通过BOSS直聘钓鱼 打入公司内网实战

声明

以下钓鱼思路仅用于红蓝对抗、授权渗透测试,请勿用于非法用途。

前言

分享两次公司内部的红蓝对抗的过程,这两次演习的时间不长,都只有五天

  • 禁止直接利用总部内网或分支内网发起攻击或探测。

  • 禁止直接利用自己的员工账号及权限进行攻击测试。

  • 禁止使用物理攻击。

目标明确,必须通过互联网打进去

所以只有两条路可以走

  • 0DAY(没有)
  • 钓鱼(YES)

钓鱼实践一

攻击路径

前期在BOSS直聘找到公司招聘信息,并添加相应招聘负责人个人微信,对招聘岗位进行沟通。发送捆绑个人简历的exe诱导HR点击,浏览器密码收集,获取个人内网密码登录企业wiki获取通讯录内网邮件钓鱼区域安全员上钩

钓鱼

一个公司对外一般都有招聘和客户交流渠道。本次钓鱼就选择了招聘场景进行钓鱼。想要快速的鱼儿上钩还是得能和目标进行沟通,靠骗,靠忽悠。发邮件说不定都过不了外网邮件网关……
制作鱼饵,制作一份有竞争力的候选人简历,在招聘软件上点击目标公司的职位点击收藏,这样HR能看见我看过职位,但是我不主动聊天,这样显得我高冷,假装技术大牛。这样就可以筛选出受众群体(岗位急,hr经常在线,我符合该HC)。

图片[1]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog

聊天要求加wechat


找个合适的理由要wechat,点击招聘软件的交换wechat按钮,手工输入费时间,利用这个功能可能目标看见消息就会下意识点击,动作快过思考。当然也可以先聊聊,招聘场景下先问能介绍下有详细的JD或是岗位职责吗?能介绍下这个职位的定位和当前所在的部门吗?


wechat聊天


提前进入角色,我是友商多年安全老司机,微信养号,发两条朋友圈,秀出工牌(脉脉领英上找):


导师制作了免杀马,整个程序执行流程为点击文件后,调用系统默认pdf阅读程序打开真实pdf文件的简历,然后在后台释放cobalt strike 加载器,执行cobalt strike payload

详细的cobalt strike教程您可以参考下下方的视频进行学习

图片[2]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog

编译的时候换上PDF的icon,文件名加长空格。


没有用反转字符,当时好像文件名带了这个字符DF就报毒了(https://unicode-table.com/en/202E/)

聊天


尽量工作时间段聊,这个时候HR会电脑办公。在这个阶段上线3台主机,进入办公网。当然也不是一帆风顺,一位HR小姐姐察觉到了异常,另一位安全研发经理我好说歹说他就是不点:


同样的话术,另一位就非要我发PDF…….


权限维持主要是利用Startupfolder和hkcurun key。
抓取浏览器密码(https://github.com/moonD4rk/HackBrowserData)
需要临时做免杀,获取了钓鱼目标的内网域账号,登录邮箱和confluence。

获取通讯录,接下来又群发了两封钓鱼邮件,关于清明节放假和防疫通知的主题。

图片[3]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog


这个时候安全管理部的同学已经发现了,因为动静太大了,然后全员邮件《关于XX对抗的钓鱼通知》

本想着没有收获,结果第二天就有上线了,其中就上线了区域的安全管理员,然后找到了安全交接的文档。


后面本来想利用设备抓包功能抓到关键系统的数据,可惜时间不够了。

说是五天实际上除去写报告,干活就三天。

防御建议

规范招聘简历接收流程,对于简历接收,只允许通过专业招聘平台和公司邮箱,禁止使用个人即时通讯工具接收简历。安全意识培训(公司经常做邮件钓鱼方面,但即时通讯工具方面应该还没做)。

钓鱼实践二

大半年过去了,马上又要开始内部对抗了,上次钓鱼了招聘组,这一次行不通了,对抗前安全部的同学好像专门给HR小姐姐们做了培训,上次对抗结束的时候也在内部更新了安全意识培训的课程还有考试。

攻击路径

通过钓鱼获取两个权限,翻邮箱,发现共享文件夹,找到相关文件《XXXX操作手册》,扩散据点,弱口令扫描,信息收集,定制字典扫描,钓鱼。

钓鱼

对目标钓鱼之前要了解目标业务,平时有什么对外交流的渠道,知道这些才能做剧本。

这次简历钓鱼是行不通了,不过团队里面的好兄弟之前轮过岗,对某业务流程比较熟悉。所以这次模拟的是甲方爸爸。

Google搜相关客户的招标信息,拿到一些设备的关键信息。


然后直接打电话,说设备故障需要安排工程师处置,留下QQ


先交流一会,然后诱导其右键管理员点击顺带bypassUAC


再接着忽悠:


至此上线两台主机。


其中自解压木马的制作可以评论阅读下面的内容


制作好后再ResourceHacker替换图标。

翻文件

办公网个人办公电脑在工作组,内网的一些WEB系统需要域账号登录,所以读浏览器密码就能拿到内网密码。挂代理登录邮箱,翻邮件后,发现一个共享文件夹:


在里面找到了《xxx操作手册》

图片[4]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog

也拿到了该部门小姐姐们的照片,可爱捏。
意外收获,同事在偷看小姐姐桌面的时候居然截屏到了关键的在线文档的图片。

图片[5]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog

弱口令

很多公司内网里面都会有扫描器,安全设备,这些设备一般都会在全流量检测的白名单里面,所以在内网里面扫描可以想办法搞一台,maybe就是默认口令。拿下来了,在内网里开炮都不会告警。


先找了一个段做ssh弱口令(123456)扫描,扫出几台,登录上去发现研发的内网账号,再登录confluence,本来上次攻防结束后内网大部分系统都改为双因子登录,但是这个账号居然可以登录。

图片[6]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog


弱口令扫描+翻文件又登陆了37台服务器。

三封钓鱼邮件

第一份钓鱼邮件是给当前部门内部发的,恶意文件直接就放在内网的文件共享服务器上。


被发现,入口点-1,内网账号-1
第二份钓鱼邮件是选取部分部门推送,已附件的形式发送。


午饭的时候发的,结果被收到邮件的同事举报了。
全员邮箱获取方式:


本来想Kerberoasting,发现了3个SPNuser,但是没跑出来。


但是密码喷射出了一个账号:


我们用这个非用户账号发第三份钓鱼邮件,用的是密码过期模板:


修改密码的网站的超链接实际指向的是我们控制的内网IP。


结果钓到了HRBP:

图片[7]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog

结尾

再说点有意思的,第一次发钓鱼邮件的时候,foxmail客户端带了自己主机的hostname,当场社死,有考虑换个星球生活了。


因为第一次对抗的时候的规则是,需要从互联网攻击,有另外一队小伙伴物理渗透,从前台的桌面的小纸条发现了账号,于是登上给装了向日葵,回家了给一顿扫。

第二天被安全部同学查监控抓了出来。建议下次戴个帽子换下装。

图片[8]-通过BOSS直聘钓鱼 打入公司内网实战-FancyPig's blog
© 版权声明
THE END
喜欢就支持一下吧
点赞30 分享
评论 共43条

请登录后发表评论