1. 威客安全首页
  2. 安全资讯

长达1个月的社会工程获取PC权限拿下网吧控制权

这个团伙的规模中小型,利用选股投资方式诈骗,诱导股民投资,从而实现诈骗,目前联系上了客服,在一个月前,6月份,刚开始接触就怕对方警觉性比较高,暂时未动手,等养熟了在考虑钓鱼,经过长达一个月的时间聊天,各种玩游戏啊,等等啥的,我把我自己伪造为一个经商的老板,手里有闲钱投资,但是以前从未玩过股票。


社工记录如下:(图片太大,所以没传微信)


https://www.hackdoor.org/assets/files/2019-07-28/1564299703-556457-qq20190728153701.png


对方打开后。发现他的计算机名称叫做:

032

刚开始我还以为是内网员工电脑。后来发现桌面貌似不对。花里胡哨的。估摸着是网吧。

nbtscan扫了一遍


192.168.0.1     WORKGROUP01                   SHARING
192.168.0.5     WORKGROUP05                   SHARING
192.168.0.6     WORKGROUP06                   SHARING
192.168.0.9     WORKGROUP09                   SHARING
192.168.0.10    WORKGROUP10                   SHARING
192.168.0.11    WORKGROUP11                   SHARING
192.168.0.14    WORKGROUP14                   SHARING
192.168.0.22    WORKGROUP22                   SHARING
192.168.0.23    WORKGROUP23                   SHARING
192.168.0.34    WORKGROUP34                   SHARING
192.168.0.36    WORKGROUP36                   SHARING
192.168.0.200   WORKGROUPBILLING-PC            SHARING
192.168.0.240   WORKGROUPDISKLESS-SERVER       SHARING
192.168.0.241   WORKGROUPDISKLESS-SERVER       SHARING
192.168.0.242   WORKGROUPDISKLESS-SERVER       SHARING

发现了端倪,240 241 242的计算机名字叫做:DISKLESS 翻译过来叫做 无盘。我去你大爷。

随后为了防止目标丢失,从而进一步损失此前做过的努力,于是乎SSF代理内网流量到我的VPS开搞。

经过MSF的 use scanner/smb/smb_ms17_010的扫描,发现了 192.168.0.200 存在 MS17010的漏洞。是台Windows的机器。

于是乎MSF切换Exploit

exploit/windows/smb/ms17_010_eternalblue

对这台机器进行exploit攻击,但是打了很多次都失败了,没有获取到shell。没想到隔了一会儿再去打就成功了。Windows 7的机器可能有时候打的话要多打几次,才有可能成功。从而顺利拿下了网关的收银电脑权限。

长达1个月的社会工程获取PC权限拿下网吧控制权

可见这是个小网吧,但是在内网中并未找到监控服务器,也就无法入侵摄像头,从而无法锁定嫌疑人的面貌特征。经过对这台电脑的探索,发现了这样的一个进程。


长达1个月的社会工程获取PC权限拿下网吧控制权

Mysql的工作进程,于是乎我猜测该台服务器有mysql数据库,用于存储用户上网的数据。

通过查询该进程指向的那个服务,查到了

长达1个月的社会工程获取PC权限拿下网吧控制权

叫做 DODODB的一个服务,然后网上搜索一番。发现该网吧用的国内的嘟嘟牛的收银系统。没想到菲律宾的竟然也用国内产品。。。

长达1个月的社会工程获取PC权限拿下网吧控制权



最终在D盘锁定了数据库的位置、


长达1个月的社会工程获取PC权限拿下网吧控制权


下载了mysql的user文件,读取root账户密码。

长达1个月的社会工程获取PC权限拿下网吧控制权


%root*9FFE3471CF8AA4E2BC37A1635D69029755DD511C

发现竟然用的%号。于是乎本地连接。使用账户密码、(该套嘟嘟牛系统的默认账户密码:szsunlikedataserver)

然后进入数据库搜索嫌疑人的账户名,猜测可能是叫做:xiaoxxxx,因为其QQ的ID也叫做 xxx公司小xxx,最终找到了其类似于电话号码的东西。

长达1个月的社会工程获取PC权限拿下网吧控制权


发现其在2018年就在该网吧进行上网。

长达1个月的社会工程获取PC权限拿下网吧控制权


———————————广告分割———————————–


长达1个月的社会工程获取PC权限拿下网吧控制权

不好意思了各位。打个小广告。俺们家主要从事信息安全培训与企业安服方面的业务,所以在这里叨扰各位了。

培训大纲与说明都在此图,如有需要可联系.
招生截止:2019年9月25日.

https://www.chinacycc.com/2019.pdf

    

原文始发于微信公众号(诚殷网络Team):长达1个月的社会工程获取PC权限拿下网吧控制权

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论