【Kali系列】Kali系列教程开坑首贴——如何拿下一个学校的全部设备

前言：
其实拿下一个学校这种事情对于我来说并不是很困难（特别是我所渗透的安全系数不高的内网），但是，谁没事会去搞这么一个大新闻，要是玩脱了岂不是引火上身？搞不好会被学校批判一番，所以事情确实有个起因，大概是两个星期前，大使我的弟弟跑到高中部来请教我问题，问我宇宙中是不是全部东西都是不运动的，我当时就嘲笑了他一番，不运动不就是绝对零度了？问是谁告诉他的，他也没犹豫，直接和我说是他们的物理老师，我估摸着是老师口误，但是我万万没想到，我弟弟去找老师辩论，依然被老师否定了，我当时就火了，这能算物理老师？连我都不如，内网渗透他的主机一看，发现了一些我从未见过的东西（我是电脑管理），接着，就开始了我的渗透之旅（本文仅仅提供思路，详细细节以后会慢慢讲到，如果实在不习惯，当成小说也是不错的）


开始：
内网渗透，可以应用在我们学校的方法，目测只有两种，1.网站渗透法（官网自带内网登录） 2.校园内渗透法（利用电脑或者WiFi），为了方便写这个贴子，我特意将两种都试了一遍，结果对比出来的结果非常明显，后者（Kali主渗透，Windows辅渗透）比前者（Windows主渗透，Kali辅渗透）要快得多，不过这也在我意料之内，毕竟Kali的功能实在是太强大，由于时间问题，今天会先更新部分网站渗透法，假期争取一次性更完
学校网站自带内网入口，这确实是致命的漏洞，毕竟你方便教师的同时，也为那些图谋不轨的人提供了便利途径，一旦网站被渗透，带给整个校园的可能是严重的灾难，我们学校的官网，SQL注入+留言板XSS，所以这个渗透过程实在是没啥好讲，你上明小子或者钓Cookies都可以轻松拿下，然后我们要利用的并不是这个网站，而是管理权限，本人细细的看了一下，内网登录的账号信息会被记录在后台的某个位置上，然后一看，果然不出所料，基本所有老师的账号密码一目了然，随便选了个进去（当然，其实直接用管理也是可以的，但是我们学校的运维并不是经常会用他的账号，所以要是强登反而会弄巧成拙，权限是大，但要为后面的渗透做考虑），其实教师的权限也不低，可以支持一些基础的操作，近内网去用lansee和namp扫了一下，学校部分主机开放IPC$，可能是为了方便管理，1433或者3389这类漏洞并不多，说明学校的信息安全工作做的还是可以的，不过既然有漏洞，我们当然不能放过，去网上下载了一些IPC$利用工具，然后以学习为理由去办公室借用电脑，确认了一下，开放IPC$的基本都是教师办公室，应该是为了方便备课啥的，果断传马（那种可以内网传播 145 135端口传播的木马），这个阶段大概花了我1-2天（木马的传播需要时间，不算上U盘传播的肉鸡数量和所需时间），至于1433和3389，就更简单了，抓鸡教程百度上一找一大把，完全是傻瓜式的（不得不吐槽，这类工具让网络攻击变得更加容易）然后最后剩下40%的电脑，是目前我找不到危险漏洞的（假装看不见啦啦啦），并且这类电脑加上密码，估计是学校某些高层或者是管理的电脑吧，当然也是猜测，这种玩意我可不想去确认，要是被肛一顿就是得不偿失了，那么这种玩意怎么解决呢？那我们渗透的思路可不止一种，渗透的时候可千万不要在一棵树上吊死，用老师的话来讲，思维要活跃，要发散，要使出你的浑身解数，前面我们讲过，我们拥有很多教师的权限，而这些教师可以在主页发文章，然后可以由管理设置文章的重要程度，我就发挥了自己的政治技巧，写了一篇关于学校发展的文章，在里边挂上木马，当天晚上，就沦陷了25%，再加上其他教师传播的10%，全校就剩下5%的电脑没有沦陷了，这些电脑基本都是，有360，密码强度较高，并且经常有人管理的，看起来就是很不得了的东西，我尝试了很多种方法，无果，校长的电脑倒是有点可能，但密码太坑爹，我并没有解决，所以这样大概脱了2天，距离渗透迄今已六天。。。


转机：
就在我准备开始Kali主打渗透的时候，事情突然出现了转机，那是一个晚自习，我依然在思考着怎么解决那剩下的5%，突然同桌们的讨论激起了我的灵感，A：作业没肛完，怕是要被老师K死，怎么办？B：欺骗一下就好啦（当然不是原话233）不过这句话确实激发了我的思维，对呀，大使我还有社工没有试过，果断，向老师，同学打探有关学校和校长的信息，然后去接近校长，和他套话，知道了关于什么建校时间啊，校长生日啊，QQ啊，部分亲戚的信息啊这类的，然后用字典生成器去生成，去跑了一下，奇了，第13个就是校长密码，校名缩写加名字缩写加生日加QQ（这也告诉了我们，密码千万不要设计的像这样，稍微搞不好就GG了！），然后在校长电脑里发现了一些不得了的东西（不太方便透露）并且用它满分过了一场考试（可以，这很作弊！），剩下3%，我则是在上边发现了一个我有点陌生的漏洞——MS12-027
其实这个漏洞我也谈不上特别陌生，红盟里曾经有过相关的利用贴子，当时我并没有好好看，现在想起来确实有点后悔233（书到用时方恨少啊同学们！），于是翻回去仔细观摩了一下，新技能 get！，这个漏洞的利用方法百度上也会有，我这里稍微提一下，剩下的自己百度即可！
汇编编译如下代码
#include<WINDOWS.H>
#include<stdlib.h>
#include<stdio.h>
voidmain()
{
__asm{
moveax,0x0014017c//
moveax,dwordptr[eax]//
addeax,38h//
jmpeax//
}
}


或者如下↓
__asm
{
movesi,esp
movdwordptr[eax+offset],esi
nop
nop
Nop
Xchgeax,esp
;shellcode主体部分
nop
nop
nop
movesp,dwordptr[eax+offset]
addesp,1ch
leaebp,dwordptr[esp+1ch]
ret8
}

   就可以利用了，其实这是一个经典的栈溢出漏洞！


历时一个半周，总算搞定学校99%的电脑，剩下1%我实在是没有办法了，防护工作太好，估计是一些什么不得了的东西，在下章的Kali思路中，我们将完成100%的PC、PE渗透，各位敬请期待 （宝宝苦啊，高二太忙了）
目前进度，PC渗透：99%  PE渗透：≥15%



Kali篇


开始：
接着上面来说，虽然战绩可嘉，但我们并没有将整个学校全部GetShell，这无疑是非常尴尬的事情，于是，开启了我心爱的Kali和BT5，首先我们利用NMAP扫描整个校园网的域，分析一下信息，然后接着前面说的，我拥有学校管理权限，更改页面不在话下，于是，利用Metasploit写一个Shell，将他插入学校网站首页，这是一个非常强大的方法，理论上来说只要做了映射，不仅局域网内，连外网都能GetShell，当然这还不是最绝的，我们用阿帕奇配合ettercap，DNS欺骗，将主机访问的网页全部指向学校首页，几乎瞬间秒杀超过96%的PC端，接着Windows打辅助，制作一个病毒类型的下载者，页面同样指向学校首页，借此巩固我们的控制，接着我去查看了一下，学校大部分主机的IE都是7、8版本，大多数系统是XP和Win7，果断CSS递归调用内存损坏漏洞和极光漏洞，秒杀剩下3%，然后在Windos篇中我们提到过，剩下1%根本不知道是什么鬼东西，我们先挂代理，然后waf探测防火墙，并且了解了一下主机详细信息，哎，有点厉害，回忆了一下，对了，咱们可以psnuffle 来GetShell，试了一下，果断成功，然后Ndproxy内核提权，成功，依葫芦画瓢，1%也被拿下了，我一看，我去，果然了不得，什么校园广播主机都在里边，然后我去广播室顺了本IP网络广播系统的操作手册，准备搞个大新闻，现在咱们只剩下移动设备了，嘿嘿
PC渗透：100%  PE渗透：0%

你这个帖子啊，一颗赛艇

不要总想着搞个大新闻，好把学校批判一番= =

熟悉的套路啊，我班主任的电脑有时候会放在班里给同学画板报用，于是我就弄到了校园网的登录账号和密码，用X-scan一扫全是漏洞。。。。

厉害了，居然跟我作死很相似

搞事情抓住怕是要被打死滑稽

搞事情抓住等着处分吧

厉害了

（仰望）我没这个胆子

   进来看看，哈哈哈。