前不久,我被拉入一個所謂“牛股推薦”的QQ群,群裡每天看到有人曬收益,說是群裡某某老師推薦的。
直到有一天,群裡一個網友發了一段很長的內容,大致意思就是群裡騙他買的股票虧了40餘萬,雖然這條信息被管理員瞬間撤回,但他可能不知道,有種東西叫做“防撤回”,接著這位受害者被踢出去了。然後我開始查了下這方面的資料,得知這種股票推薦的套路一般有大致如下:
騙術
1. 他們給你免費推薦股票,你賺錢了他拿分成,你虧錢了他們沒有任何責任。此所謂“空手套白狼”。
2. 群裡會有很多託,還有各種“分析師”
3. 如果多次推薦給你買的都虧錢了,等你發現被騙的時候,就踢出去,再不行就換個QQ繼續搞,反正一個QQ號才多少錢......
4. 受害者想報警也沒啥用,畢竟你和他並沒有籤合同,人家也沒有直接從你口袋裡面掏錢。
好戲正式開始
由於這件事情前後經歷了很久,中間很多截圖已經沒有了,所以文章中出現的部分截圖是後面截的。
文中很多地方涉及敏感信息,為了我的人身安全,打碼比較嚴重,還請多多理解。
運作方式:
為了不讓更多人受騙,我開始潛水收集信息。
一段時間後我明白了他們的運作方式。
1. 通過他們的直播平臺,多位"講師"輪番上陣洗腦。
2. 而且設立了多個拉人頭的平臺,會員可以推薦其他人進來,並且可以拿到分成。
3. 擁有自己的服務器,並且有專門的技術人員在維護。
通過收集信息得到成員的信息如下:
為了安全,這裡就不貼出真實的信息了。
· 群主QQ:10000(他們稱呼王總)
· 技術QQ:20000
· 客服1QQ:30000
· 客服2QQ:40000
· 客服3QQ:50000
0x1 APT入口
客服會每天在群裡發佈一個地址,進去後是一個直播的平臺,那麼我們就先從這個平臺入手看看。
通過域名反查得到IP地址,我們先掃描一波端口看看。
得到掃描結果以後,我們保存下,然後導入到webtitle裡面掃描下標題。
得到後臺端口
進入後臺後發現登錄沒有驗證碼,可以直接爆破。
咱們先用burp抓一個登陸的包看看
回到QQ群裡面,把幾個管理員,客服的QQ號做成用戶名字典,另外在把一些常用的用戶名字典也加進去。
0x2 成功進入後臺
在burp裡面設置好變量以後就開始爆破了。最後我很幸運的拿到了後臺賬號密碼~
賬號是客服的QQ號碼,密碼123456 大笑三聲 哈哈哈....
後臺有機器人功能,可以在直播的時候自動發設置好的話,讓你感覺人氣還挺高。
接下來就是通過後臺拿shell了
找了下後臺的各種功能,發現在新增用戶這裡存在上傳點,
burp抓包直接把.jpg修改成.php發包後直接拿到shell
然後在頭像處審查元素,看看上傳後的shell地址,菜刀連接就行了。
艱難的提權路
拿到shell以後就第一時間嘗試提權,但是連cmd命令都執行不了。提示開啟了安全模式,多次嘗試無果後就放棄了。沒關係,從其他方面入手。
0x3 釣魚拿下客服QQ
現在我開始思考,突破口還是在客服上了。
如果能搞到客服的QQ號,只要用他QQ號給他們技術發一份郵件,上鉤的幾率還是挺高的,因為利用熟人之間的信任,可以降低他們技術的心裡防備,順理成章的被自己人坑。
剛好前不久拿到好幾套針對QQ空間的釣魚源碼,我們搭建好在vps上以後,用一個小號重新添加他們客服,誘騙他說有人在QQ空間說這個群都是騙子,還發了很多證據出來。
當然在這之前,我在另外一個小號的空間隨便寫了點東西,讓客服進去以後看起來真實點。
然後把釣魚連接發給她們3個客服,這個釣魚頁面點進去以後會提醒需要登錄QQ才能進入QQ空間的。
如果客服點擊登錄以後,自動跳轉到我那個寫了日誌的QQ空間。
沒多久,後臺拿到了3位客服的QQ賬號密碼。
因為客服當前在線,所以我們等她們不在線以後再登陸上去,然後我用QQ郵箱給他們技術發了一份郵件。
內容如下
安全圈兒的人應該都知道某盾在查殺webshell方面還是挺厲害的。但是這個盾自然不能白給,要提前加點料。
為了讓D盾查到木馬,我寫了個很簡單的一句話放在這個網站的根目錄。
不過發完郵件後我才想到,如果他老闆壓根不懂技術不就露餡了嘛?不過後悔也沒用,接下來就只有耐心等待了。
果然功夫不負有心人,控制服務器顯示一臺主機上線了,馬上監視屏幕看看。
發現他遠程登錄了其中一臺服務器,然後通過這個服務器遠程登錄了好幾臺其他服務器,中招的就是第一臺服務器,也就是這個跳板機,一開始我以後這臺是個跳板機,但是我本地遠程登錄測試了下他登錄的那些服務器IP,外部都是可以訪問的。
0x4 問題來了 如何拿到所有服務器的權限呢?
他只在其中一臺服務器上運行了加料的D盾, 所以目前只拿到了這一臺服務器。但是通過遠控翻他的註冊表,發現他曾經連接過不下10多臺服務器
這裡給出mstsc的連接記錄列表位置。
[HKEY_USERS\S-1-5-21-1387774393-1596258019-1651181295-500\Software\Microsoft\Terminal Server Client\Default]
那麼問題來了,他現在登錄的服務器是勾選了記住密碼了,遠程登錄的時候不需要輸入賬號密碼,所以我的遠控監視不了他服務器的賬號密碼。
但是這裡有個幾個辦法是可以獲取到密碼的。
1. 用powershell 腳本(但是需要可以交互才能讀出密碼來,)
2. 直接幹掉mstsc保存的憑據文件,讓他下次遠程登錄的時候必須輸入賬號密碼才能連接。
由於他現在正在使用這臺服務器,我沒辦法用powershell讀取密碼,那麼就用方法2吧。
首先用遠控的文件管理功能,找到以下路徑。
C:\Documents and Settings\Administrator\AppData\Local\Microsoft\Credentials\
可以看到,他有兩臺服務器是選了記住密碼的。
現在咱們直接刪掉這兩個憑據文件,然後開啟遠控的在線鍵盤記錄功能。
然後在遠控的cmd下執行以下命令,幹掉他的遠程連接進程。
taskkill /f /im mstsc.exe
這樣管理員的遠程登錄窗口就會斷開了,他必定會重新登錄,但是之前登錄的憑據被我幹掉了,重新登錄的話需要輸入賬號密碼,那麼我們的遠控鍵盤記錄就抓到他密碼了。
搞到密碼以後,我們去睡大覺,畢竟管理員現在還在線,只能等深夜的時候再繼續了。
0x5 深夜起來繼續嗨
調好鬧鐘,凌晨4點起床以後,我用抓到的密碼挨個登錄了他的服務器,發現他所有服務器竟然都是同一個密碼,心真的大啊!哈哈 (゚▽゚*)
這裡有個坑我要說下,因為他服務器好多都是阿里雲的,如果我在本地登錄的話,肯定會觸發異地登錄提醒,這樣管理員馬上就能收到入侵短信了。
所以我用他的那個跳板機登錄上去的,然後幹掉所有aliyun的進程,包括雲盾的,這樣不管你幹了啥,雲盾就一臉懵逼了。
登錄到其中一臺服務器的時候發現管理員在桌面放了很多有意思的東西。
這下真的是一鍋端了。走你不送。 (✪ω✪)
到此,業務服務器、數據庫服務器、測試服務器、直播的服務器已經全部到手。
剩下的就是收集證據,然後匿名舉報一波咯。
總結:
apt總是讓人防不勝防,只要收集的信息夠多,做好針對性的攻擊,成功率還是蠻高的。
另外附送一個比較牛逼的遠程登錄密碼讀取工具,可以讀出mstsc保存在本地的密碼。我會把鏈接放在文章底部評論中。
再給一些安全小建議
1. 不要設置大量重複的密碼
2. 不要把你敏感的信息放在服務器上或者電腦上
3. 如果一定要放的話,建議你密碼不要輸全,比如密碼123456...你保存的時候就寫123456.這樣你心裡有個記憶就行。
本地保存密碼給你帶來方便的同時,也給入侵者帶來了方便。
當然,估計這個騙子團伙現在還沒反應過來是怎麼回事。進去之後慢慢想吧~
也再次提醒大家,天上不會掉餡餅,保護好自己的錢包。如果你也對相關技術感興趣,或致力於成為一名白帽子做互聯網安全的守護者,請關注我,會定期更新有用有趣的內容。
閱讀更多 i春秋論壇 的文章
