顺着网线去给对面一个大嘴巴子实战

前言

HW期间真的是钓鱼邮件满天飞，但又总是擦肩而过，就像站在天台上的尼奥一样。不过今天终于一封邮件发到了安全研究的邮箱里，欣喜之余，决定溯源看看，能不能摸着网线去给这傻逼网友来一大嘴巴子。

溯源之路

1. 附件分析

首先从邮件中把附件临时人员xxx.zip下载下来。直接打开当然是不行的，就算这个文件以zip结尾。所以首先要先判断一下这是个什么文件，使用file命令查看一下：

file命令说这文件就是个ZIP压缩文件。如果对file不那么信任的话，可以再手工判断一下，使用HEX编辑器打开该文件查看：

从HEX编辑器的分析结果可以得到2个信息：

1. 确实是个ZIP文件，文件内容是以PK开头，就算后缀被改成exe也执行不了，至少操作系统不会认为这是个可执行文件。
2. 这个ZIP中包含了以exe结尾，但命名中包含docx字段用于迷惑的一个文件。

双重确认直接就可以对该文件进行解压了，居然还有解压密码，大概是为了通过加密机制绕过邮件的木马扫描机制。解压得到了一个exe文件，其文件名是关于调整薪资结构及发放方式的通知.docx .exe，中间带了一段空格，方便分析起见，把文件名修改成fish.exe吧。
至于可执行文件的静态动态分析，就直接扔到微步云沙箱上梭哈就行了。经过微步平台一段时间的运行和分析，发现该可执行文件在执行的过程中会对一个外部IP发起网络连接：

这样，我们就拥有了攻击者的服务器IP信息。

2. 网络分析

首先使用Archon对该IP的开放端口进行扫描，可以见到该IP开启了许多端口。

根据微步沙箱的分析结果，该可执行程序访问的是45234端口，具体的URL是http://IP:45234/VVXY。使用curl对URL请求数据，发现是一堆乱码，应该是加密数据，忽略了也罢，还有很多端口可以研究。
通过浏览器访问3333端口，居然搭建了一个gophish，赤裸裸的一个钓鱼管理后台。尝试了一下gophish的默认用户密码，显示密码错误。

通过浏览器访问5003端口，是个灯塔资产管理平台，这次使用默认的用户名密码居然登录进去了！

尝试进行文件上传，结果服务器返回了500错误，罢了换下一个端口。

使用浏览器访问1022端口，发现一个SQLI-LABS！要说上面的钓鱼管理后台或者灯塔没有漏洞，那这个专门用于SQL注入练习的平台，可就是满满的漏洞了，关键在于，如何化漏洞为己用，如何把SQL注入升级到getshell。

SQLI-LABS的攻略很多，随便一搜就有，其中第7关Less-7可以使用SQL语法into outfile对外部写入文件，从而在服务器上写入webshell。首先使用Less-1确认了一下当前用户是root：

然后通过Less-7在网站目录下写入一个webshell，结果发生了Error 13，没有权限：

突然感觉到事情不太对劲，开放在公网的SQLI注入漏洞，应该不会这么简单。这时通过Less-1执行SQL语句load_file查看一下该服务器Apache的配置情况：

从上面可以看出，SQLI-LABS的服务开在的是80端口，但对公网的端口则是1022端口。真相只有一个，这如果不是docker环境，难道还能是Nginx反向代理吗？
瞬间就失去了getshell的兴趣，因为就算getshell成功也是在容器环境中，至于容器逃逸就更麻烦了。这样看来，也就没有必要再对其他端口进行渗透了，在容器盛行的时代，大概除了22、21等特定端口之外大概率就是容器。

我好菜啊。

社工分析

在渗透上的失利，转而在其他方面寻找突破。发现钓鱼邮件的发件人是个qq邮箱，邮箱名对应的就是QQ号，所以虽然希望不大，但也值得一试。

在QQ上搜索对应的联系人，居然是个10年Q龄的号，资料齐全，竟然不像是个专门用于钓鱼的Q号。至少如果最后溯源无果，说不定可以加QQ来人工渗透。

在百度上搜索该QQ号，发现这个QQ号在贴吧上卖灰产。

追踪该贴的发帖人，虽然信息没有多少，但是都挺关键。从下图中可以获取的一些信息：

1. IP归属地在北京，可能是最后一次登录的时候
2. 关注了【钓鱼】吧，不知道研究的是哪种钓鱼
3. CSGO玩家，还直播开箱，生日是6月1日
4. 吧龄和发帖量都比较真实，应该是真实的用户，但是能查看的发帖就只有2条
5. 用户名【xx空xx】，和QQ的昵称能对应上，应该是同一个人

在百度上能搜到的线索就这些，随着互联网的闭塞，百度能搜到的基本也就百度自家平台上的信息，除了贴吧就是百家号。我们换个搜索引擎再对该QQ号进行搜索，虽然只有一条结果，但是非常关键。QQ信息是正确的，网站名包含【空】，和贴吧昵称和QQ昵称也都能对应上。

然而该网站打开，显示连接超时，应该是下线了。不过可以通过搜索引擎的网页快照查看文字内容：

该网站上的内容有灯塔、Gophish、Github-Monitor、SQL靶场，都是上述网络分析中扫描端口对应的内容，但这次，除了IP和端口之外，还得到了一个域名！在网页快照上查看，该网站还写了不少安全方面的技术文章，看得出是是个业内人士。一直浏览到网页快照的底部，吃了个大惊——

一个钓鱼网站居然还做备案？通过备案查找，直接把该网站域名和所有人的姓名对应上了。

溯源到此也可以算是成功了，但成功应该是种激励，而不是终点。回到该博客网页上，对该网页上的一些链接进行点击，找到个写着个人网盘并备注着好康的的链接，随即进入看看。是个Win10风格的Web网盘页面，主站已经无法访问，而子域名网盘站居然连访问限制都没有，难道是蜜罐？

网盘里东西也比较杂，通过一段时间的信息过滤，在一份写着课程设计报告的文件里发现了个人信息：

这下子所有信息的获取到了，从学校、专业、姓名、学号等。罢了罢了，学点东西何尝容易，有心实践更难能可贵。

后记

所以在此提醒各位钓鱼邮件的发件人和收件人，一定要注意保护好自己的个人信息。