中国网络渗透测试联盟

标题: 记一次APT攻击(简略) [打印本页]
作者: admin    时间: 2014-1-7 19:01
标题: 记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。) Y( s6 l6 p' f% Y3 I5 m

$ u, v/ j0 e) A. b4 g
3 n' c5 e# k4 K如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。
' `/ Z+ c: N7 Y$ M1 p' z+ H" V6 Y! ?' g

- r0 x4 e) Y/ C4 l/ g+ w. G# }5 d+ |因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。
  v3 |0 ]3 ]% R2 y- N2 b( @/ `9 r
+ N! o2 n( E( q6 {------------------------------------------------------------------------------------* i3 P0 Y) J2 F2 G& p

  f8 O/ f- D7 T# q先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。) d3 y/ L9 x$ y, V  Q% s# _

- O& {, z, e! B' f/ [% @3 u1 k第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。
2 s9 u, M5 [* I5 h& v$ W' F. G8 u9 C  Y+ V. g8 c5 A

' h0 r) r+ b1 ?$ p" C毫无疑问,IPAD又奖励到了。* D) Q. F5 U& ?) t# }$ P
5 W0 B  x1 O; |2 e
) w; E, g, I; B0 F# X
于是我和社交网站的主管说:你要啥时候才给我部iPhone。
4 ]$ c0 P' u5 f1 W
' ?& _( f+ j$ h: M3 i. S: m) V! X$ {/ P& g3 K
主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.
% S* o+ N; D4 R
# s( n  N, i" A( Q2 z; K# ]! q1 O/ O! E% }% L3 Z( d& l# V+ C
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)" F# [7 r( A6 W# f# l

" D) v9 Q$ Q8 K3 Q. \0 i9 W" c- B
' r1 L- h4 T1 A1 f( \, a主管回答:那就来把.打下来了给你iPhone5..
+ a, t5 d8 I% h: g- _
4 j/ Z) B2 w" R----------------------------------------------------------------------------------------------------------) N( f- I! u; S$ g$ T5 i
A公司的外部保密做的还行,找不到几个员工的公司邮件地址。: V  }0 @  b3 t. U
+ z) G% h( n3 d5 [- r
之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
4 ^% M) N/ g( p1 ~+ j* Y: J/ m. u! C  H8 I

# C* ^% p( ^! Y好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
( S5 s- Z+ ]6 `  H: G# ]+ }0 r- u# M4 \

/ T5 o) X. L2 J( B直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.3 q4 i) t5 P4 U# J- J' A; e  j

* }8 {4 T8 B  S( X; {- Y& I& M" N* Q6 |( s  _% O
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把$ z& n! x4 D  z, I
# U" F% H' C: ?( q# j
% l0 a3 H6 V  t+ T% m* K8 @) D
思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。& a- G( w& b. E, }5 r6 d: ^  v

# a4 v( @' {$ z( F  d6 n, x5 }3 Z) e6 p- [1 r+ S
于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。
/ o( c/ Z* D9 {1 c8 Z' |1 a
. L7 ?/ c* g1 Y1 c7 V) _9 P8 N. w9 y
对方深信不疑。自然回去访问。
% y9 D$ j/ ]  Z5 D; @6 j& D, M6 l* m$ I4 z* j) h

1 g  K" c# m+ s好把,大概等了几秒钟,WEB那边有session是记录了。
5 \) R) x1 z- j, A: H. e4 G  k1 D+ D; Y7 i' M
1 Z" ^, k! s( g# S: k4 G
一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。( C- Z1 j! g& I+ S$ M

0 l* Z7 h0 K0 g% ~8 @0 T6 x8 q4 [3 v7 C! ]5 e
我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。( n0 D9 i0 g) x6 ^: a* V

" C3 _0 v% t1 O  S& ?, X3 G* ?% e' P' r( _' \' }+ w
A管理员说是office2007 ,这样更加证明了我的探针是对的。
  ]( t: a& y: H/ W2 M- m2 h2 J6 T- }3 F: ]! T" H
! Q: Q4 i) N+ w6 ^2 r; _9 \/ \$ F
于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
" V6 A% b* R% L6 b. ~; V
9 |1 {4 ]# w' o6 q' o* }6 o6 H, n. M- b* h  U
A管理自然就给了我,好把。 office 0day打之。
! y3 D, R7 t2 S* y& x% e# c
' d5 ~9 N" y, G9 a9 F; o
) s1 \) f0 F; o: L% M" W* y打开远控,等着上线,可是就是没上。 出问题了。7 x. \+ H2 Y/ K2 d* @) T: Q
8 @- \9 B, Z5 Y

$ h! q" L( K* |: yA管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。
) f0 Y  ^' X. Y( W
: ?; J1 {2 e; k* }& N# Q8 u1 I: _7 d& B3 _; ]+ S# Q, k
为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。
/ B- E" G" e$ G" f% l; b
3 K& w- t" b/ i; y* R. J- g# u1 r, I) n: w
同样的对方去访问了,系统应用很多被探测到了。
& ~- A1 R$ D. \0 H8 Z' B8 u
- x7 K% e* u, \" f7 P, w. X5 H* ~8 `3 g4 i8 l$ A2 i
好把,出口IP也是.14.
: r: F7 Q1 x- K% m
9 d0 _- y+ d1 t2 |1 n+ Q7 x% Q% V# r) A4 M+ t: |
没问题了。出口IP确定了。" u6 A6 ]* `- Z

3 S( d! U. ]" p4 L7 b3 d- t3 x) L8 J# \2 O7 n/ Y& l3 e( h- r
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。6 \+ t; P: N0 t! \: H3 I8 y' C

; r% z, E) v+ Q& R2 p4 \
# v) P! T% F6 ?. u5 i$ ~# L: j+ h: n马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。5 ?/ W  W3 j$ ^+ ~# X0 P

5 V1 D6 ?. x! L1 U+ i/ X
' u$ v: X# u5 r# N7 P6 N2 Q( n- l( i* l马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。$ y' Y1 P+ d" c

( Y( N# P: r: ?; |& b) i: S9 o
4 V1 E! ]9 b5 ?$ P2 T  v3 i* Mnet view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
8 `0 _, a5 M/ X6 X$ ?
* g0 w6 O- R3 D1 j- t& ?3 B) H* H1 X# u. m5 ?0 s( ~
同时间通过密码记录,得到了内部Linux服务器的账户密码等。
( R6 ?3 s2 d) ?, A6 E
" z7 X+ c+ N- B1 h
7 J  K8 d8 e4 \; c' I向主管个人PC机进攻。: K/ U9 H9 \: q( h: U0 \8 P" F

. n" }. \4 n5 j- U1 Q) s简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。6 A+ t2 q3 y/ w0 g* b* R
7 j% T# R! \0 ~4 G/ E3 n7 y

8 T" i* ~# q6 d: {( P于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。: p- Q- f+ H8 J/ D, M
6 K- x$ Y$ P$ S" P% a; ^8 f  `. P
2 V+ B2 C* @6 g. \3 K, i; w
---------------------------------------------------------------------------------
" _* a; c5 c" }6 v% b- b8 P: f" b4 h$ g$ P

8 V3 Q9 d# c' \; }3 r5 }; L2 i晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。
0 E# l. Q5 v' ?5 C0 K8 r! _+ K9 C( R9 H# b

; d- J3 W5 z6 c# j9 n! h, G  m晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
+ Z& Z& M$ E4 `: t3 M' H# _% d
, u$ E2 R" o# V+ p& j8 A5 y
9 E6 J4 a2 c2 M) S: V4 c我觉得人还是别太贪心了好。贪心会出事。+ U% c. N. H& S7 F$ D" _8 l

/ b6 Q& Z5 ^: `  P3 f# B5 ^+ p$ W2 B5 W; F6 b
于是我坚决的把马给卸载了。
  Y& k: V8 m$ r! B- C5 a6 x
& {3 c% ^: L  S" u/ {3 S9 `# S6 ~2 y7 L& X7 Q$ g6 }  E9 H
---------------------------------------------------------------------------------+ m9 ]7 A# y8 L4 Q- V
对于后续攻击,我的思路如下了:" y" b6 p* Z3 N: P

' D0 P5 O& h' \* X: ~
' R9 E: A8 J: m6 j搜集内部员工的EMAIL,探针+office打之。+ H  A5 p6 k. f6 V$ `2 G. d

2 O5 I* ]2 t- x7 i; ?) v0 k) t0 p* u: {: K( w
内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
/ c0 J- e2 ^3 M
# L& e: |3 U" o( N2 G7 n( q) _
' G7 C8 y  V; I* |通过登录A管理员公司邮箱发邮件下手。
5 }9 \$ f0 h) q! p' R& v3 l' ?" z9 C

& E9 |  D4 k2 [/ H2 D; s" I9 N内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。0 X8 q6 ]7 V* }: Y( R: P0 w  ], s. G; `& t+ ]
4 J2 N) A4 h" x, P; n2 |, Z! d
厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。, X0 A  U7 @; ~/ e1 Y  Z
-------------------------------------------------------------------------------- @# U& H- _' ~' o; W
, z5 Y- l, V: i6 p) T) p7 d
最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。  D0 H+ S9 `* n, w




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2