一次社会工程学攻击案例

前言：
相信大家对社会工程学并不陌生。

我接触网络安全的时间并不长，接触的原因是因为我BF是黑帽，不想太没有共同语言。

经常挂一天QQ都没和我说几句话，所以想增加一点共同话题。

在学习初期没有请教过他，怕他烦。

于是独自学习，从他那里拿来不少资料，打听了不少可以学习的网站。

唯一让我完整看完的是凯文米特尼克的《欺骗的艺术》。

因为涉及的技术环节比较少，作为初学者，从社工入手，慢慢熟悉其他脚本语言和各种命令，各种环境，个人认为是适合自己的。

但是之后想要实践的时候，发觉《欺骗的艺术》一文，思路虽然很好，但是不适合中国国情，也有很多不适合自己的。

在一段时间的理论结合实情后，思索很久，终于有了一套自己的思路，决定选定一家目标来实践。
在实践过程中有不少运气的成分在内，但是第一次实践就成功拿到目标的webshell，对我个人来说是一个非常好的开头，也让我增加了继续学下去的信心。

初次撰文有疏漏之处及错字和错误观点还请大牛们见谅和指正。
本文将以第一人称的角度来叙述整个社工案例，但是人名和地名，公司名，等等关键信息，都是经过模糊处理的，请勿对号入座，如有雷同，纯属雷同。

第一步 对目标的信息收集
目标是一个游戏公司，域名www.xxx.com.
首先查询了whois信息，服务器IP以及所属地。

查看页面上所留下的联系方式，以及可以在google和baidu上获取的信息。

做了一个整理，初步得到信息：
域名是在万网注册，注册资料上填写的信息为A城市，而该公司的运营地区是B城市，而WEB服务器所在地也是在B城市。
按照whois信息上的域名以及电话号码在baidu搜索没有得到有价值信息。

与此同时正面检测了该网站，得出结论，该网站正面采用.net+iis7+2008来搭建。

前台功能十分简陋，只有注册登录，和修改一些资料，查询一些记录，登录后无法上传任何东西，也没有注入，找不到后台，扫描目录也没有得到任何可以利用的文件或目录。

但是查看发出的新闻，新闻中有图片，图片地址也是同服的uploadpic目录，可以初步推断后台具有上传文件功能，运气好就能getshell。

之后将游戏下载回来，进入各种不同的区服，用360查看IP，收集了绝大多数服务器IP和端口。

记录之后对比，发现对方的服务器有70%集中在某个C段，之后扫描该C段，旁注列出所有域名。
发现该C段虽然存活服务器很多，但是大多是游戏server，并没有开放web，开放web的只有约10台服务器，总数50余个域名，没有IDC和虚拟主机存在且大部分web都属于该公司。

收集到该公司数个二级域名，其中大部分二级域名访问后得到是跳转到主站，有价值的域名只有。
Update.xxx.com
2010.Xxx.com

其中update域名应该是游戏客户端更新所使用的服务器。

IP地址和web服务器不同，打开游戏目录，用字符查找器搜索这个二级域名，在某ini文件中找到了这个地址，确认了的确是更新服务器。

而2010服务器是该游戏的为一个活动而创建的专属活动页面，和web服务器的IP地址相同，该页面几乎是静态的，只有一个留言的地方。

留言尝试插入XSS代码被过滤，无法跨站攻击。

而且看年份，已经是过期页面，没有继续深入。

另外web主站有客服页面，客服页面没有交互可以提交信息的地方，只有电话和email。
小菜我只能收集这么多信息了。

第二步 尝试技术性攻击
这一段主要实施者不是我，不过整个过程也并不重要，因为并没有获得什么突破性的进展，几乎也只是收集信息的过程。
BF首先是对整个C段开放WEB的服务器细致的检测了一遍，成功拿下webshell数个。

但是其中能提权进入终端的只有一台，比较幸运的是，该服务器与目标web服务器在同一个交换机环境下，可以进行嗅探，没有限制arp，没防火墙。
本来以为这样就搞定了，但是其实根本没有搞定，否则也不会有这篇文章了。

嗅探过程中，嗅探到大量前台通过web登录会员的明文账号，但是一连3天过去没有嗅探到其他的东西。
查看该主页官方新闻，近期有发过新闻的，后台肯定是被登录过的，但是这里没有嗅探到。

这时BF告诉我，现在一般稍微正规点的站都会防止ARP，而该公司没有做，很大可能是因为该公司的后台登录的字段被修改，而cain这类的工具嗅探的时候只会针对类似username=xxx&password=xxx这类的字符串其反应。

如果是1=x&2=y这种格式，那么必须在cain中添加监视1和2这两个字段才可以嗅探到数据。
如果是一个被命名的很奇怪的字段，那么cain就没办法嗅探。

还有一种可能就是后台的管理员是保持cookies之类的东西来登录的，根本不用输密码。
最后一种可能是该web根本没有后台，是通过其他方式来更新新闻的。

小菜我坚信该网站有后台，哪有那么奇怪的人用蹩脚的方式来更新新闻。
而且我也不认为会保存cookies登录，于是我认为是BF所说的特意更改了字段名。

思考过后，除非能得到后台地址，去提交抓包来得到字段名，否则这样靠cain是无法嗅到的。

（不知道有没有比cain更先进的嗅探工具可以抓到http表中没有添加规则的数据。）

第三步 社会工程学获得关键信息
做到这一步BF已经算是全力帮助我了，接下来的几天一直没有头绪，让BF把嗅探服务器的后门留好，删除了cain，等有头绪了再去嗅探。
某天和朋友出去逛街，吃饭的时候朋友告诉我他最近在玩一个网页游戏，问我有没有兴趣一起玩，我不喜欢网页游戏，但是还是客气的问了问，没想到这一问就给我来了灵感。

据朋友所说该游戏是很近期比较火爆的一款游戏，代理给了多家公司，其中他在玩的这家公司的代理是比较好的，服务器稳定一些。
在这时候我就在想我的目标会不会有其他代理，可不可以从其他代理那里迂回攻击。
想到这里了后就匆匆吃完了回来打开电脑。

打开目标web前台，一个页面一个页面的点，是为了找到一个比较奇特的文件名。

好在google和baidu中搜索这个文件名得到有同样文件名的网站，那几乎就应该是用同一套程序的了吧。

终于找到了一个命名比较特殊的文件，名字很长，41webuserlogin.aspx
在google和baidu搜索这个文件名，结果很失望，没有找到代理。
难道就真的没有代理了吗？

开发一个游戏是不容易的，该公司也不是面向全国，在其他地区招聘代理商应该是必要的措施吧。
也许只是百度没有收录，抱着这个想法，我继续在目标的网站上转，又转回了客服页面。

上面有一个合作意向电话，看着这个电话几秒后，突然来了一个思路，在《欺骗的艺术》中经常看到的，电话社工。
可是我比较内向，能不能像凯文一样面不改色的去社别人呢。

做了很久的思想斗争，练习了很多遍台词，让BF检验后，BF皱了皱眉头，说也许可以吧，你最好小心点，别说漏嘴，对方可能会问你你没有准备好的问题，还有你最好准备点材料。

之后BF去给我买电话卡，又想了一会儿可能遇到的问题和该说的话，从网上找了一个公司简介，PS修改图片，更改内容后做成DOC。
等了半小时BF把电话卡送来。

最后深呼吸，鼓起勇气拨通了这个电话，对话如下：
“喂，你好，是xxx公司的张先生吗？”
“你好，我是，请问有什么事请吗？”
“是这样的，我们是C城市的一家网络公司，想和你们合作。”
“哦，你想怎么合作？”
“我们想代理你的游戏，在贵公司主页上找到了联系方式，但是你们也没有太多说明，请问是否可以以这种方式合作？”

（说到这里捏了一把汗）
“可以的，不过我们要先验证贵公司的实力，这样吧，你有QQ吗？我们上QQ谈。”

（太好了求之不得，就算他不这么问我，我也打算以这个方式来谈，打电话精神绷得太紧了。）
“好的，我的QQ是123456。”（给出得QQ号是事先准备好的小号。）
“我的是654321，那先这样，我们10分钟后谈。”
“好的，那先不打扰你了。”

挂了电话后，开虚拟机，上VPN，把小号打开，资料早就改好了。
不过这家伙不守时，大约半小时后才通过我的好友邀请。

其实本来想直接传木马文件过去，但是BF阻止了，说现在的人没有那么低能。

最好还是慢慢来，先建立信任关系，第一次发东西一定不能发木马，以后酌情再考虑发不发木马。

之后对方向我发送了一个rar文件，是他们公司的简介以及合作需求说明。
我也把我准备好的公司简介发送过去。

之后我决定对对方做一个试探，探测对方的计算机水平。
因为我是女的，女的一般电脑比较白痴。

于是我就装作很白痴的问对方。
“张先生，你传给我的东西怎么打不开，360提示有病毒。”
“这怎么可能，这个rar中只包含doc和jpg文件，不可能有病毒的，是不是你电脑已经感染了病毒。”

听到这里，庆幸自己听了BF的话，直接发木马过去直接就露馅了，对方是比较懂电脑的。
于是我解释可能自己已经中了病毒，让对方也查验一下我发过去的东西会不会感染了病毒。
对方很耐心的教我下载winrar和解压缩，其实我早就会了。
过了5分钟后，对方发来了消息，说已经看过我公司的简介，也让我方好好仔细阅读他们发来的文档，确定合作的话，再约个时间细谈，最好能面谈。

时机到来，我趁机进一步试探。
“好的，我会详细的给老总解说，另外我想知道一下贵公司的代理有没有成功案例，如果有成功案例，我也能更好的解释。”
“有的，我们有2个代理，网址是www.yyy.com和www.zzz.com。”
终于找到了。
后面的对话意义不大，总之我和他约定几天后再细谈。

第四步 进一步刺探关键信息
之后BF对这2家代理进行了检测，得到的结果和上面一家几乎一样。
因为没有旁注，正面无望，最终还是只拿到了C断可以嗅探的服务器，嗅不到关键数据。

在这里得到的一个信息就是，这家代理和目标站都没有防止arp，也是2008+iis7的环境。
网络结构几乎一样，应该也是同一个管理员维护的。
因为在对方传给我的合作文档中，也是这么写的，开发商拥有对代理商服务器的管理权，并且会用加密狗把服务器加锁，防止服务端泄露。

虽然确定了代理商和开发商用的程序是一套，依然无法得到有用信息，继续社工开发商很容易露陷，对方提出面谈的话，我可没那个胆。
但是反过来看，代理商虽然没有服务器权限，但是网站后台总不见得是开发商管理的。

因为目测很多游戏活动都是代理商自行开展的，所以我认为代理商是可以管理后台的。
我现在拥有开发商的详细信息，以及明白他们的运作方式，于是又思索了一会儿后，拨通第二个电话，给代理商的客服。（因为网页上只有客服的电话）

“喂，你好，有什么可以帮您？”（对方是一个女孩接的电话，很有利）

“你好，我是B城XX公司的，找你们负责人。”
“哦？这里是客服电话，我是没办法直接帮你联系的啊。”
“有急事，我现在出差当中，没有带通讯录，手机快没电了，有急事联系，告诉我你们负责人的电话，否则出了事情你担待不起”（吓唬下纯情小女生，我太坏了。）o(>﹏<)o
“啊，你稍等，我帮你查查。”

（可怜的客服MM果然被吓到了，过了10几秒。）

“我们的负责人电话是13XXXXXXX”
“好的，那我先挂了。”
挂了电话后立即拨这个电话。

“喂，你好。”
“喂。我是B城XX公司的，你是YY公司的负责人吧。”
“您好，我是，请问有什么事？”
“根据程序员报告，程序设计出了问题，在超过2011年X月X日后发送的新闻，都会出错变成乱码，我们主站已经修复这个bug，你们那里有发生过这个问题吗？”
“啊？有这种事？我看看。”（对方有点慌，几秒后）“没有啊，都正常的。”
“你登陆后台有没有问题？会不会出现无法登陆。”我继续问。
“没问题。”
“没问题？我登登看。”我沉默几秒后，问他:“不好意思，后台地址我不会拼写了，你能告诉我吗？”
“哦，是有点难记，目录名是adminghjkl”
“哦，我登陆看看。”在目标主站域名后加上这个目录回车，果然出现了登陆窗口。“哦，我这里也没有问题了，那看来是我们自己配置不当造成的问题了，你那边并没有这问题。”
“那就好了，吓我一跳。”（对方没有起疑，趁早挂电话吧。）
“那我先不打扰了，有什么问题联系我们吧。”

挂了电话，兴奋了，终于得到了后台，尝试后台注入无果。

登陆，抓包，发现字段名果然被修改了，把修改后的字段加到cain的http规则中。
继续嗅探。

第五步 突破进入后台
更改规则后，两天后获得了后台管理员用户，进到后台，果然可以上传。

但是过滤应该是按照白名单的方式来的，而且会时间+随机数命名，无法突破。
但是看到有一个上传rar的地方，而且会自动解压这个rar，形成活动页面。
于是保存对方的页面为html，再加入一个aspxshell，打包成rar上传，让后台自动解压缩，得到了aspxshell。

拿到shell后本来以为已经结束，但是对方64位的2008，尝试iis7溢出失败。

又搜索到一个wsf文件提权失败，还一个内核溢出均告失败。

该服务器几乎是一个裸机，除了IIS之外什么都没，没有第三方软件。

FTP、数据库、杀毒、输入法，什么都没有，提权几乎无望，只有等大杀器了？
翻来翻去都没有找到数据库连接信息，webconfig中没有，bin目录下有很多DLL。

推测是被加密到了DLL中，数据库也是其他服务器。
把DLL打包发给BF，之后BF告诉我逆向失败，搞不定，他这方面也不熟，帮我多发几个朋友试试吧。

尾声：
最后还是没能拿到数据库权限，不过给我增加了学习下去的动力和信心。

本文始发于微信公众号（T00ls）：一次社会工程学攻击案例