去年某次金融zb,红队在内网扔了个钓鱼邮件,骗到运维在个人电脑装了带后门的FinalShell。三天后防守组发现域控异常登录,用FinalShellGetPass扫了全网的`conn`文件夹,揪出六个部门三十多台电脑里存的数据库密码。最离谱的是某位姐们把生产环境root密码写成「Admin@2023」存在连接备注里,攻击队都不用爆破直接复制粘贴,甲方CTO看完报告连夜给全员上了三堂密码管理课。
某次给能源集团做内网渗透,发现运维团队用FinalShell传文件的习惯十年未变。把GetPass打包成「系统升级补丁」发过去,第二天就在`conn`文件夹里挖到SCADA系统的工程师账号。最绝的是工具自动解析了带日期的连接备注,反推出值班表规律,挑着凌晨三点用休假人员的账号搞了个「无损渗透」,防守组复盘时直呼内行。
上次帮某互联网公司做代码审计,偶然发现测试环境某台跳板机的FinalShell配置被误传到GitHub。用Mac版GetPass扫了下`~/Library`目录,竟然找到三年前已离职CTO的AWS密钥,靠着这个密钥顺藤摸瓜查出个S3存储桶配置错误。
用FinalShellGetPass最大的风险不是被发现,而是容易让甲方产生幻觉。上周某客户看完渗透报告后,连夜把所有FinalShell卸载了,结果第二天全公司不会连SSH了。所以说工具再强也干不过人类的蜜汁操作啊(点烟远目)——有些运维,就该被按头学学啥叫密码管理器!
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
这玩意儿简直是运维人员的公开处刑台,去年金融重保时红队钓鱼拿到台装了FinalShell的电脑,FinalShellGetPass秒扫conn目录爆出三十多个数据库密码,最离谱的root密码直接写在连接备注里,甲方CTO看完报告连夜给全员上了三天密码管理课——这工具把「明文存储」四个字拍成了恐怖片。
-
玩的就是考古学,某次勒索软件袭击后运维手抖删了密钥,FinalShellGetPass从三个月前的连接记录里拼出密码规律,靠着「每周一改」的强迫症历史找回备份凭证,硬是把被加密的生产图纸抢救回来,甲方大爷差点给工具作者送锦旗。
-
把钓鱼玩成回合制游戏,护网时防守组在蜜罐里存假密码,红队用GetPass扫出「域管账号」触发三重告警,还根据假信息写了八千字渗透报告,这波反向操作直接把攻击队带进沟里,甲方安全部KPI超额完成笑得合不拢嘴。
-
堪称内网渗透的时光机,某能源集团渗透时工具自动解析FinalShell带日期的连接备注,反推出运维值班表规律,专挑凌晨三点用休假人员账号搞「无损横移」,防守组复盘时盯着攻击路径直呼「这特么是开了天眼」。
-
在代码审计里捡到宝,某互联网公司测试机配置误传GitHub,Mac版GetPass扫出三年前离职CTO的AWS密钥,顺藤摸瓜查出S3存储桶配置错误,技术VP当场拍板要给法务部配这工具——毕竟能挖祖坟的工具谁不爱呢。
下载链接
https://github.com/MaskCyberSecurityTeam/FinalShellGetPass
原文始发于微信公众号(白帽学子):FinalShell 密码提取工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论