一次社会工程学攻击案例

2011-11-21 17:25:00 186 24147 4
前言:
相信大家对社会工程学并不陌生,我接触网络安全的时间并不长,接触的原因是因为我BF是黑帽,不想太没有共同语言,经常挂一天QQ都没和我说几句话,所以想增加一点共同话题。
在学习初期没有请教过他,怕他烦,于是独自学习,从他那里拿来不少资料,打听了不少可以学习的网站,唯一让我完整看完的是凯文米特尼克的《欺骗的艺术》。
因为涉及的技术环节比较少,作为初学者,从社工入手,慢慢熟悉其他脚本语言和各种命令,各种环境,个人认为是适合自己的。
但是之后想要实践的时候,发觉《欺骗的艺术》一文,思路虽然很好,但是不适合中国国情,也有很多不适合自己的,在一段时间的理论结合实情后,思索很久,终于有了一套自己的思路,决定选定一家目标来实践。
在实践过程中有不少运气的成分在内,但是第一次实践就成功拿到目标的webshell,对我个人来说是一个非常好的开头,也让我增加了继续学下去的信心。
初次撰文有疏漏之处及错字和错误观点还请大牛们见谅和指正。
本文将以第一人称的角度来叙述整个社工案例,但是人名和地名,公司名,等等关键信息,都是经过模糊处理的,请勿对号入座,如有雷同,纯属雷同。

第一步 对目标的信息收集

目标是一个游戏公司,域名www.xxx.com.
首先查询了whois信息,服务器IP以及所属地,查看页面上所留下的联系方式,以及可以在google和baidu上获取的信息,做了一个整理,初步得到信息:
域名是在万网注册,注册资料上填写的信息为A城市,而该公司的运营地区是B城市,而WEB服务器所在地也是在B城市。
按照whois信息上的域名以及电话号码在baidu搜索没有得到有价值信息。
与此同时正面检测了该网站,得出结论,该网站正面采用.net+iis7+2008来搭建,前台功能十分简陋,只有注册登录,和修改一些资料,查询一些记录,登录后无法上传任何东西,也没有注入,找不到后台,扫描目录也没有得到任何可以利用的文件或目录,但是查看发出的新闻,新闻中有图片,图片地址也是同服的uploadpic目录,可以初步推断后台具有上传文件功能,运气好就能getshell。
之后将游戏下载回来,进入各种不同的区服,用360查看IP,收集了绝大多数服务器IP和端口。
记录之后对比,发现对方的服务器有70%集中在某个C段,之后扫描该C段,旁注列出所有域名。
发现该C段虽然存活服务器很多,但是大多是游戏server,并没有开放web,开放web的只有约10台服务器,总数50余个域名,没有IDC和虚拟主机存在且大部分web都属于该公司。
收集到该公司数个二级域名,其中大部分二级域名访问后得到是跳转到主站,有价值的域名只有。
Update.xxx.com
2010.Xxx.com
其中update域名应该是游戏客户端更新所使用的服务器,IP地址和web服务器不同,打开游戏目录,用字符查找器搜索这个二级域名,在某ini文件中找到了这个地址,确认了的确是更新服务器。
而2010服务器是该游戏的为一个活动而创建的专属活动页面,和web服务器的IP地址相同,该页面几乎是静态的,只有一个留言的地方,留言尝试插入XSS代码被过滤,无法跨站攻击。而且看年份,已经是过期页面,没有继续深入。
另外web主站有客服页面,客服页面没有交互可以提交信息的地方,只有电话和email。
小菜我只能收集这么多信息了。

第二步 尝试技术性攻击
这一段主要实施者不是我,不过整个过程也并不重要,因为并没有获得什么突破性的进展,几乎也只是收集信息的过程。
BF首先是对整个C段开放WEB的服务器细致的检测了一遍,成功拿下webshell数个,但是其中能提权进入终端的只有一台,比较幸运的是,该服务器与目标web服务器在同一个交换机环境下,可以进行嗅探,没有限制arp,没防火墙。
本来以为这样就搞定了,但是其实根本没有搞定,否则也不会有这篇文章了。
嗅探过程中,嗅探到大量前台通过web登录会员的明文账号,但是一连3天过去没有嗅探到其他的东西。
查看该主页官方新闻,近期有发过新闻的,后台肯定是被登录过的,但是这里没有嗅探到。
这时BF告诉我,现在一般稍微正规点的站都会防止ARP,而该公司没有做,很大可能是因为该公司的后台登录的字段被修改,而cain这类的工具嗅探的时候只会针对类似username=xxx&password=xxx这类的字符串其反应,如果是1=x&2=y这种格式,那么必须在cain中添加监视1和2这两个字段才可以嗅探到数据。
如果是一个被命名的很奇怪的字段,那么cain就没办法嗅探。
还有一种可能就是后台的管理员是保持cookies之类的东西来登录的,根本不用输密码。
最后一种可能是该web根本没有后台,是通过其他方式来更新新闻的。
小菜我坚信该网站有后台,哪有那么奇怪的人用蹩脚的方式来更新新闻。
而且我也不认为会保存cookies登录,于是我认为是BF所说的特意更改了字段名。
思考过后,除非能得到后台地址,去提交抓包来得到字段名,否则这样靠cain是无法嗅到的。(不知道有没有比cain更先进的嗅探工具可以抓到http表中没有添加规则的数据。)

第三步 社会工程学获得关键信息
做到这一步BF已经算是全力帮助我了,接下来的几天一直没有头绪,让BF把嗅探服务器的后门留好,删除了cain,等有头绪了再去嗅探。
某天和朋友出去逛街,吃饭的时候朋友告诉我他最近在玩一个网页游戏,问我有没有兴趣一起玩,我不喜欢网页游戏,但是还是客气的问了问,没想到这一问就给我来了灵感。
据朋友所说该游戏是很近期比较火爆的一款游戏,代理给了多家公司,其中他在玩的这家公司的代理是比较好的,服务器稳定一些。
在这时候我就在想我的目标会不会有其他代理,可不可以从其他代理那里迂回攻击。
想到这里了后就匆匆吃完了回来打开电脑。
打开目标web前台,一个页面一个页面的点,是为了找到一个比较奇特的文件名,好在google和baidu中搜索这个文件名得到有同样文件名的网站,那几乎就应该是用同一套程序的了吧,终于找到了一个命名比较特殊的文件,名字很长,41webuserlogin.aspx
在google和baidu搜索这个文件名,结果很失望,没有找到代理。
难道就真的没有代理了吗?
开发一个游戏是不容易的,该公司也不是面向全国,在其他地区招聘代理商应该是必要的措施吧。
也许只是百度没有收录,抱着这个想法,我继续在目标的网站上转,又转回了客服页面。
上面有一个合作意向电话,看着这个电话几秒后,突然来了一个思路,在《欺骗的艺术》中经常看到的,电话社工。
可是我比较内向,能不能像凯文一样面不改色的去社别人呢。
做了很久的思想斗争,练习了很多遍台词,让BF检验后,BF皱了皱眉头,说也许可以吧,你最好小心点,别说漏嘴,对方可能会问你你没有准备好的问题,还有你最好准备点材料。
之后BF去给我买电话卡,又想了一会儿可能遇到的问题和该说的话,从网上找了一个公司简介,PS修改图片,更改内容后做成DOC。
等了半小时BF把电话卡送来。
最后深呼吸,鼓起勇气拨通了这个电话,对话如下:
“喂,你好,是xxx公司的张先生吗?”
“你好,我是,请问有什么事请吗?”
“是这样的,我们是C城市的一家网络公司,想和你们合作。”
“哦,你想怎么合作?”
“我们想代理你的游戏,在贵公司主页上找到了联系方式,但是你们也没有太多说明,请问是否可以以这种方式合作?”(说到这里捏了一把汗)
“可以的,不过我们要先验证贵公司的实力,这样吧,你有QQ吗?我们上QQ谈。”(太好了求之不得,就算他不这么问我,我也打算以这个方式来谈,打电话精神绷得太紧了。)
“好的,我的QQ是123456。”(给出得QQ号是事先准备好的小号。)
“我的是654321,那先这样,我们10分钟后谈。”
“好的,那先不打扰你了。”

挂了电话后,开虚拟机,上VPN,把小号打开,资料早就改好了。
不过这家伙不守时,大约半小时后才通过我的好友邀请。
其实本来想直接传木马文件过去,但是BF阻止了,说现在的人没有那么低能,最好还是慢慢来,先建立信任关系,第一次发东西一定不能发木马,以后酌情再考虑发不发木马。
之后对方向我发送了一个rar文件,是他们公司的简介以及合作需求说明。
我也把我准备好的公司简介发送过去。
之后我决定对对方做一个试探,探测对方的计算机水平。
因为我是女的,女的一般电脑比较白痴。
于是我就装作很白痴的问对方。
“张先生,你传给我的东西怎么打不开,360提示有病毒。”
“这怎么可能,这个rar中只包含doc和jpg文件,不可能有病毒的,是不是你电脑已经感染了病毒。”

听到这里,庆幸自己听了BF的话,直接发木马过去直接就露馅了,对方是比较懂电脑的。
于是我解释可能自己已经中了病毒,让对方也查验一下我发过去的东西会不会感染了病毒。
对方很耐心的教我下载winrar和解压缩,其实我早就会了。
过了5分钟后,对方发来了消息,说已经看过我公司的简介,也让我方好好仔细阅读他们发来的文档,确定合作的话,再约个时间细谈,最好能面谈。
时机到来,我趁机进一步试探。
“好的,我会详细的给老总解说,另外我想知道一下贵公司的代理有没有成功案例,如果有成功案例,我也能更好的解释。”
“有的,我们有2个代理,网址是www.yyy.com和www.zzz.com。”
终于找到了。
后面的对话意义不大,总之我和他约定几天后再细谈。


第四步 进一步刺探关键信息
之后BF对这2家代理进行了检测,得到的结果和上面一家几乎一样。
因为没有旁注,正面无望,最终还是只拿到了C断可以嗅探的服务器,嗅不到关键数据。
在这里得到的一个信息就是,这家代理和目标站都没有防止arp,也是2008+iis7的环境。
网络结构几乎一样,应该也是同一个管理员维护的。
因为在对方传给我的合作文档中,也是这么写的,开发商拥有对代理商服务器的管理权,并且会用加密狗把服务器加锁,防止服务端泄露。
虽然确定了代理商和开发商用的程序是一套,依然无法得到有用信息,继续社工开发商很容易露陷,对方提出面谈的话,我可没那个胆。
但是反过来看,代理商虽然没有服务器权限,但是网站后台总不见得是开发商管理的。
因为目测很多游戏活动都是代理商自行开展的,所以我认为代理商是可以管理后台的。
我现在拥有开发商的详细信息,以及明白他们的运作方式,于是又思索了一会儿后,拨通第二个电话,给代理商的客服。(因为网页上只有客服的电话)
“喂,你好,有什么可以帮您?”(对方是一个女孩接的电话,很有利)
“你好,我是B城XX公司的,找你们负责人。”
“哦?这里是客服电话,我是没办法直接帮你联系的啊。”
“有急事,我现在出差当中,没有带通讯录,手机快没电了,有急事联系,告诉我你们负责人的电话,否则出了事情你担待不起。”(吓唬下纯情小女生,我太坏了。)o(>﹏<)o
“啊,你稍等,我帮你查查。”(可怜的客服MM果然被吓到了,过了10几秒。)“我们的负责人电话是13XXXXXXX”
“好的,那我先挂了。”
挂了电话后立即拨这个电话。
“喂,你好。”
“喂。我是B城XX公司的,你是YY公司的负责人吧。”
“您好,我是,请问有什么事?”
“根据程序员报告,程序设计出了问题,在超过2011年X月X日后发送的新闻,都会出错变成乱码,我们主站已经修复这个bug,你们那里有发生过这个问题吗?”
“啊?有这种事?我看看。”(对方有点慌,几秒后)“没有啊,都正常的。”
“你登陆后台有没有问题?会不会出现无法登陆。”我继续问。
“没问题。”
“没问题?我登登看。”我沉默几秒后,问他:“不好意思,后台地址我不会拼写了,你能告诉我吗?”
“哦,是有点难记,目录名是adminghjkl”
“哦,我登陆看看。”在目标主站域名后加上这个目录回车,果然出现了登陆窗口。“哦,我这里也没有问题了,那看来是我们自己配置不当造成的问题了,你那边并没有这问题。”
“那就好了,吓我一跳。”(对方没有起疑,趁早挂电话吧。)
“那我先不打扰了,有什么问题联系我们吧。”

挂了电话,兴奋了,终于得到了后台,尝试后台注入无果。
登陆,抓包,发现字段名果然被修改了,把修改后的字段加到cain的http规则中。
继续嗅探。

第五步 突破进入后台
更改规则后,两天后获得了后台管理员用户,进到后台,果然可以上传。
但是过滤应该是按照白名单的方式来的,而且会时间+随机数命名,无法突破。
但是看到有一个上传rar的地方,而且会自动解压这个rar,形成活动页面。
于是保存对方的页面为html,再加入一个aspxshell,打包成rar上传,让后台自动解压缩,得到了aspxshell。
拿到shell后本来以为已经结束,但是对方64位的2008,尝试iis7溢出失败,又搜索到一个wsf文件提权失败,还一个内核溢出均告失败。
该服务器几乎是一个裸机,除了IIS之外什么都没,没有第三方软件。FTP、数据库、杀毒、输入法,什么都没有,提权几乎无望,只有等大杀器了?
翻来翻去都没有找到数据库连接信息,webconfig中没有,bin目录下有很多DLL。
推测是被加密到了DLL中,数据库也是其他服务器。
把DLL打包发给BF,之后BF告诉我逆向失败,搞不定,他这方面也不熟,帮我多发几个朋友试试吧。

尾声:
最后还是没能拿到数据库权限,不过给我增加了学习下去的动力和信心。
我是感恩节邀请码赞助才有机会进入土司的,版规都有仔细阅读。
希望帖子没有违规,不知道发哪里,就发在技术文章里面吧。

关于作者

vanessa篇文章篇回复

评论186次

要评论?请先  登录  或  注册
  • TOP1
    2015-10-15 14:01

    11年能写出这文章已经不错了,由此文可以看出11年的时候黑产脱裤盛行啊。连女人都按耐不住了想去脱人家的裤了

  • 166楼
    2011-12-7 11:31

    非常不错....电话社工.....很强大...

  • 165楼
    2011-12-6 21:46

    吐司惊现女黑阔。。。

  • 164楼
    2011-12-6 21:20

    表示围观。。。 写得不错

  • 163楼
    2011-12-6 15:13

    你思想不纯洁。。

  • 162楼
    2011-12-5 22:45

    我勒个去,你这jb用的太淫荡了

  • 161楼
    2011-12-5 16:05

    围观女黑阔,敢做呀

  • 160楼
    2011-12-4 20:43

    LZ杯具了。原来是女士。。这是一个狼人的世界。。。。看看,一看到你是女的,大伙普遍很有性趣。都精华外加JB了.....

  • 159楼
    2011-12-4 18:35

    思路清晰。方法不错。 如果是我的话,我会直接射代理商,取得代理商的资料后。 然后直接冒充代理商,去射这家游xi。

  • 158楼
    2011-12-1 18:32

    我擦,几天没看着帖子,错过了大xi~

  • 157楼
    2011-11-30 20:19

    一个妹纸引发的tools狂潮。。几天没上来了,错过了好xi的开端啊, 懊悔中

  • 156楼
    2011-11-30 18:24

    最后一次回复,09年丢QQ的时候就是我现男友送来的QQ号,他是80后,比我大5岁,当时只是朋友。 后来慢慢发展的,我们朋友时间长,在一起时间不多,我们是同城不同居,他和几个朋友在一起做事,做什么不用说了,一群男人我很少过去,大部分时间是叫他出来,当时那位大黑客给我打电话我正好在他家,准备出去。 是谁就不说了,估计是我老急着挂电话没给他面子吧,所以他就开始说这些。 剩下的你爱怎么说怎么说吧,最后一次和你一起无聊了。

  • 155楼
    2011-11-30 10:56

    这个女人有点。/。。。。,准备以后嫁什么样的人,有胆识,

  • 154楼
    2011-11-30 10:47

    这个。。。我确实是吃饱了没事做,楼主勿怪,我也没有恶意 下面继续 楼主09年qq丢了,立马就有人送上7位qq号 这个09年腾讯官方还有没有卖我不记得,只是买非官方的号貌似也不便宜 楼主朋友能送这个号给楼主,那么自己应该有更好的号吧 敢问楼主此朋友也是90后吗? 不知这位朋友是不是也是搞黑客的? 楼主男友03年圈子里就很有名了,那现在应该岁数也不小了 楼主接触这个才半年,而且为了男友才接触这个,说明你们在一起时间并不长,否则都老夫老妻了犯不着再去为了男友学这个吧? 之前楼主跟t00ls某无聊认识加qq聊天,然后打电话,说明此场景在家中 楼主能看到男友脸色,你们应该住一起吧 不过之前你说男友在qq上半天也不理你,说明你们那时也没住一起吧,楼主黑客学成出师后终于能跟男友合体了! 至于那位神奇的t00ls黑客,加你qq后竟然不是靠qq语音或者视频或者其他网络手段去验证你,而是直接打电话!更神奇的是打了两通电话后竟然说你是人妖拉黑你! 是哪位神奇的兄弟啊,鉴定完楼主也不发个话

  • 153楼
    2011-11-30 02:05

    这几天没时间上网,感谢你抽出时间来关注并推理,可是不得不说你从一开始前提就错了。 QQ号码获得的方式不仅仅有申请和盗号这2个途径,这是黑客的思维定势吗?反正搞这个的不会去花钱买QQ,所以形成这种思维定势也不奇怪。 我的QQ号码是人送的,如果你能看到空间的话你可以看我空间的09年的第一篇日志就是因为之前号丢了,别人送的我的新号。再这个前提错误之后,其他的推理几乎没有价值了,可是还是继续说说吧。我今年21岁,是90年的,而不是你说的25岁,如果我真的25岁了,那大概也是当妈的人了,不管我是不是从事计算机行业的我都不会接触这些了。 我也的确是第一次搞下像样的站点,练手的东西并不少,具体学xi时间从今年暑假开始到现在已经飘雪的天气,虽然短短不到半年,但是也不至于这么久连这些基础都搞不懂吧,我BF是03年就在这个圈子出名的人,可是中间空缺几年回来后发现连个土司账号都申请不到,我是感恩节赞助注册用户,而他在申请ID被拒后拒绝土司,不要以为所有搞这行的都在土司,死号暂且不说,土司只有1000多会员。 其实质疑并不奇怪,这一行毕竟是你们男人的天下,但是信与不信何必较真,就像上次有个人在土司加了我的QQ,一定要验证我的身份,我说那你把电话拿来我给你打过去聊几句吧,之后他说我社他电话号码,一定要我提供我的号码,我怕这人来者不善,但是又不好拒绝,妥协后他拿来电话我打过去,聊了几句,之后挂了,然后他又用另一个号码打过来,说刚才给我打电话的不是他,这次的才是,然后又说我声音小,我BF这时不太乐意了,我就说要挂电话,可是他缠着要说,后来我看脸色不对就硬挂了,过了几秒此人在QQ说我是人妖把我拉黑,我真的很反感这种行为. 至于是谁我就不说了,大家都保留点面子。请质疑我的身份的一笑而过,把我当男的也好,我没意见。但不要吃饱了没事这样做,谢谢了。

  • 152楼
    2011-11-29 22:58
  • 151楼
    2011-11-29 22:53

    兄弟威武!我不得不来顶你!

  • 150楼
    2011-11-29 22:40

    楼主QQ号7位 1485341 楼主之前没搞过网络安全,不是盗来的QQ号 那么,楼主年龄应该在25+,楼主前面说因为男友而去接触的网络安全,说明这个并不是自己真正的兴趣 一个25岁的女生应该有一份自己的工作,或者研究生,25岁的女生喜欢逛街,看电影,看小说,还得工作,研究 楼主竟然有时间去接触网络安全而不是逛街看电影! 要么这个号也是个小号,那就跟楼主说话矛盾了 楼主说接触网络安全时间不长,此文为第一次实践 本文出现了whois,web服务器,ip,.net,iis,c断,IDC,域名,虚拟主机,2级域名,ini文件,xss,跨站,arp,嗅探,溢出,webconfig,DLL,加密,逆向等等 楼主会用百度,还会用google,楼主有QQ小号,楼主会PS修改图片,楼主有自己的vpn,楼主会熟练使用虚拟机 说明并没有像楼主所说的那样接触网络安全不长,否则不可能这么段时间弄清楚这么多东西 要么楼主是计算机专业出身,根据年龄推测楼主应该有工作或上研究生,既然计算机科班出身,那么工作或研究内容应该跟计算机有关吧 楼主竟然是一个在工作研究时搞计算机,工作研究以外还搞计算机的女人? 楼主既然都进了t00ls,男朋友应该也在,在这个全是狼的论坛里呆了这么久了男友竟然没有现身,这也太不应该了吧 总结,楼主搞了挺长时间的网络安全,楼主有一堆QQ小号,楼主可能不是女人 楼主上面用了bf这个词而不是男友,老公等等,心理学角度也说明楼主把bf这个词当成了男友以外的其他词

  • 149楼
    2011-11-29 16:07

    看了9L的回帖 看来土司的社工牛都行动了!

  • 148楼
    2011-11-29 15:47

    唯一让我完整看完的是凯文米特尼克的《欺骗的艺术》。看到这句让我感觉,女人对骗都很感兴趣啊! 在往下看的话,社工那段确实艺高人胆大啊,真敢打电话过去,其它的思路都是正常思路了! 亮点在于,男女搭配上,个人认为!

  • 147楼
    2011-11-29 13:48

    原来是耶稣牛嫂啊,仰敬仰敬!