基于元数据提取的渗透测试案例

背景MITRE ATT&CK™测试过程元数据提取citrix通道写poc提交漏洞参考资料

背景

    笔者的一位朋友--就职于安客思科技公司的sunrise童鞋，早先受某SRC委托参与该集团的渗透测试工作，顺利实现进入内网任务，案例较为有趣，特意分享通过本公众号发布。目标厂家主要做IT产品，基础设施建设完成度高，本身也有雄厚的财力实力去堆叠安全产品，经过几轮众测纯渗透的思路很难打到内网，所以该文章展示的将不是传统的扫域名，找漏洞，渗内网，攻防对抗在升级，攻也在进步地深刻把握新技术应用的内涵、特点。

    影响范围：客户的解决方案是提供匹配客户发展战略的端到端人员能力提升，在服务转型趋势下，帮助客户快速发展IT基础设施集成、大数据运营、应用开发等IT人才，涉及泄露参与培训的客户员工的个人账户、密码。掌握了内网站点，甚至可以进行“鱼叉式”攻击。

MITRE ATT&CK™

    实施渗透前，利用模型推导分析寻找网络威胁。

    这是实施完毕后，为客户应急响应中心复盘提交的渗透路径。

测试过程

元数据提取

    元数据是提供关于情报资源或数据的一种结构化的数据，基于情报元数据的提取方法不同于资产信息收集，元数据的获取手段针对目标、应用，是针对资源的抽象描述，在渗透中的工作主要是包括对目标进行内网、数据结构和规则进行集合，一些小工具如Sweepatic、theHarvester、Maltego有助于发现、存储、记录、获取并使用情报。假设我们需要攻击“塔利班头领”，显然该目标没有官网、没有内网、如何getshell？这时候任何有效的数据都是敏感的，比如社交用户账户名、习惯、目标使用的软件、历史泄露的内容。通过其在Twitter账户发布的规律，大略得知工作规律，可以发送钓鱼链接作为早上上班第一封邮件，这样精准度高，甚至无聊的职员会从垃圾站中取回邮件；通过在查询新闻报告，可以得知资产并购和接触对象或有价值的组合架构，进行“水坑式攻击”；通过收集发布的文档知道目标使用软件版本、浏览器信息，提高oday利用成功率；通过分析合作关系进行身份伪造；通过查询出口ip信誉检测某款勒索软件，参考勒索软件exp做免杀或者漏洞利用。对于小规模渗透、长时间潜伏是一种独辟蹊径的威胁情报。

    使用搜索引擎语法\metabot和浏览站点获取站点文档，简要提取有价值的信息。

    使用python-docx包处理d.paragraphs方法解析text，或者直接调用exittool脚本解析

`#/bin/bash`

URL_LIST=$2

DEST_FOLDER=$1

**if** [ "$#" -eq 0 ]; **then**

   echo "You need to specify at least a directory with documents!"

   **exit** 1

**fi**

**if** [ -z "$URL_LIST" ]; **then**

   **if** [ -f failed_downloads.txt ]; **then**

       rm failed_downloads.txt

   **fi**

   **if** [ -f download_list.txt ]; **then**

       rm download_list.txt

   **fi**

   **while** **read** url; **do**

       filename="file-$(echo $url|md5sum|awk '{print $1}')"

       wget -c --tries 3 -O "$DEST_FOLDER/$filename" "$url"

       **if** [ $? -ne 0 ]; **then**

           rm $DEST_FOLDER/$filename

           echo ${url} >>failed_downloads.txt

       **else**

           echo ${filename} ${url} >>download_list.txt

       **fi**

   **done** < $URL_LIST

**fi**

*# Filter out documents using mime type and extract metadata*

MIME_FILTER="^text/.+$"

**if** [ -f document_list.txt ]; **then**

   rm document_list.txt

**fi**

find $DEST_FOLDER -type f -print0 | **while** IFS= **read** -r -d $'\0' doc; **do**

   doc_mime=$(file -b --mime-type $doc)

   **if** [[ ! $doc_mime =~ $MIME_FILTER ]]; **then**

       echo $doc $doc_mime >>document_list.txt

   **fi**

**done**

exiftool -j $(cat document_list.txt|awk '{print $1}') >metadata.json

    执行sh process_documents.sh ./ ./将结果导入splunk，执行查询提取文件元素信息。一番眼花缭乱的操作只是为了获取到该不在搜索引擎的url：下文以A.com为例。

    将攻击流量淹没在互联网盲目的扫描活动中，手工进行安全测试必备的隐蔽式扫描，以不被发现为目标操作漏洞挖掘，发现某接口泄露大量用户敏感信息。有外部注册用户权限就可以访问。

http://A.com/getuserinfo?loginname=test101

中间的密码进行脱敏，强度不够，通过猜测直接获取的密码。

以user+num、test+num和exam+num爆破。

获取有效密码后登录

发现是citrix沙盒环境，某些账户被开通远程在线实验，可以直接使用远程桌面。有些需要突破ie11沙盒执行cmd。由于冒用账户进行操作，正常开通课程的时间大都很短。接下来以持续稳定的方式都在闲暇时刻burpsuite账户，尝试访问查看哪些有价值，思考如何取得较大的权限，MS17-010也不能用，因为直接打域控会暴露，打普通pc没有把握找到重点目标还是实验环境。

citrix

    搭建过此类环境，发布的app通过citrix服务器farm进行分配，有时候有权限设置不严格的情况。这个办法就多了，经尝试可以使用文件浏览的方式，打开ipop，然后执行dos，指定127.0.0.1，或者使用新建快捷方式，指向c:\progra~1\cmd.exe的方式；或者打开excel，利用没有禁用的wscript使用开发者工具编辑vbscript脚本。为了方便，我们以调用ie浏览器为例，打开internet配置，设置临时保存目录，这样就进入了explorer，没有右键的权限，但是可以看到虚拟和共享磁盘的众多记录，获取敏感信息。

不能右键就用左键，使用winrar执行杀软路径为cmd.exe即可。

后来想到不能调用cmd.exe，也可以使用第三方软件，以open file的方式选择共享磁盘目录的ipop.exe。你甚至可以用ipop去扫描端口、打开远程桌面！

    从zabbix流量信息猜测172.30整段机器很重要，netstat看到众多的用户启用了mstsc进程。

    至此获取到了域环境的一个普通用户。其实这时候由于网络划分的原因已经可以进入内网了，下一步可以采用github获取到的账户密码登录员工门户。由于是模拟测试，不涉及具体的数据，所以没有尝试实施。

另外一个思路是攻击外部客户或者外包公司的邮箱账户，然后撞库。

通道

    icmp、tcp、http都不通，dns通道是可行的，要利用dnscat，首先要下载dnscat，由于不能访问外网，我们可以使用support站点以客户的case提问上传附件的方式拖资料。

    例如通过http://A.com/data/attachment/forum/201703/19/20170319191221083.zip  上传口令破解工具或者免杀版本的wce。

    当然我们结合任意文件下载漏洞。http://A.com/StaticFileHandler.ashx?v=V1&type=css&efs=[~/web.config]

获取到各项敏感信息。但是动作太大，不宜直接使用漏洞。

写poc

    纯手工操作是为了避免触发hids、waf和各种未知防护设备，通过敏感信息的逐项查看，发现某系统使用了couchbase，可以使用memecache未认证的漏洞查看敏感信息。形成思路可以启用172.30.x.x，执行CVE-2018-15728获取系统权限，查看进程没有杀软，看起来也不是蜜罐，远程桌面连接进入。

powershell脚本为Invoke-WebRequest http://172.30.x.x:8091/diag/eval -Method POST -ContentType "application/json" -Body 'os:cmd("whoami")' -Headers @{Authorization="Basic Q"} -OutFile 1.txt

渗透测试，点到为止。

参考资料

1. https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics

2. https://mitre-attack.github.io/attack-navigator/enterprise/

3. https://www.anquanke.com/post/id/86509

4. http://www.sohu.com/a/160429573_804262

5. http://www.91ri.org/15206.html

6. https://www.anquanke.com/post/id/86225