记一次还不错的溯源

前言

参考链接：

• https://mp.weixin.qq.com/s/JXfNCIzZznn1UVXhYDzRIA

有小伙伴Sylon在群里问溯源的事情，问有没有什么方式在没有手机号和QQ号的情况下进行溯源。我：？，这能吗？

他说他同事已经溯源到了，此时我就更加好奇了，于是乎，我俩就开始了本次溯源。

目标域名信息收集

溯源的目标是update.123-xxxx.com，这个地址用微步情报社区查看一下，妥妥的今年红队hw地址。

既然已经有域名了，我就想通过这个域名的whois看看能不能得到一些有用的信息。

在平台上试了，并没有获得有用的信息，也是，红队大佬肯定要隐藏好自己。这个GoDaddy.com平台是个域名注册平台，提供兜售域名服务，但是并不能看到域名注册者的信息，所以通过域名的whois获取注册者信息这条路就断了。

查看域名解析，A记录为1.xx.xxx.56，使用微步继续跟进，发现该地址为腾讯云主机，

从小伙伴给的参考链接里，看到了作者通过腾讯云的账号找回功能，确定了攻击者手机号。同时发现，腾讯云提供的账号找回方式还是挺多的，甚至可以通过 IP 地址进行找回。我们已经知晓了 IP 地址，所以这就是我们现在可以利用的点。

获取模糊手机/QQ号

访问腾讯云账号找回链接，找回方式选择服务器IP，选择轻量应用服务器主机公网IP（限外网IP），然后输入我们获取到的 IP。按F12，一会儿我们会用到网络包中的内容。点击“下一步”。

在滑动验证码进入下一个页面后，我们进入到了“查找账号”页面。在这个页面中，有掩码的手机号信息。

不过我们要看的不是这个，在网络请求包中，有个包叫getPhoneByCondition，在它的响应包中，可以看到更多信息。

这里说一下为什么选“轻量应用服务器主机公网IP（限外网IP）”，我用我自己的 IP，选择“云服务器CVM公网IP”时，发现获取到的手机号信息是错误的，是一个没见过的手机号，莫名。。。

说是更多信息，也只是增加了一个有掩码的QQ邮箱罢了。现在我们来整理一下信息：

mail: “9xx*****@qq.com” // 这个包会展示三位，为了他人隐私，我给隐藏了两位
phoneNumber: “18*******52”

注意，手机号有11位，已经给出了4位，所以有７位是加掩码的。用*的多少来确定QQ有多少位这种方式可靠吗？因为确实有８位的QQ号，所以只能是相信——可靠。（可以用自己的号试一下，起码2022年8月5日是可靠的。）

靠运气获取手机/QQ号

得知QQ号有８位，３位确定，剩余10ｗ种组合方式。找个QQ查询手机号的网站（这我就不放了），用这些组合不停的匹配以18开头、以52结尾的手机号。最终匹配到的部分结果。

为什么选择用QQ查询手机号呢，因为手机号比QQ号多隐藏了两位，猜解难度更大。这些网站手机号能查询到QQ，QQ就能查询到手机号，一样的。

这一步还是挺重要的，也很看运气，因为有些QQ号是查询不到手机号的。接下来就是把这些手机号一个一个的带入腾讯云查找账号处进行验证，比较烦人的就是图形验证码。如果运气好的话，皇天不负有心人。

我这里是查到了，我发现个问题就是，无法在不惊动对方的情况下进行确认，一旦手机号输入正确，对方那边会收到短信提示的，emmm。

总而言之，我们现在已经有攻击者的手机号和QQ号了，接下来就是常规的方式了，上社工库。

最后通过群里询问和不可告人的方式，确定攻击者的安全公司。

总结

emm，就是学习到了在不能根据域名信息获取攻击者身份的情况下， 如何通过 IP 获取攻击者信息，这里面也有不少运气。像腾讯云找回账号这个功能啊，阿里云、华为云也有，功能比较类似。在参考链接中，腾讯云找回账号处，展示7位手机号（186****1234），我在学习的时候发现只展示4位了，说明腾讯在这一方面还是做了改进。没想到这种小细节都会被大佬利用，大佬不愧是大佬，细节没的说~

最后再说一嘴，安全公司的这个定位还是不太好弄的。如果直接百度或者 Google 网页中没有信息，可以切换一下标签，如：贴吧、文库这些东西，万一会有意外收获呢。没的说，又是一个小细节~