1. 概述 溯源整个流程我认为有三个部分。攻击源捕获。溯源信息输出攻击者画像攻击源的捕获是为了获得攻击者的ip、黑客id、手机号、邮箱等信息。溯源信息是为了定位黑客到具体的人。输出攻击者画像是为了给这个人一个格式化的档案方便下次查找与信息存储。 2. 攻击源捕获 攻击源捕获主要分为以下几个方法：安全设备报警，如EDR告警等。日志分析，获取攻击者指纹信息与攻击方式。服务器资源异常，如服务器上多了webshell文件或者计划任务。蜜罐告警，获取攻击者指纹信息。邮件钓鱼，其中一般有木马文件，通过对木马文件逆向分析获取攻击者信息。如果直接得到攻击者ip，那么直接到溯源信息阶段，如果无法得到攻击者ip则选择上机排查。上机排查的时候如果是linux电脑，则查看history信息还有文件修改信息，这就涉及到了linux应急响应的知识。如果是windows电脑，就查看登录日志4625，通过logontype的类型来分辨攻击者如何登陆的机器并回推攻击方法。logontype对照表如下： local WINDOWS_RDP_INTERACTIVE = “2”local WINDOWS_RDP_UNLOCK = “7”local WINDOWS_RDP_REMOTEINTERACTIVE = “10”local WINDOWS_SMB_NETWORK = “3” 得到攻击者基础信息的方式：看恶意邮件的邮件头获取恶意域名逆向分析恶意木马获取恶意ip或者域名查看机器回连ip获取恶意ip地址查看日志获取恶意ip查看蜜罐或其他安全设备告警信息获取恶意ip如果黑客使用近源渗透如直接用手机号打电话，则可直接得到手机号查看webshell的编写方式有可能直接获取黑客id，因为不少黑客喜欢将自己的id设为webshell链接密码 3. 溯源信息阶段 获得攻击者真实ip或者域名之后我们进行溯源信息阶段。 第一步：针对IP或者域名通过公网已有的开放信息进行查询https://x.threatbook.cn/https://ti.qianxin.com/https://ti.360.cn/https://www.reg007.com/ #通过手机号或者邮箱获取用户注册过的网站https://www.venuseye.com.cn/https://community.riskiq.com/ 第二步：定位目标利用精确ip定位进行目标的位置定位。第三步：收集互联网侧的用户ID收集手机号与互联网上的各种ID信息(利用google hacking)。 通过黑客ID进行信息收集： (1) 百度信息收集：“id” （双引号为英文） (2) 谷歌信息收集 (3) src信息收集（各大src排行榜） (4) 微博搜索（如果发现有微博记录，可使用tg查询weibo泄露数据） (5) 微信ID收集：微信进行ID搜索 (6) 如果获得手机号（可直接搜索支付宝、社交账户等） 注意：获取手机号如果自己查到的信息不多，直接上报工作群（利用共享渠道对其进行二次社工） (7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台，进行信息收集 (8) CSDN ID，利用CSDN老用户的一个漏洞，爆破ID手机号 第四步：通过蜜罐设备指纹进行识别前提是我方部署了蜜罐并且攻击者踩了蜜罐且获取到攻击者的设备指纹。 基本流程说明： 1、我方发现了攻击者的设备指纹ID 2、某参演单位1也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和百度ID 3、某参演单位2也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和新浪ID 4、某参演单位N也部署了该厂家蜜罐，捕获到某攻击者设备指纹ID和优酷ID 5、厂家经过查询比对，将相关社交ID反馈给我方 第五步：进入跳板机进行信息收集如果有能力控制了红队的跳板机，则可进入跳板机进行信息收集，查看命令执行的历史记录与日志等。如果主机桌面没有敏感信息，可针对下列文件进行信息收集：last：查看登录成功日志cat ~/.bash_history ：查看操作指令ps -aux #查看进程cat /etc/passwd（查看是否有类似ID的用户重点关注 uid 为500以上的登录用户nologin为不可登录） 4. 输出攻击者画像与攻击路径 攻击者画像模版如下：姓名/ID：攻击IP：地理位置：QQ:IP地址所属公司：是否挂代理：IP地址关联域名：邮箱：手机号：微信/微博/src/id证明：人物照片：跳板机（可选）：关联攻击事件：攻击路径模版：攻击目的：拿到权限、窃取数据、获取利益、DDOS等网络代理：代理IP、跳板机、C2服务器等攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等 5. 参考文章 https://www.cnblogs.com/xiaozi/p/13817637.html作者：shanfenglan7博客：blog.csdn.net/qq_41874930 ...

现如今，网络安全是近几年非常火热的一个行业，对于打算从事或入门网络安全不久的朋友来说，一直处于求学无门、无从下手的状态。为此小编将贝塔安全实验室成员分享的一些靶场环境、红队资源等个大家进行了总结，希望大家能好好利用，快速提升自己的技术水平！ 01 红队资源 1.红队资料集锦：https://www.lshack.cn/772/2.AD攻击防御：https://github.com/infosecn1nja/AD-Attack-Defense3.优秀红队资源：https://github.com/yeyintminthuhtut/Awesome-Red-Teaming4.零租资料库：https://wiki.0-sec.org/#/md5.Micro8高级攻防：https://github.com/Micropoor/Micro86.红队常用命令：https://github.com/foobarto/redteam-notebook 7.APT笔记：https://github.com/kbandla/APTnotes8.渗透测试笔记：https://github.com/Techlord-RCE/Penetration-Testing9.web渗透笔记：https://github.com/qazbnm456/awesome-web-security 01 蓝队资源 1.蓝队资源集锦：https://github.com/fabacab/awesome-cybersecurity-blueteam2.攻防思维导图：https://github.com/SecWiki/sec-chart3.AWS安全检测：https://github.com/stuhirst/awssecurity/blob/master/arsenal.md4.AWS安全工具：https://github.com/toniblyx/my-arsenal-of-aws-security-tools5.GitHub监控工具：https://github.com/0xbug/Hawkeye6. github信息监测：https://github.com/Hell0W0rld0/Github-Hunter7.服务器安全管理平台：https://github.com/chaitin/cloudwalker8.评估工具：https://github.com/guardicore/monkey9.企业安全管理平台：https://github.com/zhaoweiho/SecurityManageFramwork 01 开源漏洞库 1.乌云漏洞详情文章：https://wooyun.kieran.top2.同程安全公开漏洞：https://sec.ly.com/bugs 3.中国国家工控漏洞库：http://ics.cnvd.org.cn 4.美国国家工控漏洞库：https://ics-cert.us-cert.gov/advisories 5.绿盟漏洞库：http://www.nsfocus.net/index.php?act=sec_bug 6.威努特工控漏洞库：http://ivd.winicssec.com/ 7.CVE中文工控漏洞库：http://cve.scap.org.cn/view/ics 8.美国Offensive Security的漏洞库：https://www.exploit-db.com 9.美国国家信息安全漏洞库：https://nvd.nist.gov/vuln/search 01 练习靶场 1.124个Hacking技术的网站：https://www.blackmoreops.com/2018/11/06/124-legal-hacking-websites-to-practice-and-learn/2.vulnhub: https://www.vulnhub.com3.世界知名ctf交流网站: https://www.wechall.net4.谷歌XSS挑战：https://www.xssgame.com5.在线靶场挑战：https://www.hackthebox.eu6.vulstudy：https://github.com/c0ny1/vulstudy7.多种漏洞复现系统：https://github.com/bkimminich/juice-shop8.sql注入：https://github.com/Audi-1/sqli-labs9.红日靶场：http://vulnstack.qiyuanxuetang.net/vuln/ ...

一、漏洞利用、实战练习平台 1、WebGoat漏洞练习环境  https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy https://github.com/RandomStorm/DVWA 2、DoraBox,多拉盒 - 掌握常见漏洞攻防  https://github.com/gh0stkey/DoraBox 3、一个功能很全的CTF平台  https://github.com/zjlywjh001/PhrackCTF-Platform-Team 4、针对Pentest或者CTF的一个fuzz payload项目。  https://github.com/zer0yu/Berserker 5、Web安全实战：日安全-Web安全攻防小组关于Web安全的系列文章分享和HTB靶场  https://github.com/hongriSec/Web-Security-Attack 6、upload-labs很全的上传上传漏洞的靶场  https://github.com/c0ny1/upload-labs 7、跟踪真实漏洞相关靶场环境搭建  https://github.com/yaofeifly/Vub_ENV 8、数据库注入练习平台  https://github.com/Audi-1/sqli-labs 9、用node编写的漏洞练习平台，like OWASP Node Goat  https://github.com/cr0hn/vulnerable-node 10、基于https://www.exploit-db.com/的漏洞场景还原  https://github.com/havysec/vulnerable-scene 11、Ruby编写的一款工具，生成含漏洞的虚拟机  https://github.com/cliffe/secgen 12、metasploitable3  https://github.com/rapid7/metasploitable3/ 13、pentesterlab渗透测试在线练习  https://pentesterlab.com/exercises/ 14、轻量web漏洞演示平台  https://github.com/stamparm/DSVW 15、docker搭建的漏洞练习环境  https://github.com/MyKings/docker-vulnerability-environment 16、黑客技术训练环境  https://github.com/joe-shenouda/awesome-cyber-skills 17、web及app渗透训练平台  https://github.com/OWASP/SecurityShepherd 18、DevSecOps技能训练营  https://github.com/devsecops/bootcamp 19、injectify 生成一个便捷的高级中间人攻击Web站点  https://github.com/samdenty99/injectify 20、针对ctf线下赛流量抓取(php)、真实环境流量抓取分析的工具  https://github.com/wupco/weblogger 21、permeate:一个用于渗透透测试演练的WEB系统,用于提升寻找网站能力,也可以用于web安全教学  https://github.com/78778443/permeate 二、安全竞赛 （CTF夺标大赛） 1、Google2019CTF web 解题思路  https://xz.aliyun.com/t/5503 2、2018 第一届安洵杯 题目环境/源码  https://github.com/D0g3-Lab/AXB-CTF 3、google-ctf 包括2017和2018全部试题和答案  https://github.com/google/google-ctf/ 4、HCTF2017题目及解析  https://github.com/vidar-team/HCTF2017 5、CTF挑战平台  https://github.com/CTFTraining 6、灰帽子资源集,包括CTF、密码学、Linux攻击、USB攻击、漏洞等  https://github.com/bt3gl/Gray-Hacker-Resources 7、CTF和安全工具大合集  https://github.com/zardus/ctf-tools 8、近年CTF writeup大全  https://github.com/ctfs/write-ups-2016 9、HITB CTF 2017 Pwn题研究  http://0x48.pw/2017/08/29/0x49 10、脸谱CTF竞赛平台Demo  https://github.com/facebook/fbctf 11、CTF框架、类库、资源、软件和教程列表  https://github.com/apsdehal/awesome-ctf 12、CTF的题集  https://github.com/Hcamael/CTF_repo 13、CTF资源  https://github.com/ctfs/resources 14、CTF从入门到了解各种工具  https://github.com/SandySekharan/CTF-tool 15、p4团队的CTF解决方案  https://p4.team https://github.com/p4-team/ctf 16、ctftools 在线CTF信息网站，包括资源下载、在线工具、信息blog等  https://www.ctftools.com https://github.com/bollwarm/SecToolSet/blob/master/All.md ...

攻击溯源的技术手段，主要包括ip定位、ID定位与攻击者定位。 通过ip可定位攻击者所在位置，以及通过ip反查域名等手段，查询域名的注册信息，域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID，查询攻击者使用同类ID注册过的微博或者博客、论坛等网站，通过对网络ID注册以及使用情况的查询，定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者，如反制攻击者vps，获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。 一、ip定位技术 通过安全设备或其他技术手段抓取攻击者的IP，对IP进行定位，查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP，通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具有： 高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx rtbasia（IP查询）：https://ip.rtbasia.com/ ipplus360（IP查询）：http://www.ipplus360.com/ip/ IP信息查询：https://www.ipip.net/ip.html/ IP地址查询在线工具：https://tool.lu/ip/ 当发现某些IP的攻击后，可以尝试通过此IP去溯源攻击者，具体实现过程如下： 首先通过ipip.net网站或者其他接口，查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。 如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。 通过收集到的这些信息，就比较容易定位到人。 在通过IP定位技术溯源过程，应注意以下情况： 假如IP反查到的域名过多，考虑就是CDN了，就没必要继续去查了。 假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址，如果需要具体定位到人，则需要更多的信息。 二、ID追踪技术 在通过IP定位后技术追踪攻击者，可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息，一般通过以下技术手段实现： 进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。 如ID是邮箱，则通过社工库匹配密码、以往注册信息等。 如ID是手机号，则通过手机号搜索相关注册信息，以及手机号使用者姓名等。 例如，当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息，通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID，从而获取更多攻击者信息，从而确定攻击者的真实身份。 三、攻击程序分析 攻击者如果在攻击过程中对攻击目标上传攻击程序（如钓鱼软件），可通过对攻击者上传的恶意程序进行分析，并结合IP定位、ID追踪等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有： Ø  微步在线云沙箱：https://s.threatbook.cn/ Ø  Virustotal：https://www.virustotal.com/gui/home/upload Ø  火眼（https://fireeye.ijinshan.com） Ø  Anubis（http://anubis.iseclab.org） Ø  joe（http://www.joesecurity.org） 例如，当发现某攻击者利用263邮箱系统0DAY(xss漏洞)进行钓鱼攻击，通过以下方式可追踪攻击者身份： 1)对恶意程序分析 通过上传文件到https://s.threatbook.cn进行代码分析，可得到以下信息，攻击者在攻击过程使用了以下三个域名: wvwvw.aaaa.com  用来接收cookies baidu-jaaaa.com 用来存放js恶意代码,伪造图片 flashaaaa.cn 用来存放木马病毒 然后对域名进行反查 ...

妹子不要被网剧骗了...CTFer才不是电视上那样..1.头像基本是这个画风 2.讲话基本是这个画风3.书包这个画风4.表情包这个画风5.比赛真实画风（脸都 了 给品品还是不是你韩的类型 （大师傅见侵删 6.CTFer为女朋友准备的惊喜 A.一大桶星球杯（？）B.土掉渣的刻有1314字样的水杯（？）就是这个C.你死也看不懂的浪？漫？惊？喜？ 就是一大堆代码截图 然后说我有了他计算机的最高权限之类的 我是真的emmmmm？？ 还有给你一堆加密的文字 说里面藏了一个秘密 （呵 好像基本全是母胎单身.... 但似乎脱单了的基本都是很粘人的好男朋友.. 单纯的角色.. 7.平时跟你线下聊天的画风 哈哈哈 这个A1B2C3D4竟然”)/了我的$&;我他妈分分钟就’_~>€ 然后他的&@就不能—#^我的***了 。笑死我了。你在没在听啊？你咋不理我。哼！（撅嘴。8.日常生活 A.到一个地方不允许连Wi-Fi B.电脑上贴一堆软件图标（？ C.无论多热 无论多重 约会必带包 书包里必有一到两台电脑 无论吃饭排队等人 随时打开看两行代码 D.要以拍照片的形式记住自己一些信息 必须斜着拍 反正不能正经拍 说会泄漏被盗用 E.“B站源码泄漏 你快改密码”“XX平台有漏洞 你最近别用了” F.VX QQ全是各种技术群置顶 .... 然后闲下来把没看的消息从头看到尾 ...并配上一张表情包➕tql G.复读鸡 等等等等等等....... 总之画风大抵就是一瓶5L农夫山泉（不盖盖子）在电脑桌旁➕一件皱巴巴的衬衫➕齁背➕内心脆弱➕脸上油腻腻➕运动无能的感觉..... 但是真的很贴心 （虽然很蠢 虽然我说了一大堆 但是CTFer无论如何也是人类中的一员 还是各有特色（？）... 所以妹子不需要限定男朋友的范围... 就.. 随缘吧。（嘻 嘻） （反正我这辈子是栽进去了） （溜走） ...