中国网络渗透测试联盟

标题: 记一次APT攻击(简略) [打印本页]
作者: admin    时间: 2014-1-7 19:01
标题: 记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。
2 a5 L, I3 S8 Z+ K2 ^0 {5 q
# D$ `% e6 v  a8 j8 B, c3 \# v: X/ R$ u% {' G! u0 J0 R
如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。
6 v0 v- H5 s2 u" Z& G8 H# G& t# ^) A( R
( W% V  t2 T9 I% C& I& Q
因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。, l1 H* ?4 h8 Q% a, W
; {2 q  i  `1 Q: y8 B
------------------------------------------------------------------------------------2 }4 q% D6 ^+ t( k2 n) _

6 {5 i8 f+ u# H% m先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。
% v* \. X3 N" |( c* p
# N6 F5 M" p8 j$ Y- p: z+ u第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。* i6 p7 i$ p& P5 a( B: `( j5 D8 @

; Y3 x$ T1 O) a2 C. r. O% r3 {. [. l2 B. s+ J
毫无疑问,IPAD又奖励到了。
/ u' I  B9 X' J$ I) |  @. K6 S
8 {0 Z8 w- e! N) S' b! d
- n; v- [8 _# G, V( j于是我和社交网站的主管说:你要啥时候才给我部iPhone。8 A: Z, m: d$ z

1 U7 |) g* h: J! s6 a* N! ]8 b( K8 B2 h; t
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.
7 j$ s0 p% L; j5 u, A+ |+ x; B& j
# r6 q( R: l+ {3 H6 K1 R0 \+ c* j' D5 M3 G( ?
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)* K2 @, v. j2 {
2 d* L9 p- `0 O' M( Q! z
- ~# }3 v) ~1 e
主管回答:那就来把.打下来了给你iPhone5..2 W% O- S' P' g! z, r# `- I% H0 S
4 a8 V, ?% P8 O( ?4 w4 U5 T
----------------------------------------------------------------------------------------------------------
- i1 H2 V: y; r  j! W+ V+ xA公司的外部保密做的还行,找不到几个员工的公司邮件地址。  r. C/ C' N% F, _' z6 t

( t" S: L" g9 o* s之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
: d& h6 v! G! b3 H! x8 D
( n& `4 r7 s2 ]+ N( `8 x' D: `: D# h9 t
好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
! m: i( q/ z, C- o1 J' a- a* J( `- B/ N: I0 [' M/ b9 Y9 X. n
) E! G; Z8 {. F: h; N
直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.
: T" s6 d" w; p# L) _5 R
- M- u0 n/ {  r4 f4 k4 l% F$ R$ {
" m; d7 E+ _; {) c对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把
, M- s# e1 s8 z( B
* a! h1 _: g4 V  F; j
  F8 d- O9 i! z5 @7 H0 `$ n思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
; O! ^1 J) J# A$ B
2 I: ?. z5 a2 o* T6 x5 c9 o8 w; z
于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。, |' u9 {5 z% E( w7 q8 a4 x" t

: ]9 j  a/ `8 _( S. h$ P$ e. i
6 a: Y8 j) K* P3 E. m% J对方深信不疑。自然回去访问。
3 _: m5 ^& l6 p' p1 J
' i+ f( z( m! z/ @( K
. w2 g9 E( O( _& X( h/ v9 `好把,大概等了几秒钟,WEB那边有session是记录了。
) @4 V0 K3 s) X: s
. a; Q7 C% L' [4 Y* n
1 P7 i- h' p  z& T' R9 C一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。" R& A) P3 O/ ^7 Y! ~3 H
' u% P) [! \3 g+ P1 N) E  p* w; V
( \( y5 A+ B4 z' ^; N
我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。
1 j6 e1 J# w! C& q
4 L9 D6 e* b6 x2 X
' X7 T$ w& }8 M  P5 q: u6 o& b5 e! ]A管理员说是office2007 ,这样更加证明了我的探针是对的。" s$ g& i5 f8 |7 d( B

% |* I# Y# e5 `2 e
% q  ~' P, s' E4 q+ e3 Z$ @) ?* P于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。; c! z" J5 R/ c0 |4 X) A& `1 ?

% v1 J# V8 K- R9 v
) j1 M: p8 A) S% ?+ lA管理自然就给了我,好把。 office 0day打之。
5 x) l/ m5 @6 L8 q2 L8 f2 a
; T' P& R. q( _! X/ O/ Z. M$ q& ]9 H
打开远控,等着上线,可是就是没上。 出问题了。2 t. C; C- ~( ]
% I: Z$ `$ @* w( M7 b/ A+ z, ?

! w; s% w8 j6 ?$ p- q' }' G  q, s# OA管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。* v7 d" a& h5 O) d  J
. u0 q1 \: D+ ]% C, @6 k9 e& ^

5 W- M' h6 }! A为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。6 K7 e  D0 g, Y- G
5 j& b& T9 I! \( o; u
% Q# _4 C+ i: j" `* X# Z9 P2 U% B
同样的对方去访问了,系统应用很多被探测到了。
* Q2 c6 X  R+ i& H( Y6 a; j( g& F4 U" d0 D+ n! b
- X8 f! X! O0 ]  L/ g; g' T
好把,出口IP也是.14.
9 ]$ c4 j3 v; a4 r0 `
$ b& {( K3 Z( g" c! L
% l' z7 V* m" U# E9 M1 [8 e% Y没问题了。出口IP确定了。9 i- Y% C  ]! v* C1 L; a& l

' ^# c, j# {' b
( ]3 U% P, f/ P7 p# _5 b3 Y5 Z  Q8 x于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。
9 ~( u0 I& G. h4 `, p4 n
8 p3 V( }- g, d1 Z) L8 {
. x. [0 ^$ i0 Q马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。- T9 ^$ `$ j& y" w0 r8 d  O# c1 u5 Q

( \5 U) F/ u# ~% m8 l  F0 v9 f* F- g% P9 l' {& F
马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。' Z8 D5 e6 i% T" x# [9 l9 v
) n% |8 ~. W* n

1 h6 F2 M: k. h" g1 Hnet view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
% @/ v4 v2 ?8 W" H
6 f- V( `" d9 Y8 b
+ c. ^8 @5 U+ |: \4 \5 `同时间通过密码记录,得到了内部Linux服务器的账户密码等。
# U' u* P% j2 z  c6 a; F1 v8 E# L# j4 d; C) s% u- t
* x5 \+ K* D2 `7 D7 k
向主管个人PC机进攻。
) w7 l) q3 R3 r
6 i* j- k8 F$ d- P2 X2 i, E简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。1 d- R" y/ b/ h$ P

* D" v( @5 g: e6 ~6 J) \
# s/ ?5 t# D7 ~! O8 d  j2 K! ~) Q5 ?于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。
3 u( ]& f& u( `# ~7 d
5 M; z- y) P" ]2 Y$ b% M+ d) q$ V7 f' \, `
---------------------------------------------------------------------------------
/ j6 ?" O+ k6 M' s
: {3 G) F1 b3 C. V# _/ V3 Q$ y+ H
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。- a9 J5 O* a5 u4 W+ C

1 o. |6 D  \2 Q; t% J
( {7 |; A: W3 q4 Q) B* y) p+ P$ _晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone/ s( o0 ?6 R' \
- ?% g- ?9 u0 J) u8 d  Q. M

6 K1 y3 D, f$ b- K% ~我觉得人还是别太贪心了好。贪心会出事。
6 U; x2 @. R1 `% S- e! c7 m& J/ J5 O# A. S. `8 v, S% v( x7 S9 M
6 h; J7 |; v+ T- r; n/ I6 U, r( u  `
于是我坚决的把马给卸载了。
) o7 y: L7 J( ~  n$ `; @4 X7 T- i# K
/ o+ o& L  |6 Y. e5 X# \1 a$ R3 @# Z7 ]1 l- N
---------------------------------------------------------------------------------# V, T; E8 h4 @- R4 ~
对于后续攻击,我的思路如下了:% o4 d3 U5 v; z4 w0 `9 F
6 \/ s9 X+ L0 A' x0 {& H+ G! J

  q; h2 v+ _- S, `8 s5 K) n7 S* Z* f搜集内部员工的EMAIL,探针+office打之。
5 t  {" M* I8 f; F0 D% S3 c
6 C) H) B9 V( v: F* `8 W$ j1 r
& R4 o: |3 X( I! \6 [( d内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
6 q# B- h* F- U4 x( v
# }: m  N' e5 R' o. P7 j) o; T+ S) w0 k  Y, X4 p) t  \+ h6 f
通过登录A管理员公司邮箱发邮件下手。
  x4 I- r6 B' x7 J9 c
  M: X& h, I2 {: h
  Y$ ]6 w4 S) Z4 a4 @+ o' t5 M9 W4 J内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。) W! }! W8 D( m, I5 \( h

/ T7 `" @  L- m7 D- R厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。( U% w/ B$ E# x& ~
-------------------------------------------------------------------------------. |: v: w: Q( P  w; _7 k

, K% n1 `$ T4 |- n& i最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。
$ ]& Y- N% `) p5 l' s; J



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2