内网***案例

目录

一.

              本次目标的环境.

1.1         内网网络拓图以及平台介绍.

1.2         ***测试的目的.

     1.3    这次***目标内容和范围.

     1.4    规避的风险.


二.         这次内网***过程.

2.1         内网突破（Socket端口转发以及终端链接）.

2.2         系统口令获取,Hash破解,管理软件密码破解.

2.3         社会工程学以及密码习惯组合字典扫描收集管理信息.

2.4         内网经常使用的IPC$共享***.

     2.5    ARP探嗅以及ARP挂马突破员工PC.

     2.6    ERP内部员工办公系统挂马（Internet Explorer Aurora Exploit 2010-01-17）利用.

     2.7    利用同步数据软件进行*** .

     2.8    利用IIS可写权限配合IIS6.0文件后缀名解析漏洞进行突破.

     2.9    利用Windows XP 2K远程,local Exploits,溢出进行权限获取和提高.

     3.0    以上方法配合反弹远程控制***配合.

     3.0.1   域内的HASH注入***突破（未实现成功）


三.         目标系统安全加固解决办法总结.

3.1    访问控制.

3.2        电信和网络安全.

3.3        安全管理与实践.

3.4       应用和系统开发安全.



1.1

内网网络拓图以及平台介绍

目标网络规模为一个三层交换环境

IP地址分布以及业务分类

192.168.100.X-192.168.103.X 数据内部员工办公网路

176.12.1.X-176.12.15.X 为Web于数据库支持网路

192.168.11.X-192.168.11.255 为空闲网络区域

总共分为三个域 shjt   cyts   ccit 共467台计算机

以上信息是在***过程当中获得的

为了方便我改写了一个批处理

代码为

============================domain.bat=======================

@echo off

setlocal ENABLEDELAYEDEXPANSION

@FOR /F "usebackq   delims=, " %%J IN (`net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (

@echo =====domain:%%J========

@FOR /F "usebackq eol=;   delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (

@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (

@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (

@echo \\%%L      %%M

)

)

)

)

echo %0

==============================end===================================




系统类型.安装软件版本以及类别

Windows xp 2K以及Linux

Mssql2000 2005 Sybase IIS5.0 6.0 内网系统所有采用麦咖啡企业级个别伺服器安装了数据同步软件


1.2

***测试的目的

***测试一方面能够从***者的角度，检验业务系统的安全防御措施是否有效，各项安全策略是否获得贯彻落实；另外一方面能够讲潜在的安全风险以真实事件的方式凸现出来，从而有

助于提升相关人员对安全问题的认识水平。***测试结束后，当即进行安全加固，解决测试发现的安全问题，从而有效地防止真实安全事件的发生


1.3

这次***目标内容和范围.

这次***的为内容为目标数据库服务器以及员工办公PC..


1.4

规避的风险

这次***是在不影响目标业务工做的前提下进行测试，个别***测试手法已在本地搭建测试完成以后再应用到目标，以保证目标业务正常，（如ARP探嗅 ARP ERP办公系统挂马突破，其中IE0day利用测试已本地经过不会形成目标员工办公PC崩溃或者出现异常） .



这次内网***过程

2.1

内网突破（Socket端口转发以及终端链接）

经过外網web服務器222.11.22.11(192.168.22.34)(假设IP）上的Web Shell，链接内网ip為192.168.22.35的Mssql2005服务器, 当前帐户权限为Sa.（帐户密码经过查看Web.config获得）Sa帐户是Mssql的默认的最高权限帐户因为MSSQL服务是以SYSTEM权限运行的，而MSSQL刚巧提供了一些可以执行命令的函数加入能成功利用，会获得一个SYSTEM权限，因此我认为这会有很大机会让我利用成功（如xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job  sp_addtask    xp_regread  xp_regwrite xp_readwebtask xp_makewebtask xp_regremovemultistring  sp_OACreate）因为SQL 服务器处于硬防之下，通常在防火墙作的限制都是禁止外部链接内网，没有限制由内置外的链接.咱们通够Socket端口转发来进行突破.本地监听如图


本地Mstsc.exe host 127.0.0.1:88

2.2系统口令获取,Hash破解,管理软件密码破解

这以前替换sethc.exe为cmd.exe程序-系统作放大镜后门获得一个CMD Shell为***提供方便（在***完成以后全部的目标文件都已经恢复）经过Cmd Shell链接本地Ftp Server Get Hash.exe(系统口令哈希值获取工具）VNC4密码获取工具GUI版到当前主机，【VNC4的密码是保存在注册表中的地址为：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 】抓取密码以后经过FTP PUT返回本机.抓取没有出现提示14位以上，直接经过在线的LM密码查询网站进行查询如：

两个经常使用的Hash在线破解网站

http://cracker.offensive-security.com/index.php

http://www.objectif-securite.ch/en/products.php

获得系统当前主机管理员密码为ccit2006 VNC4密码为以下图



2.5 运用社会工程学以及密码习惯字典进行扫描收集管理信息

好比运用net group "domain admins" /domain net localgroup administrators这些命令找到DC管理并 破解密码遇到这样的域我首先想到的是如何找到技术员和运维技术的计算机，这些计算机有可能保存这这个内网众多的敏感信息.

查看TCP以及端口链接信息，记录那些IP与当前的数据库服务器的数据库端口进行链接以及其余的服务器软件链接信息而后进行进一步***.

可使用XSCAN（使用nessus nasl脚本更新X-Scan漏洞库）或者俄罗斯商用SSS扫描器对内网作一个彻底的安全扫描

收集管理密码.数据库帐户密码,Web后台管理密码.,硬盘内留下的以往的各种密码，分析管理员使用密码的习惯以及组合方式.组合密码字典扫描C类地址.查看IE缓存留下的Cookie信息 .验证管理员留下的链接其余终端留下的痕迹是否有效，并记录.以便组合成针对目标网络的字典.如发现管理留下的链接其余伺服器远程桌面的痕迹，验证并尝试用当前主机密码登陆.如失败，我留下一键盘记录器，以下图，支持ASP空间收信。



分析管理登陆日志，以便及时获取管理信息.或者安装其余内核级的键盘记录器以便获取管理使用的其余密码，方便***. 组合字典进行C类扫描，如图

2.4 内网经常使用的IPC$共享***

IPC$共享***时***公司企业内网一个比较快速的途径，（这也是企业内部员工密码安全意识薄弱的弱点）为了增快***速度我决定放弃手工而选用图形界面化的工具，结合上一步骤扫描.,在上一步骤为了不扫描器过多占用系统资源致使当前主机不稳定的状况，在选择扫描模式和线程上注意调整，适应当前主机的承载能力，如图，进行的IPC$共享以及弱口令扫描利用



在以上步骤上为了方便我采用为存在漏洞的机器植入反弹***

2.5    ARP探嗅以及ARP挂马突破员工PC.

因为目标ARP设置存在安全缺陷，致使可使用ARP探嗅和欺骗获得敏感数据以及网页挂马咱们选择的是该目标内网员工的ERP办公系统。在此次探嗅中我选用了两种大白鲨和cain （大白鲨截图丢失）如图

网页***选择的是2010-01-17发布的IE漏洞EXP。成功获取到部分员工Windows XP权限

2.6    ERP内部员工办公系统挂马（Internet Explorer Aurora Exploit 2010-01-17）利用

在某些时候ARP挂马不必定生效，既然有了内部员工ERP办公WEB的权限那我就试试最新公布的Internet Explorer Aurora Exploit   为了规避风险问题，我决定在本地测试Internet Explorer Aurora Exploit  的稳定性，保证代码不形成目标员工PC电脑IE崩溃或者是程序异常（员工PC电脑的浏览器版本是在IPC$获取员工权限后查看所得）如下是部分测试截图，目前metasploit3.34已经更新了EXP。


2.7    利用同步数据软件进行***

不少企业内网都安装了为数据提供同步的软件，可是安全配置上的失误致使***者能够经过这个将******病毒延伸到各个角落，利用文件数据同步软件进行***的思路就是在同步的数据或者文件中篡改或者添加能够得到SHELL的文件如，Web asp PHP***或者其余的补丁程序.（因为当时的图片已经丢失，就不作具体说明了）


2.8    利用IIS可写权限配合IIS6.0文件后缀名解析漏洞进行突破.

在2009年初IIS6.0就被公布出了存在文件后缀名解析漏洞，格式为x.asp;.jpg，不少的IIS6.0可写权限都是put到目标能够move成Web Shell的时候出现失败的问题，我细心测试后发现能够结合这两个鸡肋作点文章。那就是move后缀时候用x.asp;.jpg来实现.如图。IIS权限和安全配置失误一直是不少粗枝大叶的管理容易犯的问题

成功获得Web Shell 而后经过查看网站数据库配置信息来继续收集目标帐户密码信息。




2.9    利用Windows XP 2K远程,local Exploits,溢出进行权限获取和提高

在上一步骤***获得一Web Shell，发现本机没有安装麦咖啡杀毒软件没有安装可供提高权限的第三方软件，经过systeminfo查看目标补丁信息如图

我经过Churrasco.exe来提权.这个loacl Exploits是2008-06发布的，相比之下成功率较高

也能够利用一些新的系统 软件漏洞进行权限提高针对这个系统我只找到这个能够

提高权限成功如图


2.9    以上方法配合反弹远程控制***配合.

以上各种***手法的目的是获取权限，为了方便我使用远程控制软件，IPC$植入反弹***MSSQL链接上传植入***执行.local Exploits 提权执行反弹***都是能够的（我不同意使用***工具，此次***式通过对方容许使用此类软件.这些软件会在对方系统植入档案改变设定.完成以后已经完全清除卸载恢复）

在此次***中共获取计算机权限52个，这其中达到了咱们***的目标，内部员工办公PC，客户数据库等等，公司内部的MAIL邮箱对付一个企业的发展来讲作必要的***测试并对系统，数据加固是很重要的，部分如图：





在***测试完成以后，因此在过程当中利用到的记录器以及工具反弹***都已经删除，系统恢复原状.这次***中获取的一些商业信息已彻底删除.

并提交报告于目标的网络管理员。                                 
                                                                2010-01-19

                                                                 逆风飞扬

                                                             MSN:Hilven@live.cn






内网***案例(续)
目标系统的安全加固和安全问题和解决参考


3.1 访问控制

1.      防火墙访问控制策略配置不完善，没有彻底发挥边界防御的做用，内网数据存在泄露到外网的可能。

解决办法：

根据业务和安全需求调整访问控制策略，去掉冗余的规则，作到最小化原则。如细化防火墙对应用服务区域的访问控制策略等。

2.      没有修改网络设备的默认口令，可能形成非受权人员的访问。

解决办法：

设置一个足够复杂的强口令并按期更换，同时在交换机上作访问控制规则，对登陆设备的IP进行限制。

3.      防火墙的管理仅使用一个超级用户。

解决办法：

根据业务需求，从新分配用户和权限，作到权责分明。


4.      操做系统账号/口令策略采用默认设置

解决办法：

增强账号/口令策略安全配置，加强当前服务器用户口令强度，并增强对特权用户远程登陆的控制和管理，使用SSH加密方式对服务器进行远程管理，以防用户/口令信息泄露。

员工密码安全意识薄弱，能够对员工进行安全培训

5.      目标系统管理员访问控制存在安全隐患

解决办法：

管理员（内部员工）访问目标系统应设定严格的访问控制措施，如基于IP地址，MAC，只容许管理员（内部员工）在设定的IP地址对系统进行操做，避免因管理员（内部员工）账户/密码泄漏给系统带来的威胁。

3.1电信和网络安全

6.      防火墙没有启用足够的抗***等防御功能

解决办法：

启用防火墙必要的抗***功能。

一、可在根据日志审计的统计数据辅助设置开启抗***功能的阀值,FW上每一个访问控制规则的日志也要接入，但防火墙抗网络***的能力和范围有限。

2.或者在防火墙前面架设电信级IPS，可抵御大部分网络***和拒绝服务***

3.2安全管理与实践

7.      部分设备尚未开启日志审计功能，使得潜在的***事件不具有追溯性

解决办法：

尽快部署专业日志审计服务器实现对设备日志的收集、存放和审计。

8.      互联网区没有划分安全域

解决办法：

启用核心交换机第三层功能，根据业务需求划分VLAN，并在VLAN之间实施适当的访问控制。

1. 在交换机上根据业务类型或者功能划分VLAN，可缓解业务高峰时的网络风暴的威胁，但须事先作好路由规划

2. 在各个安全域边界架设网络防火墙来防止因单一安全区域的蠕虫***的扩散。

3. 在交换机上启用IP策略设定和禁止内部访问外部陌生地址.

3.3应用和系统开发安全

9.      操做系统没有关闭默认启动的冗余服务

解决办法：

根据业务须要，只开启必须的服务，关闭冗余的服务。避免冗余服务所带来的安全隐患

10.              数据库监听器配置

解决办法：

修改监听器配置，为监听器配置口令，这样对监听器进行操做时必须先输入口令进行认证；修改监听器配置参数，将“ADMIN_RESTRICTIONS”设为“ON”，这样在监听器运行时将禁止经过命令对监听器进行任何修改，必须手动修改监听器配置文件listener.ora才能够对监听器配置进行修改。

11.              数据库当前没有启用审计

解决办法：

启用数据库的审计功能或者部署专业的数据库审计系统对数据库系统管理、安全管理、数据维护、用户登陆等事件进行审计，并由专人负责数据库的审计管理。

为了不数据库开启监听功能后带来的性能问题，能够部署数据库安全审计设备。

12.              管理服务器存在高风险漏洞

解决办法

对用于集中对应用服务器和数据库服务器进行远程管理的PC服务器安装最新的安全补丁。

1.       在网络中架设补丁分发管理系统

2.       在网络中架设漏洞扫描器，可及时了解网络中的设备的漏洞状况

3.       对麦咖啡企业级防火软件设定管理密码，防止他人更改安全设置

13.              目标系统登陆密码安全策略控制不严

解决办法

这次目标系统中应提升密码复杂度的要求，对用户密码进行检查，以提升用户密码的安全级别，如必须是数字和字母的组合等；定义可尝试输入密码的次数和对尝试输入密码采起相应安全策略，如连续输入3次错误密码，将锁定用户一小时等，防止恶意人员对用户的密码暴力破解。

14.              目标WEB系统异常输入检验机制存在缺陷

解决办法

根据实际状况对输入参数进行严格检查，包括输入字符的长度、类型，并对一些特殊字符进行过滤。在WEB服务器前面架设WEB应用防火墙能够定义非法字符的过滤策略。

15.              交换机使用默认的SNMP链接串

解决办法

设置一个具有必定复杂度的SNMP链接串。

1.       在交换机上修改。命令参考：

Router(config)#snmp-server community public/private RO

2.  在网络中架设漏洞扫描器能够检测出该漏洞

3.4加密

16.              目标系统的通讯未采起加密措施

解决办法

对目标WEB数据传输进行加密，如采用https方式。更高安全级别考虑，建议考虑使用SSL ***或HTTPS解决方案。



一.    目标系统安全加固解决办法总结


***测试发现的问题中，大多数是能够经过对现有的网络设备、安全设备、WEB数据库、WEB服务器、中间件等进行配置优化调节来解决的。可是仍然有几个问题是目前没法经过现有网络资源解决的，咱们总结了一下大概有如下三点：

         加密：能够对目标的数据传输进行加密

         应用与系统安全：目标WEB系统异常输入检验机制

         应用与系统安全：数据库安全审计


3.1       加密

目前解决目标数据传输进行加密有两种办法：

在WEB应用系统软件上面开启HTTPS传输功能。

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。它的主要做用能够分为两种：一种是创建一个信息安全通道，来保证数据传输的安全；另外一种就是确认网站的真实性。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。

可是我认为在WEB应用软件上面开启这项功能并不适用目标的员工办公系统以及为客户提供服务的系统。由于HTTPS服务器是须要对传输的数据加密和解压的，大规模的部署势必会严重影响WEB服务器的运行性能，最终致使服务器拒绝服务。


在WEB应用服务器前架设 SSL ×××加速器。


总结

     古话说的好“堡垒最容易从内部突破”这次***案例正是诠释了这句话的.