中国网络渗透测试联盟

标题: 记一次APT攻击(简略) [打印本页]
作者: admin    时间: 2014-1-7 19:01
标题: 记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。$ R1 w, H$ e% j. `2 s0 V

5 s+ ?6 a1 M8 Z5 B/ l# A" V
9 a2 G& f' k7 t: G7 [如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。/ C$ _" m, D* m1 K/ m* G: Q# N

3 l) f: H8 n, d; }+ h0 V6 ]& O) h, m- f" g$ y7 u- u
因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。9 i/ k' ?# j0 e& {
! h; f% h  W3 j. n. A
------------------------------------------------------------------------------------. [3 ?" I6 q. j4 O+ N

- S& Z: t* @/ J+ w4 K% p先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。
) U, x: d! T* g( y2 ~7 P1 G) [5 p) u8 [0 }' `) P2 K7 S% A: A0 h8 X
第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。3 {% U4 r* {& K; L" g
2 h: j7 [" b) ^1 N

/ Y7 V3 r9 G/ H/ @* _7 M* s毫无疑问,IPAD又奖励到了。- P& k- i3 H8 s3 V, s( V

, f' I. j% E8 }, U; P$ y0 r) t: o8 D1 w6 ]7 v% U% L( [% c
于是我和社交网站的主管说:你要啥时候才给我部iPhone。
2 z2 J1 z5 T# s+ Z9 x$ D2 `+ S/ z8 o  {# [
6 l1 X+ D! f) G
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.8 T: T2 [% B" m7 M& \
  D3 Q& i% Q" E. E  {# S7 f6 f2 Z+ Q& s
3 n: E/ D# ~1 ]+ B- A1 R  L
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)# \/ S% E' k! @

7 ?' {2 G" O- y. G2 ?, C2 N) Q4 B1 i! b( \0 }
主管回答:那就来把.打下来了给你iPhone5..5 Y' U+ R% n4 u+ Q) u
& f, e! `6 S3 p( K; J3 P
----------------------------------------------------------------------------------------------------------; N4 K0 Y! D  Z' d
A公司的外部保密做的还行,找不到几个员工的公司邮件地址。# V3 E) x1 s* ]/ O9 L

$ y7 O. `+ H+ E之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.) i' \- T+ E$ o' Z! d" {; M+ L" b$ M
- [& J7 `4 [! P

/ i8 G) N+ b- Q& J( {好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.' s7 N( S# X% R7 m$ x
* r" b1 c3 j& d3 n

3 f2 T( M9 O/ {直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.
9 A3 {% d, {( l. c  e/ b. F7 A% a" L5 t/ V
0 i2 Y: s$ z" p6 ^7 A% V% {
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把
/ }5 }) H9 L6 D* d* U$ P* }# O) |; C9 \6 o# U! d$ ^

( P) V+ s" h; g; N思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
  {1 S" x* V5 s6 E) r' n, C5 D! U+ a

. h9 ~0 j0 b4 }; J8 s8 K: g; h于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
1 ^" u1 Q1 X2 U' i; ?
+ ]5 v9 T3 r/ }8 }
) f' G) T( ?8 @$ J$ i对方深信不疑。自然回去访问。
7 v8 l/ o$ U2 f- R- f3 J  Z. T) b# l% K
" S4 U  K1 s, W
好把,大概等了几秒钟,WEB那边有session是记录了。
6 C# r. y7 U, x: E- c
- s+ H7 }! M" \: F0 s4 ]( `
5 i! q" e" m- w2 p) y" o一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。& r4 U) }. b: w7 `
$ L  m# w9 i: ?+ p  P7 J
& d6 E4 e9 x/ V: H) C
我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。) @: @$ H" _, m5 o
: ^- U9 j8 M( p$ o2 Z0 }2 L: J% j
1 L. i) g  H3 i4 I3 `7 f) {4 p" f
A管理员说是office2007 ,这样更加证明了我的探针是对的。+ k: n. Y4 D$ R5 e9 U
7 S" i: o# w8 Q. l
% `) R# ^% {5 w) |' l) U& ]. ?
于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
+ `0 Z7 `& w! G; d% x, s4 e6 {! Q4 r: {7 ^& ~0 [
) L9 K1 @% P" D! a/ v0 w. ?
A管理自然就给了我,好把。 office 0day打之。
% v; m, f- P- [. D; o& |7 q/ I1 V1 `$ x5 Q
1 t5 v, H8 j& T/ j9 N+ e
打开远控,等着上线,可是就是没上。 出问题了。
* Y$ X3 l% D+ w9 D" b0 f) F1 }4 z+ T6 Y8 J% s3 D" V- T+ C8 V

# l" X  Q* u) n# |" ?A管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。5 X+ {2 c3 P, ~6 m6 {

% _- |, S6 ^: g9 M4 m& {
0 f# n$ k8 d/ |9 D1 Q% H7 `为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。
% G# a+ T" u: p0 ~8 U5 y5 Z9 a+ i2 p% ?0 t& K2 j8 c9 P' G6 ]

! Q& K# P6 L3 V3 a同样的对方去访问了,系统应用很多被探测到了。
3 m  L9 y3 L' N' c! j  ]% {4 Z6 H2 g6 C! ]9 \
% h6 F, z7 A. p
好把,出口IP也是.14.
. J: O7 S1 U4 o, M7 w" K! k6 j" m% Q# a) S: i2 u

7 y# b- R# Q& ?没问题了。出口IP确定了。
2 `  }/ }6 Z0 |
8 S' g; `5 w# J! H6 p6 v: D% u( Q! x( Q! S# C# ?) n3 I% u. f/ e& f. {6 i2 g
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。
& ], l( ^4 Y0 G# b6 v; C7 ?" x
2 F7 k7 M- D' W1 z% Z: v
4 R) B# i0 e# S2 d& e5 ]4 }2 o/ C马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。6 v% r) |' R1 A9 i
! B1 o# u( I% j* [2 C

# d6 m  I' A( u& [* f: L马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
3 j% M# g: G3 J0 z; U7 {5 Y& n( S5 ^6 i* E& a' c, s

+ V' s: H' G( A6 t' O1 Pnet view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
2 _; R; k+ t2 }: g( i$ _, r  q) y) O8 r" \! X% k
. ]9 Z( Q7 @' ^  k" @
同时间通过密码记录,得到了内部Linux服务器的账户密码等。
, ]- Y. G% w7 u
. p8 L/ w5 x1 [) \/ C- v" w
0 z$ c7 A& M, c  Q. `向主管个人PC机进攻。) g* r( r- B" t8 d
- \" U$ i: {* n4 x/ ^0 z
简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。
" d7 \/ u% \7 B8 _7 f: E7 f: @7 C. I8 j8 D  B/ {" h9 z/ j; s" B
" C3 P" T3 ?+ v' z3 q
于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。
" U! {, L" O' Z' F8 ?# N# \$ ~- Y, I8 ^* h1 U% P) l
, M; T1 C, D" `1 V
---------------------------------------------------------------------------------
5 O0 H: _& _( H( Q: C
3 T4 b3 V7 e5 k+ S9 j2 j  }1 _5 l# v8 Y9 y
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。0 |7 L4 o6 w. ~4 }" X# a3 K% ~

. ^5 f  x6 l) r/ e5 \6 Y& T" ~1 n/ t6 E! ?. V- h( |
晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone: Y+ A0 Z2 g: N6 `' P: C

' V8 h1 d1 a& s, T6 l5 R% S. y# U% Y: N6 Y' W3 Y7 L1 i8 P3 x
我觉得人还是别太贪心了好。贪心会出事。
5 M) L9 f! N9 t6 \3 U' M* p, F1 E1 O, i. Z4 e

" C8 ^0 n+ x. w7 u. I/ @7 ~, `) }于是我坚决的把马给卸载了。9 W2 q" o. K7 v  U7 |8 b4 {

3 L$ J) f- E/ L& G0 W5 @) R5 R5 K& o, Q
---------------------------------------------------------------------------------
3 W1 ?) r, g  P0 W9 a- F/ s7 N& L对于后续攻击,我的思路如下了:
% f2 Q, [# g8 F; j; W
7 }$ V; |, m- x
$ Y/ X. _; X$ N$ F9 F& C搜集内部员工的EMAIL,探针+office打之。$ b& p" g+ s7 \2 Y+ F

; ]/ q! k# _% C1 J$ D8 k, i5 A0 M5 ?/ i
内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码* g0 W6 Q' m6 Q3 {/ m# c9 P

8 M8 x* I2 |0 A2 S$ U& I
) E( A: `3 H+ E4 q通过登录A管理员公司邮箱发邮件下手。1 ?- x. T8 |. X
7 w9 ~( ]4 C! i
  y& a3 |* v; W
内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。$ L9 q  B4 j8 n
4 q* j7 b: B* L9 c
厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。
, _3 R: U4 T; B, z+ q( p" A; ^-------------------------------------------------------------------------------  Q7 b4 _+ S) z; S$ a+ |' |
! [/ |/ ?& ~" O: R2 E
最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。
5 O8 z9 c' a- h! U3 D0 g



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2