本篇文章主要介绍一次通过黑客跳板站点,获取攻击者IP案例。利用前期的信息收集对跳板站点进行渗透测试,一步步取证攻击者的攻击手法、工具和IP的过程。
一、事件背景
这篇文章主要介绍实操利用文件上传漏洞对跳板站点反制。这个C2来自于某方向分析报告。攻击者黑了一批正常网站然后往上面丢了诱饵文档。利用此类结合了时事热点的恶意样本再对周边国家和地区发起了多次攻击活动。
网站首页中被插入了一个iframe,该iframe会判断用户IP等信息,若是目标用户则下发木马给受害者。
二、反制过程
对事件分析的完整溯源需要明确的是who(对手、受害者), what(基础设施、能力), when(时间), where(地点), why(意图), how(方法),通过聚焦于IOC的分析、包括对事件分析、样本类型的分析,IOC的提取、威胁情报产生是各大安全厂商有力的分析手段,为事件分析提供了坚实的数据来源。而对反制攻击者基础设施获取数据对形成攻击者画像,完善攻击者链条起到了线索弥补和数据源扩充的作用。
信息收集
前文介绍了端口扫描、目录扫描的信息收集方式,Google hacking也是信息收集中的常用渠道,因为Google搜索引擎本身提供了各种搜索语法,搜索时配合这些语法可以获取到更加精确的结果,而利用语法加上特定关键字可以搜索到目标站点的目录、文件报错等重要信息。
以下是google搜索引擎自带的基础常用语法。:
intitle: 以网页标题中关键字搜索
inurl: 从url中存在的关键字进行搜索匹配
Iintext:以网页正文中的关键字进行搜索
filetype:搜索指定的文件后缀
Site:指定域名
link:例如link:www.google.com表示搜索所有链接了google.com的url
常用的通配符:
+ :强制包含某个字符进行查询
- :查询时忽略某个字符
"" :查询时精确匹配双引号内的字符
. :匹配某单个字符进行查询
而对端口、目录扫描的信息收集方式,我写了个bash脚本,半自动化完成端口扫描,然后用NMAP对端口服务识别以及对每个端口做目录扫描。代码如下:
#!/bin/bash
if [ $# != 1 ] ; then
echo "USAGE: $0 TABNAME"
echo " e.g.: $0 111.222.333.444"
exit 1;
fi
## 传入参数
scanip=$1
# 设置dirsearch目录
dirsearch="/opt/dirsearch/"
# 保存的目录位置
resultSave=`pwd`"/result/"${scanip}
# 时间保存
dateStr=`date +"%Y-%m-%d"`
# 端口扫描
portscan(){
echo "result to "${resultSave}
## 判断目录是否存在,不存在就创建目录
if [ ! -d "$resultSave" ];then
mkdir -p ${resultSave}
fi
echo "masscan scaning.............."
echo "masscan -p1-65535 ${scanip} --rate=10000 -oL ${resultSave}/${scanip}"
## 写死了masscan命令
masscan -p1-65535 "${scanip}" --rate=10000 -oL ${resultSave}"/"${scanip}
echo "masscan result.............."
cat ${resultSave}"/"${scanip}
## 读取masscan的扫描结果做处理只提取端口部分
for line in `awk '{print $3}&#