一次针对国外目标的内网渗透案例【严禁转载】

D0000D发往论坛板块-------------------------------------------------------No2 号板块 技术文章D8888D贴子标题---------

D0000D发往论坛板块-------------------------------------------------------
No2 号板块 技术文章
D8888D贴子标题-------------------------------------------------------
一次针对国外目标的内网渗透案例【严禁转载】
D8888D主贴内容-------------------------------------------------------


最近在做一个国外的目标，花了几个星期时间，简单记录一下。为了不必要的麻烦，还是无图无真相。


目标域名：[url=http://www.xyz.com]链接标记www.xyz.com[/url] 目的：渗透整个内网 拿下域控

收集信息：
访问网站[url=http://www.xyz.com]链接标记www.xyz.com[/url]发现站点时静态的，也没有什么登陆口，服务器用的是IIS6.0。Ping出此域名ip：111.111.111.111 在ip866上面查询了下，只绑定了这一个站，看来旁注也没希望。顺便查询了一下域名Whiose信息，得到一个域名注册邮箱[url=http://www.t00ls.net/mailto:sales@xxx.net]链接标记sales@xxx.net[/url]，域名所有者，管理联系人等信息。查询了一下ip地址范围和管理机构国家、NS记录等。
整理了下信息，继续扫描了下这个网段，几乎都开了80端口，很多同样模板的网站，都是其他公司或企业的。猜想估计这是个托管服务器了，而且和内网的联系甚少。即使拿下来可能也很难渗透到内网。
然后把目标转向了邮件服务器，在网上查询了下MX记录，得到一个邮件服务器地址：mail.xyz.com,Ping出其ip为222.222.222.222，感觉和WEB服务器的ip没一点关系。扫描了一下邮件服务器所在的网段的ip，发现开80端口的ip很少，而且有几个是路由器，其中一台有snmp弱口令"public",ip为222.222.222.221。用IP Network Browser，扫描出此路由器的一些信息，得到其中管理员联系邮箱[url=http://www.t00ls.net/mailto:xxxx@xyz.com]链接标记xxxx@xyz.com[/url]。由此猜想这就是目标内网所在的外网ip段了。访问域名mail.xyz.com,地址跳转到owa.xyz.com,而且出现Exchange Web Access的登录界面。Ping出owa.xyz.com的ip为222.222.222.223。最近Exchange 2007也没有什么漏洞可用。本来想说从这个网段的其他机器入手，嗅探一下路由器密码或者邮件密码，结果此网段开了web服务器和3389端口的机器基本没几个，暂时先不走这条路。

社工邮箱：
既然找到了邮件服务器而且又是Exchange Server，那就先试试发表单钓鱼邮件社工几个用户来登录看看。回到ww.xyz.com的WEB页面，在“contact us”的页面中找到几个@xyz.com的邮件地址。瞬间拿出发匿名邮件的工具，做了一个钓鱼页面，加上表单，大概内容就是你的邮箱因什么什么原因将停止使用，请在下面的输入你的账户和密码进行验证。很不幸，发送时都显示该用户不存在，主站上公布的邮箱怎么可能不存在呢？杯具（后面经