最近工作和生活都比较忙,一些需要搭环境做实验的文章没时间写,就只能水一水这种不需要动手,吹吹水一两个小时就能写完的文章,各位见谅。
这周的文章记录一下在平时做项目过程中钓鱼的目标上钩后,我们要做的事情。
目前我们使用的钓鱼木马没有自带权限维持功能(我不太懂怎么写木马,可能是为了增加免杀效果+减小木马体积?),目标关机后权限就掉了。所以鱼儿上钩后需要手动上去做一下权限维持,达成持久化控制的效果。
windows权限维持的手段有很多,但是想要免杀通常都需要自己改一改,公开的直接拿来用是不行的。目前我们团队的二进制大佬使用过的手段有计划任务、dll劫持和lnk后门。
都是正在使用的所以不能在这里分享啦,以后我个人补充了这方面的知识后再写文章给大家分享一下原理吧。
某些聊天工具是把session持久化存储在本地的,把这些session拖回到自己的电脑里就可以无感登录鱼儿的账号,翻看他们的聊天记录,对落地身份、获取敏感信息都很有帮助。
具体哪些聊天工具可以拖session呢——那些只要登录一次,关闭后再次打开不需要重新登录的工具。
至于session存储在哪里是需要自己找一找的,实在找不到就把聊天工具的目录里所有东西都拖回来就好。
一般的小项目,钓一条鱼就够项目用了,不需要继续深入。但是大型项目往往有很复杂的内网,钓鱼会作为打入内网的手段之一。这时就需要在鱼儿的机器上打一条隧道出来。
隧道打好后,哪怕权限维持没有做好,只要隧道不掉,照样可以实现通过鱼儿的机器访问目标内网的效果,相当于在内网中占领了一个据点。
https://github.com/moonD4rk/HackBrowserData
浏览器里的敏感数据包括:保存的密码、浏览历史、cookie、书签、下载记录等等。获得这些数据对于推进项目进程和获取人员身份都有很大的帮助。
至于工具就推荐上面的那个HackBrowserData,因为公开项目每一次更新都会受到各大杀软的监控,所以项目作者放弃了免杀效果,需要下载回来自己做免杀之后才能使用。
查看鱼儿的机器上登录过哪些微信和QQ,这些通常是客户需要的。
QQ号:在Tencent Files目录中,默认在文档目录下即
C:Users用户名DocumentsTencent Files
微信号:在WeChat Files目录中,默认在文档目录下即
C:Users用户名DocumentsWeChat Files
只能看到微信id看不到微信号,把id交给客户去取证就好啦,同样是每个id都是一个子目录的形式。
微信和QQ都是默认把数据保存在文档目录下,但不排除有些鱼手动改过,或旧版本的保存位置不同,如果出现这种情况就需要慢慢翻找一下。
这个很好理解啦,看鱼儿的机器上有什么有用的资料就通通拖回来咯。
C:Users用户名DocumentsWeChat Fileswxid_xxxxxFileStorageFile
这些动作是没有固定的顺序的,也没有需要递进的逻辑关系,推荐是多人分工合作增加效率。
但如果是单打独斗的话,那就根据项目的侧重点去决定动作的先后顺序:
(1)侧重于攻击内网:打隧道>拖聊天工具>抓浏览器>其他
(2)侧重于落地身份:拖聊天工具>看微信QQ>抓浏览器>其他
(3)侧重于获取资料:拖文件>拖聊天工具>权限维持>其他
以此类推,可以在钓鱼前就想好自己最需要什么,免得鱼儿突然上钩后手忙脚乱的。
END.
喵,点个赞再走吧~
本文始发于微信公众号(小黑的安全笔记):渗透 | 鱼儿上钩后的TodoList
评论