前幾天，有黑客《入侵了英國(guó)間諜軟件公司Gamma》。本文翻譯自黑客自己公布的入侵指南。詳細(xì)的介紹了從信息收集，到發(fā)現(xiàn)目標(biāo)站點(diǎn)，以及進(jìn)行源碼審計(jì)，繞過(guò)waf注入，嘗試提權(quán)服務(wù)器的整個(gè)過(guò)程。

0×00 開(kāi)篇

我寫(xiě)這篇文章不是為了吹噓自己有多牛逼，使用了多高深的技術(shù)去搞定Gamma。我只是想揭開(kāi)黑客技術(shù)神秘的面紗，告訴人們黑客技術(shù)很普通，你也可以利用黑客技術(shù)去反抗這個(gè)世界上那些見(jiàn)不得人的事。如果你沒(méi)有任何編程或者h(yuǎn)acking的經(jīng)驗(yàn)，那些下面的文章可能會(huì)看起來(lái)像天書(shū)一樣。沒(méi)有關(guān)系，文章最后的參考資料會(huì)幫助你慢慢開(kāi)始。相信我，一旦你有了一些基礎(chǔ)之后就會(huì)發(fā)現(xiàn)hacking這事比信息自由法案的申請(qǐng)簡(jiǎn)單多了。(filing a FOIA request)。

0×01保護(hù)自己

入侵是非法的，所以需要一些基本的措施來(lái)保護(hù)自己。

1,使用Truecrypt 7.1a制作一個(gè)隱藏的加密分區(qū)

2,在這個(gè)加密分區(qū)上安裝Whonix系統(tǒng)

3,(可選的)盡管使用Whonix系統(tǒng)，所有的流量都會(huì)經(jīng)過(guò)Tor，已經(jīng)很足夠了。但是最好還是不要用自己名字或者地址申請(qǐng)的網(wǎng)絡(luò)接入點(diǎn)。使用cantenna，aircrack和reaver可以方便的破解無(wú)線，接入網(wǎng)絡(luò)。

只要你遵守一些常識(shí)，比如永遠(yuǎn)不要在Whonix系統(tǒng)之后做hacking相關(guān)的事，也不要在Whonix系統(tǒng)中做一些自己日常使用的操作，跟其他黑客聊天的時(shí)候不要透漏自己真實(shí)生活的信息，也不要跟身邊的朋友吹噓自己非法入侵的經(jīng)歷。那么你就可以基本不用擔(dān)心被追蹤的問(wèn)題了。

注意：我并不推薦直接通過(guò)Tor進(jìn)行hacking。對(duì)于瀏覽器來(lái)說(shuō)使用Tor是很方便的。但是對(duì)于nmap，sqlmap，nikto之類(lèi)的黑客工具，需要發(fā)送成千上萬(wàn)的請(qǐng)求，通過(guò)Tor使用就會(huì)非常慢。更不用說(shuō)有時(shí)候你需要一個(gè)公網(wǎng)IP來(lái)接受反彈shell了。我推薦使用黑來(lái)的服務(wù)器或者使用比特比購(gòu)買(mǎi)的VPS來(lái)進(jìn)行hacking。然后你跟服務(wù)器或者VPS的連接使用Tor。這樣就只有很少的命令行的流量通過(guò)Tor。速度會(huì)快很多。

0×02 收集目標(biāo)信息

一般我會(huì)不斷使用fierce，whois和反向whois查詢來(lái)找到一個(gè)組織所有相關(guān)的域名和ip。拿Blackwater為例。我們知道他的主頁(yè)是academi.com。使用fierce.py -dns academi.com查詢它的子域名：

67.238.84.228   email.academi.com 
67.238.84.242   extranet.academi.com 
67.238.84.240   mail.academi.com 
67.238.84.230   secure.academi.com 
67.238.84.227   vault.academi.com 
54.243.51.249   www.academi.com

然后通過(guò)whois查詢找到www.academi.com托管在亞馬遜云上。其他域名的ip也在下面的段內(nèi)。

NetRange:       67.238.84.224 - 67.238.84.255 
CIDR:           67.238.84.224/27 
CustName:       Blackwater USA 
Address:        850 Puddin Ridge Rd

對(duì)academi.com的whois查詢顯示也是注冊(cè)到了上面顯示的相同地址。我們可以使用這個(gè)地址作為特征進(jìn)行反向whois查詢。我目前知道的反向whois查詢都是要花錢(qián)的。所以采用替代的方式，用google搜索如下關(guān)鍵詞：

"850 Puddin Ridge Rd" inurl:ip-address-lookup
"850 Puddin Ridge Rd" inurl:domaintools

再使用fierce.pl -range參數(shù)反查找到的ip段對(duì)應(yīng)的域名。和-dns參數(shù)查找新的子域名和ip地址。之后再對(duì)結(jié)果的域名進(jìn)行whois查詢，如此反復(fù)幾次知道找到該組織相關(guān)的各種信息。

同時(shí)google這個(gè)組織和訪問(wèn)他們的網(wǎng)站也是收集信息的方式。比如在academi.com上，發(fā)現(xiàn)了到一下一些網(wǎng)站的連接：

54.236.143.203 careers.academi.com
67.132.195.12 academiproshop.com
67.238.84.236 te.academi.com
67.238.84.238 property.academi.com
67.238.84.241 teams.academi.com

如果在進(jìn)行一下whois查詢的話會(huì)發(fā)現(xiàn)，academiproshop.com看起來(lái)并不是BlackWater管理的，所以把他從我們的感興趣的名單上去掉。

在我黑掉finfisher的過(guò)程中，找到存在漏洞的站點(diǎn)finsupport.finfisher.com的過(guò)程也是一樣。在對(duì)finfisher.com進(jìn)行whois查詢，發(fā)現(xiàn)注冊(cè)名字是"FinFisher GmbH"，然后google "FinFisher GmbH" inurl:domaintools 發(fā)現(xiàn)一個(gè)gamma-international.de域名。當(dāng)訪問(wèn)gamma-international.de的時(shí)候，跳轉(zhuǎn)到了這次的目標(biāo)：finsupport.finfisher.com。

現(xiàn)在你已經(jīng)大概知道我是如何發(fā)現(xiàn)目標(biāo)的。這真的是最重要的一個(gè)環(huán)節(jié)。你發(fā)現(xiàn)的攻擊面越多，就越可能找到漏洞。

0×03 掃描和利用

使用nmap掃描掃描發(fā)現(xiàn)的所有IP段，找到所有開(kāi)放的服務(wù)。除了標(biāo)準(zhǔn)端口掃描，不要忘記掃描SNMP。之后對(duì)于發(fā)現(xiàn)的每一個(gè)服務(wù)進(jìn)行如下的思考：

1,這些服務(wù)有沒(méi)有泄露敏感的信息。有些公司會(huì)覺(jué)得一些URL或者ip是外人不知道的，就對(duì)這些服務(wù)沒(méi)有進(jìn)行認(rèn)證。比如fierce可能發(fā)現(xiàn)一個(gè)git開(kāi)頭的子域名。而你可以通過(guò)git.companyname.come/gitweb/來(lái)瀏覽該公司的源碼。

2,有沒(méi)有嚴(yán)重的配置錯(cuò)誤。有時(shí)候他們可能會(huì)開(kāi)放一些ftp的匿名登陸。甚至匿名登陸有寫(xiě)權(quán)限。一些數(shù)據(jù)庫(kù)的管理員賬號(hào)為空。或者一些嵌入式設(shè)備(VOIP boxes, IP Cameras, routers etc)保留了制造商使用的默認(rèn)密碼。

3,提供該服務(wù)的軟件是否有公開(kāi)利用的exploit。

對(duì)于web服務(wù)，我們需要單獨(dú)討論。對(duì)于任何一個(gè)web服務(wù)，包括nmap找到的那些開(kāi)放在不常見(jiàn)端口的web服務(wù)，我通常都會(huì)進(jìn)行下面一番工作。

1,瀏覽器訪問(wèn)看一下。尤其是fierce發(fā)現(xiàn)的一些看起來(lái)不應(yīng)該對(duì)外開(kāi)放的子域名。比如test.company.com或者dev.company.com。通常你都會(huì)發(fā)現(xiàn)一些有趣的內(nèi)容。

2,使用nikto掃描。它會(huì)檢查類(lèi)似于webserver/.svn/，webserver/backup/，webserver/phpinfo.php和其他數(shù)千種常見(jiàn)的安全問(wèn)題。

3,識(shí)別網(wǎng)站使用的各種軟件。使用WhatWeb的效果很好。

4,根據(jù)網(wǎng)站運(yùn)行的軟件使用更具針對(duì)性的工具，比如wpscan，cms-explorer，joomscan。首先分析所有的服務(wù)，查看是否有錯(cuò)誤的配置，已公開(kāi)的漏洞和其他簡(jiǎn)單的入侵方式，如果沒(méi)有的話下一步就要嘗試去挖掘針對(duì)性的漏洞。

5,自己編碼的web程序比廣泛使用的項(xiàng)目更容易出現(xiàn)漏洞。我一般使用ZAP的自動(dòng)測(cè)試結(jié)合一些手動(dòng)測(cè)試來(lái)進(jìn)行漏洞挖掘。

6,對(duì)于那些使用通用程序的網(wǎng)站，可以弄一份網(wǎng)站程序自己分析。如果不是開(kāi)源軟件的話，可以考慮買(mǎi)一份或者利用google找到運(yùn)行者相同程序的網(wǎng)站，找一個(gè)容易黑掉的從中弄一份網(wǎng)站源碼。

對(duì)于finsupport.finfisher.com，我經(jīng)歷的過(guò)程大致如下：

運(yùn)行nikto開(kāi)始掃描，同時(shí)訪問(wèn)網(wǎng)站，只看到一個(gè)登陸框，快速測(cè)試了一下登陸框是否存在sql注入，沒(méi)有發(fā)現(xiàn)問(wèn)題。然后運(yùn)行whatweb，看看能不能識(shí)別出網(wǎng)站運(yùn)行的程序。不幸的是whatweb沒(méi)有識(shí)別出來(lái)。所以下一個(gè)問(wèn)題我需要解決的就是這是一個(gè)自己編碼的網(wǎng)站還是通用程序。我查看頁(yè)面源碼，想找個(gè)獨(dú)一無(wú)二的連接去google搜一下。我找到了

Scripts/scripts.js.php

然后搜索：

allinurl:"Scripts/scripts.js.php"

找到了幾個(gè)運(yùn)行了相同軟件的網(wǎng)站。看起來(lái)都是一個(gè)小型的公司制作的。每一個(gè)網(wǎng)站都是單獨(dú)設(shè)計(jì)的，但是公用了很多代碼。所以我黑了幾個(gè)網(wǎng)站，得到了這個(gè)小公司開(kāi)發(fā)的程序源碼。寫(xiě)到這里我?guī)缀蹩梢韵胂笥H愛(ài)的記者朋友會(huì)在新聞中寫(xiě)到：這是一次預(yù)謀已久的網(wǎng)絡(luò)攻擊，為了攻陷Gamma，黑客首先黑掉了一個(gè)網(wǎng)站設(shè)計(jì)公司。但是事實(shí)上我只是花了幾分鐘而已。google allinurl:"Scripts/scripts.js.php"發(fā)現(xiàn)的網(wǎng)站，嘗試第一個(gè)參數(shù)就發(fā)現(xiàn)SQL注入，只是因?yàn)殚_(kāi)了apache modsecurity。我使用了sqlmap的tamper參數(shù)來(lái)繞過(guò)waf。具體參數(shù)是

--tamper='tamper/modsecurityversioned.py'

。然后獲取到管理員登陸密碼，登陸后臺(tái)上傳了個(gè)php shell。(后臺(tái)對(duì)上傳文件的類(lèi)型判斷是在客戶端做的)。然后就直接下載了網(wǎng)站源碼。

對(duì)代碼進(jìn)行了一番審計(jì)發(fā)現(xiàn)，這個(gè)程序可以成得上是Damn VulnerableWeb App 2.0了。包括了sql注入，LFI，上傳，未授權(quán)訪問(wèn)(未登錄訪問(wèn)管理頁(yè)面的時(shí)候會(huì)使用location header來(lái)跳轉(zhuǎn)到登陸頁(yè)，只要使用交互式代理去掉location跳轉(zhuǎn)，就可以直接訪問(wèn)管理頁(yè)面了)等漏洞類(lèi)型。

回到finsupport的網(wǎng)站，由于默認(rèn)管理后臺(tái)/BackOffice/返回403禁止訪問(wèn)，進(jìn)行LFI嘗試的時(shí)候也遇到一些問(wèn)題，所以最后又轉(zhuǎn)向了利用SQL注入(反正有足夠多的漏洞可以選)。所有這個(gè)公司開(kāi)發(fā)的其他網(wǎng)站都有一個(gè)存在注入點(diǎn)的print.php文件。簡(jiǎn)單嘗試：

https://finsupport.finfisher.com/GGI/Home/print.php?id=1 and 1=1
https://finsupport.finfisher.com/GGI/Home/print.php?id=1 and 2=1

發(fā)現(xiàn)finsupport也存在這個(gè)漏洞，而且數(shù)據(jù)庫(kù)賬號(hào)是管理員權(quán)限。很可惜的網(wǎng)站開(kāi)啟了魔術(shù)引號(hào)，所以不能直接INTO OUTFILE寫(xiě)shell。但是我可以讀取到網(wǎng)站的源碼了。通過(guò)不斷的尋找include和require的文件，最終下載到了finsupport整站的源碼。通過(guò)對(duì)代碼審計(jì)，發(fā)現(xiàn)用戶可以在提交ticket的時(shí)候上傳附件，而后臺(tái)并沒(méi)有對(duì)附件類(lèi)型進(jìn)行檢查。所以我通過(guò)SQL注入得到一個(gè)普通用戶的賬號(hào)，然后上傳了一個(gè)shell。進(jìn)入到了finsupport的服務(wù)器。

0×04 提權(quán)(最終失敗了)

< got r00t? >
———– 
       \   ^__^
        \  (oo)\_______
           (__)\       )\/\
               ||—-w |
               ||     ||
           ^^^^^^^^^^^^^^^^

基本你遇到的超過(guò)50%的linux服務(wù)器都可以使用Linux_Exploit_Suggester和unix-privesc-check這兩個(gè)腳本進(jìn)行提權(quán)。finsupport服務(wù)器是最新版的Debian。不過(guò)unix-privesc-check返回了如下的信息：

WARNING: /etc/cron.hourly/mgmtlicensestatus is run by cron as root. The user
www-data can write to /etc/cron.hourly/mgmtlicensestatus 
WARNING: /etc/cron.hourly/webalizer is run by cron as root. The user www-data
can write to /etc/cron.hourly/webalizer

所以我在/etc/cron.hourly/webalizer添加下面的提權(quán)命令：

chown root:root /path/to/my_setuid_shell
chmod 04755 /path/to/my_setuid_shell

等了一個(gè)小時(shí)，發(fā)現(xiàn)沒(méi)有反應(yīng)。分析了發(fā)現(xiàn)cron進(jìn)程雖然存在，但是并不會(huì)運(yùn)行任何cron的任務(wù)。進(jìn)了webalizer的目錄看了一下從上個(gè)月開(kāi)始狀態(tài)就沒(méi)更新過(guò)了。更新了時(shí)區(qū)之后，有時(shí)候cron會(huì)在錯(cuò)誤的時(shí)間執(zhí)行或者干脆就不執(zhí)行了。所以更新了時(shí)區(qū)之后一定要要重啟cron進(jìn)程。ls -l /etc/localtime發(fā)現(xiàn)，6月6號(hào)的時(shí)候系統(tǒng)更新過(guò)時(shí)區(qū)。同一時(shí)間，webalizer也停止記錄狀態(tài)。看來(lái)這就是問(wèn)題所在了。不過(guò)對(duì)于這臺(tái)服務(wù)器來(lái)說(shuō)就是用作web server。我已經(jīng)獲得了所有感興趣的東西，對(duì)于root也就沒(méi)有那么在意了。接下來(lái)繼續(xù)內(nèi)網(wǎng)的滲透。

0×05 Pivoting

下一步就是查看下已經(jīng)被控制的主機(jī)所在的網(wǎng)絡(luò)環(huán)境。這個(gè)跟一開(kāi)始的掃描和利用環(huán)節(jié)很像，只是現(xiàn)在繞過(guò)了防火墻，可以發(fā)現(xiàn)更多有趣的服務(wù)。這時(shí)候上傳一個(gè)nmap用來(lái)掃描是非常有效果的。尤其是nfs-*和smb-*系列的nmap 腳本非常有效果。

0×06 Have Fun

一旦你進(jìn)入了他們的網(wǎng)絡(luò)，就可以真正做一些有趣的事情了。盡情的發(fā)揮你的想象。雖然我寫(xiě)作此文的初衷是為了那些潛在的爆料者，但是不要把自己局限在獲得秘密文檔上。我黑掉Gamma的最初計(jì)劃是這樣的:

1,黑掉Gamma，獲得finSpy的服務(wù)端軟件
2,尋找FinSpy服務(wù)端的漏洞
3,掃描互聯(lián)網(wǎng)，尋找FinSpy的C&C服務(wù)器，然后黑掉他們
4,揪出使用FinSpy的幕后黑手
5,使用控制的C&C服務(wù)器在所有感染FinSpy的機(jī)器上運(yùn)行一個(gè)小程序，告訴該機(jī)器的主人，是誰(shuí)在背后監(jiān)控他們。
6,使用C&C服務(wù)器在所有的目標(biāo)上卸載FinFisher
7,把所有的C&C服務(wù)器組成一個(gè)僵尸網(wǎng)絡(luò)用來(lái)DDoS Gamma的網(wǎng)站。

最終整個(gè)黑掉Gamma的計(jì)劃失敗了。沒(méi)有獲得FinSpy 服務(wù)端的軟件，發(fā)現(xiàn)了一些有意思的文檔。只能在twitter上嘲笑他們一下下。如果可以破解FinSpy-PC+Mobile-2012-07-12-Final.zip，那我就可以繼續(xù)第二步了。(FinSpy-PC+Mobile-2012-07-12-Final.zip是加密過(guò)的軟件)

0×07 其他的方式

上面提到的掃描，漏洞挖掘，漏洞利用僅僅是hack的一種方式。可能更適合有一定編程背景的同學(xué)。條條大道通羅馬，只要是有效的方法就是好的方法。還有一些常見(jiàn)的方式我并沒(méi)有仔細(xì)講解，比如：

1,利用瀏覽器，falsh，java，微軟office的漏洞。給企業(yè)員工發(fā)送具有誘惑性的郵件，欺騙他們點(diǎn)擊郵件中的鏈接或者打開(kāi)附件。也可以黑掉企業(yè)員工常去的網(wǎng)站，在該網(wǎng)站上放置利用程序。這種方式被各種政府黑客團(tuán)體用的比較多。當(dāng)然你不需要像政府一樣花費(fèi)上百萬(wàn)進(jìn)行0day的挖掘，或者購(gòu)買(mǎi)Finsploit和VUPEN的利用程序。只需要幾千塊就可以購(gòu)買(mǎi)一個(gè)質(zhì)量不錯(cuò)的俄羅斯的利用程序套裝，還可以把它出租出去進(jìn)一步降低成本。也可以使用metasploit。

2,利用人與人之間的信任關(guān)系。95%的情況下，人都會(huì)選擇信任和幫助別人。在信息安全行業(yè)里，使用一個(gè)聽(tīng)起來(lái)很高達(dá)上的詞"社會(huì)工程學(xué)"來(lái)描述這種攻擊。如果你不是很懂計(jì)算機(jī)的話，可以更多的選擇這種方式去hack。

0×08 學(xué)習(xí)資源

Links:

*

https://www.pentesterlab.com/exercises/
* http://overthewire.org/wargames/
* http://www.hackthissite.org/
* http://smashthestack.org/
* http://www.win.tue.nl/~aeb/linux/hh/hh.html
* http://www.phrack.com/
* http://pen-testing.sans.org/blog/2012/04/26/got-meterpreter-pivot
* http://www.offensive-security.com/metasploit-unleashed/PSExec_Pass_The_Hash
* https://securusglobal.com/community/2013/12/20/dumping-windows-credentials/
* https://www.netspi.com/blog/entryid/140/resources-for-aspiring-penetration-testers
  (這個(gè)博客的其他文章也都非常優(yōu)秀)
* https://www.corelan.be/ (start at Exploit writing tutorial part 1)
* http://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/
一個(gè)小技巧，在大部分的系統(tǒng)中，apache access日志是只有root權(quán)限才可以讀取的。不過(guò)你依然可以進(jìn)行包含，使用/proc/self/fd/10或者apache訪問(wèn)日志使用的其他fd。
* http://www.dest-unreach.org/socat/

Books:

*

The Web Application Hacker's Handbook
* Hacking: The Art of Exploitation
* The Database Hacker's Handbook
* The Art of Software Security Assessment
* A Bug Hunter's Diary
* Underground: Tales of Hacking, Madness, and Obsession on the Electronic Frontier
* TCP/IP Illustrated

0×09結(jié)尾

你可能已經(jīng)注意到我現(xiàn)在講的這些事可能跟Gamma做的是差不多。hacking僅僅是一種工具。并不是出售黑客工具讓Gamma變得邪惡，而是他們的客戶使用他們提供的工具所做的事情是邪惡的。這并不是說(shuō)工具本身是中立的。hacking是一種進(jìn)攻性的工具。我寫(xiě)本文的目的是希望hacking變的更加普及，黑掉Gamma的方法真的很簡(jiǎn)單，僅僅是典型的SQL注入。你也一樣可以做到。

小編科普

Gamma Group International是一家專(zhuān)門(mén)販賣(mài)間諜軟件給政府和警察機(jī)構(gòu)的歐洲公司。早在兩年前，它家出售的間諜軟件就在中東地區(qū)廣為出現(xiàn)，尤其是巴林，其記者與反對(duì)意見(jiàn)者的手機(jī)和計(jì)算機(jī)都被植入了這些間諜軟件。但是對(duì)這些說(shuō)法，Gamma International公司并不承認(rèn)。

2014年8月，一名黑客入侵了Gamma International內(nèi)網(wǎng)，公開(kāi)了40GB的內(nèi)部文檔和惡意程序源代碼，揭露了Gamma International的真相。