對股市騙子內部的一次apt測試

i春秋做家：jasonx

前言

1. 因爲這件事情搞了好久，中間不少截圖已經沒有了，因此文章中出現的部分截圖是後面截的。
2. 文中不少地方涉及敏感信息，爲了個人人身安全，打碼比較嚴重，還請多多理解。

---

原由

前不久，我被拉入一個所謂「牛股推薦」的QQ羣，羣裏天天看到有人曬收益，說是羣裏某某老師推薦的。

直到有一天，羣裏一個網友發了一段很長的內容，大體意思就是羣裏騙他買的股票虧了40餘萬，雖然這條信息被管理員瞬間撤回，但他可能不知道，有種東西叫作「防撤回」，接着這位受害者被踢出去了。

而後我開始查了下這方面的資料，得知這種股票推薦的套路通常有大體以下：

騙術

1. 他們給你免費推薦股票，你賺錢了他拿分紅，你虧錢了他們沒有任何責任。
   正所謂「空手套白狼」。

2. 羣裏會有不少託，還有各類「分析師」

3. 若是屢次推薦給你買的都虧錢了，等你發現被騙的時候，就踢出去，再不行就換個QQ繼續搞，反正一個QQ號纔多少錢……

4. 受害者想到報警的話也沒啥用，畢竟你和他並無籤合同，人家也沒有直接從你口袋裏面掏錢。

---

好戲正式開始

爲了避免讓更多人受騙，我開始潛水收集信息。

一段時間後我明白了他們的運做方式。

運做方式

1. 經過他們的直播平臺，多位」講師」輪番上陣洗腦。
2. 並且設立了多個拉人頭的平臺，會員能夠推薦其餘人進來，而且能夠拿到分紅。
3. 擁有本身的服務器，而且有專門的技術人員在維護。

經過收集信息獲得成員的信息以下：
爲了安全，這裏就不貼出真實的信息了。

羣主QQ：10000（他們稱呼王總）

技術QQ：20000

客服1QQ：30000

客服2QQ：40000

客服3QQ：50000

0×1 APT入口

客服會天天在羣裏發佈一個地址，進去後是一個直播的平臺。
那麼咱們就先從這個平臺入手看看。

經過域名反查獲得IP地址，咱們先掃描一波端口看看。

獲得掃描結果之後，咱們保存下，而後導入到webtitle裏面掃描下標題。

獲得後臺端口

進入後臺後發現登陸沒有驗證碼，能夠直接爆破。

我們先用burp抓一個登錄的包看看

回到QQ羣裏面，把幾個管理員，客服的QQ號作成用戶名字典，另外在把一些經常使用的用戶名字典也加進去。

---

0×2 成功進入後臺

在burp裏面設置好變量之後就開始爆破了。

最後我很幸運的拿到了後臺帳號密碼

帳號是客服的QQ號碼，密碼123456 大笑三聲 哈哈哈….

後臺有機器人功能，能夠在直播的時候自動發設置好的話，讓你感受人氣還挺高。

接下來就是經過後臺拿shell了

找了下後臺的各類功能，發如今新增用戶這裏存在上傳點，

burp抓包直接把.jpg修改爲.php發包後直接拿到shell

而後在頭像處審查元素，看看上傳後的shell地址，菜刀鏈接就好了。

艱難的提權路

拿到shell之後就第一時間嘗試提權，可是連cmd命令都執行不了。
提示開啓了安全模式，屢次嘗試無果後就放棄了。

看來還要從其餘地方繼續入手了

 

---

0×3 釣魚拿下客服QQ

如今我開始思考，突破口仍是在客服上了。
若是能搞到客服的QQ號，只要用他QQ號給他們技術發一份郵件，上鉤的概率仍是挺高的，由於利用熟人之間的信任，能夠下降他們技術的內心防備。

說幹就幹，恰好前不久拿到好幾套針對QQ空間的釣魚源碼，咱們搭建好在vps上之後，用一個小號從新添加他們客服，誘騙他說有人在QQ空間說這個羣都是騙子，還發了不少證據出來。

固然在這以前，我在另一個小號的空間隨便寫了點東西，讓客服進去之後看起來真實點。

而後把釣魚鏈接發給她們3個客服，這個釣魚頁面點進去之後會提醒須要登陸QQ才能進入QQ空間的。
若是客服點擊登陸之後，自動跳轉到我那個寫了日誌的QQ空間。

沒多久，後臺拿到了3位客服的QQ帳號密碼。

由於客服當前在線,因此咱們等她們不在線之後再登錄上去，而後我用QQ郵箱給他們技術發了一份郵件。

內容以下

搞安全的應該都知道某盾在查殺webshell方面仍是挺厲害的。
可是這個某盾是通過加料的。

爲了讓D盾查到木馬，我寫了個很簡單的一句話放在這個網站的根目錄。

不過發完郵件後我纔想到，若是他老闆壓根不懂技術不就露餡了嗎？
不事後悔也沒用，接下來就只有耐心等待了。

果真功夫不負有心人，控制服務器顯示一臺主機上線了，立刻監視屏幕看看。

發現他遠程登陸了其中一臺服務器，而後經過這個服務器遠程登陸了好幾臺其餘服務器，中招的就是第一臺服務器，也就是這個跳板機，一開始我之後這臺是個跳板機，可是我本地遠程登陸測試了下他登陸的那些服務器IP，外部都是能夠訪問的。

---

0×4 問題來了 如何拿到全部服務器權限呢？

他只在其中一臺服務器上運行了加料的D盾， 因此目前只拿到了這一臺服務器。

可是經過遠控翻他的註冊表，發現他曾經鏈接過不下10多臺服務器。

這裏給出mstsc的鏈接記錄列表位置。
[HKEY_USERS\S-1-5-21-1387774393-1596258019-1651181295-500\Software\Microsoft\Terminal Server Client\Default]

那麼問題來了，他如今登陸的服務器是勾選了記住密碼了，遠程登陸的時候不須要輸入帳號密碼，因此個人遠控監視不了他服務器的帳號密碼。

可是這裏有個幾個辦法是能夠獲取到密碼的。

1. 用powershell 腳本（可是須要能夠交互才能讀出密碼來，文章最後我分享了，回覆可見）
2. 直接幹掉mstsc保存的憑據文件，讓他下次遠程登陸的時候必須輸入帳號密碼才能鏈接。

因爲他如今正在使用這臺服務器，我沒辦法用powershell讀取密碼，那麼就用方法2吧。
首先用遠控的文件管理功能，找到如下路徑。

C:\Documents and Settings\Administrator\AppData\Local\Microsoft\Credentials\

能夠看到，他有兩臺服務器是選了記住密碼的。

如今我們直接刪掉這兩個憑據文件，而後開啓遠控的在線鍵盤記錄功能。

而後在遠控的cmd下執行如下命令，幹掉他的遠程鏈接進程。

taskkill /f /im mstsc.exe

這樣管理員的遠程登陸窗口就會斷開了，他一定會從新登陸，可是以前登陸的憑據被我幹掉了，從新登陸的話須要輸入帳號密碼，那麼咱們的遠控鍵盤記錄就抓到他密碼了。

搞到密碼之後，能夠短暫休息了，畢竟管理員如今還在線，只能等深夜的時候再繼續了。

---

0×5 深夜起來繼續嗨

調好鬧鐘，凌晨4點起牀之後，我用抓到的密碼挨個登陸了他的服務器，發現他全部服務器居然都是同一個密碼，心真的大啊！哈哈 (ﾟ▽ﾟ*)

這裏有個坑我要說下，由於他服務器好多都是阿里雲的，若是我在本地登陸的話，確定會觸發異地登陸提醒，這樣管理員立刻就能收到入侵短信了。
因此我用他的那個跳板機登陸上去的，而後幹掉全部aliyun的進程，包括雲盾的，這樣無論你幹了啥，雲盾就一臉懵逼了。

登陸到其中一臺服務器的時候發現管理員在桌面放了不少有意思的東西。

這下真的是一鍋端了。哈哈哈 (✪ω✪)

到此，業務服務器、數據庫服務器、測試服務器、直播的服務器已經所有到手。
剩下的就是收集證據，而後匿名舉報一波咯。

---

總結

apt老是讓人防不勝防，只要收集的信息夠多，作好針對性的攻擊，成功率仍是蠻高的。

另外附送一個比較牛逼的遠程登陸密碼讀取工具，能夠讀出mstsc保存在本地的密碼。工具回覆可見給一些小建議

1. 不要設置大量重複的密碼
2. 不要把你敏感的信息放在服務器上或者電腦上
3. 若是必定要放的話，建議你密碼不要輸全，好比密碼123456…你保存的時候就寫123456.這樣你內心有個記憶就行。
4. 本地保存密碼給你帶來方便的同時，也給入侵者帶來了方便。

有問題你們能夠留言哦，也歡迎你們到春秋論壇中來耍一耍  >>>點擊跳轉