基於元數據提取的滲透測試案例

2019 年 11 月 20 日
筆記

背景MITRE ATT&CK™測試過程元數據提取citrix通道寫poc提交漏洞參考資料

背景

筆者的一位朋友–就職於安客思科技公司的sunrise童鞋，早先受某SRC委託參與該集團的滲透測試工作，順利實現進入內網任務，案例較為有趣，特意分享通過本公眾號發布。目標廠家主要做IT產品，基礎設施建設完成度高，本身也有雄厚的財力實力去堆疊安全產品，經過幾輪眾測純滲透的思路很難打到內網，所以該文章展示的將不是傳統的掃域名，找漏洞，滲內網，攻防對抗在升級，攻也在進步地深刻把握新技術應用的內涵、特點。

影響範圍：客戶的解決方案是提供匹配客戶發展戰略的端到端人員能力提升，在服務轉型趨勢下，幫助客戶快速發展IT基礎設施集成、大數據運營、應用開發等IT人才，涉及泄露參與培訓的客戶員工的個人賬戶、密碼。掌握了內網站點，甚至可以進行「魚叉式」攻擊。

MITRE ATT&CK™

實施滲透前，利用模型推導分析尋找網路威脅。

這是實施完畢後，為客戶應急響應中心復盤提交的滲透路徑。

測試過程

元數據提取

元數據是提供關於情報資源或數據的一種結構化的數據，基於情報元數據的提取方法不同於資產資訊收集，元數據的獲取手段針對目標、應用，是針對資源的抽象描述，在滲透中的工作主要是包括對目標進行內網、數據結構和規則進行集合，一些小工具如Sweepatic、theHarvester、Maltego有助於發現、存儲、記錄、獲取並使用情報。假設我們需要攻擊「塔利班頭領」，顯然該目標沒有官網、沒有內網、如何getshell？這時候任何有效的數據都是敏感的，比如社交用戶賬戶名、習慣、目標使用的軟體、歷史泄露的內容。通過其在Twitter賬戶發布的規律，大略得知工作規律，可以發送釣魚鏈接作為早上上班第一封郵件，這樣精準度高，甚至無聊的職員會從垃圾站中取回郵件；通過在查詢新聞報告，可以得知資產併購和接觸對象或有價值的組合架構，進行「水坑式攻擊」；通過收集發布的文檔知道目標使用軟體版本、瀏覽器資訊，提高oday利用成功率；通過分析合作關係進行身份偽造；通過查詢出口ip信譽檢測某款勒索軟體，參考勒索軟體exp做免殺或者漏洞利用。對於小規模滲透、長時間潛伏是一種獨闢蹊徑的威脅情報。

使用搜索引擎語法metabot和瀏覽站點獲取站點文檔，簡要提取有價值的資訊。

使用python-docx包處理d.paragraphs方法解析text，或者直接調用exittool腳本解析

`#/bin/bash`  URL_LIST=$2  DEST_FOLDER=$1  **if** [ "$#" -eq 0 ]; **then**   echo "You need to specify at least a directory with documents!"   **exit** 1  **fi**  **if** [ -z "$URL_LIST" ]; **then**   **if** [ -f failed_downloads.txt ]; **then**   rm failed_downloads.txt   **fi**   **if** [ -f download_list.txt ]; **then**   rm download_list.txt   **fi**   **while** **read** url; **do**   filename="file-$(echo $url|md5sum|awk '{print $1}')"   wget -c --tries 3 -O "$DEST_FOLDER/$filename" "$url"   **if** [ $? -ne 0 ]; **then**   rm $DEST_FOLDER/$filename   echo ${url} >>failed_downloads.txt   **else**   echo ${filename} ${url} >>download_list.txt   **fi**   **done** < $URL_LIST  **fi**  *# Filter out documents using mime type and extract metadata*  MIME_FILTER="^text/.+$"  **if** [ -f document_list.txt ]; **then**   rm document_list.txt  **fi**  find $DEST_FOLDER -type f -print0 | **while** IFS= **read** -r -d $'' doc; **do**   doc_mime=$(file -b --mime-type $doc)   **if** [[ ! $doc_mime =~ $MIME_FILTER ]]; **then**   echo $doc $doc_mime >>document_list.txt   **fi**  **done**  exiftool -j $(cat document_list.txt|awk '{print $1}') >metadata.json

執行sh process_documents.sh ./ ./將結果導入splunk，執行查詢提取文件元素資訊。一番眼花繚亂的操作只是為了獲取到該不在搜索引擎的url：下文以A.com為例。

將攻擊流量淹沒在互聯網盲目的掃描活動中，手工進行安全測試必備的隱蔽式掃描，以不被發現為目標操作漏洞挖掘，發現某介面泄露大量用戶敏感資訊。有外部註冊用戶許可權就可以訪問。

http://A.com/getuserinfo?loginname=test101

中間的密碼進行脫敏，強度不夠，通過猜測直接獲取的密碼。

以user+num、test+num和exam+num爆破。

獲取有效密碼後登錄

發現是citrix沙盒環境，某些賬戶被開通遠程在線實驗，可以直接使用遠程桌面。有些需要突破ie11沙盒執行cmd。由於冒用賬戶進行操作，正常開通課程的時間大都很短。接下來以持續穩定的方式都在閑暇時刻burpsuite賬戶，嘗試訪問查看哪些有價值，思考如何取得較大的許可權，MS17-010也不能用，因為直接打域控會暴露，打普通pc沒有把握找到重點目標還是實驗環境。

citrix

搭建過此類環境，發布的app通過citrix伺服器farm進行分配，有時候有許可權設置不嚴格的情況。這個辦法就多了，經嘗試可以使用文件瀏覽的方式，打開ipop，然後執行dos，指定127.0.0.1，或者使用新建快捷方式，指向c:progra~1cmd.exe的方式；或者打開excel，利用沒有禁用的wscript使用開發者工具編輯vbscript腳本。為了方便，我們以調用ie瀏覽器為例，打開internet配置，設置臨時保存目錄，這樣就進入了explorer，沒有右鍵的許可權，但是可以看到虛擬和共享磁碟的眾多記錄，獲取敏感資訊。

不能右鍵就用左鍵，使用winrar執行殺軟路徑為cmd.exe即可。

後來想到不能調用cmd.exe，也可以使用第三方軟體，以open file的方式選擇共享磁碟目錄的ipop.exe。你甚至可以用ipop去掃描埠、打開遠程桌面！

從zabbix流量資訊猜測172.30整段機器很重要，netstat看到眾多的用戶啟用了mstsc進程。

至此獲取到了域環境的一個普通用戶。其實這時候由於網路劃分的原因已經可以進入內網了，下一步可以採用github獲取到的賬戶密碼登錄員工門戶。由於是模擬測試，不涉及具體的數據，所以沒有嘗試實施。

另外一個思路是攻擊外部客戶或者外包公司的郵箱賬戶，然後撞庫。

通道

icmp、tcp、http都不通，dns通道是可行的，要利用dnscat，首先要下載dnscat，由於不能訪問外網，我們可以使用support站點以客戶的case提問上傳附件的方式拖資料。

例如通過http://A.com/data/attachment/forum/201703/19/20170319191221083.zip 上傳口令破解工具或者免殺版本的wce。

當然我們結合任意文件下載漏洞。http://A.com/StaticFileHandler.ashx?v=V1&type=css&efs=[~/web.config]

獲取到各項敏感資訊。但是動作太大，不宜直接使用漏洞。

寫poc

純手工操作是為了避免觸發hids、waf和各種未知防護設備，通過敏感資訊的逐項查看，發現某系統使用了couchbase，可以使用memecache未認證的漏洞查看敏感資訊。形成思路可以啟用172.30.x.x，執行CVE-2018-15728獲取系統許可權，查看進程沒有殺軟，看起來也不是蜜罐，遠程桌面連接進入。

powershell腳本為Invoke-WebRequest http://172.30.x.x:8091/diag/eval -Method POST -ContentType "application/json" -Body 'os:cmd("whoami")' -Headers @{Authorization="Basic Q"} -OutFile 1.txt

滲透測試，點到為止。

參考資料

https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics
https://mitre-attack.github.io/attack-navigator/enterprise/
https://www.anquanke.com/post/id/86509
http://www.sohu.com/a/160429573_804262
http://www.91ri.org/15206.html
https://www.anquanke.com/post/id/86225