渗透某大型内网入侵过程.pdfVIP

渗透某大型内网入侵过程 | bugcxs blog | 关注网络安全 Author:bugcx or Anonymous Url: http://blog.bug.cx/2012/04/25/%e6%b8%97%e9%80%8f%e6%9f%90%e5%a4%a7%e5%9e%8b%e5%86%85%e7%bd% (撸一撸)| bugcxs blog | 关注网络安全 本文阐述：文章从网站入侵到 内网渗透提权，作者给大家带来了一篇精彩的 内网渗透文章。读后此文你能清晰的认识到 内网入侵 的细节技 术 。 由于平时比较忙，用了很久的VPN 肉鸡飞掉了，近来正好有时间于是打开google搜索upfile.asp开始找肉鸡，来了台湾 某XX站，http://xxx.xxx.tw/xx/upfile.asp ，为了不必要的麻烦，我隐藏了敏感内容。直接到传asp提示错误，那么直接传了gif 以后，查看 上传路径发现自己重命名了，如果没有重命名的话在IIS6 下百分之90 以上可以拿shell 了，除去目录末有执行脚本权限。最后抓包分析改上传路 径，最后得到一个shell ，图1。具体方法翻翻以前杂志或google找吧，一找一大堆。 执行命令后，发现权限还比较大，能够执行一些简单命令，像net user、ipconfig /all等等。图2。 http://blog.bug.cx/2012/04/25/渗透某大型内网入侵过程/ [2012/5/3 12:48:38] 渗透某大型内网入侵过程 | bugcxs blog | 关注网络安全 不过执行添加用户的肯定是不行了，由于支持ASPX我想起来去年暴的本地提权，直接上传Churrasco.exe ，我这里命名为c.exe。运行命令 为：/c E:\website\wwwroot\xxx\xxup\c.exe net user nohack nohack /add 。必须有双引号，双引号里是执行的命令。最后成功 加了用户，图3。 http://blog.bug.cx/2012/04/25/渗透某大型内网入侵过程/ [2012/5/3 12:48:38] 渗透某大型内网入侵过程 | bugcxs blog | 关注网络安全 执行netstat -an发现3389开放，很兴奋的连接上去，却提示“无法连接远程计算机”，不应该呀，明明开着3389呢，google了下. 一般开了3389无法连接的原因有： 1、服务器在内网。用显示的IP来看是用公网IP的，先排除。 2、做了tcp/ip筛选。执行CMD命令：cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip ，导出注册表里关于TCP/IP筛选的第一处，这种原因是查看导出的 内容EnableSecurityFilters这个字段里dword后面的键值是否，如果说明管理员做了tcp/ip筛选，我们只要 把 1改成0就行了。还有两个地方要导出，可是我导出来都是这三个word后面的键值都来也不是这种原因。 3、做了ip安全策略。执行cmd命令： cmd /c net stop policyagent 将IPSEC Services服务停了它。再连3389 。还是连接不上。 4 、管理员设置的终端登陆权限只有指定的用户可以。这种原因应该是可以连接、无法登录。也排除。 5、防火墙。在webshell执行了下tasklist ，发现有几个进程比较可疑。如almon.exe 、alsvc.exe、SAVAdminService.exe等。图4 http://blog.bug.cx/2012/04/25/渗透某大型内网入侵过程/ [2012/5/3 12:48:38] 渗透某大型内网入侵过程 | bugcxs blog | 关注网络安全 搜索下几个进程名发现是Sophos Anti-Virus(SAV)英国开发的一个杀毒软件，网上好评还不少。莫非是它搞的鬼，看看能不能直接结束 掉，结果试了一下还真能结束掉，不过还是连接不上。原因不明中。因为这个网站禁止中国大陆的IP ，这期间我试了反弹CMD ，反弹IP是美