中国网络渗透测试联盟
标题:
记一次APT攻击(简略)
[打印本页]
作者:
admin
时间:
2014-1-7 19:01
标题:
记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。
. a" _8 D) ]6 R: V& m) D* B
/ O7 P' p9 O$ |$ \6 r) A9 ?* {) V
$ m7 i' Z' I# k! l$ K; L
如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。
! \# K( m t( O4 T/ R8 r
' O' a5 X8 G# B" m6 H! `
; u9 h# a6 P9 G+ b
因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。
' |" L- h @0 p$ k' ?( w% e) U+ h
0 }( z( V0 A2 H$ N
------------------------------------------------------------------------------------
. d S- V* s5 H" t
& M0 u! x. R+ V3 N! i
先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。
3 |7 i% R/ H. r8 G
3 H/ Q k: O3 M! i( C9 y
第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。
) g) L' Z( b' Z& B z: D/ [
/ h% Z, q: X0 K) @0 ?( g
" O1 s6 J6 Y) S$ \& k7 g
毫无疑问,IPAD又奖励到了。
3 m* {% _, J+ Q( E x5 a
1 o' V' X5 ]6 r: @2 w3 d; m
7 J8 U' @- Q# o
于是我和社交网站的主管说:你要啥时候才给我部iPhone。
/ s; r- ~4 D3 I: H2 D1 |/ a$ |
& v/ I2 F) M! e9 w
7 j4 | M+ Y6 C: I
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.
! R% X& x$ X/ [7 `) B- u) z5 }! D
0 V }5 o" p% d6 V8 T
1 }5 s+ S1 f* ~& E1 Y5 g( ^9 r6 h. O
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)
4 [" c* b+ M, b! [) c
6 J% q% K) [. U2 ~3 c- `- c: c) L
* E4 p/ h- W0 y) \ x# k' R& ]: Y5 H
主管回答:那就来把.打下来了给你iPhone5..
, H! p# h( w* x, w; X; y( T" `* Q
) ~1 J) ]) {" e$ g F
----------------------------------------------------------------------------------------------------------
! U" N* F; l0 `9 e ]# |
A公司的外部保密做的还行,找不到几个员工的公司邮件地址。
4 R3 ^. i& d" N/ E2 P' `
7 \+ G8 d; h# L3 L
之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
& q( }4 W+ E4 z8 a0 L
1 t, @( s0 `: F2 T
9 s# t9 O/ k5 i
好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
3 S8 y3 j) T, @4 }8 [
" q# ~. A% g% n" z
3 m5 e+ x# l( D) S% N
直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.
8 I7 q( _6 m2 l( b
6 g6 ]" S0 c# y: E5 L
7 s1 E& c o5 }9 a& Y5 V, @
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把
6 M- \4 N0 E& Y9 S" o6 o
1 D9 U, l3 l" Q# ~4 d1 g
" ^) B# _9 D- g% x/ H7 r
思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
; W/ ?# E$ m5 Q+ S# e
& k) a9 v1 ]# k. S) @
( K9 R8 l$ w# j3 P# W
于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
1 d8 [1 E2 |. a9 x' g9 A& d6 d
, G% a8 C7 ^: L$ e& K% U! z
% `/ r- u* g; X, x% M: U( ~+ q
对方深信不疑。自然回去访问。
; U0 H8 I% S8 G; ^7 g
1 A9 |& c: M. M7 B4 B' d
. T' ?8 c( U, P5 {- \( x: a- Z
好把,大概等了几秒钟,WEB那边有session是记录了。
' v# n! k0 M( [* r9 v
& h3 q) F1 }4 @/ x c H* g/ [
* }5 A( W# j8 C+ N
一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。
那管理竟然是裸奔。。没装杀毒软件。
8 P5 |: h& q3 F* ~
5 B+ L) }/ v# e
0 @ m( [6 {+ j4 t# f w6 q
我很委婉的问了他office版本是多少,说我装的是office 2013 怕兼容不好 打不开。
2 F2 k5 ?4 `# ^! D
5 L3 w! `/ ?! |5 r8 E, X2 a
! P3 Q; W \3 G- \
A管理员说是office2007 ,这样更加证明了我的探针是对的。
# H$ g' m: Y# r9 z
/ L# ?4 [; y+ T& r4 y/ z) V
{1 q. ^* q; @6 ~" C
于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
- s) h- ~- O* C/ n$ ^5 P
4 F& d9 i ^2 Q: O
( N$ k0 u0 F3 G+ z1 Z) H* ~# p
A管理自然就给了我,好把。 office 0day打之。
2 ~: X9 C3 c$ S
" \0 ~7 A7 M; A; G! y6 U" S7 ~! N
% ?$ @- A5 a J3 s* P
打开远控,等着上线,可是就是没上。 出问题了。
: R+ ]# A' C* S$ m& [7 ]
0 X$ ]- N. N3 V4 y U
, u) L3 B/ g7 Z. @0 q" x5 q
A管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。
/ R5 x _4 V' r* @1 B$ V+ @2 m
: Y+ Z f) ?6 A+ A9 Q" I7 [$ R8 v
( C* G, ~. O8 [3 K" x4 Y7 |0 Q5 }
为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。
4 u# v; g" ]' ]; `0 s
" t1 U8 s. [2 E4 f: k
! k4 x. K; M" e+ B9 f! B$ ]- l' Q/ A
同样的对方去访问了,系统应用很多被探测到了。
6 H1 d; i' L5 s7 y- I$ i8 l% t% M: M* g
' y( {9 a* u, A1 B
) B+ D$ A, J% M# I9 x2 x
好把,出口IP也是.14.
$ T: j% O& S# U3 B2 H4 W3 z
" H) K" {7 t7 T; e
. ~: e- k$ U, A0 K. }! B9 l1 p
没问题了。出口IP确定了。
9 R; p2 c1 B2 o$ o2 @
* w" ~2 y6 ]4 D2 D( b5 C( ^# q
5 y w/ m4 r' g
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。
, ?2 D; c# M8 X- K- j) r/ A* ^* {
) L1 b' h/ j# \
0 x3 \# U' t) Y
马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。
/ e' z, ]* i( M) U: ]
; J- k8 ^5 Z& [- x R
0 } `/ L) R ~0 A4 F
马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
/ y! V# M9 M7 P
! ^' V( H7 G3 L$ A: T4 |0 [) X
7 ^8 U- [- B* p* W7 K
net view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
, P3 W S* C" K* Y+ a9 Q
$ [ z" h' o% O5 U1 b2 O; t0 @
3 C/ e6 H5 [1 z
同时间通过密码记录,得到了内部Linux服务器的账户密码等。
9 Z6 D d8 L# X6 j4 U2 {
( X- K* I5 l' Z( Z" o
" n. R1 L8 v" ], Z. B9 \/ J
向主管个人PC机进攻。
6 b$ E3 G. q7 D. p
( S& x% x! {* W6 Q+ ]7 C
简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。
) `. {5 j6 F+ J. |
S( P6 F+ X! f- f- R% U2 ]
" K5 L/ Z! h ]7 F F1 n
于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。
, Q$ i* Q% {" a' J0 n7 g
+ G7 z% F# V4 c# P
4 ^0 L+ Z- {, |' B. r, F+ E
---------------------------------------------------------------------------------
7 N2 G% y) r, W3 L1 n3 b# U9 S
, ?" g; [5 A: g7 X0 z( S
1 r* {5 z1 g, M9 U) F# k6 z
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。
* t3 U# n9 o" t* s# T
6 S' [3 K0 N F% a6 v3 z/ z( a4 l
3 Y' c, }8 t0 A, u6 f% V1 r
晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
0 X% B# t9 P/ s) r! p$ [5 V D1 G" H
9 X4 _# }7 _. F7 D; @5 O3 K
2 T1 B1 V: G5 b
我觉得人还是别太贪心了好。贪心会出事。
$ E( {) l. O# O) U
6 I$ L/ P+ q) M9 q0 h
8 u/ Q Z @+ m9 t P; C
于是我坚决的把马给卸载了。
+ X) `* P/ v( n! J
( p0 d( _0 f! d+ y7 Z, V3 r; q
5 o- }8 h( a& X/ t) b5 l
---------------------------------------------------------------------------------
' \) J1 K) H* u( `1 p
对于后续攻击,我的思路如下了:
& Q# P4 M; h! _' D& ~) ^9 U2 Y
3 i; m2 c) \* B, j: E0 B& `2 f
- M; r& C7 U, t& w' h
搜集内部员工的EMAIL,探针+office打之。
' c2 z5 m! }0 O( E
$ W6 K8 N8 ~. f5 T" e% Z
4 }" S% G2 n$ Z$ ?
内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
3 ?1 J4 m* s/ L! V
! x! y: |: s% ]8 f0 i& {( N0 W
$ `: K' e, C# k3 q6 ]) A
通过登录A管理员公司邮箱发邮件下手。
, p3 E6 n5 |( W5 b4 H! H
7 `2 M! O9 l' [* y! F2 x" w
! x! q3 x) Q' o, e' q6 S
内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。
( b4 e3 r; o4 X2 D. s6 ?
7 |* x+ s2 y" `! ^9 G t* l
厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。
0 n% o9 @" c- P/ d! I4 @
-------------------------------------------------------------------------------
4 k) t+ z* m. N' | z0 o
+ r L+ d5 [) }- T- T1 |1 b5 j) q
最后:我也学着玩微博了 :
http://t.qq.com/Axis_2 求关注, 谢谢。
# `: ]& P) u5 v; D
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2