中国网络渗透测试联盟

标题: 记一次APT攻击(简略) [打印本页]
作者: admin    时间: 2014-1-7 19:01
标题: 记一次APT攻击(简略)
在这次APT中,笔者完全是吃饱了撑着没事做。因为来打国内的目标。
" P4 l" c* ]3 e4 M( F
3 J0 N% d2 G# a; z
" b0 Z8 C) _" P2 Q. f: j  W& u* L如果你觉得我本文写的不好,你可以BYPASS或者不看我的文章。 当我是个SB,而我也会说是乱写的。
7 z0 I% |, x0 i& W
* L$ [4 _4 Q# B! ]: _$ i" d" I1 m3 Y, |3 u1 U7 o  U
因为对方公司比较敏感,而且我也怕事。所以以文本的方式来写把。
& y& F1 e9 ?; G* o4 B
# N* l# N- {6 K' d% }------------------------------------------------------------------------------------# `* m/ G7 m7 t9 m5 [
9 \. O  y% ]8 n3 I' F3 L- ?
先前发现过国内最大的某社交网站的漏洞,得到了第一笔奖金以外。愈发不可收拾。+ ]  G, V1 J4 @/ S; D# T
% C9 Q) f# v8 f' X
第二次渗透维持在几个月前,通过社工进入了后台,拿到了WEBSHELL以及端掉了整个内网,在去那公司上报。6 l" Q9 x" j6 S) n# Y, V

3 P1 \+ @! W3 x+ h! g# g+ s5 @6 t
* I/ n" h/ L! G! Z: D  t6 v) u毫无疑问,IPAD又奖励到了。# }7 e+ s4 Y' x: i* g) M2 i6 v8 w
3 v8 s  o' ?( i, Z
% b: r4 O% ^) C
于是我和社交网站的主管说:你要啥时候才给我部iPhone。
' f9 u( v& ?. W9 X) D. X
5 x) Y. W: T! J7 `+ I, {
9 S2 ?; v* L" n; a  v8 B2 O) c主管回答:等你把我个人机打了或者在把整个内网的Windows打了而不是打了Linux就给我部iPhone.9 Y* w! I5 q( O& R1 d- y
( g+ k: f/ |1 }) Z
% y$ m1 C  g8 f* P; N
于是我回答主管:我不从你们的WEB下手了,直接从你们的人下手. 分分钟打进去. 你信吗?(装B)
- o% c$ W: ]3 q+ m7 ?, L, ^3 f3 {( p+ m1 h

' g; q; N0 Q4 k, e/ ?# ]5 ^* n主管回答:那就来把.打下来了给你iPhone5..& I3 L/ b' J6 P2 ], Z! F
& `, @; B4 M8 h& K
----------------------------------------------------------------------------------------------------------
1 I/ U# U' X& Z" R2 W8 BA公司的外部保密做的还行,找不到几个员工的公司邮件地址。
9 C: {' {2 b& N
. v6 V* w8 X/ s3 P+ D之前爆他们漏洞的时候(姑且暂时叫那公司为A公司),A公司的1管理员加我来请教问题.然后才是A公司的主管加的我.
2 m6 X( L( D& m& d" d* U: ]* ?9 K$ U4 b
. y6 a3 }: \7 @2 _6 i, ^0 Y1 N& o6 j- f0 M4 ^
好把,我这次不直接从WEB下手,毕竟这是我第三次搞A公司了.A公司的WEB确实做的也很安全了.我是通过WEB弄不进了.
) a2 T5 D: E2 G3 f
3 w- G0 G5 t' M$ B) X3 h( B) A5 V4 a. Y
直接先从A公司的管理下手,通过观察和A公司的人讨论问题.发现A公司的管理员不仅技术差,而且安全意识也差.
  m# v8 A% Z- [% o* s2 D9 f- s4 O3 \0 c( }' J; u+ i7 w" b
- Z, ^0 D/ ?6 b& @5 f( p
对方对我丝毫没有防备,只想来和我请教和讨论一些问题。好把# U3 Q. T- }) u5 e

8 Z0 w: C4 p% R2 T& h$ V* \' t
思路:先搭建WEB,探测对方杀毒软件以及office版本以及系统的一些组建。
# ~3 c( `  H" k- I  s  u* G: Y: d% x4 Z$ B% |6 x+ Z1 @8 ]1 T

. d5 K6 ?* D- |" v, s于是我搭建了1个WEB,去找A公司的管理员,问他这个是不是A公司的应用。 因为之前就和A公司的管理聊得还行,获取了对方的信任。尤其又爆了对方2次漏洞了。; H6 m& W1 h1 \. C% ?' q
7 f0 v& `1 K  i& p* ^! R. v
# A, e* ?3 |" v  X3 ]4 k$ `
对方深信不疑。自然回去访问。
1 ^, C' k, M* N6 U- w  E
- @4 W7 L0 @- O: j1 r# P
7 U7 C9 Y6 p% S# E' ?好把,大概等了几秒钟,WEB那边有session是记录了。
$ ]5 a5 @' \+ ~" H" r6 l# M6 c
. ]) c6 i# d& o* k  f! t! ?. [4 @, W7 I7 q# E
一看,出口IP为X.X.X.14,office版本为2007. 当然现在出口IP还不能够判断。谁知道是不是野鸡。那管理竟然是裸奔。。没装杀毒软件。  P! U6 `4 ~: M7 o, x  [) I( x. T" r

7 W  J4 l+ s. s( ]* T' Y% J7 t5 h, P6 S) F/ o7 w, Y5 z# D
我很委婉的问了他office版本是多少,说我装的是office 2013  怕兼容不好 打不开。7 G- e0 d6 N% j9 Q& b: g% A8 ^
& K4 c' z& Z+ p  P  @8 X9 g
8 [4 x# Z- ]" _, m" l
A管理员说是office2007 ,这样更加证明了我的探针是对的。/ S9 [" g3 U5 E  q& D

. ^* P1 J; z2 _# U3 M
6 C! q! _5 y- k% o8 M于是我和A管理员说,有封渗透测试的报告要发他,让他给我邮箱。
7 A6 t7 f& Q8 p" {+ T1 I
5 }& B& V2 j7 {6 n9 n( s1 Y: p+ j# L) H( ~
A管理自然就给了我,好把。 office 0day打之。3 p8 \4 N5 a' g- U) {' O
$ U( b2 [) e. s" d& F

1 P9 M# u& r0 h- x打开远控,等着上线,可是就是没上。 出问题了。5 Z4 ~- }9 E+ C7 I( Z- r) [

' l3 |  J' ?7 |% h' L6 E" b# s5 z; e; G+ x3 L5 K( m
A管理员他office2007有问题,打不开。 但是我在给他发邮件的时候,探针早就加上了。确实是运行了。 好把 无语了。
% _& P2 H- F! u, l) k6 ?$ Y
- D0 N0 [7 S' P
9 v5 {* T2 ]8 c4 w" z2 A! B$ k2 u! J为了判断是否同一出口IP,找了A主管,继续诱骗,问我搭建的WEB是不是他们的应用。" K% w/ B7 B0 t2 ?: S
( A8 n: e  f  l; V! Y
- A% J7 }; N/ J- z0 S: N  h4 D
同样的对方去访问了,系统应用很多被探测到了。. y& `# A* C1 C. U" o
. W3 Q; d5 N7 w, k

$ b0 h& p+ h% e0 Q  r1 u  ]好把,出口IP也是.14.5 D9 ^8 s% t5 V  `( W$ T6 }2 I* Q

- {' r7 r% M$ m* N/ |# A6 p- c" G8 F& E- s
没问题了。出口IP确定了。
: l& x  Z" o' [: u0 F- q; r. e' }% [4 ?( I1 D  J' C
, j4 P0 {! j' q  J$ n$ h
于是A管理说要学反弹,让我教他。 好的,我非常乐意教他。, t  _9 ?* b# L

- M/ q& w% S& L! P, e2 @& z# @# e  L  D
马绑之,一会就上线了。 之后很耐心的教了A管理反弹的一些方式。
; ]( q& P: c4 i2 h
7 _) c" q- |: K7 |6 E! b4 i8 Y, H9 y. }; z7 Y  e0 b
马上线之后,速度浏览个人电脑的磁盘文件。下载了一些敏感数据。 比如 应用账户密码等等,同时也获取到了内部大量员工的个人联系方式。
: x" J6 L( {! r5 Y+ Y" i( [
- D/ w1 I, `/ p' Y/ Y3 W% \: z( c, a0 ^. x& ^- y
net view 发现是在工作组下。 通过与A主管的QQ邮箱对比,确定了当前工作组下的XXXPC就是A主管的电脑。
, p4 g( S1 m" ~' r+ M6 q! o5 A% R9 A0 p1 T) c7 z8 y

2 H* G4 e& J8 A$ f4 S8 }同时间通过密码记录,得到了内部Linux服务器的账户密码等。
! O. D( \" e2 d9 b% L) U. W. B  q4 k4 {( D9 \" u( z% {- l
! b& t" I. Z$ D9 W9 ?7 ]( e
向主管个人PC机进攻。
6 K- c) E4 U9 c1 R& {- A3 C3 d3 [3 e* h3 P4 Z& Q
简单的判断了一些,发现对方电脑是WIN7,开了防火墙。 IPC共享也建立不了。
0 c# [: _! u& e% s1 T2 G4 ^' c; E7 }! p% M
/ ^3 @" w7 q) ?
于是想,难道又给他发封渗透测试的邮件? 暂时搁浅。
, s. b/ a7 N- K" T. P' R# D8 ^: X5 ]$ q5 ?4 K

+ K' d9 R( w* f$ G0 Q5 o---------------------------------------------------------------------------------
- d5 z# z  x. f; S& D8 O
9 g3 w2 r1 N! ^, S5 I' H0 |( @- f( n2 s8 K
晚上和朋友聊的时候,说别人会不会给我iPhone, 几个朋友劝我。 别被弄去捡肥皂了。
+ p. S/ o3 X  R: g, C5 F9 w
) D/ E/ T* Y  o- S
5 B2 M" @( i) w  L) s6 Q4 {2 W4 x晚上睡觉的时候想了想,虽然媳妇快生日了。我舍不得拿5K买个iPhone
' Z0 q0 D# r% E) b. }
( C, F) F' S: g, s7 |7 c1 h3 C1 `7 \( S: l$ V1 c
我觉得人还是别太贪心了好。贪心会出事。/ g4 e: k7 P3 ]
. M( l5 C6 b1 e: Z* P
3 X3 e1 S( ?) \+ u# b5 C
于是我坚决的把马给卸载了。
1 v, I6 Z: K/ I& U6 R4 L" ~  H% h2 D! s% \

$ n; C; ~( ^' {1 y$ j---------------------------------------------------------------------------------4 q4 n" u( |; [5 L# t
对于后续攻击,我的思路如下了:* }. ~( j! v: s  R6 y1 x  G

1 g% |" K3 A6 m* E+ L4 a
/ x0 N8 V) y) E: N& k+ }6 A8 u; ^搜集内部员工的EMAIL,探针+office打之。: a, Q! y0 P. Z& {
8 h/ A- P1 }3 j
: g6 `/ m; o* V- b1 R& r3 {! ]
内部应用下手。因为已经得到了一些Linux机器账户密码和WEB应用账户密码
4 |$ J  V4 e% P# U6 e# L3 j/ h( y* }& ~. W% \. q
; w0 ^+ T* @4 I, E% i- G# r5 [# G
通过登录A管理员公司邮箱发邮件下手。1 A* v+ B8 R' N7 m9 B* D9 `
; N- d" \+ e' M; D' n( r+ G! Y* Z2 }

, p) v( _" k- |" ?" j内网工作组渗透很恶心,都是WIN7。防火墙开着。 扯淡去把。。。
+ c# O! o; V; r4 T" }! l5 {, p
1 I! ?  _% Y8 f. y  A1 o* v) H, U厉时很长,但是写起来很轻松。 呵呵。。。。。。。。。。。。。。。。。。& s) }/ i9 x) J0 |( l2 K
-------------------------------------------------------------------------------8 m, D* ^, i+ z. Y5 A" q
" y! i' [) O+ H2 W1 w
最后:我也学着玩微博了 :http://t.qq.com/Axis_2  求关注, 谢谢。/ d) H2 z/ f! l. P% {" L




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2