社工渗透电信、网通、移动

误打误撞进入电信、网通、移动 By: 肥黑他兄弟 最近网马泛滥，学校的机器中木马忙得我不亦乐乎。挂马，一定得选最好的黄金地带，流量最大的站，用最好的下载者，挂就得挂效率最高的网马，免杀直接挂上，不行最少也得过个卡卡助手。什么“Opera”0day啊、“讯雷”0day、“暴风影音”0day啊，能给他挂的全给他挂上。多项下载者下几个QQ大盗，灰鸽子，还有网游21in1特变态的那种。中马了甭管有事没事都得弹人家几次网页：http://www.xxx.xxx，一地道的流氓软件，刷流量倍有面子！下载者里再下个AV终结者下载者，感染用熊猫的，想杀一次毒光时间就得几小时。再破坏安全模式，映像劫持。就是一个字：猛！开机器就得像个驴一样慢。旁边的人用的都是最新过主动防御的木马，你要是不会过主动，你都不好意思跟人家打招呼……你说这样的木马卖多少钱？（我觉得怎么着也得100吧？）100？那是成本！200RMB起。你别嫌贵，还不打折。你得研究挂马者的心理，愿意掏100RMB买木马的，根本不在乎再多掏200。什么叫挂马人士，你知道吗？挂马人士就是买什么木马，都买过免杀过主防的，不买最贵的！所以，我们做木马的口号就是：不求最贵，但求免杀！（您说这木马那里有买？）Pcshare和byshell都行！ 很久没玩黑，手渐渐生疏，前些天学院主页被挂了，服务器也被日下了，检查IIS日志和系统日志时候发现是XXX.XXX.XXX.XXX（一台服务器）这个IP利用eweditor漏洞然后从sevr-u漏洞提权进来的，建立了一个影子帐号“administrator$”，还放了流行的shift后门还有“NTPass” （ 一个用来截取windows系统登陆口令的工具），整了我很久，还用记事本打开system32目录下的eulagold.txt发现了服务器上管理员用户的帐号和密码，仔细看看eulagold.txt里还有他自己的建立的影子帐号的密码，（考虑到各位社会学太厉害下面的图片去掉一些信息）如图一： 图一 果运气好的话实验下这个帐号密码是否可以登陆这个XXX.XXX.XXX.XXX服务器。第一次用“administrator$”这个帐号测试，结果失败了；第二次用“administrator”这个帐号登陆结果万幸的成功了；说明他就是这个服务器的主人。随意在上面翻了下没有什么有兴趣的东西，观察下密码有点像电话号码，我们来百度查查：如图二： 图二 结果什么都没找到，等等我们换个方式，前面哪个0XXX是区号的话，我们在区号后面加个“-”会怎么样，结果一下就出结果了：如图三： 图三 从上面搜索到的网站我们得到一个很有用处的消息就是他的邮箱是admin@xxxxx.com.cn，后来发现这个邮箱居然某地区网通的员工邮箱，他们使用的邮箱是eyou05版的，这个邮件服务系统以前我曾经发现过一个XSS的脚本跨站漏洞：如图四： 图四 我们在插入IMG标签的地方测试下对“<>”的判断，02版的eyou在这里没过滤，可惜的是05版的被修复了，记得剑心以前写过一篇163XSS的文章翻以前的黑防来看看终于触发了XSS漏洞，如图五： 图五 至于怎么利用大家可以参看剑心的文章，我的做法是引入一个js“ocument.write("")”然后js内容为你的网页木马，于是我对这个E-MAIL自己给自己发了一封邮件。 很不幸的是他没有上线，不知道是JS的问题还是他的补丁弄得很全，无奈下回到他的邮箱中乱转一气看看有没有什么可以利用的东西。突然发现在邮件硬盘里发现了一个Winrar3.54的安装包，难道管理员用的是winrar3.54版本的，据说这个版本的WINRAR有溢出漏洞，赶紧翻出VC把硬盘上winrar3.5x的EXP给编译了，捆绑了一个免杀的PCSHARE然后再次发给他，不料他邮箱的密码给修改了，毕竟是玩黑的，安全意识还是有点的，只好用自己的邮箱给他发邮件，怎么发才能让他可信呢？伪造一个把，我们就用本地机的outlook伪造发件人为他们公司内部随便一个邮件发送给他们吧（用OUTLOOK发邮件的方法可以BAIDU一下）这里只需要注意这两个地方就可以了，如图六、七： 这两个地方要添上你要伪造的邮件名称。 图六 图七 过几天开PCSHARE看的时候突然发现肉鸡里面多了一台电信的新鸡（为什么网通会用电信的呢？） 由于PCSHARE有键盘记录，所有记录他的键盘操作，发现这个家伙是个权限很大管理员，负责这个地区的通信部门，用键盘记录下的密码和一些网站我们逐一登陆上去，晕到第一个登陆居然是该地区电信铃声管理后台，可惜我的坐机不是这个地区的，如图八： 图八 第二个网站是这个地区的移动铃声后台，可惜我的手机不在这个地区（汗），如图九： 图九 最后从他机器下载了一个考试录入出来，吓了我一跳原来是自考录入的工具，很可惜的是我无法登陆（要内网才能登陆而且密码输好保存在本地键盘记录不下来）用PCSHARE开了他的代理然后发弹进去，从监视中发现他的密码有11位（11个*号），难道是电话号码（加区号后正好11位），结果测试不对，一直猜了很久就是没登陆进去，后来看键盘记录的时候突然发现他登陆一个论坛的用户名是XX（他的真实姓名），然后密码是74123，我正想着是不是把电话号码的数字变成对应的特殊符号，突然发现74123在小键盘组合出来的图形正好是英文“L”，也就是他的姓名拼音简写的开头，那么XX（他的真实姓名）的话就是“LX”，我们来构造下“LX”=“74123753951”，可惜错了，难道是他写“X”的顺序不同？再来看看“74123951753”，估计是老天眷顾菜鸟，我们登陆进去了！如图十、十一 图十 图十一 进去看了下权限很大，可以录入也可以修改，我用同样的密码登陆他的服务器、支付宝、网络银行，如图十二 似乎前面测试登陆多次后管理员开始有所察觉，他开始开启杀毒软件查杀、修改密码，于是我赶紧把PCSHARE给远程卸载了，玩大了可不好，毕竟对方可不简单人物。 从被入侵到反入侵，中间的过程没有什么技术性可言，从社工他密码和邮件到利用邮件服务器漏洞和RAR漏洞到伪造邮件诱骗成功，到最后的猜卸密码，无疑最好的渗透方法思考去运用多种方法进行攻击。如一句话所说只要付出1%的努力，就可以让99%的入侵者束手无策，但是满世界却偏总有着无数的机器，愿意Free地让入侵者们使用，网络安全最薄弱的环节并不是系统漏洞，而是人的漏洞 !