溯源含义
溯源是一个汉语词汇,拼音为sù yuán,指的是往上游寻找发源的地方,比喻向上寻求历史根源,在攻防对抗中主要是指从攻击者遗留下的信息进行反向查找,查找到攻击者的姓名,手机以及身份证号
溯源目标
|
高有效信息 |
低有效信息 |
|
姓名 |
IP |
|
常用ID |
域名 |
|
身份证号 |
物理定位 |
|
手机号 |
喜好 |
|
社交信息(邮箱,各类账号等) |
– |
|
照片 |
– |
|
籍贯 |
– |
|
社交圈 |
– |
|
公司 |
– |
溯源的入手点
1.可从安全设备告警的扫描IP、威胁阻断IP、上传病毒木马的IP、入侵IP,进行反向查找
2.日志流量,查看异常流量的ip,域名(长时间外联ip)
3.木马文件,进行逆向分析,查看外联IP。域名
4.webshell,分析webshell所指向的地址,分析shell信息
5.钓鱼邮件,查看攻击者发送的钓鱼网站ip,域名进行反向溯源
6.蜜罐捕捉,查看蜜罐捕捉到的ip,可利用mysql漏洞读取攻击者的攻击机器信息
溯源流程
IP查询阶段
Ip/whois查询阶段
站长之家:http://tool.chinaz.com/
微步在线:https://x.threatbook.cn
360情报:https://ti.360.cn/
奇安信情报:https://ti.qianxin.com/
证书查询
https://censys.io/certificates
https://crt.sh/
Ip查询
假设已经从上面的查询查到了域名对应的IP,然后就是查询ip的信息
查历史绑定:https://site.ip138.com/
https://viewdns.info
Whois备案类
IP/域名、WHOIS查询阶段——Whois备案类
http://whoissoft.com/
https://whois.aliyun.com/ 阿里域名备案
https://whois.cloud.tencent.com/ 腾讯域名备案
https://beian.miit.gov.cn/ 工信部备案
http://whois.domaintools.com/
https://centralops.net/co/
https://www.cxw.com/ 可查whois历史
https://www.alexa.com/siteinfo/baidu.com 网站关键词
IP/域名、WHOIS查询阶段——IP定位类
https://www.ipuu.net/ 国内公司,收费可查高精度,精确到街道
https://www.chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx
实人信息查询阶段——Reg007
这个网站注册要邀请码,可添加底部微信,发送自己QQ邮箱地址,晚上发送邀请码
实人信息查询阶段——搜索引擎查询
百度
搜狗
谷歌
用双引号括起来强制查询(例:“张三”)
用加号连接特定词(例:“张三”+“清华”)
用site:限定在某个网站内查询(例:site:baike.baidu.com “张三”+”清华”)
实人信息查询阶段——SGK
推荐社工人肉查询机器人:@FreeSGKbot
输入激活码SGKDBSKCLE即可免费使用
加入链接 https://t.me/FreeSGKbot?start=SGKDBSKCLE
对于安全圈经常关注的群组,比如SGK机器人群组,可以在其中搜索ID,如果有该用户,后续可以加其好友钓鱼,获取手机号等其他信息。
实人信息查询阶段——百度贴吧
实人信息查询阶段——微博
不仅仅可以搜ID搜到这个人,也可以搜到与这个ID相关的微博,搭配sgk可以找到手机号。
实人信息查询阶段——微信/企业微信
可以验证手机号真实性(如果开启了使用手机号查找)
加了好友有可能可以看朋友圈(微信)
通过微信钓鱼
注:此处的企业微信是指从微信添加企业微信好友
实人信息查询阶段——支付宝
通过邮箱/手机号添加好友/转账,有几率能验证是否是本人。
通过大额转账可以验证真名。
地区可能后续拿来做手机号猜解
实人信息查询阶段——QQ
可以验证手机号/QQ真实性
未上锁的QQ空间
公开的个人信息,照片墙等
实人信息查询阶段——钉钉
可以验证手机号真实性
公开的个人信息,有可能能找到公司
实人信息查询阶段——淘宝
通过淘宝app找回密码可获得名字
操作方法:淘宝app找回密码处-通过拍摄脸部-会提示需要*某某本人完成如下动作
实人信息查询阶段——其他
|
脉脉 |
人名 |
个人信息 |
通过人脉关系或者氪金可能能找到人 |
|
GitHub |
ID/邮箱 |
博客 |
活跃圈、代码托管、博客托管等 |
|
CSDN |
ID/邮箱 |
sgk泄露、手机号 |
老库泄露、个人职业偏向、猜解密码 |
|
各种邮箱 |
邮箱账号 |
手机号 |
老旧密码尝试、手机号 |
|
其他社交平台(如推特、facebook、知乎、陌陌等) |
ID/手机号/邮箱号 |
其他更多个人信息 |
活用各种镜像网站,可能有意想不到的效果 |
|
各种安全社区 |
ID |
交际圈、职业偏向等,有可能有联系方式 |
安全从业人员多数都有活跃的社区 |
特殊方法——手机号枚举
手机号码中间四位查询
https://www.chahaoba.com/%E6%89%8B%E6%9C%BA%E5%8F%B7%E7%A0%81%E4%B8%AD%E9%97%B4%E5%9B%9B%E4%BD%8D%E6%9F%A5%E8%AF%A2
手机号检测
http://39kh.com/promo/
特殊方法——反攻
俗话说的好,进攻是最好的防守,除了常规攻击外,推荐两个针对CS Server的工具。
CS Server连接密码爆破工具
https://github.com/isafe/cobaltstrike_brute
CS 密钥检测工具
https://github.com/WBGlIl/CS_Decrypt
特殊方法——钓鱼
您好,我是***的HR,请问您有换工作的意愿嘛,我们这边急招红队人员,薪资诱人,可以发一份简历来聊聊嘛?
特殊方法——人脉战术
本文最终解释权归本文作者所有!!!
任何公众号场、本项目涉及的任何工具,仅用于商业商业用途,不能保证其合法性和使用性,并能用于研究项目中的应用,目标和有效的实施情况自己判断;
文章、项目内场所有资源文件,杜绝任何靶本公众号、自媒体进行形式的擅自转载、发布
公众对脚本及任何概不负责包括不由任何脚本错误导致的工具损失或损害及任何法律责任;
直接使用本或公众发布的技术、靶场、文章项目中涉及的脚本工具,但在某些行为不符合任何国家/地区或相关地区的情况下进行传播时,引发的隐私或其他任何法律问题的后果概不负责;
如果任何单位或个人认为项目或文章的内容可能侵犯其权利,则应及时通知并证明其身份,证明我们将在收到证明文件后删除相关内容;
以方式或使用此项目的任何人或直接使用项目的直接用户都应仔细阅读此声明;
本公众号保留更改或补充,免责随时声明的权利;
访问本公众号的任何文章或项目,请您立即接受此免责声明。
您在本声明未发出之时,或者使用访问已接受此声明,请查看本公众号。
此致
由于、利用的信息而造成的任何或直接的此文传播后果,均由用户本人负责,作者不承担任何直接责任。
一切法律后果均由攻击者承担!!!
日站不规范,亲人两行泪!!!
日站不规范,亲人两行泪!!!
日站不规范,亲人两行泪!!!
-
专注于信息安全方面分享,传播商业性广告,不
-
关注不迷,点赞!关注!转向!评论!!
-
要投稿的请留言或者加微信,会第一时间回复,谢谢!
原文始发于微信公众号(每天一个入狱小技巧):攻防对抗—-溯源社工小技巧
