13.3 – 内部侦察

如今了解windows网络最好的工作就是Powerview[1]了,阅读它的作者[2]编写的文档是非常有必要的,特别是[3][4][5][6]。 Powershell本身是非常强大的[7]。目前仍然有很多的windows 2000和2003的服务器,可能你在学校中也学习过[8],使用诸如Netview.exe[9]或者内置的”net view”命令。我喜欢的其他手段有:

1、下载文件名列表
当你拥有域管理员权限时,你可以使用powerview下载网络中所有文件:
Invoke-ShareFinderThreaded -ExcludedShares IPC$,PRINT$,ADMIN$ |
   select-string “^(.*) -” | %{dir -recurse $_.Matches[0].Groups[1] |
   select fullname | out-file -append files.txt}
然后,你可以阅读它并选择下载哪一个文件。

2、阅读email
我们已经知道,可以使用Powershell去下载邮件,而且它通常会带来很多有用的信息。

3、阅读sharepoint
这是另一个可以获取商业机密的渠道,你同样可以使用powershell来下载。

4、活跃目录[11]
它拥有关于用户和计算机非常多有用的信息。不需要成为管理员,你就能通过powerview或其他工具[12]来得到很多信息。在获取管理员权限后,你可以用csvde或其他工具导出所有的AD信息。

5、监视雇员
我 的一大兴趣就是搜寻系统管理员。监视Christian Pozzi(黑客团队中的一员)给了我Nagios服务器的权限,可以获取rete sviluppo(借助RCS创建的网络)。通过Get-Keystrokes和Get-TimedScreenshot的结合[13],以及Do- Exfiltration[14]和GPO,你可以监视任何一个雇员,甚至整个域。

[1] https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerView
[2] http://www.harmj0y.net/blog/tag/powerview/
[3] http://www.harmj0y.net/blog/powershell/veil-powerview-a-usage-guide/
[4] http://www.harmj0y.net/blog/redteaming/powerview-2-0/
[5] http://www.harmj0y.net/blog/penetesting/i-hunt-sysadmins/
[6] http://www.slideshare.net/harmj0y/i-have-the-powerview
[7] https://adsecurity.org/?p=2535
[8] https://www.youtube.com/watch?v=rpwrKhgMd7E
[9] https://github.com/mubix/netview
[10] https://blogs.msdn.microsoft.com/rcormier/2013/03/30/how-to-perform-bulk-downloads-of-files-in-sharepoint/
[11] https://adsecurity.org/?page_id=41
[12] http://www.darkoperator.com/?tag=Active+Directory
[13] https://github.com/PowerShellMafia/PowerSploit
[14] https://github.com/samratashok/nishang

14 – 搜寻Sysadmins

阅读他们框架的文档[1],我发现我仍然错过了一些非常重要的东西——”Rete sviluppo“,一个用RCS源码编写的隔离网络。公司的sysadmins通常会有所有东西的权限,所以我搜查了Mauro Romeo和Christian Pozzi的电脑去查看他们是如何管理这个网络的,查看是否有我感兴趣的一些系统。想要进入他们的电脑很简单,因为他们就属于我已经获得域权限的那个域。Mauro Remeo的电脑没有开放端口,因此我打开了WMI[2]并且执行meterpreter[3]。另外通过Get-Keystrokes和Get-TimeScreenshot开启了键盘记录和屏幕抓取,使用metasploit的gather模块和CredMan.ps1[4]获取感兴趣的文档[5]。当发现Pozzi有一个加密的磁盘时,我等他挂载时将其中的文件都拷贝了出来。许多人都利用了Pozzi的弱密码,他提供了非常多的材料[6][7][8][9]。事实上mimikatz和Keyloggers都找到了所有的密码。

[1] http://hacking.technology/Hacked%20Team/FileServer/FileServer/Hackingteam/InfrastrutturaIT/
[2] http://www.hammer-software.com/wmigphowto.shtml
[3] https://www.trustedsec.com/june-2015/no_psexec_needed/
[4] https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Credentials-d44c3cde
[5] http://pwnwiki.io/#!presence/windows/find_files.md
[6] http://archive.is/TbaPy
[7] http://hacking.technology/Hacked%20Team/c.pozzi/screenshots/
[8] http://hacking.technology/Hacked%20Team/c.pozzi/Desktop/you.txt
[9] http://hacking.technology/Hacked%20Team/c.pozzi/credentials/

15 – 桥梁

在Christian Pozzi的加密卷时,有一个文档保存着所有的密码[1]。其中有一些就是自动化Nagios服务器的,它可以访问Sviluppo网络。因此我找到了桥梁,这个文档里包含了打开web界面的密码,但是存在着一个公开的命令执行漏洞[2](它是一个非授权漏洞,但是需要一个活跃会话,因此我使用了文档中的密码)。

[1] http://hacking.technology/Hacked%20Team/c.pozzi/Truecrypt%20Volume/Login%20HT.txt
[2] http://seclists.org/fulldisclosure/2014/Oct/78

16 – 复用并重置密码

通过阅读邮件,我发现Daniele Milan拥有git仓库的权限。我已经有了他的windows密码,所以在git服务器上尝试了一下并且成功了。然后我试验了sudo也成功了,在git服务器及他们的twitter账户上,我使用了”忘记密码“的功能,因为我已经有了他们的邮箱权限,因此可以重置密码。

17 – 结论

这就是攻破一家公司并且阻止他们滥用人权的过程。也是黑客艺术的美之所在:通过100个小时的努力,一个人可以将数亿美元公司多年来的努力瞬间化为虚无。黑客技术让底层人民有了反击和获胜的希望。

黑客指引经常会以一句话结尾:本教程只用于教学目的,作为一个有道德的黑客,不要攻击你没有权限的系统等。我也会说同样的话,但是会用一种更”叛逆“的道德理念。窃取文件,没收银行财产,以及为普通人的公司保障安全的都是有道德的黑客。然而,许多自诩”道德黑客“的人仅仅给提供他们高额回报的公司服务,而那些公司往往才是最应该被攻击的。

黑客团队认为他们是意大利设计的灵感的一部分[1],但是我看到过Vincenzetti和他的公司,他的亲信都在警察局,宪兵队和政府部门,作为意大利法西斯主义的悠久传统的一部分。我想把这个指南给予那些在Arman Diza学校中受袭击的受害者,以及那些被意大利法西斯迫害的人们。

[1] https://twitter.com/coracurrier/status/618104723263090688

18 – 联系方式

给我发送钓鱼攻击,死心威胁[1][2]以及0day漏洞或者银行、企业和政府内部权限等。
[1] http://andres.delgado.ec/2016/01/15/el-miedo-de-vigilar-a-los-vigilantes/
[2] https://twitter.com/CthulhuSec/status/619459002854977537

请发送加密邮件:
https://securityinabox.org/es/thunderbird_usarenigmail