前言
HW期間真的是釣魚郵件滿天飛抢埋,但又總是擦肩而過宋渔,就像站在天臺上的尼奧一樣州疾。不過今天終于一封郵件發(fā)到了安全研究的郵箱里,欣喜之余皇拣,決定溯源看看严蓖,能不能摸著網(wǎng)線去給這傻逼網(wǎng)友來一大嘴巴子。
溯源之路
1. 附件分析
首先從郵件中把附件臨時人員xxx.zip下載下來氧急。直接打開當然是不行的颗胡,就算這個文件以zip結(jié)尾。所以首先要先判斷一下這是個什么文件吩坝,使用file命令查看一下:
file命令說這文件就是個ZIP壓縮文件毒姨。如果對file不那么信任的話,可以再手工判斷一下钉寝,使用HEX編輯器打開該文件查看:
從HEX編輯器的分析結(jié)果可以得到2個信息:
- 確實是個ZIP文件弧呐,文件內(nèi)容是以
PK開頭,就算后綴被改成exe也執(zhí)行不了嵌纲,至少操作系統(tǒng)不會認為這是個可執(zhí)行文件俘枫。 - 這個ZIP中包含了以
exe結(jié)尾,但命名中包含docx字段用于迷惑的一個文件逮走。
雙重確認直接就可以對該文件進行解壓了鸠蚪,居然還有解壓密碼,大概是為了通過加密機制繞過郵件的木馬掃描機制。解壓得到了一個exe文件茅信,其文件名是關(guān)于調(diào)整薪資結(jié)構(gòu)及發(fā)放方式的通知.docx .exe囱晴,中間帶了一段空格慢睡,方便分析起見舔痪,把文件名修改成fish.exe吧蟆炊。
至于可執(zhí)行文件的靜態(tài)動態(tài)分析狂魔,就直接扔到微步云沙箱上梭哈就行了理澎。經(jīng)過微步平臺一段時間的運行和分析酥宴,發(fā)現(xiàn)該可執(zhí)行文件在執(zhí)行的過程中會對一個外部IP發(fā)起網(wǎng)絡(luò)連接:
這樣弯淘,我們就擁有了攻擊者的服務(wù)器IP信息榆综。
2. 網(wǎng)絡(luò)分析
首先使用Archon對該IP的開放端口進行掃描妙痹,可以見到該IP開啟了許多端口。
根據(jù)微步沙箱的分析結(jié)果鼻疮,該可執(zhí)行程序訪問的是45234端口怯伊,具體的URL是http://IP:45234/VVXY。使用curl對URL請求數(shù)據(jù)判沟,發(fā)現(xiàn)是一堆亂碼耿芹,應(yīng)該是加密數(shù)據(jù),忽略了也罷挪哄,還有很多端口可以研究吧秕。
通過瀏覽器訪問3333端口,居然搭建了一個gophish迹炼,赤裸裸的一個釣魚管理后臺砸彬。嘗試了一下gophish的默認用戶密碼,顯示密碼錯誤斯入。
通過瀏覽器訪問5003端口砂碉,是個燈塔資產(chǎn)管理平臺,這次使用默認的用戶名密碼居然登錄進去了刻两!
嘗試進行文件上傳增蹭,結(jié)果服務(wù)器返回了500錯誤,罷了換下一個端口磅摹。
使用瀏覽器訪問1022端口滋迈,發(fā)現(xiàn)一個SQLI-LABS!要說上面的釣魚管理后臺或者燈塔沒有漏洞户誓,那這個專門用于SQL注入練習(xí)的平臺饼灿,可就是滿滿的漏洞了,關(guān)鍵在于厅克,如何化漏洞為己用赔退,如何把SQL注入升級到getshell。
SQLI-LABS的攻略很多,隨便一搜就有硕旗,其中第7關(guān)Less-7可以使用SQL語法into outfile對外部寫入文件窗骑,從而在服務(wù)器上寫入webshell。首先使用Less-1確認了一下當前用戶是root:
然后通過Less-7在網(wǎng)站目錄下寫入一個webshell漆枚,結(jié)果發(fā)生了Error 13创译,沒有權(quán)限:
突然感覺到事情不太對勁,開放在公網(wǎng)的SQLI注入漏洞墙基,應(yīng)該不會這么簡單软族。這時通過Less-1執(zhí)行SQL語句load_file查看一下該服務(wù)器Apache的配置情況:
從上面可以看出,SQLI-LABS的服務(wù)開在的是80端口残制,但對公網(wǎng)的端口則是1022端口立砸。真相只有一個,這如果不是docker環(huán)境初茶,難道還能是Nginx反向代理嗎颗祝?
瞬間就失去了getshell的興趣,因為就算getshell成功也是在容器環(huán)境中恼布,至于容器逃逸就更麻煩了螺戳。這樣看來,也就沒有必要再對其他端口進行滲透了折汞,在容器盛行的時代倔幼,大概除了22、21等特定端口之外大概率就是容器爽待。
我好菜啊损同。
社工分析
在滲透上的失利,轉(zhuǎn)而在其他方面尋找突破堕伪。發(fā)現(xiàn)釣魚郵件的發(fā)件人是個qq郵箱揖庄,郵箱名對應(yīng)的就是QQ號,所以雖然希望不大欠雌,但也值得一試蹄梢。
在QQ上搜索對應(yīng)的聯(lián)系人,居然是個10年Q齡的號富俄,資料齊全禁炒,竟然不像是個專門用于釣魚的Q號。至少如果最后溯源無果霍比,說不定可以加QQ來人工滲透幕袱。
在百度上搜索該QQ號,發(fā)現(xiàn)這個QQ號在貼吧上賣灰產(chǎn)悠瞬。
追蹤該貼的發(fā)帖人们豌,雖然信息沒有多少涯捻,但是都挺關(guān)鍵。從下圖中可以獲取的一些信息:
- IP歸屬地在北京望迎,可能是最后一次登錄的時候
- 關(guān)注了【釣魚】吧障癌,不知道研究的是哪種釣魚
- CSGO玩家,還直播開箱辩尊,生日是6月1日
- 吧齡和發(fā)帖量都比較真實涛浙,應(yīng)該是真實的用戶,但是能查看的發(fā)帖就只有2條
- 用戶名【xx空xx】摄欲,和QQ的昵稱能對應(yīng)上轿亮,應(yīng)該是同一個人
在百度上能搜到的線索就這些,隨著互聯(lián)網(wǎng)的閉塞胸墙,百度能搜到的基本也就百度自家平臺上的信息我注,除了貼吧就是百家號。我們換個搜索引擎再對該QQ號進行搜索劳秋,雖然只有一條結(jié)果仓手,但是非常關(guān)鍵胖齐。QQ信息是正確的玻淑,網(wǎng)站名包含【空】,和貼吧昵稱和QQ昵稱也都能對應(yīng)上呀伙。
然而該網(wǎng)站打開补履,顯示連接超時,應(yīng)該是下線了剿另。不過可以通過搜索引擎的網(wǎng)頁快照查看文字內(nèi)容:
該網(wǎng)站上的內(nèi)容有燈塔箫锤、Gophish、Github-Monitor雨女、SQL靶場谚攒,都是上述網(wǎng)絡(luò)分析中掃描端口對應(yīng)的內(nèi)容,但這次氛堕,除了IP和端口之外馏臭,還得到了一個域名!在網(wǎng)頁快照上查看讼稚,該網(wǎng)站還寫了不少安全方面的技術(shù)文章括儒,看得出是是個業(yè)內(nèi)人士。一直瀏覽到網(wǎng)頁快照的底部锐想,吃了個大驚——
一個釣魚網(wǎng)站居然還做備案帮寻?通過備案查找,直接把該網(wǎng)站域名和所有人的姓名對應(yīng)上了赠摇。
溯源到此也可以算是成功了固逗,但成功應(yīng)該是種激勵浅蚪,而不是終點√陶郑回到該博客網(wǎng)頁上掘鄙,對該網(wǎng)頁上的一些鏈接進行點擊,找到個寫著個人網(wǎng)盤并備注著好康的的鏈接嗡髓,隨即進入看看操漠。是個Win10風(fēng)格的Web網(wǎng)盤頁面,主站已經(jīng)無法訪問饿这,而子域名網(wǎng)盤站居然連訪問限制都沒有浊伙,難道是蜜罐?
網(wǎng)盤里東西也比較雜长捧,通過一段時間的信息過濾嚣鄙,在一份寫著課程設(shè)計報告的文件里發(fā)現(xiàn)了個人信息:
這下子所有信息的獲取到了,從學(xué)校串结、專業(yè)哑子、姓名、學(xué)號等肌割。罷了罷了卧蜓,學(xué)點東西何嘗容易,有心實踐更難能可貴把敞。
后記
所以在此提醒各位釣魚郵件的發(fā)件人和收件人弥奸,一定要注意保護好自己的個人信息。
