找回密码
 立即注册
欢迎中测联盟老会员回家,专门使用25年老域名强势回归
查看: 1011|回复: 0

记一次APT攻击(简略)

[复制链接]
发表于 2014-1-7 19:01:09 | 显示全部楼层 |阅读模式
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。2 \' U; P1 y+ d# ~1 U! H& \
! {" i3 e6 B& r$ g

6 s. ~! S% w6 h) g如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。& t$ F1 ^: O4 u- L3 Y! P

# F. l! y0 `! z; h+ ]9 W
8 d: O& O" p- n9 Q9 D因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。. D* L' @) ~$ k/ ?; d1 {

0 q3 c  n0 P, j------------------------------------------------------------------------------------& ~* W& V; ~2 `9 q4 e% X  j

0 d2 D: W4 p6 X* t" F( w先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。
+ d* R5 G' R0 W' T& G5 e* L

" J( d7 O  U, ^; O# _4 ~. F/ z  M第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。  X$ k- L3 {0 q& H& Y" B" A3 D7 X

) G  w3 b! Z" I5 Q- f. G) x' `
' y( s$ ^9 N. u8 q0 ?
毫无疑问,IPAD又奖励到了。
/ ]: J, n( U6 C$ e, Y, H! m' X* \6 X9 o) z6 |/ \5 ~) |% Q. s1 |8 V

% W) R& [% z! u8 B/ _- t4 i于是我和社交网站的主管说:你要啥时候才给我部iPhone。
/ H) N& V' k+ |0 J( F/ r, A9 E% M# ?" g. q
" P2 w/ d9 N* l+ ^0 c1 }; n5 k$ y
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.
" p+ l0 K0 t5 M2 n8 Y9 {  S* A! B( z  f% H' i4 Q- O* K9 m* ~" a

$ Y0 ^9 }2 G+ W+ F  R5 \于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)
. h& B- b. y0 V' U* |& h
" |! s& m+ Q( T
  h- ]. b: q% l: R2 L' A
主管回答:那就来把.打下来了给你iPhone5..
4 V9 y8 r) y- c- l8 @! r; Y$ |8 x, k3 g+ t3 n: q1 Q! J& @
----------------------------------------------------------------------------------------------------------1 ^6 P0 D# x  f1 k! J$ `5 d
A公司的外部保密做的还行,找不到几个员工的公司邮件地址。% S+ T" u+ B% G8 p* H& A# P

- @# b7 M! C& r, Y" d. m之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
; X7 T% E7 g! g2 Y( \7 D
5 U8 z9 [: ~" S: @# c; j8 W/ w

; e2 r* i0 `; s  C好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
7 u) F  G5 l8 L" I, [* `  d9 G, V

: D" U4 ^( y0 j7 `7 b直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.6 V; k4 a% p% `% u" S  S

' L$ N( C7 `. y* A/ b1 M% u4 |
" E% M- p+ W5 \& y7 ]/ v
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把
/ I+ ^: I- F& o  R
" ~8 n# ?7 k# j* K' a" O: F

& E0 M  L( v+ _  E  R; y9 t5 w思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
6 j, Q+ b0 q. z* V  f4 C1 w7 \6 G  F

9 V; F- u# b2 H( R- }; ]于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
/ ^! o' d* W3 U5 [/ U2 V5 ^7 e6 H

4 E8 @+ V. ]1 h6 Z+ h9 F# G1 _对方深信不疑。自然回去访问。2 j, n4 ~/ K4 j% o

1 a$ `1 X  l% j# A- w

. m! b7 X. D' H3 K  ?& g/ D好把,大概等了几秒钟,WEB那边有session是记录了。
  f" w4 W5 {6 h- o6 c+ w
9 y- W8 p/ N" o' H& Y* t
$ G5 x/ `2 D3 {# K: K, M0 [5 i3 c7 X
一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。: w, V- Q2 d/ U' H+ L$ U
- l; y: x5 k* \& S: H

: Z% M" J* M$ j) u3 A% F我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。; d( W( S3 r7 y' d- h

3 [) e; G" I& V& h: _
; R' E5 u" y$ Y9 ~" x# \4 ^
A管理员说是office2007 ,这样更加证明了我的探针是对的。
/ W+ o) {0 R! c) ~7 N6 }
6 v& C" h$ h" Y0 `- T
" s  w; a, w6 h
于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
: }$ x' ^! F! h/ _& B8 g9 v7 T( x& f/ m9 ^! _% J3 u" s9 c4 A

" E' H. ^/ {. c# c) d. qA管理自然就给了我,好把。 office 0day打之。6 z5 E& k! a7 {/ e- H! q, S. l3 ?0 g
; g" g7 p) }2 c, n+ S

  O$ J* g' p- d" u' |打开远控,等着上线,可是就是没上。 出问题了。
7 r9 C! e2 ~: g/ d
& l- [7 H, c5 E& P$ n- W) u; Q& l; U

4 j. T% b! a/ f( H7 r8 kA管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。
9 u: W' [- q1 m. i" \
/ h/ W4 i  K: s; W- O- d& ~
1 \; ?: M  ]+ G0 ~6 i
为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。
7 o. q+ d( l) Q/ e. ?4 y, q' n' ^  f' k$ w
. ?' D! k1 ^$ `  l0 {& {
同样的对方去访问了,系统应用很多被探测到了。! Y2 L/ L/ O% T& V5 |5 ?

, n* H% }: n' h+ c
7 L0 b* p* B3 K& S) u
好把,出口IP也是.14.
& E8 w; E! M# e5 k1 W7 m( I# M, x8 E' R! B& m( c6 E% H
6 t' m8 n0 [, ?* W! E5 Q% Q
没问题了。出口IP确定了。
9 F& q3 e0 z( \+ Y. h1 u4 l( L: M
0 ^7 z/ O( A7 {0 x& Y) |
1 k' M  \0 L3 S4 @& I: i0 W
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。) u; E; a  b: Q; ^& P" Q
. u: F) H' B) B
1 O6 v" |# o$ c  H
马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。
7 P9 E! Z$ x' q. j1 U
0 l4 F4 C8 g/ I. Z# v2 A7 l
6 G# }* l9 m4 p4 K+ O, T
马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
/ m3 W( p. n* o" c
3 V7 y! Y0 ~, g, x

& c' u1 Q6 Y/ h4 gnet view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
" h( k' Y9 |; v" ^, F+ ~
$ {& _6 S7 Y9 u2 U0 C
! V) s. ^6 u( }  C5 H4 \, `
同时间通过密码记录,得到了内部Linux服务器的账户密码等。2 O# M& j1 ]) K! E  Q$ K2 Y# H

  Q( i8 f" l4 F

3 o0 M+ X+ {1 j1 ~- D向主管个人PC机进攻。
" m/ R* p6 j/ V5 G4 e7 }% J) i

% J+ b7 k. D$ _简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。: V5 f" Q6 z& T# y6 z2 i

) J  M! [9 f4 `9 y+ L+ T
# T# n5 H' q5 M: j5 c6 b5 t
于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。
6 n8 C/ G$ a& [- d5 [
$ [% \- s% l5 O( T: ?* X

( ?& P6 V1 @+ |; e2 e; ]---------------------------------------------------------------------------------5 S, F& h6 I$ g
4 d2 A- S1 `/ f: I6 [0 _
) o' N2 v/ Z. h
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。% \% T% }. w7 M+ L* y0 v

$ Y5 F3 Y/ i2 d5 n! Y! ^( P/ d7 ?
- w2 P: i' `+ X! p/ H. L
晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
+ f  t$ ?- K$ W
' n3 I8 D, I, I0 e2 O

3 e+ B" t4 c, b  J我觉得人还是别太贪心了好。贪心会出事。( ?8 {% Y1 c  e! [# U; O2 J

+ @1 Q! @% F. z1 Z8 |! ?
* G1 \: |! z' M; G/ y- W& ]
于是我坚决的把马给卸载了。% v, L( \5 W* n1 t( W0 Z- Q
, b3 `- M7 b0 h( C& k; }

. x/ Q* v" g5 M! Y---------------------------------------------------------------------------------
6 {4 L8 Y6 |) X+ x对于后续攻击,我的思路如下了:
& b6 r+ o" v8 [" _, A+ O
5 R) N! W# n. J: [4 ^$ i* E4 \

2 u, \% @$ ?# s- c2 w3 A  g搜集内部员工的EMAIL,探针+office打之。, o0 m# j! X; Q! S) p0 ?
! A  @6 j) E. D& T

& e! e1 V$ b2 E# _内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
8 t) Q' k+ j/ C) f( h/ u) ]
: p# B- t3 `( A% B
3 l! g8 Q6 x" P$ b# ]% l
通过登录A管理员公司邮箱发邮件下手。
4 }/ U* w4 o* R# y2 t( \7 t1 C4 ~9 y, [' T4 P1 f7 H' ]3 k
2 ?2 I" @& o1 e- S2 Z4 ^
内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。
0 F" v' _% r- z2 b4 R- U: F/ k
# n6 U+ t' \+ |! j. c厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。
4 w2 w* O3 h# P: ~9 n. k( O) h
-------------------------------------------------------------------------------
) L9 M2 J: \- @- n, p& `  o
  V' Y: N4 ?7 G! @0 D
最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。
- G  d6 C2 k5 q* x+ L0 ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表