域名溯源工具【蓝队hvv溯源利器】

最新推荐文章于 2024-06-16 11:00:16 发布
最新推荐文章于 2024-06-16 11:00:16 发布
阅读量350 收藏 2
点赞数
文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dawn3am/article/details/132137560
版权

一年一度的hvv又要开始了,根据往年的防守经验,于是写了一个批量域名溯源分析工具,用于提升计算机安全工程师对红队攻击的反查追踪能力。

0X01 成果展示

1.在文本框中输入域名

2.点击开始溯源按钮,然后等待查询成功窗口出现后,点击导出EXCEL表格

3.对备案查询一列进行去重过滤,我们可以看见所有的单位名称,甚至发现某些域名的主体单位是利用姓名注册的

0X02 何谓域名溯源

在hvv中,我们将会捕获大量的攻击IP地址,C2地址,通过IP地址的域名反查,我们可以获得该IP地址的域名。这时候如果红队人员曾将该域名用于ICMP备案,或者红队人员使用公司的网络进行渗透测试时,我们可以根据域名的历史备案信息获得对应单位名称,下面我将会通过磐石行动一个例子去溯源追踪攻击单位。

1.如下所示,某位蓝队防守人员,分享了情报地址182.9*.**9.69

2.我们可以根据威胁情报,确认该IP为来自阿里云的恶意地址,存在扫描、漏洞利用的攻击行为,但是很可惜的是,在微步的域名反查中,我们未能发现该IP地址曾经绑定过的域名

4.此时,我们可以通过佛法来对资产进行扩充,然后发现artificial.grassla******lat.com这个域名的SSH服务

5.于是我们利用站长之家的历史备案,便获得了主办单位名称为XXXXX互联网有限责任公司

0X03 追踪过程的困难点

步骤0X01中磐石行动的例子所示,我们可以利用站长之家的历史备案手工查询,但是真实的国家级hvv中,每天我们可能要查询的域名数以万计,难道依旧手工一个个查询不成?

这时估计会有师傅说,我们可以撰写一个爬虫,调用站长之家的API接口,这里我们可以简单看下价格,如果师傅们能够接受一天几百元的API调用,那我就没有什么想说的了

所以接下来,我们可以看下站长之家的历史备案查询机制,通过XHR过滤,定位的红色方框里的接口

然后我们看下传参的系数,和返回的Response数据

正常的思路,便是这里直接构造数据包发起请求,然后利用正则表达式处理html数据即可,但是却请求失败,burp的抓包如下所示,可以发现后端对前端的请求进行了验证。

再次回到前端,可以猜测http请求的构造方式应该时在这两个js文件中

可以看见调用函数为Query()

可以发现js文件已经被加密,我们无法看见具体是发送了怎样的http请求

所采用的加密方法为jsjiami.com v7版本

先后去该官网上,github上,必应上,均没有找到针对最新js7破解的工具

于是决定手工破解,这里过程十分复杂,我这里给出四个关键参数和关键方法,用于构造http请求头

其中ts为时间戳,token为key和ts的MD5加盐式加密,rd为随机值,key为特殊算法需要进行破解,这里可以展示下利用C#编写的破解代码实现,具体源码打了马赛克,主要考虑到破解传播别人的程序可能会面临刑事诉讼的问题,感兴趣的师傅可以自行破解。

0X04 注意事项

考虑到该程序可能会因为破解站长之家的API,会引来法律诉讼和牢狱之灾,该程序只是展示给大家看,感兴趣的师傅可以自行去破解jsjiamiv7.0的算法,开发对应程序。

Dawn3AM
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全 hw 蓝队实战之溯源
zxcvbnmasdflzl的博客
04-03 882
网络安全 hw 蓝队实战之溯源
溯源小技巧(邮箱、域名、电话、qq)
ZeroDay001的博客
02-04 819
正常来说,他们都会做代理来发邮箱的,但是有些人没做,看到IP其实没什么大的用处,因为这是当时发的IP地址,打个比方,我在甘肃的某个地方边走边发的邮件,然后发完我就走到了其他地方,IP再发一次也会随着变化。再说另一种情况,就是用服务器来发送邮件信息,如果找到服务器的IP地址,万一他是用国内的IP,再绑定国内的域名,然后他还实名了,这不就溯源到了吗(哪里有那么完美的场景,也不排除可能有)有些whois查询能带来意想不到的惊喜,比如可以看到这里有他绑定的qq邮箱而且是没有隐藏的那种。直接点击箭头所指的地方。
HW行动的应急溯源、防御和对抗.zip
07-01
2020-09_护网中的漏洞 2020年全年度CVE漏洞表 2021实战攻防企业红蓝对抗实践指南-长亭 2021HW _ 溯源反制终极手册(精选版) 2021HW参考 _ 溯源反制终极手册(精选版) 2021HW行动红队作战手册 大厂护网试题和答案.docx 攻防实战演习总结 红队全栈学习导图 红队全栈学习导图 红队视角下的防御体系构建 红蓝对抗中的溯源反制实战 护网攻防演习防守方案V1 护网Linux应急处置操作手册 蓝队视角下的防御体系构建 蓝队视角下的防御体系突破 如何反打红队BadUSB 如何应对护网行动 溯源手册V2.0 一次攻防实战演习复盘总结 应急响应实战2020最新版 2021实战攻防企业红蓝对抗实践指南 HW防守锦囊
网络安全 HVV蓝队实战之溯源
VN520的博客
04-15 1153
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯源到公司,一个是溯源到个人。
蓝队 | 溯源反制 | 溯源技巧
哦 卷!
06-16 664
通常情况下,接到溯源任务时,获得的信息如下其中攻击 IP攻击类型恶意文件攻击详情是溯源入手的点。通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实IP地址。端口扫描命令执行爬虫恶意文件DGA 域名
红队最常用的三大工具
weixin_68789096的博客
06-27 322
Cobalt Strike可能是红队(包括许多对手)今天最常用的红队工具之一。Cobalt Strike是一个功能齐全的商用渗透测试工具,由Strategic CyberLLC公司提供。该工具被宣传为“对手模拟和红队行动”,但其重要的定制和功能导致很多威胁参与者出于各种动机也会使用它。Cobalt Strike还整合了各种其他后期开发工具,例如Mimikatz,以扩展其功能。
攻防蓝队技能篇:溯源
ZL_1618的博客
08-02 410
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯源到公司,一个是溯源到个人。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 399
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
蓝队分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让蓝队分析难度也...此款工具重点解决蓝队分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理地址问题等
高级蓝队溯源手册(实战指南)
03-11
溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。 目标: 掌握攻击者的攻击手法(例如:特定木马、...
攻击应急溯源的一些常见思路.pdf
09-13
蓝队溯源常见思路
2023年HW蓝队面试题
04-26
蓝队一般分为初级监测组,中级研判组,高级应急溯源组; 流程介绍:一般开始前会进行资产梳理,并通过漏洞扫描,渗透测试以及基线检查等做一些自查,一是可以减少暴漏面,二是减少一些风险点。有些厂商还会利用几天...
BlueTeamToolsV1.08蓝队分析研判工具
最新发布
07-18
BlueTeamToolsV1.08蓝队分析研判工具
护网|蓝队防猝死手册(新手必知必会)
MachineGunJoe666
08-04 4411
HVV期间,蓝队主要就是通过安全设备看告警信息,后续进行分析研判得出结论及处置建议,在此期间要注意以下内容。
网络安全 hw 蓝队实战之溯源(仅供参考学习)
yy1715713348的博客
10-27 782
网络安全 hw 蓝队实战之溯源(仅供参考学习)
站长必备溯源教程-绕过CDN查找背后IP的方法手段
qq787387207的博客
03-09 1172
一般邮件服务器在内部,没有CDN解析,邮件返回的域名IP可能是真实IP,比如邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,从而获取到网站的真实IP。很多时候,一些重要的站点会做CDN,而一些子域名站点并没有加入CDN,而且跟主站在同一个C段内,这时候,就可以通过查找子域名来查找网站的真实IP。大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
蓝队溯源反制一键利用工具
公众号:乌云安全
03-13 639
NPS存在一个身份验证的缺陷,无需登录,直接进后台,后台功能点全都可以用。但是这俩参数的生命周期只有20秒,20秒过后就需要重新伪造,利用的时候,经常失效,还要不停的复制粘贴。最近做攻防演练发现了很多内网穿透的工具,其中最多的就是nps,红队老哥好像还挺喜欢这个的,真的是多,每天导出攻击IP,浅浅扫一下端口,基本都能发现这个nps。蓝队利器溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用。插件所有的功能集成到了Burp的右键中,首先访问nps站点,拦截请求包。
wireshark 溯源
08-31
Wireshark的溯源功能可以通过使用Tshark命令行工具来实现。Tshark是Wireshark的命令行版本,具有更好的灵活性。在安装Wireshark时,默认也会安装Tshark。使用Tshark可以对网络数据包进行捕获、分析和解码。 要进行溯源,可以使用Tshark的过滤器功能来筛选需要的数据包。通过指定源IP地址或目标IP地址,可以过滤出与特定主机相关的数据包。比如,使用以下命令可以筛选出源IP地址为192.168.0.1的数据包: ``` tshark -r input.pcap -Y "ip.src == 192.168.0.1" ``` 这个命令将会读取名为input.pcap的数据包文件,并只显示源IP地址为192.168.0.1的数据包。 除了IP地址,还可以根据其他特征来筛选数据包,比如端口号、协议类型等。Tshark提供了丰富的过滤器表达式,可以根据需求自定义过滤条件。 通过使用Wireshark以及其命令行版本Tshark,可以有效地进行网络数据包的溯源工作,帮助分析网络问题和故障排查。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Wireshark使用技巧](https://blog.csdn.net/Fly_hps/article/details/79960850)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值