本文分享了如何通过目录遍历漏洞发现黑客服务器，并进行数据分析。作者通过测绘数据获取存在漏洞的网站，分析网页结构，采集全量链接，并进行威胁分析，包括恶意软件识别、黑客主机识别和数据泄露检索。研究发现黑客利用Python启动的http服务器导致目录遍历漏洞，泄露了黑客工具和受害者信息。文章从数据获取、数据分析两方面展开，为网络安全从业者提供了有价值的参考。

🕵️‍♂️ 数据获取：通过特定语法搜索，从测绘数据中筛选存在目录遍历漏洞的网站。作者使用了多种网页标题搜索语法，如“Index of”、“Directory listing”等，以获取目标网站。

🌐 网页结构分析：采集每个网站的全量链接，分析网页结构。作者观察到两种常见的网页结构：URL位于body标签内和table标签内。此外，还需特殊处理递归采集URL时遇到的特定目录格式。

⚠️ 威胁分析：对获取到的数据进行威胁分析，包括恶意软件识别、黑客主机识别和数据泄露检索。恶意软件识别基于多引擎结果和文件后缀，黑客主机识别则从黑客工具入手，如扫描器和内网穿透工具。数据泄露检索则关注docx、xlsx、pdf等文件。

🛠️ 识别黑客行为：通过分析黑客服务器上的文件，识别黑客使用的工具和攻击行为。例如，通过查找procdump、mimikatz等工具，以及扫描器Shuize，可以判断服务器可能被黑客控制，并进行进一步的安全评估。

原创 花十一一 2023-01-18 12:08 北京

01

—

背景

偶然机会在推上看到一篇有趣的帖子，黑客的服务器存在目录遍历漏洞，泄露了服务器上的目录文件，主机上存在不少黑客工具和受害者的信息。

分析网站数据包发现黑客通过Python启动的http服务器，造成了这个问题。

在过去几天里，我每天从测绘数据中捞取存在目录遍历漏洞的网站，然后对相关目录文件进行分析。下面将从数据获取、数据分析分两个方面展开聊聊。

02

—

数据获取

从测绘数据中寻找存在目录遍历漏洞的语法一般是基于网页标题搜索获取，具体如下。

title="Index of"title="Directory listing"title="Collection listing"title="listing directory"title="list documents"title="folder listing"title="Content of folder"title="collection of repositories"title="listing of"title="Index for"title="Listing folder"

利用以上语法可以根据X情报社区网页标题Top50排序找到目录遍历漏洞搜索的其他测绘语法，进而获取更多的数据输入。

03

—

网页结构分析

获取到网站数据后，接下来需要采集对每个网站的全量链接，目前我看到的网页结构有两种。
（1）url写在body标签内

（2）url存在table标签内

另外在进行递归采集url的时候，会碰到如下格式的目录，也需要特殊处理下。

（3）采集完数据后，可以将获取到全量数据计算hash调用S沙箱接口批量判黑白，这里我们取两个字段"威胁等级"和"多引擎结果"，多引擎判断结果可以提供样本归属类别的大概信息。

04

—

威胁分析

（1）恶意软件分析

恶意软件识别有两种思路，一是基于多引擎的结果进行筛选，搜索threat_level(威胁等级)是可疑或者安全且多引擎返回结果不是白的文件，二是搜索文件后缀，比如exe、dll、lnk等，这种搜索会搜索到不少正常文件，简单根据文件名称略去正常文件，把可疑文件丢到沙箱看看。例如：http://152.32.165.82:8000/，根目录下存在procdump、mimikatz、pwdump等转储hash的文件。

（2）黑客主机识别

识别黑客的一种思路是从黑客工具入手，形如扫描器ARL、Shuize，内网穿透工具frp等，例如主机81.70.x.x，根目录下存在扫描器Shuize。

分析文件网站下其他目录，其扫描了xxx88.com。

（3）数据泄露检索

检索docx、xlsx、pdf的文件类的url，可以根据文件内容、文件名称确认泄露的单位。

阅读原文

跳转微信打开