內網(wǎng)滲透在攻擊層面，其實更趨向于社工和常規(guī)漏洞檢測的結合，為了了解網(wǎng)內防護措施的設置是通過一步步的刺探和經(jīng)驗積累，有時判斷出錯，也能進入誤區(qū)。但是如果能在網(wǎng)內進行嗅探，則能事半功倍，處于一個對網(wǎng)內設置完全透明的狀態(tài)。本文將從一個注點引發(fā)的突破，到控制整個內網(wǎng)的全過程來跟大家討論，內網(wǎng)的滲透嗅探術和安全防護一些內容。

在尋找突破時，更多的是從應用服務來，而應用服務最直觀的信息采集，就是端口掃描，不同的應用，開放的服務不一樣。所以，在對網(wǎng)絡進行信息收集時，大概分為這樣兩步：

端口探測，程序指紋分析。在端口探測方面，個人喜歡用SuperScan來快速對網(wǎng)段里的應用進行判斷

在掌握端口信息后，就要對服務應用程序的指紋進行分析，主要包括版本號、已知的漏洞信息、常規(guī)配置信息、針對此應用流行的攻擊方法等。本文試著對網(wǎng)內一臺提供WEB服務的主機作為突破口，提交一個畸形的請求。

從上圖可以讀取以下信息：

系統(tǒng)類型：Fedora

應用程序：apache/2.2.4

以上只是很簡單的手工對程序指紋進行分析，當然在針對web應用的掃描器，還有很多，比較常用的wvs、appscan等。用輕量級的“wwwwscan來掃描：

由掃描的結果可以看到，與手工探測的結果是一致的。

通上面簡單的信息收集后，可以了解到網(wǎng)站架構是apache+mysql+php,直接請求URL：http://61.67.xx.116/htdocs/

發(fā)現(xiàn)此站是EcShop架構的站點，其使用的版本信息是V2.5.0。EcShop的版本是存在許多的注入點的。其中user.php文件有個注入漏洞，直接請求URL如下：

http://61.67.xx.116/htdocs/user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0×7c,password,0×7c,email),8 from ecs_admin_user/*

獲取管理員帳號和密碼，ECShop使用的是MD5加密，直接解密。原來密碼是admin，有點意料之外。訪問管理后臺，修改模版處，插入一句木馬，即可得到WEBSEHLL

在獲取WEBshell權限后，就需要對系統(tǒng)進行分析，查找Exp了。執(zhí)行命令如下：

#uname –a

返回的信息是“Linux fedora 2.6.20-1.2962.fc6 “，Linux內核是2.6.20的。

在提權時，要用到gcc進行編譯，刺探一下系統(tǒng)有沒有安裝，執(zhí)行命令，

#gcc –help

發(fā)現(xiàn)可以運行gcc,并且系統(tǒng)管理員沒對使用shell和gcc進行限制，在也是個安全缺失。

在尋找本地提權利用程序時，通常是根據(jù)系統(tǒng)版本來進行，應用程序的本地提權也是一樣的。在網(wǎng)上就有可供查詢的網(wǎng)站，比如http://www.milw0rm.com/網(wǎng)站

發(fā)現(xiàn)可利用的漏洞還真不少。

本地提權是需要個交互式的shell的。在本機監(jiān)聽端口如下：

利用WebShell自帶的反彈功能直接連接本地的12345端口并返回shell

連接成功后，就能得到一個apache用戶的shell

，但有時如果不能交互時，可以直接執(zhí)行，

# python –c ‘impotr pty;pty.spawn(/bin/sh);’

來得到交互的Shell,一般的系統(tǒng)都默認安裝python

提示成功了，可以新建個目錄用來存放提權的工具。

在Linux提權大致可分為，第三方軟件漏洞、本地信任特性、內核溢出等，比較常用的溢出率高的，當屬內核了。用Wget下載溢出源碼，用到的漏洞是Linux vmsplice Local Root Exploit，成功率蠻高的，gcc編譯，執(zhí)行。

成功獲取root權限，在選擇溢出利用程序時，有時需要進行多次測試。

什么是Sniffer，sniffer是利用截獲目的的計算機通信，通過分析截獲的數(shù)據(jù)，提取敏感信息的工具。但其通過什么方法來截獲數(shù)據(jù)呢？在此之前得解釋一下arp（Address Rrsolution Protocol）協(xié)議,即地址解析協(xié)議，它位于TCP/IP協(xié)議棧中的低層協(xié)議，負責將某個IP地址解析成對應的MAC地址。它靠維持在內存中保存的一張表來使IP得以在網(wǎng)絡上被目標機器應答。在數(shù)據(jù)傳送時，IP包里就有源IP地址、源MAC地址、目標IP地址，如果在ARP表中有相對應的MAC地點，那么根據(jù)最優(yōu)選擇法，直接訪問，如果，沒有對應的地址，就要廣播出去，在網(wǎng)內尋找對應的地址，如果對方的IP地址和發(fā)出的目標IP地址相同，那么對方會發(fā)送MAC地址給源主機，，而此時，如果攻擊者也接聽到發(fā)送的IP地址，它就會仿冒目標主機的IP地址，然后返回自己的主機的MAC地址給源主機，因為源主機發(fā)送的IP包沒有包括目標主機的MAC地址，而ARP表里面又沒有目標IP和目標MAC地址的對應表，就會接受攻擊者的MAC而選擇與其通信，所以就此產(chǎn)生了ARP欺騙。在系統(tǒng)剛啟動時，可以在DOS下輸入命令“arp -a來查看本機arp緩存表的內容。

我們來與IP192.168.0.5進行通信，通信后arp緩存表就會有這樣一條MAC地址和IP對應的記錄。

在本機多了條緩存中的IP和MAC的對應紀錄。

Dsniff是一個著名的網(wǎng)絡嗅探工具包，其開發(fā)者是Dug Song，其開發(fā)的本意是用來揭示網(wǎng)絡通信的不安全性，方便網(wǎng)絡管理員對自己網(wǎng)絡的審計，當然也包括滲透測試，其安裝包里某此工具，充分揭示了協(xié)議的不安全性。作為一個工具集，Dsniff包括的工具大致分為四類：

一、

純粹被動地進行網(wǎng)絡活動監(jiān)視的工具，包括：dsniff、filesnarf、mailsnaf、msgsnarf、urlsnarf、webspy

二、

針對SSH和SSL的MITM攻擊“工具，包括sshmitm和webmitm

三、

發(fā)起主動欺騙的工具，包括：arpspoof、dnsspof、macof

四、

其它工具，包括tcpkill、tcpnice

Dsniff的官方下載：www.monkey.org/~dugsong/dsniff/ 這個是源碼包，解壓后可以看下README,提示需要五個軟件的支持：openssl、Berkeley_db、libnet、libpca、libnids

下載地址如下：

Berkeley_db: http://www.oracle.com/technology/software/products/berkeley-db/index.html

libpcap: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm">ftp://rpmfind.net/linux/epel/5/i386/dsniff-2.4-0.3.b1.el5.i386.rpm

ftp://rpmfind.net/linux/epel/5/i386/libnet-1.1.4-1.el5.i386.rpm

ftp://rpmfind.net/linux/epel/5/i386/libnids-1.23-1.el5.i386.rpm

系統(tǒng)一般默認都有安裝openssl、libpcap。

一、 Tar包安裝

如果下載的是源包，文件如下：openssl-0.9.7i.tar.gz、libnids-1.18.tar.gz、libpcap-0.7.2.tar.gz、libnet-1.0.2a.tar.gz、Berkeley db-4.7.25.tar.gz

a) 安裝openssl

用tar解壓軟件包手，執(zhí)行三條命令

#./config

#make

#make install

b) 安裝libpcap

#./config

#make

#make install

c) 安裝libnet

#./config

#make

#make install

d) 安裝libnids

#./config

#make

#make install

e) 安裝libnids

#./config

#make

#make install

f) 安裝Berkeley DB

#.cd build_unix

#../dist/configure

#make

#make install

g) 安裝dsniff

#./configure

#make

#make install

程序安裝好后，先查看一下網(wǎng)卡信息，然后開啟服務器IP轉發(fā)，命令如下：

# echo “1″ > /proc/sys/net/ipv4/ip_forward

先來雙向欺騙，用到arpspoof，其命令是：

#arp –t 網(wǎng)關

欺騙主機IP

arpspoof已經(jīng)開始工作了，可以用tcpdump查看一下被攻擊主機是否有數(shù)據(jù)經(jīng)過

命令如下：

#tcpdump –I eth0 host 61.67.x.115

有數(shù)據(jù)交換，說明欺騙的比較成功，然后用Dsniff開始嗅探目標主機，命令如下。

#Dsniff –c –f /etc/dsniff/dsniff.services

這個dsniff.services自然就是保存端口和服務對應關系的文件，如需要保存到文件，需加-w filename數(shù)據(jù)全是明文傳送的。所以數(shù)據(jù)分析完全能用肉眼發(fā)現(xiàn)。

從這條數(shù)據(jù)可以看到HTTP登錄和FTP登錄信息，帳號和密碼全是明文的。而經(jīng)過測試，通過FTP上傳的目錄正是WEB目錄，獲取WEBShell權限，繼續(xù)提權即可控制主機。Linux下的嗅探，其實更容易一些，在最近爆出的高危本地提權，不知道有多少臺主機淪陷呢？在攻與防的游戲里，系統(tǒng)管理員往往顯得如此的無助。