找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1572|回复: 0

记一次APT攻击(简略)

[复制链接]
发表于 2014-1-7 19:01:09 | 显示全部楼层 |阅读模式
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。$ ^& R4 i, U- O
6 d7 Z* ]# X( ]
, d  m8 j9 p# R! s
如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。$ T0 {5 j/ R' ~( A
/ v# w. R# _4 H$ b% D! X

+ C) i- y" X- P7 o) ?3 K因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。
/ s6 b  R; }! X, O. J
! [7 r) r- i4 E9 n1 C------------------------------------------------------------------------------------8 P4 W3 x% q# t" ?, s/ E1 O3 E
' T3 s* f6 J* l' p' q
先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。
% Y# O  Y6 {9 k  u# v

6 E4 y( a3 U  a. K; _5 m第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。; y! u& X" }% R7 N* [& ?: F

* f. y6 s8 `2 F; D6 D+ n; E

0 |3 c: I; k, A1 A" Q毫无疑问,IPAD又奖励到了。
% o4 x/ h  U  F6 h
# W0 ]' Z% P1 q0 o
# J" Q. m/ s; b3 l
于是我和社交网站的主管说:你要啥时候才给我部iPhone。
# F: A% W' r( q+ n% I% H
2 m/ V4 H* l" S
4 P* D9 v: Z& p" M! j/ ~3 v
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.. c3 [3 Q' O9 _+ t: z- X
% F5 e9 D3 D% n

5 {9 X$ |  V0 m( ?- S3 {于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)
3 Y1 W' ]2 z6 n& O! \8 Y% w9 S3 @
7 t; i! s! d+ N) a8 @1 f

1 R4 I7 [1 t( [& m主管回答:那就来把.打下来了给你iPhone5..* l+ K* Z5 s1 g, H9 R5 {2 R( a
+ Q+ s; g2 e% c' k" [
----------------------------------------------------------------------------------------------------------8 B) ]) z/ |- T) |- k5 e
A公司的外部保密做的还行,找不到几个员工的公司邮件地址。5 h/ ]5 G/ H, U! _9 h* q
! L# G3 u6 t- a3 @
之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
4 t9 x& l( ]! r! f7 k) b, J9 I

* I0 N/ l$ S$ {好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
& u" s4 K" t& M3 u2 T% m# N3 C* D+ r( r) z) x6 C0 i. e
. |  V" g- ^0 p6 w
直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.
9 A1 Y5 K) b! E# X* e4 v
* F: x- {& B/ g: \5 {# L  j& W
! c5 t# }# a# E
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把
/ m: n# K' u% |8 m8 o+ U+ i  G& R- ~6 S6 U* I4 R1 e! O

' D" T: a( ?4 j! ~" N思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。) y  t+ \( G: f8 C7 Y( r) `

0 R- t+ U& O( ^- I4 u
: g* p9 ?- l9 h9 M( T6 x1 d
于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
: o& O) [4 s1 Y3 H( o8 m! j4 k! q
( Z+ r  ], S! i! i! ^# U" X) T
( C% C" v7 G; a6 C1 X" b
对方深信不疑。自然回去访问。- b3 b" K) v$ B% d4 P

1 f4 Q; j* P4 k+ G

( M1 t" e4 f; A9 c( j% S好把,大概等了几秒钟,WEB那边有session是记录了。& J+ l# z; u7 k/ f, M% w
3 X6 z7 i' ]7 u! n/ T5 p) S. e

, b0 g- j* ~6 Y  Q& M一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。5 \. j0 p/ @! K5 C

) ~/ q* c' j+ A* _: n

& l$ ~7 k/ |* C9 ?$ M  q1 G4 P, @我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。
. ]9 h" S: v( j7 ^
8 x  A( j. e* q3 K( @
8 w% d' O! c7 A1 P' c) }/ u. c7 E
A管理员说是office2007 ,这样更加证明了我的探针是对的。
8 e3 X' I( K& E0 c: \+ E  I3 t+ e( Y; ]" h3 q3 k, d

4 t2 P5 k8 x. G2 s9 L% K9 P于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。2 t  I( w* P5 t/ Z
9 |* [' S: ]2 x3 e. b

; m" q% a/ \$ L0 V) Q+ ZA管理自然就给了我,好把。 office 0day打之。. \. |0 u/ [' c

) `  |# F. \) j8 H$ b

! X5 N6 v! [9 _9 q2 a打开远控,等着上线,可是就是没上。 出问题了。1 R: P9 ~) f7 B
' w! m6 m8 ~% j7 u- r; q
/ W% w& R1 O1 @" I5 a4 V
A管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。3 _% y. w# a; V' g

7 {1 v6 a) @4 `+ q" h

) Y0 d- G1 ]6 ~$ A! W为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。) _& {$ u. M4 A# C1 ?/ I( ]
8 r, c, ?0 T. `( l( S$ \2 T7 v
0 b2 p1 I, L9 X0 \( E; \
同样的对方去访问了,系统应用很多被探测到了。
, }& A& F! K" v) V
4 ~+ o8 b; `" A* p& |, Z

! \8 q. y6 X) ^* N# K  ~; J% ~好把,出口IP也是.14.
/ u$ Z# T, T% r  r2 p- h
( h5 l( @+ w+ W# X

" ]5 y" x/ C  d& D# b6 J没问题了。出口IP确定了。! C+ ~7 g: [1 q5 Y8 R
& M6 T- a& K( S) e/ q) ]
- x; k1 ^0 k. j$ S; l8 ?! q
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。, g3 X! r6 z  X6 a* s" Y

9 @* \  L) h8 \/ {' A- W6 t
9 Z( G3 v( y, l4 V
马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。* i( i- C3 \9 [- X: W, ^! V

: }* ?7 ]$ s  h; {, `8 r9 b
2 C6 R+ B- d8 n8 E) H% A5 R
马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
# a' d; N2 H4 B4 J* C0 a% E- b0 p: C; `% |' H% }2 a
2 ~0 z1 N, d4 J) N& l8 H
net view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
; h  D. ?5 y$ F* A7 Q) l% }3 h
8 ~, Q. V  A$ g& K

8 ?7 \* Y) N2 `3 S) \+ [% L同时间通过密码记录,得到了内部Linux服务器的账户密码等。& g  [: A3 u% r8 \" m3 a

% c+ G( W0 @. |0 a' C" D
6 T$ N" H# y, V  y4 C) w
向主管个人PC机进攻。/ d* ~# M) T+ e9 C  D
% n0 F& y' h; U2 O9 H1 {! F% C
简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。
; M' W# X  a7 j" G# r! y+ Q1 I# j8 I" N! E

$ x" O: p4 G0 _6 C! O1 r% q于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。& j+ s) G$ M$ ], R$ U7 Z3 ]; P

9 Z$ j2 t' b% Q4 S/ \! s( ]
7 W2 _( P1 u# Y7 @! C
---------------------------------------------------------------------------------% Z* P3 B% A8 C" Y
, {1 D( v6 l3 r; y9 u7 `4 \

8 ?2 j: |# `( h" T# v; B/ e: [晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。
6 F$ T7 M, d+ D# L/ y2 E" U  w( Q. A# t* J( S& ]

% L& f7 [6 ^5 J! g9 V晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
  p5 }/ ^6 j( _' V* I( w8 {/ b# M, x+ s

+ |' H* Z" X/ ?4 ]# z9 T我觉得人还是别太贪心了好。贪心会出事。: x8 [8 s; A' G( |3 s/ d
0 m" h3 k7 k/ J/ g" o

) n! Q  W5 E. r- v于是我坚决的把马给卸载了。2 b- \( a/ o, g' m* R$ I) d0 {, Y

+ s7 h! E7 J1 R" ?1 X
, a2 n/ V& c* R! R" x8 h' P
---------------------------------------------------------------------------------" }  g" |# f+ w$ c- s9 L+ s
对于后续攻击,我的思路如下了:! d2 J' h6 d% g/ J

( _! _: i4 r0 t+ f8 q% Z: p% ^

1 R2 G0 H: o6 y5 q( D8 l& o搜集内部员工的EMAIL,探针+office打之。
+ f  g# f. O4 B9 H# B
! t) c9 R) t4 B5 D( D* c5 G  V1 I

9 r+ g  O9 X8 q, L0 X内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码. H* o' r% Y/ p1 b/ d" n4 j

( ?8 q( J1 r- _7 C/ m

; k3 F- Q  M( _3 M; }* i- K通过登录A管理员公司邮箱发邮件下手。4 _/ c" f  x& R/ D
' y/ O, R' P. k2 N- p
% }* @# `+ h6 E% Q; q
内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。) x, L- d0 k" I* N8 w! f7 H# r' W* P

' S; A; p* A5 u3 p$ M% F/ z* \厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。
5 g6 n! b- l/ j0 I
-------------------------------------------------------------------------------* d; m$ T( @& v- [, j8 N

* v0 n+ A3 Y7 e: T最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。
7 {- z5 P1 C* `9 S
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表