溯源反制案例分享（二）

sandalwood

​
云服务器
出于反弹shell，或者跳板攻击的需要，攻击者常常会使用到自己的VPS。云服务商在为我们提供便捷的同时，或多或少也都存在一些安全隐患，变相泄露租户隐私，或为有心者提供便利的查询渠道。

还是一个风和日丽的午后，一名攻击者对我方资产进行漏洞扫描攻击，攻击次数10738次。

​

编辑

该IP开放了8443端口，并搭建了Acunetix 漏洞扫描器：

​

编辑

查询该IP，位于四川成都的IDC服务器，是一台 腾讯云 的云主机：

​编辑

​编辑

这里要说到，不管是腾讯云还是阿里云，都为各租户提供了一个便捷通道，“忘记账号”，当然这条通道也为我们的溯源之路提供莫大的帮助：

​

编辑

​

编辑

​

编辑

​编辑

这条通道可以为我们提供：

       
•         手机号验证
  
         
•         域名验证
  
         
•         实名信息验证
  
  

使用腾讯云的服务器IP找回功能，可以发现该IP绑定的电话号码为 184****6377 ：

​

编辑

​

编辑

腾讯云最大的失败就是只隐藏了中间四位数字，总共只有10000种可能性，使用脚本生成10000个手机号码后进行空号清洗，基本上去掉近 7/8 的空号或失效号。

这里顺便贴一下小伙伴的文章：http://greatagain.dbappsecurity. ... ?id=6728&type=1

而且腾讯云刚好又能检测一个手机号是否开通了云主机，如下：

​编辑

只是比较蛋疼的是每次都需要拖动一个图片验证码，这样一来工作量就提升了一个档次，如下：

​

编辑

不过这也不是无解的，曾看到一篇介绍使用 python 的 selenium 模块进行自动登录的文章，有兴趣的小伙伴可以自行研究

通过上千次重复的验证过程，发现了好几个绑定过腾讯云的相似手机号，而根据服务器IP进行找回可以验证该手机号是否属于此IP，终于皇天不负有心人，找到属于 山西太原移动 的手机号：

​

编辑

通过添加该手机号为联系人，在钉钉通讯录功能中确定其名字为 x锦源 :

​编辑

百度 x锦源 ，第一条就是CISAW风险管理方向考试合格人员名单，其中泄露了他的工作单位为 中国xxxx研究院 ，该单位正好参演了本次hw演练：

​编辑

通过信息安全等级测评师也可查询到其信息：

​

编辑

有了手机号，一切就好办多了，通过手机号搜索微信名为：xxxx stars

​

编辑

祭出社工库，可查询到他的 微博地址 和 QQ邮箱 ：

​

编辑

微博中发现所在地：山西 临汾  生日：1993年6月10日 ：

​

编辑

翻看历史微博，能够找到其毕业大学：

​

编辑

QQ号为 ：xxxxx3392 ，名为 xxxxxx_M ，留言板发现情侣名为 xxxxxx_L ，通过查看QQ空间的说说查到xxxxxx_M和xxxxxx_L有互动，确定为情侣关系。

​

编辑

从QQ空间和空间相册，可以确定x锦源户籍所在地为：山西 临汾 翼城 及本人照片：

​

编辑

于此，溯源工作又告一段落。

总结：

​

编辑
​