WenGui
1.震惊,扣分了!
演练平台突然被扣了 100 分,这点小分,说明只是一些简单的外部漏洞。但是这点小分,还是要溯源追回的。
2.还好,有日志。
很快,通过日志记录,锁定了攻击队攻击的域名,是一个小程序。
从流量上看,2 号存在明显的流量波动,可以重点关注这个时间段。
因为包含正常的业务流量,单单从平台上看这些流量还是很难区分攻击队和正常用户的,直接导出一些关键分析的字段,源 IP、请求行、请求体、cookie,进行本地数据分析。
通过分析,可以看到有一个 Cookie 会话的请求数量远超其他,对某个 URL 存在大量的请求,参数 userId 有明显的顺序特征,存在很明显的用户 ID 遍历行为,可以判断该接口可能存在水平越权,可以获取他人的信息。攻击队刷了数据分!
由于来源 IP 是很正常的住宅 IP,所以从来源 IP 上基本无法溯源。所以考虑从攻击队的登录会话上入手,因为这是一个小程序,需要获取微信或者用户的基本信息。所以可以直接查找该 IP 第一次登录时的流量,确认该会话的登录用户身份。