在网络安全的学习过程中,最大的特点就是研究和实践。本案例的内容来自一个网络安全渗透项目,在这里拿出来与大家分享。
通过本案例,读者可以了解如何使用SuperScan 3.0扫描指定单个IP地址或者IP地址范围端口开放情况,扫描端口的处理思路,以及采用跳板的原则。
本案例中用到的工具软件相对较少,需要准备如下工具和实验环境。
说明
本次渗透测试的对象是一个固定IP地址段。由于要保护客户的隐私信息,笔者只是展现了渗透中确实能够出现的场景,以及切实可行的思路,但IP地址范围等可能无法重现。
下面讲解渗透扫描和连接测试的步骤。
01 实施端口扫描
运行SuperScan 3.0,在IP地址“起始”和“终止”文本框中分别输入待扫描的IP地址,可以是一个IP地址,也可以是一个范围。在“扫描类型”设置区勾选“查询计算机名”和“显示主机响应”复选框,然后选中“列表中的端口”单选项。本次扫描是对一段IP地址进行全端口扫描,所以自定义扫描端口范围为1~65535。单击“开始”按钮,实施端口扫描,结果如图7-161所示。
注意
(1)在实际渗透过程中可以根据需要进行扫描,大范围扫描时不要全部扫描,否则耗时特别长。如果仅针对23端口,可以只扫描23端口。
(2)扫描可以在肉机上进行,需要特别注意的是SuperScan扫描软件不能自动保存扫描结果。
图7-161 对指定IP地址范围的主机实施全端口扫描
02 整理并测试端口扫描结果
如果扫描的IP地址不是特别多,很快就会在SuperScan中得到扫描结果。如图7-162所示,在本次扫描中,开放21端口的设备数量最多,开放23端口的设备仅有1台。直接选中开放23端口的服务器,然后单击右键,在弹出的快捷菜单中选择“Telnet登陆”选项。
图7-162 整理并测试端口扫描结果
03 Telnet登录
如果Telnet连接成功,则会出现如图7-163所示的要求输入密码和用户名的登录窗口。
说明
(1)在一般的服务器上,Telnet登录都是需要用户名和密码的,但在实际测试过程中我们发现,很多路由器和防火墙的密码默认为空,其用户名多为“admin”。
(2)如果碰到需要验证的情况,可以进行猜测,如果多次猜测错误则只能放弃。
图7-163 Telnet登录窗口
04 继续扫描和测试
重复上面的步骤继续进行扫描和测试,终于出现了一个我们比较熟悉的窗口,如图7-164所示,表示Telnet成功。到网上搜索了一下,发现“telecom”多为电信设备,一般为路由器。
图7-164 使用Telnet连接成功
由于路由器都提供了Telnet功能,因此可以先Telnet到路由器(或者Telnet到肉机服务器再Telnet到路由器),形成“本地→肉机→路由器→工作平台”或者“本地→路由器→肉机→工作平台”的连接线路,从而达到隐藏本地IP地址的目的,也就是搭建通常意义上的“跳板”。
01 从Telnet到跳板服务器或肉机
在telecom提示符下输入需要连接的服务器,在本例中直接输入“telnet 218. ***.***.*** 443”,连接该服务器的443端口。Telnet默认端口为23,在本例中我们对该服务器的Telnet端口进行了修改,以便隐藏。如图7-165所示,此时显示一个登录信息,该信息表明我们Telnet的服务器操作系统是Windows 2000 Server。输入用户名“Administrator”,以及该用户所对应的密码,验证成功后会出现如图7-166所示的界面。
图7-165 从路由器Telnet到肉机
图7-166 Telnet连接成功
02 验证Telnet的效果
在肉机上执行“IPconfig /all”命令可以查看其网络配置情况,如图7-167所示,表明我们通过路由器Telnet后可以在新的Telnet上执行命令。执行“netstat -n | find "443"”命令查看路由器和肉机的网络连接情况,如图7-168所示,验证了跳板的可行性。
说明
(1)理论上,在Telnet上可以建立N个连接,但在实际使用过程中,只要有5个以上就可以了。推荐线路为“本地→国(内)外肉机→路由器→国(内)外肉机→工作平台”。这样的线路一般很难追踪。
(2)以上思路适合于在DOS命令下执行攻击,也就是执行批处理攻击类型,尤其适合Linux下的攻击。
图7-167 在跳板上执行命令
图7-168 查看网络连接情况
接下来我们进行路由攻击和有关测试。
1.在路由器上执行命令
在telecom提示符下输入“?”获取帮助信息,如图7-169和图7-170所示。路由器有多条命令,根据这些提示输入命令并执行,在执行过程中总是报错,仅能显示一些简单的信息。由于笔者对直接在路由器上执行命令不太熟悉,因此未进行深入测试,熟悉路由器的读者可以自行测试。
图7-169 显示路由器的命令
图7-170 显示路由器的命令(续)
2.路由器提权
既然进入了路由器,那就看看如何进行提权。通过查询,还真找到一些有关路由器提升权限的漏洞,这些漏洞需要构建才能实现。由于本次渗透主要是针对跳板的测试,因此关于路由器渗透方面的问题留在以后研究。
笔者认为,在路由器初始设置完毕后可以关闭23端口,或者对23端口进行限制IP地址访问的操作,同时给路由器设置一个比较复杂的用户名和密码。