/ 渗透测试

趋势科技的一次培训APT模拟攻击实验WP

0x01 拓扑图和环境

这个是2016年铁人三项赛前培训的一次内容,趋势科技的一个工程师给我们做的培训。之前写在老博客上,现在迁移过来。拓扑图如下:

网络拓扑图

目的:攻击者Harry要拿到位于SRV-Doc上的一个.doc文件,名字是ACE202.Exercise.doc,同时George也在等这份文件。

0x02 邮件社工

利用George也在等待这份文件,发送可将windows的sethc文件改成cmd文件的可执行文件,但是我们要利用George等待的文件来伪装我们这封邮件,将我们的可执行文件伪装成ACE202.Exercise.doc文件,这样只要George下载了我们的附件后我们的目的就达成了。伪装的方法使用的是插入unicode字符翻转文件名。

  1. 先将 文件名修改为cod.esicrACE202.Exe然后在文件名开头插入RLO

构造钓鱼文件
构造钓鱼文件2

  1. 在202ECA和rcise之间插入LRO,变成这样就Ok了:

构造钓鱼文件3

伪装好了,注意哦文件类型依然是应用程序,发送文件,当对方下载后就可以自动执行,替换sethc为cmd。远程连接George,开了3389,到了登录界面,按五次shift键,cmd就出来了,而且还是system权限的,新建账户,登录,传工具上去,第一步完成。

读密码上PsExec

拿到George后,第二天上午,中间一些弯路就不多赘述了(当时还不怎么会内网),用wce读到了几个密码。

使用wce读取密码

3389连接192.168.33.x的几台机子,3389均没有开,然后用net use成功连上door这台机子,发现共享了C盘,接着用ps exec拿到一个cmd,修改注册表开3389,成功连了进去

net use远程连接

开启3389远程桌面

搞到Door上去了之后,就处于与Doc相同的内网了,搞了很久最后不得以用cain做MITM攻击,内网嗅探,居然嗅探到Doc的密码。嗅探到Doc密码后,方式与从George搞Door是一样的,最后在Doc的回收站里发现了我们需要的文件。

成功获取flag

总结

现在看起来来不是很难,而且有的地方记不清了,当时太菜了。。。