记一次攻击实录

记一次T攻击实录-part1

Posted by hmoytx on November 30, 2019

记一次攻击实录(1)

前言

对某校(自己学校)的一次长达近半年的攻击,算是落地相对成功的一次攻击。现在因为一些原因,已经结束了,把一些过程中的细节展示出来。因为对比于真正的APT攻击,我这个只能算是小儿科,没有资金,目的没有那么明确,过程中在战术制定上有很大问题,而且没有注意很多细节都有可能或者是已经暴露了自己,庆幸的是运维人员没那么专业也没那么敬业,我暂时没有被水表。
很多时候,前期累积的资源会在关键时刻发挥意想不到的作用。具体的攻击原因不仅仅是兴趣,炫技什么的,主要还是因为一些矛盾,一些不合理的安排,毕竟也是个小社会,后面就开始了这次攻击。
这部分内容是对之前实战系列中的几篇文章的总结。文章传送门

前期工作

我明确了一下目的和范围,目的和目标拿下所有教职工以及学生数据,并保持一段时间内的监控。范围是限定在学校的内网,重要的一些服务器,OA,教务,学工等,这几个有着大量的数据。入手网段就限定在内网各种web应用的网段。
前期一些资源是有意无意的获取的,早在上半年便开始盯上某教授实验室的一台服务器,先加好微信,盯上的是一台dell的2U服务器,那时候纯粹就是想拿来搭建VPN用来上网用的,后来发现了妙用,接触并且获得服务器的思路也是很简单粗暴。
191130_1
在3 4月的时候,借由所谓需要一些模型训练为由,去问老师借用服务器,基本就是秒同意了,因为学生参加竞赛或者做项目,或多或少都是凭借这种深度学习的噱头,所以一台学院的服务器,没有内网网址,是挂在路由器下面的,需要路由器映射。奇葩的是,那里路由密码和wifi密码相同,服务器本来就做了RDP的端口映射,还有teamviwer开着,有点奇葩。
这一来基本有简单的方法进入内网了。但是随之而来还有一个问题,就是实验室的学生,研究生有时候手贱把服务器整挂了,会导致很多问题,所以这台服务器,就前期用了几次,后来就没怎么用,毕竟去打某些网段还会被防火墙拦了。
这时候就需要从别的地方开始想办法了。中间因为一些面试期末考试啥的,那段时间也没有继续收集信息。
期间还挖了几个看似能用实际卵用的洞。
191130_2
191130_3
转机发生在9月,在帮办公室老师忙的时候,通过一张小纸条,顺走一个教职工账号,学校的SSL是只对教职和研究僧开放的,所以又一个教职的号能省很多事,毕竟能测的系统更多,不需要我再去手动收集。

突破建立据点

到10月中旬,开启对应用,系统进行打点,利用实验室服务器部署的nessus开始对内网目标网段进行扫描,建议要快执行,快导出,快撤离。因为我后来作死,对整个A段进行了扫描,在期间导出了一部分报告,但是动静太大了,后来我就和实验室的服务器失联了。这里想说的是必要时可以舍弃一些资产,这是完全可以接受的,前提是这个资产能换到等量或者更多的资产,本身原则上来说长期使用固定的资产,在内网中也是不可取的。
191130_4
根据收集到的目标网段漏洞信息,发现很多的ms17_010,尝试利用,失败,怀疑是有防火墙。然后开始看看有没有可以利用的漏洞getshell,最后发现了两台,一台已经废弃的应用,有st2-045,两台redis未授权访问,且有台是root启动。
191130_5
通过st2-045 getshell后,添加了密钥,却无法登陆,放弃了(事实上后来证明是可以登录的)。选择了redis的那台,上传部署了msf,事实上通过这台可以用ms17010打了。
191130_6

横向突破

过程比较无聊,就是先ms17010打一遍,读密码,翻文件,再登录,对此组建了一份口令字典,再重新对内网进行口令扫描,又一步扩大在这个网段的可控资产数量。
191130_7
回过头来,根据收集到的A段漏洞信息,挑了一些进行测试,拿下了一台保卫处的机器,有人一直看着,没来及导出hash就死了,只是乘着手脚快,下载了几个文件,有校内监控点位分布,以及监控口令。一台能源的机器,没啥用,就是用来抄电表。一堆图书馆的虚拟机,应该是资源包库,没啥用。
191130_8
基本都是重复密码,根据新旧密码略有不同而已。
191130_9
重新查看目标网段的机器,发现了有一台教务的机器,读了下hash,发现所有教务系统的是通用的密码,然后查看教务系统所在的内网其它几台03的机器,下载文档一份,拿到教务数据库密码,对教师帐号进行了下载,密码存在正方自带的加密,用脚本解密即可。
191130_10
191130_11
根据正方数据库里的密码,测试几个运维教职工的帐号密码,成功率不高(因为很多现在密码都是空,都是通过门户同一认证登录的),但是有收获(一些老教职工用的密码是和OA门户通用的),进一步拿到了OA的服务器(翻邮箱),以及门户认证的服务器,可以重置所有用户的帐号密码,但是不建议修改,我是通过配合找回密码,发送验证码以后再修改,伪造成是通过免密码重置平台修改的。

总结

第一阶段战果:
能源系统,监控系统,老oa服务器,教务系统,一卡通充值系统,财务系统,认证系统,老邮箱。 教务系统中的学生以及教师数据。
利用接口撞库,(密码是默认身份证后六位),撞到一堆学生帐号。