一、 背景介绍
金融行业的攻防演练早已超越了仅仅通过1/Nday漏洞简单扫描就能突破边界的阶段,现在社工攻击和供应链攻击已成为常见的攻击手段。
本文介绍了一次演练项目,通过结合供应链和社工攻击,绕过安全设备的保护,成功打破目标的案例。
二、 突破路径
- 伪造登录页面进行钓鱼攻击以窃取账户密码
- 登录系统后台后上传文件以获取系统控制权限(云服务器)
- 通过登录页面进行水坑攻击以获取办公电脑权限(DNS上线控制服务器)
- 绕过安全厂商的AC设备防护,切换到HTTP以上线控制服务器
- 在内网中进行横向攻击,攻陷域控制器
三、 突破详情
经过初步扫描和踩点,发现该单位的暴露面较小,系统都是自主研发的,未能找到突破边界的入口点。边界还配置了WAF防护,在没有0day漏洞的情况下,进攻变得极为困难。
针对收集到的Web资产进行逐一分析时,发现了一个带有该单位Logo的电子学习平台。然而,该资产托管在云上,不属于客户的IT资产。在未找到其他登录入口的情况下,只能尝试从这一点突破。
于是制作了钓鱼页面,利用EmailAll工具收集目标邮箱,并批量发送了100封钓鱼邮件。
经过一整晚的等待,运气较好,终于等到了一个人提交了信息。
成功登录
利用文件上传漏洞成功获取了系统控制权限,并通过控制服务器上线。然而,由于这是一台云服务器,与实际内网无法连通,因此只能考虑刷一些数据以积累分数。
找到数据库配置文件后,发现其中包含了该单位员工的信息。
基于上述信息,可以确认该平台是第三方供应商提供的在线电子学习平台,所有员工会定期登录此平台进行学习。由于我们已经基本掌握了该单位所有员工的信息,可以进一步进行精准攻击。
接下来的步骤是:通过登录页面进行水坑攻击,获取个人办公电脑的访问权限,从而进入办公网络。
与裁判确认并获得批准后,水坑攻击开始实施!
将运维人员邮箱筛选出来进行鱼叉攻击,发送邮件告知其需要登录学习网站修改密码。如果点了“立即升级”并运行,电脑就立即上线。这里遇到一个问题,很多金融单位会限制办公电脑上网,但是一般只会限制http,而很容易把dns给忽略,所以走cs dns上线可以尽量多的上线目标。
很快,上线了一台pc,成功进入办公网
由于DNS协议的延迟非常高,执行每条命令可能需要等待1分钟,导致在内网中横向移动的时间成本非常高,因此效果不佳。尝试通过HTTP监听器上线时也失败了。
经过简单的信息收集后,发现使用了某安全厂商的AC(访问控制)上网设备。PC终端通过输入账号密码进行AC认证后可以访问互联网,而对用户能否访问特定网站的限制一般是通过配置HTTP Host头的白名单来实现的。
尝试访问公司官网时,HTTP访问正常。因此,将CS监听器的Host配置为公司官网的域名,成功实现了HTTP上线。
接下来就是愉快的内网横向渗透。经过扫描发现了域控。与裁判报备后,利用CVE-2020-1472漏洞成功获取了域控权限。
至此结束
四、 复盘总结
- 员工安全意识薄弱
员工对钓鱼攻击和网络安全防范的意识不强,容易成为攻击的入口。 - 供应商系统未定期进行安全测试
第三方供应商提供的系统没有进行定期的安全测试,未能及时发现和修复漏洞。 - 内网系统普遍防护薄弱,未加固
内网系统的防护措施普遍较弱,未进行必要的加固和提升,导致攻击者能够轻易横向移动。 - 安全设备未更新至最新,导致被绕过
使用的安全设备未及时更新至最新版本,存在被绕过的风险,影响了整体的防护效果。
我们红岸基地网安教学,只有两个老师、一个是赵小龙老师、一个是陈师傅。可以联系微信:Changethe_one,只要你提供目前的现状与学历,陈老师可以免费帮大家做职业规划。
Changethe_one
原文始发于微信公众号(暗影网安实验室):HW案例:一次金融目标供应链+社工通关
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论