freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次实战攻防中传统社工信息收集的溯源
2024-08-18 11:15:30

在某次值守中,发现了一个攻击IP 47.xxx.xx.119

1723443894_66b9aab678eddd5f9bd8d.png!small

上微步情报社区查询后发现为阿里云机器。

1723443860_66b9aa944cb41d2328547.png!small

我们可以通过微步和鹰图等平台反查该IP绑定的对应域名,发现攻击者IP主机开放的WEB资产。

1723443989_66b9ab1540df53e65c9e3.png!small

随后访问该开放WEB网站,发现在右下角的联系链接和捐助链接,逐一进行访问检索,在联系链接中发现了攻击者的个人博客的URL地址

1723444260_66b9ac24d2db901ad8d87.png!small

网站页面

1723444331_66b9ac6b590eae8104f3d.png!small

联系页面

在捐助链接中,发现了攻击者的支付宝和微信收款二维码,扫描后得到攻击者名字的最后一个字:**家,同时发现微信名称与提交BUG的邮箱号一致,这时可以猜测攻击者在其他平台使用同ID昵称的可能性很大。

1723447149_66b9b76d60c2e28a6a5e6.png!small

捐助页面

1723444930_66b9aec2388b6146618ab.png!small

微信转账

随后对攻击者个人博客的官方网站进行ICP备案查询,得到攻击者完整姓名信息,同时与微信转账的名字信息一致。

1723445077_66b9af55a1760e09f2656.png!small

随后在工信部ICP信息备案系统中对攻击者姓名进行反查,尝试查询该姓名备案的更多域名信息,方便我们找到切入点,可惜这个人只备案了一个域名。

1723444105_66b9ab89df03088167d96.png!small

随后访问攻击者的个人博客进行进一步信息收集,在攻击者个人博客的footer处发现攻击者的163邮箱docblue@163.com,与刚刚提交BUG的邮箱相同,可以判断邮箱为攻击者所使用。

1723445943_66b9b2b7d71eada1bf6ae.png!small

Github主页

同时,猜测攻击者在其他平台使用同ID昵称的可能性很大,根据邮箱ID的d***的进行全网平台ID名称的检索,作为信息收集的方向,成功发现了其GitHub ID、CSDN用户ID和百度贴吧用户名也为dxxxx,CSDN昵称为东莞xxx。

1723446234_66b9b3daa2c708172e3f1.png!small

Github主页

1723447079_66b9b7272131bf9aa0e95.png!small

CSDN主页

同时利用163邮箱忘记密码功能,获取攻击者手机号前3后3

1723446451_66b9b4b32049b150e3d90.jpg!small

在查找攻击者百度贴吧的发帖信息时,发现其留下的QQ邮箱,收集到其QQ号码.

1723446569_66b9b5299449010b54bbb.png!small

贴吧检索信息

1723447215_66b9b7af940c2d63b267e.png!small

QQ主页信息

随后收集到攻击者手机号码等信息,使用云闪付校验成功后,溯源信息强关联,线索链闭环,至此信息溯源完整,溯源结束。

1723446950_66b9b6a633c64cc7c8a3b.png!small

最后分享一下溯源的常用思路:

1723446986_66b9b6ca97d16ad59f429.png!small

# 社会工程学 # 追踪溯源 # 攻击溯源 # IP地址溯源 # 攻击者溯源
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者