嘗試分析 linux 下滲透嗅探術

class="153898">

　　內網滲透在攻擊層面，其實更趨向於社工和常規漏洞檢測的結合，為了了解網內防護措施的設置是通過一步步的刺探和經驗積累，有時判斷出錯，也能進入誤區。但是如果能在網內進行嗅探，則能事半功倍，處於一個對網內設置完全透明的狀態。本文將從一個注點引發的突破，到控制整個內網的全過程來跟大家討論，內網的滲透嗅探術和安全防護一些內容。

　　在尋找突破時，更多的是從應用服務來，而應用服務最直觀的信息采集，就是端口掃描，不同的應用，開放的服務不一樣。所以，在對網絡進行信息收集時，大概分為這樣兩步：

　　端口探測，程序指紋分析。在端口探測方面，個人喜歡用SuperScan來快速對網段裡的應用進行判斷，如圖：

　　在掌握端口信息後，就要對服務應用程序的指紋進行分析，主要包括版本號、已知的漏洞信息、常規配置信息、針對此應用流行的攻擊方法等。本文試著對網內一台提供WEB服務的主機作為突破口，提交一個畸形的請求，如圖：

　　從上圖可以讀取以下信息：

　　系統類型：Fedora

　　應用程序：apache/2.2.4

　　以上只是很簡單的手工對程序指紋進行分析，當然在針對web應用的掃描器，還有很多，比較常用的wvs、appscan等。用輕量級的“wwwwscan來掃描：

　　由掃描的結果可以看到，與手工探測的結果是一致的。

　　通上面簡單的信息收集後，可以了解到網站架構是apache+mysql+php,直接請求URL：http://61.67.xx.116/htdocs/

　　發現此站是EcShop架構的站點，其使用的版本信息是V2.5.0。EcShop的版本是存在許多的注入點的。其中user.php文件有個注入漏洞，直接請求URL如下：

　　http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0×7c,password,0×7c,email),8 from ecs_admin_user/*

　　獲取管理員帳號和密碼，ECShop使用的是MD5加密，直接解密。原來密碼是admin，有點意料之外。訪問管理後台，修改模版處，插入一句木馬，即可得到WEBSEHLL，如圖：

　　在獲取WEBshell權限後，就需要對系統進行分析，查找Exp了。執行命令如下：

　　#uname –a

　　返回的信息是“Linux fedora 2.6.20-1.2962.fc6 “，Linux內核是2.6.20的。

　　在提權時，要用到gcc進行編譯，刺探一下系統有沒有安裝，執行命令，

　　#gcc –help

　　發現可以運行gcc,並且系統管理員沒對使用shell和gcc進行限制，在也是個安全缺失。

　　在尋找本地提權利用程序時，通常是根據系統版本來進行，應用程序的本地提權也是一樣的。在網上就有可供查詢的網站，比如http://www.milw0rm.com/網站如圖：

　　發現可利用的漏洞還真不少。

　　本地提權是需要個交互式的shell的。在本機監聽端口如下：

　　利用WebShell自帶的反彈功能直接連接本地的12345端口並返回shell如圖：

　　連接成功後，就能得到一個apache用戶的shell

　　，但有時如果不能交互時，可以直接執行，

　　# python –c ‘impotr pty;pty.spawn(/bin/sh);’

　　來得到交互的Shell,一般的系統都默認安裝python

　　如圖：

　　提示成功了，可以新建個目錄用來存放提權的工具。

　　在Linux提權大致可分為，第三方軟件漏洞、本地信任特性、內核溢出等，比較常用的溢出率高的，當屬內核了。用Wget下載溢出源碼，用到的漏洞是Linux vmsplice Local Root Exploit，成功率蠻高的，gcc編譯，執行，如圖：

　　成功獲取root權限，在選擇溢出利用程序時，有時需要進行多次測試。

　　什麼是Sniffer，sniffer是利用截獲目的的計算機通信，通過分析截獲的數據，提取敏感信息的工具。但其通過什麼方法來截獲數據呢？在此之前得解釋一下arp（Address Rrsolution Protocol）協議,即地址解析協議，它位於TCP/IP協議棧中的低層協議，負責將某個IP地址解析成對應的MAC地址。它靠維持在內存中保存的一張表來使IP得以在網絡上被目標機器應答。在數據傳送時，IP包裡就有源IP地址、源MAC地址、目標IP地址，如果在ARP表中有相對應的MAC地點，那麼根據最優選擇法，直接訪問，如果，沒有對應的地址，就要廣播出去，在網內尋找對應的地址，如果對方的IP地址和發出的目標IP地址相同，那麼對方會發送MAC地址給源主機，，而此時，如果攻擊者也接聽到發送的IP地址，它就會仿冒目標主機的IP地址，然後返回自己的主機的MAC地址給源主機，因為源主機發送的IP包沒有包括目標主機的MAC地址，而ARP表裡面又沒有目標IP和目標MAC地址的對應表，就會接受攻擊者的MAC而選擇與其通信，所以就此產生了ARP欺騙。在系統剛啟動時，可以在DOS下輸入命令“arp -a來查看本機arp緩存表的內容，如圖：

　　我們來與IP192.168.0.5進行通信，通信後arp緩存表就會有這樣一條MAC地址和IP對應的記錄。如圖：

　　在本機多了條緩存中的IP和MAC的對應紀錄。

　　Dsniff是一個著名的網絡嗅探工具包，其開發者是Dug Song，其開發的本意是用來揭示網絡通信的不安全性，方便網絡管理員對自己網絡的審計，當然也包括滲透測試，其安裝包裡某此工具，充分揭示了協議的不安全性。作為一個工具集，Dsniff包括的工具大致分為四類：

　　一、

　　純粹被動地進行網絡活動監視的工具，包括：dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy

　　二、

　　針對SSH和SSL的MITM攻擊“工具，包括sshmitm和webmitm

　　三、

　　發起主動欺騙的工具，包括：arpspoof、dnsspof、macof

　　四、

　　其它工具，包括tcpkill、tcpnice

　　Dsniff的官方下載：www.monkey.org/~dugsong/dsniff/ 這個是源碼包，解壓後可以看下README,提示需要五個軟件的支持：openssl、Berkeley_db、libnet、libpca、libnids

　　下載地址如下：

　　Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html

　　libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

　　linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm">ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm

　　ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm

　　ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm

　　系統一般默認都有安裝openssl、libpcap。

　　一、 Tar包安裝

　　如果下載的是源包，文件如下：openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz

　　a) 安裝openssl

　　用tar解壓軟件包手，執行三條命令

　　#./config

　　#make

　　#make install

　　b) 安裝libpcap

　　#./config

　　#make

　　#make install

　　c) 安裝libnet

　　#./config

　　#make

　　#make install

　　d) 安裝libnids

　　#./config

　　#make