导航菜单
首页 >  记某次攻防演练  > 记一次金融行业的攻防演练

记一次金融行业的攻防演练

0x00

前段时间接到一个金融行业的项目,刚开始到是金融行业后内心是拒绝的,所以就在本篇文章记录一次金融行业的攻防演练过程吧。

0x01

由于金融行业很多系统都是自建的,前期批量梭哈无效。硬刚业务站又要安装各种控件,还有各种抓不到数据包、数不清的加密、各种要求注册才能访问。

于是我们将目光放到了一些常见的系统上,发现他们的邮件系统是某第三方提供的邮件系统。

既然有邮箱,尝试一波邮箱历史漏洞无果,那么开始准备爆破吧。

为了搜集邮箱规则,在baidu、google和github上都快翻烂了也没找到。。。

最后通过Hunter,得到邮箱用户名规则。

根据规则生成TOP500用户名和密码字典,直接用脚本开冲。

在爆破的同时,发现网页右下角有个非常不起眼的咨询电话。

查了一下手机号的归属地发现和目标单位所在的城市一致,判断手机号应该是管理员的手机号。

0x02

既然有了管理员的联系方式,那就在等待爆破的同时,对管理员进行一波社工吧。

通过手机号可以搜到对方企鹅号,但是有验证问题。

那么怎么通过手机号得到使用者的真实姓名呢,哎,支付宝的转账功能就可以。

这位哥哥昵称就叫弓长(化名),猜了一次就中了。

直接回答验证问题,有了管理员的社交好友,就可以对管理员去钓鱼或者套话了。

加上管理员之后,确定好自己的虚拟身份,与交谈的话题。

我把自己当作分行的普通一位员工(因为邮箱管理员应该是在总部,冒充成管理员认识的人就尴尬了)。对方是邮箱管理员,话题就从邮箱作为切入点。

制作免杀马,因为对方是运维,肯定多少懂一点,所以用大量空格插在文件名中将.exe顶到后面。

可惜,估计是暴露了。对方接收了文件,但是迟迟没能上线。。。

0x03

等待对方上线的同时,把对方的朋友圈从头到尾刷了一遍,又搜集到一些信息。

利用搜集到的管理员的所有信息,生成密码字典。

爆到第1966次的时候,成了(泪牛满面x1

搜集了一份通讯录,翻阅来往邮件找到了一份员工信息表。

回头看了一眼还在爆破邮箱的脚本,默默的暂停了。。。

通过搜集的信息再生成密码本, 最终是爆破出了6个人的邮箱。(果然还是得精准爆破)

然后一封邮件一封邮件的翻,找到了VPN的地址和默认的VPN口令规则。

0x04

尝试用那6个人的邮件密码去登VPN,结果都凉了。我:???

因为已经有了目标详细的人员信息,那就写个脚本用这些信息,按照邮件中所述的密码规则,还原一下默认的VPN口令接着试呗。(泪牛满面x2

随后把进展同步给了项目经理,经过项目经理跟甲方的一番交涉,给了我们三个字“可以改”(jinneiwang)。

但是VPN连上后只能访问OA,而且还需要登录。

这时的OA口令就好爆破多了,直接使用前面的密码手动尝试,很轻松的就登进去了。

通过OA又找到一些别的系统,基本都是一些弱口令可以进后台,但是当时连上VPN后抓不到浏览器的包(菜是原罪),一时间不知道怎么去测试了。。。

但是发现一个好东西,但是一访问就转圈,JRE安装上还是转圈,最后还是把Java环境全卸了重装了一遍,然后使用360浏览器的兼容模式才访问成功。

直接访问漏洞地址,存在漏洞。

使用弱口令admin/admin成功登录。

旧版本的NC报表处存在任意文件上传,点击附件即可查看shell的地址。

由于目标系统不出网,尝试了很多办法,最后使用毒刺(pystinger)通过webshell实现内网socks4代理,项目地址:https://github.com/FunnyWolf/pystinger。

首先上传proxy.jsp,访问并返回UTF-8就表示成功。

上传stinger_server.exe 到目标服务器,并执行start stinger_server.exe 0.0.0.0。

在本机执行:

stinger_server.exe -w http://xxx.xxx.xxx.xxx/proxy.jsp -l 0.0.0.0 -p 60000

代理地址设置成本机的60000端口即可开始愉快(zeiman)的内网渗透。

内网也没安全设备,漏洞一大堆,没来得及继续深入,甲方感觉已经可以了,于是项目就完满的结束了。(雪契)

相关推荐: