中国网络渗透测试联盟

标题: 记一次APT攻击(简略) [打印本页]
作者: admin    时间: 2014-1-7 19:01
标题: 记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。& s. w3 g3 }+ z* Y
/ u- x* N) t; y3 H1 D* T6 l$ c2 h

( W, U9 J+ Q+ e5 Z/ ~如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。) Q8 B- `9 g3 W+ y
; _/ P* ?: m5 C+ K; V7 s

0 z5 ]* u7 Z7 Z+ c- C# L因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。" }" m5 M9 ]& _* x# U& M
9 O3 Q/ W+ h( x" A% w  W0 ]6 `
------------------------------------------------------------------------------------
8 T' Y  `0 d6 R3 @2 W* u* X; k2 c4 B* k8 x8 F( g; P0 B
先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。; {, F3 A* z3 U2 N' \3 Y  l
4 h" O' O3 W0 O! }! {
第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。$ N3 y& V2 S# m4 v6 i9 Q

* l7 ~# D  \- X& F; {+ _, u4 F" w. q1 t* d: G. n1 P
毫无疑问,IPAD又奖励到了。4 E& j" t9 w3 z9 `8 S

/ z7 R1 }  U! j
7 s/ q- r$ l( p" `% q: A. v- [$ }于是我和社交网站的主管说:你要啥时候才给我部iPhone。
' }& W5 X: J+ V% j7 {' ]: _7 U9 g. ~

. w) \8 c( F/ Z8 v主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.
$ E  T$ ~/ l: ~, i6 ^8 j) [" m, R( F, Z% s# Y6 p/ k$ s
4 \( _0 J- A, \; Z
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)6 A4 ?' t6 F; S3 \! l* S* A
7 j8 M! l  d( j6 J6 i7 U/ p& t3 q
% |/ j* q( _3 ]* l* U8 w
主管回答:那就来把.打下来了给你iPhone5..
* s; C3 {* Z7 g# ^5 `3 z7 T0 t. F% [1 h. g' g$ a: g0 a) n  h. p
----------------------------------------------------------------------------------------------------------
8 k; A; e$ A, N+ z7 _A公司的外部保密做的还行,找不到几个员工的公司邮件地址。
, t7 D8 e4 k. T# ~
, H1 k7 Z6 N9 R/ n之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.) u# s, g! {( d5 u
; `. p3 I& K$ a% A4 K8 @+ I
: y% f7 [" F" {' E/ |% D3 y
好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
8 l2 H) Q* h) ^1 @& b0 w7 e3 s9 f4 L$ }1 m
/ L5 ~2 g' R- C0 r+ j: L+ _
直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差., @% j0 M3 Y" q; d7 X+ t. E6 W

1 G  y9 i4 Z# M- s1 W1 @' V+ Q" L
2 X, g! I* _( x, n对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把2 ?# ~! |) S* y' ~/ F$ O

6 E- m) J' S: m4 ^4 A' A0 W. z: d, {+ z2 x7 D
思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
4 ?+ Z2 M5 R4 f7 e, q8 e6 a  V" I- I7 C0 G$ S& B

; W9 m1 J6 p0 u! l8 N, Q7 _于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
% r6 F' p, x5 P9 ?/ `& Q0 U! C
4 ~; \, f$ {* X* s  Z
, ]4 r3 J9 ^: y; M$ Z* T3 R对方深信不疑。自然回去访问。
" ]1 K8 d4 E  A& D- a  E! e% K* f4 g6 z' {1 t

  n; B, h9 x, `4 n+ s1 U好把,大概等了几秒钟,WEB那边有session是记录了。9 M- U& M9 l4 g0 s1 {; h- O

- Z; K7 t: a; c( Q, g' B6 n( |4 G( e/ v4 T% V3 R& m
一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。
8 X7 [9 A' Y- |+ l8 j: U) U* a. U. Z! o) C1 H7 D
$ R* q% N" i7 P# t( V
我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。1 x: n% p, D( d2 U& p

! z9 {# U2 d  E8 \  M' U4 g! j
2 \8 p: p( h8 h& fA管理员说是office2007 ,这样更加证明了我的探针是对的。4 x0 s6 s  }6 ?3 B. N/ y8 i

2 B  e3 t9 y% g8 V+ E
. q# F3 q9 F* F0 W# o于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
2 t6 d7 x# K8 B$ D
* G7 W+ l1 w' W: u! f: {& ?" P) x* o- z; ?2 @
A管理自然就给了我,好把。 office 0day打之。$ U, g6 u6 o0 l
% W8 i* i6 X! m; J- I

9 a4 f; P& f* ^+ B打开远控,等着上线,可是就是没上。 出问题了。" m4 w5 @% v" T) y0 Z( e

8 p8 z) ?% M$ L% }0 G: _3 o& v% r# _+ i
A管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。$ Y6 t* d$ D7 E/ C- N4 r
2 E5 [' F2 f; |6 p" L5 H. Y

7 x, }0 }- c4 {2 G; U为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。
8 @1 G7 W" X; d& q' t
8 \: Z: u% h! P* _/ D
8 }4 D- ]6 J2 f- j: t6 ]4 b同样的对方去访问了,系统应用很多被探测到了。
# M. V; M* F0 e5 [5 Q8 S6 r
, S4 P1 P8 Z( A8 b
! y1 k7 T5 W! r, @; o  t好把,出口IP也是.14.% \+ `+ t/ x4 F0 f( t* H& _0 u
- l; k8 Y/ N. N) h( i
- v7 G2 C  L+ o5 b4 z( q5 r
没问题了。出口IP确定了。# C' M# s0 S# m( C; U

, S& g, P& E/ f+ c- K0 c- }5 e+ r0 P, s
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。
5 @7 S. c: V" e$ r  n7 Y7 O" V1 F1 q8 r2 m- N2 u) v+ k
4 I. {; M! ]! P$ K3 U+ c9 F
马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。3 r9 x2 n  b' r% g
' z/ [, I5 j" |. W& ?4 S$ G4 q

2 ~5 |4 C0 Y0 C: m* A; J0 G$ o马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
0 h4 j/ I. ]) o  \7 x3 E* a6 O3 X0 l; t" A5 g# z
. q8 ]* a. h8 F& C! Y2 b& g# P
net view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
) p, a! _, Z1 _# W/ P+ _
! Q8 E& Z/ x0 P8 Q7 m7 X
7 M# }8 X7 z# R/ P同时间通过密码记录,得到了内部Linux服务器的账户密码等。7 R+ |4 c; i; }5 ?0 w/ t! B+ G
7 S8 }0 }, l! ]

: {6 a' z, y# @# w0 _1 T/ N向主管个人PC机进攻。/ e% Y, P0 Y) c; q8 z
! z# W& R& i* e1 {' |- J
简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。6 s( N$ ~  \# F$ L

8 J6 e6 q8 y6 T( @, @* z+ g$ o) C7 g) e4 d8 e
于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。4 }$ [6 _3 t; U2 ?8 y
" q2 r7 F) T8 N3 L) g( [

9 `+ L; E! c! ~+ U: W8 B---------------------------------------------------------------------------------
+ `$ h/ A; ^  r. H4 D6 K
% ^& E7 @% m. m7 S% V# `5 n4 m& C7 p+ u1 x4 ]
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。# E. [9 ?$ o  q. c" e0 q

$ G, Y' g4 {8 e% [% i) e- }1 t* D, @
" ?3 l8 \. Y3 m( u9 h晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
# `/ B; N; L* A0 I3 f# K7 q% O2 r/ \4 p3 H9 L$ i. O* {
9 _7 @4 F% X  \# y3 M9 k
我觉得人还是别太贪心了好。贪心会出事。4 L" O5 N! `+ B% ]) T" x

4 N+ S/ T/ F! M( d- L
8 p/ Q% D* }. X' P2 b% O) Q4 p于是我坚决的把马给卸载了。8 j1 Z6 Y2 b8 z% H/ k& G3 z' k

/ T6 e  |9 K# j3 f
* Y+ w3 g0 ]1 t$ F, f8 \---------------------------------------------------------------------------------
7 v' I6 L6 ?9 H0 e& ^对于后续攻击,我的思路如下了:7 n7 N4 ^9 c9 v3 ?" G
; M2 N+ K' M# e& l$ l

6 z" L0 R% }: f: j8 Y搜集内部员工的EMAIL,探针+office打之。
: t1 D& N) P5 ?* u3 r4 H$ o) w" i' a. W! f# f4 e* c+ }$ E
! g7 v; ?0 d6 W2 f* C9 I: E
内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
3 S; `, _8 Q9 U( g3 T4 ^6 t$ ~: w% E4 i7 w. a. ^

+ t3 Y$ k& x1 o( z* B通过登录A管理员公司邮箱发邮件下手。
0 P; q9 x9 ~6 l
2 L8 Q9 T: @2 Z! `+ M4 C/ s5 z" K8 P: s' M  G
内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。, s1 H4 H" e" ^- ?$ U9 B! d
/ ^" g! E4 @. j4 h* ?$ w
厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。% y! P/ ?" k8 |7 E# o, _" Q
-------------------------------------------------------------------------------1 l# t4 j. S( L- Y

+ I% s; C% t7 y: k0 O最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。
1 ?( Z1 |/ y. D$ R



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2