读书阁

0x04（第1页）

0x04

早晨的络夜新区挣脱了夜晚的幻梦，回归了忙碌的现实。昨天在所有人的努力下，终于查明了厄里斯文件的存放位置。然而，还有一个技术上的难题需要攻关。所谓的特别归档后台，很有可能是一个与业务后台物理隔离的数据归档区域，就好比是办公室机要档案室敏感文件存档的数字化形式。

青驹并不掩饰自己的急迫，“我们已经知道了特别归档后台的位置，你打算怎么搞到厄里斯文件？”

破城便开始现场无人能懂的枯燥解释，“通常这样的归档后台是物理隔离的，并且会部署一套档案检索系统。而重要文件不管是文件名还是具体内容肯定是加密存储，以hash表的方式与档案检索系统的真实文件信息关联。既然是物理隔离，那么档案检索系统恐怕无法触及，更不用说破解了。既然是加密存储，那么在还是必须攻破档案检索系统才能获得文件存放位置，再想办法搞到密钥还原文件的本来面目。”

“搞了半天，说来说去，这不成了解不开的死循环了吗？”朱雀有点不高兴了。

灰豹灵机一动，“为什么不把整个归档后台都拷出来，再慢慢找到厄里斯文件破解啊？”

破城笑道：“且不说需要多大的移动存储介质，真要做起来一天一夜也不一定能拷完。”

破城也做过后台工程师，他当然知道数据的备份和拷贝是系统实施项目中耗时最长的环节，必须一针见血的命中厄里斯文件，别无他法。因此新一轮的解谜游戏势在必行。

“大家先不要急，我们可以多路突破。”破城再度检查综合嗅探器的运行情况，但是发现它失去了连接，从凌晨最后的通讯日志来看，它的战利品仍然只有视频监控系统一个。这个破玩意八成是没电了，破城心想。

破城转而去连接渗透套件，监听玄武大楼无线数据包。渗透套件内置的wireshark软件早就捕获了很多手机的数据包，但是过滤规则没有筛选出什么有价值的信息。毕竟大家的移动数据通讯一举一动都在公司监控之下，没人会傻到发送敏感信息。如果有人用笔记本电脑连上无线那该多好啊，破城心想，公司无线可以访问内外网，那么捕获往返内网的数据包将会有不小的惊喜。

破城又去启动信号劫持器，它实际上是一个微型的伪基站和监听器的集成件。破城期待可以窃听到玄武大厦的手机通话信号，必要的时候也可以像昨天一样打几通伪造的电话。现在，数据窃听的大网已经撒开，只待厄里斯文件的信息碎片落入网中。

不久，破城笔记本的监控进程发出了事件提醒，大家以为是发现了什么情报，都围过来看。然而并没有什么重要的情报，而是一个更大的收获，玄武大厦中的几名IT工程师也点开了钓鱼邮件。附件文档中的木马程序成功把其中一名IT工程师电脑的shell反弹出外网，现在破城可以通过受控电脑进入办公网了。

破城远程操控木马在电脑上执行了一个隐藏的文件搜索进程，寻找特别归档后台的蛛丝马迹。进程在磁盘游**一番后，返回了几个重要文件，其中一个是应用测试环境的文档，另一个是加密过的叫佛系清单的excel文件。清单既然有加密，十有八九是记录着重要密码，如果能够破解清单的excel文件，那么就没必要花力气去扫**内网主机的漏洞了。不过，现在的微软办公套件早已改进了旧版形同虚设的加密方式，面对一个再小不过的excel文件也只能暴力破解。好在破城了解IT工程师，这种记在脑子里的密码通常不会过于复杂。破城用mimikatz破解了对方电脑的登录密码，下载了浏览器访问记录，很快构造出密码字典。破城开启暴力破解程序，把最大密码长度设置为10位，如果运气不错，十来分钟就能见分晓，如果跑不出结果，那就只能暂时放弃这条路了。

本着多头并进的原则，破城用这台电脑作为内网代理，探查内网主机资源。还是得靠Nmap探路，配合wireshark，便可以无视安全策略封锁，很快勾勒出一幅内网主机清单。同时，破城启动dsniff程序，嗅探各种密码和内网信息。入侵核心网的关键在于快速从庞杂的主机指纹中找到真正有攻击价值的机器。玄武科技拥有海量的存储空间存放蛋白质分子模型和基因测序数据，如果撞进这些地方那么白白浪费几天时间也只会一无所获。

扫描结果显示，玄武科技的上千台业务主机大部分都是运行于vmware平台上的虚拟机，多数是linux操作系统，没有多余的端口，基本上无懈可击。虚拟机安全不代表平台安全，比如vter这样的管理控制台，说不定还隐藏着古老的JavaRMI远程代码执行漏洞。如果搞定了vter，那么所有虚拟机就尽在掌握之中了。可惜这个漏洞实在是太古老了，IT工程师早就打了补丁。

破城试着从esxi虚拟化主机开刀，主机承载着大量业务虚拟机，一般不会轻易升级，说不定可以钻下空子。费劲千辛万苦，破城总算找到一台esxi主机的逃逸漏洞，通过远程命令执行，可以获得主机上所有虚拟机的信息。这台主机上有十几台虚拟机，从命名看几乎都是测试系统、冷备克隆或系统快照，这真的有点让人泄气，但是也合情合理，只有测试环境才会这么容易入侵。

佛系清单excel文件的破解结果弹出来了，很不幸，字典中没有密码匹配。要么是IT工程师的头脑厉害到轻易记住一打十多位的密码，要么是破城构造的字典没有撬开他的心门。

朱雀穿过了车厢内沮丧的空气，凑过来问道：“你说的那个字典，把玄武所有职工姓名都加进去了吗？”

破城答道：“我只加了他自己的名字，一般人不会把密码设成同事的名字吧，除非。。。。。。原来如此，我试试看。”

破城瞟了一眼测试环境文档，打算碰碰运气。正巧有一个虚拟机和文档有关，破城便用VmwareSDK把虚拟机的vmdk磁盘文件挂载到自己的笔记本上。虚拟机运行着3套系统的测试版，最新的应用包发布时间距今已有五年之久。破城用彩虹表破解了本地缓存密码，登入系统，执行了关键字检索，居然真的匹配到了“厄里斯计划”。

从一些信息片段中可以看出厄里斯计划是一个定制化的基因疗法的研究项目，旨在为每个人提供基因缺陷疾病的定制解决方案。还有一堆重要的关键词，比如同源重组、靶载体，破城完全摸不着头脑，但是可以作为关键字去探查特别归档后台。车厢里的紧张空气骤然稀释，但是如何攻破特别归档后台这样的物理隔离环境破城却还是没有头绪。

Excel破解进程突然弹出了匹配结果，大家看到密码后都无话可说，那是一串意义分明的字符：“Linqin520!”林檎，是玄武科技人事部的一个小职员，是小红聊天记录里的常客。破城一边赞叹朱雀的第六感，一边打开清单，一份玄武科技的服务器和系统的密码列表呈现在眼前。不难想到佛系指的就是服务器和系统，透过屏幕仿佛能听到这位IT工程师幽默的胡建口音。

从资源清单可以猜到这位IT工程师负责OA综合管理类的应用，虽然不涉及到核心业务系统，但是却是黑客最关注的突破口。掌握了企业门户网站后台，相当于掌握了所有用户的访问权限，可以畅通无阻地遨游内网系统。破城的目光很快锁定到了项目管理系统，从中果然发现了特别归档后台的项目文档。

这是一套位于小机房的物理隔离环境，存放着玄武科技的机密文件和研究数据，员工需要得到授权才能在小机房边上的工作间连上终端，输入访问密码，查看档案。所有档案都加密存储，访问密码和档案名称通过归档后台系统的映射转换成档案的实际密码和访问路径。而其中最高保密级别的文件和数据只有副总裁级别的高管才持有密码，在归档的那一天亲自到工作间，用只有自己才知道的密码锁上文件。因为所有归档都脱机导入，档案的加密是不可知的黑盒机制，归档后台系统本身也不存储档案密码，所以理论上没有密码，就完全无计可施。

眼下还不到考虑密码的时候，破城到处也找不到归档后台系统和应用服务器的验证信息，这些资料大概是另一个IT工程师保管的。其实物理隔离的系统也未必是无懈可击的，被誉为史上最顶级病毒的震网病毒当年就是通过U盘的传播攻陷伊朗的核设施的。破城也要制作类似的蠕虫病毒，通过U盘搞定特别归档后台。入侵物理隔离系统唯一的优势是系统无法发出入侵告警，即便把应用服务器重启，引导进U盘自带的操作系统完成破解，短期内也无人知晓。然而蠕虫的制作可没这么容易，就算借助项目文档的帮助，也需要费不少功夫，更不会有测试环境，所以破城得向子云寻求支援。

子云迟迟没有回复破城的消息，破城只能一边编写蠕虫，一边解决另一个棘手问题。傅工迟迟还没有去小机房检查，门禁密码依旧没有着落。破城不禁感叹IT狗实在是太忙了，下一秒没人催就记不起前一秒的事了。再用董成敏的身份欺诈难免会让傅工起疑，那就只能给傅工一点小提示了。说来有点不好意思，还得找小红帮忙。

破城用小红的社交账号给林檎发送了一个投票链接，后者很快点击链接帮忙投票，根据浏览器指纹可以判断是来自电脑端的点击。于是远控刘工电脑的木马也控制了林檎的电脑，通过木马的牵线搭桥，破城用林檎的社交账号给刘工发了信息，询问他归档系统的操作手册。刘工自然喜出望外，但他并不管归档系统，便向身边工程师打听。傅工顿时想起来检查特别归档后台的事情，感谢了他的提醒，马上去小机房检查。

破城又换上了逆风快递的制服，等待微型摄像头记录下傅工输入的小机房门禁密码，打电话告诉傅工有一份邮件需要当面签收，内容自然是根据木马嗅探到的内网浏览信息伪造的。在傅工签收邮件时破城又故技重施，用微型读卡器读取了他的小机房门禁卡和工卡的芯片信息。自此，万事俱备，只欠蠕虫。

子云那边还没有消息，破城就把蠕虫病毒的编写任务分解，在线分包给了不同时区内处于空闲状态的黑客。

同时，破城又给陈晓发了消息：“老陈，你自己说过给我支持的，马上给我搞一套联邦内部使用的档案系统的源代码，必须是鸟山科技出品的。”

陈晓马上回应道：“这和你的入侵有什么关系？”

破城答道：“厄里斯文件就躺在鸟山科技开发的归档系统里，你搞不定的话永远也别想看到文件了。”

陈晓过了几分钟回道：“这么重要的系统肯定是定制开发的，你拿到联邦版本也没用。我建议你想想别的办法，同时注意你的进度，我们的情报显示玄武科技里有人已经知道了你们的入侵打算，虽然不一定知道入侵细节，但是如果你们今天还搞不定，那么可能真的永远也见不到厄里斯文件了。”

破城马上回道：“见不见得着我可一点都不担心，给你二十分钟把联邦档案系统源代码发给我，我要忙了。”随后，破城集中精力编写蠕虫病毒的核心控制逻辑。

不久，陈晓就发来了源代码，并说明了是测试版。陈晓又发来消息说：“把联邦资产交给你，网监局承担了多少风险你一定清楚。我说到做到会给你援助，但是不是无限制的。我给你三次特别求助机会，现在你用掉了一次，接下去络夜城的命运就看你的了。”