內網***案例

目錄

一.

              本次目標的環境.

1.1         內網網絡拓圖以及平臺介紹.

1.2         ***測試的目的.

     1.3    這次***目標內容和範圍.

     1.4    規避的風險.


二.         這次內網***過程.

2.1         內網突破（Socket端口轉發以及終端鏈接）.

2.2         系統口令獲取,Hash破解,管理軟件密碼破解.

2.3         社會工程學以及密碼習慣組合字典掃描收集管理信息.

2.4         內網經常使用的IPC$共享***.

     2.5    ARP探嗅以及ARP掛馬突破員工PC.

     2.6    ERP內部員工辦公系統掛馬（Internet Explorer Aurora Exploit 2010-01-17）利用.

     2.7    利用同步數據軟件進行*** .

     2.8    利用IIS可寫權限配合IIS6.0文件後綴名解析漏洞進行突破.

     2.9    利用Windows XP 2K遠程,local Exploits,溢出進行權限獲取和提高.

     3.0    以上方法配合反彈遠程控制***配合.

     3.0.1   域內的HASH注入***突破（未實現成功）


三.         目標系統安全加固解決辦法總結.

3.1    訪問控制.

3.2        電信和網絡安全.

3.3        安全管理與實踐.

3.4       應用和系統開發安全.



1.1

內網網絡拓圖以及平臺介紹

目標網絡規模爲一個三層交換環境

IP地址分佈以及業務分類

192.168.100.X-192.168.103.X 數據內部員工辦公網路

176.12.1.X-176.12.15.X 爲Web於數據庫支持網路

192.168.11.X-192.168.11.255 爲空閒網絡區域

總共分爲三個域 shjt   cyts   ccit 共467臺計算機

以上信息是在***過程當中獲得的

爲了方便我改寫了一個批處理

代碼爲

============================domain.bat=======================

@echo off

setlocal ENABLEDELAYEDEXPANSION

@FOR /F "usebackq   delims=, " %%J IN (`net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (

@echo =====domain:%%J========

@FOR /F "usebackq eol=;   delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (

@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (

@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (

@echo \\%%L      %%M

)

)

)

)

echo %0

==============================end===================================




系統類型.安裝軟件版本以及類別

Windows xp 2K以及Linux

Mssql2000 2005 Sybase IIS5.0 6.0 內網系統所有采用麥咖啡企業級個別伺服器安裝了數據同步軟件


1.2

***測試的目的

***測試一方面能夠從***者的角度，檢驗業務系統的安全防禦措施是否有效，各項安全策略是否獲得貫徹落實；另外一方面能夠講潛在的安全風險以真實事件的方式凸現出來，從而有

助於提升相關人員對安全問題的認識水平。***測試結束後，當即進行安全加固，解決測試發現的安全問題，從而有效地防止真實安全事件的發生


1.3

這次***目標內容和範圍.

這次***的爲內容爲目標數據庫服務器以及員工辦公PC..


1.4

規避的風險

這次***是在不影響目標業務工做的前提下進行測試，個別***測試手法已在本地搭建測試完成以後再應用到目標，以保證目標業務正常，（如ARP探嗅 ARP ERP辦公系統掛馬突破，其中IE0day利用測試已本地經過不會形成目標員工辦公PC崩潰或者出現異常） .



這次內網***過程

2.1

內網突破（Socket端口轉發以及終端鏈接）

經過外網web服務器222.11.22.11(192.168.22.34)(假設IP）上的Web Shell，鏈接內網ip為192.168.22.35的Mssql2005服務器, 當前帳戶權限爲Sa.（帳戶密碼經過查看Web.config獲得）Sa帳戶是Mssql的默認的最高權限帳戶因爲MSSQL服務是以SYSTEM權限運行的，而MSSQL剛巧提供了一些可以執行命令的函數加入能成功利用，會獲得一個SYSTEM權限，因此我認爲這會有很大機會讓我利用成功（如xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job  sp_addtask    xp_regread  xp_regwrite xp_readwebtask xp_makewebtask xp_regremovemultistring  sp_OACreate）因爲SQL 服務器處於硬防之下，通常在防火牆作的限制都是禁止外部鏈接內網，沒有限制由內置外的鏈接.咱們通夠Socket端口轉發來進行突破.本地監聽如圖


本地Mstsc.exe host 127.0.0.1:88

2.2系統口令獲取,Hash破解,管理軟件密碼破解

這以前替換sethc.exe爲cmd.exe程序-系統作放大鏡後門獲得一個CMD Shell爲***提供方便（在***完成以後全部的目標文件都已經恢復）經過Cmd Shell鏈接本地Ftp Server Get Hash.exe(系統口令哈希值獲取工具）VNC4密碼獲取工具GUI版到當前主機，【VNC4的密碼是保存在註冊表中的地址爲：HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 】抓取密碼以後經過FTP PUT返回本機.抓取沒有出現提示14位以上，直接經過在線的LM密碼查詢網站進行查詢如：

兩個經常使用的Hash在線破解網站

http://cracker.offensive-security.com/index.php

http://www.objectif-securite.ch/en/products.php

獲得系統當前主機管理員密碼爲ccit2006 VNC4密碼爲以下圖



2.5 運用社會工程學以及密碼習慣字典進行掃描收集管理信息

好比運用net group "domain admins" /domain net localgroup administrators這些命令找到DC管理並 破解密碼遇到這樣的域我首先想到的是如何找到技術員和運維技術的計算機，這些計算機有可能保存這這個內網衆多的敏感信息.

查看TCP以及端口鏈接信息，記錄那些IP與當前的數據庫服務器的數據庫端口進行鏈接以及其餘的服務器軟件鏈接信息而後進行進一步***.

可使用XSCAN（使用nessus nasl腳本更新X-Scan漏洞庫）或者俄羅斯商用SSS掃描器對內網作一個徹底的安全掃描

收集管理密碼.數據庫帳戶密碼,Web後臺管理密碼.,硬盤內留下的以往的各種密碼，分析管理員使用密碼的習慣以及組合方式.組合密碼字典掃描C類地址.查看IE緩存留下的Cookie信息 .驗證管理員留下的鏈接其餘終端留下的痕跡是否有效，並記錄.以便組合成針對目標網絡的字典.如發現管理留下的鏈接其餘伺服器遠程桌面的痕跡，驗證並嘗試用當前主機密碼登陸.如失敗，我留下一鍵盤記錄器，以下圖，支持ASP空間收信。



分析管理登陸日誌，以便及時獲取管理信息.或者安裝其餘內核級的鍵盤記錄器以便獲取管理使用的其餘密碼，方便***. 組合字典進行C類掃描，如圖

2.4 內網經常使用的IPC$共享***

IPC$共享***時***公司企業內網一個比較快速的途徑，（這也是企業內部員工密碼安全意識薄弱的弱點）爲了增快***速度我決定放棄手工而選用圖形界面化的工具，結合上一步驟掃描.,在上一步驟爲了不掃描器過多佔用系統資源致使當前主機不穩定的狀況，在選擇掃描模式和線程上注意調整，適應當前主機的承載能力，如圖，進行的IPC$共享以及弱口令掃描利用



在以上步驟上爲了方便我採用爲存在漏洞的機器植入反彈***

2.5    ARP探嗅以及ARP掛馬突破員工PC.

因爲目標ARP設置存在安全缺陷，致使可使用ARP探嗅和欺騙獲得敏感數據以及網頁掛馬咱們選擇的是該目標內網員工的ERP辦公系統。在此次探嗅中我選用了兩種大白鯊和cain （大白鯊截圖丟失）如圖

網頁***選擇的是2010-01-17發佈的IE漏洞EXP。成功獲取到部分員工Windows XP權限

2.6    ERP內部員工辦公系統掛馬（Internet Explorer Aurora Exploit 2010-01-17）利用

在某些時候ARP掛馬不必定生效，既然有了內部員工ERP辦公WEB的權限那我就試試最新公佈的Internet Explorer Aurora Exploit   爲了規避風險問題，我決定在本地測試Internet Explorer Aurora Exploit  的穩定性，保證代碼不形成目標員工PC電腦IE崩潰或者是程序異常（員工PC電腦的瀏覽器版本是在IPC$獲取員工權限後查看所得）如下是部分測試截圖，目前metasploit3.34已經更新了EXP。


2.7    利用同步數據軟件進行***

不少企業內網都安裝了爲數據提供同步的軟件，可是安全配置上的失誤致使***者能夠經過這個將******病毒延伸到各個角落，利用文件數據同步軟件進行***的思路就是在同步的數據或者文件中篡改或者添加能夠得到SHELL的文件如，Web asp PHP***或者其餘的補丁程序.（因爲當時的圖片已經丟失，就不作具體說明了）


2.8    利用IIS可寫權限配合IIS6.0文件後綴名解析漏洞進行突破.

在2009年初IIS6.0就被公佈出了存在文件後綴名解析漏洞，格式爲x.asp;.jpg，不少的IIS6.0可寫權限都是put到目標能夠move成Web Shell的時候出現失敗的問題，我細心測試後發現能夠結合這兩個雞肋作點文章。那就是move後綴時候用x.asp;.jpg來實現.如圖。IIS權限和安全配置失誤一直是不少粗枝大葉的管理容易犯的問題

成功獲得Web Shell 而後經過查看網站數據庫配置信息來繼續收集目標帳戶密碼信息。




2.9    利用Windows XP 2K遠程,local Exploits,溢出進行權限獲取和提高

在上一步驟***獲得一Web Shell，發現本機沒有安裝麥咖啡殺毒軟件沒有安裝可供提高權限的第三方軟件，經過systeminfo查看目標補丁信息如圖

我經過Churrasco.exe來提權.這個loacl Exploits是2008-06發佈的，相比之下成功率較高

也能夠利用一些新的系統 軟件漏洞進行權限提高針對這個系統我只找到這個能夠

提高權限成功如圖


2.9    以上方法配合反彈遠程控制***配合.

以上各種***手法的目的是獲取權限，爲了方便我使用遠程控制軟件，IPC$植入反彈***MSSQL鏈接上傳植入***執行.local Exploits 提權執行反彈***都是能夠的（我不同意使用***工具，此次***式通過對方容許使用此類軟件.這些軟件會在對方系統植入檔案改變設定.完成以後已經完全清除卸載恢復）

在此次***中共獲取計算機權限52個，這其中達到了咱們***的目標，內部員工辦公PC，客戶數據庫等等，公司內部的MAIL郵箱對付一個企業的發展來講作必要的***測試並對系統，數據加固是很重要的，部分如圖：





在***測試完成以後，因此在過程當中利用到的記錄器以及工具反彈***都已經刪除，系統恢復原狀.這次***中獲取的一些商業信息已徹底刪除.

並提交報告於目標的網絡管理員。                                 
                                                                2010-01-19

                                                                 逆風飛揚

                                                             MSN:Hilven@live.cn






內網***案例(續)
目標系統的安全加固和安全問題和解決參考


3.1 訪問控制

1.      防火牆訪問控制策略配置不完善，沒有徹底發揮邊界防禦的做用，內網數據存在泄露到外網的可能。

解決辦法：

根據業務和安全需求調整訪問控制策略，去掉冗餘的規則，作到最小化原則。如細化防火牆對應用服務區域的訪問控制策略等。

2.      沒有修改網絡設備的默認口令，可能形成非受權人員的訪問。

解決辦法：

設置一個足夠複雜的強口令並按期更換，同時在交換機上作訪問控制規則，對登陸設備的IP進行限制。

3.      防火牆的管理僅使用一個超級用戶。

解決辦法：

根據業務需求，從新分配用戶和權限，作到權責分明。


4.      操做系統賬號/口令策略採用默認設置

解決辦法：

增強賬號/口令策略安全配置，加強當前服務器用戶口令強度，並增強對特權用戶遠程登陸的控制和管理，使用SSH加密方式對服務器進行遠程管理，以防用戶/口令信息泄露。

員工密碼安全意識薄弱，能夠對員工進行安全培訓

5.      目標系統管理員訪問控制存在安全隱患

解決辦法：

管理員（內部員工）訪問目標系統應設定嚴格的訪問控制措施，如基於IP地址，MAC，只容許管理員（內部員工）在設定的IP地址對系統進行操做，避免因管理員（內部員工）賬戶/密碼泄漏給系統帶來的威脅。

3.1電信和網絡安全

6.      防火牆沒有啓用足夠的抗***等防禦功能

解決辦法：

啓用防火牆必要的抗***功能。

一、可在根據日誌審計的統計數據輔助設置開啓抗***功能的閥值,FW上每一個訪問控制規則的日誌也要接入，但防火牆抗網絡***的能力和範圍有限。

2.或者在防火牆前面架設電信級IPS，可抵禦大部分網絡***和拒絕服務***

3.2安全管理與實踐

7.      部分設備尚未開啓日誌審計功能，使得潛在的***事件不具有追溯性

解決辦法：

儘快部署專業日誌審計服務器實現對設備日誌的收集、存放和審計。

8.      互聯網區沒有劃分安全域

解決辦法：

啓用核心交換機第三層功能，根據業務需求劃分VLAN，並在VLAN之間實施適當的訪問控制。

1. 在交換機上根據業務類型或者功能劃分VLAN，可緩解業務高峯時的網絡風暴的威脅，但須事先作好路由規劃

2. 在各個安全域邊界架設網絡防火牆來防止因單一安全區域的蠕蟲***的擴散。

3. 在交換機上啓用IP策略設定和禁止內部訪問外部陌生地址.

3.3應用和系統開發安全

9.      操做系統沒有關閉默認啓動的冗餘服務

解決辦法：

根據業務須要，只開啓必須的服務，關閉冗餘的服務。避免冗餘服務所帶來的安全隱患

10.              數據庫監聽器配置

解決辦法：

修改監聽器配置，爲監聽器配置口令，這樣對監聽器進行操做時必須先輸入口令進行認證；修改監聽器配置參數，將「ADMIN_RESTRICTIONS」設爲「ON」，這樣在監聽器運行時將禁止經過命令對監聽器進行任何修改，必須手動修改監聽器配置文件listener.ora才能夠對監聽器配置進行修改。

11.              數據庫當前沒有啓用審計

解決辦法：

啓用數據庫的審計功能或者部署專業的數據庫審計系統對數據庫系統管理、安全管理、數據維護、用戶登陸等事件進行審計，並由專人負責數據庫的審計管理。

爲了不數據庫開啓監聽功能後帶來的性能問題，能夠部署數據庫安全審計設備。

12.              管理服務器存在高風險漏洞

解決辦法

對用於集中對應用服務器和數據庫服務器進行遠程管理的PC服務器安裝最新的安全補丁。

1.       在網絡中架設補丁分發管理系統

2.       在網絡中架設漏洞掃描器，可及時瞭解網絡中的設備的漏洞狀況

3.       對麥咖啡企業級防火軟件設定管理密碼，防止他人更改安全設置

13.              目標系統登陸密碼安全策略控制不嚴

解決辦法

這次目標系統中應提升密碼複雜度的要求，對用戶密碼進行檢查，以提升用戶密碼的安全級別，如必須是數字和字母的組合等；定義可嘗試輸入密碼的次數和對嘗試輸入密碼採起相應安全策略，如連續輸入3次錯誤密碼，將鎖定用戶一小時等，防止惡意人員對用戶的密碼暴力破解。

14.              目標WEB系統異常輸入檢驗機制存在缺陷

解決辦法

根據實際狀況對輸入參數進行嚴格檢查，包括輸入字符的長度、類型，並對一些特殊字符進行過濾。在WEB服務器前面架設WEB應用防火牆能夠定義非法字符的過濾策略。

15.              交換機使用默認的SNMP鏈接串

解決辦法

設置一個具有必定複雜度的SNMP鏈接串。

1.       在交換機上修改。命令參考：

Router(config)#snmp-server community public/private RO

2.  在網絡中架設漏洞掃描器能夠檢測出該漏洞

3.4加密

16.              目標系統的通訊未採起加密措施

解決辦法

對目標WEB數據傳輸進行加密，如採用https方式。更高安全級別考慮，建議考慮使用SSL ***或HTTPS解決方案。



一.    目標系統安全加固解決辦法總結


***測試發現的問題中，大多數是能夠經過對現有的網絡設備、安全設備、WEB數據庫、WEB服務器、中間件等進行配置優化調節來解決的。可是仍然有幾個問題是目前沒法經過現有網絡資源解決的，咱們總結了一下大概有如下三點：

         加密：能夠對目標的數據傳輸進行加密

         應用與系統安全：目標WEB系統異常輸入檢驗機制

         應用與系統安全：數據庫安全審計


3.1       加密

目前解決目標數據傳輸進行加密有兩種辦法：

在WEB應用系統軟件上面開啓HTTPS傳輸功能。

HTTPS是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。它的主要做用能夠分爲兩種：一種是創建一個信息安全通道，來保證數據傳輸的安全；另外一種就是確認網站的真實性。HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議要比http協議安全。

可是我認爲在WEB應用軟件上面開啓這項功能並不適用目標的員工辦公系統以及爲客戶提供服務的系統。由於HTTPS服務器是須要對傳輸的數據加密和解壓的，大規模的部署勢必會嚴重影響WEB服務器的運行性能，最終致使服務器拒絕服務。


在WEB應用服務器前架設 SSL ×××加速器。


總結

     古話說的好「堡壘最容易從內部突破」這次***案例正是詮釋了這句話的.