对股市骗子内部的一次apt测试

时间 2019-11-24

标签骗子内部一次 apt 测试繁體版

原文原文链接

i春秋做家：jasonx

前言

因为这件事情搞了好久，中间不少截图已经没有了，因此文章中出现的部分截图是后面截的。
文中不少地方涉及敏感信息，为了个人人身安全，打码比较严重，还请多多理解。

原由

前不久，我被拉入一个所谓“牛股推荐”的QQ群，群里天天看到有人晒收益，说是群里某某老师推荐的。php

直到有一天，群里一个网友发了一段很长的内容，大体意思就是群里骗他买的股票亏了40余万，虽然这条信息被管理员瞬间撤回，但他可能不知道，有种东西叫作“防撤回”，接着这位受害者被踢出去了。html

而后我开始查了下这方面的资料，得知这种股票推荐的套路通常有大体以下：web

骗术

他们给你免费推荐股票，你赚钱了他拿分红，你亏钱了他们没有任何责任。
正所谓“空手套白狼”。shell
群里会有不少托，还有各类“分析师”数据库
若是屡次推荐给你买的都亏钱了，等你发现被骗的时候，就踢出去，再不行就换个QQ继续搞，反正一个QQ号才多少钱……安全
受害者想到报警的话也没啥用，毕竟你和他并无签合同，人家也没有直接从你口袋里面掏钱。

好戏正式开始

为了避免让更多人受骗，我开始潜水收集信息。服务器

一段时间后我明白了他们的运做方式。ide

运做方式

经过他们的直播平台，多位”讲师”轮番上阵洗脑。
并且设立了多个拉人头的平台，会员能够推荐其余人进来，而且能够拿到分红。
拥有本身的服务器，而且有专门的技术人员在维护。

经过收集信息获得成员的信息以下：
为了安全，这里就不贴出真实的信息了。工具

群主QQ：10000（他们称呼王总）测试

技术QQ：20000

客服1QQ：30000

客服2QQ：40000

客服3QQ：50000

0×1 APT入口

客服会天天在群里发布一个地址，进去后是一个直播的平台。
那么咱们就先从这个平台入手看看。

经过域名反查获得IP地址，咱们先扫描一波端口看看。

获得扫描结果之后，咱们保存下，而后导入到webtitle里面扫描下标题。

获得后台端口

进入后台后发现登陆没有验证码，能够直接爆破。

我们先用burp抓一个登录的包看看

回到QQ群里面，把几个管理员，客服的QQ号作成用户名字典，另外在把一些经常使用的用户名字典也加进去。

0×2 成功进入后台

在burp里面设置好变量之后就开始爆破了。

最后我很幸运的拿到了后台帐号密码

帐号是客服的QQ号码，密码123456 大笑三声哈哈哈….

后台有机器人功能，能够在直播的时候自动发设置好的话，让你感受人气还挺高。

接下来就是经过后台拿shell了

找了下后台的各类功能，发如今新增用户这里存在上传点，

burp抓包直接把.jpg修改为.php发包后直接拿到shell

而后在头像处审查元素，看看上传后的shell地址，菜刀链接就好了。

艰难的提权路

拿到shell之后就第一时间尝试提权，可是连cmd命令都执行不了。
提示开启了安全模式，屡次尝试无果后就放弃了。

看来还要从其余地方继续入手了

0×3 钓鱼拿下客服QQ

如今我开始思考，突破口仍是在客服上了。
若是能搞到客服的QQ号，只要用他QQ号给他们技术发一份邮件，上钩的概率仍是挺高的，由于利用熟人之间的信任，能够下降他们技术的内心防备。

说干就干，恰好前不久拿到好几套针对QQ空间的钓鱼源码，咱们搭建好在vps上之后，用一个小号从新添加他们客服，诱骗他说有人在QQ空间说这个群都是骗子，还发了不少证据出来。

固然在这以前，我在另一个小号的空间随便写了点东西，让客服进去之后看起来真实点。

而后把钓鱼链接发给她们3个客服，这个钓鱼页面点进去之后会提醒须要登陆QQ才能进入QQ空间的。
若是客服点击登陆之后，自动跳转到我那个写了日志的QQ空间。

没多久，后台拿到了3位客服的QQ帐号密码。

由于客服当前在线,因此咱们等她们不在线之后再登录上去，而后我用QQ邮箱给他们技术发了一份邮件。

内容以下

搞安全的应该都知道某盾在查杀webshell方面仍是挺厉害的。
可是这个某盾是通过加料的。

为了让D盾查到木马，我写了个很简单的一句话放在这个网站的根目录。

不过发完邮件后我才想到，若是他老板压根不懂技术不就露馅了吗？
不事后悔也没用，接下来就只有耐心等待了。

果真功夫不负有心人，控制服务器显示一台主机上线了，立刻监视屏幕看看。

发现他远程登陆了其中一台服务器，而后经过这个服务器远程登陆了好几台其余服务器，中招的就是第一台服务器，也就是这个跳板机，一开始我之后这台是个跳板机，可是我本地远程登陆测试了下他登陆的那些服务器IP，外部都是能够访问的。

0×4 问题来了如何拿到全部服务器权限呢？

他只在其中一台服务器上运行了加料的D盾，因此目前只拿到了这一台服务器。

可是经过远控翻他的注册表，发现他曾经链接过不下10多台服务器。

这里给出mstsc的链接记录列表位置。
[HKEY_USERS\S-1-5-21-1387774393-1596258019-1651181295-500\Software\Microsoft\Terminal Server Client\Default]

那么问题来了，他如今登陆的服务器是勾选了记住密码了，远程登陆的时候不须要输入帐号密码，因此个人远控监视不了他服务器的帐号密码。

可是这里有个几个办法是能够获取到密码的。

用powershell 脚本（可是须要能够交互才能读出密码来，文章最后我分享了，回复可见）
直接干掉mstsc保存的凭据文件，让他下次远程登陆的时候必须输入帐号密码才能链接。

因为他如今正在使用这台服务器，我没办法用powershell读取密码，那么就用方法2吧。
首先用远控的文件管理功能，找到如下路径。

C:\Documents and Settings\Administrator\AppData\Local\Microsoft\Credentials\

能够看到，他有两台服务器是选了记住密码的。

如今我们直接删掉这两个凭据文件，而后开启远控的在线键盘记录功能。

而后在远控的cmd下执行如下命令，干掉他的远程链接进程。

taskkill /f /im mstsc.exe

这样管理员的远程登陆窗口就会断开了，他一定会从新登陆，可是以前登陆的凭据被我干掉了，从新登陆的话须要输入帐号密码，那么咱们的远控键盘记录就抓到他密码了。

搞到密码之后，能够短暂休息了，毕竟管理员如今还在线，只能等深夜的时候再继续了。

0×5 深夜起来继续嗨

调好闹钟，凌晨4点起床之后，我用抓到的密码挨个登陆了他的服务器，发现他全部服务器居然都是同一个密码，心真的大啊！哈哈 (ﾟ▽ﾟ*)

这里有个坑我要说下，由于他服务器好多都是阿里云的，若是我在本地登陆的话，确定会触发异地登陆提醒，这样管理员立刻就能收到入侵短信了。
因此我用他的那个跳板机登陆上去的，而后干掉全部aliyun的进程，包括云盾的，这样无论你干了啥，云盾就一脸懵逼了。

登陆到其中一台服务器的时候发现管理员在桌面放了不少有意思的东西。

这下真的是一锅端了。哈哈哈 (✪ω✪)

到此，业务服务器、数据库服务器、测试服务器、直播的服务器已经所有到手。
剩下的就是收集证据，而后匿名举报一波咯。

总结

apt老是让人防不胜防，只要收集的信息够多，作好针对性的攻击，成功率仍是蛮高的。

另外附送一个比较牛逼的远程登陆密码读取工具，能够读出mstsc保存在本地的密码。工具回复可见给一些小建议

不要设置大量重复的密码
不要把你敏感的信息放在服务器上或者电脑上
若是必定要放的话，建议你密码不要输全，好比密码123456…你保存的时候就写123456.这样你内心有个记忆就行。
本地保存密码给你带来方便的同时，也给入侵者带来了方便。

有问题你们能够留言哦，也欢迎你们到春秋论坛中来耍一耍 >>>点击跳转