记录某项目中一次较为顺利的溯源反制过程

扫码领取网安教程

从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。

时间

202X年7月19日下午，刚睡醒就发现上午好像漏了一条攻击告警（简陋的图，体谅一下），还好为时不晚，先上报再溯源反制一下。

起因

此番攻击时间上相对连续，可以初步判断为扫描器，然后受害ip数量较多，猜测可能是一次针对性的攻击，攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。

反制

威胁情报平台上跑一下发现并未被标记恶意IP：

无所谓，礼尚往来，你扫我我扫你，上dirsearch！很快就发现了突破口：

是的，朴实无华的phpmyadmin，朴实无华的弱口令，朴实无华的拿shell。初步判断，该机器为傀儡机，攻击者通过phpmyadmin日志写入shell拿下了这台机器。这里还疑惑什么马子26MB这么大，后面才反应过来这是日志，感情这26MB也有我贡献的。
弱口令root/root:

在数据库中找到了我方的资产，再一次确定了这个就是攻击资源。
日志拿shell:

随后上线CS，获取账号密码：

信息收集一波，发现开放了23389端口：

随即远程桌面过去，但是未在傀儡机上发现其他账号和服务，也没发现有异常连接，只有一个程序一直再运行：

这个应该就是扫描器了，像是python写的，第一感觉就是。看运行界面，应该是一直在扫备份文件的，先下载到本地再分析。

分析扫描工具

解压工具，全部文件如下：

看工具介绍主要就是扫描和爬虫的功能，那就反编译一下试试。
这里需要一个工具，pyinstxtractor.py。用它来进行解包操作，这个文件复制到待解包exe 同级目录下，运行如下命令（python3）：
python pyinstxtractor.py xx.exe
两个exe反编译后就是这样：

进入main.exe_extracted文件下如下：

需要注意的是 1.exe.mainifest 和 1.pyc 网上的教程上来说 1.pyc是没有后缀的 但是后面也需要改成pyc后缀，这里直接就有后缀，如果没有的话就加上。这两个文件是源文件本身的名字，不管后面exe叫什么，它打包之前就是这个名字。1.py是我解包后的文件，这里可以忽略它。
还是这个文件夹往下看有一个struct.pyc的文件：

经过测试，这个pyc文件可以直接反编译出来，安装uncompyle 来反编译文件，命令如下：
pip install uncompyle
如果电脑安装多个python版本，建议再执行一下
pip3 install uncompyle
反编译命令如下：
uncompyle6 struct.pyc > output.py #将struct.pyc反编译为output.py

但是直接反编译前面的主程序会报错：
打开这两个文件进行比较：

前16个字节是不一样的，后面的能编译，前面的不能，按网上教程给它改成一样的，将后面的前一段复制到另一个pyc文件里，就可以反编译了，还是用上面那个命令。

这里给浪子哥的球球号打个马赛克：

追踪url_check来源：
还是先读取了输入的一个txt文档，也就是程序中的test.txt,将这里面的url当作初始url，去访问他们顺便进行扫描，然后在这些url网页中爬取新的url，再存入check中，新数据来源就是网页中爬取到的链接。这里也解答了为什么受害IP数量众多的原因，并不是针对性攻击，而是因为友情链接带的有！

这里的扫描后缀除了常规的一些备份名字之外，还会使用域名作为名字去扫描，挺不错的。然后除了扫描备份还有一些其他的敏感信息，好像还看见了struts2的一些漏洞利用扫描，但是在攻击中没看见。浪子哥还是有实力的。

总结

这是一个不针对任何行业仅仅为了扫描网站备份的程序，通过网页上的友情链接达成无限扫描的目的。

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

给大家分享我自己学习的一份全套的网络安全学习资料，希望对想学习 网络安全的小伙伴们有帮助！

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。【点击领取视频教程】

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取技术文档】

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本【点击领取书籍】

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇

这份完整版的学习资料已经上传CSDN，也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】