工作中对溯源反制有帮助的两个小脚本
介绍两个小脚本,在溯源的工作中,使用频繁,根据客户的需求来,我在项目上客户要求,不管啥IP,只要有攻击行为就开始溯源。一下子工作量就上来了,每天都拿到大量的IP,项目快结束的时候,直接过来了全部的IP。
一开始在虚拟机里使用大佬的工具
https://github.com/Bywalks/TrackAttacker
来帮助我识别有备案的,先查询有备案的溯源,其实几率很小,但是也占有溯源里的一部分
我也想不明白为什么会拿自己博客的机子进行渗透攻击行为
后来有因,研判需求,找到了一个可以调用微步API识别是否为恶意IP的脚本。是人家二开的,都虚拟机运行。
https://github.com/Qc-TX/TraceAttacker-V1.1
其实这个也根据项目来,有的项目直接有外网蜜罐,好用的一批。我这样的只能通过蛛丝马迹或者技巧来找到一些信息了。
批量反制,找到黑客傀儡机
先讲个小技巧吧,在流量监控设备上看我们有时候会看见一些只有一个恶意ip,只打了一个漏洞,然后光速消失,其实这个就是一种傀儡,类似于僵尸网络?这里直接从设备上,把它的payload脱下来,反打回去,你就会获得这个主机的shell了
然后再到机子上进行溯源,就是简单的上机溯源了。
如果IP很少的话,就最后一天导入GOBY,进行批量扫描,找到web服务,或者其他的一些漏洞,你别不信,做安全的机子上还有漏洞?还真有。
一些常用的web端,比如ARL,这神器我以为就我用,原来大家都用,ARL我这里除了看看有没有默认口令 admin arlpass。就反制不下来了,有没有大佬偷偷告诉我有啥洞没。
GOBY导入了恶意IP后,最有工作价值的体现就再暴力破解账号上
一些趣事
比如溯源到最后,发现丫的谁家网关打我们,还是弱密码直接进来了,比较充满神话色彩
某日获得IP,nmap扫描有web服务,打开web服务,友商官网。。。。。。。。。。。
ip在微步上一搜,评论区说了,这个payloads为友商使用。。。。。。。
北京刚毕业,大专,有没有招人的啊,求收留。
相关文章
- 优秀后端都应该具备的开发好习惯
- struts2 ognl 正则表达式-asp
- 循环队列出队-数组循环队列
- vc60修改快捷键-MSDEV.EXE-应用程序错误解决办法
- c语言程序设计总结心得-C语言程序设计小结
- 聊聊工作中常用的Lambda表达式
- aop事务管理-Spring事务实现原理
- 复杂链表的复制-图解数据结构之数组、链表、栈、队列
- ognl和el表达式有什么区别-struts2 调用OGNL表达式使用方法(EL废弃)
- e语言-E语言是指什么
- 实战总结!18种接口优化方案的总结
- “2022安满周-网安法治日”干货满满 三城四报告重磅发布!
- [安满周]公安部第三研究所发布《网络安全法治社会建设专题报告》
- “2022安满周-网安法治日”,12月13日举行2场专题、2场区域报告发布会
- 分库分表经典15连问
- [安满周]“遏制网络违法犯罪行为”专题调查报告发布,多层次呈现相关调查结果
- [安满周]调查活动将与复旦大学联名发布报告
- 后端思维篇:如何抽个通用上报模板
- 字节国际支付十连问
- [安满周]“2022安满周-科技服务日”上海、哈尔滨、重庆召开四场报告发布会