( I( r: I8 c8 Q# ~) e( ~ 4 H6 v; U% k+ ~$ `+ p' ^. I
2 \5 \$ d3 K/ K9 Y' N5 z/ X7 c
7 p5 J) y. u/ A3 \. ]9 b+ p 1 、弱口令扫描提权进服务器 7 y* \3 t O a: \9 V; j2 a
- [5 P& r. `& f7 [
; d, S9 i1 N; c4 P6 i/ ` 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : " D t$ |. y9 I; d- @, E+ o; ~
# `/ k7 b8 @ g) Y; }: F+ k: l
$ _5 R p3 S6 I5 D4 d6 {( Q $ F% P4 {6 Y, D
8 s4 P5 j, C9 c$ S; K1 d' e
6 @! U0 H* A) G5 Y
' K0 @6 y/ U+ |1 B, ?& n, q& g
$ ^) j( l& _8 T) c9 q
1 b7 I7 x- x: C( N S
* b9 C* m8 F, P, u5 D E$ ^7 E7 J ' X( m2 X. R' V* a
& X% g2 d% i3 L7 d3 ?* ]: ~9 ~
9 m# Y v+ V( P2 \7 c
% G! N! g0 L3 F/ x! i% d; K5 @
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 k' H/ t5 k5 F4 r. j" P
0 d" y H* P& @7 w# H & t5 @& W( i+ d) L8 U- b# `
执行一下命令看看 0 ]- Y5 H, n0 K: F. @
8 O7 H- H6 f U/ C2 c- A+ w ! G- o$ I7 i; |# ~
* L& T* t3 c" z8 z+ |
% v8 i- N1 |+ m4 M
o" J* K" G' [7 @# ?
. Q1 M- @( K* d % y4 v% M! @) O) A- b) s7 a. X
0 p" G) I6 c( J1 |0 W+ x5 M
# e1 c3 \4 Q/ O4 s
5 e# w2 A- C. ?, q% I
开了 3389 ,直接加账号进去 0 s+ g; b( C4 H2 Z6 y: R$ s
* }9 H* r7 O; i* { 9 E/ r3 p1 U, k( g7 S2 T9 L
/ q, |; y: N5 G1 C% B/ ^. A* B9 m 7 L6 z; t7 T& E5 G( G
. U( H; N7 p0 ~" t8 [2 b
2 Z: ^2 p! n; L8 l4 f. n; t
8 A4 ]! ~4 m: [! f
9 n/ N$ K6 d/ U
+ W3 }/ [# H8 d# {5 g' x
; ^4 E/ ]0 ?7 v% M8 R 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 & R0 M4 f3 W) L3 S1 Y. Q
1 E' J9 }% D% P/ L8 M8 @% c
. W0 V# ^: P! h$ C' s 8 Z- U, Z* b5 K( O
/ v( I8 }& h# I& h- n- q9 Q3 Q
/ K9 M4 B4 Z3 H0 _$ g! r
% w% A$ W: n9 Y0 X6 K4 f
3 j P2 M9 [& W1 B9 C
$ @) U* q. o4 H9 o6 N
3 ^% E4 L* j) |
# N9 F8 A5 o+ m" k& z1 X
直接加个后门, - j. ]) J' t! @. z3 |: T; z
- [% J# G7 ? w 3 |9 f8 h8 ^3 I0 O" l8 O
9 x% |2 s: T0 u3 }
3 [2 d- @6 v: ^/ L9 _- g+ d ! w2 y$ D+ k4 @7 t" [
( n2 w5 N+ E" z; x) F
) J4 b& T1 c1 d; u% U
/ u9 U4 y" C+ _1 g4 y- R( K- ^
* N4 k: N4 O4 S k# z6 @# d$ p8 r- U2 E
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 5 ]2 h" w' J( r" h
8 V9 B/ z" V7 q4 q/ {( [
7 z% k8 l+ z0 ^$ n7 h- ]( { 2 、域环境下渗透 搞定域内全部机器 ! Y9 {: Y! Y+ x4 y8 [+ N) C
, s! W3 h7 ^8 f4 a q. J& X( X
, ?: }& }4 M: S3 M3 M' m
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 5 h3 p" o) f; n# R4 n1 W1 d
( J+ w6 q/ n9 A J5 g9 M k+ O2 w# b5 b4 v2 W
* r/ _8 B. i- W- [' {7 a6 Z, P6 z , m7 _( B6 J* U4 ^0 E8 v
, z9 `1 i6 d9 H
& ], w0 k5 R4 O$ N" o1 i9 `5 E
" [0 F5 Y5 W2 T+ K- k& ^& F# {! I& r ) S# l% }$ _: d8 T) N* ^* ~4 Q7 G
8 ~+ M; P/ J( @; `: A3 ]
2 j8 A) L; d. N! }# b 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ( Q t4 m, p' d" C; @* X
# O3 d" A0 Y6 `2 @
' ?) S* Z. g# y* D
) r! @) L* S* j3 b! K- P" I+ L+ b! j ) \" }* @/ `5 K. ` ' ?' B1 w! E* D3 w: M( l' B$ M
+ k) g: `- W" ?' W$ [
, V; R5 _. `5 H+ N% @' C # h: \# @! H1 u3 X! n1 S6 d. ~$ U7 I
" I. q. P; i2 G' d" }* r u: ?, q , j9 V: ]4 Y1 {5 \" x
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 4 M, F: F6 B! }; ~: Y
5 f. C, i4 I' Q- O$ P
+ E4 t2 Y9 o( ]+ O7 Y' w9 u; v
6 u! J# I0 i+ g 6 l) M1 y% p; y0 N9 ]
2 E3 C' D e8 k7 ^. t* ?0 q
0 K! Y v# I {6 Z ( `& e. |) i7 u+ D
P8 m9 I) K) j& i4 P8 F& x
, D% {3 ~7 z- M* w
; O0 ~8 ]9 T3 w( V% N& H, } E, f) h 利用 cluster 这个用户我们远程登录一下域服务器如图: ! |# [3 O( o9 ^ V- j9 J6 i
6 y- U$ V& D5 Q' r& m
' j$ m6 H6 i5 O: ~8 W' s
1 H1 X# E9 B3 P* r0 A& B" E : n( k1 N. E& F0 w
7 m0 e- _6 z# A( N/ L
7 n! N# Y! f. O! p# W " W# Z: C; }) g0 d) b9 @9 n
$ v/ S( o( ]- _1 h0 |
: V1 k4 B# C: Z; g2 p+ e P
/ p5 Q* d2 D' [* O. a
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: ( `$ t E- f# E& R
7 J" s. F- H( [ I6 U$ [% n, {
" d" b- ?" y M6 v; I" e9 V3 n! ^3 S : X. ]1 D' E: d1 x4 z" P
) U U/ Z3 r0 ~2 F, Z1 u
( w5 D# Z+ e' D9 u% D8 F
/ }5 e% d# ~: W, T1 I / T+ b: _/ T# w
+ ^! J6 _0 G) U% I y
" }/ R; B% B; [9 ~' @' k5 g
9 v1 |1 o1 p2 S' ` 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 N2 I& {1 v& ~5 [$ Y$ F
9 s1 B' u' V) D- v
0 q% H( G; P6 n m
* F& I( ^- ?# U4 G: w# C
; H- `! Z4 k6 m; a
0 Q! v: e$ `4 P. z2 Z2 e! | 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 8 {+ L, h3 e/ {6 `+ m8 A. O7 K! n
' [0 K: v- k! K8 A5 y1 A
' |, H7 x, i- ~- X) ~ blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 7 }' ^' f: {; ~
( R& x+ c: z' i6 T9 `+ t, U- o
' w$ |/ X R% X, }7 o) n' O5 M* C
# ]& L+ \. l; E- f+ p% z
' o( m5 \. O8 c9 H, y
( _9 ?- i% y: G) e8 {, R
0 V. \3 p+ h( ^* c; q f
7 [6 q6 k( h# e5 S
8 \0 ]4 f, u$ f
4 a6 e5 P+ f. z3 n
5 g4 l& E) } Z1 d- F8 c1 K) L 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 0 w, e# W% j$ J! Z9 J/ A. J; W
' j( B H- `+ f# s, v1 D
4 p+ {: @& P7 K& |& M
1 h' L% o) u" F4 c& r+ h ~ 4 O5 I3 F# `' ~, n2 b# Z
3 n4 H1 e; n6 V+ `: z
- b8 D. j, w" y% I2 X! V ' t* J3 \2 T0 e! G* m
: a5 N3 T8 {. b: P1 ^1 E
& Q* ?' i4 D: ]8 N/ p* t
/ ]# t7 t0 I1 O3 t; Z' V: E 利用 ms08067 成功溢出服务器,成功登录服务器 c1 f2 e" s3 E8 y* k
1 O+ v# V; w0 I9 l
! ~/ w* J: P- T) P; \( G- G- a5 @
7 L% t# t7 E3 _0 O: \+ Q
+ D f2 W2 M" @ w$ z' u
; Z" ~4 y, A" X' G* ~
- W8 `2 b8 U) Q* c2 K 0 ^) ]% a8 T/ q- q+ ?- T: p- L
% k; `5 `4 v7 ?- y# I
L) x: O) K% C+ k6 m! w
9 p$ U" x' [+ [2 {6 C 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 4 ?3 H3 D- `3 \" R8 j; l
5 _# m0 f* m$ M. \
6 `* y7 r+ V( [' T$ }' p- u% A1 L
这样两个域我们就全部拿下了。 # H5 N, L! p8 j- E& j/ I8 n6 S5 J0 Q
( e9 G* x: P" e) P3 c& [ : o' c1 B3 s8 k
3 、通过 oa 系统入侵 进服务器 6 j8 k5 E. \( r; _2 {. ~. \! m
( N* u; g3 k5 Y0 j7 Q0 l! ~
* R" V* { i. H5 W" J) w# ~6 H Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 6 c V! j E" E8 v, {
[3 ?+ {: Y7 d1 m( Q
9 p# Y7 J3 R4 _2 R! C( Z6 B6 T
4 a7 T7 X& n6 f- b! p, W . J) ]3 R5 y! [( O4 N8 h$ y
( X6 Z$ Q2 Q. j, Q5 O* S0 _
+ Q) H" k; ?; I8 g1 y 1 K0 e; l J5 C ]: s
5 X, v. _+ w$ _0 N
% }0 _- E( `( A" L% L+ p& Y8 h
$ H) p3 }- D/ ~8 S1 L! ~ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 8 c: ]! U( s0 l- B* v
9 L/ D5 U3 W* n
- }0 T2 z8 L4 I( ?$ w# o
, b! P' j( y( s% c 3 P4 f/ g" d' U; {
6 f7 r- P9 v+ L# T7 s5 g
; T! m: B, u7 V1 Q 7 ^/ z- N) B% s9 H
2 A9 d) B8 Q+ Z+ }. j& }9 v5 C, Z
; I$ Y8 Q4 f/ T' e- G2 ?6 ~/ g! `
4 b$ p* N J6 o C
填写错误标记开扫结果如下 ; }0 o' s T. I, @- }) E
8 c Q" {9 u) ^, M& Y" n7 S$ s 0 ~: a0 r) F1 y! S+ C: p9 R) @% M
7 [' i* U& n; M8 m5 v4 j 0 I7 Z; o% H1 f4 K* H
# j( z& K9 I" [( u2 [9 a8 Q
$ B7 w4 R6 X1 q! d% a( Q1 o+ X
9 [6 A4 s3 |7 G& o3 {. n5 ]1 B 2 C% }" {9 W3 o- M, O
8 s# Y( I, T) d# v+ v1 c
: Z9 i3 j% {# E5 c3 M 下面我们进 OA : f' `4 r7 x# l
U( U/ u0 }* W
3 c+ |- l7 W6 f9 U% U; ~7 [ a Y
& A+ r! J& ^. G* K- a' f
`# w" B; O, `! S
+ `! x. i% C* M
C! j0 H$ f/ ?8 F5 F
7 P- l/ _, \% P9 i : r% d# X: ^2 n5 f
3 f# i' n; i5 B( N( D) X8 l
R" B3 ?: ]. V2 g 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 ) }- [7 Q' g" K; Z- P3 H
! I8 ^7 @- N. e, r, x5 A : _! z" ^/ m. e- K
* ]. B. ?0 F5 G/ C! {' h
4 {4 @4 _7 j X$ h5 L) A
4 ~+ k) }, g/ {/ v# A5 y3 q
2 c& v% q9 U" [; }( b
; F- o3 Q, o* \ R6 ` . K- I, ]4 A, O7 ~
; V- A8 v7 |3 E& R 2 H2 v+ U/ f' X! k7 [
: h. |- l# p+ [/ b
6 s2 v6 c7 m) W/ }1 Y m
' Y4 v( S) a* y5 ]3 ~( B9 x0 F 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 $ k- V5 v+ E" L* L5 p6 m
' Q+ r- }6 [. n, Y
% F3 p. X8 X T8 y, Q) y
4 、利用 tomcat 提权进服务器 $ g9 M+ i6 x- v8 s
$ r; j; F3 N8 j" Z! E+ R3 g- }
" _& P6 H3 f( o 用 nessus 扫描目标 ip 发现如图 - u% R+ ]$ a' h2 U
) N8 f5 x) ]! s: B9 O% ~! {; I
, j8 L0 B, }" A/ P& \2 m8 x + |' s* ?( z- B3 S. U$ ^
- m8 L- [) R$ v3 r4 Y6 ` 2 N- q: d& c. w5 _$ e/ d( B1 d3 V
, W! W, T& r+ s . t: G% g2 e1 u5 d
# ?' z7 Y, I7 s6 ]9 A o# V& L6 ]
1 e, [+ i, d, s" E' X- A+ L/ |
) ^1 g3 b* V1 b6 f 登录如图: % z5 L/ q0 O4 [; `: v, q0 s: @
' e2 N4 P( D! Q% a
# y8 _0 P) K% f r
6 L+ N U* U- d: n7 R9 s
; ~) g" T9 n7 V
/ N) d6 t. D+ a& K
- \, u& b, A9 ^2 ]% n 2 z6 M. p3 Y3 ^/ G" K' ]0 f
* {$ E1 [7 z% g, O& @
! f+ U* T1 n5 N4 I 0 Z6 b; b% I; L
找个上传的地方上传如图: 6 L" S$ g* ^- U. H/ u% p! @) v
( S0 Y9 s- ~$ q- M0 b6 u0 V , d' {4 y3 {/ Z' e
/ f6 M1 J t. y ( s3 s- Q! g; D+ r$ r
6 y3 p4 w2 a. J! [* a* I
) m) }1 ]7 W k$ l# Y 2 V! ]2 ?, `% N6 t
" a3 m8 D2 O3 @# K: r/ l
# B$ \* e' ~) `! W+ [* m
$ f& u* g$ U; [+ B; k: @5 T 然后就是同样执行命令提权,过程不在写了 9 Q2 F5 `! {9 a8 b V
. x2 D7 s% l9 n, k# o8 V+ @; n 3 P, ^4 ]& b# a* D
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 % U! ^( b9 Q; `
4 a8 A1 y* h9 i; f, ^# i
# b: G( F! L' W 首先测试 ARP 嗅探如图 $ Z( b$ N7 O6 g( [4 V& O
3 U. j+ k! V8 Z- B
. C$ Y) L2 g9 E
2 L- r; T" X2 r6 a" W8 B# y# L) N - T2 G$ Y3 Y! O# i. d+ D, g" W
3 f- _0 E" v H4 {+ _& u
) K% y# d% }6 Y% \! e
0 q; t# W7 {0 n. x9 n. ] 2 I8 g4 r' M7 m/ x
2 g8 R: ]4 B4 A
9 ?& `" A6 l$ ?7 M. j
测试结果如下图: : ?& k" o& u7 q8 `! W
8 r' t% P! Y) G
6 s6 e1 Z6 u6 z! c
$ Z9 {; w& X0 y% \7 u$ t. y / a: r5 k# A* p. q/ x1 f$ j
( K9 J( X7 R5 @* k
: E5 a \4 O. ~4 G% Q
1 F% D9 Z4 r" |0 D7 A6 Q, l, q ; H# {4 d, f6 P6 h: r& {9 |
+ U" H' [1 t8 X3 }5 e3 k- E' F+ l! G
; q- l+ b7 S: l2 W) x8 I( r
哈哈嗅探到的东西少是因为这个域下才有几台机器 9 a t* I9 C* k. m) ^
, t. A M$ K$ [/ M; N* N
( F n, T, r; O' l 下面我们测试 DNS 欺骗,如图: , q" E4 o5 j0 X
$ f- q, I- B% J) z3 z . Q, m9 p7 D) _' C+ i& N8 |
* J% G* _2 V) ~. {6 ]% v/ m4 f
6 s8 h4 c2 C. z* g* Y- ?! }5 G 1 W; g4 }& P8 v8 \6 z/ S
7 O. i4 [: y, ? q. |
" C( |7 e1 ?/ x& o1 W" Y' }$ m9 c* b7 v
- z! ~% M# K0 l& b! F7 v) d
2 {7 P. a3 J' [( r5 R8 _9 m6 J" L3 g
1 A, c5 G: C- x6 {: c/ O8 a 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: # b f; |* A5 K
6 n$ B3 C2 w, e; U5 F# J
" D d% o$ F$ s1 H* J
+ s: O* U" r$ a
- ^$ h4 g- I2 i& t* c% x' t, P
7 @, j- d+ D& l# V
O$ X; d7 M% j$ Z
$ i, e$ u0 \8 J6 P9 p 4 ?& ]' }/ t q9 K7 x# h% M
% Q3 r* S+ i) Q9 n5 `! h % }: m7 ^9 a1 A" X1 _( `: z
(注:欺骗这个过程由于我之前录制了教程,截图教程了) n( P! {/ Y6 N2 G
; q+ }+ b; C- M+ a* e4 e6 Y' Y
3 [( ]/ H0 J4 E
6 、成功入侵交换机 ) [3 k6 w; z4 R& |
3 W9 [: e' h3 B/ w 9 P( U2 p: _% S
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 0 }" g9 m4 x M; q: k
: Y* |* N% Q7 S, |6 ]1 d
0 O/ u& j" g9 D/ W6 k
我们进服务器看看,插有福吧看着面熟吧 8 u; j4 M4 x2 N% I. z2 ^3 z
7 n) r5 W0 l. |4 j
8 a8 \7 c/ @" C- {% B6 A7 a
- a, E" q: k. _/ i% r' H L3 }; v
' o6 v% S+ Q9 Z+ m* |- a$ ?
3 ?, u3 o' D1 d$ a* i6 Q6 a+ H
6 U( f) O* O: U9 C' W* P6 w ( V) H. ~" X# o4 z. u9 ^
$ v) v1 l/ B2 E$ G- E
+ T# t: T5 T# D3 l0 m7 f& B; B ) t# V9 D6 L6 \* w' I4 D
装了思科交换机管理系统,我们继续看,有两个 管理员 : R1 D1 T: k( S' ?4 ~/ M$ [
2 `2 o' t' |! H& }! X
0 X {( p6 o/ ?. w5 n9 [ $ e- K& l3 A9 |% u/ H! g1 T6 Y
% A0 t7 H% P Y h
3 Z7 q9 M4 d; |: M, n
: X B4 j6 T/ }- S* \* \ ; V! Z8 h' o$ J. a- c0 f
$ u! X% E9 D+ P/ x! |8 J
8 r2 x$ W9 O2 Z( O& H4 N, v3 |
: S- v: I) g E5 M: S 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 , J! X- s: ^& a/ X! t0 Q2 H
* ]% L; Q2 ~3 F% P7 g m1 G
9 {' m$ y% u2 I1 P n! |6 s8 X
2 v" d' Y% w: l1 N) | # |; `1 I; [; r7 b6 G# Q9 P" l* A( ^
" w |* H. p" K- @
- U0 G- r+ D W% d7 _
+ O7 D6 |; P( n. r) C t" Q. l6 M# L8 C- v
# g* m5 |. h3 ]- E% V6 m
1 V6 ?1 y9 n* K! Z$ N# L2 U 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: & m9 d8 \1 {- U% `; f
/ z: x1 N$ V/ I- i" y# J 1 _/ k2 }: q+ N2 q6 [. a" ?$ t6 n
. Z8 H" K& ^5 t& }7 q! O5 i. R 9 w) q6 A( i8 h% @ ) Y6 H2 y5 y( h! p* ^1 U3 I
0 G9 C; X3 m o! c- w4 c5 J
7 ?# S, Y: T, E5 y: Y 1 S1 ^7 Z- |: d5 [5 u& g
) k) k8 p2 O; L
! i/ o0 \8 e( N 点 config ,必须写好对应的 communuity string 值,如图: / F3 f! [3 }6 o% M
8 d; U; y3 R4 H' g/ Y$ e. q
; t. {) C- ^8 J" o' d2 [' D) i / J( j6 D9 W' y6 w1 s4 _. i
+ d. d" m- m& {7 ? 5 b8 h2 l! J. p+ n$ D
1 A, i! |. Q J5 e; q- A. W
& S2 @- b4 h! F$ ` ) R! } c% P d
5 A f) B: x$ h; s5 J+ P+ D [9 H ) \/ @6 a# x9 c* V! M! A9 U
远程登录看看,如图: ' R. {. Z9 o, X+ P8 _" q
5 _7 E M# P1 A9 {$ T
3 a3 ]9 E9 f3 q6 _' N* N# P# I 3 K0 b. b1 B. p$ I5 l+ @; L7 B, @
/ l% G: W; }8 U. k( v; t8 \
- D4 E& [0 i6 d+ z# m$ l; x
! I6 u( n* n4 U$ o 0 _! b5 r: C+ ^# F+ v8 S/ w- O: L
/ i- I2 m$ \0 z1 z& O/ O
% ]' o8 ?6 n @
. Y% H' \# I* I) I7 j 直接进入特权模式,以此类推搞了将近 70 台交换机如图: / M- ~8 e/ T/ P6 }6 S: g/ o/ l
. J5 f h3 z9 z9 A 8 X8 M& R- G; ~( t7 E9 }* u
2 o! v$ i2 Z; }& |8 E
& V! P5 e/ K; ~% e
' S0 H* j4 @ F4 n
$ S. G' w# u! ]0 q5 F J$ A4 g
' B% y' \9 W! [7 L) K
4 H8 n* u) R! i5 D' x5 I2 o
# A5 \' U7 }* i. k4 F0 `" d: W6 o( B5 x
& n3 ^& `9 l$ w- r4 l' R. E + S$ C# G2 S t* a
: m/ u: w* H y# n
7 t- B; [3 D5 o C
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
L# ^7 S& m/ F. u) v9 w
a( H) X, f* l2 x' j
! }+ \) }# m2 _6 r7 u& v" u' l
) f& q! K$ m, {: M, Z
; P% w( ]5 n: }# H! W ?
. }3 G G: u2 b
- r/ g7 L: h& o, H7 ? ! J7 ?3 P( ~$ T5 U0 s
7 J5 L6 T' \6 z1 j
3 h6 d5 |1 t! @; K' x, H
" X6 k }' A' g$ e8 s6 I 确实可以读取配置文件的。 + T$ v L* t5 ?1 h" G
: V+ l) F# G, J v
1 [6 p2 ]# v U; ]) Z2 p) r* x2 R& ^ 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 4 L' u4 E& ]- ^+ y s& k
2 r' w( _, o. W5 V. V2 n7 |
6 t1 d3 i: T8 @2 |$ H
% d C- a- ~ {: J H" l* w1 C
7 R4 s+ n* b/ `1 j8 c9 B' e
9 O& g+ q2 n4 f" z& [$ Z
" ^" X( q8 ?7 b4 p4 r. B; r 6 z" n2 h% b7 W8 r! S' e: O& p9 y
5 S. |# _$ g; \& o; H0 C
: x- f$ T; }- ^5 r5 c j
; u) Z/ H. p0 C1 v- E& v- I 4 [0 s, O* |6 m+ n/ m" y, x
* A8 t. `! C% x" f. w9 y% ?' f P
7 c5 T/ v& P3 [$ e2 V
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 1 ] o2 T4 Q2 z( m+ `% _- D
9 ]! V1 ^) q# d4 N , v$ X1 I% u1 v% P7 `0 R
k3 W* y, T0 t5 v: g j
* x3 T5 k5 S$ I5 G; i9 n ?: ~
$ c. U) A$ b P7 V, E9 J7 \8 t6 P
# e' l+ L* K& E' Z& d$ c2 t2 Q0 o3 D 4 w; ?0 g" s! d2 D. R0 b% v" H
5 P, E) Y1 f- b# p0 Z
- W0 `+ q* `* z' X2 k$ P3 D 7 Q( a7 k, ~+ d- w* |& ` ]
上图千兆交换机管理系统。 E3 h- m6 d# S4 u8 p! K* z8 `0 n
2 z6 G* }: Z. O; m$ ?5 r3 H
* ?: h. K1 j- u( A3 ^: e$ y% g
7 、入侵山石网关防火墙 + B' ~( X* x/ Y6 a
9 e" O% H$ ?6 o9 _5 l# w& U
& S+ W5 h6 x) N& Y6 b; Y5 ~ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 0 ^% B u8 G" h* ~$ E
0 g0 A- E) g+ p/ w5 X
, w" p6 F, s: L! f$ `3 _+ ]! B
; ^ V1 _3 U) ^% P2 _ % t4 r4 @; [) V) `/ y9 r; _ ' \4 W. x( O3 O2 f$ Z( L% b4 ]) r
+ V7 I1 [' l- O- A% H; n
' J9 J- V2 h- ?5 ^0 Q$ w) H ' t" e3 \4 V: g7 Z, N5 |2 N) ?& L
1 J. K& U8 A5 \0 D( x9 } ; A- F; Y/ @4 g1 |9 E& Y
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 F2 m# ~1 ^# F
9 w* }, q2 P9 Q: S
0 M2 l' d0 W9 d3 N
0 H+ W1 V$ N; I5 X1 [6 y: c' E5 [' U $ H# [3 Q5 q+ G+ U. K/ J2 z
! f6 w2 b- z7 r3 F2 ? m0 W& M
' o& P( g9 I' c0 d$ T / o* v& L2 d% I( Z5 L( X; \9 t
, R) E) X8 C& b" b6 p- N! e0 `
" y4 o; X# b* X) }, P
0 x. ]$ c. G6 I- x3 `' M6 ?) e. r" k 然后登陆网关如图: ** ! U+ O; f0 o4 B, ~6 l* {
& R1 m. n: w0 Q+ |: w% S
2 ^( W0 w. x3 X- o3 e: w
- m! _* G, J/ {' n# J
, U) ] p9 k) n" M 7 c- Y' Y% s' F8 f/ u1 q
7 c; [/ D" Z- m" y9 B2 t- F
( |* C; W' \7 e# ~ h2 Y; S; k8 X ! P' V1 ]" \! `& L
- E' g7 h' p7 ~/ _+ F! j
; b% R5 A4 {6 k# R* G
+ Z5 j9 `, ~0 N3 Z! H , Z ~+ \( k" K" L) M7 ]
" J8 x4 g) S! y+ C1 G) [, Z* T
/ ~9 I& k) d& T0 V: T. b ( z2 ^8 g" W) S4 f' r/ x
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** . O4 p2 u: u' M$ h. n/ E3 @# j
9 I) K( t; _, j" |& K* m: ~
# s, R+ D* Q$ V. \. f$ [& E. ~, b# ^
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 ! [& C. @' y. x" ]% z' a; q! O
! ^, [3 c% y f) _/ }
1 X3 U6 }4 E& v# T& F2 P w8 Q" y, s 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** : n1 o2 | O' a6 H, s, D8 L; h
$ g2 J! B; D; d- S" f 2 c7 D' i0 ` L
" e, x3 v& i4 S7 J9 w
5 d/ l0 w8 {/ z$ I* r
- [" V l: v3 K
' I/ N. E3 m* A9 I . ^# P U" ]1 W& a% G
5 f$ f. l+ ^! r1 Y" g
+ D# |' g# S) h5 F
; H8 W! B# p8 @. y 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 n+ K' ^9 d- x+ ^$ A9 N
# r% i, m8 l* ]! u& k3 Y
0 ~! X! m r0 h
5 z! U6 v, ?+ I- z! C6 Y
! W& H0 K' S+ j! }! ]/ G + T3 i+ O. D; j9 X# r" j
* _1 I: n# h' F& C/ \7 x7 Q) p
) P6 ?+ T2 [3 | v9 I : I3 v4 e+ _; o$ s% ^
发表于 2018-10-20 20:19:10
收藏
支持
反对