|
; J9 m8 B! L% x7 s
/ ]$ f, P$ Q% |" R& a, `9 U
: {# }) F3 D+ W0 c- h+ i |( i! }/ W& {- b4 Q
1、弱口令扫描提权进服务器
+ s9 M0 X& N' E9 Z/ c' P
% }- z& }. u7 o' |) X0 h! {
, J! I2 ~8 B; S3 ]$ ^ 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ' C$ o7 M# ^7 m h4 K
' t& H" q) D2 H2 H& k$ H& n
! e* y% y2 [2 R9 {
+ [, {4 G, H; ^' g4 e3 r' v
4 M1 ?+ f N# _2 S9 R
1 g: I" a2 f, F7 g( B
+ r- c: x& V5 ^# Y! z! u" c: i: C8 Y3 w; H! ?3 _/ y" _! L
& T! a% L- O+ c3 m5 `0 N* C" K* B
3 F9 M8 ]1 w( M* P3 j8 O* P6 o6 a* S+ K
3 u6 B: V7 i/ b: y5 }7 d: ? ' s7 t$ z9 C+ B
0 \. k4 J9 U% Y) V& r
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 3 D: u# o0 R z. M5 ?2 Z
, {1 w6 q% _- W. u5 e
4 j6 u; J# m. F6 w# U1 ]
执行一下命令看看 T! z$ @4 G u8 y
6 a5 D1 k7 G8 {7 G7 Y9 }9 `
2 w2 d; v7 J( p5 C7 R  + N. w% U5 K( z! [3 j1 m
' V. Z2 A! k, c
. A" c7 ^# r+ {. j# ~: Q0 u
! b5 F/ B4 l: a
+ ^0 P" ]3 T2 m2 I
8 h5 B( [* P( C0 ]1 C1 c* c
3 h/ V4 e5 B2 X1 H& @' ]; i7 T" _; J) o* C7 I/ X- n
开了3389 ,直接加账号进去 % L" [2 r! U$ ~9 l& d
$ C/ X& ~; \4 f2 f( `3 \, `. M* I9 h0 v+ }9 V
" F+ t' r8 ]4 i# C2 _$ R# C
# o. P# S6 H6 _4 B" R
1 {. o+ n V% x* v* s
/ F, _( |' h" v$ |" A% {5 T: _6 ~
L( v+ o% q0 D3 C+ d
5 x: E$ z/ s7 K* }
$ b% w; L$ r4 K. ]) [# m 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 - C4 t( T, t) S7 N: T" A
[/ x/ l( _7 ?8 e; @, @0 J
8 l, E5 t. F" H3 O a' a
( Y' ~" m; E$ p/ X
) _ ^" S; l/ W, c: a- i3 q
/ x# E: R' W* t# [
' V0 Q( O% v* @$ c' T7 l9 p+ ^8 o4 C6 f# e% ` c8 ]; L
 ) l3 ~# ^3 T+ |( A
& i4 ]/ D& M h3 U! X. E8 u
' b8 ^9 K0 z P 直接加个后门, ' h* U: ]/ T5 i. l0 X/ f0 I
m/ h" ]6 ?/ {6 x8 V3 D# w) J
( g; t% Y j ^$ l* I; |/ S, u; `  9 p9 A1 N5 T6 ~& A- R
, @+ l6 L! d! O3 w4 K. g/ }
+ ]: M: ^2 c% Q1 r/ K
- X/ H: \' n/ P* m, L3 W
; `7 p7 P) r! J: K4 u: K
" h! Z e2 O2 J: N, L' | 4 `& f# a. _5 `5 }/ a2 R
, x5 c* w0 I) Q( Q0 M% c
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 1 L l# i0 v! i2 ?4 ]5 S6 \ _- }
5 M4 i, Q3 V7 H$ Y/ C
2 G$ W$ U% D' o. O5 L/ b$ a9 \ 2 、域环境下渗透搞定域内全部机器
4 C$ d) v& j9 @9 P m& i
0 g7 T" h& H4 V8 F& _: Y% R1 S' C: P3 J2 E9 y9 R
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ) ]. `% R3 z$ q8 s/ ~# `2 G( M- m, x- l
4 b1 }7 w _( c# T f! M
+ d" y1 d, W4 b( E6 i4 ]& h
z& ^8 q* p. q% k9 Q1 F; [) ~" ^
- }- q1 A5 Q5 G5 S) u) A1 o
, K5 f o" y; A6 S) o: B/ j ( C! I( g$ {' f
9 J8 n- |4 c2 B0 q; B, \  5 }$ h% d% t0 t
# v4 n! i$ K. ]5 p( b
; V5 y7 m4 E V, `( p 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
) g: F- G* }: g4 `; ] ! ^0 {4 e: n5 ^/ I2 q$ H& R
; N/ e6 H9 \- j: Y/ u" G
# |1 J9 v% ]: l5 c' p2 Z" S
3 \( K) g* w7 `9 n" x
% T# Y" j7 o% ~; W
& o) j6 N. O* E
6 Z# H; ?2 i) ?0 r9 R9 R8 k3 B  4 [, i8 P5 K/ S
+ `9 T! E9 y, H& k" V* z
$ x# U+ d. q3 b4 c 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: ' u& A1 r( Y$ C9 z: W! r1 a
% Y" W2 h; H* \" Z& \( d; r$ M) R* {0 V# M% `
9 F& `$ Y: q |9 e3 N: k
3 |/ t( V/ @) p' ^( T
! L0 o- s7 H% J' X
- R5 y: D' b2 u6 B [
" W: Y1 l- f; \7 t1 H/ T3 I8 [ 
& j5 T* |! N* d; L 1 B1 l+ R" o3 _) E& ~: E! G9 K
' O" y8 Y% ^- X* y B 利用cluster 这个用户我们远程登录一下域服务器如图:
* j" R4 H# t2 B+ ?6 e. d4 ?, Y
0 f/ X7 M+ g* j# M8 s7 m
& k4 R* {5 Y/ W7 S! d
8 J) z5 m/ z/ s9 j, E
- W3 Q9 n$ I5 E 1 _1 ^( t# n4 `. L6 s
( i6 _2 m) I+ ^9 ~: V# w- Y
; w) X+ b6 ~" b0 |' Q5 L
- \* V7 [( C6 U8 L1 _1 J k m7 j0 p! j/ i$ ]* L. Y M! j1 B
5 e, V' b1 p } 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
, m0 ], |" V, l& o % D% }% v" Q4 L( m& L( ]. n8 ?: }7 m
# _- e7 e3 G" q* I
0 }1 b: t$ o8 o3 A
5 F9 ]! G. _7 |+ z$ e6 T
4 c. B7 a7 _2 F+ b& P8 D ( M5 w, W$ i" g0 ^
8 v5 [; ?# \( q) k. U2 O 
4 u0 G) b: \" c4 f/ D) X0 {& p$ b5 c8 ]
! Y" @4 q& u+ ~8 s2 ]- M/ Z, t2 G* W, r: [! T3 E, P3 z- ~4 |
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
7 q9 U; n4 z0 o5 r4 H: k5 b ; W. e/ w; Q* u8 |' ~1 b* J
& `# I6 g8 }$ t" R/ q 
8 E8 W2 z+ y9 Q- w $ X1 r5 C8 Z. g0 U. \1 \% o9 y
& h$ o! e2 S( R/ ^3 |3 P# n 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
8 {# M I8 j0 E! a5 U' i , Q" F8 O; \7 m4 }: a- n4 x8 T) ?
$ E" w1 }" \3 M) k7 K% S
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
7 Y4 K4 k" @$ s# t 2 R; J7 L- s: Q9 I) a/ W# \# `
; o: ?3 U7 ^9 @' V' _2 u
. h3 \0 H# S! J) _9 R! c3 D
+ P# u: |! l- m) h7 x; f
# T* F% B4 |: z. l
( f Q3 w4 ]% k; q7 ?
- H" h1 [% |. M( Z2 r' F: m 
1 Q5 B3 ]! q, |: E5 U
2 G* i3 ?6 u% O. j6 a& T3 r) W% W5 S9 }# d/ [, h, ~0 V8 ~
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
, w% d3 z, O0 |
! A, W& x8 t" M% c) J- h
. ?$ y; \" k: ? v- _
7 K+ B$ G7 S( g) k8 H5 S5 b$ Z
P- w/ D1 \1 d, q
$ f2 @! s7 e& |" }2 Q' G! r
% h% s1 C4 E( w, i2 O
' d5 J$ k* Z' y: D  " O) [/ t5 C3 O3 {+ E
3 E) s8 r* u0 L) x2 [" c4 W/ X5 {" r4 {6 ^0 c" o2 }
利用ms08067 成功溢出服务器,成功登录服务器
( e" c. j3 T: H, }# Z' h6 i 3 T8 T2 z9 q. W$ Z9 c7 q3 f
8 ]( d1 i2 h( l% ]! [. o! o
0 E: I: I4 b+ K' k# q
S+ X0 i' k: T % d' d) B u. N% N. A0 K
& p/ Q" D* Z$ }0 v J9 h [( g# t
' B2 R% ]- j) Y1 @( S8 a. i% l, u# X0 z+ b
2 ~" t; r9 n% K2 I& q8 |
1 @0 I& q% {5 F4 Y( Y4 _6 f2 Z; \5 w0 V) x1 t. l
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 6 \# G' J. b, H: p2 L7 h; R
' e# l' x% ]' C
: N5 G$ o# O" b9 ~! D 这样两个域我们就全部拿下了。
/ S" i, S0 k: }
; }( {! ~/ l7 e4 d
# M; U) B4 @$ G4 [2 T 3 、通过oa 系统入侵进服务器
, G @. e8 F; v/ M1 S: t0 w5 \ g! R
) b$ c: J# U {0 \! G/ N
7 z1 R7 s/ B2 K6 A# k- e, K; `1 N Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 & ^( n' ?0 i5 W; Z: m8 s1 ~
7 N. j- J. X+ a* A% Y3 w7 k6 R- k- g; }! c" t+ ?
0 w! U6 e4 l/ H
+ H; n. d2 C# E3 W# d. ?
. _" Z/ I7 `! w
; L7 R$ H" v5 t p+ V/ d9 z- i
* R3 T/ g: G1 l, b  6 ?$ `" H2 d. e+ P* G$ p( z
N x- T) u+ v- v1 E) C0 k- X# Y) d% Q' r6 J- U( L) {9 r
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
+ v% T+ W3 B) A, V H 0 Z( T$ U. b3 J# z! S
: T$ B2 q+ o6 b; \7 {
% D. [( W0 c9 M; W
9 t& P D9 G$ }4 Y
) c$ l0 _, q* [8 M' B* T
( D; w8 {; @5 s! j3 f+ c" t q
8 w# V$ Y. i5 d& B  0 i" g6 T* h7 y$ ?% c
! _9 H# U! g E/ ~* G( m- `
; Z, G; D" [9 i& b 填写错误标记开扫结果如下
/ Y: a6 Y$ U7 p8 V2 {. Y / X7 O" q; N; w% |, e3 {6 u7 Z
2 d. u9 o7 s' q6 m! e
" a" `$ m2 Q5 |2 {
6 M* q, g: d* h4 [' N) R6 E$ M) S
7 ^7 t! H* H# A
( p ^+ n5 D% R6 k. o" f
; j; m$ S1 _* R( j" V$ c. w 
: Y3 g# R" q. Q' X) j! K: `
; Y+ b& p2 ?% V" g/ p9 F: P3 w. @; w. t# M/ e( C* O
下面我们进OA 8 y4 I- s7 y' ]/ C
! R# ~6 S. q( E& I x
" y R/ B9 e5 A0 {4 g. b% D5 ?
# |: x- N4 f H3 _" w
5 a/ C3 U& s# X# {. ?5 V
) b; k; X( G! ^- @' L9 B6 C# v : l* x8 m- O3 F8 }1 o* `
% d# P- s8 {5 N" C$ f2 M/ A 
e; S. s8 B: ?+ X# Y
d* u; }+ c/ ?! A- X, G {- y6 Q7 U- N6 t2 ?
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
6 l% q0 B+ s) x( h1 ~+ w
G$ m5 f. |# c% ?- `4 z
% e' J8 w2 j) ?- K& Q0 g 0 p% l* L; U g6 x( i& T, u
7 e5 _, T! d: Q4 p + J% i/ | |% e- R
! q6 F b% P8 L
2 W& a# ]4 U: O( ^( b( H 
( W& I4 X V W5 G' b% e% k2 I 7 s$ c, b4 E* J8 d% y
. X9 f; j; G" W+ P' g& `6 K- s
 1 q* L$ k* b# f- h h5 k
9 ^- N: f8 `2 i! p$ X7 D
* e& p6 e$ }5 Q$ o/ ^7 w$ J: c6 C
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 7 M9 U9 S4 d# I% d# {& s+ Z9 \
8 T7 f9 ^" ?. M' N3 h: _" R0 U
0 }# d6 w8 [9 b+ b |! W
4 、利用tomcat 提权进服务器 ! f, ?; _- l( |1 h6 p" K
. A! b. I8 }( B' }# |8 S. y7 _; X Y4 S- M
用nessus 扫描目标ip 发现如图 I, M4 A, g! w2 }4 m
' A m {6 g% _6 j; C e% w% Z
& w$ p; u b4 V" ?; r, W
2 `% x3 ~$ ^( \; L3 }
4 n2 V; e$ D* X& T7 i1 ]. l: \
4 h0 H8 ^7 J2 P8 M
: ?( {0 I; w- d4 e! ~5 Z2 b+ `' i7 O" a
 + F) p+ v1 \6 N1 ]
7 ^. Z6 G3 a8 `; v( d& O
. I, _' h) K% K( m: ]! P! d1 S* U2 P& X 登录如图:
2 Y. z ^# r' R / X$ ?$ S' F+ V
7 n) n! }; z) H
; Y2 i, s8 W) g3 n, p/ e
6 W! M$ u& I+ \8 K
1 T0 M; M% O, D" {6 ^& |& b
- a* f9 E4 D: u/ Q9 G6 d/ M$ Y1 [1 S [$ }, [+ e$ a
* `) b$ O0 t) k: W* m9 k9 F
) T+ } \& N% Y9 j0 a, w
% E: J: i0 F; p; p 找个上传的地方上传如图: $ U( \7 {8 y1 E( f8 U( D- r( [, |
. t' m. g& e0 a4 d& ]$ a p) h
( p" i* I g% T" ~$ v1 | # k: _! d* W+ h" _* `0 C' R
! M# c. o- m$ Y
+ W; A$ v3 f8 E
# i' o% m: ?/ @! j' {7 C: z; K* k. p% e3 J1 \
 6 a* c: I# e; T% w" o: X
) h& g* U8 A' D, d0 [
0 \+ G0 s# t3 ]6 j 然后就是同样执行命令提权,过程不在写了 6 {: `( }' D; \4 \" m* e" y6 _; c# b7 @
7 A* y2 H! t- I% W' B" N: f
9 Q; u y7 T/ [. B' w; ?
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 : R1 N5 X' C+ Z# w
, C f6 ^& M3 y
% v9 d) B4 \6 {" U" {" p) e) a" ?0 Y 首先测试ARP 嗅探如图
6 C- r8 S, Q$ i/ ^
9 M. a" V$ \# y1 g! ~4 p1 P7 D# K! m' A; F6 F, l" l
5 C D! V: W8 U! }( K. p+ ^
$ j' \" B9 ^' {6 H; k
' v7 E) k+ J% P/ U9 ]7 u
, L6 g& X- l4 B6 p* z
5 F& Y! F( ^- o+ T% P5 o) c( L9 U 
( ~% q" D# M* `& H* p' y 2 M' k) L" q3 C
8 K/ z( T/ B. |+ `* @: S 测试结果如下图: % t' J( H+ ?" p- t9 l) M
* u" R& f9 F1 }+ J/ T ?/ n* y/ q2 `+ Z+ x. n
/ r9 m7 h V" E) E7 D3 u* A4 f
) O; y/ d5 E( b6 M5 D' l/ ~
3 w( ]% H# o2 G, K $ A0 t2 }+ d3 T, W( y9 @
% H! v# j3 |) L7 t/ e$ q  % y T) T& k2 R
0 }5 `+ P: T# X5 R/ _+ g F
. h% q; S; v6 Y& G 哈哈嗅探到的东西少是因为这个域下才有几台机器
3 H6 B, \7 _8 k7 m8 o6 B6 u% a1 { ( E% l1 X& @+ `* {0 o
; K+ |" f( k( i6 J! I% J 下面我们测试DNS欺骗,如图:
! [: k% q& h, Q / k( Q W9 d6 l6 }
5 `4 H9 ^0 I8 x8 o5 t5 q
) x" Q) r( T0 Q' U3 [
5 v% W3 M1 l' t1 ~4 [$ ]1 a! Z + d, k; X& N2 l! H7 ?% A
" F+ \8 M' T+ F4 G) |; u. A+ C# e, g0 x+ Y$ V: h
5 U% D7 X, `! H4 c& g' A- X
* ~1 R s+ w: U. G( S
6 _7 f7 F i% `1 x* d 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: : [) {* s3 f# {: z! `
, _5 B# D) p: {1 h* N3 D
6 O1 E7 ` z7 o8 J- @8 @9 f
+ Y$ ^) D- {6 ?
, R0 B9 ]% V6 n8 O
* ^5 T& v6 q# ~* E5 C
6 R( y* t) C; O5 Y- t
* ~4 \3 O& J% h
/ \1 c& Q7 I/ ^9 G 2 U$ A" r# y6 @- i. T0 a2 W
% U1 ~; Z' o) ^8 s$ X# o8 V (注:欺骗这个过程由于我之前录制了教程,截图教程了) H# K5 `- P8 N! n( Z+ \
: @$ }) v$ e* G) p7 O
) m# b# R1 y6 u( R) G7 `* O; w
6 、成功入侵交换机 . X2 m8 G; V, O! \1 j+ D. }+ C
7 K; j/ ?7 t5 n$ H
2 _. E. Y2 Z4 e: ]6 A g
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
) [! r* R% a* R/ x1 d# m( x, C + P' S& O. s! P* _* W0 m; G" b. T
) g7 s7 B% H3 j* e7 K, L2 Y 我们进服务器看看,插有福吧看着面熟吧 4 G" u( G4 |# r% c) s2 S
% w- K+ H/ ]/ u a+ w: p) J7 C
8 ~2 w$ b& K0 k( C
+ K, P! {; |$ k( {# ]/ g
) X8 e4 Q! K; o3 \3 L8 a
! d# `! I' l+ L4 h8 R" m
3 V2 A3 p" X- d( q, Z1 c
& |0 j- o& _; N% I: {
 5 `& v% M f- i5 { f
7 ]4 d# Y% z8 d0 M1 s: C
: ~% _' S- f8 i6 G' ?. U 装了思科交换机管理系统,我们继续看,有两个 管理员
& L, q; h2 u u$ F0 h
# V( J! a% Z, X0 Y7 f% |0 m' _9 Q2 k2 p, h7 ~; D) G
( c% z- k, D' m6 r7 P6 S7 K" o0 R
; e7 q% s* g. @: f
- G( E2 J& v: J: n
$ }; E; F5 t; H7 R4 u8 b# G/ O# {& G+ [7 ^7 J5 V1 }
8 @3 \, ~+ S+ U: A7 m 4 _$ U8 P. I! ^9 l9 O* l7 d
H* l3 U* _$ |6 B% j" Z8 ]( _ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
& [8 f( j- d: u. f+ c }- c : h" ~7 J& E, M, F& _7 r, q
6 S8 _% i) F# b* I
$ V4 ^: f) C% J' ^& g
; T% h: c) N$ n$ `
$ r9 F$ u- U0 K- z+ ~
5 Z: _: O/ g5 Z! P4 ~/ `+ E
% `# Q9 s, ]% D7 |% ^
 + s+ X7 e i* X
* j+ @' E& S4 ]8 v1 |; b
! R3 _& a: _! Y" q8 a* N 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
5 @+ H6 C& \3 d" B; M; V ) K' b6 M' p* Q' w: f; V
& a) W. G5 b' z! ]/ U" ~; ]
8 ?9 S1 @6 G Z; s# w. c
! w! C1 T7 v$ j
7 {5 E4 Z% n5 R) f; Y" ]
; C$ D/ C& n7 V: M" O
8 M/ D! F l5 W' g0 ^ 
. |) {( y+ q8 Z$ o: r4 c ( E3 x4 `' [+ Q) [! O
- X- R+ j; I: G& J/ F# {
点config ,必须写好对应的communuity string 值,如图: " f0 h% \% k' s% h
# \5 X; N7 V5 Y# V' e2 V3 l. L
# Y, B2 S- N' A& d; _( |) D
/ C6 j4 a6 k# @& l3 F9 {( u5 N! J
% M! v# f% H$ z. o3 ^
, X; }( e( L- A4 `
6 g) {* l8 _! B0 W
% ~2 I! } Q% |  * i' h1 p. f4 c! V; T4 i) k; d4 ^
4 r8 L6 h4 W+ _# k, A
+ R4 z4 g, C8 l6 ~- F 远程登录看看,如图: Z7 Y- X) a% w c7 x, E& }
3 N' k% p3 S0 v* _
% q& G- H4 b1 S! f9 E2 Y8 Y
5 ?9 w/ O8 ~- @* a0 h
3 b e, E# s0 z6 x
# e* G e3 \2 ~8 c! X! z; G 5 W4 k6 r0 S3 o- y+ U7 g7 f
5 P9 K3 M' o$ g, @" C  3 j! |& y/ }7 A
. Y4 `& Y# r$ E* s' A8 E
' e& o) P; N6 t
直接进入特权模式,以此类推搞了将近70 台交换机如图:
7 |' X+ `7 H' n3 ~8 i/ n3 I
) p( H+ A% f- D) m. e+ W0 ~4 T9 C; @' L/ K0 m
$ {8 ]% A4 t& ^7 Y1 ~' o* p! B
6 K! z* t. J# D/ p) U 4 m! i ~$ h* C. \; s6 X% e
: T- A5 m" D3 @% T. y8 m* U2 G3 ?2 T( _+ ]7 R' X" S
D3 \3 u1 E( L# M" u9 L1 A$ _. ?
% y8 ]/ a, D5 M7 M9 \; r3 g) C
$ y1 J1 N, K$ h 
/ Y: I* N, Y1 m$ @+ R8 A 6 |) k; j( {# m- M( f( ]
) h0 V0 H0 G4 T0 \% h
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** ]) {1 {! ?, `0 |) M
6 ^5 K, [6 W) ~ k
- E5 [2 V6 d6 _: k, N
! M, J2 z7 X7 L$ h; X* U) c5 K
) e2 v) i3 R; A0 b; N0 O+ u% X 0 s6 C# I1 \1 u% t+ r) z; X
" i; \- c/ K j# w3 B( `- h+ k) h
4 @0 J/ t& P2 f: L* Y7 w6 `3 h) U6 _ 
: V9 h2 v8 ~4 V$ m 0 g% K$ G+ s# L' l. {
1 r( J/ i! ?& { 确实可以读取配置文件的。 " D& o# S {( s6 u, M! Q
& S5 r# Q" p9 @, E0 Z) K2 ^
! X d$ w* O1 S4 K# S& F( p 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 1 D4 r2 Y# J& M2 ^
3 [8 h" q0 |) v( @! |
0 T4 M! U7 U& S5 z2 E# C( n
2 H9 I, j+ ~# i9 v# z' H
% _8 G" G s+ U1 P: i3 I. I% z( P 3 Y6 u, g* M' U, \: T
: Y% }+ U3 D7 e9 x( s* N
5 P: c1 B" N# F, C: w4 J3 X" D  - W5 s/ {; L; E. s2 }6 k! Y) M9 d! | \
/ i" e0 v3 X2 x% ^6 Q2 h9 ?8 R) c$ A H/ v" _( H' F
 + A9 u% h% h- o0 h& j, f% x9 y: N
& @1 H9 o% S3 G8 v( Y, d
9 E/ R- C0 b# L3 G% z 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 ! h9 t4 ^1 }( Q. R# |
' Q; k% o$ W* C. e' M
5 s9 ^1 I& s1 A# W. W . f7 v8 P- S" h, Z7 e X% w
) q' x* u! L- o$ |+ h
& {5 v+ m( E5 Y# W3 {- U5 h
: e8 l; `$ Q5 g$ c
) l. W" Y' r3 z. @+ n 
, M/ Z7 A! m7 [ " ^( {# L, s# L) h9 X
: k0 o( d: w+ v- I9 K9 f7 [" P7 [/ ~" w 上图千兆交换机管理系统。
( W- Q$ f X; Y5 i% y2 V8 |. \
, V4 g4 y: y5 G4 L0 T) k6 ^; k' U& L. J
7 、入侵山石网关防火墙 2 P2 O9 @+ z! u& M) Z# n
. Y# I9 R0 S7 \6 _$ U% |2 x
6 l; _; i1 u8 \. [# s 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
/ j* N# |# j. F7 e 9 f% R+ t" w8 z+ B4 H
7 u8 x3 l& ?! X
' ]# P0 n S- u; h0 `( s
( Z1 k# V3 Z: T# ^+ F1 a7 I' O$ t; l) R
* c [9 e1 u( O" X" q3 m
% Q$ Y3 k3 y" {8 F: D/ B3 B R( o, Y7 z% {
 + r+ N5 x6 z1 K" d% ` E
& }( A$ X; U2 ^5 i$ r' z0 E; {
. P+ p/ A3 T: h 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
5 q7 f1 `+ {3 I* k9 D: |2 e! |
4 G0 a3 R, j. v: n3 a
: _2 V. v# r) y2 Y9 [
/ I8 H5 d8 m. n/ _0 T5 c' l9 C# q
% \+ @" K4 N1 B% N, [
. A* p% Z4 p! }! J* \( G$ Z; c
{$ c3 {) o. [* z( `- _" V+ s
4 b/ U/ }* k0 x& v5 [- v9 `  " }1 U. E$ r: `0 T3 D5 _- k/ f' z
- S8 r t |5 |# o0 c4 z2 E
c, Q h0 Q' a. c
然后登陆网关如图:** " h' G4 k. R4 m5 z# j3 R: G1 _) J5 l
0 t4 |6 }2 G: X% \( c" p* U) ]" l! h) G+ A0 ]2 @
& T6 J( Q/ a4 D/ }6 Q
! H A; ~8 v' _8 F% ?
( x1 X& s$ F0 T* @' K1 K
" K9 d3 V- \4 D6 {2 L2 n, y) o; x
 ) a' e+ H* y" B6 w
5 l ?: n" ~) Q) `2 Q% I# }" ~4 [
, \# I8 }5 r, n% v* O N3 O$ t + ^ T/ B+ [. N O1 B
% G6 `, l3 d6 Z3 g6 {
( _5 Y) |# P8 t5 b- Q! i
, R, G' v# E: W' c; P
" E) ~. ]. I8 l! u 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 7 G+ V) q; Y; d2 C
, }* U3 O: l5 K7 q
# V* ?' a( U1 k7 M/ ?* l
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
/ m+ ?1 L! R9 X0 V " _5 F) A |) L4 w1 Z
- k4 S0 e7 W. k5 M! V
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** $ A4 v x. J9 X! h: _0 `
! E3 l `# R" h) p1 X5 `
/ O1 i0 d. ]/ f4 O, A" g7 c4 s
8 y$ S5 K# {( s4 @/ l4 ^, a
9 s7 s) Y0 W8 D' u& K3 b" T
. C* {) }1 `2 D% M+ N
; P7 g4 u3 A0 j5 |8 c, R- ?. O' a2 a
4 {( q! y, R5 q, @. \
 2 e A- }. g4 P; u) ]
& w6 a) [0 @3 \3 X8 S' f8 V6 o) v P7 ]+ v
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
9 B! _+ a: v. q/ S A% b, |1 W
x" O4 J7 j! q
8 `, j& e1 s7 P; S6 _' h 3 W! P1 c" `- W
+ P0 i: j9 G" Y( Q7 {% c5 ]4 i, V
; N. s8 Y& X7 k
( l Q4 u, H! v: t% ~# y
7 W" P$ l$ ^& x4 D8 C# {. L3 i* F B3 X% G. S$ o* Q! `3 h) b" c
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对