內網滲透在攻擊層面,其實更趨向於社工和常規漏洞檢測的結合,為了了解網內防護措施的設置是通過一步步的刺探和經驗積累,有時判斷出錯,也能進入誤區。但是如果能在網內進行嗅探,則能事半功倍,處於一個對網內設置完全透明的狀態。本文將從一個注點引發的突破,到控制整個內網的全過程來跟大家討論,內網的滲透嗅探術和安全防護一些內容。
在尋找突破時,更多的是從應用服務來,而應用服務最直觀的信息采集,就是端口掃描,不同的應用,開放的服務不一樣。所以,在對網絡進行信息收集時,大概分為這樣兩步:
端口探測,程序指紋分析。在端口探測方面,個人喜歡用SuperScan來快速對網段裡的應用進行判斷,如圖:
在掌握端口信息後,就要對服務應用程序的指紋進行分析,主要包括版本號、已知的漏洞信息、常規配置信息、針對此應用流行的攻擊方法等。本文試著對網內一台提供WEB服務的主機作為突破口,提交一個畸形的請求,如圖:
從上圖可以讀取以下信息:
系統類型:Fedora
應用程序:apache/2.2.4
以上只是很簡單的手工對程序指紋進行分析,當然在針對web應用的掃描器,還有很多,比較常用的wvs、appscan等。用輕量級的“wwwwscan來掃描:
由掃描的結果可以看到,與手工探測的結果是一致的。
通上面簡單的信息收集後,可以了解到網站架構是apache+mysql+php,直接請求URL:http://61.67.xx.116/htdocs/
發現此站是EcShop架構的站點,其使用的版本信息是V2.5.0。EcShop的版本是存在許多的注入點的。其中user.php文件有個注入漏洞,直接請求URL如下:
http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0×7c,password,0×7c,email),8 from ecs_admin_user/*
獲取管理員帳號和密碼,ECShop使用的是MD5加密,直接解密。原來密碼是admin,有點意料之外。訪問管理後台,修改模版處,插入一句木馬,即可得到WEBSEHLL,如圖:
在獲取WEBshell權限後,就需要對系統進行分析,查找Exp了。執行命令如下:
#uname –a
返回的信息是“Linux fedora 2.6.20-1.2962.fc6 “,Linux內核是2.6.20的。
在提權時,要用到gcc進行編譯,刺探一下系統有沒有安裝,執行命令,
#gcc –help
發現可以運行gcc,並且系統管理員沒對使用shell和gcc進行限制,在也是個安全缺失。
在尋找本地提權利用程序時,通常是根據系統版本來進行,應用程序的本地提權也是一樣的。在網上就有可供查詢的網站,比如http://www.milw0rm.com/網站如圖:
發現可利用的漏洞還真不少。
本地提權是需要個交互式的shell的。在本機監聽端口如下:
利用WebShell自帶的反彈功能直接連接本地的12345端口並返回shell如圖:
連接成功後,就能得到一個apache用戶的shell
,但有時如果不能交互時,可以直接執行,
# python –c ‘impotr pty;pty.spawn(/bin/sh);’
來得到交互的Shell,一般的系統都默認安裝python
如圖:
提示成功了,可以新建個目錄用來存放提權的工具。
在Linux提權大致可分為,第三方軟件漏洞、本地信任特性、內核溢出等,比較常用的溢出率高的,當屬內核了。用Wget下載溢出源碼,用到的漏洞是Linux vmsplice Local Root Exploit,成功率蠻高的,gcc編譯,執行,如圖:
成功獲取root權限,在選擇溢出利用程序時,有時需要進行多次測試。
什麼是Sniffer,sniffer是利用截獲目的的計算機通信,通過分析截獲的數據,提取敏感信息的工具。但其通過什麼方法來截獲數據呢?在此之前得解釋一下arp(Address Rrsolution Protocol)協議,即地址解析協議,它位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。它靠維持在內存中保存的一張表來使IP得以在網絡上被目標機器應答。在數據傳送時,IP包裡就有源IP地址、源MAC地址、目標IP地址,如果在ARP表中有相對應的MAC地點,那麼根據最優選擇法,直接訪問,如果,沒有對應的地址,就要廣播出去,在網內尋找對應的地址,如果對方的IP地址和發出的目標IP地址相同,那麼對方會發送MAC地址給源主機,,而此時,如果攻擊者也接聽到發送的IP地址,它就會仿冒目標主機的IP地址,然後返回自己的主機的MAC地址給源主機,因為源主機發送的IP包沒有包括目標主機的MAC地址,而ARP表裡面又沒有目標IP和目標MAC地址的對應表,就會接受攻擊者的MAC而選擇與其通信,所以就此產生了ARP欺騙。在系統剛啟動時,可以在DOS下輸入命令“arp -a來查看本機arp緩存表的內容,如圖:
我們來與IP192.168.0.5進行通信,通信後arp緩存表就會有這樣一條MAC地址和IP對應的記錄。如圖:
在本機多了條緩存中的IP和MAC的對應紀錄。
Dsniff是一個著名的網絡嗅探工具包,其開發者是Dug Song,其開發的本意是用來揭示網絡通信的不安全性,方便網絡管理員對自己網絡的審計,當然也包括滲透測試,其安裝包裡某此工具,充分揭示了協議的不安全性。作為一個工具集,Dsniff包括的工具大致分為四類:
一、
純粹被動地進行網絡活動監視的工具,包括:dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy
二、
針對SSH和SSL的MITM攻擊“工具,包括sshmitm和webmitm
三、
發起主動欺騙的工具,包括:arpspoof、dnsspof、macof
四、
其它工具,包括tcpkill、tcpnice
Dsniff的官方下載:www.monkey.org/~dugsong/dsniff/ 這個是源碼包,解壓後可以看下README,提示需要五個軟件的支持:openssl、Berkeley_db、libnet、libpca、libnids
下載地址如下:
Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html
libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm">ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm
ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm
系統一般默認都有安裝openssl、libpcap。
一、 Tar包安裝
如果下載的是源包,文件如下:openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz
a) 安裝openssl
用tar解壓軟件包手,執行三條命令
#./config
#make
#make install
b) 安裝libpcap
#./config
#make
#make install
c) 安裝libnet
#./config
#make
#make install
d) 安裝libnids
#./config
#make