|
" T) @; V6 x& J) e7 u3 X( a
6 [ ?8 X! Z7 ]# y9 G& k1 W8 N( v ; U9 @1 A0 C. @- G" s* f1 D
5 h5 |* p7 L. P' v* B 1、弱口令扫描提权进服务器
1 r7 s$ q( t. f 3 }9 z' u+ d' |9 c2 Y2 Z
/ X' @* B4 k% p1 Q6 C5 H7 I- d; \; g 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: / j0 |+ K3 e5 h( X7 T
+ [( c1 o4 ~ H& ]: ^: Y+ y. a
0 w7 X# `7 Z; S! B4 w3 O # K! u3 _# V% s4 Z9 W; ~, n
+ t- h) j8 K9 N. Y! G' L4 B1 u
& ~$ V. D# t- \( u* H# x) y
8 l7 A9 W) K8 _: N/ A
' ]9 b1 v# A% s( ~  # ]1 F) N- N2 A0 U$ {1 y0 e
+ j* i6 C* D& h2 K. ?1 s1 U
" O0 A( z! J6 } 
* K' c3 T! ?! `* }# R% P Q# L $ X) c& M( y# P, O y; {: C, ] k
" y% T) v8 ^. I! v7 `, j
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
: |0 b# k* W2 c. m7 s. C* S . |) N: g4 d; }4 j
+ D; v' J8 t& B8 [3 B/ y+ H
执行一下命令看看
& ]' D" `6 L0 L& m8 M7 h " h5 M8 D( d3 x4 S8 q
7 n9 q; ]/ W0 ]3 C
, y; ^$ d$ c2 [; B$ o* X
0 X% F" m* s' U0 M
6 G& g: ^7 q$ r4 {/ r% o
+ f0 d4 R4 w* |. V0 u6 A
0 f. H( X9 s3 I( |/ @8 k( D
% }6 a0 [' ^+ ^/ V+ G 9 @- N* G. i* f: D/ w ?# Z6 a3 W
. Y4 T' r. W* N. y/ N4 g
开了3389 ,直接加账号进去
4 x9 K% @/ Q) e& I/ m' z5 Q" q ! }; [$ p7 g$ L; D/ T) U7 l
$ U3 C3 C0 [ i, P6 \- S3 J
& Y8 j3 d% C8 i. Y. {/ [& E
6 X1 Z. L) s# P7 `2 }; Q ! h( M1 n% O9 w: u3 s
% k; P2 h, I Y6 p# n* M
8 x/ S# q+ ?2 @$ A5 k6 {
' H9 u N: f3 ]/ v* h 6 u2 K/ g2 K- e; ~' y) h4 d
7 L/ s6 M4 o/ m P# h3 O* ? 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
2 V' s6 ^3 L/ U5 r ' h# j: t! g6 o. e
, H) H% H8 M& X0 |4 P( u & `+ X. A" |* c' M; N8 U) Q
4 e" b6 x+ L" v J8 w
4 h5 d U- J) n# j- @ 2 j% J( G+ o: S4 j$ j# q/ j5 h
+ K1 z2 k( o W$ G
5 D* H; m1 P6 v q( ^0 {3 W 7 b: _ ?2 k% w3 q
+ ^$ D3 t5 B5 v+ y 直接加个后门,
3 [6 p: p2 K" R" f
r8 G: o( p, K, k# h! a1 x
% I4 b3 ~! O- S2 D% Y% C" v 
& L1 }! P5 }2 M$ w* Z0 k
* A- L8 G! C8 @; c: W! v/ `) o5 K" b) |7 M. \6 U
& R" Y5 `4 Y# ~( q, Y/ }
F. {( L( k# L. ]
7 [% D9 p8 Y3 u; D 8 M! p- f2 e( z2 Z5 }: c N# G
/ w1 X9 w" r1 s/ t
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
. @0 X8 o n; Q U( F; a4 {& W- V
: r& \2 N& C% Y# y% }2 y2 F8 g, e% V9 a
2 、域环境下渗透搞定域内全部机器 . |' V' g5 p8 [- X4 J- Z
$ J0 G: u5 p. \4 e) R0 d1 O) |0 G5 D8 K. j+ |; B; q' C- I
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
0 X; y/ f0 }' y$ u( O& L2 ?1 C% i: w % ~( v( N# q: c g
; |( Y3 B m0 G2 |4 {: z
# E0 Q( H# ]8 L( G# V5 ?* q9 J
/ D% j' s$ a. U, \, H2 j% z ! i' i) F. W- v2 H
& ]& f* }9 [ _% H! x; }( o3 l
0 {0 ~' o: n( G% s, e! Z) _
2 d" `6 j' ]9 \: I" b* {" \2 e; j
1 }1 A4 j% J# I9 D* ~/ }/ s
# w4 N1 }8 J" N7 u1 T 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
/ f+ d, S0 v) ?- H , D5 i- G" p( \$ q) s5 U
% Q1 y v- w$ C* [
2 w/ U# f2 s! _/ {# j# V
" x2 \6 D# g/ p" h1 J6 c 8 F3 \8 T) h0 E$ |& ]9 Q( e
& B; t4 u9 O. I
3 Z$ a5 N/ h% F 
/ Z5 q- o- i' p% A7 J- b) x
% T* f, r4 Y6 @' ~: ?, p6 Z& n* W: Q$ A1 m m, [
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
# m {4 Q( T' L- Z9 s" D
# ?/ C& c: f/ }: r+ m: Q: w9 O5 E4 D# ?4 ^" U. j" w% @
( _5 ~% o7 M( m, N' ^; U. \) h& c
! T! u& h0 n9 X; V1 ^3 [ 4 D" q" X1 v& u
9 y: W9 s2 n0 u+ `; R) j, X9 W) }2 L+ |. W
4 H% Z, ]7 j! O
: l8 i. ?" \* Y& Q, ^& v9 d8 W& V& h, g0 `
利用cluster 这个用户我们远程登录一下域服务器如图: 0 ^. V' S0 L$ B
8 P7 o5 U; I5 V3 ?! ^: V# ?4 v9 R% H4 a
& D, A9 O; x2 _: H( i' j5 M
2 }% \9 X( a' w# _1 Z
/ i0 T' H: r( t5 w8 |6 G* p* h2 [& t9 S
- k. L( K& C+ j8 Q) V' Y1 r4 @
1 h- E" N: @2 ^' d8 |+ r
8 H% X6 z }+ a6 F
 , D* K8 b8 r6 ^; G! t
9 H( Z% P& N! [# s
: v$ U7 d4 V3 G" Q; T 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ; S' `3 [. A" A& r* X$ z" j
$ n8 p+ G# L* ^) C5 R; N# D# _, r
2 c& y' d( R# I" L' g7 N- i
! `- i! J1 x' E$ M# ]2 }
5 ?5 d; x1 E" P2 r/ V
" z% d; \- ]! d3 p; j6 f* u9 ^
Y9 t9 B: s" O+ \
z- a+ q; |5 }5 v- Q2 G
: x" I( |* [0 ?- O. W# E$ k
5 m' r1 f! j( E6 ~/ V" c/ D7 `
6 W6 Z9 Q/ R' S7 ?! L* V% ` 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
' N" G: r" n# d' u
4 f+ s0 o+ `+ s, x% m3 n2 c
% S7 W2 _- b+ E0 G3 n  # b3 w* }! E/ v9 A
; p M+ s* t+ R! s+ Q6 \, v5 C
) G$ {1 M F1 }+ k0 x 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
) J6 u7 o6 F, D# }' F" R; I * V. A5 ~* T" D, ^
: Y \1 {5 {5 p* e7 b blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: L. T7 G+ X' q i" F) [5 A
% G" R+ }, ~! ]" D* O
# F8 S& z, u& V# Z. P, \3 ?
6 W5 P% Y5 w7 k, L
" L& d& y/ s) L
! F# ^' ]1 i$ V8 }
- z1 d6 S( }; I( D8 a5 j
' e2 G; ]2 R8 e* ]* @
! q% a8 s9 a, n' [0 p5 B
* @6 Z* H3 m0 a. P! i4 I
a& g: Y# t! t' { 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
$ F, s& O$ Z! E# [5 B- ^
1 c& f$ K1 J% k' x, e' E8 D9 i
s) W1 M5 m. s( y1 q7 z
" W* ?& _2 l" {) g% a7 d# ~
Y, ?7 w" l+ K; U, z/ S
8 ]) `$ j; o3 |' a
( p: u! L4 Z9 t/ Q% r: s, J2 U' [0 P8 _. e/ J% ?
 3 z( A \. p1 Z0 L) G8 C
2 _6 q1 w+ J2 L3 T+ Y1 F# H/ d
0 g0 t `) _, ?" c! e3 c
利用ms08067 成功溢出服务器,成功登录服务器
6 b4 f% L9 g7 \& e5 |
4 u3 M& l2 b' i7 I/ J
' b5 Y5 g) S" `) `6 E/ D
1 n3 U; ]2 C) g. C& H4 J
! H* @7 o: o7 ~0 {/ V, q7 J
: `6 d. M, N+ v# U, _# ^- H
5 F4 O- C5 ?% v/ g9 ?) ^
! u7 ?: q6 {- r, \( g) x  ; e" G; F8 I6 s" @* t8 K
1 ^* V4 c1 [7 T3 n! x6 p- M
" G( ~" E7 l( N* r9 I
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen - v3 d/ H- E! S/ l
. c/ T4 N0 q1 R& g7 b9 a0 `) r% l9 ~* b- S* d7 Y+ N
这样两个域我们就全部拿下了。 : R# e+ o4 N! G5 B/ r; S) F
5 r( V9 L" P1 O! R7 S
" `/ o) y$ H) R 3 、通过oa 系统入侵进服务器 , t: {% g* f& P8 v5 F! @
2 Z, o9 {3 t$ Q9 l0 Z/ m; a$ _0 I7 \
; g5 @" L1 s _# r j' N Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
! u% E8 r' ^' J " q* g! s' ] E8 @2 p1 j
8 Z2 u/ V d% D4 y/ b9 p, n- C
% ]# C+ f$ s2 C5 H0 M7 |
2 w' g; K" b+ l/ @0 P
1 S6 f8 v' I9 l& i* m * }. u: F' x' U8 \* \4 @6 t
% e8 r8 s& c: c" y 
: I+ x6 S- {/ b1 }3 J: o ) j$ D1 _0 B% k& E) j5 s6 E
0 m3 S, [& z! b" p3 a; v 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 8 e, X/ B/ J4 R
7 o% `6 m" _8 O6 R
6 B4 n1 a9 S' W5 N! B9 F
/ N3 {8 s$ Y) ~0 F
4 }. |( R7 k4 {7 {4 v
* Z* W2 |+ q9 f- t1 n) ~+ {
2 r" U6 C m; \
5 ~ {; t6 n V* O V9 c9 I  ' v6 f) z4 u& I
- C+ `: R$ F; Z0 g0 Y
) K3 \+ G6 r% V8 I 填写错误标记开扫结果如下
9 v5 V) t! X! A- s9 D ! m3 G; ~9 _7 a5 C9 I$ O7 b' x
) N, p3 D: C& d) P) G
! w) t: U, x# R, [$ c0 x8 z
6 f o5 l, I7 J' G+ N( T. D7 b- R+ ?7 V
5 w- `9 V2 P2 }1 q4 m' B; v8 S
z$ w! F7 ?: w, w7 Q+ {
+ l X9 h7 l$ J* f  * D% i, `' l; R1 s, d: M( K
2 ]% E; t5 H; R% ~: _$ l
& G' G0 S5 w: l. e) j6 ^4 E
下面我们进OA 1 G' B3 \2 x! Z" D' M
% i4 [1 n5 i6 a( h( i/ O
/ x7 Y& w$ \: G, I* i/ `
7 c! W1 T' w% v* s
" A* W& Q2 G/ }9 V# G
# J+ _6 V2 T% U8 R; `6 e5 j8 ^
1 d1 u" { g% w. Y$ V9 w$ A }* z
4 C4 o* o# B4 G8 g5 X" i; z  , Z# j5 [4 V- l$ E
7 l/ `5 v d! L; _2 L& |2 d1 A9 f1 _6 v* l) l6 p
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
! [$ x) A9 b; t
1 g: ~ J3 @0 F! B) [/ P$ s# Y! F9 g# S( k: K; y/ g* r
, G2 g4 E8 _3 b
; K- o8 ~ o9 F" W& s
/ [. j" n% u2 a8 P3 B$ _
; J' _. _4 Q6 `5 w4 L5 j7 @7 A7 |
( f) \9 t& [- t5 ?' ] 
4 N, i# H! B1 P$ b2 I 1 u' P7 E7 g: ^# f. H
! ]( \ N7 x# X7 y- B  9 P# C* K. O, Y+ I7 M
2 O: y7 @! a! D' m/ Z5 Q. g6 v/ p: e- q, u
# U' e( P/ m& } 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ' m- F$ R0 W+ ?7 q9 W
! P3 u- ^5 Z7 o* x/ N
- C( d3 ^9 f' h- d 4 、利用tomcat 提权进服务器 a* n; ]9 K& X7 U7 ^! M% {- { d
9 K4 z+ f% u7 Q e; t0 O8 T1 ?) P6 Q, c7 A
用nessus 扫描目标ip 发现如图
. c! v- I/ T0 D C/ s$ H% ~: k
. n) }0 i& I0 T; k- \' @5 A
! {8 N4 V K- x/ l2 `, r" p
) Q/ \3 h& N1 g- X
: g( ?, N, B6 E . |/ [. Y3 j$ Z$ I3 p2 @' Z) i h+ d
% h' o$ x& g7 y: K
- h" O( r4 B- d; J! p
3 D, J% p& r- `! _" ^, C3 y
1 F% ^! d2 x9 i D' U$ Z, I
1 e0 D* X5 V/ ^( I( k' A. E 登录如图: ! `6 l) h- k7 j8 y7 J, b
0 x/ F4 a; N/ A1 ?. l
& E& t! ?2 h; {! r+ R8 _5 `
5 N p1 B3 c- v4 A' J% k
e% s( I8 A$ a0 e/ Q, m8 y
4 Q, U- O! O1 t5 Q4 Z
% x; @0 Y! G2 N* D; g1 h: }* Y6 e6 F% ?
 ' g& N$ }. p7 }4 l; w& m! y% }5 r2 W+ x
8 B1 k1 k/ ~7 o, Q
5 v6 V) w* y: K5 D 找个上传的地方上传如图: " m# m+ i* q, M/ D9 H
+ a, _9 G; ?9 e0 X8 \' e
0 k4 c0 s6 ?4 N. K* m" d% M; C
$ }; }; q& J8 F( z- g2 D0 y
! p+ `& Z7 B3 W$ n + P8 l2 `6 d0 c! i
V1 {! u2 ~9 @. O
1 n, k: s2 e' y: b
 7 w: F* L9 L: Q i+ _% a/ z# m" `
) b6 o2 n6 I' v. { K$ o9 I" J9 V
然后就是同样执行命令提权,过程不在写了 : Q1 y8 d& s5 V4 Y- P5 y
q8 J3 t2 y1 K4 b6 z! E, q; Z' o6 s9 |
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 2 U0 ]* b' J- r" `) m
x* \+ o% b+ n2 G. F
! K+ U, o1 J0 n0 v' `* c 首先测试ARP 嗅探如图 * i* j) v* ]% A# R( L
. j( ]; L0 K/ Y3 |
% \$ F+ A! r0 B6 c$ \" R3 G9 C
y, Q+ U/ _ Q0 e s
" s: D' Y. k$ H K' M
3 O9 U* ]/ }( r4 M) m3 _
( Z# r. x! B! B5 b" X
9 A) Y0 `3 U6 p5 H5 B; M$ s2 }& ? 
. h* F& c: p6 Q- K
5 V, Q* A/ D# `! I+ l
* R" y& ?" c9 Q! y9 L0 w/ P 测试结果如下图:
: ?& ~( J% q* y. ?( u , P, d5 B% d% F; U
- w; o9 M9 w, ^5 c2 u * A/ X7 [/ ^- W* F
6 J3 w& x' g" B u( D7 p
+ R: w3 \1 f6 m& `6 I* Y; s- w 3 l0 Y: k( C$ r6 J/ Q
/ r3 a& ?; z" u$ \  + J% _% f$ F* ]* l" Y# O0 S$ R
; E& q: [' Y) o3 [. z& t5 s+ E2 P
哈哈嗅探到的东西少是因为这个域下才有几台机器
$ z! f' P& z# W9 w y0 p) w. l
' S& Y) n4 _$ P- W4 G
/ Q- r) g' p( g( ~: @/ w 下面我们测试DNS欺骗,如图: 5 m! _8 y0 y$ @; @+ j
. u: b# x! }2 B1 W7 ^$ M- b
& t; I; i' x8 G/ y: Z" `8 c, j+ l0 ? # @* r; P( D5 r
( h$ S- q9 a. n% M; r3 ]) b
$ X7 x6 l5 E: J2 _ & ~' U9 ]# d- ^, l
6 \. q+ r7 [+ ?
5 d9 l# N! P' L, b" ]0 {' o, G ! X& R' o) C2 I/ N0 W- m* J
$ F2 G8 s, \; x 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
$ o8 D6 ]1 N& Y h4 a! H $ I$ L+ M4 n% ?7 } W* j3 A
4 N+ |: s! h0 `& Z/ g3 P: m
" r0 h" V T7 z( h+ f
5 g1 U- {+ C# J. v/ B0 ~ 3 U- y. T- x8 f L8 X) i
7 c+ A& B1 g. r: }9 B
. v" b/ o8 n, h3 K! A: ? 
5 r& N6 s [3 i( T& j0 O
1 {- I( a; m. M+ Y! f( c2 }5 Y9 g# J- K! {. E
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
1 c5 O7 U! n" b3 m( H2 d2 t. x / `9 h& I" `; o* {- n; g/ o
, h* b' z: g7 X0 j2 }5 L4 x) M) Z
6 、成功入侵交换机 2 B. _/ o' _, q m# `% U
0 z/ ^' w* E, n' \
2 F( a5 _# \, o2 ], n/ k0 u0 m 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
1 q- o9 B5 R) u, D5 V - I- s) X# e9 R& c9 Y; a
0 k% ~( |% {( z 我们进服务器看看,插有福吧看着面熟吧
) r7 ]. R% X6 d5 p- A! c ! e, o) N% r u& v4 ?% n
2 E D4 g1 ~% [ ' x0 u% U+ U+ }) e( F; Q3 X
$ m5 Z, i/ _, A( b1 b
3 ~' j9 {! d4 {: W+ ~
$ j0 I: M1 g$ o1 T8 k% Z# e0 b: S5 ]- h
 % u2 @: q" _/ C) Y6 V
8 f3 r' g! m5 [2 B* v
& V6 e. q5 k( y8 L( C* i( O) }5 B 装了思科交换机管理系统,我们继续看,有两个 管理员
7 `0 u7 ?& G/ S0 S% m2 s4 n( { g' R! T , U3 I9 o) d+ g$ [/ H: {0 P
8 L* g% m5 _8 Y( g' [
9 @( \& F0 A1 Z2 ]- b
# [+ Q- C* g: t V. x3 K9 O" @
- F) H" v1 V7 {" C
9 y* k) F H* T4 b1 C$ b0 l5 d* e& ?- F1 j L
 1 y4 A7 M* C* D+ a' B6 C
0 g8 {1 Z0 v( m" U1 Y/ \. ^4 k- H
. D0 {) V! k/ i" R( v& u 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
. s, f0 z! D$ M! Z7 [
5 X% r8 R- V' O) [+ p# C1 o H
% R' o- g% V' q7 p( \. _4 T
6 d& W* y: Y5 W: y9 {, V l
/ n% T8 U) ~0 j7 ^( ^9 g
" d, L9 h/ L0 E8 D# K4 I. x& X2 r( v' u6 t* D
, w, N+ [$ \; e( X4 D
! D* I! s$ G ~% @% n, ~$ b) S7 k3 j
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ( F( e, w% I, r+ J
8 G: g" \6 O* z- w- j- t% y; [
8 _2 {; W; j2 r2 Q; Q8 j b3 g
% ?0 p7 Z# X, M& z% \! ?
7 P- T4 w4 F3 t! l5 [4 c
/ f+ i! r2 g O8 e/ H$ z
/ w, t- B& a& z l4 r+ Q3 q5 N
2 ?. f* B x$ G% ~% C K* [1 F S
 ; Z% }. k$ ]2 T4 `* E
0 i; ]6 X9 I# P( ]0 n* }8 g; |, l
( S) w* h' A f5 }# S9 p
点config ,必须写好对应的communuity string 值,如图:
9 T6 }7 f2 Q/ g3 C ( u! W. y! Y; k/ y# X
: H+ V# I, a5 [1 M" T% n
6 l I; `; ^ o8 I9 B8 V% R: Y
4 ?6 [1 V% s8 @% z2 h
4 i8 d7 v2 l9 I* D ]/ I: i
5 r" p; w9 Y o2 N: J; b) J5 s: c# @$ d: o0 R
 ( B/ B4 a4 i0 b1 `% r
& Z- _2 k6 F% ~2 a/ M
* D# X' m6 I) R5 Q( v 远程登录看看,如图:
9 z* p( Q6 x) Q* o4 p r. D7 U ' Z9 L5 {+ C. { a3 e
8 x1 Z+ i4 P! `" c2 ^/ _
8 h1 p4 ^2 ] y% V$ D7 d9 M
3 V5 C$ c. r/ N% g
# B% j1 {$ x0 P- f$ o
) m& q7 G9 K" m, E2 ~
# v1 f- c9 j3 X6 B  4 ]- p ?6 |4 C1 C
8 D( n( ^5 ~( @
# S4 U4 Z0 C, e; r* h8 c
直接进入特权模式,以此类推搞了将近70 台交换机如图:
1 o( |! z1 m- d, E: w! R ' a) |, t8 E7 Z! ], P: y/ R8 d" R3 G
: ]" P' |+ U4 X7 q0 ~
# b6 h) s! A6 J" ?6 Q& H' M e
; z' M7 x" p! _- i- Q/ m
" v p0 ]# _) a" g1 p
& u: c1 K& i% ?$ j8 b$ ]+ _
5 G* \: S. _5 F/ Z# Y& v
9 D3 x, u" _% H2 I( O 7 g; T1 r' ] A: |) G" |3 E
9 l, p8 @. q! \4 t
 6 P, m5 w. ]! s4 v% l4 F5 W% ` X
* q+ A( S# u0 v' l% o1 k
3 J1 N. U& g: _/ F5 i. _- _ 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** z# }0 A! w7 e h" F5 I% X0 r# r
; H) @$ e( [' Z& @" S
% k( [* O" E5 c5 D1 ~ 1 r0 r- c% p' p, N0 ?
& }) }3 {$ V$ P( D/ b1 Q, C
$ {2 r4 E; A) B0 t% ?) v " u3 ~3 A+ K4 ^8 g7 d. I
. Y" R3 @6 _$ c, l4 c+ K; |0 w# C2 `  : ~, }* p: o. H3 a, [
! J, q0 A+ M) w3 n- ]4 j! ~$ K" r" ~% Q9 ^2 o! V
确实可以读取配置文件的。
) b& @, {! R1 i( _& k! m1 y 1 n- `% @0 U$ {
% B& v, x. X% H& ]: ]0 [% S. Z6 M& e
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 % H7 ~- X9 w7 s' Z/ P. W% i e
# G% v X F8 I' @) [6 n0 U
/ R" W7 h6 B! M' v. ]& S
* M4 J- j: ]# s8 h
0 {' Z3 \" z' _2 Y# x+ ~: c6 Y
% f4 D$ m( m0 V* Q
& e: D- a* f' k) L( ~- r5 R7 H0 N3 _1 f$ W( A
 7 z+ l7 K; j5 }$ B4 I
" ^: Q4 H+ R. v! R% I H5 g
( i8 D7 K8 Y1 H, u6 Z% C
 : o( k9 K7 e2 i W+ G( Z4 Y. }
! B3 b, w4 d, k N! d! K( O1 C
2 @; \7 \( O2 F 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 1 f- ^) j: U8 p: W4 {
' F/ [; E) @9 r
* v: g7 u! N" w' J# k7 [ ; a% Z/ B' B, }4 R+ D1 H1 p. @% W
+ i; w) u; v5 y
7 F0 i" p; u; A. e5 d! u- ~; O- e( k . o( K( k% k# H
$ ~ R `/ K5 d% C7 d' a
 1 S; ?& O+ O; E6 s. A i- d
; i1 {! d6 ]: r: L3 y& M2 b6 U# d- U9 S; } T
上图千兆交换机管理系统。 4 x9 G' C: t: x, O' c* e3 s7 h( _
. j9 i$ t6 x% I" Q' b/ Y, d, f/ k$ I
! Z$ j5 \* r. O$ S4 Q5 v, n, r8 L) m" V 7 、入侵山石网关防火墙 ) G+ N, Z* j( F0 W
5 e' E3 G, G) Q& @. _6 y' B, z
: |( c" Z$ |/ J3 E 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ( ]4 a' a8 C5 M J
, {5 G+ T; S A, C
x$ t" ^, ?* z + A0 ^1 N g$ I% m. M' m) ?6 e: `" H
! [8 ?+ e% Q L2 T) s. Y% _
4 G0 t. \+ s' H2 K1 W' R5 v/ ?! j, t( ^
5 }5 c8 V+ ^/ b1 H# \; C
/ ?: }2 t! L, L3 D& ^3 \" Z# l 
; T z8 n u% G% L* ]+ ?2 Y
$ G S4 h9 J/ V% [& Y* e& d: v5 Z% Q% k
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 7 U y- J& b( ?, ?6 e3 l
( Y+ o+ F2 t1 K, K
% X: p8 c5 K- Q! V
4 b! L9 h% Y& b7 y
# P+ g5 f& t9 U* `& f/ q
4 f6 n* j( D# I( t
6 B. P1 u' v4 Z4 j0 e# f
3 [ k1 M3 J4 O U0 R; R 
: K, l3 i5 w2 `3 \0 T0 x 3 v- N5 K3 P" ?+ k; B) I
7 D* a$ {: S3 _4 B6 n a! ^, M
然后登陆网关如图:**
" q$ A, M" M B; ~. O
) U( t4 G6 Y2 j
" p4 z6 \) \, X1 e7 [3 ]+ _& u" t : v6 ?) E2 i6 ^; J
' }1 f7 o4 h$ g3 K# m6 u
6 V4 f) S) U; S" w& D
# r; x/ Y3 x+ f* k3 D9 |- u! d8 R% @* ]* c' v& y
 2 x: H8 `6 i# e8 A- g" @# q
% {- m* i' v s% P8 j" @* W G7 k
2 A, U) i" z" H
# p5 Y" d4 Z+ k5 F& L( j% [
* L+ g; K3 c, O$ [
9 k, b% @/ @* ` b0 K6 R " o0 O( k4 [0 T1 Y" a: K8 m6 ~
/ f8 h- U/ u7 s) J 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
4 n# A: @+ D& A- O* j# h* _6 x
$ t) O- _- g: Z/ M: ?2 w$ l$ V/ G# G
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
# e8 b1 T" C& i1 u& I6 O& K H
' L8 e5 q/ r( Y, o
: z' R4 c! W! k; W/ s, Q 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
9 g; ], i+ P/ y1 H- P 2 f+ D! r! f M3 @, N4 c% K
/ r3 Z/ h; j! a
, \) S; b- v- J; |6 E
$ P$ X2 a. V- L- u" h; V 2 x2 a% u! I1 O% J0 ^& X: u5 s0 ?
" j+ t& e$ b) @: c- D
/ _+ s; `) P! b# [" I+ L 
7 f s( g) W8 t& @" u% _5 G
8 e% n( }) ^5 Q6 K! h1 \+ \
2 l9 {% `; a. u `+ K 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 , @' C1 q* H$ b/ \
3 f, O! U$ R, S# ?( |
3 G$ L+ Z: x7 ]' A. M
8 x% ]) K% O. ^: L: o* p
. B. k. A+ E9 b
g7 j% h& g4 e/ w0 z
3 [+ W1 ^2 l2 N
/ u" v) Q! q6 E& f( |% \! W; n& Q7 _) p
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对