手术刀APT行动 讲课课件

商业手术刀APT行动攻击过程信息刺探1终端劫持2服务嗅探3连接数据库4事件起因朋友家的休闲吧朋友家开了一家休闲吧。人气不怎么好，想去其他休闲吧挖一些会员过来。然后找到了我，让我想办法去其他人气好的休闲吧搞到他们的一些会员信息。我家住在我们镇的中心位置，家门口就有一个休闲吧，很是火爆，名为：新大地。会员数据不少，但具体多少不知道。然后就选定了这家。

Theincident准备实战初期刺探，apt的关键在自己理解就是，前期的情报收集的越多，越容易渗透目标。首先进去，看到的是一个前台，和服务员对话发现有wifi，然后看到门口有三个摄像头，服务员和热情，的询问。我也就和他们搭上话。信息刺探第一天：走到前台，和前台MM周旋了一会儿，看着她电脑，发现他用的是一款叫XX管理软件，还发现了数据库的图标。这个很关键，前台有3台电脑，其中一台有网，发现其中一个MM在听歌，其他的2台是内网，直接跟前台说需要洗脚，然后就进去了。进去后发现，有几个wifi节点。wifi1、wifi2、wifi3.询问服务器得到密码，进入之，拿安卓的嗅探一个一个看看哪个wifi节点是我的目标。顺手用手机吧手牌里面的信息读取走了，走的时候办理了一张会员卡，准备带回家看看卡里面有啥信息没。于是这次刺探结束。信息刺探晚上用设备吧东西都读取出来，看看信息，无果。终端劫持这次带了一个神器这个能在5M之内在10秒中测到对方对讲机的频率，昨天有发现他们使用对讲机。现在都准备好了，那我就进去了，这次直接刷会员里面的钱进去之，然后和部长说说话，感觉时间差不多了，得到频率。目的达到，然后吧自己的对讲机设置好。这个目的是什么呢，稍后告诉你们，咱们先来看看这台终端机，这机子我折腾了好久，终于找到办法跳出沙盒，然后看到了熟悉的xp界面，先看看cmd刺探下，是啥样的，然后看看端口开放了那些服务，看看IP，ping了ping百度，但是打开浏览器没办法上网，可能有限制，终端又不能放工具，记性也不好咋设置限制修改。终端劫持算了刺探吧，总之就是刺探你所想要的，翻翻网上邻居，翻翻其他盘符，找到个软件，看到了数据库配置文件。直接就是明文的，这下有了数据库密码了，但是没用，这终端又不能插入，干不了。忽然看到一个软件，弹回沙盒，看到上面有个微博转发，试试功能，可以。确定有外网，想办法能不能开启3389用lcx转发下。先结束。转移到对讲机这里来，在对讲机里面说了一句，这网络怎么不能用啦，那个那个谁帮忙来看看，（我不知道名字，所以是用的那个那个谁来引导，可能是网络经常出问题，管理直接去机房，我也假装上厕所搬的跟着，好嘛，我看到了几台路由，不止3个wifi，哟西原来如此，那这样说来服务数据库的可能是wifi4或者wifi5.）继续刺探，看看又没嫌疑是这个会所的wifi名字，看到了一个以OA开头的，用他们给我的前面的wifi密码试试，不行。没密码？OH，想起来了用数据库的那个密码试试，撞库进去了。OK，走人，这次算刺探完结。服务嗅探第三天直接带上设备，来到他隔壁楼下，连接上wifi咱们来内网漫游吧。像他们这种都不会有啥硬防火墙，扫描，arp随便走起。开心的玩耍吧。首先，我就用Dsniff嗅探了一下。搞到了数据库账号密码，这个早有了，立马提权上去，后面的工作轻松多了。服务嗅探连接了一下3389，在里面没什么有用的东西。发现不是需要的那台。然后各种嗅探，也没找到什么有价值的东西。第三天的工作，差不多该收场了，就一杯卡布奇诺，坐太久，赶脚也有点丢人。没办法，屌丝。没钱。连接数据库第四天，我又来了。依旧是一杯卡布奇诺。继续昨天的工作。找到了一台主机，想连接，但是连接不上。难道改数据库密码了？不对啊，折腾折腾，OK。用昨天读取到的系统密码在用pstools套件，尽九牛二虎之力。但是没有找到数据库。这次用科来（自行百度）看看咋回事，OK，发现了，另外发现了还一台，一个破休闲吧，做那么严格。原来是这样的软件连接的数据库不是这台估计以前是这台，后面改了，前面看IP对着的呀？难道那个是以前的配置config？连接数据库第五天，来了以后啥都没点。就直接坐下搞。通过在那台主机上面嗅探，为什么开始没嗅探到呢？萌萌cain。找到了另一台主机。得到sa直接上去进去了。也有数据库，粗略看了一下，应该就是会员信息。拖出数据。走人，深藏功与名。总结最后，我给大家总结一下，我这里不是仅仅传递一个故事给大家。Apt在国外早已流行，国内最近两年才流行开，根本原因就在于真正去实践的人太少，只是停留在想法上面。其实圈内很多人也不想去分享这方面的知识。一方面是因为经验不足，另一方面，Apt是非法的，如果他们分享出来，那么这一切，都将是他犯罪的证据。比如我这次。我作为晚辈，想代表他们，给大家分享一点我自己的东西出来，也并不是说我不怕，而是我觉得这件事总要有人去做，能让国内慢慢和世界去接轨，互联网不是某一个人的，而是全世界的，首先apt属于一中高级可持续攻击手段，我们只要理解可持续这个关键字就可以，我的理解就是你能做到可持续，那么你的手段就一定是高级的。在我所有的apt经验里，所有的环境，你可以这样理解，apt首先，你要知道自己是作为一个rookit植入到企业或者某个行业