A-A+

我们的第一次近源渗透

2021年03月29日 文章转载 暂无评论 阅读 767 views 次

我们的第一次近源渗透

0x01 前言

因项目需要与小伙伴们开始了职业生涯中的第一次近源渗透攻击,整个过程简单的同时又有趣,通过这次的实战又让我学习到了不少,也清楚的认识到真正的网络攻击中,web只是一个最常用的入口点仅此而已,入口点千千万就看攻击者是如何设想的了。

0x02 前期准备

干近源人是肯定要的。同时工具也是需要的,以下是当时项目准备的

  1. 准备三个人
  2. 准备一个免杀马(我不会另外一个小伙伴连夜改的)
  3. 准备好剧本(用与去现场的时候表演使用)
  4. 准备个空U盘放免杀马
  5. 准备几个BadUsb(用来扔现场)

0x03 现场踩点

首先肯定是要先去对方工作地方查看一下工作环境了,去到对方的工作地方的大楼发现一共六个电梯中间有四个电梯,这四个电梯上去以后就存在安全⻔,需要公司员工身份认证才可进入。

大楼左右两侧均有消防楼梯和货梯可以直接上去,但是上去以后也需要公司员工身份认证才可进入。

其中对方的楼层在17-19 楼,共三层

几个小伙伴思考以后决定先不尝试进入对方公司,而是找wifi之类的,通过手机查看发现对外wifi有三个。

Xx_public、Xx_staff、Xx_Intra 应该为目标 Wi-Fi 名称

image.png

RSSICHANNELHTCCSECURITYuth/unicast/group)

SSIDBSSID

TKI

CNWPA2CPSK/AES/AES)

-93

staffac:75:1d:ef:32:81

2C0CK/AES/AES)

60:12:3c:fb:71:c2-90

CNWPA2CPSKTAE

Intra60:

CNWPA2CPSK/AES/AES)

Intrac8:c4:65:33:49:62-8913

HKWPA2CPSK/AES/AES)

idreamskyQo:06:f4:2:2e:b1-88120

Y

CNWPA2CPSK/AES/AES)

stafff8:75:88:52:38:1-87

CNWPA2CPSK/AES/AES)

Y

Intra18:c5:8q:15:q0:62-8713

CNWPA2(CPSK/AES/AES)

Public60:12:3c:fb:71:c0-83

Xx 表示为对方公司缩写,为不泄露对方公司信息这里使用Xx表示

那么这三个wifi后面都可以测试进行密码爆破进对方内网

0x04 攻击思路

  1. 抓wifi爆密码
  2. 上招聘网站投简历然后正大光明进入对方公司面试
  3. 仍几个BadUsb到人家公司里面

0x05 攻击wifi

0x05.1 准备的工具

  1. 一台mac(因为自带 airport 可以抓wifi包,方便)
  2. 准备台kali虚拟机(用与爆破密码)

0x05.2 获取当前网卡名称

# 命令
ifconfig

我这台mac的网卡名称叫: en0
一般来说mac的网卡名称都叫这个

image.png

桌面--zsh-80x24

en:fIags883UPNM

options二400CHANNELIO>

ether3c:22:fb:d4:6a:eb

inet6fe80::438:13c1:7b10:763%en

prefixlen64securedscopeid0x6

192.168.124.255

obroadcast

inet192.168.124.13nmakxffffoob

nd6

options-201<PERFORMNUD,D

media:autoselect

active

status:

p2pb:flags-8843UPACUINMLE

mtu2304

options二400CHANNELIO>

eroe:22:fb:d4:6:eb

ether

media:autoselect

status:inactive

W18:LA9893UPMM

options二400<CHANNELIO>

66:8a:58:aa:bc:1e

ether

inet6

FE88::648A:58Ff:feaA%awixlen64scoedx8

options-201<PERFORMNUD,AD

nd6

media:autoselect

status:active

11w:FIags-8863UPCNML

options二400<CHANNELIO>

66:8a:58:aa:bc:1e

ether

fe80::648a:58ff:feaa:bc1e%1w0

inet6

prefixlen64

scopid0x9

0x05.3 抓wifi包

因为我是mac所以使用mac系统自带的airport工具就可以抓包了

主要有两条命令在mac命令行下执行即可

# 查看Wi-Fi
sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport -s

执行结果如下图:

image.png

RSSICHANNELHTCCSECURITYuth/unicast/group)

SSIDBSSID

TKI

CNWPA2CPSK/AES/AES)

-93

staffac:75:1d:ef:32:81

2C0CK/AES/AES)

60:12:3c:fb:71:c2-90

CNWPA2CPSKTAE

Intra60:

CNWPA2CPSK/AES/AES)

Intrac8:c4:65:33:49:62-8913

HKWPA2CPSK/AES/AES)

idreamskyQo:06:f4:2:2e:b1-88120

Y

CNWPA2CPSK/AES/AES)

stafff8:75:88:52:38:1-87

CNWPA2CPSK/AES/AES)

Y

Intra18:c5:8q:15:q0:62-8713

CNWPA2(CPSK/AES/AES)

Public60:12:3c:fb:71:c0-83

# 监听Wi-Fi
# 注意: 必须是刚好在监听的时候有人成功连接了Wi-Fi才可以抓到握手包
sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport [本机网卡名字] sniff [需监听的网络频道]
# 通过 查看Wi-Fi 的命令我们知道了目标的Wi-Fi
# 那么现在我要挑选 Xx_Public 进行爆破,那么命令就如下
# 其中 public 的CHANNEL 为 5


# 最终执行的命令如下
sudo /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/airport en0 sniff 5

执行完上面的命令,成功开始监听以后, Wi-Fi的图标会发生改变, 变成一个小眼睛图标如下图:

image.png

76%勺

这就表示在开始监听了

监听久一点, 然后使用control+c停止监听,系统会把监听到的数据保存到本地,数据会保存到/tmp/xxx.cap 文件中。

停止完毕以后到 /tmp 目录查找最新添加的 .cap 文件就是了

经过一段时间的抓包,成功获取到握手包:

image.png

tmp

total24752

992

511:18

31

drwxrwxrwt

whee1

root

192

413

2020

whee1

drwxr-xr-x

root

1421:45AITest1.err

?

wheel

root

-rw-r--r--

ALTest1.out

1421:45A1

wheel

1root

rw-r--r--

421:46ExmanProcessMutex

1rootrainwheel

-rw-r--r--

421:46aciseposture.pi

1rootrain

wheel

rw-r--r--

5431

1rootrain

511:17adobegc.log

wheel

rw-rw-rw-

1422:05qirportsniff29kxdD

?

1root

wheel

rw

1

421:57qirportSniff3i1ed6

wheel

1root

rw

421:50airportsniffctaqIx

wheel

root

rw

422:11airportsniffeqxo0j

1root

whee1

rw.

wheel

511:14qirportSnifffogD1w

root

511:18airportsnifffogd1w.cap

11784192

1

511:

root

wheel

rw-r--

f:09atrportsnittgonKJ

whee

rw

root

421:46

wheel

1root

at-2cocng

orw

961421:45boost_interprocess

wheel

root

rwxrwxrwx

有了这个包就可以在kali进行爆破了

0x05.4 密码构造思路

这个我觉得才是本章节的核心。

这里因为不能暴露项目的具体详情所以就换个其他公司名字进行讲解

例如现在我们要攻击的企业叫 百度证券 当然这个名字是我瞎取的

那么构造密码的时候就可以这样构造,首先找到 百度证券 的官网例如叫 bdzq.com

那么简称就是bdzq就可以围绕这个简称制作字典进行攻击

那么我们就可以生成对应的密码进行爆破主要密码生成规则如下:

# 基础规则:
    1. 公司简称全小写
    2. 公司简称首字母大写
    3. 公司简称字母全大写

# 密码: 
    公司简称@123456
    公司简称_123456
    公司简称123456

    公司简称@[email protected]#
    公司简称[email protected]#
    公司简称[email protected]#

    公司简称@年份              
    公司简称@年份月份

    公司简称_年份              
    公司简称_年份月份

    公司简称年份              
    公司简称年份月份

    公司简称@门牌号(例如门牌号 1801 表示18楼1号房)
    公司简称_门牌号
    公司简称门牌号
# 生成的密码字典例子

# [email protected]  bdzq_ bdzq 这3个后缀随便添加常用弱口令
[email protected]
bdzq_123456
bdzq123456
...

# [email protected] - [email protected] 
# bdzq_2010 - bdzq_2021 
# bdzq2010 - bdzq2021 
[email protected]
[email protected]
[email protected]
[email protected]

bdzq_2010
bdzq_2016
bdzq_2017
bdzq_2021

bdzq2010
bdzq2016
bdzq2017
bdzq2021
...

# [email protected] - [email protected]
# bdzq_201001 - bdzq_202112 
# bdzq201001 - bdzq202112
[email protected]
[email protected]
[email protected]

bdzq_201001
bdzq_201002
bdzq_201703

bdzq201001
bdzq201002
bdzq201703
...

大致就是这样组合

0x05.5 密码爆破

因为抓到了握手包所以就回家爆破了

最终经过好久的爆破终于成功爆出了Xx_Public 的密码:bdzq_201703

Wi-Fi名称: Xx_Public

密码:bdzq_201703

# 查看抓到的cap文件中的数据是否被抓取到
命令:sudo aircrack-ng /tmp/airportSnifffogDlw.cap

image.png

[email protected]:/Desktoprcrackno

openingairportsnifffogD1w.cap

Read53917packets

ESSID

Encryption

BSSID

Unknown

00:06:F4:E2:2E:91

00:06:F4:E2:32:00

Nodata

ta-WEPorWPA

00:06:F4:E2:32:02

wEPorWPA

Nodata

18:C5:8A:15:87:91

Unknown

WPA(日handshake)

2C:9D:1E:C1:0F:A1

2C:9D:1E:C1:10:71

Unknown

60:12:3C:FB:71:C0

WPA(1handshake,withPMKID)

Public

WEPorWPA

60:12:3C:FB:71:C1

statt

Nodata

wPA(0handshakewithPMKID)

Intra

60:12:3C:FB:71:C2

10

60:12:3C:FB:71:C3

Nodata-wEPorWPA

11

NodataWEPorWPA

60:12:3C:FB:71:C4

12

60:12:3C:FB:71:D1

Unknown

Nodata-WEPorWPA

13

MFP

A8:A7:95:07:BA:52

WPA(日handshake)

14

AC:75:1D:EF:32:81

Unknown

15

C8:C4:65:33:42:E1

16

C8:C4:65:33:43:C1

Unknown

17

Unknown

C8:C4:65:33:43:D1

18

F0:B4:29:18:BB:97

WPA(日handshake)

19

F4:E5:F2:45:15:50

WEPorWPA

Nodata

F4:E5:F2:45:16:D0

WPA(0handshake)

20

F4:E5:F2:45:16:D2

21

Nodata-wEPorWPA

None(0.0.0.0)

F4:E5:F2:45:16:D4

22

Nodata-wEPorWPA

F4:E5:F2:45:1B:50

23

F4:E5:F2:45:1B:52

24

Nodata-wePorWPA

F4:E5:F2:45:1B:54

25

None(0.0.0.0)

Indexnumberoftargetnetwork?7

openingairportsnifffogDiw.cap

Read53917packets.

上图中写着 WPA(1 handshake) 的表示抓包了握手包可以进行爆破

记住 BSSID 为 60:12:3c:fb:71:c0 爆破的时候需要用到

# 爆破方法如下
# 1. 把抓到的握手包 /tmp/airportSnifffogDlw.cap 放到 kali 中
# 2. 进入kali
# 3. 执行命令进行爆破

# 爆破命令:
sudo aircrack-ng -w 密码字典.txt -b 60:12:3c:fb:71:c0 /tmp/airportSnifffogDlw.cap 

# 60:12:3c:fb:71:c0 表示的是要进行爆破的那个Wi-Fi的 BSSID 

爆破成功的截图

image.png

201703

Pubiic:

Session.

hashcat

Cracked

Status.

WPA-EAPOL-PBKDF2

Hash.Nanne.

Pubiic

Hash.Target

ThuJan0700:08:042021

(2hours,15mins)

iine.Started.

ThuJan0702:23:3420210s

Tiine.Estilmated..

secs)

Filepassword.txt),Leftside

ueSs.Base..

mask(?d?d?d?d?d?d)[6,RightSide

Guess.Mod..

Guess.Queue.Base.:1/1(100.00%)

uess.Queue.Mod..:1/1(100.00%)

90H/s(0.29ms)@Acce1:4Loops:128Th1024c

Speed.#1.

1/1(100.00%)Digests

ecowered.

729103/1000000(72.91%)

rogress.

0/729103(0.00%)

ejected.

0/1(0.00%)

Restore.Point..

Salt:oAmplifier:729102-729103Iteration:0-1

Restore.Sub.#1.

201703->

201703

Candidates.#1..

Hardpare.Hon.#1..Temp

37Fan:29%uti1:85%Core:2055MHzem:7Mu6

Started:ThuJan0700:08:022021

Stopped:ThuJan0702:23:352021

0x05.6 最终成果

接着第二天又到了对方公司大楼,坐电梯到达 17 楼货梯处。

靠近角落打开手机使用破解出啦的密码连接 Xx_Public 成功连接目标网络

Wi-Fi名称: Xx_Public

密码:bdzq_201703

image.png

11:04V

Settings

WLAN

WLAN

Public

LHaauIcyuwvetuucuDavaliaic

networks

networks.

image.png

11:05V

4G

Public

WLAN

Usingaprivateaddresshelpsreducetrackingofyour

iPhoneacrossdifferentWLANnetworks.

LowDAtaMode

LowDataModEheLpSreduceouriPhonedatausageover

yourmobilenetworkorspecificWLANeworkl

WhenLowDataModeisturnedonutmticudatesand

backgroundtasks,suchaPhotossyncing,ra

IPV4ADDRESS

ConfigureIP

Automatic

IPAddress

10.75.

255.255.252.0

SubnetMask

10.75

Router

RenewLease

DNS

ConfigureDNS

Automatic

HTTPPROXY

Off

ConfigureProxy

终于成功接入对方的内网

0x06 进公司面试

0x06.1 攻击思路

在实施攻击的前四天通过招聘网站,做了一份前端程序员的简历投了过去。

接着去到对方公司大楼就说是面试的,这样就可以混进去。

然后在尝试通过忽悠前端来进行上线

接着我与另外一个小伙伴进行分工

一人负责查看cs是否上线,上线以后进行一些操作

我负责实时监听上去小伙伴的手机声音根据对方公司与他的聊天来采取对应的措施

这里就简称为 伙伴A   伙伴B   伙伴C

伙伴A进行上楼面试

伙伴B盯着CS查看是否上线

伙伴C为伙伴A打配合

剧本就是这个剧本了,就看怎么演了

0x06.2 实现攻击

这一次团队的 伙伴A 再次回到目标公司18楼,这里可能有人好奇为什么选择18楼不选择17楼或是19楼

因为17楼不是主做技术的,我们投的简历是前端到时候不好说。

而18楼是程序员的楼层,这一层符合我们投的简历,并且电脑连接域的可能性最大。

19楼是安全人员的楼层,该层人员的安全意识普遍较高,上去很容易暴露。

伙伴A 再次上到目标公司的18楼出了电梯,走到前台门禁出以后就看到一个前台小姐姐,然后就直接告诉前台小姐姐自己是来面试的报道的,帮忙开一下门。

该处有一些小细节,一般前台都会问你跟你预约的hr名字,还有应聘岗位等。

这个时候我们前面收集到的信息就有用了。

就想我们在实施攻击的前几天了解到该公司目前差前端。

那么就和hr说面试前端即可。

具体的社工场景如下,以下为实战中的对话:

前台小姐姐: 您好,您这边跟你预约面试的是哪位 hr,您应聘的岗位是?

伙伴A: 我这边是来应聘前端开发岗的,哎呀!我忘了问 hr 名字,我现在打个电话给他。

(然后拨通电话给下面那个打配合的伙伴C,伙伴C收到电话以后等待3-5秒不接故意挂掉)

伙伴A: 让我过来的 hr 现在应该在开会,我刚才过来之前和他通电话的时候他就说在忙,叫我先来18楼的休息室或者会议室等一下他。

前台小姐姐: 哦,好的,那您先简单记录下您的个人信息,还有这里有一份笔试题,我带您去会议室先答题。

伙伴A: 哎呀,不好意思,突然想起来一件重要的事情,hr交代我一定要记得带简历过来,我来到这里以后一直找不到打印店打印,你这里有打印机吗?可以帮我打印一下吗?

前台小姐姐:噢! 这个没问题的。您加下我微信吧,发过来给我。

伙伴A: 微信呀? 不知道微信里面有没有存,我这里 u盘里面有存着一份,你可以直接在你电脑上帮我打印一下可以吗?

前台小姐姐: (停顿思考了几秒钟)那你先做题吧,打印简历不急。

(这里证明目标公司平时还是有一定安全意识培训,不给乱插u盘)

这里 伙伴A 趁着假装登记个人信息时候, 伙伴C 提供一份免杀的简历马传给 伙伴A 微信

(伙伴C登记个人信息几分钟后,假装微信翻到了简历)

伙伴A: 咦?我前几天修改简历好像有保存在微信一份,我加你微信直接转发给你,你帮我打印好吗?

(这里千万有个注意的地方就是微信传过去的时候要发压缩包并且设置上密码, 不然可能会被微信检测到)

前台小姐姐: 好呀,没问题

接着前台小姐姐下载下来以后连点击简历马数次后没反应,跟伙伴A说可能电脑卡了。

在过了一会以后伙伴B告诉伙伴C目标已上线,伙伴C因为与伙伴A的手机一直在语音所以直接回复说目标已上线,可以撤离目标公司。

为了不引起前台小姐姐的怀疑,伙伴A顺势说可能前几天这份简历弄到一半没保存好格式有问题,打不开也没啥问题,晚点在去下面找打印店打印,提出先做面试题。

最后就被前台小姐姐带进了会议室做笔试题,做了大概十分钟,伙伴C觉得时机已经成熟了可以撤退就反手打电话给伙伴A,伙伴A就假装听着电话走到前台说,hr 叫我直接上 19楼面试后再做笔试,然后坐电梯到19楼走消防电梯趁机撤退。

0x06.3 最终成果

最终成果当然是上线了,并且在域内,进入了域内以后,通过翻前台小姐姐的机器与读密码,获取到了部分数据。

并且找到了堡垒机的ip,发现可以访问并且是常用堡垒机于是就使用0day把该堡垒机控下慢慢搞。

当然配图是不敢配的,万一没打好码就直接扑街了,因此这里不配图。

0x07 BadUsb 攻击

0x07.1 烧录

具体烧录方法可以查看为的上一篇文章:https://www.yuque.com/pmiaowu/isxog9/svuld7

这个写的很详细

0x07.1 攻击过程

伙伴A在去面试的时候假装想上厕所路过了休息区桌子,厕所门口附近显眼处放下了,二个BadUsb,等待好心人上钩 就撤退了。

0x06.2 最终成果

通过 BadUsb 后来也上线了。

但是上线就几分钟就断了,估计是因为一瞬间弹的命令行黑框让他害怕然后断网拔网线了。

图?图还是不敢放,万一没打码就暴毙了

0x08 总结

第一次上门近源原来会因为紧张导致口干舌燥与肚子疼。

整个过程很简单,但是真的有趣。

回顾过去,我觉得我们下次还有以下几处改进的地方

  1. BadUsb最小化那个cmd命令行(这个可以做但是当时懒)
  2. 调整心态, 只要你自己把自己当成正规的面试者那么就不会那么容易让人感觉不自然
  3. U盘里面下次要准备一份正常简历与一份简历马,那么下次的流程就可以改为先让前台点击简历马,然后在让前台点击我们准备好的正常简历进行打印,这样子前台就更加不会怀疑
  4. 免杀马要提前做好,这次项目免杀马因为没有提前做,导致我们一个小伙伴一直搞到4点才免杀
  5. 上面忽悠人家之前先去一趟厕所放空自己,因为真的会紧张导致肚子疼之类

成功上线以后,我们一共三个人,有两个人都因为紧张导致肚子疼要去厕所。

是的!!其中一个要去厕所的正是在下。。。

最后的最后还是想说一句,渗透真的是好玩啊。

原文链接:https://www.yuque.com/pmiaowu/isxog9/hezurp

标签:

给我留言