@echo =====domain:%%J========

@FOR /F "usebackq eol=;   delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (

@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (

@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (

@echo \\%%L      %%M

)

)

)

)

echo %0

==============================end===================================

系统类型.安装软件版本以及类别

Windows xp 2K以及Linux

Mssql2000 2005 Sybase IIS5.0 6.0 内网系统全部采用麦咖啡企业级个别伺服器安装了数据同步软件

1.2

渗透测试的目的

渗透测试一方面可以从攻击者的角度，检验业务系统的安全防护措施是否有效，各项安全策略是否得到贯彻落实；另一方面可以讲潜在的安全风险以真实事件的方式凸现出来，从而有

助于提高相关人员对安全问题的认识水平。渗透测试结束后，立即进行安全加固，解决测试发现的安全问题，从而有效地防止真实安全事件的发生

1.3

此次渗透目标内容和范围.

此次渗透的为内容为目标数据库服务器以及员工办公PC..

1.4

规避的风险

此次渗透是在不影响目标业务工作的前提下进行测试，个别渗透测试手法已在本地搭建测试完成之后再应用到目标，以保证目标业务正常，（如ARP探嗅 ARP ERP办公系统挂马突破，其中IE0day利用测试已本地通过不会造成目标员工办公PC崩溃或者出现异常） .

此次内网渗透过程

2.1

 内网突破（Socket端口转发以及终端连接）

通过外網web服務器222.11.22.11(192.168.22.34)(假设IP）上的Web Shell，连接内网ip為192.168.22.35的Mssql2005服务器, 当前账户权限为Sa.（账户密码通过查看Web.config得到）Sa账户是Mssql的默认的最高权限账户由于MSSQL服务是以SYSTEM权限运行的，而MSSQL刚巧提供了一些能够执行命令的函数加入能成功利用，会得到一个SYSTEM权限，所以我认为这会有很大机会让我利用成功（如xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job  sp_addtask    xp_regread  xp_regwrite xp_readwebtask xp_makewebtask xp_regremovemultistring  sp_OACreate）由于SQL 服务器处于硬防之下，一般在防火墙做的限制都是禁止外部连接内网，没有限制由内置外的连接.我们通够Socket端口转发来进行突破.本地监听如图

本地Mstsc.exe host 127.0.0.1:88

2.2系统口令获取,Hash破解,管理软件密码破解

这之前替换sethc.exe为cmd.exe程序-系统做放大镜后门得到一个CMD Shell为渗透提供方便（在渗透完成之后所有的目标文件都已经恢复）通过Cmd Shell连接本地Ftp Server Get Hash.exe(系统口令哈希值获取工具）VNC4密码获取工具GUI版到当前主机，【VNC4的密码是保存在注册表中的地址为：HKEY_LOCAL_MACHINESOFTWARERealVNCWinVNC4password 】抓取密码之后通过FTP PUT返回本机.抓取没有出现提示14位以上，直接通过在线的LM密码查询网站进行查询如：

两个常用的Hash在线破解网站

upload/2010/3/201003191314597533.jpg\" onload=\"ResizeImage(this,520)\" />

2.5 运用社会工程学以及密码习惯字典进行扫描收集管理信息

比如运用net group "domain admins" /domain net localgroup administrators这些命令找到DC管理并 破解密码遇到这样的域我首先想到的是如何找到技术员和运维技术的计算机，这些计算机有可能保存这这个内网众多的敏感信息.

查看TCP以及端口连接信息，记录那些IP与当前的数据库服务器的数据库端口进行连接以及其他的服务器软件连接信息然后进行进一步渗透.

可以使用XSCAN（使用nessus nasl脚本更新X-Scan漏洞库）或者俄罗斯商用SSS扫描器对内网做一个完全的安全扫描

收集管理密码.数据库账户密码,Web后台管理密码.,硬盘内留下的以往的各类密码，分析管理员使用密码的习惯以及组合方式.组合密码字典扫描C类地址.查看IE缓存留下的Cookie信息 .验证管理员留下的连接其他终端留下的痕迹是否有效，并记录.以便组合成针对目标网络的字典.如发现管理留下的连接其他伺服器远程桌面的痕迹，验证并尝试用当前主机密码登录.如失败，我留下一键盘记录器，如下图，支持ASP空间收信。

 

2.4 内网常用的IPC$共享入侵

IPC$共享入侵时渗透公司企业内网一个比较快速的途径，（这也是企业内部员工密码安全意识薄弱的弱点）为了增快渗透速度我决定放弃手工而选用图形界面化的工具，结合上一步骤扫描.,在上一步骤为了避免扫描器过多占用系统资源导致当前主机不稳定的情况，在选择扫描模式和线程上注意调整，适应当前主机的承载能力，如图，进行的IPC$共享以及弱口令扫描利用

在以上步骤上为了方便我采用为存在漏洞的机器植入反弹木马

 2.5    ARP探嗅以及ARP挂马突破员工PC.

由于目标ARP设置存在安全缺陷，导致可以使用ARP探嗅和欺骗得到敏感数据以及网页挂马我们选择的是该目标内网员工的ERP办公系统。在这次探嗅中我选用了两种大白鲨和cain （大白鲨截图丢失）如图

网页木马选择的是