在網(wǎng)絡(luò)空間中，大部分的安全問(wèn)題都源自內(nèi)網(wǎng)。事實(shí)上，黑客們一般談?wù)摰臐B透都是指內(nèi)網(wǎng)的滲透（包括外網(wǎng)等公開(kāi)的網(wǎng)絡(luò)空間），即黑客在獲取目標(biāo)網(wǎng)站的webshell并進(jìn)入內(nèi)網(wǎng)以后，就可通過(guò)內(nèi)網(wǎng)滲透工具不斷提升自己權(quán)限，以達(dá)到控制整個(gè)內(nèi)網(wǎng)的目的。

1、流光

流光是一款功能十分強(qiáng)大的，對(duì)POP3、IMAP、FTP、HTTP、Proxy、Mssql、SMTP及IPC$等進(jìn)行安全掃描的工具，為小榕軟件實(shí)驗(yàn)室所開(kāi)發(fā)。流光一般用來(lái)對(duì)系統(tǒng)主機(jī)的弱口令進(jìn)行掃描，在內(nèi)網(wǎng)的滲透測(cè)試中十分重要，如圖1所示。

圖1  流光

2、lcx

lcx是十分著名的內(nèi)網(wǎng)端口轉(zhuǎn)發(fā)工具。lcx是當(dāng)年內(nèi)網(wǎng)滲透與提權(quán)最流行的黑客工具之一，一般用于將內(nèi)網(wǎng)主機(jī)開(kāi)放的非對(duì)外端口映射（轉(zhuǎn)發(fā)）到具有公網(wǎng)IP地址的外網(wǎng)主機(jī)的任意端口上。lcx進(jìn)行端口轉(zhuǎn)發(fā)的原理就是使不同端口形成一個(gè)回路，其常用于外網(wǎng)連接內(nèi)網(wǎng)的3389（或者22）端口。例如一旦Web服務(wù)器的遠(yuǎn)程桌面3389（或者22）端口對(duì)外網(wǎng)關(guān)閉，首先想到的便是使用lcx來(lái)進(jìn)行端口轉(zhuǎn)發(fā)，其大致流程是先進(jìn)入webshell并上傳cmd工具與lcx工具，然后在cmd工具下使用lcx工具來(lái)將內(nèi)網(wǎng)端口轉(zhuǎn)發(fā)至外網(wǎng)IP地址，最后通過(guò)mstsc（或者PuTTY）遠(yuǎn)程登錄。lcx工具如圖2所示。

圖2  lcx

3、nc

nc指netcat，一般用作數(shù)據(jù)包監(jiān)聽(tīng)工具。nc可以通過(guò)使用TCP或者UDP的網(wǎng)絡(luò)連接來(lái)讀寫(xiě)數(shù)據(jù)。因此，nc被黑客打造成一個(gè)穩(wěn)定的后門(mén)工具，是一個(gè)功能十分強(qiáng)大的網(wǎng)絡(luò)調(diào)試與探測(cè)工具。例如使用nc在本地計(jì)算機(jī)系統(tǒng)上的13777端口進(jìn)行數(shù)據(jù)包監(jiān)聽(tīng)，執(zhí)行命令為nc.exe -vv -lp 13777。如圖3所示。

圖3  nc

接下來(lái)，使用nc從Web服務(wù)器上反彈數(shù)據(jù)包（cmdshell）至本地計(jì)算機(jī)系統(tǒng)的13777端口上，如圖4所示。

圖4  nc

然后，本地計(jì)算機(jī)系統(tǒng)上的nc就會(huì)接收到從遠(yuǎn)程的Web服務(wù)器上反彈過(guò)來(lái)的數(shù)據(jù)包（cmdshell），如圖5所示。

圖5  nc

最后，就可以在本地計(jì)算機(jī)系統(tǒng)上對(duì)遠(yuǎn)程的Web服務(wù)器進(jìn)行提權(quán)了，如圖6所示。

圖6  nc

4、IIS寫(xiě)權(quán)限利用工具

IIS寫(xiě)權(quán)限漏洞產(chǎn)生的原因是IIS服務(wù)器配置不當(dāng)。攻擊者可以利用IIS寫(xiě)權(quán)限利用工具（IIS PUT Scanner）對(duì)IIS服務(wù)器在非授權(quán)的情況下寫(xiě)入后門(mén)。該漏洞的成因是IIS服務(wù)器開(kāi)啟了Webdav組件功能，該組件可導(dǎo)致攻擊者檢測(cè)到IIS服務(wù)器對(duì)客戶端發(fā)送的HTTP請(qǐng)求方式的支持情況。若IIS服務(wù)器支持危險(xiǎn)的請(qǐng)求方式（例如put、post及delete等），則存在漏洞。IIS寫(xiě)權(quán)限利用工具如圖7所示。

圖7  IIS寫(xiě)權(quán)限利用工具

5、LanHelper

LanHelper是Windows平臺(tái)上十分強(qiáng)大的局域網(wǎng)管理、掃描及監(jiān)控工具。LanHelper獨(dú)特的強(qiáng)力網(wǎng)絡(luò)掃描引擎可以掃描到用戶所需要的信息，使用可擴(kuò)展與開(kāi)放的XML管理掃描數(shù)據(jù)，具有遠(yuǎn)程網(wǎng)絡(luò)喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟、遠(yuǎn)程執(zhí)行及發(fā)送消息等功能。LanHelper能掃描到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)非常豐富的信息，包括計(jì)算機(jī)名稱、IP地址、物理地址、工作組名稱、用戶名稱、操作系統(tǒng)類型、服務(wù)器類型、備注、共享文件夾、隱藏共享、共享打印機(jī)、共享文件夾的屬性及共享備注等。LanHelper工具如圖8所示。

圖8  LanHelper

6、mimikatz

mimikatz是一款Windows操作系統(tǒng)（x86或者x64）下的工具。該工具具備很多功能，其中最突出的功能是直接從lsass.exe進(jìn)程里獲取Windows處于active狀態(tài)賬號(hào)的明文密碼。mimikatz的功能不僅如此，它還可提升進(jìn)程權(quán)限，注入進(jìn)程，讀取進(jìn)程內(nèi)存等。mimikatz包含了很多本地模塊，更像是一個(gè)輕量級(jí)的調(diào)試器，如圖9所示。

圖9  mimikatz

7、Quarks PwDump

Quarks PwDump是一款Windows操作系統(tǒng)（x86）下的專門(mén)用來(lái)提取登錄憑證的工具，是內(nèi)網(wǎng)很好的工具，其與工具Hashdump類似。如圖10所示。

圖10  Quarks PwDump

8、代碼泄露利用工具

在使用SVN管理本地代碼過(guò)程中，會(huì)自動(dòng)生成一個(gè)名為SVN的隱藏文件夾，其中包含重要的代碼信息。但一些開(kāi)發(fā)者在發(fā)布代碼的時(shí)候，直接復(fù)制代碼文件夾到Web服務(wù)器，這就使SVN隱藏文件夾暴露于外網(wǎng)，攻擊者可利用該漏洞下載網(wǎng)站的代碼，再?gòu)拇a里獲得數(shù)據(jù)庫(kù)的連接密碼或者通過(guò)代碼分析出新的系統(tǒng)漏洞，進(jìn)一步入侵系統(tǒng)。代碼泄露利用工具如圖11所示。

圖11  源代碼泄露利用工具

9、中間件漏洞利用工具

中間件一般指的是IIS、Apache、Nginx、Tomcat及Weblogic等一系列的Web服務(wù)器中間件。中間件存在漏洞會(huì)直接威脅到Web服務(wù)器代碼及后臺(tái)數(shù)據(jù)庫(kù)的安全。中間件直接依附于操作系統(tǒng)，它們是僅次于操作系統(tǒng)的系統(tǒng)軟件，若它們出現(xiàn)了漏洞，即為中間件漏洞。一些常用的中間件漏洞利用工具有IIS PUT Scaner、Struts中間件漏洞利用工具，分別如圖12及圖13所示。

圖12  IIS PUT Scaner

圖13  Struts 2中間件漏洞利用工具

10、Navicat

Navicat是一款遠(yuǎn)程數(shù)據(jù)庫(kù)連接管理工具，可以以單一程序同時(shí)連接到所有版本的主流數(shù)據(jù)庫(kù)并進(jìn)行管理操作。它支持的數(shù)據(jù)庫(kù)有MySQL、Oracle、PostgreSQL及SQLite等，使管理不同類型的數(shù)據(jù)庫(kù)更加方便。常見(jiàn)工具如圖14及圖15所示。

圖14  Navicat for MySQL

圖15  Navicat for SQL Server

11、PuTTY

PuTTY是一款免費(fèi)的、Windows x86操作系統(tǒng)下專門(mén)用來(lái)遠(yuǎn)程登錄telnet、ssh及rlogin等服務(wù)的客戶端工具。隨著Linux在服務(wù)器應(yīng)用的普及，Linux系統(tǒng)管理員越來(lái)越依賴于遠(yuǎn)程登錄對(duì)服務(wù)器進(jìn)行管理。而在各種遠(yuǎn)程登錄工具中，PuTTY無(wú)疑是最強(qiáng)大的工具之一，其他如xshell及securecrt等亦是非常不錯(cuò)的工具。PuTTY工具如圖16所示。

圖16  PuTTY

12、superdic

superdic（超級(jí)字典生成器）是一款十分強(qiáng)大的密碼字典生成工具。該工具采用高度優(yōu)化算法，制作字典的速度極快，使用它制作的生日字典包含了十幾種模式，讓用戶使用更方便?？偠灾?，它是一款極為不錯(cuò)的字典生成工具。superdic工具如圖17所示。

圖17  superdic

13、遠(yuǎn)控控制工具

遠(yuǎn)控控制工具一般分客戶端工具與服務(wù)器工具兩部分。我們通常將客戶端工具安裝到主控端的計(jì)算機(jī)系統(tǒng)上，將服務(wù)器工具安裝到被控端的計(jì)算機(jī)系統(tǒng)上，使用時(shí)客戶端工具向被控端計(jì)算機(jī)系統(tǒng)中的服務(wù)器端工具發(fā)出信號(hào)，建立一個(gè)特殊的遠(yuǎn)程服務(wù)，然后通過(guò)這個(gè)遠(yuǎn)程服務(wù)，使用各種遠(yuǎn)程控制功能發(fā)送遠(yuǎn)程控制命令，控制被控端計(jì)算機(jī)系統(tǒng)中的各種應(yīng)用程序的運(yùn)行，進(jìn)行被控計(jì)算機(jī)系統(tǒng)的文件管理等。例如遙控被控計(jì)算機(jī)系統(tǒng)的開(kāi)關(guān)機(jī)及在被控計(jì)算機(jī)系統(tǒng)中上傳或者下載文件等。常見(jiàn)的遠(yuǎn)程控制工具有灰鴿子、廣外女生木馬、冰河木馬、網(wǎng)絡(luò)神偷、Radmin及PcAnywhere等。

14、Metasploit

Metasploit是一款滲透測(cè)試框架，內(nèi)部集成了無(wú)限黑客工具。對(duì)于內(nèi)核提權(quán)，我們可以利用Metasploit實(shí)現(xiàn)。Metasploit里面集成了無(wú)數(shù)EXP，既有Windows系統(tǒng)的又有Linux系統(tǒng)的，甚至還有其他系統(tǒng)的，例如AIX系統(tǒng)。因此，以后若遇到內(nèi)核提權(quán)，可以在Metasploit里面實(shí)現(xiàn)，非常方便。