回顧一次金融行業的攻防演練過程

0x00

前段時間接到一個金融行業的項目，剛開始到是金融行業后內心是拒絕的，所以就在本篇文章記錄一次金融行業的攻防演練過程吧。

0x01

由于金融行業很多系統都是自建的，前期批量梭哈無效。硬剛業務站又要安裝各種控件，還有各種抓不到數據包、數不清的加密、各種要求注冊才能訪問。

于是我們將目光放到了一些常見的系統上，發現他們的郵件系統是某第三方提供的郵件系統。

既然有郵箱，嘗試一波郵箱歷史漏洞無果，那么開始準備爆破吧。

為了搜集郵箱規則，在baidu、google和github上都快翻爛了也沒找到。。。

最后通過Hunter，得到郵箱用戶名規則。

根據規則生成TOP500用戶名和密碼字典，直接用腳本開沖。

在爆破的同時，發現網頁右下角有個非常不起眼的咨詢電話。

查了一下手機號的歸屬地發現和目標單位所在的城市一致，判斷手機號應該是管理員的手機號。

0x02

既然有了管理員的聯系方式，那就在等待爆破的同時，對管理員進行一波社工吧。

通過手機號可以搜到對方企鵝號，但是有驗證問題。

那么怎么通過手機號得到使用者的真實姓名呢，哎，支付寶的轉賬功能就可以。

這位哥哥昵稱就叫弓長（化名），猜了一次就中了。

直接回答驗證問題，有了管理員的社交好友，就可以對管理員去釣魚或者套話了。

加上管理員之后，確定好自己的虛擬身份，與交談的話題。

我把自己當作分行的普通一位員工（因為郵箱管理員應該是在總部，冒充成管理員認識的人就尷尬了）。對方是郵箱管理員，話題就從郵箱作為切入點。

制作免殺馬，因為對方是運維，肯定多少懂一點，所以用大量空格插在文件名中將.exe頂到后面。

可惜，估計是暴露了。對方接收了文件，但是遲遲沒能上線。。。

0x03

等待對方上線的同時，把對方的朋友圈從頭到尾刷了一遍，又搜集到一些信息。

利用搜集到的管理員的所有信息，生成密碼字典。

爆到第1966次的時候，成了（淚牛滿面x1）

搜集了一份通訊錄，翻閱來往郵件找到了一份員工信息表。

回頭看了一眼還在爆破郵箱的腳本，默默的暫停了。。。

通過搜集的信息再生成密碼本， 最終是爆破出了6個人的郵箱。（果然還是得精準爆破）

然后一封郵件一封郵件的翻，找到了VPN的地址和默認的VPN口令規則。

0x04

嘗試用那6個人的郵件密碼去登VPN，結果都涼了。我：？？？

因為已經有了目標詳細的人員信息，那就寫個腳本用這些信息，按照郵件中所述的密碼規則，還原一下默認的VPN口令接著試唄。（淚牛滿面x2）

隨后把進展同步給了項目經理，經過項目經理跟甲方的一番交涉，給了我們三個字“可以改”（jinneiwang）。

但是VPN連上后只能訪問OA，而且還需要登錄。

這時的OA口令就好爆破多了，直接使用前面的密碼手動嘗試，很輕松的就登進去了。

通過OA又找到一些別的系統，基本都是一些弱口令可以進后臺，但是當時連上VPN后抓不到瀏覽器的包（菜是原罪），一時間不知道怎么去測試了。。。

但是發現一個好東西，但是一訪問就轉圈，JRE安裝上還是轉圈，最后還是把Java環境全卸了重裝了一遍，然后使用360瀏覽器的兼容模式才訪問成功。

直接訪問漏洞地址，存在漏洞。

使用弱口令admin/admin成功登錄。

舊版本的NC報表處存在任意文件上傳，點擊附件即可查看shell的地址。

由于目標系統不出網，嘗試了很多辦法，最后使用毒刺（pystinger）通過webshell實現內網socks4代理，項目地址：https://github.com/FunnyWolf/pystinger。

首先上傳proxy.jsp，訪問并返回UTF-8就表示成功。

上傳stinger_server.exe 到目標服務器，并執行start stinger_server.exe 0.0.0.0。

在本機執行：

stinger_server.exe -w http://xxx.xxx.xxx.xxx/proxy.jsp -l 0.0.0.0 -p 60000

代理地址設置成本機的60000端口即可開始愉快（zeiman）的內網滲透。

內網也沒安全設備，漏洞一大堆，沒來得及繼續深入，甲方感覺已經可以了，于是項目就完滿的結束了。