|
! U2 [8 [& [& A2 E5 c$ D+ [3 [: |+ Q
" L3 t+ E5 f& G1 r* a: A
# b2 J) ~# N7 O0 k' U1 \( y
' l1 F# @, X( B 1、弱口令扫描提权进服务器
* x" [- W6 J1 ?8 w/ X4 B+ X 5 x% A, ~! F! E: e7 x' z$ |; h
5 `1 k, V" o0 }! e3 P0 c 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
% J9 x" `$ x3 X! _- ^* Y/ M
. O: i1 W, t- K+ ~0 h. H* ?* @. I: i% ^) @% J
, [' l! e) w" n6 D
' K) l& O/ a x6 G! R! i
/ H& c0 I1 j" p) E& \& c. T
8 T6 F5 ]% u% W! s h3 b' r# o, a8 M# K" }) H9 B+ C: e, x
2 D6 c9 s+ f' r0 f8 n 0 L6 _0 I" A$ h) S# ?0 r0 T7 w
. V2 R% B0 @. e4 a
 8 Z9 n* E a( [9 _: {: @- V
& _5 O8 J5 t# z/ j6 H
% b+ |" I5 _, K ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 * f0 `. i* v6 U* F+ c) B% { K
* s, X0 j7 a/ C5 F5 i y d% E/ I! A! U. y+ J- R$ C, p% f
执行一下命令看看
- M; _- l# Q8 D6 S% v. x) a5 O" o# z
o7 s0 v0 ^7 C& J+ O( G) U, i( p% e1 Y9 [$ q+ X
; V7 D6 n# _1 ?2 b8 d) u9 @, Z - {8 v1 d3 q! S& V; m, |
' _1 P4 h4 M1 C/ A# ~$ ^3 b & |3 E: v* X: ^8 \, y
M1 V7 e$ g) F. ^
) c- b" p- q" b7 S. f2 a: |; b
* n/ I# Y1 G0 L
8 w0 N0 V$ i7 ~! L1 K7 [" X" ^ e 开了3389 ,直接加账号进去
, d. V* \& k' E# y( K" } / S- r8 K7 f7 W, _- y9 ~7 Q
7 K4 D/ c& ^ R. l, r J) H# Z1 _. D: [3 Y; N; }% m5 ^
0 R3 n" G! M1 r& F
' }- f3 M6 N* B2 z 4 R7 a/ y& Z0 Y: Z
: I: H( k' I) C8 d  , Z* H& b6 N- v3 U
. @5 b- e' d2 e( H0 S
# r( j: p/ y$ @' g6 I0 E) o 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ _; @! H9 q! Q
& E" j; D; K2 x' ?* v2 |" H
: s( D/ X2 k* K
3 o3 v* Q/ D1 Q8 h. g, A, F
" C: _& z7 [- m+ D; ` & \: g3 w$ Z* t/ b6 y3 F( t; M. P _
' {4 b a, }+ v* X( o" ~
+ s$ q8 R" x6 a7 T+ m& s! K
 0 B/ F3 D8 V3 P3 N* h& a' G
0 f! D/ q7 m: |
! ?- n% K m" I* t+ V( z, O' n# K. s( n 直接加个后门, + b, H5 a: p' V! t$ B; S2 b4 _
7 O& S1 s9 }5 f' E: Z p; h9 S9 Q/ ]) ~' n
; x5 a$ |4 {/ L2 B, z ( O& J U5 h. X1 D/ i$ Q2 F3 @. [
6 i7 Y) \3 Y" _6 a2 n: J# R" b i
! D8 \5 P( k" X O& p* z" x
& p0 B3 Y, i6 q: \$ G# U1 v. n
3 N0 {- c$ s5 Z7 U. d 6 Q ?; ^! j' E" `
+ o' H; I* f- x% F$ r3 x
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
( r- V6 d1 @3 v, A5 S
0 g% N' g# d: H d. ?
0 z; |2 D0 J1 m# B3 R 2 、域环境下渗透搞定域内全部机器 9 c9 Y) ?4 M' Y- I+ G
! m. A- Y1 M0 X4 m! S3 I! H
2 G' i$ \' S3 F) L7 H' h 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
7 F* W! i f1 H$ e
! P. b9 r% V, d. b3 G
' H$ q* M2 B6 K) E, f p" C% } % Q# n- |" n$ o. g) |
9 p! D" R3 k; J# s% D% N
5 {6 Q; B9 U& H- S9 i; ` 7 h, s _- h- Y8 c2 O. m3 D! g
2 u% ?& B+ J% B2 S4 q
 6 F/ p8 b( A o% y2 q' u
6 y! l4 j. x) O
# F' z5 ?4 b0 L9 }4 V5 H 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
7 y2 {1 M- A0 |% t' e/ B& C/ u2 | 2 K V- u# c7 k! a
, I7 ~6 @) D" Q: ~/ ]
4 S/ R6 c2 E' B0 }
6 U' i0 D- l- c3 b. T1 z
8 K L! m( R" m! s9 W- }0 \0 I
0 `* u" M% q2 m( e( O) h! V3 q* X: v; K7 L' l9 U
+ }8 I! O1 h- ?$ E* ` 0 }7 ~7 T6 u" o. Y( v4 ]1 `
6 M' u3 X0 s- `5 B1 E2 A. A
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 3 O) Y7 K$ E" `5 }; C
' h- n6 \0 S$ j% T& j" T3 R6 L
* Z, h9 j/ b' @7 P% ?
& _# [, D0 h* @9 ]" r$ m9 Z
& d. E* N. Y" }% H# _
8 W+ G$ A$ D. h1 C7 N- m5 A2 n 1 t, n3 o% B1 d! K
$ V% }7 i3 s0 E/ r
: ]1 Q# e& {: _3 u0 A" c* @3 E4 q $ G# F. I5 R/ y3 E) u
; z$ m5 M4 R, ^0 S% p0 l 利用cluster 这个用户我们远程登录一下域服务器如图:
X; o6 Y9 i" r4 f6 W 1 _% I; E0 M9 L5 N' L7 k2 \6 A
3 q& f% C) D4 U/ n& ]" T& a2 b
8 r# W c& N) d4 u' {! q
% f% z1 s- D+ U6 A1 q ' c3 T( \3 `1 A
2 ^" _% ]. B/ Q. {* |! \! E
& m( T% G$ c+ {4 l$ q3 } x 
0 D" q( f# M, K * Z7 ^: y. L; W: U6 `
G) z! e5 G$ G
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 8 R. K: D! L( H; V
% X4 \6 }3 `& C, z8 A) {4 _8 q4 \6 G g3 d1 R; S7 w# B* o
7 p8 u% [+ U$ b5 ]
9 U( _; Z/ F1 @. o1 c) N% w j
0 X5 J9 y( ]9 W" P: P
- w; p& u' h" Y% A7 t0 M: n. `* ^5 E L# r7 {
. F. g) X" f7 \, ?, T + q, ?7 a+ T/ a. L5 J% \
/ p& U5 }) V1 k( d1 O3 S! N8 F 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: |8 }& m# S) U* D, D
' b4 G' F- b5 [ W6 P: s0 Y2 J$ T4 r2 c' V
0 Y: K; T' t+ o
& O% N- x# Y% Y7 K* v" M7 k6 m. t* X2 J0 C
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping r0 @& z0 A( y5 g2 W# Y+ y$ _
1 _8 L0 A; J0 a
7 _1 N- R1 f6 Y( ?! C blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
3 c+ Y3 ~; @; V: Q
8 X: l f1 D$ H( V- O. T
: `! Z" k8 q+ c' h5 b) M
6 {/ b8 r$ N G9 x
% R8 R ]5 Y& j/ R0 W6 e
+ M9 k- G* Z5 D 8 d" x8 D- Q+ ?: M" O: q' y) w. ?
% [ @) {3 z) G* T. r9 P# c6 h) k* C  : \5 c& D! y# U. n3 c
0 ^) M+ _# n0 b" I# N# [( R/ i1 ? H/ _
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 / D. ]" ^) P" o: C( u8 b
% s/ U9 K" K& _3 |; [4 C( ?
' z) j! q9 U& l) I
9 y. }# ?; {: e. Z6 r$ k
9 s# |6 X$ {3 v9 I$ s( I
. N9 k" X1 b+ P. V# _
2 e3 q* I* S( W7 A) V1 |0 n1 N& S2 W
 ( i; S' i% R0 B# w! o" A
6 B5 P: M( J# O0 G( ?& ^
; R/ N. c9 S/ Y; I! B9 U 利用ms08067 成功溢出服务器,成功登录服务器
E7 ?) m( `/ `% ^+ |( U+ i - a1 N% Y) G/ g
3 j& k q9 H6 J! R
# w f& T' r' b k) y
, M7 @6 l+ Z( H \
' W# U e( R( E, {( Y3 f& F
$ G0 F. V* `8 H& }7 H% Y& P- d, G7 h+ x' F. }0 f0 W2 p$ F5 r5 R
 ; @1 i: `' B2 y5 {5 ]3 ^
1 C( I( l, ^$ Y9 s3 l0 _
3 {) I+ _6 M% W; D t 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 4 Q3 W( ?' k' u& u/ i
; @( S+ M/ y: R5 d
7 V% }. W5 U/ s& g
这样两个域我们就全部拿下了。 4 Q( G$ x# X% C8 d' d# h( _
4 Q+ S6 {3 I: T3 n- V3 O, w6 q& [/ o" o, e" O, m; y) ~& U
3 、通过oa 系统入侵进服务器 9 d3 {: {0 o# {+ ^+ E L1 V
- S3 _6 u0 z* u! ^% x
( {3 a$ w$ z! I# c$ A7 l. M" y2 F Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
! g, e$ W9 v" I: H ' m8 v( o, D5 M/ q( _( P
! H1 A6 Z. }% a/ }( H/ } 6 _9 X* m- A9 q, R; Z& Y
1 y/ D: H2 [4 R) W
$ B( ~* F" J2 X, u8 l
9 k c* ~3 z' C9 i" O$ X3 ? d: Z; f( U* y; X. W4 H" m6 d
 * D6 [0 P" q% }& C% @
* L& f3 B. C8 K% h u
5 i7 x0 z. d* O; z. a6 b 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 {. E2 M! j/ d' ~
$ B, B. M( l4 p& _
+ S# T( n- l: k0 ?. h2 h; `% E U
. D# E; s6 b/ d3 I4 p# K
$ R q" d8 G; H
& X; j2 c/ m; M2 j- t3 R* A 1 [; o% S0 \6 M: O7 F
+ q$ c- m, U' ? @" i 
. L2 x6 g1 C G0 b" h9 n
. ?7 Z5 R4 o" n j# Z% H+ p m/ }" P4 `0 ~
填写错误标记开扫结果如下 2 K9 h0 k9 w& f
/ v& @; ?# s; S( P0 N# G% P
f( |8 P) A5 M6 `! J+ n6 p # O, ^5 f2 S) K; X) H: h9 I9 `& w
; O0 j0 w) q$ C9 x/ S k
3 f6 H- y7 B% }0 o, Z* S1 D9 C& B $ i* P1 |/ l( q! m/ O" B: H
' h7 U% v% ^/ p8 c. L
8 g+ D/ Z/ I2 I7 E 6 V( R# c: Q5 G! O# i
9 q! J; o/ [( ?
下面我们进OA u1 M) Y* E3 ?6 \8 E8 [1 l+ A! u- y; P {
# t' Q# [5 l. Q# v1 m: i* _
) V( p2 g2 h( X& b& D! U& l+ w
- g5 E" a1 E, e; O. d! N1 A
/ |3 t2 U" h& B) g/ l, s' j" m
+ Z0 ?3 s. s, w; V" h
8 ] e, M" y4 _0 d! c6 n- P! L5 B z7 F" M+ D8 n
# b% d; X, A. F+ @& @" R# ~$ y3 d0 t& e " n6 S) y$ S" y: E% K! t8 E U
: t6 {6 ], Q5 A! M! b) M+ F 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
+ @0 d9 R& y8 t* U: Z
( D" X3 B! t, ~% F' ?& C! x" x7 G; u* M0 q; A$ ?2 V
2 V N: f7 c/ W, m$ P0 o0 z e
2 l/ l* O- c j7 b B: U
% s9 t1 T3 n( v2 W" H: m $ Q2 j" G( e ?6 _. X
4 t% p) }0 G- w% k+ N. V- R$ M  ' i9 i% q& Z2 N. v
3 M4 X8 R, c) ?* ?1 q" ]( R7 U& j6 v/ S* y) l- K3 U! {3 p
& i& Y7 n; m9 j" y8 e 2 C; K! F- o0 P8 ` K- s
$ [* f0 @2 a' g8 `$ k
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
8 C) o' j* p q a5 M* N. ] W: z* z! o* W
$ W4 |, q2 k6 d0 P! c, Y E 4 、利用tomcat 提权进服务器
; G0 z2 H6 |- R' o5 [ 4 {0 P+ p& A0 g( |/ }4 c
/ {. X# e' Q2 G K8 }
用nessus 扫描目标ip 发现如图 ( ~* F% |% t6 x
5 V$ H# O, A% f% L- ^/ L) V0 A
' ~+ R5 _3 H q; P! r $ C) E# D5 e+ p6 J' J) N
* [) ~8 h0 S8 K, t. g m# ] / V7 H/ n5 Y7 h# i* H7 x# W6 h
4 j# g) ]% A! k" V9 P& i
, S# z8 L2 c, I8 x" r  - p& u8 L, V ?9 E, c4 F6 Z! e8 T" V
: r+ x0 ^! W4 P3 t, K) A) o& l4 G9 i+ R) V7 L7 n0 ^3 v6 h
登录如图:
: s- ]4 S6 T4 f, z6 E
2 w0 t8 b* f. w: M5 j1 \% z- a, N$ b# m3 N$ a# ^0 ^) o( C. |
' U$ g4 T) O q# H' G m6 l3 {
& u$ [" I8 A" J: _9 c
+ n Y7 {) ]; N; m" w y
0 {. w" U. P; M, ~, }5 b7 n, m# Z' u! M
 9 O9 b# c# h& o/ O9 g
! Q. I' c# `3 k) I- P
: s; |' X9 D3 C/ I( _
找个上传的地方上传如图: 4 m m' [- h7 e" t$ M0 p
( A% h# i* y/ B! E+ l$ v' v+ p0 m j, G
. D6 E( d. W9 C6 r, K
: n: z/ h4 J- a" H# k! g( X
: E2 G5 h8 p6 ]0 u4 p7 U5 w, M
# ]7 Z7 @, x4 q' n9 X6 U' o
& u4 U+ \ a% q7 i- `4 F. F8 D 
1 s+ j4 N M% @+ J 5 P- K2 X$ A, n0 `$ ]$ ` ^
* H" z# b- U5 h
然后就是同样执行命令提权,过程不在写了
0 s; M3 B J6 x' Z6 J: q
) U8 c0 |4 R4 Q+ {, D, u. w! f! C4 Y0 R5 {4 `
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 . M# l5 s, x6 n; E3 j- X: Z6 R
u( m; V' b6 F" P9 f& n
$ {* W, Q6 J. c/ ] 首先测试ARP 嗅探如图 . j0 m+ y) p3 l7 k) F
8 q/ R2 O( M$ J- w8 [
5 A# W/ G4 _$ {9 n; N& s* G 0 }4 ^ v" S6 R7 b
, n0 \: C: n) n" X9 b ) f$ x- U8 D5 C; Q, v
/ r$ P- `% C3 @
" p' G& @9 L! a+ ~9 V. C, n  Y* v1 p' T0 i q" j
3 D& W7 P6 p! m+ j, r
9 ?3 K* J2 k* p9 _ 测试结果如下图:
- r, m+ {9 j! n6 Q5 P
) F* ~0 a: C- Y1 N. |: ~; s1 u; Y( f, h1 H& Q9 {4 f1 S
# D O. s* h, X
2 {. `( c1 m3 B' M; `
8 e9 j+ {, E n' @
' i1 A( F( }, M9 v+ J' \; M
5 ]; H s# I @8 [( `5 {% Z3 J 
- c( q( I% h. S* {8 |1 s " x" }, k, X% w" O8 n4 N* O
. m9 o! x$ d- c* q2 b6 m7 B
哈哈嗅探到的东西少是因为这个域下才有几台机器 1 {% \# h6 w& B2 ]+ L! d, A
, T# [4 q r; d. e( r5 B% J( c7 i4 A6 q& c
下面我们测试DNS欺骗,如图:
, R4 N i1 U0 J% l3 l! q
3 H! ]% h1 Z( n# J7 g& S7 h! N% p$ m; X. E' s1 R" d4 ]
. J/ C. h9 S9 p9 R6 q- z* N, ~" C
6 h% M. m( W# |$ c; E9 v: @' p
+ }$ K# E3 B) W* y
$ U+ F7 E, p: [
: z; O% H" K' N/ G. G  * s5 H0 j6 A) t" p7 Y) |
8 k- x) F) L( E; C; z2 v
4 j, K) @1 B: \1 E2 B0 \ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
0 |: {2 y( J' K: q% }
4 s9 d# z% E- T5 [/ z
- Y, `- \9 ]- g/ K f8 p ~5 E; C, l$ K2 n; q- T
( @* M9 x3 S/ D- T . L9 p9 K0 W$ X
; U7 L% A& z# C" o$ p/ X: D# C7 ~, _% K% X9 S
' j' w% a2 W6 I3 j. `2 W | 8 s: H9 W0 m2 y- L m8 f
9 }: V4 f( o8 f ^
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
: d8 L: }. A9 @ { ! s8 m1 @, u3 u% h5 f2 l
0 N* E) u& d$ m9 o) G
6 、成功入侵交换机 5 t- b* Q' y( c+ P3 g: j2 g- Z1 o2 U
/ Q! Z/ M4 B6 B+ w
$ W; n6 Y0 p$ Y3 z& |7 h, n 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 / ~( X2 Z4 o \3 U7 |# W
$ F# @8 r. ?7 u) j! s6 k: `- d9 }3 V
我们进服务器看看,插有福吧看着面熟吧
/ }0 X/ A( c! x) } W$ |7 P& J / W2 r" a$ X7 k6 w
$ W" K. y" k9 ^7 L% s
h7 v- \: x6 U
. y; @ c$ K2 ^/ v" U# u1 j
* u+ e, C3 b9 m! u/ @% _6 x" m2 F, C8 K
, |: m. f4 w! G* H/ O& l& n! o( c1 d; a0 X
3 A1 a9 @$ ?. J. V
4 D' R7 Z+ c% T' R: x" p
, M* } W3 e$ [5 l( O 装了思科交换机管理系统,我们继续看,有两个 管理员
: d9 m; J; e2 q
. `$ Z/ Q4 _6 F$ j) W5 i
4 X( J6 c- U' N4 ~+ S$ u
+ i% w2 P3 Y- v t7 w! `
) ]; j* e/ y& k) ]" G/ T7 w; E 0 j5 D& \6 m: c) z( z0 d$ `) P: S
, K+ A' V/ B+ a5 C |0 X
: q% Q0 |8 @! q! K4 ~. v 
% }/ O( s. h* E/ W ' H2 X8 U# g! B) K* ^
5 ?/ R% H( W% h3 j1 z$ X, u 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
9 {& `4 k3 G6 ^7 R 1 Y* F6 T v) B- f8 U* ^( f" f. [
" f: w0 U8 Y4 _5 ~* o' y) A
3 i O& k: `4 \! }+ M) M6 u
& g& t# W5 s* K! J( _+ z6 n8 ]# e 1 |2 C+ O- O% V3 @! t
. V& e" N8 X' G
/ P: }% @+ t9 ]8 _- X8 F8 v 
/ r! i" C# \0 l; Y. F/ E* Q : I$ F' D4 v; o, H/ E0 }
p ?! f$ F& a 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: : q ^; e2 I* |* \9 n7 ]9 S
# Z6 ?/ N. y& r4 C
u: v) V3 l4 f* m
+ {& H* W! x' _; `$ `2 k# W; D
3 @& U6 e- q. ? , C# J- Y" u0 x! o# P8 ]7 w
z% m; E* \8 P2 e& u$ |9 H
* o4 e0 z1 A6 x% R 
& T& ^$ k% E# T4 m * q" W2 H, v6 `+ r
, n- t& q- a$ u# U" T# j" T# s 点config ,必须写好对应的communuity string 值,如图:
8 I6 }+ K) `1 P) g1 R! N4 H2 R
1 k: S( A3 [7 c. {1 I
! ^1 _4 i0 N5 m. V7 h" G, q# E
2 ^9 `% Q8 y, T* w
. t U* i+ G- S5 W1 z* }+ [ 7 z" D, n3 k* D4 c0 z# w4 M7 p
- {3 E; x. p! g( E7 M0 i
. V+ x3 N' U. v$ x T9 V: ~ 
: D7 W: \! a% b" A1 }3 N 9 w4 u3 @1 g# F* r$ }
- {+ J8 s, U- D/ b0 U# w6 b 远程登录看看,如图: - b4 x i. V0 @- `
' ^5 Y2 K, w( q+ }: o, s
6 P" W) m4 D. E+ R2 ~8 t
1 \ y3 f& q3 D% I+ s/ Y$ ]: }
: x6 ~8 d4 l8 P5 Y* S2 q6 U
- b* J& ?& U5 y9 A4 u
; l6 N/ C D$ R* u
5 Q1 ]; K3 s( B3 Y) b- B 
/ K, o5 L) S" p * i/ d* v% ]/ B1 Z% d" ?
, p( G% U0 L( i( u, P
直接进入特权模式,以此类推搞了将近70 台交换机如图: J2 {% b% Z5 B/ f4 Q+ A) Z: C4 y
% p+ A8 I! \- C7 N6 W
* r+ @- p: f6 n: x- f& M
& X5 P# W. {$ c
& |: E6 K6 V7 l9 o2 k
$ B$ P6 w) m0 \
& I% `* C! p" Z/ x+ P
3 K" P) I' O- b  2 u7 S9 m4 y6 G+ j
$ t+ }9 ^6 F3 v* J; U q
7 c: g. N( M, q" H) w
 ! j# B) S: w8 }5 \- G. J
' f, k( ~4 y0 ]: G* k
$ P: k: S% U4 N4 v/ l0 c+ j
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** , I: F) l8 g0 B
9 O9 T# f4 `2 z! l
' t1 `: Z6 b5 A' }
O" T8 e5 Q7 U% P, I
' C1 g& W; B% f& m0 g/ S& f* P
b, u& @2 x; F1 V s0 e 9 J! A6 N+ K/ b3 n. f0 F
3 e) @6 V- h! N; p/ w! X& u
 & n% a" U: J4 ^ |( }! A! i. N! z
+ O" X: @* i% P& H/ }8 s6 J9 W" r7 p4 @! U
确实可以读取配置文件的。 ) \& A. V: y) P
8 Q8 H- I/ F5 t' J2 m3 O6 I) q/ {/ @1 o
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
2 ^+ M1 W! V, a! d( N* i
8 f( }6 O) Y& J: q
/ i" E- c8 V( R1 Y# m" {, l2 C
3 |8 v1 T- g6 v& e
- p; ~( P5 j, l
8 O* l9 b2 B+ H- u" @
6 j U/ w* _, D2 h- W, w& |- p Z% q
0 R2 c+ u& f: a# Y- j
4 d% O- X) g H8 Y: v0 t4 }
% C2 Y/ @% R, e% Y n' r, g  0 M" {9 Y1 \7 a& m9 e! J* f
8 A8 q7 R, s; p9 r
% G" [* b0 b5 V* T( o 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 " d |" h# s0 M* ^! e) ~
8 R4 B9 Z, C0 e1 n# H" J- ^$ p* d1 l& p2 ]& b
! o/ U5 M T3 [8 o: ?! b
+ M) h: b7 v$ K; Q
1 I$ H; q. w/ y+ Z9 r3 o ) B3 Q j, K* Z* u3 M
) K2 b; X3 H4 g+ D9 c0 b5 L% X& F  1 ?2 [, s0 _) _3 T0 u [& ?
& O$ T+ R! V7 G8 z' a
) R, h# j. h2 M; S 上图千兆交换机管理系统。
\0 ?. h7 F B2 @, d
) r& u7 W- A) V2 \1 B& C
1 ]1 [5 j" X6 G9 N$ d 7 、入侵山石网关防火墙
. @* [" ?8 e# l , O1 a4 I1 X0 h; Z
, {5 M3 l$ \9 W7 d0 B: Q0 ^ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 D p$ s4 v1 Y' ?8 @; f
0 d, ^/ ?% K" r/ M; P/ R) |
, U% }4 z$ x+ Z5 b0 \
0 t+ e2 v9 T% }# {) S# L3 Y
3 K! {* P0 ]+ }& s
# m/ W! U- @5 t! `+ Z, [4 W
& I- Y- c1 k! ~6 o- `- M/ C; Z: S/ ?' r: D+ w- y; x6 }5 b* P9 Q
 3 T( F4 N' o u2 b3 m8 S2 _* p! Q
! ? ^! h/ @, p, k9 O: m- k
% i/ t1 L! e6 Z. q 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
! I# ^7 |7 k) T7 ]7 c) e5 V4 h5 o
- I* h: O0 ~. u9 c; [' {1 r2 \9 u* t
) e7 P* ?7 w7 O- E( K
9 I: } V% l' E. ?
6 m7 u* l. Y) X 0 g0 L% C5 T3 R$ b" c
l7 @: A7 x- C: I. J 
1 H1 ?9 j5 ^, {% J+ Y8 \3 d 0 v$ \& Z M4 I$ ]/ I/ z
2 {; O% L4 [0 |, k7 s6 q3 L; c
然后登陆网关如图:**
3 x1 Y. i+ `3 ]3 ~, y ' E- f4 a8 \ L% b
+ u7 B- b4 h: g' o( J- f
4 \' x% K6 {4 m0 P9 a
: P- Q+ c1 l( V0 j. x
, ^. j) A C0 l& k8 G7 ~$ u * x4 k" g6 Q2 B
2 ?" C ~4 |! D9 D; B' u$ i: e
 5 Q+ l l3 }# \( n* A
+ K- P9 x; F5 E* X. K
. f. @% `3 h! G t
5 _: K8 k$ |$ m7 q- I, k" d
0 d4 b1 A% F/ N* ^, r6 N / Z0 m; K- K5 \. F
/ b( l: c7 H; G1 }
& ^' j1 v* x7 s3 j+ d
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
5 X% R: V5 M4 u
1 j; u5 X, e) w* i# u8 I
! j8 L3 G- O8 _1 t 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
8 i+ X5 g; M$ \* A& L 7 W9 f5 u8 ?3 r
6 o4 N( I, @, b' I0 `" F4 g, {$ @
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
8 d2 k( J& j$ a0 C8 |8 H " P! w9 q, _% W! p( x5 e+ `% i9 a
3 Z( E! H* }) z+ _$ b0 u
, _8 `8 A* C! ^* m* \) ?+ o+ v; [
4 o- K3 Q* e* L4 m" l5 \
% x7 I4 K$ s ]9 S. j) V" h! _
* F+ U3 M' M; {/ e, h; N3 P# ?3 o
0 S& w% c$ Q' k+ @) s! H. C
$ O- B/ G$ [* m4 A$ n% A 4 Z& Z2 J. g$ C- ~' {
4 l$ |+ X' P: z7 J
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 " @9 g1 Q0 }- @7 G2 \
9 k) p7 i9 ~ m! x: M6 m1 U
% s- `$ Z7 z. m4 X0 A4 C( r
3 H8 O8 C+ D9 j9 q 6 R7 M/ l" E! s2 o3 X) f6 I
1 d' J& H) J, e/ A$ E
Q) ^+ c( I8 S1 u- V f! X
5 |; v& i6 _+ z! l, l9 j9 o: M0 U ]/ U# h L: d' A
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对