近期参加些攻防,选了一些个案例和大家分享,该篇内容没有多少技术上的研究和讲解,有的是些攻击上的思路及过程截图。文中图片上打了很多码,请大家见谅。怕公众号暴毙(近期有很多公众号已经没了)。
案例一:钓鱼到内网
该案例里,使用微信聊天,对目标网站运维进行钓鱼;获取运维终端后,收集敏感信息,如密码本等;进而获取内网系统权限。
过程中利用了对todesk连接历史记录的提取,获取了生产网的跳板机并扩大战果。
钓鱼前应当准备以下内容,来增加钓鱼成功率:
-
目标联系方式,必备 -
免杀效果好的木马。对火绒、360、def同时免杀的话能大大提高成功率,目前用户使用这三个杀毒软件的还是比较多的。 -
优秀的心理建设能力
一. 获取运维终端权限
通过目标站点,收集到网站运维人员信息。加上微信号开始钓鱼。
话术设想:该站点是对外提供服务的网站,可以使用“无法登录系统”为借口,寻求运维的帮助。
关键聊天截图如下
上线结果:
二. 获取密码本-浏览器历史密码
tip:进去内网时,尽量不用扫描工具和流量工具,因为这些工具会大大增加你暴露的风险。可以在终端上搜集敏感信息扩大战果,例如密码本、或浏览器密码。密码本可以通过翻文件搜集、浏览器历史密码导出工具可使用github的工具,使用该工具前请先免杀,现如今很多杀软已经能检测到该工具的特征。
密码文件截图
浏览器密码导出结果
文件内容截图就不贴了,打码太麻烦了。获取web系统权限多个,不过多贴图了。
三. 获得生产网跳板机
在钓鱼的终端上搜集信息时发现存在todesk,目前掌握两种利用方法:
-
一是破解本机的连接密码
将目标主机todesk的配置文件config.ini下载到本地,并覆盖自己的todesk配置文件,重启自己的todesk即可看到目标主机的连接密码。
-
二是破解目标使用todesk连接过的历史记录及密码
使用DumpMinitool或别的工具dump ToDesk.exe的内存,下载回本地;
使用strings提取内存中的字符串strings dump.txt > a.txt;
在a.txt中搜索UserId,可确定对应的UserId值,再根据UserId的值搜索,密码一般会出现在UserId值的下一行,或同一行。
根据UserId搜索密码
四. 跳板机内网成果获取
有了todesk的连接密码和id,找个没人的时间连接上去就可以了。这里有个小技巧:将自己的登录的todesk用户的头像和用户名改成钓鱼目标的,即使他的其他同事同时登录进来,应该也不会第一时间发觉。
使用todesk登录到跳板机后,发现该机器应该是公司内部主要的跳板机器(有可能是唯一的),里面有堡垒机、数据库、远程桌面,而且还都在连接状态。也省的去翻密码这些东西了,可以直接截图。截图就不大量贴了,看这张截图的最底部标签就行
到这里整个攻击流程就结束了,其实这里可以继续去横向,比如上传fscan这类工具。也确实这么干了,但很快就被发现了,并将我拒之门外。所以也能侧面反映出,扫描类、流量类的工具在内网中使用,还是很容易被发现的。
案例二:阿里OSS信息泄漏上云
该案例是利用阿里云的存储桶因配置不当泄漏了数据库数据,通过数据库数据,获取到了阿里云的access_key和secret_key。使用这两个值接管了云上服务资产,包括存储桶、云服务器、控制台权限等。
一. 存储桶任意文件下载泄漏数据库数据
搜集到的目标网站,存在存储桶目录遍历,且可任意下载。
这里造成信息泄漏的主要原因是Bucket和Object权限配置不当引起的。阿里云Bucket创建时默认权限是私有权限,且Object权限是继承,即私有权限。但运维人员如果为两者配置了公开访问权限的话,那么就会造成上述情况,匿名用户可以看到Bucket的文件列表,同时可以访问Object的内容。
利用上述问题,从中发现一条数据库的sql文件,下载下来后,导入navicat
从数据库数据中发现oss对应的key
二. 获取云上数据
使用teamssix师傅的cf云上攻防工具进行操作(地址:https://github.com/teamssix/cf) 查询OSS数据结果
查询ECS信息
执行命令
三. 获取控制台权限
控制台
存储桶列表
有师傅说利用cf接管控制台时,使用-u选项指定创建的用户名可以避免阿里云产生告警,但好像还是会触发告警。
该案例也到此结束,通过oss配置不当导致access和secrey信息泄漏,并进而获取运上资产。这里获取access和secrey方式,除了上述的方法还是有很多的,比如网站js、程序的反编译、网站的配置文件、linux终端用户的家目录,这些都有可能发现。
分享结束,愿读者朋友们工作顺利。
原文始发于微信公众号(冰蚕实验室):攻防案例分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论