WEBSHELL

今天是

关于我联系我网站地图

现在位置:首页 » 社会工程 » 一次社会工程学攻击案例

一次社会工程学攻击案例
作者:T.H.E   分类:社会工程   评论(3)   浏览(3606)  

1.png 



前言:
相信大家对社会工程学并不陌生。

我接触网络安全的时间并不长,接触的原因是因为我BF是黑帽,不想太没有共同语言。

经常挂一天QQ都没和我说几句话,所以想增加一点共同话题。

在学习初期没有请教过他,怕他烦。

于是独自学习,从他那里拿来不少资料,打听了不少可以学习的网站。

唯一让我完整看完的是凯文米特尼克的《欺骗的艺术》。
因为涉及的技术环节比较少,作为初学者,从社工入手,慢慢熟悉其他脚本语言和各种命令,各种环境,个人认为是适合自己的。

但是之后想要实践的时候,发觉《欺骗的艺术》一文,思路虽然很好,但是不适合中国国情,也有很多不适合自己的。

在一段时间的理论结合实情后,思索很久,终于有了一套自己的思路,决定选定一家目标来实践。
在实践过程中有不少运气的成分在内,但是第一次实践就成功拿到目标的webshell,对我个人来说是一个非常好的开头,也让我增加了继续学下去的信心。

初次撰文有疏漏之处及错字和错误观点还请大牛们见谅和指正。
本文将以第一人称的角度来叙述整个社工案例,但是人名和地名,公司名,等等关键信息,都是经过模糊处理的,请勿对号入座,如有雷同,纯属雷同。

第一步 对目标的信息收集
目标是一个游戏公司,域名www.xxx.com.
首先查询了whois信息,服务器IP以及所属地。

查看页面上所留下的联系方式,以及可以在google和baidu上获取的信息。

做了一个整理,初步得到信息:
域名是在万网注册,注册资料上填写的信息为A城市,而该公司的运营地区是B城市,而WEB服务器所在地也是在B城市。
按照whois信息上的域名以及电话号码在baidu搜索没有得到有价值信息。
与此同时正面检测了该网站,得出结论,该网站正面采用.net+iis7+2008来搭建。

前台功能十分简陋,只有注册登录,和修改一些资料,查询一些记录,登录后无法上传任何东西,也没有注入,找不到后台,扫描目录也没有得到任何可以利用的文件或目录。

但是查看发出的新闻,新闻中有图片,图片地址也是同服的uploadpic目录,可以初步推断后台具有上传文件功能,运气好就能getshell。
之后将游戏下载回来,进入各种不同的区服,用360查看IP,收集了绝大多数服务器IP和端口。
记录之后对比,发现对方的服务器有70%集中在某个C段,之后扫描该C段,旁注列出所有域名。
发现该C段虽然存活服务器很多,但是大多是游戏server,并没有开放web,开放web的只有约10台服务器,总数50余个域名,没有IDC和虚拟主机存在且大部分web都属于该公司。
收集到该公司数个二级域名,其中大部分二级域名访问后得到是跳转到主站,有价值的域名只有。
Update.xxx.com
2010.Xxx.com
其中update域名应该是游戏客户端更新所使用的服务器。

IP地址和web服务器不同,打开游戏目录,用字符查找器搜索这个二级域名,在某ini文件中找到了这个地址,确认了的确是更新服务器。
而2010服务器是该游戏的为一个活动而创建的专属活动页面,和web服务器的IP地址相同,该页面几乎是静态的,只有一个留言的地方。

留言尝试插入XSS代码被过滤,无法跨站攻击。

而且看年份,已经是过期页面,没有继续深入。
另外web主站有客服页面,客服页面没有交互可以提交信息的地方,只有电话和email。
小菜我只能收集这么多信息了。

第二步 尝试技术性攻击
这一段主要实施者不是我,不过整个过程也并不重要,因为并没有获得什么突破性的进展,几乎也只是收集信息的过程。
BF首先是对整个C段开放WEB的服务器细致的检测了一遍,成功拿下webshell数个。

但是其中能提权进入终端的只有一台,比较幸运的是,该服务器与目标web服务器在同一个交换机环境下,可以进行嗅探,没有限制arp,没防火墙。
本来以为这样就搞定了,但是其实根本没有搞定,否则也不会有这篇文章了。
嗅探过程中,嗅探到大量前台通过web登录会员的明文账号,但是一连3天过去没有嗅探到其他的东西。
查看该主页官方新闻,近期有发过新闻的,后台肯定是被登录过的,但是这里没有嗅探到。
这时BF告诉我,现在一般稍微正规点的站都会防止ARP,而该公司没有做,很大可能是因为该公司的后台登录的字段被修改,而cain这类的工具嗅探的时候只会针对类似username=xxx&password=xxx这类的字符串其反应。

如果是1=x&2=y这种格式,那么必须在cain中添加监视1和2这两个字段才可以嗅探到数据。
如果是一个被命名的很奇怪的字段,那么cain就没办法嗅探。
还有一种可能就是后台的管理员是保持cookies之类的东西来登录的,根本不用输密码。
最后一种可能是该web根本没有后台,是通过其他方式来更新新闻的。
小菜我坚信该网站有后台,哪有那么奇怪的人用蹩脚的方式来更新新闻。
而且我也不认为会保存cookies登录,于是我认为是BF所说的特意更改了字段名。
思考过后,除非能得到后台地址,去提交抓包来得到字段名,否则这样靠cain是无法嗅到的。

(不知道有没有比cain更先进的嗅探工具可以抓到http表中没有添加规则的数据。)

第三步 社会工程学获得关键信息
做到这一步BF已经算是全力帮助我了,接下来的几天一直没有头绪,让BF把嗅探服务器的后门留好,删除了cain,等有头绪了再去嗅探。
某天和朋友出去逛街,吃饭的时候朋友告诉我他最近在玩一个网页游戏,问我有没有兴趣一起玩,我不喜欢网页游戏,但是还是客气的问了问,没想到这一问就给我来了灵感。
据朋友所说该游戏是很近期比较火爆的一款游戏,代理给了多家公司,其中他在玩的这家公司的代理是比较好的,服务器稳定一些。
在这时候我就在想我的目标会不会有其他代理,可不可以从其他代理那里迂回攻击。
想到这里了后就匆匆吃完了回来打开电脑。
打开目标web前台,一个页面一个页面的点,是为了找到一个比较奇特的文件名。

好在google和baidu中搜索这个文件名得到有同样文件名的网站,那几乎就应该是用同一套程序的了吧。

终于找到了一个命名比较特殊的文件,名字很长,41webuserlogin.aspx
在google和baidu搜索这个文件名,结果很失望,没有找到代理。
难道就真的没有代理了吗?
开发一个游戏是不容易的,该公司也不是面向全国,在其他地区招聘代理商应该是必要的措施吧。
也许只是百度没有收录,抱着这个想法,我继续在目标的网站上转,又转回了客服页面。
上面有一个合作意向电话,看着这个电话几秒后,突然来了一个思路,在《欺骗的艺术》中经常看到的,电话社工。
可是我比较内向,能不能像凯文一样面不改色的去社别人呢。
做了很久的思想斗争,练习了很多遍台词,让BF检验后,BF皱了皱眉头,说也许可以吧,你最好小心点,别说漏嘴,对方可能会问你你没有准备好的问题,还有你最好准备点材料。
之后BF去给我买电话卡,又想了一会儿可能遇到的问题和该说的话,从网上找了一个公司简介,PS修改图片,更改内容后做成DOC。
等了半小时BF把电话卡送来。
最后深呼吸,鼓起勇气拨通了这个电话,对话如下:
“喂,你好,是xxx公司的张先生吗?”
“你好,我是,请问有什么事请吗?”
“是这样的,我们是C城市的一家网络公司,想和你们合作。”
“哦,你想怎么合作?”
“我们想代理你的游戏,在贵公司主页上找到了联系方式,但是你们也没有太多说明,请问是否可以以这种方式合作?”

(说到这里捏了一把汗)
“可以的,不过我们要先验证贵公司的实力,这样吧,你有QQ吗?我们上QQ谈。”

(太好了求之不得,就算他不这么问我,我也打算以这个方式来谈,打电话精神绷得太紧了。)
“好的,我的QQ是123456。”(给出得QQ号是事先准备好的小号。)
“我的是654321,那先这样,我们10分钟后谈。”
“好的,那先不打扰你了。”

挂了电话后,开虚拟机,上VPN,把小号打开,资料早就改好了。
不过这家伙不守时,大约半小时后才通过我的好友邀请。
其实本来想直接传木马文件过去,但是BF阻止了,说现在的人没有那么低能。

最好还是慢慢来,先建立信任关系,第一次发东西一定不能发木马,以后酌情再考虑发不发木马。
之后对方向我发送了一个rar文件,是他们公司的简介以及合作需求说明。
我也把我准备好的公司简介发送过去。

之后我决定对对方做一个试探,探测对方的计算机水平。
因为我是女的,女的一般电脑比较白痴。
于是我就装作很白痴的问对方。
“张先生,你传给我的东西怎么打不开,360提示有病毒。”
“这怎么可能,这个rar中只包含doc和jpg文件,不可能有病毒的,是不是你电脑已经感染了病毒。”
听到这里,庆幸自己听了BF的话,直接发木马过去直接就露馅了,对方是比较懂电脑的。
于是我解释可能自己已经中了病毒,让对方也查验一下我发过去的东西会不会感染了病毒。
对方很耐心的教我下载winrar和解压缩,其实我早就会了。
过了5分钟后,对方发来了消息,说已经看过我公司的简介,也让我方好好仔细阅读他们发来的文档,确定合作的话,再约个时间细谈,最好能面谈。
时机到来,我趁机进一步试探。
“好的,我会详细的给老总解说,另外我想知道一下贵公司的代理有没有成功案例,如果有成功案例,我也能更好的解释。”
“有的,我们有2个代理,网址是www.yyy.com和www.zzz.com。”
终于找到了。
后面的对话意义不大,总之我和他约定几天后再细谈。

第四步 进一步刺探关键信息
之后BF对这2家代理进行了检测,得到的结果和上面一家几乎一样。
因为没有旁注,正面无望,最终还是只拿到了C断可以嗅探的服务器,嗅不到关键数据。
在这里得到的一个信息就是,这家代理和目标站都没有防止arp,也是2008+iis7的环境。
网络结构几乎一样,应该也是同一个管理员维护的。
因为在对方传给我的合作文档中,也是这么写的,开发商拥有对代理商服务器的管理权,并且会用加密狗把服务器加锁,防止服务端泄露。
虽然确定了代理商和开发商用的程序是一套,依然无法得到有用信息,继续社工开发商很容易露陷,对方提出面谈的话,我可没那个胆。
但是反过来看,代理商虽然没有服务器权限,但是网站后台总不见得是开发商管理的。
因为目测很多游戏活动都是代理商自行开展的,所以我认为代理商是可以管理后台的。
我现在拥有开发商的详细信息,以及明白他们的运作方式,于是又思索了一会儿后,拨通第二个电话,给代理商的客服。(因为网页上只有客服的电话)
“喂,你好,有什么可以帮您?”(对方是一个女孩接的电话,很有利)
“你好,我是B城XX公司的,找你们负责人。”
“哦?这里是客服电话,我是没办法直接帮你联系的啊。”
“有急事,我现在出差当中,没有带通讯录,手机快没电了,有急事联系,告诉我你们负责人的电话,否则出了事情你担待不起”(吓唬下纯情小女生,我太坏了。)o(>﹏<)o
“啊,你稍等,我帮你查查。”

(可怜的客服MM果然被吓到了,过了10几秒。)

“我们的负责人电话是13XXXXXXX”
“好的,那我先挂了。”
挂了电话后立即拨这个电话。
“喂,你好。”
“喂。我是B城XX公司的,你是YY公司的负责人吧。”
“您好,我是,请问有什么事?”
“根据程序员报告,程序设计出了问题,在超过2011年X月X日后发送的新闻,都会出错变成乱码,我们主站已经修复这个bug,你们那里有发生过这个问题吗?”
“啊?有这种事?我看看。”(对方有点慌,几秒后)“没有啊,都正常的。”
“你登陆后台有没有问题?会不会出现无法登陆。”我继续问。
“没问题。”
“没问题?我登登看。”我沉默几秒后,问他:“不好意思,后台地址我不会拼写了,你能告诉我吗?”
“哦,是有点难记,目录名是adminghjkl”
“哦,我登陆看看。”在目标主站域名后加上这个目录回车,果然出现了登陆窗口。“哦,我这里也没有问题了,那看来是我们自己配置不当造成的问题了,你那边并没有这问题。”
“那就好了,吓我一跳。”(对方没有起疑,趁早挂电话吧。)
“那我先不打扰了,有什么问题联系我们吧。”

挂了电话,兴奋了,终于得到了后台,尝试后台注入无果。
登陆,抓包,发现字段名果然被修改了,把修改后的字段加到cain的http规则中。
继续嗅探。

第五步 突破进入后台
更改规则后,两天后获得了后台管理员用户,进到后台,果然可以上传。
但是过滤应该是按照白名单的方式来的,而且会时间+随机数命名,无法突破。
但是看到有一个上传rar的地方,而且会自动解压这个rar,形成活动页面。
于是保存对方的页面为html,再加入一个aspxshell,打包成rar上传,让后台自动解压缩,得到了aspxshell。
拿到shell后本来以为已经结束,但是对方64位的2008,尝试iis7溢出失败。

又搜索到一个wsf文件提权失败,还一个内核溢出均告失败。
该服务器几乎是一个裸机,除了IIS之外什么都没,没有第三方软件。

FTP、数据库、杀毒、输入法,什么都没有,提权几乎无望,只有等大杀器了?
翻来翻去都没有找到数据库连接信息,webconfig中没有,bin目录下有很多DLL。
推测是被加密到了DLL中,数据库也是其他服务器。
把DLL打包发给BF,之后BF告诉我逆向失败,搞不定,他这方面也不熟,帮我多发几个朋友试试吧。

尾声:
最后还是没能拿到数据库权限,不过给我增加了学习下去的动力和信心。

 


    转载分享请注明原文地址(WEBSHELL):https://www.webshell.ren/post-173.html
分享本文至:

发表评论:

肉牛
[回复该留言]
2015-03-28 17:13
不错的文章,内容十全十美.
不错的文章,内容文风幽默.
肉牛
[回复该留言]
2015-03-26 19:55
不错的文章,内容无与伦比.

标签

  • 过狗总结
  • 免费资源
  • cms漏洞
  • 纯属扯淡
  • 渗透工具
  • 系统漏洞
  • 编辑器漏洞
  • 渗透教程
  • 提权exp分享
  • 站长资讯
  • 提权教程
  • 旁站工具
  • 一句话脚本
  • iis6写权限和遍历修复
  • 启动项目提权
  • 本人消失一段时间
  • asp大马后门
  • 搜狗问问存储型XSS
  • 批量discuz
  • 最新过狗菜刀
  • 7.2
  • 免杀pr
  • php读取iis配置脚本
  • 过安全宝
  • phpweb拿shell突破安全狗
  • Drupal
  • 实战某学校内网渗透
  • 7.31爆严重SQL注入漏洞【附exp】
  • 星外提权
  • windows
  • boot
  • manager
  • .htaccess
  • 301重定向
  • 免杀提权exp整理
  • 分享字典
  • 内网端口转发
  • 编辑器插一句话
  • wdcp虚拟主机管理系统
  • 过狗大马
  • CVE-2014-6332
  • 免费cdn加速
  • 附上exp
  • windows创建隐藏帐号
  • 指定渗透某大学
  • XYCMS漏洞整理
  • 内网渗透
  • emlog相册插件漏洞
  • 校园系统cms漏洞
  • Alan社工教程
  • 说明
  • pigcms&iwxcms漏洞利用工具
  • 批量上传黑页
  • IISPutScanner增强版
  • cc攻击防御
  • 椰树V1.9接口修复版
  • CVE-2014-3153
  • EXP
  • 搜索引擎分别CDN加速
  • MSSQL数据库提权
  • 新C段查询工具
  • 利用Apache解析漏洞拿下单子站
  • 内网渗透系列教程整理(原创)
  • 第一章节:讲解内网转发(原创)
  • sqlmap基本使用方法
  • 实战社工系列教程
  • cms漏洞集合
  • DDoS攻击
  • 12306信息泄密事件
  • 第二章节:内网域渗透(原创)
  • DDOS工具
  • wordpress上传漏洞
  • 支付宝自动转账支付代码
  • 突破SecureRDP拦截
  • 内网渗透第三章节1小节(原创)
  • 知名安全检测工具AWVSv9.5更新破解版本
  • 内网渗透第三章节0x2小节
  • 8.1权限提升漏洞POC
  • 渗透系列视频教程
  • 木马爆破工具集合
  • 记一次上传拿shell
  • 最新提星外主机系统思路(原创)
  • 过守护神总结
  • 对母校官方网站的一次渗透检测经历
  • 帝国CMS
  • 74CMS
  • 社会工程学系列
  • 文字语音调用代码
  • 法克论坛旁站查询工具
  • 数据泄露那些事情
  • Bitstamp
  • 翻墙网站
  • 黑掉ATM
  • aspcmsCSRF漏洞利用代码
  • 绕过各种CDN防护总结
  • 轻量级网站漏洞批量扫描器
  • 隐匿在Pastebin上的后门
  • 学校渗透系列一
  • ISIS黑客
  • SniffPass
  • -
  • 网络密码嗅探
  • 黑客组织“匿名者”
  • 谷歌把微软惹毛了
  • iPod
  • nano竟成ATM盗窃工具
  • 恶意软件可绕过密码
  • 马化腾QQ也曾被盗
  • 铁通被曝系统漏洞
  • Windows8.1漏洞
  • 白帽子借漏洞1元买几十万Model
  • Notepad++官网被圣战组织黑了
  • 苹果OSX的Spotlight文件搜索含泄漏用户隐私漏洞
  • 2014十大木马
  • 免费cdn加速整理
  • 韩国航空Facebook
  • Discuz!
  • X1.5前台getshell漏洞
  • 斯诺登又曝新料
  • 《英雄联盟》被曝植入木马
  • 2014年全球十大网络攻击事件
  • PolarSSL
  • 劫持301重定向快照流量
  • 过D盾的思路
  • 指定网站入侵
  • 比特币
  • 安全漏洞资讯
  • 黑客攻击
  • 自动批量SHELL一条龙
  • 域名爆破+Host查询
  • 黑客组织Anonymous
  • Burp
  • Suite
  • WordPress网站漏洞
  • 河马工具
  • kali系列教程
  • 网络资讯
  • MS15-077
  • MS15-051
  • 黑客交易吧2003渗透系统
  • 对国外黑客批量爆菊花
  • joomla反序列化漏洞
  • Dedecms延时注入漏洞
  • https
  • 安全狗
  • Nmap使用教程
  • linux
  • 工具收集
  • 腾讯安全网址拦截
  • 菜刀后门解析
    • 全球访问统计

        Free counters!
    • <-----------------------------------------------分界线----------------------------------------------->