攻防案例分享

近期参加些攻防，选了一些个案例和大家分享，该篇内容没有多少技术上的研究和讲解，有的是些攻击上的思路及过程截图。文中图片上打了很多码，请大家见谅。怕公众号暴毙（近期有很多公众号已经没了）。

案例一：钓鱼到内网

该案例里，使用微信聊天，对目标网站运维进行钓鱼；获取运维终端后，收集敏感信息，如密码本等；进而获取内网系统权限。

过程中利用了对todesk连接历史记录的提取，获取了生产网的跳板机并扩大战果。

钓鱼前应当准备以下内容，来增加钓鱼成功率：

• 目标联系方式，必备
• 免杀效果好的木马。对火绒、360、def同时免杀的话能大大提高成功率，目前用户使用这三个杀毒软件的还是比较多的。
• 优秀的心理建设能力

一. 获取运维终端权限

通过目标站点，收集到网站运维人员信息。加上微信号开始钓鱼。

话术设想：该站点是对外提供服务的网站，可以使用“无法登录系统”为借口，寻求运维的帮助。

关键聊天截图如下 

上线结果：

二. 获取密码本-浏览器历史密码

tip：进去内网时，尽量不用扫描工具和流量工具，因为这些工具会大大增加你暴露的风险。可以在终端上搜集敏感信息扩大战果，例如密码本、或浏览器密码。密码本可以通过翻文件搜集、浏览器历史密码导出工具可使用github的工具，使用该工具前请先免杀，现如今很多杀软已经能检测到该工具的特征。

密码文件截图

浏览器密码导出结果

文件内容截图就不贴了，打码太麻烦了。获取web系统权限多个，不过多贴图了。

三. 获得生产网跳板机

在钓鱼的终端上搜集信息时发现存在todesk，目前掌握两种利用方法：

• 一是破解本机的连接密码

将目标主机todesk的配置文件config.ini下载到本地，并覆盖自己的todesk配置文件，重启自己的todesk即可看到目标主机的连接密码。

• 二是破解目标使用todesk连接过的历史记录及密码

使用DumpMinitool或别的工具dump ToDesk.exe的内存，下载回本地；

使用strings提取内存中的字符串strings dump.txt > a.txt；

在a.txt中搜索UserId，可确定对应的UserId值，再根据UserId的值搜索，密码一般会出现在UserId值的下一行，或同一行。

根据UserId搜索密码

四. 跳板机内网成果获取

有了todesk的连接密码和id，找个没人的时间连接上去就可以了。这里有个小技巧：将自己的登录的todesk用户的头像和用户名改成钓鱼目标的，即使他的其他同事同时登录进来，应该也不会第一时间发觉。

使用todesk登录到跳板机后，发现该机器应该是公司内部主要的跳板机器（有可能是唯一的），里面有堡垒机、数据库、远程桌面，而且还都在连接状态。也省的去翻密码这些东西了，可以直接截图。截图就不大量贴了，看这张截图的最底部标签就行

到这里整个攻击流程就结束了，其实这里可以继续去横向，比如上传fscan这类工具。也确实这么干了，但很快就被发现了，并将我拒之门外。所以也能侧面反映出，扫描类、流量类的工具在内网中使用，还是很容易被发现的。

案例二：阿里OSS信息泄漏上云

该案例是利用阿里云的存储桶因配置不当泄漏了数据库数据，通过数据库数据，获取到了阿里云的access_key和secret_key。使用这两个值接管了云上服务资产，包括存储桶、云服务器、控制台权限等。

一. 存储桶任意文件下载泄漏数据库数据

搜集到的目标网站，存在存储桶目录遍历，且可任意下载。

这里造成信息泄漏的主要原因是Bucket和Object权限配置不当引起的。阿里云Bucket创建时默认权限是私有权限，且Object权限是继承，即私有权限。但运维人员如果为两者配置了公开访问权限的话，那么就会造成上述情况，匿名用户可以看到Bucket的文件列表，同时可以访问Object的内容。

利用上述问题，从中发现一条数据库的sql文件，下载下来后，导入navicat

从数据库数据中发现oss对应的key

二. 获取云上数据

使用teamssix师傅的cf云上攻防工具进行操作（地址：https://github.com/teamssix/cf） 查询OSS数据结果

查询ECS信息

执行命令

三. 获取控制台权限

控制台

存储桶列表

有师傅说利用cf接管控制台时，使用-u选项指定创建的用户名可以避免阿里云产生告警，但好像还是会触发告警。

该案例也到此结束，通过oss配置不当导致access和secrey信息泄漏，并进而获取运上资产。这里获取access和secrey方式，除了上述的方法还是有很多的，比如网站js、程序的反编译、网站的配置文件、linux终端用户的家目录，这些都有可能发现。

分享结束，愿读者朋友们工作顺利。