5 {# T8 F: y/ j! a 5 j1 f& V* s( D; z6 g5 j- v9 V
1 Z3 d8 M- D! R+ u, I - t2 I3 K( J1 W" l0 {
1 、弱口令扫描提权进服务器 # U, N, G( I" c( ]# w
# b* p$ m s/ m; B; E ) Q1 @, F# g) }- \' n$ G! l" s, V# |
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
% W' |% C% a- t- B) e
4 V1 B# I- a6 X & E% j U0 ^- X
% U, ^- r( y# y, t
L1 k/ K, Q, K' {' e0 q
' T% k5 i3 E- d3 ]0 ^. o- E8 ]! s
2 s7 `$ y, b- P) o5 L. z: Z0 b
. o* S' _% w$ d, g. h. w. i
$ `) m' R2 d- x( h) T* F
/ g" o* J* W5 L y" {7 P4 `8 b
' }/ B/ m! E3 x1 ]
5 @0 j a# f4 ^9 G/ s4 f
) V0 V* L( u9 Z% q ( \1 _% s \/ D' a
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
" v; |0 N( \2 g2 C3 W/ \/ _, P
) ^: f. n' F: m) W$ y / S* a) y. d0 Y* h1 `. W1 O; r
执行一下命令看看
* M: v6 B# F2 w/ V! a
/ x8 r& c5 g( H x/ N' @
$ N( K# U- f! v$ w, W! i
7 K- s3 ^# H. F- ?1 @! T5 A
) Y' M$ I. K# \4 T
0 c- Z; g$ \$ x, _9 B' O* f
2 C; e1 y% E3 {* @! f" h, X: g4 b. ] # B; J1 M% q* m1 X* l8 `7 d
5 `* ^) o) F0 F1 q; D
$ \1 F% t, b, s6 I8 {4 r
k1 G8 l% i0 W! j3 z
开了 3389 ,直接加账号进去 # L# H, P# ~" t1 {3 u% l, ]* V' H: |
/ o- F0 k; U0 d8 y" a3 z
g( ]# x7 S$ H1 d+ B5 U
, R7 Y( i; |% C/ N ! o4 y. M1 n, I
# C% Q9 i6 U ]3 U$ C
9 t! U+ {! N* u4 Q/ }5 |
; q. n" d# K. m$ ]6 j 2 b n' `+ A6 z- }# B l a2 l
F7 I4 ], A) d2 g$ @2 {" x" y; w
3 Y' t# n( R' v8 {' J1 f( X 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
/ N' E4 G/ A% i
4 e& }" ^& Z+ l& ` f) r- F
3 f2 u G) n& c3 ]
6 b2 A1 c, Q& |, n6 y, C ) l* \5 e& F( J( I- |
7 G0 a& g5 ^( D- c- M5 q7 J
$ `) ?, G1 v# J6 O. G P) V
9 d( P7 e/ i# Y2 g8 G - o" u# M# Z J0 c
0 a/ x& ^8 v W 8 T) N+ x' k6 e3 l& B
直接加个后门, 8 L7 J3 J8 n/ x7 [# i9 k
: o- v% G; X' I6 N ! \7 q! v- I# |' L
* ?% c; S$ _9 L; p/ G/ u
2 U1 w7 ?# _. F! r # q! X N; D1 j# \$ S
& m! D# p2 |, d2 q" V+ M" `6 \
A9 x, ~4 q/ g9 \7 u4 \% n5 v0 R9 W * z6 E4 [/ I5 z6 K" P
# @5 ?9 ~# O" p# L8 H. e/ L
3 i6 E4 s9 N5 k7 V& u
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 # Q4 y5 Z3 u) [% f1 `9 j& S
# y' ^0 K& G8 `
" j1 @, j+ i: N& A% G0 t
2 、域环境下渗透 搞定域内全部机器 0 y" X1 P( ]( o" z
, D0 Q1 h8 q Z, z! x# r - ~. E5 W8 z% x9 A. H) K$ s
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 + s/ P8 j: K% D/ @- ]
. f: \" W9 {& i1 e) K. L
3 J$ w* X$ [4 u0 d7 y4 d$ [2 e' o! @
2 Z' D0 g; a* S# S
- f i" E% _6 d" d ( Q/ {1 C! y" X# G9 F* Y7 \# I" V4 E
; F. i' Q$ j% u9 ?' ~ B3 v 6 a* K# j3 r! @( P7 r
' P0 Y# I: J# I' m' \
# t- q( R5 J% u( p5 G D1 p6 Y2 [2 ` l# x3 [) O2 P& T5 a
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
( I% C- p# ?0 p' W
2 N$ k$ M, {! @( w4 z
2 @' b% h2 K$ g" o3 m6 x
- V" @& K! D7 _& g8 r 1 n& O( Y! h+ X! G+ Z
. c' Q) U% L9 ~; d8 S. F
$ f2 Y* z! t$ r2 \# t, j* C
8 U( {- ?' I2 g; g9 j2 A7 C
0 w3 k/ j3 e$ S+ L6 j
+ h& O) _3 k' t4 {% F- |
2 M# D# [/ @/ ` x( X- T$ ]/ U+ l 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
' t, a7 M& [8 F3 n, e, f' m
* i( A1 D/ J+ n3 x; n5 |
" [2 j# {* h2 ?
5 a# j: W% C# k1 F5 i
1 Y- F4 i2 N7 I9 E 2 e4 H! R: z0 z9 ]
( v: O& I8 h% a& E/ o. U / |/ e: B2 q9 w+ ]7 S2 F" v/ n- e! l2 \
( v" d& _/ u5 ^2 | t/ w$ t& g& t# e
/ I# `, A6 t% s& R5 \; I
1 G3 q. M" V) J/ c/ d8 k 利用 cluster 这个用户我们远程登录一下域服务器如图:
/ y: D3 b3 y u4 s: q+ G
, C- u% h; [, Z) H: p% f3 }& Z
/ @, @3 B/ {* D9 E# i+ B4 Z! p
8 h) X$ u3 \/ i5 k
6 J, b6 v# g H! m/ C - y, f4 w9 `% J& r+ `1 H
8 Y* z* i" i: {
8 z s( [$ c2 a7 J7 u" c. s& T/ P0 R
" g' P& \9 L L) \. i
- K7 \( A7 k( f7 ~1 i
6 \2 L1 y/ P! k1 f& F% I7 y a' h" C 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
* l% T7 M* ]9 F4 W. j
1 k; L$ @4 B6 q
$ j: O9 L1 B) l1 V
8 _$ E- E( G: j" V- I " X0 h1 G9 S7 w$ Q
. A0 W. B8 m8 S9 N# I( o5 p& I, {
# Q8 G: ]4 S& L5 v" v
+ q, H X! E6 h4 \7 A7 Y
6 Y0 z2 }& J( X
& U4 F: |+ r$ l2 |+ y4 v 6 k/ \8 O+ F' b5 [* T5 e0 @
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
+ C. Q6 y0 {5 m' ^, }* i
6 [1 }5 ]# T+ \" n+ u2 p5 @
- g: F& |- K; Y7 K& V1 } k 3 H+ Y4 z- C2 z9 T
, Y, i. }4 N0 G% m$ k. ]/ l
' ~; ]5 O* m. ]& T* T2 n" N+ H5 S 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
2 I0 R" W1 y& Y& F6 c- I W) q h
# X% i; {, l/ |4 d+ _$ B , G/ B2 `5 ]+ _1 P1 k1 a
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 8 Y% X, a4 | w; n1 z Q0 N% s! T
1 y: F( U' Y: w. ~2 ]- c
* |# y0 `5 p7 W' N1 x8 f: K, ^
0 _+ v! F9 y4 v- Z$ R 2 }$ O' q( _) w$ A( z
h* B* H( R% u) C/ c3 b: S
* d3 k4 Y! N# A5 Y& t1 B 2 D# c% I# m# i+ R9 ~
( B0 J) B5 L# U, o4 A
2 W9 V- l3 ]! A3 t6 x1 C3 i) Y
3 q2 t* ~% D* p- b7 N 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
5 D; l/ v/ f0 L5 O( W) x
1 ?& p+ E, E" a' ^' g0 B: v6 L
' l; n+ I( |+ @. V+ o
8 f1 s7 B" \& v' e/ E: [% r! s
: e: [+ z( ~1 J( y& N( R3 u
" e# L: _3 ]* |7 X
8 z7 o& x( @# P8 m( T, X 7 _1 e9 c8 r1 I: ~$ x7 ?, Y! ~
& r; U' X* I t& j
5 F2 s9 z2 E7 }6 h 1 T' W" X/ }& e% T
利用 ms08067 成功溢出服务器,成功登录服务器 6 R9 d& `# @" P8 C
+ ^0 S9 G/ w+ X& n6 t# m: Z
1 ^3 ]- w# d6 P7 t& p% F
! F! ^5 G6 i3 p. U+ k
# k; w# U3 T) p8 {- v- \" J* P) I) H
; E/ N, H. R. n+ ]3 b* p
# _) F1 v* j" R6 ^ 4 ~. G6 S9 |2 K- d" k; x9 r
( T7 `% a9 L. c8 ?
6 K. Y N! L/ q1 H. d- G 1 C9 M, c( W$ ?- z
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 4 s) @1 u) ?0 @7 c4 r8 s$ G
* {7 C( r( O5 M; r9 P
5 q, p- e' u6 |1 ?) R6 X, Q3 {8 L3 ^ 这样两个域我们就全部拿下了。 ! x3 }/ b, @+ U; k5 B: Y* C6 \
* ^+ B' b6 N: g
$ f6 o' _% V9 x, g4 b 3 、通过 oa 系统入侵 进服务器
9 e, [/ c. ?& B8 M
& }! n+ E* a( X! y$ M. j9 V! F
6 @. r, n8 H0 k8 X, R' ] Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 8 V/ i6 h* S! R; h5 f) Q( Y" X) C
& j* R5 \8 A: ~
" Z/ p9 h, m1 A* w, o ' B3 h5 O6 J5 N5 d! N
/ u( G+ q5 N$ m/ O & h. H, ?. |+ x9 n
9 Q: o- e4 q- L, `$ `
5 J3 x. z4 U& X! u $ N* U/ b/ s i3 M; R
4 P3 A F- m6 S- c; {0 O! a
2 c0 g0 `& z2 @. t0 \ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
# o2 |7 @1 P* c# q' D7 p% n
4 ?) P, t* W) x% F
! _* V" L' I& O w
- d1 [% J4 q+ L; y7 G7 I& U% D
& S: l0 n6 r9 G- A
9 F8 G# M6 N" z
F9 F! z9 a' e8 w7 k0 ^0 x
6 X/ G: }( b2 S F- O
$ j9 n3 H7 z5 U$ y
# h; V9 g) B X0 g8 j / O: [4 Q: I' F( X+ d- b
填写错误标记开扫结果如下
* b; ]5 ?. ^' Q7 W1 k6 p
2 ]$ u3 \2 Y7 W" A; N6 ^: {' h6 c% p3 d & d" N7 o0 ]( W3 ]0 H+ F6 J
/ \; G" Y' |8 h; z) |/ t
8 `/ ]5 z7 _9 B$ T3 O
" A- z) @" X; }
: v4 p6 Y' b4 B0 [8 H
/ t" s5 c' o' k0 Y( [
7 b+ z- o4 M/ \6 c
9 J+ X$ m) _4 w- f& y ( h5 | H1 [6 b, V9 c
下面我们进 OA 1 G# s# e# Y6 O; n- w2 v( r* ^
+ z- T7 w+ a3 d6 W
9 D2 r: R# u3 l) |1 C' s / z) }. R# ]- X4 o$ _! h
0 q, r9 j9 |7 n, \
. [9 w! g7 o% ]! J" E
& ~( i3 n1 I0 D& y
* Z. n6 N+ A z* N3 X * E3 t: H3 W* x
1 x" ?* Z: t0 k% K2 U" R; n. s" A
+ C# m: _! U5 G) {8 R0 T3 t 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 $ u9 H+ M) K- N0 Q" @
( O& f4 ^8 L+ L- e ^) ~9 O
7 j5 W# h5 M1 U5 X! `* r " k3 o' X1 m2 O4 k' N& M! R
7 e9 M3 ?9 w* t9 o. p
2 |; Q! |# H5 J5 K, Y! C" }
$ ^7 t) C. Q9 m6 [$ p6 l - ~. U3 L, e: t5 B
; L. r2 H( w0 s! `6 {# n
* S6 ]$ x4 ~9 S
3 O" K" }1 }# f- ~ 3 }2 M8 u; j# J; z6 H
* o2 y/ r3 e# x# k# t4 L
. q# T$ L9 b! L
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 U8 g& j* U7 P! B, G6 L3 {
' i4 i( |" ^1 B4 `/ j. n
, A3 p8 u5 Q4 `3 [( \* R
4 、利用 tomcat 提权进服务器 . l8 m6 j: \7 U. b: C
# R; D+ D! q. {& v# j) _! W4 {" N ! ~- g E+ g: j' k$ o4 W) r' Z
用 nessus 扫描目标 ip 发现如图 - _. L [4 U- w: m
* c) J0 R9 i) T9 e9 E' B 2 [; \& p4 h, G- ^* Q0 z. p7 ]% o
; {! @; d5 k2 `) K % w4 H6 m, M: D- k! H
$ A2 R0 K* S/ q, U* O
4 e5 N. o1 E- ?) i 1 c* c3 y2 e' a0 v5 [
1 E- G2 N, O+ k* ]
4 [! J# {/ M- U6 X6 q 5 M# \, \8 T8 S. o+ Q C
登录如图:
' |0 ?; D6 a6 F* B
f1 a$ i1 R" h1 I+ h, E
. P8 t# u7 B; I7 z8 r* g4 e. K
/ z# w6 S8 s. _3 v. _0 N ( R' D5 {/ m7 O' }- `: u) ^' c5 x
U J; b9 ?: A, m$ z1 d4 ~6 @
/ U! T5 q. N* I9 U( ~4 `
7 V8 a3 R7 @4 n+ \: \
s& b& R* x( U6 P
$ \) p' A# w5 u0 E2 z( D% f
2 H3 C0 L3 j8 o9 }; P& B
找个上传的地方上传如图: 9 m, |0 r, y: i2 x; ~$ L4 E. Q+ J8 }
: P' \5 a s1 r! C8 ?0 s; E8 K2 s
1 z$ L" T0 B% J
) k0 c" a+ D! a& r
* q& U2 ?2 q u% u e z 7 R1 u+ e3 q7 \& v6 B8 z: d0 z$ L8 Z
! i1 P/ e- U/ O# M: Z# V * V0 q( z" S. [, j( L9 |: W8 F
$ E; @: | z$ j* j: q
. I/ B5 ]% j* S' k2 F9 k& x
2 S; T* g j% I& x7 C 然后就是同样执行命令提权,过程不在写了 9 B: ~$ I3 g8 x" }# i! D: ?
# h/ W0 x& C& ^0 O0 e ) v% \, W V* S- V- @
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 . _3 i3 x2 o' l, D
) f) y1 ^7 q" }, B8 U* `
4 V/ P7 I& X; Y0 N$ K6 x( e 首先测试 ARP 嗅探如图
- G, g9 s, q) @7 [, t6 g" g' w2 P
" N" J: h1 } L% Y 8 T9 a p! q4 n$ |2 R
* O$ n5 F4 f* q0 x- M& i+ z2 T- y$ ?
/ J! r2 B9 i! H: f9 q/ A" J 3 @. m* l% U8 p7 y( Q" x7 k
! \2 ]- d% Y3 R! }! z7 ~
/ r$ u( n& k7 S* \3 b4 Z7 @( m ( k1 N0 Y5 C% u/ E: S# \% [
1 n" G7 k3 R" B8 u( j 3 p# ?5 i" }/ @ |" K3 K7 H
测试结果如下图:
0 U4 `! h: e& v6 ]
4 g. d f7 a6 R5 T2 H; ]! ^
; I0 q4 M6 ^8 ^7 X0 W
1 k% z) e2 I7 H6 e" X
8 W7 @# h. [: b, l $ V4 s" N' i8 H# ]7 r1 R1 W
; I& j9 Y& Y# f- P6 Z1 ~
9 h6 E8 _2 E ^8 q, p" u8 Z) R: ~
) F0 A5 H" e% s0 Y% J t
1 M, A+ p7 [ k- F5 c* T( i( B
; x# Q( W, ?+ ^+ Y 哈哈嗅探到的东西少是因为这个域下才有几台机器
) {6 j3 w& l* w# V% o$ @3 a4 y0 t* l
( G& I9 B6 _: q- S: P# ^ ( }9 M) B ^* G' l# {- h- l g% F
下面我们测试 DNS 欺骗,如图: , O' l8 T0 O: u" w/ B, g
; B1 V8 G, Y5 N1 @: q% e& r
( q) I5 a/ d/ b; h" x
4 ?# ?2 g" q* \1 m 7 x# a/ D$ I# }' D
+ s1 m. b$ h9 [4 h7 _/ I s7 o0 u
]1 ]9 m# {& ]( A2 ^
; i1 {* f0 n/ L+ `8 b 8 e/ H6 t2 G% i/ n
0 C" R1 W& ^( F8 m% w; }
' g1 n( r p R8 \) @- U1 v 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 6 c# `' y j2 d& t" D" P
. D) N! k3 H9 g6 m
5 L# @' f( n3 e/ y3 e
: T/ \8 N( s; Y; ~( `
# z/ V* G; h1 S' n& \9 W6 y9 b$ S& _
7 e% V; i, D" R& Q2 v
* S8 B1 V0 C* {% X' s. T. T! f
3 |* l6 x$ Z" ?) ?7 ]
- C3 ~1 _: A4 V5 E% p0 J
+ l; p3 M5 J/ \, N" }
4 J5 w" `" P: ~0 z" w/ d7 C( L
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ; V" x$ s7 [8 d" |/ n
. o1 L( r$ h3 z9 Y; q% H3 z
' X, {# f$ ^* C
6 、成功入侵交换机 1 \7 ?; p, F1 m. C7 K% z) m
' ]5 O6 T+ J9 e* r1 N* [) D/ Q ! C \# ?% v& X
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
- n" v" L: k, h6 K d
0 t0 X& [- o* i H; q
$ S J$ Y h3 c, Q1 c- @+ v3 a3 s 我们进服务器看看,插有福吧看着面熟吧 . N2 ~+ b( v0 _0 e% D
$ H7 s% S! J% P3 m( k3 H8 F, Z6 R. q : g# l7 }% h+ f9 X7 K) H- u
( I; p' N) M" X) Q1 U
8 g8 ~1 r) r7 c2 K
1 s' z$ Y# |' B( w
6 B4 B) i* w* o- V; o
$ `6 ^7 N- c# N" B5 m) B8 d: |
1 X( J( M- J: j6 M% K9 g2 w# o# f* d% [& M
5 S: X4 T) I* h0 `$ l( Z* M8 n 7 a+ o4 Y) N& I9 J
装了思科交换机管理系统,我们继续看,有两个 管理员 8 J% v7 j( d+ B1 a
8 w* X( b# e2 q+ }
% U- a6 Z# h% k
8 F1 z- Z% |" T# \2 m* W . z* Z, z5 Q3 X, H6 \( o% {
/ ^' R' x, E F: ~4 _
8 A9 l% Q. _1 E) p' G4 G , f, D. F5 k. c2 N. u. l3 E, S( x
7 W/ T/ D# Q! y# D6 k
" J% Z! L: n2 A9 C$ `! b, O* J) w+ A
1 K4 E5 ^1 B) V% @) l6 I 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
' ?4 H/ f9 ]0 y+ x7 G' o
: f. r5 N5 a4 y! c
# g- a! Q+ {; L$ F- p [4 b9 W
% k' O5 r) ^2 X1 h- C 4 ?+ Q7 g/ k( d2 ?5 }
8 p% L9 f) Z) y, X+ ^8 l2 l( e
% u' j2 s3 C- J $ S2 N5 E* k" T7 Y7 `4 d7 b
: a {# x* Z3 r( [& Y3 X
& C5 a9 _$ @% x8 P1 X
2 `% i9 }6 S3 e 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 3 J3 x3 w7 f& d- H- E
* C2 S* i1 i; F& m/ U1 L
1 i- M" L- N; \4 s
( d% l! c8 ~+ S. v; k
5 ^ m4 \7 \8 F C* b4 D/ p( ~4 u
4 \* a+ f$ v7 k+ T; [% {
# Z* O) T* ?, M/ x
8 ?3 d* @0 {- E9 P. s0 u
3 j8 X; v- J& }2 I0 u3 Q
1 J1 x+ C/ u6 E1 A. A( g6 Q. D
点 config ,必须写好对应的 communuity string 值,如图: 8 d' q3 Z9 X# }3 s" {1 k
" A) B ] j5 T+ z : N1 |! \6 b+ H2 \# ^- y. _; J N
8 L( x0 H* w2 ]* E6 N
8 @7 ]7 U* {8 R! I) X6 G \% s
: c& k+ R$ Z* w& z& P9 s" ?: [# L* a9 U
3 X0 a# [8 P, P: Z( S% @' y# C 2 T0 ?0 I/ j' S; D# [$ E+ y3 ?2 E
7 y3 f" P; Y- q2 i
+ d+ }2 @1 m, l: ?7 F( A6 X
; V) @8 l8 n: d* O0 j h! z
远程登录看看,如图:
0 o4 ^% ^: C7 B: j3 h& U
9 `6 j$ [! O$ e+ a0 D5 ^ 5 Z9 T8 A3 Q- t4 ~) Y
, O# @- U& Q" S4 I$ H! J% {
' `) M1 ^, |& j+ ^/ s0 @4 T: @' A 0 P4 p# A6 ]( [( z3 o
7 f! u; R( m$ I) n' z2 N: M
6 L! T! n5 S) c6 e1 P % f+ j5 Q3 ~* j E) p y" L
I: K w/ G& g: W& d+ e
+ Z- i6 v: t3 V: a1 h% o7 Y0 z$ N$ V
直接进入特权模式,以此类推搞了将近 70 台交换机如图:
1 d7 O! Y4 o9 {: b. p* X! Q5 V
2 H( s, Q" X( m L6 N; b; d# W
* E' }/ Z& u1 n8 u) G) T) m9 a
" w3 @' M" ^; y0 \$ E# p : I1 R; f) v1 |; {2 \0 m
- I# O4 K" q( N
: V" E! [* e/ X/ z/ b: V & [" c" V) \) f* E; P% e+ M$ t
7 L: T9 i# ^" I, T6 Z) r5 @' G9 _. ^
, c1 @7 Q7 ?9 W: I
' [0 Y8 D8 N9 d' i
: G0 _) y5 J; b& P
3 U% S1 \6 \2 e0 e6 N" J/ K1 k, {: k
+ D0 |& v1 o! b2 i% C8 O 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
[1 ?$ r( X7 R, v" X2 M
; Z: R$ x! w$ [: M- ^- I9 w" w1 ~& R
" }) U* z f7 F( S9 x9 _ . s$ |* o/ i6 o' c
t, U& Z8 n" B0 F y2 a1 M: b. f0 Y) a7 |* Z8 I
8 h6 f b) f* Z7 Y% W( S4 G6 A E6 Q7 R( S7 w8 _
* O3 U6 A F' ~; R
7 b+ J% p& g; I/ A2 @
2 R6 y) U) w+ ~- X 确实可以读取配置文件的。
: ]$ n$ d% C1 F6 o, H
4 x- U+ K9 w1 ?+ |" V* { T
+ t/ T3 g$ E$ Z2 t 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 + A. k& C% T: j3 E
6 Y: c2 p% v) V, `# `
' @ ^& q' A: l& S, P 3 z) g1 D, [" S
: W7 w* b& m" N7 y9 r4 a
& ^5 p+ `. N# V. w% h
9 w" A6 Y1 d7 d4 \* C" z
+ m6 b0 t- `, ^3 A w/ z$ g
7 J1 @, P6 _1 C7 Y. _
' d* ^; S5 t* i* c/ y" X3 y
" a/ Z+ c6 d1 F& ~. p
9 {' w% j7 W6 d# i' X
$ U8 t" o- ^, S. O. g5 z
2 T( t7 n3 D% i
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
. t4 d# s/ e' E0 q. M% z) i
0 J- f- B7 \ \2 Q- l" ]
( p1 f6 v. d' o' O2 Q7 J/ r; T
- `# I" T: {6 a& @& U 7 k9 L5 c0 r* `, R; o* j) V: Q- N% {
6 q( @" p: S! Z. V* Y$ `; b7 I. U
8 H& L( U, f0 O
3 d+ R1 E* t1 h8 w* H- l- o , r) `2 j5 A M4 d4 c8 Q5 t% e! }. D
, x" ^5 k( O* b
% N9 ^& z' p; q/ B% P 上图千兆交换机管理系统。
7 ?" S# V+ b3 u
& [/ _6 r$ j2 X2 E/ _+ m5 n ; g( j( F# q9 \( E4 ~9 {. x! _
7 、入侵山石网关防火墙
9 L# O" r) c, o
0 I' E, v5 z$ f( ^- A4 V3 z
: g$ c6 [* s K% W. B- d 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
0 K& M9 b3 ?, i/ l z' C+ U
. V0 C9 k7 b3 a W: ^5 j/ r
, E( |- I2 B7 V# W7 V 3 T9 C/ w9 Y9 j% O0 n; n
5 d- ?; s. g3 `9 F/ Z 9 S+ R5 {6 j- T: F
- k, R6 D0 V9 S/ } . t1 j# Y, o0 n: i& [: U: K! K5 \# l
* b: J, X5 a6 G5 ]; n
, Z% ?5 m" O! I* Z# w: O4 p
9 X4 M7 Y, O: n8 Q+ C1 O% Q5 @: l
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
' b' y* r3 Y/ q# A
4 T. I T; _( f& N4 L' Y+ ~ ' _3 i, F" ~; L# r, H3 J$ q
4 I% s6 H5 u$ @7 M, I
5 ^7 r/ D- `2 W: }" n) L# k# c 1 l4 ?/ D4 h. t
3 t1 Y% q5 Q, \+ K F
: p, W/ Z$ t% J7 |7 J0 E * s1 a! b0 t! P7 u) Q: O2 O, r6 {
; M8 J. a, x: }
3 f( g ?& x7 \ 然后登陆网关如图: ** , j' T) |" G7 v( i: R
8 e& J$ S! \: N2 z( X 7 Z0 f- f! Z0 {/ M
' p% J* A! c5 N7 g5 S5 B
+ I" {9 T- t. U& M
' w* ?+ n9 f X" F; A
& C& @7 e1 u5 b8 z- O8 k* |- ]
1 _) V y, b; A: K# D
: G( ?" n4 ]$ j2 r! q& n3 x+ k0 ~
* x& k% q; }; D, ?# E
. y) Z4 {( @4 ?
- Z; {2 G a7 m. i8 c% q) l . }" p* I5 L. i3 v: ]; R; G
4 k7 ?% o, V7 \% [3 D: X/ k$ \- h$ ], v- Q
' Y2 ~; h6 c% D
* D+ s% Z) y3 M' m
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 1 i- N/ k. {! C' E" \/ g& ^( i% W/ c
$ L; u' I9 j L4 ^. h # t U% A) R& m4 q
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 X3 r6 f7 O) R. }; P
/ a$ w& R U5 `+ f' n; ]- _) L
7 n0 Y9 S2 z, B$ k 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
5 r. _' Z) P1 C
3 o$ j* x2 _; d : L4 i9 M) _% R. y- o
& g# P) G7 b% b# R$ F * P* H& H0 a& R1 x
Z6 j" L" G r9 w) L1 a4 C4 L
* }& M: i) i0 w7 u# |2 S: [
# u/ A5 y/ o/ j2 {% S: I
& V6 W& r1 q9 r$ s y( Z5 ?4 ?
( U/ K; S! }, J% t B
& y e0 _. K1 c; ~3 W3 o
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 * W. c1 O( M V# F
2 J1 y/ }# j+ I. s
% [- G6 g, |4 }9 d! S& @6 `# z
: }. h- p# G1 G# ^
$ b' { g* M% K% b5 K, b: c
. G4 U+ _7 R+ Z' L. \
$ O, C2 m% x) }* m
( O/ O9 K. N3 q2 g/ P9 g
( W, c4 K" G3 f' s, `4 ]8 @9 f