介绍两个小脚本，在溯源的工作中，使用频繁，根据客户的需求来，我在项目上客户要求，不管啥IP，只要有攻击行为就开始溯源。一下子工作量就上来了，每天都拿到大量的IP，项目快结束的时候，直接过来了全部的IP。

一开始在虚拟机里使用大佬的工具

https://github.com/Bywalks/TrackAttacker

来帮助我识别有备案的，先查询有备案的溯源，其实几率很小，但是也占有溯源里的一部分

我也想不明白为什么会拿自己博客的机子进行渗透攻击行为

后来有因，研判需求，找到了一个可以调用微步API识别是否为恶意IP的脚本。是人家二开的，都虚拟机运行。

https://github.com/Qc-TX/TraceAttacker-V1.1

其实这个也根据项目来，有的项目直接有外网蜜罐，好用的一批。我这样的只能通过蛛丝马迹或者技巧来找到一些信息了。

批量反制，找到黑客傀儡机

先讲个小技巧吧，在流量监控设备上看我们有时候会看见一些只有一个恶意ip，只打了一个漏洞，然后光速消失，其实这个就是一种傀儡，类似于僵尸网络？这里直接从设备上，把它的payload脱下来，反打回去，你就会获得这个主机的shell了

然后再到机子上进行溯源，就是简单的上机溯源了。

如果IP很少的话，就最后一天导入GOBY，进行批量扫描，找到web服务，或者其他的一些漏洞，你别不信，做安全的机子上还有漏洞？还真有。

一些常用的web端，比如ARL，这神器我以为就我用，原来大家都用，ARL我这里除了看看有没有默认口令 admin arlpass。就反制不下来了，有没有大佬偷偷告诉我有啥洞没。

GOBY导入了恶意IP后，最有工作价值的体现就再暴力破解账号上

一些趣事

比如溯源到最后，发现丫的谁家网关打我们，还是弱密码直接进来了，比较充满神话色彩

某日获得IP，nmap扫描有web服务，打开web服务，友商官网。。。。。。。。。。。

ip在微步上一搜，评论区说了，这个payloads为友商使用。。。。。。。

文章转自渗透云笔记