记录两次公司内部的红蓝对抗过程
来源:admin
发布时间:2022-08-22 17:44:13
点击数:
欢迎关注
文章首发于“先知社区”,原作者:17岁的one(侵删)
前言
蓝队必须从互联网向目标发起攻击。禁止直接利用总部内网或分支内网发起攻击或探测。禁止直接利用自己的员工账号及权限进行攻击测试。
禁止使用物理攻击。
第N次红蓝对抗
攻击路径
钓鱼
聊天要求加wechat:
找个合适的理由要wechat,点击招聘软件的交换wechat按钮,手工输入费时间,利用这个功能可能目标看见消息就会下意识点击,动作快过思考。当然也可以先聊聊,招聘场景下先问能介绍下有详细的JD或是岗位职责吗?能介绍下这个职位的定位和当前所在的部门吗?
wechat聊天:
提前进入角色,我是友商多年安全老司机,微信养号,发两条朋友圈,秀出工牌(脉脉领英上找):
导师制作了免杀马,整个程序执行流程为点击文件后,调用系统默认pdf阅读程序打开真实pdf文件的简历,然后在后台释放cobalt strike 加载器,执行cobalt strike payload。
编译的时候换上PDF的icon,文件名加长空格。
没有用反转字符,当时好像文件名带了这个字符DF就报毒了(https://unicode-table.com/en/202E/)
聊天:
同样的话术,另一位就非要我发PDF.......
权限维持主要是利用Startupfolder和hkcurun key。
抓取浏览器密码(https://github.com/moonD4rk/HackBrowserData)
需要临时做免杀,获取了钓鱼目标的内网域账号,登录邮箱和confluence。获取通讯录,接下来又群发了两封钓鱼邮件,关于清明节放假和防疫通知的主题。
后面本来想利用设备抓包功能抓到关键系统的数据,可惜时间不够了。说是五天实际上除去写报告,干活就三天。
第N+1次红蓝对抗
攻击路径
钓鱼
然后直接打电话,说设备故障需要安排工程师处置,留下QQ。
其中自解压木马的制作可以参考(https://blog.gxzhang.cn/20200411/4043.html)
制作好后再ResourceHacker替换图标。
翻文件
在里面找到了《xxx操作手册》
意外收获,同事在偷看小姐姐桌面的时候居然截屏到了关键的在线文档的图片。
弱口令
先找了一个段做ssh弱口令(123456)扫描,扫出几台,登录上去发现研发的内网账号,再登录confluence,本来上次攻防结束后内网大部分系统都改为双因子登录,但是这个账号居然可以登录。
三封钓鱼邮件
第二份钓鱼邮件是选取部分部门推送,已附件的形式发送。
本来想Kerberoasting,发现了3个SPNuser,但是没跑出来。
结果钓到了HRBP:
结尾
因为第一次对抗的时候的规则是,需要从互联网攻击,有另外一队小伙伴物理渗透,从前台的桌面的小纸条发现了账号,于是登上给装了向日葵,回家了给一顿扫。第二天被安全部同学查监控抓了出来。建议下次戴个帽子换下装。
