溯源分析，ip地址为北京联通IDC服务器资产，搭建cs，已被标记2022红队标签、1条IDC服务器相关。

对该站进行网站信息收集，发现开放7001端口，搭建weblogic服务。

经过测试，发现存在CVE_2020_2551漏洞，上传webshell进行连接，拿到权限。

执行命令

翻阅网站信息，找到boot.pripoerties文件，存在加密账号密码

将图中.dat文件下载到本地，使用解密文件解密weblogic账号密码。

登录到 weblogic 控制台。

事件发现

2023年2月9日11:50:18，47.xx.xx.45对我司xxx资产x.x.x.x进行扫描攻击。

溯源

通过对攻击者ip的溯源分析，ip地址为上海市阿里云资产。ip网段有过hvv、红队、搭建Cobaltstrike历史。

5

5的微步在线情报结果

对该ip进行信息收集，发现开放以下端口。

访问443端口，发现搭建网络安全博客。

对该ip进行域名反查询，发现该ip绑定域名xxxx.top。、

通过该域名，查询备案信息，发现该注册该ip真实姓名为xxx

根据已有信息对该人进行网络信息找到该人身份证、和手机号。

| 姓名 | xxx | | — | — | | 身份证 | 3xxxxxxxxxxxxxxxxxx | | 手机号 | 18xxxxxxxxxx | | QQ | 11xxxxxxxxxx |

通过QQ查询，昵称为xxx，与之前查询昵称一致。

加好友

查看该QQ空间，发现此人为学生，学校为xxx学院

曾经有过挖 src 经历。

在微信查询该手机号，昵称为xx。

在支付宝查询该手机号，通过了实名校验。

2022年6月份参加网络安全相关面试，推测为hvv面试

2022年7月26日凌晨发空间，为2022年hvv期间，推测为在hvv值守。

通过溯源发现，此人多方昵称均为 xx,对该昵称进行百度、谷歌等搜索，找到其 CSDN、github 账号。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecurity Ikun Ikun《溯源案例解析：我是怎么一步步找到攻击者的》