顺着网线去给对面一个大嘴巴子实战

前言

HW期间真的是钓鱼邮件满天飞,但又总是擦肩而过,就像站在天台上的尼奥一样。不过今天终于一封邮件发到了安全研究的邮箱里,欣喜之余,决定溯源看看,能不能摸着网线去给这傻逼网友来一大嘴巴子。

溯源之路

1. 附件分析

首先从邮件中把附件临时人员xxx.zip下载下来。直接打开当然是不行的,就算这个文件以zip结尾。所以首先要先判断一下这是个什么文件,使用file命令查看一下:

file命令说这文件就是个ZIP压缩文件。如果对file不那么信任的话,可以再手工判断一下,使用HEX编辑器打开该文件查看:

从HEX编辑器的分析结果可以得到2个信息:

  1. 确实是个ZIP文件,文件内容是以PK开头,就算后缀被改成exe也执行不了,至少操作系统不会认为这是个可执行文件。
  2. 这个ZIP中包含了以exe结尾,但命名中包含docx字段用于迷惑的一个文件。

双重确认直接就可以对该文件进行解压了,居然还有解压密码,大概是为了通过加密机制绕过邮件的木马扫描机制。解压得到了一个exe文件,其文件名是关于调整薪资结构及发放方式的通知.docx .exe,中间带了一段空格,方便分析起见,把文件名修改成fish.exe吧。
至于可执行文件的静态动态分析,就直接扔到微步云沙箱上梭哈就行了。经过微步平台一段时间的运行和分析,发现该可执行文件在执行的过程中会对一个外部IP发起网络连接:

这样,我们就拥有了攻击者的服务器IP信息。

2. 网络分析

首先使用Archon对该IP的开放端口进行扫描,可以见到该IP开启了许多端口。

根据微步沙箱的分析结果,该可执行程序访问的是45234端口,具体的URL是http://IP:45234/VVXY。使用curl对URL请求数据,发现是一堆乱码,应该是加密数据,忽略了也罢,还有很多端口可以研究。
通过浏览器访问3333端口,居然搭建了一个gophish,赤裸裸的一个钓鱼管理后台。尝试了一下gophish的默认用户密码,显示密码错误。

通过浏览器访问5003端口,是个灯塔资产管理平台,这次使用默认的用户名密码居然登录进去了!

尝试进行文件上传,结果服务器返回了500错误,罢了换下一个端口。

使用浏览器访问1022端口,发现一个SQLI-LABS!要说上面的钓鱼管理后台或者灯塔没有漏洞,那这个专门用于SQL注入练习的平台,可就是满满的漏洞了,关键在于,如何化漏洞为己用,如何把SQL注入升级到getshell

SQLI-LABS的攻略很多,随便一搜就有,其中第7关Less-7可以使用SQL语法into outfile对外部写入文件,从而在服务器上写入webshell。首先使用Less-1确认了一下当前用户是root:

然后通过Less-7在网站目录下写入一个webshell,结果发生了Error 13,没有权限:

突然感觉到事情不太对劲,开放在公网的SQLI注入漏洞,应该不会这么简单。这时通过Less-1执行SQL语句load_file查看一下该服务器Apache的配置情况:

从上面可以看出,SQLI-LABS的服务开在的是80端口,但对公网的端口则是1022端口。真相只有一个,这如果不是docker环境,难道还能是Nginx反向代理吗?
瞬间就失去了getshell的兴趣,因为就算getshell成功也是在容器环境中,至于容器逃逸就更麻烦了。这样看来,也就没有必要再对其他端口进行渗透了,在容器盛行的时代,大概除了22、21等特定端口之外大概率就是容器。

我好菜啊。

社工分析

在渗透上的失利,转而在其他方面寻找突破。发现钓鱼邮件的发件人是个qq邮箱,邮箱名对应的就是QQ号,所以虽然希望不大,但也值得一试。

在QQ上搜索对应的联系人,居然是个10年Q龄的号,资料齐全,竟然不像是个专门用于钓鱼的Q号。至少如果最后溯源无果,说不定可以加QQ来人工渗透。

在百度上搜索该QQ号,发现这个QQ号在贴吧上卖灰产。

追踪该贴的发帖人,虽然信息没有多少,但是都挺关键。从下图中可以获取的一些信息:

  1. IP归属地在北京,可能是最后一次登录的时候
  2. 关注了【钓鱼】吧,不知道研究的是哪种钓鱼
  3. CSGO玩家,还直播开箱,生日是6月1日
  4. 吧龄和发帖量都比较真实,应该是真实的用户,但是能查看的发帖就只有2条
  5. 用户名【xx空xx】,和QQ的昵称能对应上,应该是同一个人

在百度上能搜到的线索就这些,随着互联网的闭塞,百度能搜到的基本也就百度自家平台上的信息,除了贴吧就是百家号。我们换个搜索引擎再对该QQ号进行搜索,虽然只有一条结果,但是非常关键。QQ信息是正确的,网站名包含【空】,和贴吧昵称和QQ昵称也都能对应上。

然而该网站打开,显示连接超时,应该是下线了。不过可以通过搜索引擎的网页快照查看文字内容:

该网站上的内容有灯塔、Gophish、Github-Monitor、SQL靶场,都是上述网络分析中扫描端口对应的内容,但这次,除了IP和端口之外,还得到了一个域名!在网页快照上查看,该网站还写了不少安全方面的技术文章,看得出是是个业内人士。一直浏览到网页快照的底部,吃了个大惊——

一个钓鱼网站居然还做备案?通过备案查找,直接把该网站域名和所有人的姓名对应上了。

溯源到此也可以算是成功了,但成功应该是种激励,而不是终点。回到该博客网页上,对该网页上的一些链接进行点击,找到个写着个人网盘并备注着好康的的链接,随即进入看看。是个Win10风格的Web网盘页面,主站已经无法访问,而子域名网盘站居然连访问限制都没有,难道是蜜罐?

网盘里东西也比较杂,通过一段时间的信息过滤,在一份写着课程设计报告的文件里发现了个人信息:

这下子所有信息的获取到了,从学校、专业、姓名、学号等。罢了罢了,学点东西何尝容易,有心实践更难能可贵。

后记

所以在此提醒各位钓鱼邮件的发件人和收件人,一定要注意保护好自己的个人信息。

你可能感兴趣的:(顺着网线去给对面一个大嘴巴子实战)