免责声明
由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
01 环境前言
红蓝对抗无疑是一场持续性的博弈过程,随着近几年的攻防不断,打了一轮又一轮,web漏洞的急剧减少,社工钓鱼显然成为了主流的攻击手段之一。
02 常规操作
拿到靶标后 --> 资产收集 --> 找软柿子 --> 尝试打点
一般思路走一遍流程
拿到靶标单位信息后,通过企查查查域名和企业架构,发现没有对外投资,只有一个上级单位总公司
找子域,也没啥可用资产(virustotal.com,快速简便但不准确)
通过qaxnb资产绘测平台来看看是否有可用信息,也是空空如也
通过多点Ping,域名解析等操作来找真实IP,发现都是指向阿里云
一套流程下来,除了一个打不动的官网(域名解析指向云,更没心情去深入挖掘了),没有任何可以打点的目标了
最终得出结论:软柿子竟是我自己🤢
03 条条大路通罗马
从上面流程可以看到,能够完成Dll劫持的关键在于修改环境变量的值,那么完成持久化的关键就在于维持目标进程环境变量值的修改。下面提供2种持久化方案:
web打不动,就不能走常规操作了,开始把矛头对准公众号,小程序
通过测移动端的应用,观察请求地址和回包内容,终于找到了真实IP地址,因此也得官网并没挂在云上
通过IP进行全端口扫描,发现存在H3C网管设备,可以大概猜测出该IP为出口IP了
通过扫描前后五个IP的全端口信息,喜出望外的发现了好几个应用系统,看着就像软柿子,感觉成功就在眼前了,马上就要一发入魂,直捣黄龙了,想想还有点小激动,嘿嘿嘿
结果,虽然存在一些漏洞,但还是一个都锤不动,getshell失败
果然,软柿子竟是我自己🤢
但是,咱们做攻防的都是刚枪王,不到最后一秒是不会不放弃的,在渗透某系统的时候发现了一个大宝贝(在线人工一对一微信二维码 )
04 我爱客服
添加靶标客服后,我那激动的心,颤抖的手,无一都不暗示着我们俩之间会像是初恋那般的美好,干柴遇烈火,今晚指定得发生点什么,嘿嘿嘿
通过对话的时间间隔和回复的短短只言片语,不难看出,枉我一篇赤诚之心,她对我竟是敷衍。
但俗话说得好:”撑死胆大的,饿死胆小的”,我断定出她对我不够上心,故,我决定做个胆大的好男儿。
果然,在我那一句:“你确定吗?你有真心对我吗?”,在两个“?”的攻势下,她果然回心转意了,点开了我的大宝贝。我也成功的进入了她们单位的内网。
05 细节决定成败
通过搜集进程信息和端口信息,发现内网存在金山杀毒,访问发现版本为v9(上传已修复)
细节来啦,在前面测公众号时,发现一处账户密码,便随手记录了下来
分析规律后手动重组几个账户密码,拿来碰撞金山杀毒,又是一发入魂,精准打击,成功拿下
古人云:”内网之,得集控者得天下“。至此,虽已足够让该单位内网沦陷,但还不够完美,总感觉还少了什么,所以还得继续冲
通过组装后的密码,拿下上文的H3C网络设备,发现我直接成为了网络管理员,清楚了所有的路由走向和网络策略,嘿嘿嘿
细心的师傅其实已经发现了,内网还存在vmware(上诉某图片的webtitle),那肯定也不能放过她,是吧,嘿嘿嘿
通过历史漏洞成功拿下,发现部署了核心生产系统,但是居然历史漏洞都没补🤢
getshell --> 拿data.mdb --> 解密 --> 获取cookie --> 进后台
其他都是一些零零碎碎的东西了,没啥技术含量,想必各位师傅也不喜欢,那么就到此为止吧,再打就不礼貌了
06 攻击路径
07 往期回顾
文章来源:攻防日记
原文地址:https://t.zsxq.com/04NZbUZvR
如需转载本样式风格、字体版权,请保留出处:李白你好