ip反查域名网站(网址域名ip查询)

星空社 59 0

溯源取证在蓝队中很重要。Web层面溯源的目的就是溯源到人,在这篇文章中也会讲到,那让我们一起来研究一下吧。

0x1:梅开一度在甲方会有流量分析的可视化平台,我们可以写个脚本把恶意IP进行搜集(也可以手动记录),首先我们把搜集到的IP对接一下在线威胁情报社区:

ip反查域名网站(网址域名ip查询)-第1张图片

1.查看是否是恶意IP,此IP对其他网站做了哪些攻击,如果是恶意IP,上报给研判组此IP。

2.查看IP是否开启web服务,尝试拿到网站权限。(要注意一定要询问是否授权,一般是溯源第一跳有授权,如果溯源第二跳需要往上报告)。

3.利用IP反查域名,如果有域名利用WHOIS查询,是否能查到攻击者的一些信息。

4.直接利用IPWHOIS进行反查,直接利用此IP进行定位,查出经纬度然后地图定位。这里要注意一点,经纬度有两种格式,必要时可以进行转换。

这里推荐使用两个在线网站:

经纬度格式转换工具软件-经纬度转换成为度分秒公式-经纬度换算度分秒单位-经纬度转化成度 (minigps.net)

【经纬度查询】在线地图经度纬度查询|经纬度地名坐标转换 (jiqrxx.com)

ip反查域名网站(网址域名ip查询)-第2张图片

0x2:梅开二度溯源者需要刻画攻击者信息,大致搜集如下:

攻击者姓名:

攻击者电话:

攻击者邮箱、社交软件:

攻击者所在公司:

攻击者博客:

攻击者社交圈子:

攻击者画像:

在这一步中溯源者要利用社会工程学尽可能多的搜集攻击者的信息,在做溯源的过程中我们会发现信息之间可以进行反查,其实刻画攻击者画像的任务并不是很难,但是我们要确保搜集到的信息准确。一般攻击者在公网上会有自己的博客,我们可以在公网上仔细搜寻,如果能找到博客,就意味着成功了一大半,除此之外如果能拿到攻击者联系方式,可以尝试加微信、QQ等社交软件的好友,进一步的信息搜集。

ip反查域名网站(网址域名ip查询)-第3张图片

如果此IP开放了Web服务,可以尝试进行攻击,(注意这里一般都是傀儡机),如果能拿到网站的权限,我们可以尝试进行提权(因为此时是第一跳),如果提权成功,就可以查看登录日志等一些敏感信息,关注此傀儡机是否有反弹shell等信息。此方法主要是进行反制,故此篇文章不作过度描述。

0x3:梅开三度如果能从社交网络拿到攻击者本人的画像,那么我们就可以提取图片中的元数据进行分析,下面附上exp:

import exifreadimport redef FindGPSimage(filepath): GPS = {} Date = '' f = open(filepath, 'rb') tags = exifread.process_file(f) for tag,value in tags.items(): if re.match('GPS GPSLatitudeRef', tag): GPS['GPSLatitudeRef'] = str(value) elif re.match('GPS GPSLongitudeRef', tag): GPS['GPSLongitudeRef'] = str(value) elif re.match('GPS GPSAltitudeRef', tag): GPS['GPSAltitudeRef'] = int(str(value)) elif re.match('GPS GPSLatitude', tag): try: match_result = re.match('\[(\w*), (\w*), (\w.*)/(\w.*)\]', str(value)).groups() GPS['GPSLatitude'] = int(match_result[0]), int(match_result[1]), int(match_result[2])/int(match_result[3]) except: GPS['GPSLatitude'] = str(value) elif re.match('GPS GPSLongitude', tag): try: match_result = re.match('\[(\w*), (\w*), (\w.*)/(\w.*)\]', str(value)).groups() GPS['GPSLongitude'] = int(match_result[0]), int(match_result[1]), int(match_result[2])/int(match_result[3]) except: GPS['GPSLongitude'] = str(value) elif re.match('GPS GPSAltitude', tag): GPS['GPSAltitude'] = str(value) elif re.match('.*Date.*', tag): Date = str(value) return {'GPS信息':GPS, '时间信息':Date} #;))ip反查域名网站(网址域名ip查询)-第4张图片

ip反查域名网站(网址域名ip查询)-第5张图片

0x4:小结在项目中,还可能碰到病毒分析、沙盒、应急响应、溯源工具链等一系列的手段,一名高级蓝队人员也是要掌握很多知识的。

抱歉,评论功能暂时关闭!