溯源反制思路奇思妙想

0x00一次溯源反打实战经历在某集团hw行动中，溯源人员发现了有一个ip尝试漏洞利用，微步查询为恶意。图片首先查看解析的域名，发现都是很久以前解析的，基本上都是无效的。使用微步社区的graph功能，发现这台攻击服务器有搭载过ARL和Viper。至此可以确定，该ip是黑客的VPS。图片历史探测的端口都关闭了，灯塔和Viper都没有办法访问。尝试对攻击IP进行全端口扫描，发现该服务器对外开放了5818端口，通过访问发现该端口部署了内网穿透工具NPS。图片图片首先尝试用NPS的弱口令登录，未成功。NPS存在历史漏洞，可以利用脚本绕过登录认证，获取该登录页面的用户名密码脚本地址为https://github.com/carr0t2/nps-auth-bypass利用该漏洞，获得了攻击者NPS账号密码xxxsec/xxxsec@2021，其账号和密码中都包含了黑客的id。图片在微信公众号上搜索，发现了有一个相同id ………………………………