我们的第一次近源渗透

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


授权转载,文章来源:“P喵呜-PHPoop”语雀


0x01 前言

因项目需要与小伙伴们开始了职业生涯中的第一次近源渗透攻击,整个过程简单的同时又有趣,通过这次的实战又让我学习到了不少,也清楚的认识到真正的网络攻击中,web只是一个最常用的入口点仅此而已,入口点千千万就看攻击者是如何设想的了。

0x02 前期准备

干近源人是肯定要的。同时工具也是需要的,以下是当时项目准备的:
  • 1. 准备三个人

  • 2. 准备一个免杀马(我不会另外一个小伙伴连夜改的)

  • 3. 准备好剧本(用与去现场的时候表演使用)

  • 4. 准备个空U盘放免杀马

  • 5. 准备几个BadUsb(用来扔现场)


0x03 现场踩点

首先肯定是要先去对方工作地方查看一下工作环境了,去到对方的工作地方的大楼发现一共六个电梯中间有四个电梯,这四个电梯上去以后就存在安全⻔,需要公司员工身份认证才可进入。

大楼左右两侧均有消防楼梯和货梯可以直接上去,但是上去以后也需要公司员工身份认证才可进入。其中对方的楼层在17-19 楼,共三层。


几个小伙伴思考以后决定先不尝试进入对方公司,而是找wifi之类的,通过手机查看发现对外wifi有三个。

Xx_public、Xx_staff、Xx_Intra,应该为目标Wi-Fi名称!!!
我们的第一次近源渗透

Xx 表示为对方公司缩写,为不泄露对方公司信息这里使用Xx表示,那么这三个wifi后面都可以测试进行密码爆破进对方内网。


0x04 攻击思路

  1. 抓wifi爆密码

  2. 上招聘网站投简历然后正大光明进入对方公司面试

  3. 仍几个BadUsb到人家公司里面


0x05 攻击wifi

0x05.1 准备的工具
  1. 一台mac(因为自带 airport 可以抓wifi包,方便)

  2. 准备台kali虚拟机(用与爆破密码)


0x05.2 获取当前网卡名称
# 命令ifconfig
我这台mac的网卡名称叫: en0一般来说mac的网卡名称都叫这个
我们的第一次近源渗透

0x05.3 抓wifi包
因为我是mac,所以使用mac系统自带的airport工具就可以抓包了,主要有两条命令在mac命令行下执行即可。
# 查看Wi-Fisudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

执行结果如下图:
我们的第一次近源渗透

# 监听Wi-Fi# 注意: 必须是刚好在监听的时候有人成功连接了Wi-Fi才可以抓到握手包sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport [本机网卡名字] sniff [需监听的网络频道]
# 通过 查看Wi-Fi 的命令我们知道了目标的Wi-Fi# 那么现在我要挑选 Xx_Public 进行爆破,那么命令就如下# 其中 public 的CHANNEL 为 5
# 最终执行的命令如下sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport en0 sniff 5

执行完上面的命令,成功开始监听以后, Wi-Fi的图标会发生改变, 变成一个小眼睛图标如下图:
我们的第一次近源渗透

这就表示在开始监听了,监听久一点,然后使用control+c停止监听,系统会把监听到的数据保存到本地,数据会保存到/tmp/xxx.cap文件中。

停止完毕以后到/tmp目录查找最新添加的.cap文件就是了,经过一段时间的抓包,成功获取到握手包,有了这个包就可以在kali进行爆破了。
我们的第一次近源渗透

0x05.4 密码构造思路

这个我觉得才是本章节的核心。这里因为不能暴露项目的具体详情所以就换个其他公司名字进行讲解,例如现在我们要攻击的企业叫:百度证券,当然这个名字是我瞎取的。


那么构造密码的时候就可以这样构造,首先找到:百度证券的官网例如叫bdzq.com,那么简称就是bdzq就可以围绕这个简称制作字典进行攻击,那么我们就可以生成对应的密码进行爆破主要密码生成规则如下:


# 基础规则:

公司简称全小写公司简称首字母大写公司简称字母全大写
# 密码:
公司简称@123456公司简称_123456公司简称123456
公司简称@[email protected]#公司简称[email protected]#公司简称123[email protected]#
公司简称@年份公司简称@年份月份
公司简称_年份公司简称_年份月份
公司简称年份公司简称年份月份
公司简称@门牌号(例如门牌号 1801 表示181号房)公司简称_门牌号公司简称门牌号
# 生成的密码字典例子

# [email protected]  bdzq_ bdzq 这3个后缀随便添加常用弱口令

[email protected]bdzq_123456bdzq123456...
# [email protected] - [email protected] # bdzq_2010 - bdzq_2021 # bdzq2010 - bdzq2021 [email protected][email protected][email protected][email protected]
bdzq_2010bdzq_2016bdzq_2017bdzq_2021
bdzq2010bdzq2016bdzq2017bdzq2021...
# [email protected] - [email protected]# bdzq_201001 - bdzq_202112 # bdzq201001 - bdzq202112[email protected][email protected][email protected]
bdzq_201001bdzq_201002bdzq_201703
bdzq201001bdzq201002bdzq201703...
大致就是这样组合

0x05.5 密码爆破

因为抓到了握手包所以就回家爆破了,最终经过好久的爆破终于成功爆出了Xx_Public的密码:bdzq_201703
  • Wi-Fi名称:Xx_Public

  • 密码:bdzq_201703

# 查看抓到的cap文件中的数据是否被抓取到命令:sudo aircrack-ng /tmp/airportSnifffogDlw.cap
我们的第一次近源渗透

上图中写着WPA(1 handshake)的表示抓包了握手包可以进行爆破,记住BSSID为60:12:3c:fb:71:c0爆破的时候需要用到,爆破成功的截图如下

# 爆破方法如下

1. 把抓到的握手包 /tmp/airportSnifffogDlw.cap 放到kali中2. 进入kali3. 执行命令进行爆破

# 爆破命令

sudo aircrack-ng -w 密码字典.txt -b 60:12:3c:fb:71:c0 /tmp/airportSnifffogDlw.cap 
# 60:12:3c:fb:71:c0 表示的是要进行爆破的那个Wi-Fi的 BSSID
我们的第一次近源渗透

0x05.6 最终成果
接着第二天又到了对方公司大楼,坐电梯到达17楼货梯处。靠近角落打开手机使用破解出啦的密码连接Xx_Public成功连接目标网络,终于成功接入对方的内网。
  • Wi-Fi名称:Xx_Public

  • 密码:bdzq_201703

我们的第一次近源渗透

0x06 攻击wifi

0x06.1 攻击思路

在实施攻击的前四天通过招聘网站,做了一份前端程序员的简历投了过去。接着去到对方公司大楼就说是面试的,这样就可以混进去,然后再尝试通过忽悠前端来进行上线。


接着我与另外一个小伙伴进行分工,一人负责查看cs是否上线,上线以后进行一些操作,我负责实时监听上去小伙伴的手机声音根据对方公司与他的聊天来采取对应的措施。


这里就简称为:伙伴A、伙伴B、伙伴C

  1. 伙伴A进行上楼面试

  2. 伙伴B盯着CS查看是否上线

  3. 伙伴C为伙伴A打配合


剧本就是这个剧本了,就看怎么演了。

0x06.2 实现攻击

这一次团队的 伙伴A 再次回到目标公司18楼,这里可能有人好奇为什么选择18楼不选择17楼或是19楼。


因为17楼不是主做技术的,我们投的简历是前端到时候不好说。而18楼是程序员的楼层,这一层符合我们投的简历,并且电脑连接域的可能性最大。19楼是安全人员的楼层,该层人员的安全意识普遍较高,上去很容易暴露。


伙伴A 再次上到目标公司的18楼出了电梯,走到前台门禁出以后就看到一个前台小姐姐,然后就直接告诉前台小姐姐自己是来面试的报道的,帮忙开一下门。


该处有一些小细节,一般前台都会问你跟你预约的hr名字,还有应聘岗位等。这个时候我们前面收集到的信息就有用了。就想我们在实施攻击的前几天了解到该公司目前差前端。那么就和hr说面试前端即可。


具体的社工场景如下,以下为实战中的对话:

前台小姐姐:您好,您这边跟你预约面试的是哪位hr,您应聘的岗位是?


伙伴A:我这边是来应聘前端开发岗的,哎呀!我忘了问hr名字,我现在打个电话给他。(然后拨通电话给下面那个打配合的伙伴C,伙伴C收到电话以后等待3-5秒不接故意挂掉)


伙伴A:让我过来的 hr 现在应该在开会,我刚才过来之前和他通电话的时候他就说在忙,叫我先来18楼的休息室或者会议室等一下他。


前台小姐姐:哦,好的,那您先简单记录下您的个人信息,还有这里有一份笔试题,我带您去会议室先答题。


伙伴A:哎呀,不好意思,突然想起来一件重要的事情,hr交代我一定要记得带简历过来,我来到这里以后一直找不到打印店打印,你这里有打印机吗?可以帮我打印一下吗?


前台小姐姐:噢!这个没问题的。您加下我微信吧,发过来给我。


伙伴A:微信呀? 不知道微信里面有没有存,我这里u盘里面有存着一份,你可以直接在你电脑上帮我打印一下可以吗?


前台小姐姐:(停顿思考了几秒钟)那你先做题吧,打印简历不急。(这里证明目标公司平时还是有一定安全意识培训,不给乱插u盘)


这里 伙伴A 趁着假装登记个人信息时候, 伙伴C 提供一份免杀的简历马传给 伙伴A 微信,伙伴A登记个人信息几分钟后,假装微信翻到了简历


伙伴A:咦?我前几天修改简历好像有保存在微信一份,我加你微信直接转发给你,你帮我打印好吗?(这里千万有个注意的地方就是微信传过去的时候要发压缩包并且设置上密码, 不然可能会被微信检测到)


前台小姐姐:好呀,没问题


接着前台小姐姐下载下来以后连点击简历马数次后没反应,跟伙伴A说可能电脑卡了。在过了一会以后伙伴B告诉伙伴C目标已上线,伙伴C因为与伙伴A的手机一直在语音所以直接回复说目标已上线,可以撤离目标公司。


为了不引起前台小姐姐的怀疑,伙伴A顺势说可能前几天这份简历弄到一半没保存好格式有问题,打不开也没啥问题,晚点在去下面找打印店打印,提出先做面试题。


最后就被前台小姐姐带进了会议室做笔试题,做了大概十分钟,伙伴C觉得时机已经成熟了可以撤退就反手打电话给伙伴A,伙伴A就假装听着电话走到前台说,hr 叫我直接上19楼面试后再做笔试,然后坐电梯到19楼走消防电梯趁机撤退。


0x06.3 最终成果

最终成果当然是上线了,并且在域内,进入了域内以后,通过翻前台小姐姐的机器与读密码,获取到了部分数据。并且找到了堡垒机的ip,发现可以访问并且是常用堡垒机于是就使用0day把该堡垒机控下慢慢搞。


当然配图是不敢配的,万一没打好码就直接扑街了,因此这里不配图。


0x07 攻击wifi

0x07.1 攻击过程

伙伴A在去面试的时候假装想上厕所路过了休息区桌子,厕所门口附近显眼处放下了,二个BadUsb,等待好心人上钩就撤退了。


0x07.2 最终成果

通过BadUsb后来也上线了,但是上线就几分钟就断了,估计是因为一瞬间弹的命令行黑框让他害怕然后断网拔网线了。


图?图还是不敢放,万一没打码就暴毙了。


0x08 攻击wifi

第一次上门近源原来会因为紧张导致口干舌燥与肚子疼。整个过程很简单,但是真的有趣。回顾过去,我觉得我们下次还有以下几处改进的地方:

  1. BadUsb最小化那个cmd命令行(这个可以做但是当时懒)

  2. 调整心态,只要你自己把自己当成正规的面试者那么就不会那么容易让人感觉不自然

  3. U盘里面下次要准备一份正常简历与一份简历马,那么下次的流程就可以改为先让前台点击简历马,然后在让前台点击我们准备好的正常简历进行打印,这样子前台就更加不会怀疑

  4. 免杀马要提前做好,这次项目免杀马因为没有提前做,导致我们一个小伙伴一直搞到4点才免杀

  5. 上面忽悠人家之前先去一趟厕所放空自己,因为真的会紧张导致肚子疼之类


成功上线以后,我们一共三个人,有两个人都因为紧张导致肚子疼要去厕所。是的!!其中一个要去厕所的正是在下。。。最后的最后还是想说一句,渗透真的是好玩啊。



只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频,1120”获取安全参考等安全杂志PDF电子版,1208”获取个人常用高效爆破字典0221”获取2020年酒仙桥文章打包还在等什么?赶紧关注学习吧!

推 荐 阅 读




我们的第一次近源渗透
我们的第一次近源渗透
我们的第一次近源渗透

欢 迎 私 下 骚 扰



我们的第一次近源渗透

本文始发于微信公众号(潇湘信安):我们的第一次近源渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: