实战 | 记一次Everything服务引发的蓝队溯源

0X01 前言

事情的起因非常有趣，我的一位学长最近在研究的时候发现了好一批部署在公网上的everything服务，并且找到了非常多好玩的东西（包括但不限于某些涩涩，咳，扯远了）。本文也是因为这些everything服务而一时兴起的“伪溯源”。本文有很多的姿势和思路来源于我的学长，鸣谢@T1ngtu0

0X02 一位黑客把everything部署在公网，这是他服务器发生的变化

这个开头也许有些兄弟就会云里雾里，everything大家都知道，快速检索文件的神器。但是这玩意怎么部署在公网上呢？其实everything有一些配置，一旦开启这些配置，就可以在WEB界面上使用Everything了。这个点非常有趣，因为它也是一种权限维持的手法。具体的文献我贴在下面，有需要的师傅可以学习一波

https://www.freebuf.com/sectool/261723.htmlhttps://www.freebuf.com/articles/terminal/246682.html

总之，这不是我们这篇文章的重点，everything web界面看起来是这样的（这就是我们今天的受害者了）

就在我查看这些everything资产研究人生百态的时候，我发现了这么一个有趣的服务器。

嗯。。。在桌面上发现的这些东西似乎证明这位兄台是一个网络管理员，但是我定睛一看，桌面上一个熟悉的文件夹引起了我的注意

难不成世界上还有第二个CobaltStrike？这人不会也是搞网安的罢？怀着难以置信的心情，我查了查其它常用的工具

都到这份上了，我只能说懂得都懂了。这搞网安的人，就这么把everything堂而皇之的放在公网上，这安全意识没谁了。

0X03 模拟蓝队溯源

我研究的方向是渗透测试和红队相关的技术，突然让我来搞溯源，这还真有点难顶。没有蓝队的技术栈，那我就只能以红队的视角来尝试了。做蓝队的师傅看个笑话就行。

首先抛开这个everything服务不谈，我们先来看看这个服务器是否开放了其他服务。

由于对方使用的是CS4.0并且没有经过任何修改，所以fofa等测绘引擎可以直接识别到beacon指纹，这就进一步佐证了这人在服务器上使用过CS。同时不难注意到，这台服务器上使用了ssh以及rdp服务，如果我们能搜集到凭据，那么就有机会直接打穿。

话不多说，我首先想到的其实是Powershell History，这也是凭据搜集阶段常常会看的东西。它的保存路径如下

%USERPROFILE%AppDataRoamingMicrosoftWindowsPowerShellPSReadLineConsoleHost_history.txt

细看了一波，本意其实是想找到Teamserver相关的账密的，这里没找到，但是仍然发现了很多有趣的东西

首先是这个shadowsocks 的 config.json配置文件里可能找到账密

其次是我们发现这位仁兄使用scp命令往别的服务器拷贝了文件，这或许会成为另外的突破口

同时通过翻Desktop的文件，找到了一个配置文件，结合这个域名，不难推测这就是这位兄弟的真名

通过查找config.json相关的文件，我们找到了挺多包含密码的东西

但是后续发现还是登不上ssh和rdp，故先作罢。查找Weixin等关键词，发现这台电脑上安装了微信、QQ

从中可以找到这台主机上曾经登录过的两个QQ

这里放出一个来意思意思，另外一个因为涉及到对方单位的信息，还是不截图放出来了。总之通过下面这个图的信息可以给这个服务器的主人简单画像。他是某某学校的老师（通过另一个QQ号的信息已经定位到了是哪个学校）

既然是老师，那么电脑上肯定有非常多别的与教学相关的文件，以及学校内部的一些文件。这里尝试查找.doc .docx .xlsx等文件。

进一步可以得到一个更精确的画像。这位老师教的东西主要和网络管理员有关。在另一份文件里，找到了大量老师的名字。

其中还找到了大量保存学生信息的表格，不过这和我们这篇文章没啥关系，后续也利用不上，这里就不放出来了。

还有哪里可以获取凭据呢？我突发奇想，如果这人用CS在本机上做过实验，使用mimikatz提取过凭据，那么相关的信息就会保存在CS的log文件夹里。翻一翻说不定会有收获

可以看到雀食有收获，但是这个NTLM HASH解不出来。白搭。

还有哪里可以进一步获取凭据呢？我找了一下常见的浏览器，发现了火狐

有这个就好办多了，firefox的凭据可以离线解密，详情可以参考这篇文章

https://blog.csdn.net/weixin_46081055/article/details/119413505

把这俩玩意下载下来解密即可。

最终解密得到这位兄弟的私人QQ号以及私人手机号，加上常用密码以及规律。

使用该密码，可以登录他注册过的大量网站，比方说

再比方说他写过的语雀文档

可以看到这人雀食是xx学校的老师，甚至还教学生渗透。类目，我还是自学的CS呢，不见有人教我。

这些密码甚至还能登录上这兄弟的腾讯云（这里是不是挂代理，把IP挂到这个老师常用登录城市就行了？）

0X03 结语

自己就是做安全的，居然会犯下把everything直接部署在公网上这种低级错误，属实是不应该。如果给蓝队溯源到这个C2服务器，估计底裤都被看穿了。

原创投稿作者：L@2uR1te