目錄
一.
本次目標的環境.
1.1 內網網絡拓圖以及平臺介紹.
1.2 ***測試的目的.
1.3 此次***目標內容和範圍.
1.4 規避的風險.
二. 此次內網***過程.
2.1 內網突破(Socket端口轉發以及終端連接).
2.2 系統口令獲取,Hash破解,管理軟件密碼破解.
2.3 社會工程學以及密碼習慣組合字典掃描收集管理信息.
2.4 內網常用的IPC$共享***.
2.5 ARP探嗅以及ARP掛馬突破員工PC.
2.6 ERP內部員工辦公系統掛馬(Internet Explorer Aurora Exploit 2010-01-17)利用.
2.7 利用同步數據軟件進行*** .
2.8 利用IIS可寫權限配合IIS6.0文件後綴名解析漏洞進行突破.
2.9 利用Windows XP 2K遠程,local Exploits,溢出進行權限獲取和提升.
3.0 以上方法配合反彈遠程控制***配合.
3.0.1 域內的HASH注入***突破(未實現成功)
三. 目標系統安全加固解決辦法總結.
3.1 訪問控制.
3.2 電信和網絡安全.
3.3 安全管理與實踐.
3.4 應用和系統開發安全.
1.1
內網網絡拓圖以及平臺介紹
目標網絡規模爲一個三層交換環境
IP地址分佈以及業務分類
192.168.100.X-192.168.103.X 數據內部員工辦公網路
176.12.1.X-176.12.15.X 爲Web於數據庫支持網路
192.168.11.X-192.168.11.255 爲空閒網絡區域
總共分爲三個域 shjt cyts ccit 共467臺計算機
以上信息是在***過程中得到的
爲了方便我改寫了一個批處理
代碼爲
============================domain.bat=======================
@echo off
setlocal ENABLEDELAYEDEXPANSION
@FOR /F "usebackq delims=, " %%J IN (`net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (
@echo =====domain:%%J========
@FOR /F "usebackq eol=; delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (
@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (
@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (
@echo \\%%L %%M
)
)
)
)
echo %0
==============================end===================================
系統類型.安裝軟件版本以及類別
Windows xp 2K以及Linux
Mssql2000 2005 Sybase IIS5.0 6.0 內網系統全部採用麥咖啡企業級個別伺服器安裝了數據同步軟件
1.2
***測試的目的
***測試一方面可以從***者的角度,檢驗業務系統的安全防護措施是否有效,各項安全策略是否得到貫徹落實;另一方面可以講潛在的安全風險以真實事件的方式凸現出來,從而有
助於提高相關人員對安全問題的認識水平。***測試結束後,立即進行安全加固,解決測試發現的安全問題,從而有效地防止真實安全事件的發生
1.3
此次***目標內容和範圍.
此次***的爲內容爲目標數據庫服務器以及員工辦公PC..
1.4
規避的風險
此次***是在不影響目標業務工作的前提下進行測試,個別***測試手法已在本地搭建測試完成之後再應用到目標,以保證目標業務正常,(如ARP探嗅 ARP ERP辦公系統掛馬突破,其中IE0day利用測試已本地通過不會造成目標員工辦公PC崩潰或者出現異常) .
此次內網***過程
2.1
內網突破(Socket端口轉發以及終端連接)
通過外網web服務器222.11.22.11(192.168.22.34)(假設IP)上的Web Shell,連接內網ip為192.168.22.35的Mssql2005服務器, 當前賬戶權限爲Sa.(賬戶密碼通過查看Web.config得到)Sa賬戶是Mssql的默認的最高權限賬戶由於MSSQL服務是以SYSTEM權限運行的,而MSSQL剛巧提供了一些能夠執行命令的函數加入能成功利用,會得到一個SYSTEM權限,所以我認爲這會有很大機會讓我利用成功(如xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job sp_addtask xp_regread xp_regwrite xp_readwebtask xp_makewebtask xp_regremovemultistring sp_OACreate)由於SQL 服務器處於硬防之下,一般在防火牆做的限制都是禁止外部連接內網,沒有限制由內置外的連接.我們通夠Socket端口轉發來進行突破.本地監聽如圖
本地Mstsc.exe host 127.0.0.1:88
2.2系統口令獲取,Hash破解,管理軟件密碼破解
這之前替換sethc.exe爲cmd.exe程序-系統做放大鏡後門得到一個CMD Shell爲***提供方便(在***完成之後所有的目標文件都已經恢復)通過Cmd Shell連接本地Ftp Server Get Hash.exe(系統口令哈希值獲取工具)VNC4密碼獲取工具GUI版到當前主機,【VNC4的密碼是保存在註冊表中的地址爲:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 】抓取密碼之後通過FTP PUT返回本機.抓取沒有出現提示14位以上,直接通過在線的LM密碼查詢網站進行查詢如:
兩個常用的Hash在線破解網站
http://cracker.offensive-security.com/index.php
http://www.objectif-securite.ch/en/products.php
得到系統當前主機管理員密碼爲ccit2006 VNC4密碼爲如下圖
2.5 運用社會工程學以及密碼習慣字典進行掃描收集管理信息
比如運用net group "domain admins" /domain net localgroup administrators這些命令找到DC管理並 破解密碼遇到這樣的域我首先想到的是如何找到技術員和運維技術的計算機,這些計算機有可能保存這這個內網衆多的敏感信息.
查看TCP以及端口連接信息,記錄那些IP與當前的數據庫服務器的數據庫端口進行連接以及其他的服務器軟件連接信息然後進行進一步***.
可以使用XSCAN(使用nessus nasl腳本更新X-Scan漏洞庫)或者俄羅斯商用SSS掃描器對內網做一個完全的安全掃描
收集管理密碼.數據庫賬戶密碼,Web後臺管理密碼.,硬盤內留下的以往的各類密碼,分析管理員使用密碼的習慣以及組合方式.組合密碼字典掃描C類地址.查看IE緩存留下的Cookie信息 .驗證管理員留下的連接其他終端留下的痕跡是否有效,並記錄.以便組合成針對目標網絡的字典.如發現管理留下的連接其他伺服器遠程桌面的痕跡,驗證並嘗試用當前主機密碼登錄.如失敗,我留下一鍵盤記錄器,如下圖,支持ASP空間收信。
分析管理登錄日誌,以便及時獲取管理信息.或者安裝其他內核級的鍵盤記錄器以便獲取管理使用的其他密碼,方便***. 組合字典進行C類掃描,如圖
2.4 內網常用的IPC$共享***
IPC$共享***時***公司企業內網一個比較快速的途徑,(這也是企業內部員工密碼安全意識薄弱的弱點)爲了增快***速度我決定放棄手工而選用圖形界面化的工具,結合上一步驟掃描.,在上一步驟爲了避免掃描器過多佔用系統資源導致當前主機不穩定的情況,在選擇掃描模式和線程上注意調整,適應當前主機的承載能力,如圖,進行的IPC$共享以及弱口令掃描利用
在以上步驟上爲了方便我採用爲存在漏洞的機器植入反彈***
2.5 ARP探嗅以及ARP掛馬突破員工PC.
由於目標ARP設置存在安全缺陷,導致可以使用ARP探嗅和欺騙得到敏感數據以及網頁掛馬我們選擇的是該目標內網員工的ERP辦公系統。在這次探嗅中我選用了兩種大白鯊和cain (大白鯊截圖丟失)如圖
網頁***選擇的是2010-01-17發佈的IE漏洞EXP。成功獲取到部分員工Windows XP權限
2.6 ERP內部員工辦公系統掛馬(Internet Explorer Aurora Exploit 2010-01-17)利用
在某些時候ARP掛馬不一定生效,既然有了內部員工ERP辦公WEB的權限那我就試試最新公佈的Internet Explorer Aurora Exploit 爲了規避風險問題,我決定在本地測試Internet Explorer Aurora Exploit 的穩定性,保證代碼不造成目標員工PC電腦IE崩潰或者是程序異常(員工PC電腦的瀏覽器版本是在IPC$獲取員工權限後查看所得)以下是部分測試截圖,目前metasploit3.34已經更新了EXP。
2.7 利用同步數據軟件進行***
很多企業內網都安裝了爲數據提供同步的軟件,但是安全配置上的失誤導致***者可以通過這個將******病毒延伸到各個角落,利用文件數據同步軟件進行***的思路就是在同步的數據或者文件中篡改或者添加可以獲得SHELL的文件如,Web asp PHP***或者其他的補丁程序.(由於當時的圖片已經丟失,就不做具體說明了)
2.8 利用IIS可寫權限配合IIS6.0文件後綴名解析漏洞進行突破.
在2009年初IIS6.0就被公佈出了存在文件後綴名解析漏洞,格式爲x.asp;.jpg,很多的IIS6.0可寫權限都是put到目標可以move成Web Shell的時候出現失敗的問題,我細心測試後發現可以結合這兩個雞肋做點文章。那就是move後綴時候用x.asp;.jpg來實現.如圖。IIS權限和安全配置失誤一直是很多粗心大意的管理容易犯的問題
成功得到Web Shell 然後通過查看網站數據庫配置信息來繼續收集目標賬戶密碼信息。
2.9 利用Windows XP 2K遠程,local Exploits,溢出進行權限獲取和提升
在上一步驟***得到一Web Shell,發現本機沒有安裝麥咖啡殺毒軟件沒有安裝可供提升權限的第三方軟件,通過systeminfo查看目標補丁信息如圖
我通過Churrasco.exe來提權.這個loacl Exploits是2008-06發佈的,相比之下成功率較高
也可以利用一些新的系統 軟件漏洞進行權限提升針對這個系統我只找到這個可以
提升權限成功如圖
2.9 以上方法配合反彈遠程控制***配合.
以上各類***手法的目的是獲取權限,爲了方便我使用遠程控制軟件,IPC$植入反彈***MSSQL連接上傳植入***執行.local Exploits 提權執行反彈***都是可以的(我不贊成使用***工具,這次***式經過對方允許使用此類軟件.這些軟件會在對方系統植入檔案改變設定.完成之後已經徹底清除卸載恢復)
在這次***中共獲取計算機權限52個,這其中達到了我們***的目標,內部員工辦公PC,客戶數據庫等等,公司內部的MAIL郵箱對付一個企業的發展來說做必要的***測試並對系統,數據加固是很重要的,部分如圖:
在***測試完成之後,所以在過程中利用到的記錄器以及工具反彈***都已經刪除,系統恢復原狀.此次***中獲取的一些商業信息已完全刪除.
並提交報告於目標的網絡管理員。
2010-01-19
逆風飛揚
MSN:[email protected]
內網***案例(續)
目標系統的安全加固和安全問題和解決參考
3.1 訪問控制
1. 防火牆訪問控制策略配置不完善,沒有完全發揮邊界防護的作用,內網數據存在泄露到外網的可能。
解決辦法:
根據業務和安全需求調整訪問控制策略,去掉冗餘的規則,做到最小化原則。如細化防火牆對應用服務區域的訪問控制策略等。
2. 沒有修改網絡設備的默認口令,可能造成非授權人員的訪問。
解決辦法:
設置一個足夠複雜的強口令並定期更換,同時在交換機上做訪問控制規則,對登錄設備的IP進行限制。
3. 防火牆的管理僅使用一個超級用戶。
解決辦法:
根據業務需求,重新分配用戶和權限,做到權責分明。
4. 操作系統帳號/口令策略採用默認設置
解決辦法:
加強帳號/口令策略安全配置,增強當前服務器用戶口令強度,並加強對特權用戶遠程登錄的控制和管理,使用SSH加密方式對服務器進行遠程管理,以防用戶/口令信息泄露。
員工密碼安全意識薄弱,可以對員工進行安全培訓
5. 目標系統管理員訪問控制存在安全隱患
解決辦法:
管理員(內部員工)訪問目標系統應設定嚴格的訪問控制措施,如基於IP地址,MAC,只允許管理員(內部員工)在設定的IP地址對系統進行操作,避免因管理員(內部員工)帳戶/密碼泄漏給系統帶來的威脅。
3.1電信和網絡安全
6. 防火牆沒有啓用足夠的抗***等防護功能
解決辦法:
啓用防火牆必要的抗***功能。
1、可在根據日誌審計的統計數據輔助設置開啓抗***功能的閥值,FW上每個訪問控制規則的日誌也要接入,但防火牆抗網絡***的能力和範圍有限。
2.或者在防火牆前面架設電信級IPS,可抵禦大部分網絡***和拒絕服務***
3.2安全管理與實踐
7. 部分設備還沒有開啓日誌審計功能,使得潛在的***事件不具備追溯性
解決辦法:
儘快部署專業日誌審計服務器實現對設備日誌的收集、存放和審計。
8. 互聯網區沒有劃分安全域
解決辦法:
啓用核心交換機第三層功能,根據業務需求劃分VLAN,並在VLAN之間實施適當的訪問控制。
1. 在交換機上根據業務類型或者功能劃分VLAN,可緩解業務高峯時的網絡風暴的威脅,但須事先做好路由規劃
2. 在各個安全域邊界架設網絡防火牆來防止因單一安全區域的蠕蟲***的擴散。
3. 在交換機上啓用IP策略設定和禁止內部訪問外部陌生地址.
3.3應用和系統開發安全
9. 操作系統沒有關閉默認啓動的冗餘服務
解決辦法:
根據業務需要,只開啓必須的服務,關閉冗餘的服務。避免冗餘服務所帶來的安全隱患
10. 數據庫監聽器配置
解決辦法:
修改監聽器配置,爲監聽器配置口令,這樣對監聽器進行操作時必須先輸入口令進行認證;修改監聽器配置參數,將“ADMIN_RESTRICTIONS”設爲“ON”,這樣在監聽器運行時將禁止通過命令對監聽器進行任何修改,必須手動修改監聽器配置文件listener.ora纔可以對監聽器配置進行修改。
11. 數據庫當前沒有啓用審計
解決辦法:
啓用數據庫的審計功能或者部署專業的數據庫審計系統對數據庫系統管理、安全管理、數據維護、用戶登錄等事件進行審計,並由專人負責數據庫的審計管理。
爲了避免數據庫開啓監聽功能後帶來的性能問題,可以部署數據庫安全審計設備。
12. 管理服務器存在高風險漏洞
解決辦法
對用於集中對應用服務器和數據庫服務器進行遠程管理的PC服務器安裝最新的安全補丁。
1. 在網絡中架設補丁分發管理系統
2. 在網絡中架設漏洞掃描器,可及時瞭解網絡中的設備的漏洞情況
3. 對麥咖啡企業級防火軟件設定管理密碼,防止他人更改安全設置
13. 目標系統登錄密碼安全策略控制不嚴
解決辦法
此次目標系統中應提高密碼複雜度的要求,對用戶密碼進行檢查,以提高用戶密碼的安全級別,如必須是數字和字母的組合等;定義可嘗試輸入密碼的次數和對嘗試輸入密碼採取相應安全策略,如連續輸入3次錯誤密碼,將鎖定用戶一小時等,防止惡意人員對用戶的密碼暴力破解。
14. 目標WEB系統異常輸入檢驗機制存在缺陷
解決辦法
根據實際情況對輸入參數進行嚴格檢查,包括輸入字符的長度、類型,並對一些特殊字符進行過濾。在WEB服務器前面架設WEB應用防火牆可以定義非法字符的過濾策略。
15. 交換機使用默認的SNMP連接串
解決辦法
設置一個具備一定複雜度的SNMP連接串。
1. 在交換機上修改。命令參考:
Router(config)#snmp-server community public/private RO
2. 在網絡中架設漏洞掃描器可以檢測出該漏洞
3.4加密
16. 目標系統的通信未採取加密措施
解決辦法
對目標WEB數據傳輸進行加密,如採用https方式。更高安全級別考慮,建議考慮使用SSL ***或HTTPS解決方案。
一. 目標系統安全加固解決辦法總結
***測試發現的問題中,大多數是可以通過對現有的網絡設備、安全設備、WEB數據庫、WEB服務器、中間件等進行配置優化調節來解決的。但是仍然有幾個問題是目前無法通過現有網絡資源解決的,我們總結了一下大概有以下三點:
加密:可以對目標的數據傳輸進行加密
應用與系統安全:目標WEB系統異常輸入檢驗機制
應用與系統安全:數據庫安全審計
3.1 加密
目前解決目標數據傳輸進行加密有兩種辦法:
在WEB應用系統軟件上面開啓HTTPS傳輸功能。
HTTPS是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。它的主要作用可以分爲兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議要比http協議安全。
但是我認爲在WEB應用軟件上面開啓這項功能並不適用目標的員工辦公系統以及爲客戶提供服務的系統。因爲HTTPS服務器是需要對傳輸的數據加密和解壓的,大規模的部署勢必會嚴重影響WEB服務器的運行性能,最終導致服務器拒絕服務。
在WEB應用服務器前架設 SSL ×××加速器。
總結
古話說的好“堡壘最容易從內部突破”此次***案例正是詮釋了這句話的.