|
# j( E4 P$ r4 T$ u$ R
, `$ u3 }/ ^. E8 K$ v2 ^
% l4 ]; h) F+ q9 m6 [: q/ Y' {+ o: W9 S# b! [3 W
1、弱口令扫描提权进服务器
0 E+ d3 v) q2 s" G' v
( N+ c- k3 ~' R) e# `0 N
2 R [ K R) ? 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 g) H2 C u! t6 G1 ?
7 {: r3 X/ I2 c+ W; r+ g P) j: ]1 r# n
/ n% N* j |9 T4 ^& L2 q - h7 V6 }- I. C* V1 ]
) P# e. `' s7 }6 R* n1 f3 n
! K4 X& a3 k' G. Q
& l0 _% P# v% F
! j8 L. N0 O+ }# R# h' L _ " ^3 l$ B* H$ E
+ [9 f K. n A& g) D; e
/ B6 L# M% c1 a6 ?/ k* ] : `' H6 {; A* W- D6 G
7 |; s6 }3 k6 k+ W
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
! L( Q% i+ d2 c6 d/ v3 o8 B 3 k& L3 x3 A( w, k7 j! K' r6 K
: T9 J T8 o0 M# m4 e/ } 执行一下命令看看
" R/ {. L" k+ F W6 V7 d
2 | y5 E q% t, ^' f' @: Z; l1 u: e# [+ d# P* Q1 e* @
- F" v/ r0 [4 G6 Q7 B% W; X
+ }7 O2 u4 B, Z( k* _1 r% W
8 { C1 E t3 z8 [
, P }& m- m3 ]: V7 @* D2 `
/ }5 B* S9 j& h% e ) C* o- m) z* {6 e# e! y% H
Q9 o+ }# \! R6 N1 }6 ^( N7 Y, _2 P- x q' C; _( ~$ }+ W" X
开了3389 ,直接加账号进去 . _3 J# L- C5 E9 ?- c$ w- q) N& r' t9 U
( l0 H7 E0 M3 a# r X* H0 z; {8 s q/ g+ L
' g* _6 d& ~. f* d( ^
# f7 `* q+ \: g6 H! x: L9 F( [
0 a4 R. z0 A' b. E- d2 E, l G' Y$ L E , ^1 W3 D, S3 i
, r' b& }" Y: ^5 l3 R. H0 o- m3 p 2 j' ]4 I7 l& d. v h/ P' _( d
4 S( e, \: a. z) a. q
1 X; B( p/ Q, H/ w# H 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 U# t* d* E+ ? T' f" ]# S
& _; k) R1 ]8 H
* W" J, x6 ^( P: i 1 g% O# n, ^/ D
9 W' r6 h8 }6 l+ @( G* ]
" B" N; a0 q/ |8 I0 `( I/ ] w : R, I e2 O- n' G
' v$ R5 b8 p% H7 q7 i
$ j5 J) ]8 e3 c4 V. e& j' N3 P6 V
, b; o @" G U& u# g$ m
h8 j- y# W( w2 L' L5 C 直接加个后门, 9 d! }( M( l; C, P4 m- D% h
( p3 g" Y; K# |* }& Y$ t: ~/ c4 ]" @# i" Z' A# _, c, _3 d- f1 G) M
3 a0 D, u2 S5 ]0 W2 I 7 K+ N/ |! S" c* v) q
- v8 W# b3 k) r0 L* v
# z6 J9 |0 v4 v+ G% T2 C
- | q1 q7 l' ?: x! q- b/ G7 P/ p, y
$ N8 u" I/ m, B/ H- F( g
$ A/ Q9 X; L, t) D/ ]! H6 k
; ^( i0 F+ X5 U. [; q 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 C! k2 b" r4 Q' p* ^) O/ X% Z& _
, U- C3 F' z& u X7 j+ m9 m0 o6 N* C3 z3 `: j# ~! e: x
2 、域环境下渗透搞定域内全部机器 8 K* Q7 b8 m; R. a
, R/ |. U+ |+ w- R) [3 J+ A* {; x; q7 E( A' D( X
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
) e& y7 p; x: a! c% J8 o/ K 1 W1 b q: B7 U7 h# B8 p; R+ h' G, o
& {2 ~' R0 B& C7 d& Z
$ l. d) E# r0 I0 d# y. m$ Z
! H2 M1 f! @2 {7 H! e
' f6 Z+ g, C" O1 T ' f, j# G, k3 [/ `+ x
% x1 c, W" V5 z+ w* W
z- N7 L% c: P) L- f7 W, I 7 g, D) s2 j5 z) h* f' x
# ] m' P: g& o, @( C
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
! \$ k# l/ t R, C/ g- F
5 p+ D7 @ o- F& E% X+ @5 O5 ~& G- j- o' u' p0 W3 c* q! m" y
. J% L9 v' y& h- W0 ~
& U! ^% |7 N4 ]- J7 N: R
7 V- K0 g3 u3 s" a' C/ Z
% Y' j3 [( O* ?' y
% G0 O5 ^: {; P/ r/ x% L
B# w$ I* S' S. u% U
0 H1 Q: Y& p; R8 f& d$ D. f( l% w0 w: x4 Z& J2 N
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 7 r! t5 w) i4 l: B& e, y! M
2 I6 p1 f6 D5 O) q
# [& q: P y2 p( M+ {9 u( T & _/ x# G- E5 g
]+ x' Z, S* E+ N% a' U
. i+ N0 }% q! X9 n & G* w7 o$ {( s1 b- N( A
% Y( A6 G4 g& p
, A! i! R8 d) C/ c
7 ]1 P" q7 U2 s2 |5 f. t. [4 L# d9 u
利用cluster 这个用户我们远程登录一下域服务器如图:
8 L! `9 H4 `# c) H j$ v
4 I# J% _- C) \7 J- ^- [, X. U4 n8 G9 n+ E" q
3 k; [$ _2 V) A/ O- u9 N
% }! v0 @. D: e1 |; B3 I* T* q
" J: }* K9 i9 F1 t! l: x. B4 g ' H( H$ o. t; p5 ^0 W
) v$ C" D/ e$ \4 `# v0 g
3 w: J; u) ?% y9 X# D8 R
l( Y, V4 @- t( k m; v6 }5 x
, f' z4 d. ?7 _* y$ b% N; Z 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
( k) |# [9 d$ F" e7 r- G I3 a% U/ N$ F& O) l& C$ h
" n5 U1 c, B' s3 [9 ~) N
1 m) @, q4 e; d/ e8 W. f5 x% w
; e1 \; j5 n) E0 c, E' h
* L4 w0 b8 w# ]! B/ H, m: z ~
. [* f$ Q i0 Z: z) ^( R2 M5 C
# K& ~- R& A7 s% E; p8 Q' V
& J- B: v9 e* I2 u# n) u' ?
4 g% S1 y, ?" b& W5 C3 M
' H- S; B7 E: c% X( z0 p4 ]7 @: h! M 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' x% W, D, H4 M2 j0 i. k I
# R) h- n4 N7 M5 Z3 z7 I4 ~1 d7 p3 j" O+ k. S1 p+ u4 d
4 f+ K& G) {1 J9 Y) D 0 ]7 N0 f& E9 P
: I2 e5 g7 T. q, m% h5 v: E! y
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
0 b; V9 ~2 o h H7 y 7 R* c! C6 k P5 \/ L" o
. J$ l- O9 e7 K
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' {4 | J9 v' v4 k' R4 B
% I3 G! G; E) o# W5 i; f* T7 Z$ t" O( N
' ^: A+ X3 D+ m+ Q: p/ T
+ d- R: `6 B4 f+ h$ y. F d
; y6 Y; a F& f& f . @# h& i! {/ ~8 m3 _5 [
+ `. D. U" s4 K7 y
9 ?, i& P9 c; I' }( F7 a
2 s2 w. P4 a9 H% V4 b6 x
! Y/ j8 F" N! M8 }" \) v 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 : o# ?/ R+ a- A* y1 x
, q; U% | v3 d a5 {. C
! T- q7 G7 r3 x( F/ c 4 H0 S$ U: Q% z8 _0 w
$ q! x+ z$ v: o. _, h' [ ^) Q- w/ ^ I" [ 1 A0 }/ r* s0 K. X
( W* w& u; N! u% `1 _
4 X, y( l/ l! M5 Y7 P
9 L* T! I) J8 {2 B# s
# F- L. O Q' p' s' G8 v. Z4 B k
利用ms08067 成功溢出服务器,成功登录服务器
, s& p, F* @* ~& f. t6 T) }+ \/ R W 5 U( \$ j; b5 I; T2 |+ `
6 ~( P% J, x+ D* _* J l
) r" r9 M# e2 ~$ h
! R1 ^7 M4 T) k1 X; `
( U M' q( \1 L2 _3 ?
$ p( k8 o/ R/ d5 c5 f: m. w) h& H
6 S1 E! D9 A8 B9 f; p Q
" X& {% Z [- X4 H7 V. H 3 P7 m1 d7 M/ }3 e2 }+ v
) t n- }. t: ~1 f! \ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 9 I2 S; N' A3 O9 ?# C
! _9 g+ Y& Z* u0 X- N: w
, ?! G. b% h8 t! R8 O# e' T 这样两个域我们就全部拿下了。
) ^! k" Z* x8 G0 c1 P
- J7 ]3 ~. [ S+ A. P8 \4 S8 X9 F
3 、通过oa 系统入侵进服务器 % `/ C4 ^6 _6 k" ]& M9 x6 e- D; `! r
$ p$ \! d3 |1 ~! Q" R9 A) k6 O
9 n) X, T% |5 t$ Z9 q0 O. G Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 z- r6 y0 \5 D2 h$ s+ z9 z
( ]5 b# U% T# E3 [
8 V, W A$ ?& k
: y- E! g$ X) J# q- A* T
6 m' V! T5 C7 r" I( v$ t. C# |) |
g6 |: ^' d, ^! A$ f
; a# a. S6 |0 a
M- q+ D2 z4 ?
0 h/ T) r8 T9 H/ E% H2 h 4 K3 _( @+ I$ b- P4 j$ C X U5 a
; X: ~1 o% w! x# S
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
8 U" L: R$ V' n1 V7 E4 q y1 \
0 l! S$ W9 [/ E7 N" j# K9 O: `
8 u2 m, ]( L% }) D, A # q7 ?$ }3 |! n9 S. ?8 X. n! M
8 x& G# _) w# s) @& ? + A D' w/ S1 q) a- l' f0 O" f
! j+ h6 X* F4 M- Q3 @$ h0 D: C
. k5 K. T& @! }, K- C1 e
; V* I6 j& L" t5 I7 E3 n2 f9 E
+ g P9 s' L% i: e7 M+ K% l3 y* L' H6 q2 ^9 A
填写错误标记开扫结果如下
. A& Y- I5 }! X4 m' B % \1 g# Z; ^7 d: c
, @6 K+ O2 |4 U+ j
% U4 f4 c) Z; y7 E
) I8 A. y! t& H# N4 O4 C7 z' i) y w9 y; S2 e) c2 D0 u
9 {7 ^# ~# r4 \' y, d& T# x* h% M7 E
/ o5 D( t+ W6 e7 _3 H% O
' u9 ~) a! N# y* L
: O e" g1 w6 Y: C* H B9 v ?* H5 D* S
下面我们进OA / Q! |5 D% y. N
% B1 ~# k; H9 @* T2 G* B1 i
( O2 k2 R" G" ~; Q& h9 J* s ( q7 b0 \5 n1 H6 a/ H
9 @, l& e( Y1 R" h: r& X _/ c2 O5 m* ]# F
- v: I0 K$ S: ?! F! g( ^
6 O ]- [5 J6 Z v# E$ S
1 `$ u9 O+ X8 c$ Y) ^$ m
3 n, V& o6 Y5 f0 {4 S4 }. Q
0 Q: \9 K7 z" \- k- q' L
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 8 x8 F x9 |; V: o2 V+ t# h
- Y. \( R* `+ a, u9 l( Q
0 z9 T7 C7 V3 C* g! C+ _
" r5 O4 k- Y0 Q- y% W9 _ % M+ p5 h1 D7 d
: P# L, M. }% K- \# \5 R: ^
1 \$ {) ?+ O. s/ ]
6 O. b( N7 `' T& _3 E2 d! i
1 j4 D$ ^; O% W( o' G' L : v. T# ?' [1 Z. }2 i6 A* T
. M: i- X; G' a4 c : A1 b1 K7 c _+ [6 d3 L
7 c8 r* s3 D. M$ }0 s T5 [6 p
$ ~8 E/ t, x: E, }; j& K 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 9 p; Q0 p+ y& e0 C
5 t5 o1 y$ S' P' Y& V. A
+ w' @; F7 Z) z% X8 S" k 4 、利用tomcat 提权进服务器
" I, J/ g" |2 \* M" L2 N , Q& P: C6 {! M/ j9 a j" Y
/ Y$ ]/ E. z6 D
用nessus 扫描目标ip 发现如图
2 j. n/ ~" @0 Y ' Z8 F; k [% M/ O6 ]7 A ]
% p g u ?0 h) y! y) X& r! W ' x& g( c( D% p0 o4 b& B
3 ]% ^3 U( [! G* ^9 L
8 N4 N; A* z% q, W" w& h& R! E , }3 p; n/ W, z! X; z& c! k
; m P0 s! o* k7 a U; v& }% _8 m
: K. r/ L/ O5 M' C1 Y: { ' {1 m0 T3 V" X( X+ P+ N! T: |
& L- j9 q- s1 H5 Y0 z# K* g 登录如图:
, U- B6 j" ~0 d% m% \$ s
, Q" q7 f4 ~' e* E0 c
2 e/ U* w# t# C7 v+ x5 v : Z/ N: ~# R# _2 h* F! Y( W0 F
0 h" M" P g/ x0 z
0 A+ b8 l/ w1 e( C; G
3 C% Z( N$ U: ^; G) j# j; ^) q3 f8 m$ u
( B A4 v7 ]: g7 g0 U 0 N9 W' Z5 P# r" t- V
+ d% f2 L5 p/ e0 x2 i- w
找个上传的地方上传如图: 2 Q/ w, A6 L `, v; E% Y7 z# o
/ k/ h/ x# Q5 [4 K7 J
; S3 z _5 _' B+ i; Y2 J+ X1 V
; q- v, z0 Q, M0 T' L0 i ; X; _& G7 G8 `9 L! Y
) `1 X4 L6 D) h: d
% V1 s/ E# W/ D$ V, X. C
" F) t% M! L# W5 Y2 Z ) y1 U9 ]7 ?2 Z b4 Z+ R- T" ~: C
& q6 S1 ]& o( w5 j1 f$ Y2 u
4 u3 Q% B! v4 m. } 然后就是同样执行命令提权,过程不在写了 % H+ {0 e' I. D4 `& @; m* f* W
* x: E$ G' W- z% \* D# j
( S4 H& z8 X/ o5 j H, L/ P 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 2 I% V5 i. l1 c( Q5 |
. M/ D* D0 S9 s- S
) M9 D% J4 F6 |1 S" |7 e8 S8 C
首先测试ARP 嗅探如图 & l4 R" K: o4 p+ \4 p# o9 f# ?
3 p z( r! p0 ^: d. A @: m+ N
. ?: E& g8 f# B1 A , b6 ~8 J: m$ D
C2 i- k9 M& D! n% j) Z! q
$ T g- D$ P4 H1 d I8 d: _1 f) e
7 f! Q( ?# t5 A$ I$ z( Z7 C ; H% V- v& n, J. y& y' y
p8 a' m0 c- C p9 S
7 S: S% w; y* Z5 w
测试结果如下图:
; L& V8 F$ K0 p" @! [$ k 1 K4 x Y: t8 u3 `/ a! o* o$ x" C
- ?3 D; Y5 z$ s7 f
* r4 H' e: O+ \
' G0 o; L+ w. R& v( S4 o( O 3 D7 @1 g6 ]; k
( G& Q& \- ]7 S2 q+ {% {
6 [; L4 J% I( }0 k# J( F( ~( w
7 w4 O( e6 e+ F( h% J + n6 s/ U( ]5 v9 U% y
) D, U1 K5 y9 ^* B3 p R
哈哈嗅探到的东西少是因为这个域下才有几台机器 ( G1 ?" a) A7 j4 w5 @( r. }) j% g
3 U) {& g2 C+ `; F5 C3 u' d9 i8 s$ Q, v! Z3 {" F: Y6 v- T
下面我们测试DNS欺骗,如图:
* p+ ^8 w9 X9 S' c : b* o9 t! ~, N) n Q/ y
! t" h2 F* j( {# c4 I! F + z" C8 U% y3 j% y
o! q) Z: {; V
& P8 Q" L) v2 f- C
% S/ x% v/ Z1 s# P* R: p9 v/ s) K* F3 W3 K* `1 E& G# Q3 d( d: O
$ d( F8 T4 _( G0 r T _1 _& q, G8 w 1 F" W( p5 `! g0 x- ]% [
. q+ B! ?( F9 B( F! i; s2 `# C
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ; O5 A y+ \4 A2 ?4 E
6 l4 J( D/ [9 f
( @3 s, o1 w; B! y- s7 e, J - L9 C, A/ `& C7 M, G/ h/ d
+ m. N6 Z0 ^0 h, W3 v
, p! Q) T; k3 V9 A) h# J. T" [
% E$ Y% E9 E" l4 I! b/ R; L0 {" Q4 N$ Q! [
# P$ v1 [7 q3 w9 j0 j: C3 B4 H7 G. n
2 F' P/ a2 M. H) o3 h4 M, L4 w8 I. {9 p0 @ J
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
% Y5 C& Q& _! i+ }, G - f$ d$ F6 A# c5 H5 L- r
$ N {1 g: ^. \4 X5 W! j0 i! z5 g% D 6 、成功入侵交换机
+ }" H4 w1 p7 }- w( O. u 1 O! I2 F" q* V. V
. Q- X) y- j$ m2 J' O
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
1 Y9 m; Y" Z' X. p. G' b ( d7 I1 H- m: |' z% c
2 t0 c' j y% J6 n' ` i r 我们进服务器看看,插有福吧看着面熟吧
! k& X3 ?9 J. ^. Y, O; V: | 9 C2 I8 |5 ^8 E% k$ a5 V
+ e! G& q% B5 O8 ^0 K6 o - u [$ E4 x; ?& z$ }# p
4 G) d* b( F6 ?' A6 v ' g# L& R8 m5 e5 a0 [
, l+ O$ y0 `3 _9 E. S4 Z" }$ w# V: s8 X& M6 Z( O4 u
7 g9 q& Q8 j' g8 D$ ]
3 f; K6 W7 w! |/ ~; e; W0 L+ y
. m$ H; I, z: l, Q! r+ t$ L2 X# J 装了思科交换机管理系统,我们继续看,有两个 管理员 * v) V: Z$ V0 S/ _" ], ^) X
+ P- L+ H, ]' B- G: h+ w6 L% D* w8 O! q( l; Z! T$ i3 T0 j
, } b2 e5 e$ Q
2 k A8 S7 X2 c: Y8 M* ~+ ~6 f! u' d 6 N8 B6 u) x. g
* Q% p8 Y- ?. z" K9 s2 t% H. H
8 `' s) G! R9 F; x 3 @$ s( z0 ]0 J H0 r& `5 {( S
e+ ^8 N* e5 l/ ?
" W9 l6 B% D$ q( j" L
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
; k6 |: S) N% ]/ J' N8 y) X % p! H2 u6 C$ S4 V3 ^
: R+ p3 M+ |, Y/ G% O' w + V* I9 _% { N2 M
) d2 Y& U& W- i( f: O: [% _- H* @/ {8 | 6 _0 ^: x% x* |5 B! x3 r
, x& x) S, O! ]
0 t! e) Z6 \1 G" h/ P- B 3 _1 |0 D* ?" [' J H+ g/ w1 a
8 C' Y2 u5 v( F
# ~- }' u( Z+ g( v 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
0 z# y# @) S; I' b
! ?0 g$ O" b. ? ^3 C. ^4 `, Z! V5 M. ^) `
' F; j7 V3 F% Y/ x$ L" e; F
; t" h/ Q# |5 `1 i; y) y# g
/ H& N/ v. E x' E( _% T0 V1 `
8 B c7 I7 @+ k$ u$ G) \' M7 {% b% o$ I7 z9 ]; {
. s U* k5 e1 G7 C x* [" J
* f: c: R }/ G. C7 B# u0 E, z$ ?- m: @* m9 Z0 k. \$ v# R
点config ,必须写好对应的communuity string 值,如图:
, _. X- \! W9 @0 M0 {; ` l " S& }% V2 I8 E* X3 `
5 M5 h0 j! z: e7 L: W2 E
9 N. e+ F/ V D8 b4 S2 v9 R6 ]
( L+ }5 C3 j- w+ B : F+ R. _1 S. z; {. W! c
( S$ Z- d% G% q* m2 h3 n1 A
: P; t- ~$ { ~" r; z% j
3 L& w4 \, s6 R2 ]: V# J! S6 R8 K' I
, w' `( A% `; e" b% @- [- f) J* p! n
远程登录看看,如图: ' y( h( s( Y6 b5 `% W: e. y1 X" D
, |6 f% L" }- B2 M* |' p3 u2 O7 L! F7 f" x1 J1 C+ D2 t1 ?
, j, d6 W5 L( Y 8 L) {3 Q0 r/ d/ ?% q2 ?
. ?, t! [- `6 G0 t" h: `8 y5 @4 G
8 W) X |9 ^$ |/ ~4 B7 {4 }9 u/ f9 W. b; a/ t* Y9 f2 m, v: u$ }
/ R: A- e& h% o, t& Q' D8 O$ X
1 ?/ D5 l R, J4 v7 c5 S% @" Z( f2 v; `. I5 b
直接进入特权模式,以此类推搞了将近70 台交换机如图: , G9 \" k2 ^" n. h, w
" e5 G% B5 U( ~3 Q5 m$ p6 I
3 X9 J) ~1 u f0 p$ D! z ' R( X$ l0 t5 @, G. i
$ b/ Y6 @3 T! h3 D" ~5 q
6 H) i; k& _8 ^) C; L4 K' H9 s7 l
- F& t6 p- W% G, z) n, l$ [- }) n% [9 j2 v8 E) i1 H
3 Y5 R+ F" J- k, N; g8 f$ H" `' o
) q, ^' j) O$ k( ?
% D0 X* p6 ^, V. N& u5 d
* M" n2 E% G2 v) v: O + d4 p: y" ?2 K: X% ^1 W5 |
6 A6 _) N7 c8 _: r# Z 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
4 L9 g' P1 {7 X
* `7 X' u1 M) ]# m9 E: a* n
7 D$ O7 W: O) s/ M' s
0 H" x+ M3 U# l, \; t * |! q, o& K" z
, o1 q# f$ Y+ @) M+ d9 G
v) H) B: y1 b5 [1 {* Q. e: P; O8 P' l9 x* }0 X3 `
" ~2 h- m" D; ^! L+ v& k- l2 ~
2 A+ [, Z( z6 t
# e2 r/ n4 O! U1 s, a3 g 确实可以读取配置文件的。 7 q9 W. a2 p) r) s' s/ W2 [
' m5 b; P' I: P, T( Z Y7 i
) A" r7 J% U* c ~1 d( N. Z
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 3 |$ s0 D- S& k, E/ ]
: Q1 C& a( ^3 i8 j* }+ d+ l& h) V5 J- t8 f4 O) d, ^ r
" Z) y* t) A8 y9 ]' c: v6 f7 Q' V
4 c$ \! ]: \3 o( v8 C$ l6 D : Z3 K) x" I4 E' M7 {
7 e$ u+ J- o+ K
! E3 j/ y% S7 F1 G! S ^
1 A' {# d. [9 n9 M& `( Q0 w% \ + t9 T$ x, J* n+ o J
. {- {& B% z, b6 U; E1 H
! l- y4 T' t3 A 0 p% I i& C( h9 Q
+ c# o( A7 r$ U3 t6 [8 w1 m4 c: b' q
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 0 b+ v T' s: h2 S- d
( q" v9 Z$ Y! Q! s! d
, h4 Q) |: `( X5 m, Q- A
2 k0 ^. P; v1 w . ?7 V# X' Y; \! }4 i. C3 P. s
. ?9 c4 l/ Z2 b" Y3 o0 Q3 d
2 ]* p+ \+ P8 v) {
- J2 c+ M6 e$ L1 p x
1 S, I- K x1 W5 M
4 W* [- j5 A8 [! F, e; t9 s$ S* L, A/ K2 y9 Y
上图千兆交换机管理系统。 5 N9 \" L1 s1 R/ S
m* O* A: a/ I+ i6 j; V1 O' z( g( l4 s1 n$ B$ ?
7 、入侵山石网关防火墙
0 G& O% t2 S) z: q
; ^* z l2 D, D/ x; \% U7 W
$ l7 E- C$ A' G& `6 o4 l 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 7 k( V& n4 ]0 D5 ?. O9 K1 o
9 N2 N% n; b8 b c& P2 r
5 C+ D \$ G- T( c 7 j, u# l4 p( h6 m$ m8 P6 t
' i) F+ A1 ~# [. W. R8 y4 W: S % _ Y) H1 E. z. I5 O& k
# Q7 G; Y7 T3 C U* y
( j! d0 d7 U0 H0 Q s! B0 W" S+ a
+ N( d+ j+ j. C$ H( c) | 2 R6 C# u7 ]6 u1 u+ D$ I6 O
. i, s% t. N' z& R) i+ F
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
/ x/ Y: O1 v) d8 ?$ o) [9 r: p7 c% m
& X( l. ]( [5 K* n6 S
3 R0 Z# u! s& @' Z" ]- j 6 O- Z$ ? T/ c( p1 u
' _1 y6 |8 M J# J6 F
6 F: v2 Y/ E( t& W$ M
) r( J$ W3 S0 i: S6 w# H! M: T$ x$ h8 `' N9 d! l9 u( L: q% a3 F
! Y8 _& J# R+ W6 [
" x: [/ ]% E. @& H
, J) C/ v$ m6 O
然后登陆网关如图:** / S8 E% ?. T% u0 n
& _( C) f) t5 m4 R# a5 f+ ^2 H! k
8 B, v4 h# I: V4 p & G( t, h( B8 T" X
4 A) ^/ M: c$ ]) }" o& C/ q/ q
# J: c3 W+ V8 l! }
& ^+ O V8 U3 Z2 g. P b# e+ h5 i! x
9 v! V* Z$ c+ i/ s8 t9 W/ u
9 A6 q/ n" @# n( K
7 R% r: m9 p. U/ v& ~6 `1 X1 Y J" C/ R) \9 c% ]/ g0 b3 a
7 j0 j0 p! s2 L# }
3 T0 G/ y6 c: B6 ]0 r ! {0 e6 J$ w; e# p9 R8 ? C& q! f
& X6 W6 }7 P. m. D* @" [: W) |9 p6 e' [
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
$ a+ l% c: l0 m
Q' U+ z; u3 Q+ f0 b( Z% E
: L) ^9 ^1 R% d; k 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
" N( s& \& V1 Y % {( m* K, p, D: h, H r
6 i3 s, C- t) j4 E 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 9 L: Y" X6 I& p) c- [
/ E+ C2 E4 \5 {, W% b5 I' W8 p. b- V: g; }% Y
% v; g' m! k0 ?
$ n* R8 Z( R: H1 ^: W3 b3 m8 D, A
6 S B5 U* C. ]
& q# O( X' |/ F) |$ |$ @# N M0 Q, ~. B' k
4 o* w5 U, @- y: a- b+ b% } 8 t% p' l7 V8 R6 a; e; S* c
5 Y6 q6 g) \: y( ~4 b+ Z- o6 N# a3 ] 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 7 }( P1 p3 T* K, j$ g+ {
( ~5 ^, A, G( e$ Z" j( _" L* Y+ g3 ^9 F* X/ z- R& C: x
* l" e: {$ q, e
, M: X. j! x1 b7 h
# U+ z1 A+ U- u + H, i8 [7 }$ v% {
/ y; N3 w, [0 Q: ]$ x, m' P
$ N: e3 y5 _9 A9 ~3 e! W9 g7 U1 O$ l |