[原创]内网渗透——如何打开突破口
文章作者:凋凌玫瑰[N.C.P.H]信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
内网渗透的思想是源于特洛伊木马的思想---堡垒最容易从内部攻破,一个大型的网站,一个大型的公司,一个大型的目标,在外肉,管理员总会千方百计的加强防范和修补漏洞,常规的方法进去几乎是不可能。
内网渗透的突破口是我们如何得到一个内网的个人机或是内网的服务器,我个人的经验有三种,一是从外网分站渗透到内网,二是发木马信得到内网机器,三是利用取得信任得到内网机器。
一、从外网分站渗透到内网
通常一个大的站点都有很多分站,有很多我们未知的分站或是未知的站点目录,越大的站点展现在我们面前的机会就越多,可以利用传统手法得到一个分站的服务器权限,比如注入,猜解,溢出等。得到分站服务器的情况下有两种思想:一是通过分站渗到主站或是其它分站,需要它们分配有一个内网并没划分vlan的情况,这时可以通过取得密码或是内网嗅探等方式取得更多的分站。二是通过分站服务器的分析,诱使管理员中马,比如在分站服务器取得管理员的密码,收集分站上的邮箱信息,查看分站服务器的ftp信息,收集管理员常用的工具,或是管理员有可能下载回去的文件(通常是管理员传输工具的tools文件里)或是管理员保存在站点目录的工具。
二、发木马信取得内网机器
这应该算是一种社会工程学与漏洞的结合,比如0day,也就是word或是pdf或是ie0day发挥作用的地方。很多人拿到ie0day是直接用于挂马,其实ie0day发信的价值更高,如何欺骗管理员点击你发的邮件里的url链接也是一种艺术。也可以想想,涉及到他网站的问题,他产品的问题,这样的东西管理员总会点击的,要考虑到管理员点击后会百分之百的中这是一个技术性问题。常规的木马信发送过程中,chm的木马用得更多,因为不被杀,命中率可达百分之百,然后就要考虑到管理员会打开么?即使是客服机器中马也一样的非常有用。比如我在一次木马信的发送中,使用的附件是打包的chm,信的内容是:“使用你们的xx后,我觉得相当不错,不过在使用过程中发现一些bug,不知道是我的机器问题还是你们这方面没有考虑到,具体信息我以图文形式保存在附件中。”当然要找到目标的邮件地址,这个在网站上或是google中很容易找到的。
三、利用取得信任得到内网机器
网站管理员或是客服,都会有email或是msn或是QQ,或是现实中的人,我们可以慢慢的套近乎,抓住他的弱点,或是心理,比如他喜欢的东西,慢慢跟他聊天,降低他的心理防线,在成熟的时候发送url,或是打包的软件里捆绑木马,也不是不可以的。具体的涉及到社会工程学方面,主要看自己怎么去发挥。
内网渗透-----如何打开突破口,这只是平时的一些经验总结,没有具体的步骤,只有一种思想,黑站已经不是一种单纯的玩注入的时代。过段时间将再写《内网渗透-----基本手法》,仅仅做技术上的探讨与分享。
by rose of ncph 社会工程学与技术上的完美结合将是未来黑客的走向,同事也是黑客最恐怖的一面.因为威胁将无处不在! 你文章里的亮点是 chm 的捆绑马 "chm的捆绑马"能讲解下吗? 文档类文件捆马,对这种大型内网的威胁远大于网页插马..
你可以直接发一个文档给他的员工,对方打开的概率远大于你发一个网址... [s:270]
人的漏洞最难补... 发发牢骚,截取段比较幼稚的文章~
[code]
2、邮件在社会工程学中的应用
如果我们不能通过资料的收集获取密码,或是猜解难度较大不妨试试直接给管理员发送邮件的方式来进行渗透。
Lake2曾写过一篇《伪造发件人邮件地址》文中lake2给出了一套利用jmail组件发送匿名邮件的asp代码。我们可以通过虚拟主机提供、个人架设smtp服务器的形式进行伪造发件人地址。但由于不少邮件服务商如hotmail,163等对匿名邮件进行过滤,这导致部分我们发送的邮件不能发挥作用。在针对某些公司的渗透(以针对shelladmin.cn为域名的公司为例,其实是偶BLOG啦~)中,我们可以尝试伪造发件人为[email]webmaster@shelladmin.cn[/email]的邮件,发送邮件给我们所获得的公司人员所使用的帐户,在邮件中以附件的形式或超链接的形式对管理员进行欺骗。发送邮件前我们需要对其进行精心“包装”。免杀的反弹马是我们成功的关键。这里我给出一个我构造的很弱智的欺骗邮件,大家可以尽情发挥自己的想象力尝试欺骗。如图9
当然大家也可以把图中的URL换做附件的形式进行发送,如果允许接受附件那么成功的几率可能会增大不少哦。
对于普通网站管理员及普通计算机用户,通过附件形式进行社会工程学入侵的成功率是很高的,在开始之前我们需要准备一些工具:如office系列的溢出捆绑程序,winrar的溢出捆绑程序,chm电子书制作软件等。我们需要了解管理员动向,比如最近有什么重要事情在他身上发生,他工作需要什么方面的资料,他对什么感兴趣等等,我们要做的是投其所好让他毫无戒心的去运行我们的木马程序。为了增加成功率我们可以变换身份从他的爱好,工作分别使用不同的方式入手,比如我们先使用正常的压缩软件压缩捆绑有木马的chm电子书发送给目标。在木马免杀的情况下只要对方进行了点击,那么他就有极大可能成为我们的肉鸡。。例如在我的一次测试中,我在管理员Blog中得知他喜得贵子,便下载《起名的学问》一书制作成chm图书并进行了捆绑,管理员失去了应有的警觉,我成功的获取了某站点的权限。
如果一种方式进行一定时间后没有管理员机上线,我们可以换用其他email换用其他形式进行欺骗,比如可以使用正常压缩软件压缩捆绑有木马的word execel类文档,使用winrar捆绑溢出工具对木马与压缩文件进行捆绑进行发送,当然你要了解一些对方所熟悉的专业知识,为你的附件取一个专业些的名字这对你的成功是有极大影响的。[/code] Social Engineering 博大精深,可以看作是从两个角度对人性的理解与运用,对人的渗透。
期待玫瑰的完整文献有一些案例的生动描述。 又学到了一点了 呵呵 CHM 以前用了的现在都不用了。不过让我明白了技术什么时候都是有用的,不管是新技术还是老技术。 我一项都是 扫一遍弱密码,溢出一遍就不搞了。 社会工程是以后不可缺的!
例如:
有的时候真的是知道了QQ密码就知道了他邮箱和管理员密码了! [quote]引用第2楼cnlnfjhh于2007-05-22 12:53发表的 :
你文章里的亮点是 chm 的捆绑马[/quote]
玫瑰有chm的什么什么马,自己做的不好用 为了学好社会工程学
还特地买了几本心理学的书来看. 《欺骗的艺术》就是讲社会工程学的,不过似乎没见到有完整的中文版。
有人整理了前9章的中文译文。
强烈推荐。 期待nhm的马,请教制作的详细过程。。
之前貌似华夏有过教程,但是做了几个貌似不成功。。
[s:289] 事实上社会工程学的价值还是很高的... [s:264]
我现在也徘徊在一内网渗透中,与目标机不同一网段,无法实现ARP欺骗...
目标机全站就一新闻发布系统,通过某种手段得到对方05年的全站备份数据.
网站的程序有SQL注入,还有跨台等漏洞.不过由于对方的后台目录无法访问,因为需要IIS的访问帐号.显然这些漏洞也变成没什么价值了...
不知凋凌兄有何指教之处,小弟谢过... CHM是几年前的网马。。。。生成的方法也十分简单免杀同样比较容易。。。。 [s:264]
页:
[1]