通过BOSS直聘钓鱼 打入公司内网实战

声明

以下钓鱼思路仅用于红蓝对抗、授权渗透测试，请勿用于非法用途。

前言

分享两次公司内部的红蓝对抗的过程，这两次演习的时间不长，都只有五天

• 禁止直接利用总部内网或分支内网发起攻击或探测。

• 禁止直接利用自己的员工账号及权限进行攻击测试。

• 禁止使用物理攻击。

目标明确，必须通过互联网打进去

所以只有两条路可以走

• 0DAY(没有)
• 钓鱼(YES)

钓鱼实践一

攻击路径

前期在BOSS直聘找到公司招聘信息，并添加相应招聘负责人个人微信，对招聘岗位进行沟通。发送捆绑个人简历的exe诱导HR点击，浏览器密码收集，获取个人内网密码，登录企业wiki获取通讯录，内网邮件钓鱼，区域安全员上钩。

钓鱼

一个公司对外一般都有招聘和客户交流渠道。本次钓鱼就选择了招聘场景进行钓鱼。想要快速的鱼儿上钩还是得能和目标进行沟通，靠骗，靠忽悠。发邮件说不定都过不了外网邮件网关……
制作鱼饵，制作一份有竞争力的候选人简历，在招聘软件上点击目标公司的职位点击收藏，这样HR能看见我看过职位，但是我不主动聊天，这样显得我高冷，假装技术大牛。这样就可以筛选出受众群体(岗位急，hr经常在线，我符合该HC)。

聊天要求加wechat

找个合适的理由要wechat，点击招聘软件的交换wechat按钮，手工输入费时间，利用这个功能可能目标看见消息就会下意识点击，动作快过思考。当然也可以先聊聊，招聘场景下先问能介绍下有详细的JD或是岗位职责吗？能介绍下这个职位的定位和当前所在的部门吗？

wechat聊天

提前进入角色，我是友商多年安全老司机，微信养号，发两条朋友圈，秀出工牌(脉脉领英上找)：

导师制作了免杀马，整个程序执行流程为点击文件后，调用系统默认pdf阅读程序打开真实pdf文件的简历，然后在后台释放cobalt strike 加载器，执行cobalt strike payload。

详细的cobalt strike教程您可以参考下下方的视频进行学习

编译的时候换上PDF的icon，文件名加长空格。

没有用反转字符，当时好像文件名带了这个字符DF就报毒了(https://unicode-table.com/en/202E/)

聊天

尽量工作时间段聊，这个时候HR会电脑办公。在这个阶段上线3台主机，进入办公网。当然也不是一帆风顺，一位HR小姐姐察觉到了异常，另一位安全研发经理我好说歹说他就是不点：

同样的话术，另一位就非要我发PDF…….

权限维持主要是利用Startupfolder和hkcurun key。
抓取浏览器密码(https://github.com/moonD4rk/HackBrowserData)
需要临时做免杀，获取了钓鱼目标的内网域账号，登录邮箱和confluence。

获取通讯录，接下来又群发了两封钓鱼邮件，关于清明节放假和防疫通知的主题。

这个时候安全管理部的同学已经发现了，因为动静太大了，然后全员邮件《关于XX对抗的钓鱼通知》。

本想着没有收获，结果第二天就有上线了，其中就上线了区域的安全管理员，然后找到了安全交接的文档。

后面本来想利用设备抓包功能抓到关键系统的数据，可惜时间不够了。

说是五天实际上除去写报告，干活就三天。

防御建议

规范招聘简历接收流程，对于简历接收，只允许通过专业招聘平台和公司邮箱，禁止使用个人即时通讯工具接收简历。安全意识培训（公司经常做邮件钓鱼方面，但即时通讯工具方面应该还没做）。

钓鱼实践二

大半年过去了，马上又要开始内部对抗了，上次钓鱼了招聘组，这一次行不通了，对抗前安全部的同学好像专门给HR小姐姐们做了培训，上次对抗结束的时候也在内部更新了安全意识培训的课程还有考试。

攻击路径

通过钓鱼获取两个权限，翻邮箱，发现共享文件夹，找到相关文件《XXXX操作手册》，扩散据点，弱口令扫描，信息收集，定制字典扫描，钓鱼。

钓鱼

对目标钓鱼之前要了解目标业务，平时有什么对外交流的渠道，知道这些才能做剧本。

这次简历钓鱼是行不通了，不过团队里面的好兄弟之前轮过岗，对某业务流程比较熟悉。所以这次模拟的是甲方爸爸。

先Google搜相关客户的招标信息，拿到一些设备的关键信息。

然后直接打电话，说设备故障需要安排工程师处置，留下QQ。

先交流一会，然后诱导其右键管理员点击顺带bypassUAC：

再接着忽悠：

至此上线两台主机。

其中自解压木马的制作可以评论阅读下面的内容

制作好后再ResourceHacker替换图标。

翻文件

办公网个人办公电脑在工作组，内网的一些WEB系统需要域账号登录，所以读浏览器密码就能拿到内网密码。挂代理登录邮箱，翻邮件后，发现一个共享文件夹：

在里面找到了《xxx操作手册》

也拿到了该部门小姐姐们的照片，可爱捏。
意外收获，同事在偷看小姐姐桌面的时候居然截屏到了关键的在线文档的图片。

弱口令

很多公司内网里面都会有扫描器，安全设备，这些设备一般都会在全流量检测的白名单里面，所以在内网里面扫描可以想办法搞一台，maybe就是默认口令。拿下来了，在内网里开炮都不会告警。

先找了一个段做ssh弱口令(123456)扫描，扫出几台，登录上去发现研发的内网账号，再登录confluence，本来上次攻防结束后内网大部分系统都改为双因子登录，但是这个账号居然可以登录。

弱口令扫描+翻文件又登陆了37台服务器。

三封钓鱼邮件

第一份钓鱼邮件是给当前部门内部发的，恶意文件直接就放在内网的文件共享服务器上。

被发现，入口点-1，内网账号-1
第二份钓鱼邮件是选取部分部门推送，已附件的形式发送。

午饭的时候发的，结果被收到邮件的同事举报了。
全员邮箱获取方式：

本来想Kerberoasting，发现了3个SPNuser，但是没跑出来。

但是密码喷射出了一个账号：

我们用这个非用户账号发第三份钓鱼邮件，用的是密码过期模板：

修改密码的网站的超链接实际指向的是我们控制的内网IP。

结果钓到了HRBP：

结尾

再说点有意思的，第一次发钓鱼邮件的时候，foxmail客户端带了自己主机的hostname，当场社死，有考虑换个星球生活了。

因为第一次对抗的时候的规则是，需要从互联网攻击，有另外一队小伙伴物理渗透，从前台的桌面的小纸条发现了账号，于是登上给装了向日葵，回家了给一顿扫。

第二天被安全部同学查监控抓了出来。建议下次戴个帽子换下装。