实战 | 记一次Everything服务引发的蓝队溯源
2022-7-25 09:26:35 Author: HACK学习呀(查看原文) 阅读量:25 收藏

0X01 前言

事情的起因非常有趣,我的一位学长最近在研究的时候发现了好一批部署在公网上的everything服务,并且找到了非常多好玩的东西(包括但不限于某些涩涩,咳,扯远了)。本文也是因为这些everything服务而一时兴起的“伪溯源”。本文有很多的姿势和思路来源于我的学长,鸣谢@T1ngtu0

0X02 一位黑客把everything部署在公网,这是他服务器发生的变化

这个开头也许有些兄弟就会云里雾里,everything大家都知道,快速检索文件的神器。但是这玩意怎么部署在公网上呢?其实everything有一些配置,一旦开启这些配置,就可以在WEB界面上使用Everything了。这个点非常有趣,因为它也是一种权限维持的手法。具体的文献我贴在下面,有需要的师傅可以学习一波

https://www.freebuf.com/sectool/261723.htmlhttps://www.freebuf.com/articles/terminal/246682.html

总之,这不是我们这篇文章的重点,everything web界面看起来是这样的(这就是我们今天的受害者了)

就在我查看这些everything资产研究人生百态的时候,我发现了这么一个有趣的服务器。

嗯。。。在桌面上发现的这些东西似乎证明这位兄台是一个网络管理员,但是我定睛一看,桌面上一个熟悉的文件夹引起了我的注意

难不成世界上还有第二个CobaltStrike?这人不会也是搞网安的罢?怀着难以置信的心情,我查了查其它常用的工具

都到这份上了,我只能说懂得都懂了。这搞网安的人,就这么把everything堂而皇之的放在公网上,这安全意识没谁了。

0X03 模拟蓝队溯源

我研究的方向是渗透测试和红队相关的技术,突然让我来搞溯源,这还真有点难顶。没有蓝队的技术栈,那我就只能以红队的视角来尝试了。做蓝队的师傅看个笑话就行。

首先抛开这个everything服务不谈,我们先来看看这个服务器是否开放了其他服务。

由于对方使用的是CS4.0并且没有经过任何修改,所以fofa等测绘引擎可以直接识别到beacon指纹,这就进一步佐证了这人在服务器上使用过CS。同时不难注意到,这台服务器上使用了ssh以及rdp服务,如果我们能搜集到凭据,那么就有机会直接打穿。

话不多说,我首先想到的其实是Powershell History,这也是凭据搜集阶段常常会看的东西。它的保存路径如下

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

细看了一波,本意其实是想找到Teamserver相关的账密的,这里没找到,但是仍然发现了很多有趣的东西

首先是这个shadowsocks 的 config.json配置文件里可能找到账密

其次是我们发现这位仁兄使用scp命令往别的服务器拷贝了文件,这或许会成为另外的突破口

同时通过翻Desktop的文件,找到了一个配置文件,结合这个域名,不难推测这就是这位兄弟的真名

通过查找config.json相关的文件,我们找到了挺多包含密码的东西

但是后续发现还是登不上ssh和rdp,故先作罢。查找Weixin等关键词,发现这台电脑上安装了微信、QQ

从中可以找到这台主机上曾经登录过的两个QQ

这里放出一个来意思意思,另外一个因为涉及到对方单位的信息,还是不截图放出来了。总之通过下面这个图的信息可以给这个服务器的主人简单画像。他是某某学校的老师(通过另一个QQ号的信息已经定位到了是哪个学校)

既然是老师,那么电脑上肯定有非常多别的与教学相关的文件,以及学校内部的一些文件。这里尝试查找.doc .docx .xlsx等文件。

进一步可以得到一个更精确的画像。这位老师教的东西主要和网络管理员有关。在另一份文件里,找到了大量老师的名字。

其中还找到了大量保存学生信息的表格,不过这和我们这篇文章没啥关系,后续也利用不上,这里就不放出来了。

还有哪里可以获取凭据呢?我突发奇想,如果这人用CS在本机上做过实验,使用mimikatz提取过凭据,那么相关的信息就会保存在CS的log文件夹里。翻一翻说不定会有收获

可以看到雀食有收获,但是这个NTLM HASH解不出来。白搭。

还有哪里可以进一步获取凭据呢?我找了一下常见的浏览器,发现了火狐

有这个就好办多了,firefox的凭据可以离线解密,详情可以参考这篇文章

https://blog.csdn.net/weixin_46081055/article/details/119413505

把这俩玩意下载下来解密即可。

最终解密得到这位兄弟的私人QQ号以及私人手机号,加上常用密码以及规律。

使用该密码,可以登录他注册过的大量网站,比方说

再比方说他写过的语雀文档

可以看到这人雀食是xx学校的老师,甚至还教学生渗透。类目,我还是自学的CS呢,不见有人教我。

这些密码甚至还能登录上这兄弟的腾讯云(这里是不是挂代理,把IP挂到这个老师常用登录城市就行了?)

0X03 结语

自己就是做安全的,居然会犯下把everything直接部署在公网上这种低级错误,属实是不应该。如果给蓝队溯源到这个C2服务器,估计底裤都被看穿了。


推荐阅读:

实战 | 记一次对iphone手机游戏的渗透测试

实战 | 记一次HOST头中毒导致的密码重置漏洞挖掘

实战 | 记一次PHP混淆后门的分析利用

实战 | WAF-Bypass之SQL注入绕过思路总结

干货 | Certutil在渗透中的利用和详解

原创投稿作者:[email protected]


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDU1NDk2MA==&mid=2247506851&idx=1&sn=c898376775fe43002fdca477cf7a7e53&chksm=ec1c8e9cdb6b078a271fd6f951b30092800495424ed234d19b5a24e1a4c3fda91175a95ecd7a#rd
如有侵权请联系:admin#unsafe.sh