专栏名称: 信息时代的犯罪侦查
一切行为皆有犯罪的可能性,而在信息时代,这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念,并希望能够推动侦查犯罪的机制变革,而这需要了解方方面面的信息。
目录
相关文章推荐
中核集团  ·  新春走基层 | 在核岛上蹁跹起舞的他们 ·  18 小时前  
百度智能云  ·  如何在百度百舸部署满血版DeepSeek-V ... ·  3 天前  
白鲸出海  ·  抓住环保热潮,小众3C产品靠独立站卖出高价 ·  昨天  
中核集团  ·  “孩子们,我们走了,接力棒交给你们了” ·  昨天  
阿里开发者  ·  以史为鉴,未雨绸缪:身处“大模型掀起的AI浪 ... ·  2 天前  
51好读  ›  专栏  ›  信息时代的犯罪侦查

从线上约架到精准落地线下身份(8)

信息时代的犯罪侦查  · 公众号  ·  · 2019-10-06 23:31

正文


随笔

知识

案例

声音

其他


编者按

大搜捕 ”第八步: 步步为营,连环打击内网并精确定位管理员

0x08 步步为营,连环打击内网并精确定位管理员
搞了这么久,这时候我才想起了还有一个已知且目标所在的工作区网段一直没搞——x.0.2.x。 由于对方整个企业的内网没有AD,所以相对来说工作组渗透难度略大,原因有二: 首先工作区是PC,只能在工作时间对其进行测试; 其次PC都装有防护软件,不能惊动对方,稍有不当可能会前功尽弃。



对于工作组渗透来说,我也没有特别好的思路。 先来一波端口扫描探测一下工作区存在的应用吧。 通过Nmap反馈的结果来看,内网存在几台Web服务器以及在PC上运行着的数据库服务等。



常规思路,尝试对这些Web服务进行入侵或者数据库等服务进行爆破。 通过x.0.2.x的Gitlab服务器进行测试,获取了部分员工的信息(如联系邮箱、网名等)。



根据前面nmap的检测结果,除了对445端口进行爆破以外,还尝试扫描ms17010漏洞。 终于在x.0.2.x这台Win7系统的PC中逮到了这个漏洞,然后使用工具精准打击。



接着进入该员工的PC中收集信息。

通过以上几个思路在内网搜集员工更多的相关信息,并将结果汇总后,查询其常用密码并加入到爆破字典中继续循环爆破。 由于是PC,所以一般来说电脑密码的不像Server那样不存在共性(弱口令除外),而是个性化的。
潜伏在内网多日,通过对开放Web服务的PC进行了不定期的扫描,找到还有两台PC存在被入侵的可能,因此选择在工作时间对他们进行测试。 对x.0.2.x进行全端口扫描后发现不存在80端口,但是却安装了宝塔面板。 手工测试几个弱口令后发现皆不能进入后台,这时候借助前期针对员工收集的信息,找到其常用密码成功登入后台。


然后使用宝塔面板的文件管理功能,成功getshell。


通过对该员工PC的进程分析,发现了内网的即时通讯软件。 简单分析了一下这个程序,发现config文件里会记录内网用户的IP、MAC和主机名等情况。 接着常规思路入侵了x.0.2.x的另一台PC。 发现该员工曾使用过Navicat,使用相应的密码恢复工具截获了他的密码。


当我打算在午休时间接管他电脑时候,发现上传的工具老被Kill掉,后发现存在 某数字防护软件。 没办法只能改变思路,决定在深夜使用远程桌面接管PC,然后关闭 某数字防护软件并作进一步收集信息工作。 连接远程桌面需要密码,同时PC上还运行着 某数字防护软件导致无法使用mimikatz直接抓取密码,同时还存在一个问题,Win2012以上默认不再缓存明文密码。


对此我想到一个思路,先通过修改注册表实现开启缓存明文密码的功能,接着使用小手段迫使其重新登录账号,最后使用procdump导出lsass中缓存的明文密码即可。 在开启缓存明文密码的功能后,由于无法获知管理员是否使用PC导致暂时无法进行交互操作,所以需要通过截屏来了解进展情况。 常用的命令行截图工具也被查杀了,再这么下去,估计迟早会被对方发现。 灵机一动想到可以使用自带的psr.exe对用户的操作进行记录和截屏:



上班时间在打游戏,挑准他准备放大招时候,强制其退出登录并迫使重新输入密码,最后使用procdump抓取进程中的内存文件。



接着本地搭建环境并将lsass的内存文件恢复到本地的进程中,使用mimikatz进行抓取。 折腾了这么久居然抓取不到密码,又让我陷入了沉思中…



算了,继续在webshell下操作吧。 通过对这名员工的信息收集,再次获取了部分员工的IP及计算机名等。 根据渗透过程中收集的信息 + 即时通讯软件中获取的用户名组合字典,对内网网段x.0.2.x、x.0.4.x、x.0.7.x、x.0.8.x巡回扫描爆破,最终汇总爆破结果如下:


同时将内网IP精准定位到员工的姓名上。 使用前面收集的各种信息以及结合社工手段,最终将部分员工的信息汇总如下:


本章外传: 终极定位

虽然梳理出内网中部分员工的IP,但是始终没有找到与PersonA对应的员工。 领导曾经说过“行百里者半九十”,内网渗透绝不是轻轻松松、敲锣打鼓就能实现的,越是到最后阶段越是要准备付出更为艰巨、更为艰苦的努力!
一般来说员工都会加入自己公司的微信群,在已控的服务器中找到一个已登录过的微信,在茫茫的对话记录中查找与该公司有关的关键字,成功找到其微信群。 在一个昵称名为“xxxx”的发言中找到了新的线索——此人掌管着核心网络设备。



同时我也觉得这个用户名十分的眼熟,在前面的渗透过程中似乎见到过。 短暂的思考后,想到应该是在数据库里见过,查询了一下发现数据库里果然有他。







请到「今天看啥」查看全文


推荐文章
中核集团  ·  新春走基层 | 在核岛上蹁跹起舞的他们
18 小时前
百度智能云  ·  如何在百度百舸部署满血版DeepSeek-V3、DeepSeek-R1模型
3 天前
白鲸出海  ·  抓住环保热潮,小众3C产品靠独立站卖出高价
昨天
中核集团  ·  “孩子们,我们走了,接力棒交给你们了”
昨天
阿里开发者  ·  以史为鉴,未雨绸缪:身处“大模型掀起的AI浪潮中”的感悟和思考
2 天前
读史  ·  人在单位三惜三忌三注意(值得收藏)
8 年前
少女兔  ·  宇宙最萌的兔姐表情包上架了!赶快拿去挑逗男朋友吧
7 年前
美美娱乐  ·  她曾因“懒惰”错失《甄嬛传》华妃娘娘一角,事后痛心疾首!如今,二度与孙俪合作终于逆袭?
7 年前
大宗内参  ·  独家专访 | 尉俊毅:贴水使双焦有恃无恐 没上车的要抓紧!
7 年前
亿恩  ·  产品新奇有创意,卖家们快看会不会爆?
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!