溯源取证在蓝队中很重要。Web层面溯源的目的就是溯源到人，在这篇文章中也会讲到，那让我们一起来研究一下吧。0x1：梅开一度在甲方会有流量分析的可视化平台，我们可以写个脚本把恶意IP进行搜集（也可以手动记录），首先我们把搜集到的IP对接一下在线威胁情报社区：1.查看是否是恶意IP，此IP对其他网站做了哪些攻击，如果是恶意IP，上报给研判组此IP。2.查看IP是否开启web服务，尝试拿到网站权限。（要注意一定要询问是否授权，一般是溯源第一跳有授权，如果溯源第二跳需要往上报告）。3.利用ip反查域名，如果有域名利用WHOIS查询，是否能查到攻击者的一些信息。4.直接利用IPWHOIS进行反查，直接利用此IP进行定位，查出经纬度然后地图定位。这里要注意一点，经纬度有两种格式，必要时可以进行转换。这里推荐使用两个在线网站:经纬度格式转换工具软件-经纬度转换成为度分秒公式-经纬度换算度分秒单位-经纬度转化成度 (minigps.net）【经纬度查询】在线地图经度纬度查询|经纬度地名坐标转换 (jiqrxx.com)0x2：梅开二度溯源者需要刻画攻击者信息，大致搜集如下:攻击者姓名：攻击者电话：攻击者邮箱、社交软件：攻击者所在公司：攻击者博客：攻击者社交圈子：攻击者画像：在这一步中溯源者要利用社会工程学尽可能多的搜集攻击者的信息，在做溯源的过程中我们会发现信息之间可以进行反查，其实刻画攻击者画像的任务并不是很难，但是我们要确保搜集到的信息准确。一般攻击者在公网上会有自己的博客，我们可以在公网上仔细搜寻，如果能找到博客，就意味着成功了一大半，除此之外如果能拿到攻击者联系方式，可以尝试加微信、QQ等社交软件的好友，进一步的信息搜集。如果此IP开放了Web服务，可以尝试进行攻击，（注意这里一般都是傀儡机），如果能拿到网站的权限，我们可以尝试进行提权（因为此时是第一跳），如果提权成功，就可以查看登录日志等一些敏感信息，关注此傀儡机是否有反弹shell等信息。此方法主要是进行反制，故此篇文章不作过度描述。0x3：梅开三度如果能从社交网络拿到攻击者本人的画像，那么我们就可以提取图片中的元数据进行分析，下面附上exp：import exifread
import re
def FindGPSimage(filepath):
GPS = {}
Date = ''
f = open(filepath, 'rb')
tags = exifread.process_file(f)
for tag,value in tags.items():
if re.match('GPS GPSLatitudeRef', tag):
GPS['GPSLatitudeRef'] = str(value)
elif re.match('GPS GPSLongitudeRef', tag):
GPS['GPSLongitudeRef'] = str(value)
elif re.match('GPS GPSAltitudeRef', tag):
GPS['GPSAltitudeRef'] = int(str(value))
elif re.match('GPS GPSLatitude', tag):
try:
match_result = re.match('\[(\w*), (\w*), (\w.*)/(\w.*)\]', str(value)).groups()
GPS['GPSLatitude'] = int(match_result[0]), int(match_result[1]), int(match_result[2])/int(match_result[3])
except:
GPS['GPSLatitude'] = str(value)
elif re.match('GPS GPSLongitude', tag):
try:
match_result = re.match('\[(\w*), (\w*), (\w.*)/(\w.*)\]', str(value)).groups()
GPS['GPSLongitude'] = int(match_result[0]), int(match_result[1]), int(match_result[2])/int(match_result[3])
except:
GPS['GPSLongitude'] = str(value)
elif re.match('GPS GPSAltitude', tag):
GPS['GPSAltitude'] = str(value)
elif re.match('.*Date.*', tag):
Date = str(value)
return {'GPS信息':GPS, '时间信息':Date}
#http://www.gpsspg.com/maps.htm
if __name__ == '__main__':
print(FindGPSimage("1.jpg"))0x4：小结在项目中，还可能碰到病毒分析、沙盒、应急响应、溯源工具链等一系列的手段，一名高级蓝队人员也是要掌握很多知识的。