D0000D發(fā)往論壇板塊-------------------------------------------------------No2 號板塊 技術(shù)文章D8888D貼子標(biāo)題---------

D0000D發(fā)往論壇板塊-------------------------------------------------------
No2 號板塊 技術(shù)文章
D8888D貼子標(biāo)題-------------------------------------------------------
一次針對國外目標(biāo)的內(nèi)網(wǎng)滲透案例【嚴(yán)禁轉(zhuǎn)載】
D8888D主貼內(nèi)容-------------------------------------------------------


最近在做一個國外的目標(biāo)，花了幾個星期時間，簡單記錄一下。為了不必要的麻煩，還是無圖無真相。


目標(biāo)域名：[url=http://www.xyz.com]鏈接標(biāo)記www.xyz.com[/url] 目的：滲透整個內(nèi)網(wǎng) 拿下域控

收集信息：
訪問網(wǎng)站[url=http://www.xyz.com]鏈接標(biāo)記www.xyz.com[/url]發(fā)現(xiàn)站點時靜態(tài)的，也沒有什么登陸口，服務(wù)器用的是IIS6.0。Ping出此域名ip：111.111.111.111 在ip866上面查詢了下，只綁定了這一個站，看來旁注也沒希望。順便查詢了一下域名Whiose信息，得到一個域名注冊郵箱[url=http://www.t00ls.net/mailto:sales@xxx.net]鏈接標(biāo)記sales@xxx.net[/url]，域名所有者，管理聯(lián)系人等信息。查詢了一下ip地址范圍和管理機構(gòu)國家、NS記錄等。
整理了下信息，繼續(xù)掃描了下這個網(wǎng)段，幾乎都開了80端口，很多同樣模板的網(wǎng)站，都是其他公司或企業(yè)的。猜想估計這是個托管服務(wù)器了，而且和內(nèi)網(wǎng)的聯(lián)系甚少。即使拿下來可能也很難滲透到內(nèi)網(wǎng)。
然后把目標(biāo)轉(zhuǎn)向了郵件服務(wù)器，在網(wǎng)上查詢了下MX記錄，得到一個郵件服務(wù)器地址：mail.xyz.com,Ping出其ip為222.222.222.222，感覺和WEB服務(wù)器的ip沒一點關(guān)系。掃描了一下郵件服務(wù)器所在的網(wǎng)段的ip，發(fā)現(xiàn)開80端口的ip很少，而且有幾個是路由器，其中一臺有snmp弱口令"public",ip為222.222.222.221。用IP Network Browser，掃描出此路由器的一些信息，得到其中管理員聯(lián)系郵箱[url=http://www.t00ls.net/mailto:xxxx@xyz.com]鏈接標(biāo)記xxxx@xyz.com[/url]。由此猜想這就是目標(biāo)內(nèi)網(wǎng)所在的外網(wǎng)ip段了。訪問域名mail.xyz.com,地址跳轉(zhuǎn)到owa.xyz.com,而且出現(xiàn)Exchange Web Access的登錄界面。Ping出owa.xyz.com的ip為222.222.222.223。最近Exchange 2007也沒有什么漏洞可用。本來想說從這個網(wǎng)段的其他機器入手，嗅探一下路由器密碼或者郵件密碼，結(jié)果此網(wǎng)段開了web服務(wù)器和3389端口的機器基本沒幾個，暫時先不走這條路。

社工郵箱：
既然找到了郵件服務(wù)器而且又是Exchange Server，那就先試試發(fā)表單釣魚郵件社工幾個用戶來登錄看看?；氐絯w.xyz.com的WEB頁面，在“contact us”的頁面中找到幾個@xyz.com的郵件地址。瞬間拿出發(fā)匿名郵件的工具，做了一個釣魚頁面，加上表單，大概內(nèi)容就是你的郵箱因什么什么原因?qū)⑼Ｖ故褂茫堅谙旅娴妮斎肽愕馁~戶和密碼進行驗證。很不幸，發(fā)送時都顯示該用戶不存在，主站上公布的郵箱怎么可能不存在呢？杯具（后面經(jīng)