内网渗透案例

目录

一.

本次目标的环境.

1.1       内网网络拓图以及平台介绍.

1.2       渗透测试的目的.

1.3 此次渗透目标内容和范围.

1.4 规避的风险.

二.       此次内网渗透过程.

2.1       内网突破(Socket端口转发以及终端连接).

2.2       系统口令获取,Hash破解,管理软件密码破解.

2.3       社会工程学以及密码习惯组合字典扫描收集管理信息.

2.4       内网常用的IPC$共享入侵.

2.5 ARP嗅探以及ARP挂马突破员工PC.

2.6 ARP内部员工办公系统挂马(Internet Explorer Aurora Exploit 2010-01-17)利用.

2.7 利用同步数据软件进行渗透 .

2.8 利用IIS可写权限配合IIS6.0文件后缀名解析漏洞进行突破.

2.9 利用Windows XP 2K远程,local Exploits,溢出进行权限获取和提升.

3.0 以上方法配合反弹远程控制木马配合.

3.0.1 域内的HASH注入攻击突破(未实现成功)

三.       目标系统安全加固解决办法总结.

3.1 访问控制.

3.2        电信和网络安全.

3.3        安全管理与实践.

3.4    应用和系统开发安全.

1.1

内网网络拓图以及平台介绍

目标网络规模为一个三层交换环境

IP地址分布以及业务分类

192.168.100.X-192.168.103.X 数据内部员工办公网路

176.12.1.X-176.12.15.X 为Web于数据库支持网路

192.168.11.X-192.168.11.255 为空闲网络区域

总共分为三个域 shjt cyts ccit 共467台计算机

以上信息是在渗透过程中得到的

为了方便我改写了一个批处理

代码为

============================domain.bat=======================

@echo off

setlocal ENABLEDELAYEDEXPANSION

@FOR /F “usebackq delims=, ” %%J IN (net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i) do (

@echo =====domain:%%J========

@FOR /F “usebackq eol=; delims=, ” %%i in (net view /domain:%%J ^|findstr "\") DO (

@FOR /F “usebackq eol=; tokens=1,2,3* delims=\” %%a in (echo %%i) do (

@FOR /F “tokens=1,2,3,4* usebackq delims=: ” %%K IN (@ping -a -n 1 -w 100 %%a ^|findstr "Pinging") do (

@echo \%%L    %%M

)

)

)

)

echo %0

==============================end===================================

系统类型.安装软件版本以及类别

Windows xp 2K以及Linux

Mssql2000 2005 Sybase IIS5.0 6.0 内网系统全部采用麦咖啡企业级个别伺服器安装了数据同步软件

1.2

渗透测试的目的

渗透测试一方面可以从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到贯彻落实;另一方面可以讲潜在的安全风险以真实事件的方式凸现出来,从而有

助于提高相关人员对安全问题的认识水平。渗透测试结束后,立即进行安全加固,解决测试发现的安全问题,从而有效地防止真实安全事件的发生

1.3

此次渗透目标内容和范围.

此次渗透的为内容为目标数据库服务器以及员工办公PC..

1.4

规避的风险

此次渗透是在不影响目标业务工作的前提下进行测试,个别渗透测试手法已在本地搭建测试完成之后再应用到目标,以保证目标业务正常,(如ARP探嗅 ARP ERP办公系统挂马突破,其中IE0day利用测试已本地通过不会造成目标员工办公PC崩溃或者出现异常) .

此次内网渗透过程

2.1

内网突破(Socket端口转发以及终端连接)

通过外網web服務器222.11.22.11(192.168.22.34)(假设IP)上的Web Shell,连接内网ip為192.168.22.35的Mssql2005服务器, 当前账户权限为Sa.(账户密码通过查看Web.config得到)Sa账户是Mssql的默认的最高权限账户由于MSSQL服务是以SYSTEM权限运 行的,而MSSQL刚巧提供了一些能够执行命令的函数加入能成功利用,会得到一个SYSTEM权限,所以我认为这会有很大机会让我利用成功(如 xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job   sp_addtask xp_regread   xp_regwrite xp_readwebtask xp_makewebtask xp_regremovemultistring   sp_OACreate)由于SQL 服务器处于硬防之下,一般在防火墙做的限制都是禁止外部连接内网,没有限制由内置外的连接.我们通够Socket端口转发来进行突破.本地监听如图

本地Mstsc.exe host 127.0.0.1:88

2.2系统口令获取,Hash破解,管理软件密码破解

这之前替换sethc.exe为cmd.exe程序-系统做放大镜后门得到一个CMD Shell为渗透提供方便(在渗透完成之后所有的目标文件都已经恢复)通过Cmd Shell连接本地Ftp Server Get Hash.exe(系统口令哈希值获取工具)VNC4密码获取工具GUI版到当前主机,【VNC4的密码是保存在注册表中的地址 为:HKEY_LOCAL_MACHINESOFTWARERealVNCWinVNC4password 】抓取密码之后通过FTP PUT返回本机.抓取没有出现提示14位以上,直接通过在线的LM密码查询网站进行查询如:
两个常用的Hash在线破解网站

http://cracker.offensive-security.com/index.php

http://www.objectif-securite.ch/en/products.php

得到系统当前主机管理员密码为ccit2006 VNC4密码为如下图

2.5 运用社会工程学以及密码习惯字典进行扫描收集管理信息

比如运用net group “domain admins” /domain net localgroup administrators这些命令找到DC管理并 破解密码遇到这样的域我首先想到的是如何找到技术员和运维技术的计算机,这些计算机有可能保存这这个内网众多的敏感信息.

查看TCP以及端口连接信息,记录那些IP与当前的数据库服务器的数据库端口进行连接以及其他的服务器软件连接信息然后进行进一步渗透.

可以使用XSCAN(使用nessus nasl脚本更新X-Scan漏洞库)或者俄罗斯商用SSS扫描器对内网做一个完全的安全扫描

收集管理密码.数据库账户密码,Web后台管理密码.,硬盘内留下的以往的各类密码,分析管理员使用密码的习惯以及组合方式.组合密码字典扫描C类地址. 查看IE缓存留下的Cookie信息 .验证管理员留下的连接其他终端留下的痕迹是否有效,并记录.以便组合成针对目标网络的字典.如发现管理留下的连接其他伺服器远程桌面的痕迹,验证并尝试 用当前主机密码登录.如失败,我留下一键盘记录器,如下图,支持ASP空间收信。


2.4 内网常用的IPC$共享入侵

IPC$共享入侵时渗透公司企业内网一个比较快速的途径,(这也是企业内部员工密码安全意识薄弱的弱点)为了增快渗透速度我决定放弃手工而选用图形界面化 的工具,结合上一步骤扫描.,在上一步骤为了避免扫描器过多占用系统资源导致当前主机不稳定的情况,在选择扫描模式和线程上注意调整,适应当前主机的承载 能力,如图,进行的IPC$共享以及弱口令扫描利用

在以上步骤上为了方便我采用为存在漏洞的机器植入反弹木马


 

 

由于目标ARP设置存在安全缺陷,导致可以使用ARP探嗅和欺骗得到敏感数据以及网页挂马我们选择的是该目标内网员工的ERP办公系统。在这次探嗅中我选用了两种大白鲨和cain (大白鲨截图丢失)

网页木马选择的是2010-01-17发布的IE漏洞EXP。成功获取到部分员工Windows XP权限

2.6 ERP内部员工办公系统挂马(Internet Explorer Aurora Exploit 2010-01-17)利用
在某些时候ARP挂马不一定生效,既然有了内部员工ERP办公WEB的权限那我就试试最新公布的Internet Explorer Aurora Exploit 为了规避风险问题,我决定在本地测试Internet Explorer Aurora Exploit   的稳定性,保证代码不造成目标员工PC电脑IE崩溃或者是程序异常(员工PC电脑的浏览器版本是在IPC$获取员工权限后查看所得)以下是部分测试截图, 目前metasploit3.34已经更新了EXP。

 

2.7 利用同步数据软件进行渗透

很多企业内网都安装了为数据提供同步的软件,但是安全配置上的失误导致入侵者可以通过这个将渗透木马病毒延伸到各个角落,利用文件数据同步软件进行渗透的 思路就是在同步的数据或者文件中篡改或者添加可以获得SHELL的文件如,Web asp PHP木马或者其他的补丁程序.(由于当时的图片已经丢失,就不做具体说明了)

2.8 利用IIS可写权限配合IIS6.0文件后缀名解析漏洞进行突破.

在2009年初IIS6.0就被公布出了存在文件后缀名解析漏洞,格式为x.asp;.jpg,很多的IIS6.0可写权限都是put到目标可以move 成Web Shell的时候出现失败的问题,我细心测试后发现可以结合这两个鸡肋做点文章。那就是move后缀时候用x.asp;.jpg来实现.如图。IIS权限 和安全配置失误一直是很多粗心大意的管理容易犯的问题

成功得到Web Shell 然后通过查看网站数据库配置信息来继续收集目标账户密码信息。

2.9 利用Windows XP 2K远程,local Exploits,溢出进行权限获取和提升

在上一步骤渗透得到一Web Shell,发现本机没有安装麦咖啡杀毒软件没有安装可供提升权限的第三方软件,通过systeminfo查看目标补丁信息


我通过Churrasco.exe来提权.这个loacl Exploits是2008-06发布的,相比之下成功率较高

也可以利用一些新的系统 软件漏洞进行权限提升针对这个系统我只找到这个可以

提权成功如图

2.9 以上方法配合反弹远程控制木马配合.

以上各类渗透手法的目的是获取权限,为了方便我使用远程控制软件,IPC$植入反弹木马MSSQL连接上传植入木马执行.local Exploits 提权执行反弹木马都是可以的(我不赞成使用黑客工具,这次渗透式经过对方允许使用此类软件.这些软件会在对方系统植入档案改变设定.完成之后已经彻底清除 卸载恢复)

在这次渗透中共获取计算机权限52个,这其中达到了我们渗透的目标,内部员工办公PC,客户数据库等等,公司内部的MAIL邮箱对付一个企业的发展来说做必要的渗透测试并对系统,数据加固是很重要的,部分如图

 

在渗透测试完成之后,所以在过程中利用到的记录器以及工具反弹木马都已经删除,系统恢复原状.此次渗透中获取的一些商业信息已完全删除.

并提交报告于目标的网络管理员。

内网渗透案例(续)
目标系统的安全加固和安全问题和解决参考

3.1 访问控制

1.    防火墙访问控制策略配置不完善,没有完全发挥边界防护的作用,内网数据存在泄露到外网的可能。

解决办法:

根据业务和安全需求调整访问控制策略,去掉冗余的规则,做到最小化原则。如细化防火墙对应用服务区域的访问控制策略等。

2.    没有修改网络设备的默认口令,可能造成非授权人员的访问。

解决办法:

设置一个足够复杂的强口令并定期更换,同时在交换机上做访问控制规则,对登录设备的IP进行限制。

3.    防火墙的管理仅使用一个超级用户。

解决办法:

根据业务需求,重新分配用户和权限,做到权责分明。

4.    操作系统帐号/口令策略采用默认设置

解决办法:

加强帐号/口令策略安全配置,增强当前服务器用户口令强度,并加强对特权用户远程登录的控制和管理,使用SSH加密方式对服务器进行远程管理,以防用户/口令信息泄露。

员工密码安全意识薄弱,可以对员工进行安全培训 人才是最安全的防火墙

5.    目标系统管理员访问控制存在安全隐患

解决办法:

管理员(内部员工)访问目标系统应设定严格的访问控制措施,如基于IP地址,MAC,只允许管理员(内部员工)在设定的IP地址对系统进行操作,避免因管理员(内部员工)帐户/密码泄漏给系统带来的威胁。

3.1电信和网络安全

6.    防火墙没有启用足够的抗攻击等防护功能

解决办法:

启用防火墙必要的抗攻击功能。

1、可在根据日志审计的统计数据辅助设置开启抗攻击功能的阀值,FW上每个访问控制规则的日志也要接入,但防火墙抗网络攻击的能力和范围有限。

2.或者在防火墙前面架设电信级IPS,可抵御大部分网络攻击和拒绝服务攻击

3.2安全管理与实践

7.    部分设备还没有开启日志审计功能,使得潜在的攻击事件不具备追溯性

解决办法:

尽快部署专业日志审计服务器实现对设备日志的收集、存放和审计。

8.    互联网区没有划分安全域

解决办法:

启用核心交换机第三层功能,根据业务需求划分VLAN,并在VLAN之间实施适当的访问控制。

1. 在交换机上根据业务类型或者功能划分VLAN,可缓解业务高峰时的网络风暴的威胁,但须事先做好路由规划

2. 在各个安全域边界架设网络防火墙来防止因单一安全区域的蠕虫木马的扩散。

3. 在交换机上启用IP策略设定和禁止内部访问外部陌生地址.

3.3应用和系统开发安全

9.    操作系统没有关闭默认启动的冗余服务

解决办法:

根据业务需要,只开启必须的服务,关闭冗余的服务。避免冗余服务所带来的安全隐患

10.              数据库监听器配置

解决办法:

修改监听器配置,为监听器配置口令,这样对监听器进行操作时必须先输入口令进行认证;修改监听器配置参数,将“ADMIN_RESTRICTIONS”设 为“ON”,这样在监听器运行时将禁止通过命令对监听器进行任何修改,必须手动修改监听器配置文件listener.ora才可以对监听器配置进行修改。

11.              数据库当前没有启用审计

解决办法:

启用数据库的审计功能或者部署专业的数据库审计系统对数据库系统管理、安全管理、数据维护、用户登录等事件进行审计,并由专人负责数据库的审计管理。

为了避免数据库开启监听功能后带来的性能问题,可以部署数据库安全审计设备。

12.              管理服务器存在高风险漏洞

解决办法

对用于集中对应用服务器和数据库服务器进行远程管理的PC服务器安装最新的安全补丁。

1.    在网络中架设补丁分发管理系统

2.    在网络中架设漏洞扫描器,可及时了解网络中的设备的漏洞情况

3.    对麦咖啡企业级防火软件设定管理密码,防止他人更改安全设置

13.              目标系统登录密码安全策略控制不严

解决办法

此次目标系统中应提高密码复杂度的要求,对用户密码进行检查,以提高用户密码的安全级别,如必须是数字和字母的组合等;定义可尝试输入密码的次数和对尝试输入密码采取相应安全策略,如连续输入3次错误密码,将锁定用户一小时等,防止恶意人员对用户的密码暴力破解。

14.              目标WEB系统异常输入检验机制存在缺陷

解决办法

根据实际情况对输入参数进行严格检查,包括输入字符的长度、类型,并对一些特殊字符进行过滤。在WEB服务器前面架设WEB应用防火墙可以定义非法字符的过滤策略。

15.              交换机使用默认的SNMP连接串

解决办法

设置一个具备一定复杂度的SNMP连接串。

1.    在交换机上修改。命令参考:

Router(config)#snmp-server community public/private RO

2.   在网络中架设漏洞扫描器可以检测出该漏洞

3.4加密

16.              目标系统的通信未采取加密措施

解决办法

对目标WEB数据传输进行加密,如采用https方式。更高安全级别考虑,建议考虑使用SSL vpn或HTTPS解决方案。

一. 目标系统安全加固解决办法总结

渗透测试发现的问题中,大多数是可以通过对现有的网络设备、安全设备、WEB数据库、WEB服务器、中间件等进行配置优化调节来解决的。但是仍然有几个问题是目前无法通过现有网络资源解决的,我们总结了一下大概有以下三点:

加密:可以对目标的数据传输进行加密

应用与系统安全:目标WEB系统异常输入检验机制

应用与系统安全:数据库安全审计

3.1    加密

目前解决目标数据传输进行加密有两种办法:

在WEB应用系统软件上面开启HTTPS传输功能。

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另 一种就是确认网站的真实性。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。

但是我认为在WEB应用软件上面开启这项功能并不适用目标的员工办公系统以及为客户提供服务的系统。因为HTTPS服务器是需要对传输的数据加密和解压的,大规模的部署势必会严重影响WEB服务器的运行性能,最终导致服务器拒绝服务。

在WEB应用服务器前架设 SSL VPN加速器。

总结

古话说的好“堡垒最容易从内部突破”此次渗透案例正是诠释了这句话的.

91ri.org补充:还可以通过分析管理登录日志,以便及时获取管理信息.或者安装其他内核级的键盘记录器以便获取管理使用的其他密码,方便渗透. 组合字典进行C类扫描 等方法进行渗透。

本文摘自龙儿心由网络安全攻防研究室(www.91ri.org) 信息安全小组收集整理.转载本文请著名原文地址及原作者版权信息。