|
+ p! `8 `3 W/ a' c2 o 5 t$ @; U" S) q. ?1 y
0 d( G. @* o3 ~! q! m o
& x4 r! O& a* C% ~ x 1、弱口令扫描提权进服务器
/ [! _, `$ }; d- h0 P' r) B - F- O7 _3 j3 U+ n$ E
- ?% o9 Z. K* |* s0 T) s
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
: |# g- a" ]" M! B7 D$ t 4 C7 f- z6 a8 K9 O- M
/ n! z2 F8 k8 q% C9 _ . p% m; f0 ?, |& F" A2 M& n* O
6 y/ M* }8 @& l) ]7 r
8 v5 l: B: E7 z: X% Q0 H- u% W8 Z
3 x$ L9 o+ \& g8 l
+ i; V' |5 X7 t: L2 h# e& j) m
" ^, d5 O2 Q' D
1 \& v" P( G1 e' B% [
2 b/ p, Q, z$ R/ q% X( a 0 m! J ] m2 }' I5 ^ y% H
! D, R6 v1 R0 j+ z- v, }$ s O0 f8 L! f0 K- G
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 - H" _& |' V j) ?! a8 j) |& @ g+ o
/ }6 @& A7 ~- l. V# o/ a, z/ f" `
* P b: h2 J0 |8 S4 i5 j 执行一下命令看看 N) F* }' M1 z7 m
Q, K4 o, l2 o6 W. p _8 z1 {5 h3 o# }& T' U5 s' g
$ p4 j g; H! W3 L * n: V6 ` y2 Q2 t; t
& h# ^) u2 y8 m' h: z5 j4 O
$ Z1 N* e6 o! m T, M5 D
4 d# ~/ u5 P/ f: }) H$ k
( M1 `2 _. {' p i) E
* j; L) [2 @5 K Q/ J) n/ B: Z, u
开了3389 ,直接加账号进去 0 a8 I$ ?$ L& ]& d; K3 p4 B& J! y
# Y( f, Q* ^% n. B+ Z& j: A/ X3 o7 r. l# q3 c0 W: d6 u
! w3 {2 N5 b/ z- A * B9 f+ q3 A9 \8 P! E2 l& B& D) Y
9 f( p4 ]: \4 z* x
+ j4 S' Q; P. o" M: \
- w3 O( C% W# M3 W, r0 Z1 G 5 Z1 U" I: n' b8 Z' H$ D) t% J
% ?# C5 M5 m8 \, k0 [+ A
; K9 z! D& A, `; V- F) Z' e6 _0 N& q 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ) D, t/ i# n+ @/ M0 ?$ e K" S
! K# h9 f; n+ f$ A4 P& A9 h& S
% g- U5 l& I+ l9 V& L: U i) t 5 a% U; \# ]; R
8 H4 ^0 T S0 j8 h: o. h
( i* s# p0 S" D) s. H" s& ?" U
' W( d- p- K! s7 E, w& ~7 E" e6 `* x. l5 \2 H3 @+ w4 t6 J
8 D# o3 M0 w3 W7 a/ D) L! O
( F v) P! v* I7 s6 |: v( U8 }% ?4 L1 {8 ?, e4 m
直接加个后门, $ c# O( k9 O: v5 M& f
7 C; O: q% b S- h( k. C5 C
! d P" ]4 G. G, X. Z
0 |2 p2 X }1 Q* O# }% [8 C- ?# P 0 H& J1 v8 A) I5 G* C7 i
5 }2 {; B" d7 D* A7 T& q
0 ~4 _& ~0 y/ T* U, s: L k% i
$ Y% u% ^( e9 P0 z L# ~ 8 O5 w! G$ Q7 I" ]/ N' |- L
' o+ h1 \2 T) M6 }& R9 V8 u
2 G! V5 i: `& T5 ~* \4 X ^0 p 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 1 n5 X# y$ u. D1 H+ Z+ H
# W& S" n. A$ [# j: c
; g3 G7 i0 Z" u! ]
2 、域环境下渗透搞定域内全部机器 7 s! o6 U5 ^, P2 T6 x& L6 T5 s
7 o- F5 i, @- T1 y7 }+ j2 G. G: ^# l3 z9 p4 \
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 % D: [% e a' L6 O) u
% j' O! J; o' H1 s/ _! F: e3 h
1 F4 {4 f s7 S9 I2 Q' k% d# |
4 @1 J5 d6 _" J& K9 D) l( F4 L
7 a1 B, N) V. f5 V( R& j& T& ?. X; C
9 z0 P1 J0 K* P: a& t" F
" n R( g2 A2 z9 u# k: u( d6 u" z# t4 L3 {# D) X. t& b
7 p O4 t4 a# O2 }# J
n) N5 k$ d/ d( R. e8 E6 R% t% f' c# h1 t" C, R+ S D
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 * T& \2 r) K3 k, T2 [) \, v
) ?0 A; N; d, ]8 f8 d9 I7 y6 B
7 h6 G- {; U# r) m / {# @6 `* l w
9 e' w, C( Y) e / d' u. b9 V5 f" i: E2 {
1 G/ }; m+ P' Z
$ Q& K8 e0 w/ m$ t2 W& A3 n
2 x+ t& ~* ]" o6 u
5 E8 V$ Y1 ]; o) }* x! d& P- y0 F: U `5 Q! r( `
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
* N' k4 z- e; i8 H3 i- b m: J4 X' U5 u0 l
% M. r# }* d' a/ m$ }
. n+ |& H- c7 B! N( C/ c* |
- U( ^. t- l- D4 r9 @# M# J7 ]+ T 0 k6 s" S; }( d) L$ _# t& g( s* {- Q
# r, Y3 f+ r8 l7 ^
! H2 m: Q' E, q3 @
) e) p$ D7 k$ A# M ' z' H, s4 C M1 t0 D5 q% _ m
{$ t: H1 X$ G7 Q! F2 _
利用cluster 这个用户我们远程登录一下域服务器如图: 5 x( }% u. b8 `8 ?
9 r8 S. W: l2 ^% Q6 }; }& n' t+ e/ `4 |" r
; ^6 Q: j! e3 O9 k/ m% d& o7 x
+ S; n b! G! K. R: w& J( v- N
7 J. N" K& z6 o& A [
6 K# d; ^2 C, }* G, w4 l6 o
?5 o* P& Q, @) Q # S" P8 P+ v y0 W7 {5 q3 n. ~
0 @( v) ]% p" j1 u
* c: X, a" b. g3 k* ` X* U! ~& f4 d 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: r; L. E; C. j# _
7 ?* C! R$ [6 A( P1 E
0 j7 o3 b4 I& ~& x* ]3 k* P8 c
. e3 J0 D) S, u3 h' u, c
3 ^9 M, _; |& c, B & u4 p, A, ^$ m
3 ~3 J. M4 S* ?2 g% E' s
( f+ v0 R* ~$ I+ Y5 r; y8 }# C " z' R" W v* w" J: n9 Q/ a, d
7 F5 D, `, D, K0 D7 e6 Y
* B" Y. X! }+ ]9 k0 ~' d! N0 n 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: + C% Y. }6 i9 Y/ \1 Q/ U
% M7 N. k, k8 ~
7 E w0 |0 O+ {7 e % [) y$ a# N& c6 M9 Q
8 d" d) s1 x5 U! D
$ L b9 O! [' D9 a# d. d 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
3 \9 F: F1 w" [. J) B" e6 |
; X( G6 P& |- U! N; L u0 M2 `
* ]$ x6 U h/ [; x( S blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , y* ]0 c8 n' B6 t2 L
- c" S J' z6 d3 `# e8 m
. @( \4 B, C9 H# D7 H+ K
9 M2 G7 s/ I$ Y9 K" y3 e* y) a- ]
( q+ ^1 g' [7 P/ \ {- U- l- R % b$ u4 R: B7 e2 l2 Z6 T( t
; @+ x7 w3 Z1 u- ] C g$ l" t1 T a
) U. s) B4 m5 n/ E, s! M
! ~( A- a) C6 W5 y* Q
) I5 L) J% ~' e6 l: L) B, }4 Y% i! i& c0 s J4 Q% p' c5 |' ~
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
, _ k& G/ |) d0 c4 k
, F* s1 U& Q/ c5 @, G% j. T: r7 x% `; e. ^3 E: G
% y: R, f. d: \" ~# O# n t [( l3 B9 c- t& }" ~( U5 I8 ^
% X. w( Z% k2 Y* i8 F2 x7 c
( g9 ]# |/ C6 O% _, n( W2 ?
, E e' {% m+ ^9 W $ q/ C) {0 T! F+ T# [5 D
2 m7 [2 ^4 h! I% N- w# M7 {; d0 s
% Y. I8 }0 E/ I7 k9 `4 W6 `
利用ms08067 成功溢出服务器,成功登录服务器
& W% f0 e1 d0 h/ r5 E7 \
" S, w4 g$ S6 D7 U; `& I, r% P3 e
7 F! S# R* M6 v6 k( w
% s1 f$ V6 V; G/ R2 i( K
: q, M9 Q0 G* }) e7 S
5 @1 j0 Z, x: Z9 b# Y
( [; ~2 q* F d9 S5 `! I 7 n3 ?; W7 \" P$ f6 t8 @
& V7 ]- H3 ? ~4 c; y* r! ] c
B5 M& O6 w' |$ r8 Z7 J8 G" Q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
# M- ?0 {1 i4 o* W" P4 G4 X! } R- ~6 \
9 b2 h1 G4 g7 c3 q/ Y7 Q: i2 J9 b7 F2 \: v& A: H
这样两个域我们就全部拿下了。 . V+ [5 Y, E6 ]% u' f) }/ ?
! a1 Y, X* I: U& X: d5 Z
: i( s D$ x( c* v: Z. B. A& ^. t 3 、通过oa 系统入侵进服务器 # a$ f& ~" r { I" }4 U# j
$ a0 x% A- f9 @+ z2 I# b h- ~* d% e7 ^' T/ W9 C- y, P2 r
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
( e9 d+ F4 i/ A
6 @5 ?8 [7 Z! E5 _. Y* q5 H, Z
( e& j4 o! A& Y9 c% t
% x7 b( j: d, {* A7 c6 |8 m8 A, Z5 ` ( G% g- p( |: m3 q- ^1 d. e
, @( E; S( I* U. k# V/ {" H6 H 3 l9 G( D; @4 D) h. H* J
; K$ R2 U2 f5 _
$ M( \6 ^4 {$ V6 _' H
& l) q& Q" O' v# ?1 g$ a
2 B# `$ e3 b! Y: b 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
2 G, g) D4 r$ Q0 N6 t: V1 Z + o6 L A d1 g2 S0 ]3 S. R
- A# h: {+ B$ G( ` K( a. T5 R , P- D+ k9 h* R2 f
4 B# U! n; a9 N; O1 D
9 D; c3 q2 \9 q& k; `
" p) C3 z8 B5 X4 z% v8 T- L5 N p- t1 q" j1 W1 Y
% `# t( i+ }6 }$ @( l B/ F
% W0 N& t/ S3 u4 W1 \) X% u
+ q3 c" u( H" N) c8 f* g$ Z8 _ 填写错误标记开扫结果如下 * W- Z5 a, x: Z6 E+ o' D) ]) X+ ?
' }1 {; I J! J. j
& w2 ^+ Z% P% ]0 {" |* D7 @ @
9 ~ I' Y2 P9 U+ k& M! ^
1 Z3 p6 D# }1 O
/ ^' A! X( D! Z" ?# O
" e* {) w! R6 Q4 N3 N& q% u4 h$ Q% j) v/ _/ |4 s6 @
$ `$ R* z! {; i) O' C
3 x5 c. X0 X* P+ t9 }0 I$ C
) p( R# E. O8 s3 c( m 下面我们进OA
. j" c1 _; P6 |9 `- R
8 c) M. R: ]5 u- U! Y2 b+ N
! B4 O1 z* O# I8 ]4 p ) R. x5 r! O$ x x, }: j4 q# c9 Y
5 d4 M$ L: ]/ S4 ~4 Z! x * A, F7 m& H3 P3 a6 @$ [
6 d4 i, `# b6 ~' ^: H f# R- K
2 W4 U; ?. R. @* B
' t% r+ B, F6 l6 y: S. j ?8 A$ p, W, g1 y! a' Y+ L
" m7 u! R9 m8 I$ [ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 . L- y" ~6 P4 V6 g. \: j
: o0 B: T8 G* k
% _+ `- L% u2 @& K1 u 7 Y! P' | M, r1 ~9 j; _8 c
! T6 e& u. p: n4 Y3 {, _
( J. j8 b7 X: \9 F
7 c+ W6 k+ @* }
. `2 A0 H: K) j( C* p6 C* o4 J/ k
0 t: v- {9 E2 j" m9 P# B2 K, Z
6 c6 `. }5 P% O, ]$ `
# T0 B- G( a- n1 u, G9 b 2 P6 ~ a% M" z2 O! m6 r
8 U4 ]. \) e1 w- l
1 z: q8 A% G. _0 V% N+ r
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
: u% |0 b3 O" _' g) r1 r! H % g- {( n# y( E# ]) t A& H
; p5 H! Y; e0 u9 M- u5 }
4 、利用tomcat 提权进服务器 C+ h# w$ m- g! s2 \3 C
* y" @- v# K; K e1 l. X h4 A
3 K& u: a! {+ Z* t: C) b x- H
用nessus 扫描目标ip 发现如图
) r2 J6 w* W: f7 J `1 D $ x- v. T `4 ^
/ y8 k& T9 O$ r
0 b" G: G2 O4 j' l % }( Z5 L/ f, R6 G# l
9 m( h+ j6 H* f8 h3 T6 U. `7 s
, \$ z+ C5 H: ^, U `$ Z/ L9 \% z: o8 ~. R$ q; {
" a$ @/ I. J) s& k. u3 F
) o; {2 J2 n1 i2 Z _
5 \8 F! V% c: [0 S 登录如图: 3 R5 o8 {% d/ l4 V+ p
( t( d7 x3 A5 g" a- ^" O- }" b
* K5 f, w6 z$ g( q' p
1 u$ K1 E; \4 f4 j( @# K$ X
- x( S# b9 T3 J2 f* G" c
$ S2 R& I- B; o. t! |
0 n! M! }4 r$ V5 b9 T, p2 s" K
) c7 c6 f- R" v/ E( D* N ! O3 M& h A9 T: F
% c) \8 G' b3 F8 l8 \: u
, N. G+ i/ [! ^( D5 x' ]) y 找个上传的地方上传如图: ) A, l: F8 U/ Y$ b. s, \, r, L! M' f
- C" Y3 V; y* g9 L9 d# A e3 P* \; Y+ M( a( T2 ?
; P6 k2 j) i9 x$ I
; _' _1 N- ] \ o3 H+ A$ r+ S- `
* S6 C5 e( ]8 @% |5 [2 ?5 j
" m3 }" o4 W3 `- Y2 w8 T3 o& v7 j1 J2 z8 Q0 B) W" G
; k& v( M5 p8 I* |
' b' E! l5 v( J0 W3 b# ~
8 C2 `1 ~: o2 @% I3 ^1 Z. b 然后就是同样执行命令提权,过程不在写了 9 k |& f" P7 r/ h: v
. ~# P' b* i& O6 i0 K8 }8 A4 x/ ?
" |+ @$ S4 n2 k4 V ^0 W& v 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
: l: p( Q4 i' f( f3 }6 G
2 o8 t% d* q2 Q$ ~6 X; J2 [9 Y' H7 z, g
首先测试ARP 嗅探如图 6 z& A R; r0 y: R& A- V; T
7 K- @! l0 S/ Z: P0 }+ Q' _, r5 A" i) H* {3 f7 d& c
7 N; w- w' t/ a/ z& k0 K1 I8 k* u
: C2 ^/ r3 ?4 T. q" f
) L) X) a9 g9 P( @! _0 }% ?, ^ ]9 I3 g 3 j& U: u" d) n3 B: Q8 {* c
( a2 A# v* O K/ H9 K2 E % S. U8 x" X" T( E( I2 i
0 }( u1 m) h8 |6 {+ g
6 a8 R) {3 `8 X& ?! ~ 测试结果如下图: 6 _7 @. i$ V; U2 r& s! C
; U% h3 _: e( W {! s# {5 x9 D2 |
& t; b" K; ~# ~8 w; G, K 8 }9 m" R( |/ D8 J$ w+ `6 ^
* H3 j, Q9 y6 R7 r8 {# J, O# Q- j6 o
i4 o! R2 d% w8 A/ H & v/ j. F& N { g4 z" N
! r+ ~8 G) o: K0 j$ Y0 S
. Q3 i/ u R! ~1 B5 q
/ `( Y+ v& Z5 `: a1 k" a0 |" Q
4 f7 v1 B3 @6 E+ H) e s 哈哈嗅探到的东西少是因为这个域下才有几台机器
, N8 ~. d5 d3 b8 K# T0 J / `) ^$ W8 ]1 V! x
( S+ C0 E' W0 E H: X 下面我们测试DNS欺骗,如图:
~. z0 N8 \, z, } q W' i
t8 A& ]6 M' B' m! ^: t0 N* M3 Q* b3 G( Q( |/ t% U
& t- D8 C* G2 K2 o: b! R! T
: o& i) z2 Q$ [5 ` W1 S
4 [: o, O8 I: }' P
# d5 ^( h; N h R) T; _* h4 j2 f/ z. c
# T. \0 G. i! k! o6 t+ X/ ~ ' g( J6 `3 r2 s7 f( z- R4 q \
5 }4 Z5 x; y: P& ?! ]; ^8 r; u
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
$ y; C# V* i5 t. I6 ?# d3 u / U; C) s) L6 K9 Z& b6 q. m: G
6 q5 Y! m# g" l$ v/ x6 A ) R9 t/ O6 }4 s7 ` `& |& [9 @$ K
! z/ V4 H7 k& L/ l5 |+ w0 f
! [+ S* N7 A5 f4 s
7 }0 [& Q' W+ k# |' `* b
. W: m. K) E! Y4 m1 p - I; G) \# ^9 z$ J
. J7 U( L2 g( U" R; P
% D# m) g8 M. a# X6 l (注:欺骗这个过程由于我之前录制了教程,截图教程了)
6 v- ?. T O3 W/ e ( u) R1 R1 V6 B7 j' x# H
( m0 S0 d* K0 N N% U# A4 L 6 、成功入侵交换机
4 b3 O- G+ |& F8 V% J; f
( v8 J# K; a! g) S) m# [0 H6 k( P: v- K& J) ?( ^! u0 c8 J6 L9 D7 C
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
8 { D5 K$ O, B& ]3 X
}8 X' x3 S6 B5 \$ N+ h% \) H# o0 i: p
我们进服务器看看,插有福吧看着面熟吧
$ X: L0 `6 u" d j% m( W) S' ]
/ E N$ `" x; M) t4 t) X: [4 ~. G1 R& V. e" N$ e+ {: ~" R* f
_2 F3 @. t9 c8 |5 h( U4 O6 u/ I
4 `7 _! e$ W- I( n/ q' ~) n
4 x+ d9 X8 S* J$ V
6 E9 V s R) t8 |0 |) R9 T
! s1 w6 n. k. R8 i1 O 4 Z2 K6 w. m: u! u: x% j6 l
, r+ L0 J$ ~; p: N. @& I
3 t/ d- g% M! @7 g
装了思科交换机管理系统,我们继续看,有两个 管理员
( g5 k& q, _) O5 d
3 g6 K' i/ M( G g+ [
5 U/ C4 w7 `6 w" w! w
& I. F0 ~, z6 x. G. D
( }: F' [1 M3 s8 L9 Z* I 7 b- S( h6 C# |/ R; G5 v
S- @. M& _6 R! j
* G7 `4 `3 }, @4 c1 x6 i: W
/ l3 L, J& [. b. V & K$ X: [( v0 P4 \+ U: S8 C
. [$ x# I5 H* L, y) e2 U7 M. q+ ~
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
1 \. x- F+ c4 P$ t. V+ P4 Y3 A4 b ( W# A+ C- W" j; Z
% Y F; A6 S+ }6 f2 W- T9 E 9 Y2 v! u* b) |3 g" Z4 { q
5 l5 L! w& ?- O0 G$ P/ Q5 k: ^
" u& q" {, B& X2 t- F+ x/ u3 q
. ^; e1 D. ]5 K: @6 q' w
6 |) I' U; y8 K " K% p5 u# m$ L3 V; y" e1 J; f9 L
- ]% L; f1 S; w8 x) X; `
- ?: ]+ q1 |2 n1 H* f
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 6 H3 K8 u8 u- r# Y
& D" i( @( u& l' A! w' j
/ e/ |6 L- D6 q) Y 8 R- r1 ^$ N2 I! E+ y; T- u
; Y$ G4 O- P ^3 e/ p$ Q
, O5 S6 m4 b# l' s& i3 Z. o8 b8 |2 B
1 h0 u) D5 U$ u& k0 d& r5 v
1 W" Z4 y+ ^ H* l/ v
6 y3 }/ o* S7 }; T! y
# V& \4 U! K0 V0 W5 M- |5 o* x1 o6 Y3 H9 E
点config ,必须写好对应的communuity string 值,如图: - g2 G$ B! M- a, o$ }, F
4 R# H; b6 j+ o* E. f1 A. S+ Z4 W1 ?
# g+ ~; U3 m9 q( _' a$ ? ! Z. ?1 {! y, B9 z! l
. b4 u' N3 q7 C; `) a 1 A3 {5 s9 O! T7 Z$ D; L2 [8 V% w
& [9 W# i- n1 b6 h. R, W: z' C / J: R6 F) M' M# ` O
4 ^) x' T9 v, [1 L
9 }. Z1 N0 g7 i& x 远程登录看看,如图: $ j% E# C8 |, K4 q1 |: e7 W; U
- ^8 T% M& `; J7 p/ A
0 T: W$ j w2 {4 g7 S
; C8 r% d7 ]4 l/ t) p/ F
' [# d9 D8 k+ } [3 D
* i; F! t; ~. ~5 N w Z) p2 m6 P9 g; \% L
0 E3 f4 X* f4 T0 L
4 f% L1 X- n* }1 Z
& c' c& R( X+ r0 q9 x
% t$ P# C9 ^, A8 S6 i5 h
直接进入特权模式,以此类推搞了将近70 台交换机如图: ! ]* {% e+ E$ H8 R2 B. m) N
# i$ K9 v6 J& D9 e9 E3 {! u7 e7 m/ Q: V$ s
; r- Z7 W* s( a5 F
; g+ z( {3 n* `& B
; |' W. l! c. Z; D ! o% A$ o' m& z! ]/ K1 ]7 r7 G7 t1 E
1 Y0 k: a [, V7 h' I. r# N 6 i6 q! S6 d6 m6 H8 ^: Q( y# A" p; I$ x K
7 {( S5 {% \. _. b1 _+ ^! Q9 M
: d' f0 [7 w( b8 t+ E ! F$ k; ]5 R7 X4 s v7 W
8 y2 R5 C1 u9 L) G$ E8 Y# M) \! G% n- R# x- z
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
& a# w ?* ~! Y h( f1 A3 P) H# u' x* J; A7 A
6 O$ U3 k; }( k* a' K
+ w' w, z. Y" b- u6 F
$ o$ C: O( U8 l; q$ [& }; ?" O9 V # Y- E8 \& P& y% P. \% O5 L
, X, c2 U/ d! ~5 Z8 ^& t, o: g' C6 `6 g$ [" B) I/ T
8 n9 x; J; n5 l+ _: p% B2 S
* \1 E3 y/ f. d6 K; I2 ^7 v" o8 R4 R" j5 G% q$ {" F( ]
确实可以读取配置文件的。 ! T% y& ^, ]0 l5 U9 w
/ u4 z A. E# {, I5 C$ _
* Y8 R6 O4 H3 K
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
# h6 @4 \) H0 @( J& Q, k t
6 F4 N8 u5 p' K# i8 A4 ]8 H' b
6 A5 N0 k0 i8 U: t2 d
1 [- E" H7 X/ G + L) F& @# Z; \- {# f, Y- _2 `" i
# {# ]6 c8 W, J& F1 L2 U $ @$ ? w: s( j0 O' }
8 J n; G7 C( \& @
# P/ s2 v; U7 g+ e( |, Y/ s! w : d4 Z% e8 A, Y- \
6 K2 M# M3 ?2 N0 A
1 ?; X* }1 B- _0 ^- C+ |
, O! a1 S' E* X
- ], G' K5 h8 K, I2 r 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 - ]' H8 P* a* W% c6 Z, n D
; I3 w: u1 P* u4 W! Q' n q
& H% E- \& r! |: w4 m( K
7 w h) R/ l1 a& k
' \5 G% E' G! k3 }0 H ) B2 N: Y( J; r; ~4 a+ t
7 V% y- K( ~1 f- p, F" s5 V3 |2 L
! |# F( P) b& E, C! A8 z
' P3 q. E7 N+ d: u , b; V, U; n6 e& d, ?9 K" w3 B g! Q
8 _5 z' @+ \) L, h) ^ 上图千兆交换机管理系统。 3 ~+ }# Y8 j p; I9 N
; |+ {, u8 b4 Q
: K, q! M1 z1 W9 k1 }
7 、入侵山石网关防火墙 8 e, o6 w0 S; \6 K. M
( N0 y) L! t, q" V6 o
1 t3 ~& }& C: m+ G4 `3 y 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 v0 V$ h# x! g# s+ j c
) `$ I; g L& g8 E! p+ @
0 T1 p$ R4 l4 S5 x' S5 I
/ n' l& }7 {4 b3 e1 P2 {7 ?; r# g
/ i* D% X6 _0 G( r
& Y, e* E* N) |! q* L0 E8 |5 f
' D( R" F7 D5 ^6 ?
, Z3 [+ @: G0 X5 W2 K8 n1 K 2 \1 b$ }9 s2 ]( U6 r' N) O! p
) u# r* V/ ^- B) S
7 E3 n; m$ z' ]& c4 [1 M. P4 S 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
4 `, p6 f" @& F1 g W2 x g4 n( s; d) t
/ L$ f$ r# b3 Y) }* D/ ?. ?' J
7 S" Y3 Y8 ?9 I; d7 R a6 M
5 x U1 K2 G% X: X' W/ z b: {
! U$ O- y1 G0 G; G( |. e; |% V. M
, j. w5 u9 ~8 y( j. v3 O4 m
9 _# M6 M R% O/ d9 m8 a$ k" G& y 8 z _5 Z' R5 J) S9 {3 z& W
5 ~( ^6 Y8 \" I, V' j6 ~* N6 h
: Z X; `3 h. R& V5 S
然后登陆网关如图:**
2 x* T5 N# i& \- ^9 h4 S
1 u* I/ r8 S7 \6 t1 h" Q5 ^* |* I B& M+ ?
1 y# t% a/ j1 w$ {1 a
$ [$ g( y8 K9 V% C( E
' v; g& `* J3 X9 |# K, r$ @ " A' K5 e, {$ Y" p" F: D+ m- ^
( m5 }' C D3 }+ w ^$ z
0 H( B* G* W m3 D# @. U
6 Z/ l0 @7 T/ V/ b, n0 M7 |2 e' H# g5 a! r. C+ N2 I
7 S8 v, P5 g! {5 _ h
8 l4 G9 r2 Q/ h/ `* T- I9 f # X1 w( t' V, u- V$ M& b' U& t2 P4 f
! Z: Y& F! X' |+ U
. w2 `6 h5 l% n/ X 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** * C9 ~1 k8 @2 F: ^) S- m
1 [% n. W! O' w7 w w
3 N* E- u2 c1 I2 T8 o6 h
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 8 p0 ^" F/ Q7 _6 y8 k% n
2 z* w8 ^* X" @/ P
8 s) F$ j1 f, N) P6 E; Y
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 ?. O/ q0 A5 n; b
+ |" ^7 @8 {9 N
+ [1 t" f& s/ ^0 u7 H
# h& ]# z2 ~) \, O; p5 T' B
3 O/ x/ E9 ^! q0 k( ]- f$ u 1 b/ q, r* Z/ C+ M0 p
6 d2 h/ o* T1 f6 w: {1 z2 W7 V. K6 h; `! A( p
) {* H% Y- G2 I# r3 j
( _3 K3 q) g3 t ?/ P; |
# @& D8 V& g5 A4 a
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ) a) D6 m7 Q/ u, ^3 [$ Q6 N/ X) j2 P- g
# j! Y) x3 ^1 P0 T# H/ U8 n8 {" V8 K
" |4 o6 T6 E% {" q B
8 l2 b* J# P7 ]* `/ P/ b9 k+ b$ ^7 r
& V& L* P, ~* p4 v) k$ s
" [5 X& J7 m/ a5 O& N* d% S+ g& L N5 j9 f
|