- A+
显示不全请点击全屏阅读
自从tools解散一直没地方去,今天一个朋友说这儿不错。可是鉴于工作的性质,不可能经常把一些渗透记录什么的写到网上,貌似也没
有写文章的习惯,呵呵。就写一下自己的小经验吧,用来表明我不是来打酱油的,是来交流的。
这里以入侵NASA为例(注:没搞过NASA,只是YY,这样大致说下自己的思路,可能会很常规,渗透是个艺术活,变换思路是必须的,这是后话)。
1. 信息调研
弄清目标是干嘛的,NASA是搞航空航天的,这个基本知识是要搞明白的。而后获取目标域名的whois信息。获取所有二级域名列表,
可以通过WVS的subdomain模块,同时结合google的搜索语法。得到目标的所有二级域名及其对应的whois信息,主要是IP地址,注册商。看
是否是隶属于nasa。对了,还有nslookup得到的MX记录,结合全部的信息人工判断目标公司的大致IP段。貌似通常邮件服务器在他们的工作
段。
2.尝试外网突破
貌似这个很常规,把上一次得到的信息一个一个看,主站神马的就不用想了,肯定被N多前辈光顾过。二级域名突破貌似也有点难,
树大招风,同样被光顾很多次。当然如果常规的工作是要做的,比如手工、工具检查一些可以利用的地方,通常比较容易搞的是弱口令。而
后的WEB方面的SQL注入、上传、、任意文件下载、本地包含、远程包含。还有一些wordpress、drupal之类的插件洞什么的,这些能用的都
用上。这一步很重要的是注意细节,但又不拘泥于细节,不能因为一个注入点没办法突破就在那死磕,也不能放过任何一个可以利用的漏洞
,拿本地包含漏洞来说,如果你不能上传文件(这个80%不会让你传),那就去包含环境变量、修改user-agent。如果这个没权限(通常没
权限),那就包含日志文件(这个很多时候也没权限),再然后包含httpd.conf,这个一般可以包含,可以得到很多配置信息。还不行的话
,如果目标有FTP,那就包含FTP的日志文件,连FTP都没有,那就包含session文件,如果session文件的内容实在是没办法控制(通常提交
一些特殊get请求或者使服务器报错会写入session),那就去包含临时文件,不过貌似要结合Phpinfo才能获取临时文件的文件名。当这些
所有的方法都尝试一遍了,你还没搞定,那就只能撤了。不用犹豫不决。
上面以本地包含为例说了下,其他的注入、跨站神马的技术细节限于字数,就不写了。也不好写清楚,尼玛太多了。并且写出来也可
能很常规,利用起来都是看个人。
OK,继续,很多时候从C段下手是很明智的选择,当然,这个C段不是说C段有什么乱七八糟的其他站,而是一般整个C段都是那个公司
的。那就上NMAP先扫描一下,当然要注意隐蔽,不要用sT之类的参数了。而后,如果能搞定一两个最好,这样可以大致看出来搞下来的那个
机器在整个目标中的地位,是在DMZ还是根本跟核心业务区一点关系都没有。如果搞不下来也没关系,毕竟天无绝人之路嘛。外网方面大致
就这个思路,没谈技术细节。
3.尝试进入内容
我们的目标肯定是内网核心区。如果第二步搞定的一台机器和内网有通道,那就直接扩展就OK了,如果没关系,根本两码事,那就挂
马。这里说下挂马,如果你有0day,那就不说什么了,直接挂上去等肉鸡就行了。但是木马的配置可能要注意,常规的什么灰鸽子还有神马
反弹木马就算了,有了也不会成功。NASA这种目标,不可能会让你反弹成功。主要是穿代理,自动判断是不是代理上网,最好是通过http协
议控制的木马。先打通一个控制通道。如果你没0day,那就上一些偏门的,比如java的,flash的洞一般被修复的很及时,但是java的目测没
多少人去更新,直接一个java applet成功率有时都很高,但是applet的签名什么的就要好好伪造了。挂马成功后一般得到的是一些个人机
。这些都是进入内网的通道,很有用。
如果挂马也不行,那就发邮件,在google上搜索专家的邮箱,给他们发邮件,内容要写的像那么回事,不然还是悲剧。跟刚才一样,
如果有0day,那就好办了,直接office的代码执行,个人机到手。如果没0day,那也没关系,看对方的邮件系统用的什么杀软,直接上exe,
当然很多时候必定被拦截。不过也不乏成功案例嘛,exe也不能全exe,可以利用一下windows的后缀名翻转,弄成word后缀名,然后改个图
标,让他看起来像word,发过去之后概率性的会上线,有些专家还是会下载附件然后打开的。细节性的:比如邮件内容、注册的邮箱名、附
上的后缀信息(联系电话和传真号要搞得像是公司内部的号),还有过杀软之类,这些都靠自己发挥了。
4.进入内部网络
通过以上的步骤如果搞到一个肉鸡,成功进入了内网,那下面就是拓展了,从个人机跳到服务器。这里简单说下思路,先查看个人机
是否在域里面,在域中处于什么角色。然后看下其内部IP,判断下这个域多大。下面抓个人机hash,看看谁登陆过,一般来讲你得到的个人
机木马很可能是这个娃访问某个服务器的口令。都要记录下来。在内网后可以通过一些扫描器扫描下445通过banner信息判断其他机器在哪
个域中,有木有权限连过去。下面就是扫1433、3306、3389等特殊的弱口令,内网中的弱口令还是比较多的,NASA这种还真不好说,因为貌
似公司再大也会有管理疏忽。搞到一个主机弱口令后,那就搞下来,多种几个木马,保证下通道,别第二天就被赶出来了。如果权限真的很
死,实在拓展不了,那就种键盘记录,看看那娃都登陆哪儿,然后再想办法端口数据转发,也登陆过去看看。这样子就总能拓展出去。
搞到内网一个服务器后那就相对容易些了,抓hash,破hash,以破出来的密码扫描其它机器,再破hash,很大程度上会得到域控的管理员
密码。这样子就横行整个域了。再不行还有会话劫持这个东西,当然你得事先想清楚了,这种大动作很容易被踢出去。甚至有时候扫描这种
事都不能干,密码错个一两次管理员那儿就报警了。所以还是根据目标敏感情况来了。
=============================淫荡的分割线=============================================
打字好累,我觉得通过上面说的可以证明我不是来发刷钻盗QQ的帖子的、呵呵,请管理大人通过审核,能跟大家交流下
Tags:
渗透技巧,
如果您喜欢我的博客,欢迎点击图片定订阅到邮箱
也可以点击链接【订阅到鲜果】
如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
