本文阐述:文章从网站入侵到内网渗透提权,作者给大家带来了一篇精彩的内网渗透文章。读后此文你能清晰的认识到内网入侵的细节技术。
由于平时比较忙,用了很久的VPN肉鸡飞掉了,近来正好有时间于是打开google搜索upfile.asp开始找肉鸡,来了台湾某XX站,http://xxx.xxx.tw/xx/upfile.asp,为了不必要的麻烦,我隐藏了敏感内容。直接到传asp提示错误,那么直接传了gif以后,查看上传路径发现自己重命名了,如果没有重命名的话在IIS6下百分之90以上可以拿shell了,除去目录末有执行脚本权限。最后抓包分析改上传路径,最后得到一个shell,图1。具体方法翻翻以前杂志或google找吧,一找一大堆。
执行命令后,发现权限还比较大,能够执行一些简单命令,像net user、ipconfig /all等等。。
在进行内网渗透,尤其是在比较大型的网络环境下,很可能会遇到域这样一种特殊的网络环境,而在域环境下的内网渗透又将是另外一片天地。
首先还是先简要看一下域的概念吧:
域 (Domain) 是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
通过上述的了解,我们可以知道域管理员的权限是相当大的,域管理员可以通过持有域的登陆票据从而实现对域内各个计算机的远程管理,即有权限登陆任何一台机器。那么在渗透的过程中我们就可以通过某种方式记录下管理员登陆的密码,当然了,这只是其中的一种思路。
阅读全文...
1你的内网入口机器属于什么性质?例如:24小时运转的应用服务器、测试机器、员工办公机器、VPN?
根据你的回帖,可以得知,你目前既然已经拥有了数台内网服务器权限,那么应该是通过其内网反弹后门转发端口进入内网,我估计是应用服务器。而初期可能是通 过员工办公机器或者对方映射到公网上面的应用服务器进入内网的。
2此内网数据存储服务器属于几级内网?这个问题你未具体描述,因为往往会遇到1级、2级、3级甚至更深的类城域网结构。
这里假设你遇到的只是最初级的1级内网,既:内网可互通
3你目前行为的目的是什么?你描述说你需要将数据拷贝出来,但你又回帖说搞定了他们几台服务器,那么我的问题就是,根据你最后一次的回帖,不太明白你目前 的状况。A你无聊?B你还有其他目的?C你还没有搞定那台或数台数据储存服务器?
你不回答清楚,无法帮你参考啊。各种情况下,有不同的解决方式。
这里就仅认为你已经搞定数据储存服务器、并且只是基于成就感继续KO他们的服务器吧。
阅读全文...
cisco安全情报中心发 的一个文章,原文标题是“Infiltrating a Botnet”,为了照顾各位的用户体验,我翻译成“渗透一个肉鸡网络”:)大致看了下,应该是伪装成肉鸡进入server,然后窃听肉鸡老板相关交易信 息的一个过程,挺有意思,相信玩bot的朋友在很久以前就中过这种道。
Many teams at Cisco are dedicated to security research. One team recently investigated botnets with the goal of improving existing detection methods and discovering the techniques botmasters use to compromise machines. The team’s efforts were rewarded through their protection of an important customer’s network. Their discovery efforts also yielded extraordinary insights into the mind and motives of a botmaster. This paper discusses exploit protection and reports on the interviews the team held with the botmaster they encountered.
Typically, administrators patch vulnerable machines or deploy some sort of intrusion prevention system (IPS) to protect against exploits. Both approaches are effective the majority of the time, but neither approach protects systems against the uneducated user. These approaches may not even protect people who take their machines home if the IPS is network-based. The user who will click and run anything is the greatest threat to any network.
Internet relay chat (IRC) traffic on non-standard ports is a good indicator of malicious activity. Simple botnets often use IRC as a command-and-control framework because the source code is readily available. Joining a chat network is not botnet activity, but it is usually not work-appropriate activity. Cisco offers a service that monitors and manages network-based IPS. By monitoring certain alerts from this data feed, suspicious IRC traffic was easily found.
A Cisco customer was unaware of dozens of compromised machines. A tremendous number of alerts including IRC activity, far larger than anything that could be benign, were occurring on the customer’s network. The traffic from several machines stood out from other systems on the network. There are occasionally oddities in a network, but when a small subset of machines is observed sharing the same odd behavior, researchers should take note.
阅读全文...
1.web,sql分离(sql上网),sa. 读系统用户密码或加用户反弹,种反弹型后门.
2.web,sql分离(sql不上网),sa. 把和防火墙和策略有关的服务或进程kill掉再测试是否上网 收集尽量多的密码表.sqlsniffer findpass gethashs ipc$猜web密码 vbs读系统日志查看管理员登陆IP 有可能的话导出注册表的secpol查看策略规则.
3.web,sql分离(sql上网),dbo_owner. 猜密码进web后台. 备份hta到启动项
4.web,sql分离(sql不上网),dbo_owner.猜密码进web后台.
(重点在4,在opendatasource的时候不要以为弹不到外面的1433就不上网了,可以尝试其他的端口 比如20 21 25 443 445 80等防火墙经常开放的端口)
作者:Firefox
帮朋友忙 帮到目的不单纯 好可怜 被好多兄弟教训了
甚至被威胁了下...
总结下 教训...
关于单臂路由如果掌握到设备权限还是可以继续玩,另外一些对拨的vpn如果没有做好限制也可以溜达溜达,如果是帮忙的话 还是小心翼翼的溜达,不要做什么很实际的操作了,因为...
先说设备
IPS IDS 自然不说了 现在这些都搞复合呢 all in one 行为管理也有给复合进去的
在说流量报警和时间 流量报警现在和手机整合的 就是说如果在一个日均1Gb流量的网络下载一个大家伙流量超出界定范围会被发送到手机流量异常,说到手机这个东西现在的确发达了,有时候发邮件也要先搞清楚对方是不是手机在收,不过有些人貌似有手机软件的0day ...
然后有比较业务化的一些规则 比如行为+时间 这样算因子?或者还有更多因子的 比如在9:00-17:30之外玩个IPC$或者ftp外部再或者发个邮件,那么又被记录了...
说到这里好像记得电子科技大学一个老师讲那个搞某大公司的牛人将搞到的东西分成NNNN个份更改为容量不大于某值的.gif,然后每天定时定量分多次下载... 回想自己好像根本就没这方面的意识...这次丢人丢大了
说说这次吸取的教训和累积的经验,当然主要是对一些相对严格的网络环境
1、不要采用相同的留后门的方式
虽然自己平时也不用后门,但是有时候为了方便还是要装下,这个时候对自己占领的土地一定要分块分类型来安装后门,如果手法只有一种那么很可能被一次扫地出门(这点感谢叮当给的意见)。
2、留后门也要看人
留后门选什么样的机器也是一种学问,如果找一个CTO的机器给他屁股上开个洞他会很敏感滴,这次我被cto猛揍了一顿,选一台边缘机器吧,比如财务菜鸟...比如公共用的上网机..
3、时间很重要
在拿到某设备权限后看到一张自己创造的流量图,我竟然搞出在对方的凌晨1点web上流量峰值和下午5-6点的值竟然持平,所以以后要养成习惯,先分析设备,分析时差,然后再考虑下一步的动作。
4、别映射磁盘了
这个不多说了,映射很容易被发现,太明显了,还是dir来看吧,看到想要的xcopy回来好了,这样至少安全点。(这点感谢"九局下半"这个名字是艺名,复ID)。
5、关于vpn
一些对拨vpn设置比较变态,但是如果分析清楚架构是可以穿透这些限制,当修改这些配置的时候应该先停止设备通知,再备份配置,添加直接入口,最后再改设置,这样可以保证自己搞错时还有机会更改。
6、熟悉服务
熟悉网络后要熟悉服务,这样挑选对方主要网络服务,主要软件,然后在fileserver上做些手脚,当然时间要克隆一下,也别动太疯狂了,另外切记选好目标,不可以随便找个adobe的pdf浏览器下手,如果遇到负责的管理员,adobe更新软件之日就是那特洛伊的忌日了,。
7、找找同行
这个情况很常见,这次也遇到了,这时最好是分析分析和我奋战在同一服务器的兄台什么时间来玩、怎么玩、玩了之后留下些什么,这样当自己再也无法闯进去的时候、或者这位兄台不仗义把我一脚蹬出去的时候,我还可以拿他钥匙再来坐坐。
8、邮件&文档
选择好时间,尽量在不触发设备规则的时候把pst文件和重要文档down了,另外在清理自己痕迹前最好先把服务器日志完整down一份,方便以后分析。
扯了这么多都是这次吸取的教训,血泪的教训...
贴士:
今天看到一句话,很是崇拜
"一个人什么都会就意味着什么都不会;当你觉得自己一无是处的时候离成功才最近"
作者:逗号
- -! 来了TOOLS 这么久还没写过东西现在给大家贡献点东西
当你在渗透中挂机嗅探的时候,如果管理员上来发现就不好了所以有了这个bat 的用处
检测管理员上线注销自已的 bat
copy 保存为 xx.bat
@echo off
:check
choice /C YN /T 10 /D Y
quser | find "#16" && del xx.bat | logoff
goto check
说明一下
#16 每次运行这个 bat 的时候先quser 一下,看当前的会话id 是多少,然后加1 每连接一次就会加1
用户名 会话名 ID 状态 空闲时间 登录时间
administrator rdp-tcp#22 2 运行中 . 2009-4-16 19:24
你要把这个给改成 #23 就可以了 然后下一个连接进来的时候就会注销自已
哪位牛帮忙改一下,判断 如果 比 rdp-tcp#22 大的连接进来的话就注销自已
choice /C YN /T 10 /D Y
/T 10 是 10 秒一检测 这样是为了不太占CPU
by dh
为了渗透的方便,顺便帖上一个很淫的人写的一个 bat 方便大家
嗅探中当机的一点点启示
by chong
很多朋友在嗅探的时候肉猪一不小心就挂了.那个后悔啊.....
当然 你要选择尽量少的服务来嗅.比如你要嗅目标的1433及80.那你嗅其他的就没用罗.
这样会大大的减少当机的可能性.如果看到丢包率超过10%就要注意啦. 赶紧停掉,看看那里没设置好吧.
如果还是不小心挂了呢.
没事.这里为您准备了一个BAT 在开嗅的时候运行它就行了哦.
======start=========
:ping
choice /C YN /T 120 /D Y
ping g.cn
IF ERRORLEVEL 1 GOTO reboot
IF ERRORLEVEL 0 GOTO ping
:reboot
shutdown /r /t 0
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (当然.你要事先测试下)
那.就重启罗. 或自己写一些语句 像结束cain等.自由发挥
姓名:Chinadu
性别:Man
职业:网络安全从业者
E-mail:imcto#msn.cn
近期评论