溯源反制常用宝藏网站大全

feifeihai

溯源反制常用宝藏网站大全

最开始想写个研判思路来着，但是感觉有些东西太基础，而且不想把思维限制住，所以直接粘上一些我常用的网站，自己也当留存一下

微信公众号：小惜渗透，欢迎大佬一起交流进步

这里考虑的是没有蜜罐的情况下，所以一般都是事件的测试IP入手，当然也肯可能测试者的payload里面存在一些域名，同样也可以查

第一步肯定是威胁情报了，这点基本都一样，我常用的就是微步和奇安信了，这里主要看的就是地址、标签、绑定域名、证书、端口情况

• 微步在线：[color=var(--a-color)]https://x.threatbook.cn/
• 奇安信：[color=var(--a-color)]https://ti.qianxin.com/
• 启明Venuseye：[color=var(--a-color)]https://www.venuseye.com.cn/
• 绿盟NTI:[color=var(--a-color)]https://nti.nsfocus.com/
• 安恒：[color=var(--a-color)]https://ti.dbappsecurity.com.cn/
• 360：[color=var(--a-color)]https://ti.360.cn/#/homepage
• feed：[color=var(--a-color)]https://feed.watcherlab.com/index/ioc
  
  

如果是傀儡机，尝试反制，这时候用资产测绘工具或namp看一下端口开放情况（当资产测绘查到一些端口开放的时候，可以用nmap来全端口探测下），我这里常用FOFA和00信安

• FOFA：[color=var(--a-color)]https://fofa.info/
• 00信安：[color=var(--a-color)]https://0.zone/
• 钟馗之眼：[color=var(--a-color)]https://www.zoomeye.org/
• shodan：[color=var(--a-color)]https://www.shodan.io/
  
  

顺便附加一个计算机常用端口查询

[color=var(--a-color)]http://www.98bk.com/zzcx1/duikou/

当然一般情况下测试者不会暴露域名，但是凡事有例外（如果真的暴露域名要判断真实性，注意下是否是域前置或DNSLOG），暴露域名的信息收集思路就不用多说了

whois：

• 中国万网域名WHOIS信息查询地址：[color=var(--a-color)]https://whois.aliyun.com/
• 西部数码域名WHOIS信息查询地址：[color=var(--a-color)]https://whois.west.cn/
• [color=var(--a-color)]https://who.is/（站长之家如果查到了不过信息被加密了，可以尝试用这个）
• 站长工具-站长之家域名WHOIS信息查询地址：[color=var(--a-color)]http://whois.chinaz.com/
• 爱站网域名WHOIS信息查询地址：[color=var(--a-color)]https://whois.aizhan.com/
• 腾讯云域名WHOIS信息查询地址：[color=var(--a-color)]https://whois.cloud.tencent.com/
• kali：whois -h 注册服务器地址  域名
  
  

证书查询：

（1）[color=var(--a-color)]https://crt.sh/

（2）[color=var(--a-color)]https://censys.io/

（3）[color=var(--a-color)]https://developers.facebook.com/tools/ct/

（4）[color=var(--a-color)]https://google.com/transparencyreport/https/ct/

之后的反查再就常规信息收集的东西我就不多墨迹了

还有一种情况就是测试方认证，那这个时候我们获取样本就可以分析，除了常规的人为分析外，还可以通过沙箱

• 微步云沙箱：[color=var(--a-color)]https://s.threatbook.com/
• 360沙箱：[color=var(--a-color)]https://ata.360.net/detection
• VT：[color=var(--a-color)]https://www.virustotal.com/gui/home/upload
  
  

紧接着就是可能会溯源到人的情况，就涉及到社工了，因为太敏感，我这里就就简单提一嘴比较常规的

• Google hack、微信的搜一搜功能、头条、抖音、微博等
• 各种平台加好友或忘记密码
• 支付宝转账
• 各大安全论坛或平台
• reg007
  
  

最后我们再写溯源报告的时候还需要定位信息，这里也简单举几个例子

• [color=var(--a-color)]https://www.ipip.net/ip.html
• [color=var(--a-color)]https://chaipip.com/aiwen.html
• [color=var(--a-color)]https://www.opengps.cn/Data/IP/ipplus.aspx
  
  

---

ok，流水账就写到这里了，大佬勿喷，就当个网址收藏吧，最近演练也是太累了，天天都在997，新电脑买了块两周还没碰呢，加油，等结束后还有一大堆0day等着复现呢，哈哈哈哈嗝