D0000D發(fā)往論壇板塊-------------------------------------------------------No2 號板塊 技術文章D8888D貼子標題---------

D0000D發(fā)往論壇板塊-------------------------------------------------------
No2 號板塊 技術文章
D8888D貼子標題-------------------------------------------------------
一次針對國外目標的內網滲透案例【嚴禁轉載】
D8888D主貼內容-------------------------------------------------------


最近在做一個國外的目標，花了幾個星期時間，簡單記錄一下。為了不必要的麻煩，還是無圖無真相。


目標域名：[url=http://www.xyz.com]鏈接標記www.xyz.com[/url] 目的：滲透整個內網 拿下域控

收集信息：
訪問網站[url=http://www.xyz.com]鏈接標記www.xyz.com[/url]發(fā)現(xiàn)站點時靜態(tài)的，也沒有什么登陸口，服務器用的是IIS6.0。Ping出此域名ip：111.111.111.111 在ip866上面查詢了下，只綁定了這一個站，看來旁注也沒希望。順便查詢了一下域名Whiose信息，得到一個域名注冊郵箱[url=http://www.t00ls.net/mailto:sales@xxx.net]鏈接標記sales@xxx.net[/url]，域名所有者，管理聯(lián)系人等信息。查詢了一下ip地址范圍和管理機構國家、NS記錄等。
整理了下信息，繼續(xù)掃描了下這個網段，幾乎都開了80端口，很多同樣模板的網站，都是其他公司或企業(yè)的。猜想估計這是個托管服務器了，而且和內網的聯(lián)系甚少。即使拿下來可能也很難滲透到內網。
然后把目標轉向了郵件服務器，在網上查詢了下MX記錄，得到一個郵件服務器地址：mail.xyz.com,Ping出其ip為222.222.222.222，感覺和WEB服務器的ip沒一點關系。掃描了一下郵件服務器所在的網段的ip，發(fā)現(xiàn)開80端口的ip很少，而且有幾個是路由器，其中一臺有snmp弱口令"public",ip為222.222.222.221。用IP Network Browser，掃描出此路由器的一些信息，得到其中管理員聯(lián)系郵箱[url=http://www.t00ls.net/mailto:xxxx@xyz.com]鏈接標記xxxx@xyz.com[/url]。由此猜想這就是目標內網所在的外網ip段了。訪問域名mail.xyz.com,地址跳轉到owa.xyz.com,而且出現(xiàn)Exchange Web Access的登錄界面。Ping出owa.xyz.com的ip為222.222.222.223。最近Exchange 2007也沒有什么漏洞可用。本來想說從這個網段的其他機器入手，嗅探一下路由器密碼或者郵件密碼，結果此網段開了web服務器和3389端口的機器基本沒幾個，暫時先不走這條路。

社工郵箱：
既然找到了郵件服務器而且又是Exchange Server，那就先試試發(fā)表單釣魚郵件社工幾個用戶來登錄看看?；氐絯w.xyz.com的WEB頁面，在“contact us”的頁面中找到幾個@xyz.com的郵件地址。瞬間拿出發(fā)匿名郵件的工具，做了一個釣魚頁面，加上表單，大概內容就是你的郵箱因什么什么原因將停止使用，請在下面的輸入你的賬戶和密碼進行驗證。很不幸，發(fā)送時都顯示該用戶不存在，主站上公布的郵箱怎么可能不存在呢？杯具（后面經