内网渗透在攻击层面,其实更趋向于社工和常规漏洞检测的结合,为了了解网内防护措施的设置是通过一步步的刺探和经验积累,有时判断出错,也能进入误区 。但是如果能在网内进行嗅探,则能事半功倍,处于一个对网内设置完全透明的状态 。本文将从一个注点引发的突破,到控制整个内网的全过程来跟大家讨论,内网的渗透嗅探术和安全防护一些内容 。
在寻找突破时,更多的是从应用服务来,而应用服务最直观的信息采集,就是端口扫描,不同的应用,开放的服务不一样 。所以,在对网络进行信息收集时,大概分为这样两步:
端口探测,程序指纹分析 。在端口探测方面,个人喜欢用SuperScan来快速对网段里的应用进行判断
在掌握端口信息后,就要对服务应用程序的指纹进行分析,主要包括版本号、已知的漏洞信息、常规配置信息、针对此应用流行的攻击方法等 。本文试着对网内一台提供WEB服务的主机作为突破口,提交一个畸形的请求 。
从上图可以读取以下信息:
系统类型:Fedora
应用程序:apache/2.2.4
以上只是很简单的手工对程序指纹进行分析,当然在针对web应用的扫描器,还有很多,比较常用的wvs、appscan等 。用轻量级的“wwwwscan来扫描:
由扫描的结果可以看到,与手工探测的结果是一致的 。
通上面简单的信息收集后,可以了解到网站架构是apache mysql php,直接请求URL:http://61.67.xx.116/htdocs/
发现此站是EcShop架构的站点,其使用的版本信息是V2.5.0 。EcShop的版本是存在许多的注入点的 。其中user.php文件有个注入漏洞,直接请求URL如下:
http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0?c,password,0?c,email),8 from ecs_admin_user/*
获取管理员帐号和密码,ECShop使用的是MD5加密,直接解密 。原来密码是admin,有点意料之外 。访问管理后台,修改模版处,插入一句木马,即可得到WEBSEHLL
在获取WEBshell权限后,就需要对系统进行分析,查找Exp了 。执行命令如下:
#uname –a
返回的信息是“Linux fedora 2.6.20-1.2962.fc6 “,Linux内核是2.6.20的 。
在提权时,要用到gcc进行编译,刺探一下系统有没有安装,执行命令,
#gcc –help
发现可以运行gcc,并且系统管理员没对使用shell和gcc进行限制,在也是个安全缺失 。
在寻找本地提权利用程序时,通常是根据系统版本来进行,应用程序的本地提权也是一样的 。在网上就有可供查询的网站,比如http://www.milw0rm.com/网站
发现可利用的漏洞还真不少 。
本地提权是需要个交互式的shell的 。在本机监听端口如下:
利用WebShell自带的反弹功能直接连接本地的12345端口并返回shell
连接成功后,就能得到一个apache用户的shell
,但有时如果不能交互时,可以直接执行,
# python –c ‘impotr pty;pty.spawn(/bin/sh);’
来得到交互的Shell,一般的系统都默认安装python
提示成功了,可以新建个目录用来存放提权的工具 。
在Linux提权大致可分为,第三方软件漏洞、本地信任特性、内核溢出等,比较常用的溢出率高的,当属内核了 。用Wget下载溢出源码,用到的漏洞是Linux vmsplice Local Root Exploit,成功率蛮高的,gcc编译,执行 。
【尝试分析 linux 下渗透嗅探术】成功获取root权限,在选择溢出利用程序时,有时需要进行多次测试 。
什么是Sniffer,sniffer是利用截获目的的计算机通信,通过分析截获的数据,提取敏感信息的工具 。但其通过什么方法来截获数据呢?在此之前得解释一下arp(Address Rrsolution Protocol)协议,即地址解析协议,它位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址 。它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答 。在数据传送时,IP包里就有源IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地点,那么根据最优选择法,直接访问,如果,没有对应的地址,就要广播出去,在网内寻找对应的地址,如果对方的IP地址和发出的目标IP地址相同,那么对方会发送MAC地址给源主机,,而此时,如果攻击者也接听到发送的IP地址,它就会仿冒目标主机的IP地址,然后返回自己的主机的MAC地址给源主机,因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP和目标MAC地址的对应表,就会接受攻击者的MAC而选择与其通信,所以就此产生了ARP欺骗 。在系统刚启动时,可以在DOS下输入命令“arp -a来查看本机arp缓存表的内容 。
推荐阅读
- 新手学堂:Linux操作系统中如何编译C程序
- Linux 下压缩与解压.zip和.rar及.7z文件
- 新手看招:在Linux操作系统下创建锁文件
- 新手学堂:Linux下kdevelop使用SVN方法
- linux系统重装Grub解决not read correctly 错误问题
- linux vps 空间逐渐减少的原因
- linux 系统清理系统垃圾文件
- linux服务器网页和数据库垃圾清理教程
- Linux系统下大规模文件自动清理
- Linux压缩打包命令使用方法