前幾天，有黑客《入侵了英國間諜軟件公司Gamma》。本文翻譯自黑客自己公布的入侵指南。詳細(xì)的介紹了從信息收集，到發(fā)現(xiàn)目標(biāo)站點(diǎn)，以及進(jìn)行源碼審計(jì)，繞過waf注入，嘗試提權(quán)服務(wù)器的整個(gè)過程。

0×00 開篇

我寫這篇文章不是為了吹噓自己有多牛逼，使用了多高深的技術(shù)去搞定Gamma。我只是想揭開黑客技術(shù)神秘的面紗，告訴人們黑客技術(shù)很普通，你也可以利用黑客技術(shù)去反抗這個(gè)世界上那些見不得人的事。如果你沒有任何編程或者h(yuǎn)acking的經(jīng)驗(yàn)，那些下面的文章可能會(huì)看起來像天書一樣。沒有關(guān)系，文章最后的參考資料會(huì)幫助你慢慢開始。相信我，一旦你有了一些基礎(chǔ)之后就會(huì)發(fā)現(xiàn)hacking這事比信息自由法案的申請(qǐng)簡單多了。(filing a FOIA request)。

0×01保護(hù)自己

入侵是非法的，所以需要一些基本的措施來保護(hù)自己。

1,使用Truecrypt 7.1a制作一個(gè)隱藏的加密分區(qū)

2,在這個(gè)加密分區(qū)上安裝Whonix系統(tǒng)

3,(可選的)盡管使用Whonix系統(tǒng)，所有的流量都會(huì)經(jīng)過Tor，已經(jīng)很足夠了。但是最好還是不要用自己名字或者地址申請(qǐng)的網(wǎng)絡(luò)接入點(diǎn)。使用cantenna，aircrack和reaver可以方便的破解無線，接入網(wǎng)絡(luò)。

只要你遵守一些常識(shí)，比如永遠(yuǎn)不要在Whonix系統(tǒng)之后做hacking相關(guān)的事，也不要在Whonix系統(tǒng)中做一些自己日常使用的操作，跟其他黑客聊天的時(shí)候不要透漏自己真實(shí)生活的信息，也不要跟身邊的朋友吹噓自己非法入侵的經(jīng)歷。那么你就可以基本不用擔(dān)心被追蹤的問題了。

注意：我并不推薦直接通過Tor進(jìn)行hacking。對(duì)于瀏覽器來說使用Tor是很方便的。但是對(duì)于nmap，sqlmap，nikto之類的黑客工具，需要發(fā)送成千上萬的請(qǐng)求，通過Tor使用就會(huì)非常慢。更不用說有時(shí)候你需要一個(gè)公網(wǎng)IP來接受反彈shell了。我推薦使用黑來的服務(wù)器或者使用比特比購買的VPS來進(jìn)行hacking。然后你跟服務(wù)器或者VPS的連接使用Tor。這樣就只有很少的命令行的流量通過Tor。速度會(huì)快很多。

0×02 收集目標(biāo)信息

一般我會(huì)不斷使用fierce，whois和反向whois查詢來找到一個(gè)組織所有相關(guān)的域名和ip。拿Blackwater為例。我們知道他的主頁是academi.com。使用fierce.py -dns academi.com查詢它的子域名：

67.238.84.228   email.academi.com 
67.238.84.242   extranet.academi.com 
67.238.84.240   mail.academi.com 
67.238.84.230   secure.academi.com 
67.238.84.227   vault.academi.com 
54.243.51.249   www.academi.com

然后通過whois查詢找到www.academi.com托管在亞馬遜云上。其他域名的ip也在下面的段內(nèi)。

NetRange:       67.238.84.224 - 67.238.84.255 
CIDR:           67.238.84.224/27 
CustName:       Blackwater USA 
Address:        850 Puddin Ridge Rd

對(duì)academi.com的whois查詢顯示也是注冊(cè)到了上面顯示的相同地址。我們可以使用這個(gè)地址作為特征進(jìn)行反向whois查詢。我目前知道的反向whois查詢都是要花錢的。所以采用替代的方式，用google搜索如下關(guān)鍵詞：

"850 Puddin Ridge Rd" inurl:ip-address-lookup
"850 Puddin Ridge Rd" inurl:domaintools

再使用fierce.pl -range參數(shù)反查找到的ip段對(duì)應(yīng)的域名。和-dns參數(shù)查找新的子域名和ip地址。之后再對(duì)結(jié)果的域名進(jìn)行whois查詢，如此反復(fù)幾次知道找到該組織相關(guān)的各種信息。

同時(shí)google這個(gè)組織和訪問他們的網(wǎng)站也是收集信息的方式。比如在academi.com上，發(fā)現(xiàn)了到一下一些網(wǎng)站的連接：

54.236.143.203 careers.academi.com
67.132.195.12 academiproshop.com
67.238.84.236 te.academi.com
67.238.84.238 property.academi.com
67.238.84.241 teams.academi.com

如果在進(jìn)行一下whois查詢的話會(huì)發(fā)現(xiàn)，academiproshop.com看起來并不是BlackWater管理的，所以把他從我們的感興趣的名單上去掉。

在我黑掉finfisher的過程中，找到存在漏洞的站點(diǎn)finsupport.finfisher.com的過程也是一樣。在對(duì)finfisher.com進(jìn)行whois查詢，發(fā)現(xiàn)注冊(cè)名字是"FinFisher GmbH"，然后google "FinFisher GmbH" inurl:domaintools 發(fā)現(xiàn)一個(gè)gamma-international.de域名。當(dāng)訪問gamma-international.de的時(shí)候，跳轉(zhuǎn)到了這次的目標(biāo)：finsupport.finfisher.com。

現(xiàn)在你已經(jīng)大概知道我是如何發(fā)現(xiàn)目標(biāo)的。這真的是最重要的一個(gè)環(huán)節(jié)。你發(fā)現(xiàn)的攻擊面越多，就越可能找到漏洞。

0×03 掃描和利用

使用nmap掃描掃描發(fā)現(xiàn)的所有IP段，找到所有開放的服務(wù)。除了標(biāo)準(zhǔn)端口掃描，不要忘記掃描SNMP。之后對(duì)于發(fā)現(xiàn)的每一個(gè)服務(wù)進(jìn)行如下的思考：

1,這些服務(wù)有沒有泄露敏感的信息。有些公司會(huì)覺得一些URL或者ip是外人不知道的，就對(duì)這些服務(wù)沒有進(jìn)行認(rèn)證。比如fierce可能發(fā)現(xiàn)一個(gè)git開頭的子域名。而你可以通過git.companyname.come/gitweb/來瀏覽該公司的源碼。

2,有沒有嚴(yán)重的配置錯(cuò)誤。有時(shí)候他們可能會(huì)開放一些ftp的匿名登陸。甚至匿名登陸有寫權(quán)限。一些數(shù)據(jù)庫的管理員賬號(hào)為空?；蛘咭恍┣度胧皆O(shè)備(VOIP boxes, IP Cameras, routers etc)保留了制造商使用的默認(rèn)密碼。

3,提供該服務(wù)的軟件是否有公開利用的exploit。

對(duì)于web服務(wù)，我們需要單獨(dú)討論。對(duì)于任何一個(gè)web服務(wù)，包括nmap找到的那些開放在不常見端口的web服務(wù)，我通常都會(huì)進(jìn)行下面一番工作。

1,瀏覽器訪問看一下。尤其是fierce發(fā)現(xiàn)的一些看起來不應(yīng)該對(duì)外開放的子域名。比如test.company.com或者dev.company.com。通常你都會(huì)發(fā)現(xiàn)一些有趣的內(nèi)容。

2,使用nikto掃描。它會(huì)檢查類似于webserver/.svn/，webserver/backup/，webserver/phpinfo.php和其他數(shù)千種常見的安全問題。

3,識(shí)別網(wǎng)站使用的各種軟件。使用WhatWeb的效果很好。

4,根據(jù)網(wǎng)站運(yùn)行的軟件使用更具針對(duì)性的工具，比如wpscan，cms-explorer，joomscan。首先分析所有的服務(wù)，查看是否有錯(cuò)誤的配置，已公開的漏洞和其他簡單的入侵方式，如果沒有的話下一步就要嘗試去挖掘針對(duì)性的漏洞。

5,自己編碼的web程序比廣泛使用的項(xiàng)目更容易出現(xiàn)漏洞。我一般使用ZAP的自動(dòng)測(cè)試結(jié)合一些手動(dòng)測(cè)試來進(jìn)行漏洞挖掘。

6,對(duì)于那些使用通用程序的網(wǎng)站，可以弄一份網(wǎng)站程序自己分析。如果不是開源軟件的話，可以考慮買一份或者利用google找到運(yùn)行者相同程序的網(wǎng)站，找一個(gè)容易黑掉的從中弄一份網(wǎng)站源碼。

對(duì)于finsupport.finfisher.com，我經(jīng)歷的過程大致如下：

運(yùn)行nikto開始掃描，同時(shí)訪問網(wǎng)站，只看到一個(gè)登陸框，快速測(cè)試了一下登陸框是否存在sql注入，沒有發(fā)現(xiàn)問題。然后運(yùn)行whatweb，看看能不能識(shí)別出網(wǎng)站運(yùn)行的程序。不幸的是whatweb沒有識(shí)別出來。所以下一個(gè)問題我需要解決的就是這是一個(gè)自己編碼的網(wǎng)站還是通用程序。我查看頁面源碼，想找個(gè)獨(dú)一無二的連接去google搜一下。我找到了

Scripts/scripts.js.php

然后搜索：

allinurl:"Scripts/scripts.js.php"

找到了幾個(gè)運(yùn)行了相同軟件的網(wǎng)站。看起來都是一個(gè)小型的公司制作的。每一個(gè)網(wǎng)站都是單獨(dú)設(shè)計(jì)的，但是公用了很多代碼。所以我黑了幾個(gè)網(wǎng)站，得到了這個(gè)小公司開發(fā)的程序源碼。寫到這里我?guī)缀蹩梢韵胂笥H愛的記者朋友會(huì)在新聞中寫到：這是一次預(yù)謀已久的網(wǎng)絡(luò)攻擊，為了攻陷Gamma，黑客首先黑掉了一個(gè)網(wǎng)站設(shè)計(jì)公司。但是事實(shí)上我只是花了幾分鐘而已。google allinurl:"Scripts/scripts.js.php"發(fā)現(xiàn)的網(wǎng)站，嘗試第一個(gè)參數(shù)就發(fā)現(xiàn)SQL注入，只是因?yàn)殚_了apache modsecurity。我使用了sqlmap的tamper參數(shù)來繞過waf。具體參數(shù)是

--tamper='tamper/modsecurityversioned.py'

。然后獲取到管理員登陸密碼，登陸后臺(tái)上傳了個(gè)php shell。(后臺(tái)對(duì)上傳文件的類型判斷是在客戶端做的)。然后就直接下載了網(wǎng)站源碼。

對(duì)代碼進(jìn)行了一番審計(jì)發(fā)現(xiàn)，這個(gè)程序可以成得上是Damn VulnerableWeb App 2.0了。包括了sql注入，LFI，上傳，未授權(quán)訪問(未登錄訪問管理頁面的時(shí)候會(huì)使用location header來跳轉(zhuǎn)到登陸頁，只要使用交互式代理去掉location跳轉(zhuǎn)，就可以直接訪問管理頁面了)等漏洞類型。

回到finsupport的網(wǎng)站，由于默認(rèn)管理后臺(tái)/BackOffice/返回403禁止訪問，進(jìn)行LFI嘗試的時(shí)候也遇到一些問題，所以最后又轉(zhuǎn)向了利用SQL注入(反正有足夠多的漏洞可以選)。所有這個(gè)公司開發(fā)的其他網(wǎng)站都有一個(gè)存在注入點(diǎn)的print.php文件。簡單嘗試：

https://finsupport.finfisher.com/GGI/Home/print.php?id=1 and 1=1
https://finsupport.finfisher.com/GGI/Home/print.php?id=1 and 2=1

發(fā)現(xiàn)finsupport也存在這個(gè)漏洞，而且數(shù)據(jù)庫賬號(hào)是管理員權(quán)限。很可惜的網(wǎng)站開啟了魔術(shù)引號(hào)，所以不能直接INTO OUTFILE寫shell。但是我可以讀取到網(wǎng)站的源碼了。通過不斷的尋找include和require的文件，最終下載到了finsupport整站的源碼。通過對(duì)代碼審計(jì)，發(fā)現(xiàn)用戶可以在提交ticket的時(shí)候上傳附件，而后臺(tái)并沒有對(duì)附件類型進(jìn)行檢查。所以我通過SQL注入得到一個(gè)普通用戶的賬號(hào)，然后上傳了一個(gè)shell。進(jìn)入到了finsupport的服務(wù)器。

0×04 提權(quán)(最終失敗了)

< got r00t? >
———– 
       \   ^__^
        \  (oo)\_______
           (__)\       )\/\
               ||—-w |
               ||     ||
           ^^^^^^^^^^^^^^^^

基本你遇到的超過50%的linux服務(wù)器都可以使用Linux_Exploit_Suggester和unix-privesc-check這兩個(gè)腳本進(jìn)行提權(quán)。finsupport服務(wù)器是最新版的Debian。不過unix-privesc-check返回了如下的信息：

WARNING: /etc/cron.hourly/mgmtlicensestatus is run by cron as root. The user
www-data can write to /etc/cron.hourly/mgmtlicensestatus 
WARNING: /etc/cron.hourly/webalizer is run by cron as root. The user www-data
can write to /etc/cron.hourly/webalizer

所以我在/etc/cron.hourly/webalizer添加下面的提權(quán)命令：

chown root:root /path/to/my_setuid_shell
chmod 04755 /path/to/my_setuid_shell

等了一個(gè)小時(shí)，發(fā)現(xiàn)沒有反應(yīng)。分析了發(fā)現(xiàn)cron進(jìn)程雖然存在，但是并不會(huì)運(yùn)行任何cron的任務(wù)。進(jìn)了webalizer的目錄看了一下從上個(gè)月開始狀態(tài)就沒更新過了。更新了時(shí)區(qū)之后，有時(shí)候cron會(huì)在錯(cuò)誤的時(shí)間執(zhí)行或者干脆就不執(zhí)行了。所以更新了時(shí)區(qū)之后一定要要重啟cron進(jìn)程。ls -l /etc/localtime發(fā)現(xiàn)，6月6號(hào)的時(shí)候系統(tǒng)更新過時(shí)區(qū)。同一時(shí)間，webalizer也停止記錄狀態(tài)?？磥磉@就是問題所在了。不過對(duì)于這臺(tái)服務(wù)器來說就是用作web server。我已經(jīng)獲得了所有感興趣的東西，對(duì)于root也就沒有那么在意了。接下來繼續(xù)內(nèi)網(wǎng)的滲透。

0×05 Pivoting

下一步就是查看下已經(jīng)被控制的主機(jī)所在的網(wǎng)絡(luò)環(huán)境。這個(gè)跟一開始的掃描和利用環(huán)節(jié)很像，只是現(xiàn)在繞過了防火墻，可以發(fā)現(xiàn)更多有趣的服務(wù)。這時(shí)候上傳一個(gè)nmap用來掃描是非常有效果的。尤其是nfs-*和smb-*系列的nmap 腳本非常有效果。

0×06 Have Fun

一旦你進(jìn)入了他們的網(wǎng)絡(luò)，就可以真正做一些有趣的事情了。盡情的發(fā)揮你的想象。雖然我寫作此文的初衷是為了那些潛在的爆料者，但是不要把自己局限在獲得秘密文檔上。我黑掉Gamma的最初計(jì)劃是這樣的:

1,黑掉Gamma，獲得finSpy的服務(wù)端軟件
2,尋找FinSpy服務(wù)端的漏洞
3,掃描互聯(lián)網(wǎng)，尋找FinSpy的C&C服務(wù)器，然后黑掉他們
4,揪出使用FinSpy的幕后黑手
5,使用控制的C&C服務(wù)器在所有感染FinSpy的機(jī)器上運(yùn)行一個(gè)小程序，告訴該機(jī)器的主人，是誰在背后監(jiān)控他們。
6,使用C&C服務(wù)器在所有的目標(biāo)上卸載FinFisher
7,把所有的C&C服務(wù)器組成一個(gè)僵尸網(wǎng)絡(luò)用來DDoS Gamma的網(wǎng)站。

最終整個(gè)黑掉Gamma的計(jì)劃失敗了。沒有獲得FinSpy 服務(wù)端的軟件，發(fā)現(xiàn)了一些有意思的文檔。只能在twitter上嘲笑他們一下下。如果可以破解FinSpy-PC+Mobile-2012-07-12-Final.zip，那我就可以繼續(xù)第二步了。(FinSpy-PC+Mobile-2012-07-12-Final.zip是加密過的軟件)

0×07 其他的方式

上面提到的掃描，漏洞挖掘，漏洞利用僅僅是hack的一種方式?？赡芨m合有一定編程背景的同學(xué)。條條大道通羅馬，只要是有效的方法就是好的方法。還有一些常見的方式我并沒有仔細(xì)講解，比如：

1,利用瀏覽器，falsh，java，微軟office的漏洞。給企業(yè)員工發(fā)送具有誘惑性的郵件，欺騙他們點(diǎn)擊郵件中的鏈接或者打開附件。也可以黑掉企業(yè)員工常去的網(wǎng)站，在該網(wǎng)站上放置利用程序。這種方式被各種政府黑客團(tuán)體用的比較多。當(dāng)然你不需要像政府一樣花費(fèi)上百萬進(jìn)行0day的挖掘，或者購買Finsploit和VUPEN的利用程序。只需要幾千塊就可以購買一個(gè)質(zhì)量不錯(cuò)的俄羅斯的利用程序套裝，還可以把它出租出去進(jìn)一步降低成本。也可以使用metasploit。

2,利用人與人之間的信任關(guān)系。95%的情況下，人都會(huì)選擇信任和幫助別人。在信息安全行業(yè)里，使用一個(gè)聽起來很高達(dá)上的詞"社會(huì)工程學(xué)"來描述這種攻擊。如果你不是很懂計(jì)算機(jī)的話，可以更多的選擇這種方式去hack。

0×08 學(xué)習(xí)資源

Links:

*

https://www.pentesterlab.com/exercises/
* http://overthewire.org/wargames/
* http://www.hackthissite.org/
* http://smashthestack.org/
* http://www.win.tue.nl/~aeb/linux/hh/hh.html
* http://www.phrack.com/
* http://pen-testing.sans.org/blog/2012/04/26/got-meterpreter-pivot
* http://www.offensive-security.com/metasploit-unleashed/PSExec_Pass_The_Hash
* https://securusglobal.com/community/2013/12/20/dumping-windows-credentials/
* https://www.netspi.com/blog/entryid/140/resources-for-aspiring-penetration-testers
  (這個(gè)博客的其他文章也都非常優(yōu)秀)
* https://www.corelan.be/ (start at Exploit writing tutorial part 1)
* http://websec.wordpress.com/2010/02/22/exploiting-php-file-inclusion-overview/
一個(gè)小技巧，在大部分的系統(tǒng)中，apache access日志是只有root權(quán)限才可以讀取的。不過你依然可以進(jìn)行包含，使用/proc/self/fd/10或者apache訪問日志使用的其他fd。
* http://www.dest-unreach.org/socat/

Books:

*

The Web Application Hacker's Handbook
* Hacking: The Art of Exploitation
* The Database Hacker's Handbook
* The Art of Software Security Assessment
* A Bug Hunter's Diary
* Underground: Tales of Hacking, Madness, and Obsession on the Electronic Frontier
* TCP/IP Illustrated

0×09結(jié)尾

你可能已經(jīng)注意到我現(xiàn)在講的這些事可能跟Gamma做的是差不多。hacking僅僅是一種工具。并不是出售黑客工具讓Gamma變得邪惡，而是他們的客戶使用他們提供的工具所做的事情是邪惡的。這并不是說工具本身是中立的。hacking是一種進(jìn)攻性的工具。我寫本文的目的是希望hacking變的更加普及，黑掉Gamma的方法真的很簡單，僅僅是典型的SQL注入。你也一樣可以做到。

小編科普

Gamma Group International是一家專門販賣間諜軟件給政府和警察機(jī)構(gòu)的歐洲公司。早在兩年前，它家出售的間諜軟件就在中東地區(qū)廣為出現(xiàn)，尤其是巴林，其記者與反對(duì)意見者的手機(jī)和計(jì)算機(jī)都被植入了這些間諜軟件。但是對(duì)這些說法，Gamma International公司并不承認(rèn)。

2014年8月，一名黑客入侵了Gamma International內(nèi)網(wǎng)，公開了40GB的內(nèi)部文檔和惡意程序源代碼，揭露了Gamma International的真相。