【Hacking黑白红】,一线渗透攻防实战交流平台
回复“电子书”获取web渗透、CTF电子书:
回复“视频教程”获取渗透测试视频教程;
回复“内网书籍”获取内网学习资料;
回复“CTF工具”获取渗透、CTF全套工具;
回复“内网渗透;”获取内网渗透资料;
回复"护网";获取护网学习资料 ;
作者:17岁的one
原文地址:https://xz.aliyun.com/t/10731
前言
分享两次公司内部的红蓝对抗的过程,这两次演习的时间不长,都只有五天。
攻击方必须从互联网向目标发起攻击。禁止直接利用总部内网或分支内网发起攻击或探测。禁止直接利用自己的员工账号及权限进行攻击测试。
禁止使用物理攻击。
目标明确,必须通过互联网打进去,所以只有两条路可以走,0DAY(没有),钓鱼(YES)
第N次红蓝对抗
攻击路径
前期在BOSS直聘找到公司招聘信息,并添加相应招聘负责人个人微信,对招聘岗位进行沟通。发送捆绑个人简历的exe诱导HR点击,浏览器密码收集,获取个人内网密码,登录企业wiki获取通讯录,内网邮件钓鱼,区域安全员上钩。
钓鱼
一个公司对外一般都有招聘和客户交流渠道。本次钓鱼就选择了招聘场景进行钓鱼。想要快速的鱼儿上钩还是得能和目标进行沟通,靠骗,靠忽悠。
发邮件说不定都过不了外网邮件网关......
制作鱼饵,制作一份有竞争力的候选人简历,在招聘软件上点击目标公司的职位点击收藏,这样HR能看见我看过职位,但是我不主动聊天,这样显得我高冷,假装技术大牛。
这样就可以筛选出受众群体(岗位急,hr经常在线,我符合该HC)。
聊天要求加wechat:
找个合适的理由要wechat,点击招聘软件的交换wechat按钮,手工输入费时间,利用这个功能可能目标看见消息就会下意识点击,动作快过思考。当然也可以先聊聊,招聘场景下先问能介绍下有详细的JD或是岗位职责吗?
能介绍下这个职位的定位和当前所在的部门吗?
wechat聊天:
提前进入角色,我是友商多年安全老司机,微信养号,发两条朋友圈,秀出工牌(脉脉领英上找):
导师制作了免杀马,整个程序执行流程为点击文件后,调用系统默认pdf阅读程序打开真实pdf文件的简历,然后在后台释放cobalt strike 加载器,执行cobalt strike payload。
编译的时候换上PDF的icon,文件名加长空格。
没有用反转字符,当时好像文件名带了这个字符DF就报毒了
(https://unicode-table.com/en/202E/)
聊天:
尽量工作时间段聊,这个时候HR会电脑办公。
在这个阶段上线3台主机,进入办公网。当然也不是一帆风顺,一位HR小姐姐察觉到了异常,另一位安全研发经理我好说歹说他就是不点:
同样的话术,另一位就非要我发PDF.......
权限维持主要是利用Startupfolder和hkcurun key。
抓取浏览器密码(https://github.com/moonD4rk/HackBrowserData)
需要临时做免杀,获取了钓鱼目标的内网域账号,登录邮箱和confluence。
获取通讯录,接下来又群发了两封钓鱼邮件,关于清明节放假和防疫通知的主题。
这个时候安全管理部的同学已经发现了,因为动静太大了,然后全员邮件《关于XX对抗的钓鱼通知》。
本想着没有收获,结果第二天就有上线了,其中就上线了区域的安全管理员,然后找到了安全交接的文档。
后面本来想利用设备抓包功能抓到关键系统的数据,可惜时间不够了。
说是五天实际上除去写报告,干活就三天。
防御建议:
规范招聘简历接收流程,对于简历接收,只允许通过专业招聘平台和公司邮箱,禁止使用个人即时通讯工具接收简历。
安全意识培训(公司经常做邮件钓鱼方面,但即时通讯工具方面应该还没做)。
第N+1次红蓝对抗
大半年过去了,马上又要开始内部对抗了,上次钓鱼了招聘组,这一次行不通了,对抗前安全部的同学好像专门给HR小姐姐们做了培训,上次对抗结束的时候也在内部更新了安全意识培训的课程还有考试。
攻击路径
通过钓鱼获取两个权限,翻邮箱,发现共享文件夹,找到相关文件《XXXX操作手册》,扩散据点,弱口令扫描,信息收集,定制字典扫描,钓鱼。
钓鱼
对目标钓鱼之前要了解目标业务,平时有什么对外交流的渠道,知道这些才能做剧本。这次简历钓鱼是行不通了,不过团队里面的好兄弟之前轮过岗,对某业务流程比较熟悉。
所以这次模拟的是甲方爸爸。先Google搜相关客户的招标信息,拿到一些设备的关键信息。
然后直接打电话,说设备故障需要安排工程师处置,留下QQ。
先交流一会,然后诱导其右键管理员点击顺带bypassUAC:
再接着忽悠:
至此上线两台主机。
其中自解压木马的制作可以参考(https://blog.gxzhang.cn/20200411/4043.html)
制作好后再ResourceHacker替换图标。
翻文件
办公网个人办公电脑在工作组,内网的一些WEB系统需要域账号登录,所以读浏览器密码就能拿到内网密码。挂代理登录邮箱,翻邮件后,发现一个共享文件夹:
在里面找到了《xxx操作手册》
也拿到了该部门小姐姐们的照片,可爱捏。
意外收获,同事在偷看小姐姐桌面的时候居然截屏到了关键的在线文档的图片。
弱口令
很多公司内网里面都会有扫描器,安全设备,这些设备一般都会在全流量检测的白名单里面,所以在内网里面扫描可以想办法搞一台,maybe就是默认口令。拿下来了,在内网里开炮都不会告警。
先找了一个段做ssh弱口令(123456)扫描,扫出几台,登录上去发现研发的内网账号,再登录confluence,本来上次攻防结束后内网大部分系统都改为双因子登录,但是这个账号居然可以登录。
弱口令扫描+翻文件又登陆了37台服务器。
三封钓鱼邮件
第一份钓鱼邮件是给当前部门内部发的,恶意文件直接就放在内网的文件共享服务器上。
被发现,入口点-1,内网账号-1
第二份钓鱼邮件是选取部分部门推送,已附件的形式发送。
午饭的时候发的,结果被收到邮件的同事举报了。
全员邮箱获取方式:
本来想Kerberoasting,发现了3个SPNuser,但是没跑出来。
但是密码喷射出了一个账号:
我们用这个非用户账号发第三份钓鱼邮件,用的是密码过期模板:
修改密码的网站的超链接实际指向的是我们控制的内网IP。
结果钓到了HRBP:
结尾
再说点有意思的,第一次发钓鱼邮件的时候,foxmail客户端带了自己主机的hostname,当场社死,有考虑换个星球生活了。
因为第一次对抗的时候的规则是,需要从互联网攻击,有另外一队小伙伴物理渗透,从前台的桌面的小纸条发现了账号,于是登上给装了向日葵,回家了给一顿扫。第二天被安全部同学查监控抓了出来。建议下次戴个帽子换下装。
声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果.
04 2021 护网系列
护网系列
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论