) j) q. ?7 U" o% K& u
+ O7 q( A; f( Y' ?) W
6 x0 n& X- f; m; X; w7 n4 c
* z4 p$ b0 V6 S+ u4 {8 t 1 、弱口令扫描提权进服务器
+ z% ~# i" p4 f) |0 N" h# d8 T8 v
4 R- O) j' i5 D: T' @4 J7 Y
1 w0 ^- a4 E7 n+ O 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
- r5 }" H1 `1 n5 e% |: v! [3 R
0 K* k: \* b8 W d 9 _7 ~8 {6 Q% W. ^* d
5 b/ J4 a9 _7 y& A8 a' t
* `" u# R( {* e4 P4 {: ?
# C3 m" ?# y6 [! X$ m
! c# c2 d8 [7 d W
) v9 r# d: B' ~& {' j
' m: z" _4 y* b! u& }" u6 v1 [
5 q4 E3 ^; }7 {) Y& {- L3 f
- A$ G0 B$ L/ x) e
' Q1 D, e$ d7 T
* I- {( @2 S; e; p" N' r1 c
/ N' e9 J, B& q U ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
4 Z- u. K/ e' b. ?: o0 k
" k; z, U* F( e" I
% Z' [: C- g& O {" l 执行一下命令看看
\0 @* a' \$ l3 n4 f
0 R$ a) Z/ @1 {) e
0 W# s- `. f% m' [" w% r1 e, V% X 0 G% p6 Z( J1 |* o' n' U2 T" h9 _
7 G+ f4 l: u+ S- X0 |# Z - t3 V5 h8 E' h% \2 d+ C3 h
# X: N" m1 x- @; s7 z' G5 t/ f
: j8 f9 `! H6 r- ?
. b2 h+ ^4 s* n" ]
) L. x$ d; H( I1 n) y f1 Q & D, A: W( h' x+ F. c, o2 p
开了 3389 ,直接加账号进去
: K' Q* N6 m% K5 C1 X% |
; V1 ?; \# o$ c" h ; P& P9 a5 O4 ^; m
) f6 \& q5 |) @5 c" \ i) b
/ z3 g r% @3 x0 Q$ Z
. f6 Y! H" L0 W
8 W, G7 _, ]9 N" X$ i' L" z
& Y6 N9 E% Y6 ` p5 [ a# D. C. B2 U9 Z+ ^0 d2 S& }
* c2 {' K" T* w' M5 `! Q8 z
5 Z0 Q6 n4 f7 ^1 ] 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 B5 E+ v) r8 P, C* Q! a
4 H! _6 r! z1 O% i
5 Q/ I1 G8 F K" W. g P
: k6 i" k4 a. C. ^9 ^5 i. {8 e# }
7 ~6 \3 q" G+ e
8 d+ d& @1 J! G3 Y# K/ B
. B2 o/ X+ }& g) k$ | * N+ O3 c- p' ^8 H9 A2 {
: k8 U5 H7 u" x0 h0 u- L1 b
; r8 t6 e3 V8 Q/ Y: E2 ]* T, Q; ~
2 N+ ^1 E E% l* s. L
直接加个后门, 2 e G+ n1 p4 t- m f5 ?$ e
! l0 _& J( L2 s8 O, D
. v) v0 _- T8 @. o. M# I! [; G
3 E2 o+ j! s) A5 i: |' J' e- O7 {
# c. }) z+ c0 ^* U# K# v
8 S( S; \4 I' K. y3 b& K/ c
7 N2 }2 m8 O4 y 5 i" G; |( i' @' \+ O" e% U
8 c/ w7 P1 i$ p2 M& }
. C! z4 q1 W8 ^; j7 S$ h% e6 D
- C7 C5 Q' t. k" G+ d2 f3 t 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 + Q* T8 l4 C" p% Z: {4 G% g
% t2 k1 q( l6 N4 F+ d
: V0 `9 {( N3 o 2 、域环境下渗透 搞定域内全部机器
D. M4 x$ _: w) y9 u3 K
/ n2 u9 s. x# N. v2 E
- X1 o8 N, \! B$ R P 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
/ u) E$ X3 u+ k* G! k
2 I/ v2 {. C/ m! F 6 R3 w& `3 [ l( n4 p' P0 @# `
5 j2 f5 N/ c0 ~6 x/ X" ] J
# ]1 W. G9 U3 ~5 X4 c3 [' j
0 v% |7 F, ]9 U6 M4 i5 _
: s9 n: l# z- `! e' D 7 V7 P. e1 \( @6 J, i" N
$ D( D* h% i f/ J, C) L+ q& h
$ }2 x& r6 L a: i. j+ l
% V) _7 N$ J4 d0 u" I 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 # {$ ^$ B& T2 k# t3 i, l
" s4 l% t2 ^' H5 o, M1 e
: A) r) K1 j7 f; m# d+ F$ n7 X0 M) a
+ D2 E. f4 e: ~ " i# C9 }5 }8 O% W! G
2 _2 }% u6 p- h# {& {, j
5 {. t5 G' K0 }/ D: V
9 ? _" P5 K) q" R7 P # m, \9 V$ D7 |3 A t) @6 O
8 y! K9 }8 C3 V* V J' z' W
$ {$ u) H9 A; Q0 B* f 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
" v5 c; z7 q: S. v7 V" Y
/ \. @. C# ~( X2 R4 @
8 l% T! z0 M2 p* m" J
8 W Y% G5 G; W# E0 l9 p
4 g* B) g6 m) u# {0 y1 H# S
2 `5 m! w2 P" S2 M
/ r2 T) v! u1 I& i# K, N% } - B/ G/ q9 a2 g8 f* p% |
) V- n% r" {2 h9 W2 J- p+ R
. H8 r2 M2 j* x* X' V
9 v6 C! @& N; A 利用 cluster 这个用户我们远程登录一下域服务器如图: , N9 @6 |; J; r( E5 m
1 S) r* o& p- T 1 z. }+ t5 g) h$ v, `( B
/ M7 N0 F O6 C3 X0 J) g; W3 A: e; j
; U$ u, L. a- W8 j9 M$ O7 s
3 j- i8 r1 {6 p$ W) z
5 o0 C; I0 M) d: \2 k
9 S/ `! ]5 D& A' h; G* H
2 A8 Y* B! N) S; q0 [2 |
) i4 `& {8 v8 K( R0 h$ V
5 t, q* l: K: `. ^0 l 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
' H- R; [# @- ?/ E7 G1 y# s
& @/ K! |% v2 D) A
) P7 ~$ h1 P# @$ y
/ A. j( x. Y9 z+ ?: ~& M
6 U+ _. Y- d: j3 M $ ?1 Q0 |. i3 n
1 l; O) ?' Q8 |1 Q' s3 r
" Y+ m5 p" P$ F% l5 W- C& H
! e) W% w; |$ l
3 L. `. d+ c7 N) I. K& r
9 |0 X) j; F& W( v 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ) ^2 H$ e! O, X$ k6 K
. V- D7 Y6 \" r$ G / o V3 `6 z, Z( ~# |
1 k, x6 m3 a/ h) V. @8 n1 q
. E K3 |1 J+ i# s& P* e6 H a0 R
7 L' y0 |8 H1 C6 O6 k# f& b/ o5 l
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
7 I$ [ v/ n4 I( y/ \8 _
# @, `6 k, x5 U% d4 }
* v/ W- e, m ^! u* z/ x1 s
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
4 g; ^" E) e6 I9 O5 a1 w5 K; N
; A4 n! W) _8 Z* [7 B3 Z }
' S1 o: x* v0 f) B3 h3 M/ { % d$ |' o, x% p, B7 ^
3 o6 S0 ` s& X' h, s
# n+ U! F: O/ B- k% ^
0 `7 b$ S& M8 r$ w Y
+ B. k, W8 _. I
: J' l) z9 p" @' f
. m! l2 J' g7 Z # N! o$ n1 @' k9 g$ x1 a+ h2 h+ ?5 K
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
$ i6 R* u) r# O$ k
" L; s: R8 u7 p3 T/ N; S* C
; V( ]2 S) U; m% } ( K% y, w; n" S5 r
- U- h2 d$ ~7 P6 Y5 A, |6 B' _
( H$ T! Y: h9 j# l$ |4 c
2 ~5 M y. i/ ~ p/ T2 t) O5 T + }! l8 D. R5 Z% n6 R1 O
4 Z6 x' Z5 Z- S2 k0 q
, O1 R7 x4 n% o
! g2 {: K j' L: t
利用 ms08067 成功溢出服务器,成功登录服务器 * y9 }- {; g( V' v4 \' X
( M) ^0 K7 z% \+ Y5 u7 g4 s
/ K% H8 g" \& z) H$ A! `8 R4 g3 Y9 f D
# m; T. l& B& j: u
' z) B! v7 f* C6 R2 g4 i * x5 ~: E2 x% f, J% N6 m; k; j2 N( l
9 M' Z# C/ Z/ L9 N
7 G6 q# V- S9 s2 P3 H) Y 9 m4 _5 d4 r: c3 o2 P# P4 R: D
@$ r' W/ e* ]: A * w8 s1 b4 f. g5 x+ j) w6 K$ q
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 3 y& h- d5 ^ V( U
; f1 J4 L2 V6 m& o% C, p
/ Z0 f7 f3 D+ | 这样两个域我们就全部拿下了。 ! \; b$ V9 o! V" O G0 P1 ?
2 e7 G$ f* w1 _. f# w/ v
; m T/ C. F: x3 `, }6 l# U 3 、通过 oa 系统入侵 进服务器
; E$ o4 ^% h9 O1 r* o/ W) ^; `% z9 b
4 O3 K% _% @- O3 I" q9 @- i! ^
. [3 \) ]8 A C- t
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 $ @1 ]* @; t5 r+ f* [; y& z
$ M/ h" q8 e* ^" p H* v
+ a9 u0 }/ A4 j2 @
& V) r8 m2 E1 ?+ U1 V( n
- w0 A- J, o/ d) s* o
! S% ]3 W+ b2 g9 h& t
2 L8 w. ~" T0 H" \' [2 {0 x
2 t! i, ~/ w9 b# U# A * |( J$ {& v: f2 |
: }9 Y$ z$ Q9 B# P0 |
$ p, _' W3 ?/ ? E" B
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
f5 U" w* ]& K8 K d( A8 o
* ~+ l5 l" z5 g+ `( [
$ v0 `) A6 L6 g+ [0 n : G* [7 [; ?/ N2 U- l& i
9 e" y9 ~' y! W8 O, x
9 C1 L: L, R9 L
( E7 l: J1 C3 l1 A
/ v. I- X6 Y* M) ` ) A; Y0 k) p: D k1 x4 @6 r: \
, x! v* T( r! Q1 X) C1 W% U
9 B! J7 R8 x ~, w7 g4 k- g 填写错误标记开扫结果如下 / K0 L) q' b+ \8 z; W% }8 p! `
9 Q( l' S4 p) m* @( V4 ~# p
' n* R" L T6 I! O5 N( d0 k a
1 ~! F9 r1 K$ m* ]3 r ( ]/ l6 V6 j: |) o0 U2 H
2 B0 x. i' S) J6 u: e: `
+ ]# y9 A9 X* p4 ?. G' n
# p0 O$ i2 ] g
1 }% E3 {/ P% G; D- ~! V
: F, E3 s3 }2 d! N
0 f) L7 _# O; u 下面我们进 OA 0 d T: b7 n+ n+ x" F5 y0 t' Z
% w- B# E' t7 d; H4 T ) d5 s W3 t/ W
4 J2 S4 t! x1 U! F% d/ H
' Z; C: {: Z( p V' F
! Y$ ]+ h: x q7 E- f9 W
a% R {! K& y1 P- o5 @0 y2 ^4 J& ^
% Y* f% L |$ O y' x) r; j ( m) |6 H0 |1 B8 ~8 N. W) }% A% i
4 }& Z, t# F7 c; Y/ a7 Z' z
/ a6 i5 W9 N/ @* S) ^- e, ]4 `/ J 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
3 G0 A) x! T1 U+ ]/ z8 U2 i
( `! m2 \0 x; E4 E6 n5 O1 t' s ! x8 a, O& n- f" z7 c2 E
. j+ S) ]7 q( E$ G$ K* F# \
8 a" o1 {% j' k! {
- d4 D# q' t. @, y8 K
! z; B: s9 M9 i# H
: l: y2 g9 W; f, p9 T$ g5 F$ U 3 s1 x+ K( t1 g% ^3 i& {/ m8 X
, |( `% f3 s8 Z: y% Y/ p% ? % A7 N# ? @' z7 d! z$ Q9 o
- V3 Q: c5 E" P* q3 h1 N* s
, z% [1 }- D' i& q! f+ U4 l" h
$ y. p7 a8 [7 V& ?3 Y 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
9 J9 M/ K9 d: i5 g! B8 P
9 d+ s' t/ @) m$ ~; o# {( l & G" o: R+ e* @: ?3 g: N: o+ d
4 、利用 tomcat 提权进服务器
; M. f: `- h/ p) d! `/ b
5 {# y$ b. _" d$ N6 ~1 l
( p, V+ @/ i: q 用 nessus 扫描目标 ip 发现如图
$ b2 @/ P9 k+ o; z& [
, |' P) t& O8 v- j- b5 ]
+ b" |8 W" D5 Y: \8 K ( ], n0 M! d( T- M8 k# k
+ ]1 Z; }' ?! f" P9 c7 M
s9 X/ @1 S) H/ b4 T5 |1 M
" x3 T. L8 y4 f4 J6 X( }
: |$ g# G5 x# d. \! p
9 B* {. F. T: f& c* @
) F. K1 n) i% w) K+ h+ P8 K / b5 \- Q7 G: c
登录如图:
: R3 @% ?/ O' N9 |% v& A: s
* L& R% ?3 F( _0 O3 d- }, K
: n1 K2 ]6 a/ H8 |) _
/ O% o) ~5 e# r* ^) N
. }6 E1 C0 {" }7 h2 \1 F
1 R% Z W' ^' A- T1 N3 t
, W) Z" J n1 F$ ^$ s3 V3 G
3 w4 E3 B1 s& Z/ | t- X
% [4 v- {: L% f6 Y! C2 X; T
( t' T) q# {- m4 d( R
# n+ Z) _7 f; M2 b/ v; { 找个上传的地方上传如图:
$ ?9 o- M! {6 j [+ A; V
' T1 ?* S) f! |- H+ }
# J% d7 e8 S( Y" k2 I
9 D- ^' Q* K; X# F/ _+ q( @ x+ _, W# s/ q; y7 ^+ [* M
- B' }1 u6 q1 ^
- L4 h, F2 X) g: a0 b$ f
" `$ m: q- [6 I9 J0 J8 c 0 r5 e, u1 C8 L' x f ]; ?0 b3 X
8 i% C E- z" @. R
( b# n/ R$ O6 v! R- p7 k3 F 然后就是同样执行命令提权,过程不在写了 " w; y/ {, J! P$ x' w c5 h
2 M5 o# C4 Y; G' d$ S3 H8 ]) [# v
$ }# a5 R+ n0 x6 d* ~# Q8 H
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 + c. X% f# d M {
" a! T, c6 g' E4 M $ L$ c% `8 j$ e; R6 }
首先测试 ARP 嗅探如图 ( O3 J+ W0 j6 q5 U
' ?/ \$ x- T* C3 Q
# {3 R; e, Q- Q T/ v6 f 5 b+ e# z1 G2 z+ u& e- d* Q5 ^
2 K6 n$ @6 H6 ^4 H: \( S v
. `& x4 h$ C6 D- I- E8 Q( [; h
/ Y5 N. |. h4 z( W4 k- S7 m9 [" D+ {2 g ( {7 u _' L" N! Q* O
% c: s7 R, G0 [( i8 R
' d: e" B- a# A) B2 \2 b( A# d B0 R
6 o. u1 U3 [8 }6 ^) |6 E8 ?4 g% ]
测试结果如下图:
* z8 I( @' } }5 H$ T0 i
5 b6 B" n. h9 b8 i! r
+ _* X1 t' p) O W$ B4 V+ g
0 f# t+ S7 m2 G5 W7 s * Y$ T* B, N; k" u p+ ` { A
/ X( R7 y/ ^/ k+ P1 m, b' ^
4 H: p) `, p, \) `6 e' n 6 G- F$ X4 l: k2 l
, {$ q' r9 ~( H
) Q1 j2 B# f! D. O
8 N* O' S" M0 M" M* G 哈哈嗅探到的东西少是因为这个域下才有几台机器
- D: h4 T! [! e: q9 I
! ]4 c$ x- m* i/ \
0 Q+ ?3 b2 K4 E/ g! e1 V9 V1 T# Q
下面我们测试 DNS 欺骗,如图:
* E; X" ~' q* d3 v- D. d+ J
1 `( L3 l/ j* }3 N' C; y% z
6 \: ^; r, a) s, d4 w# G4 F, c: ]% ]
4 D) n. Y# \5 h) T. `2 t . `2 A& S) d) R1 z; i
( Y; z5 g( L! d9 U
. P! F5 n5 w y6 y f
- M- J% d- W5 R: N, ~8 y) i 5 ?$ i4 _9 s$ ^( ^
6 R7 H ?, ]5 K& Q# o4 P) W' j
6 H( t- H1 E0 W) }1 [1 f 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
% k; i; S5 \/ B
# ^5 p3 G V( |$ I 3 d# i9 }) K6 n/ \
- u" n( L8 r q: d
# ^! }! |6 I* h4 Z! Q: [+ I
* K3 G3 g2 S7 K9 @; D
. u3 H+ G, ^, c4 ] ; \! P7 x* ?3 Z2 ?
- W, u* D) J4 @6 f. b
X3 y( b4 D4 H# f8 t; f- U
; U: A; @& ^' t8 F8 z (注:欺骗这个过程由于我之前录制了教程,截图教程了) 8 d" G' j7 k1 p3 @: [4 G- L* ?
& ~' r& d" |0 c3 R: G: {& ~" j
m1 L6 R/ c a 6 、成功入侵交换机
; X: p4 t& r6 \ |
( b: @2 ^$ H9 t" r; W( S8 M# @* E7 X ! _4 U% o" W& |, `3 v9 d4 ~$ Y
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
" ] T% `' e! N4 B3 _
* c3 s# H t+ b1 H7 B+ D5 f# }( B
: C& ~( I- X) O: ~) C. Q: ~( o5 F 我们进服务器看看,插有福吧看着面熟吧 # p; `- D& O9 x* [8 d" W2 p
3 Z6 p7 b3 [ G
2 T& W l# K2 o5 c# q+ O( B% t
: H; q& N8 Z4 x 2 L6 z* z! C: a& o
# [9 i' i0 u2 d# n# i3 u( o
w% h/ t' o$ H4 ], K C
4 L0 L( o! z9 L6 |
0 h$ F/ L& E9 U) l, [$ d$ D
, Z2 r8 U& X1 o& c( ?
& J! e N' ~2 V- n: p 装了思科交换机管理系统,我们继续看,有两个 管理员
7 ~: P* z9 `1 t1 t j5 G/ p& x
: y$ `8 Q0 Z5 s( C 0 ?* k) ~0 E3 J; c
; S4 _' _' F1 y. c 0 {) J, X8 i& m1 w- s% G3 _; b
9 h' T8 Q2 J- v% L% r0 W
8 D7 `$ x: g0 N; y
0 q( H" x3 J! d6 a2 i ' x6 C; h+ F% r
0 \7 o4 q$ U! l5 Z. k" x( E! H ' C/ \7 ]- k! u
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
$ ~+ g$ l& U* z! B0 ~
2 K1 t: v* K/ Y' x5 A
1 i* g* G2 }9 p7 E& @/ p
9 l- }1 [/ I- h3 Q # G4 W- O9 J: ~2 L, V
$ l% T# N( | H$ Y) d- |( S3 T( d
& W! b v! p+ L: q4 ]. } _
" A( ]( K/ V V8 ^8 u/ a9 ~
- a+ w" }6 ^( l5 X) N' S
7 D# N! x0 C+ W2 j8 B
1 }5 E5 O- {$ E% f' ? 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图:
: ^& p2 f! n/ p; H! |
8 T8 J0 R& y; d& k& _0 {& Q) j
. i3 P8 p2 H1 ~- k$ N: A+ K9 G- c7 b* B ( H7 g1 M) Z5 j
* z0 h/ c* _, K- I8 U
4 p, P+ I$ I8 t( X) `4 R& E% S
0 n; N; m6 e D5 b; _( R
/ ?- w! R! Y. w
: r% ?1 E. f/ n1 _0 y1 k0 U5 x1 M# q
+ k* ^- Y% I3 |( b
# |+ g( j! s$ |# H: v6 r9 Q
点 config ,必须写好对应的 communuity string 值,如图:
' ]0 L/ t5 ^( ]& L; P. z
? P9 E) q5 C; a. x
) H" ?+ i3 C0 D0 b: \) j4 | 7 @1 H9 m z# b
# Z3 K2 ~9 |( X3 u) M3 Z) o) f
6 D# \6 E6 J- ]. e$ ]: \ {
' O- k* ^ f0 D: w/ }. r
% B! L8 M' i2 E3 w5 d5 ?
' A; I. } Q" ?. ]( e6 Y1 n2 r0 U
% l7 \8 ]. X8 N4 \
. e a& t+ C( k j% w 远程登录看看,如图:
0 w, A: ?$ Z+ m5 c7 e
- E% v$ h8 D5 p, l0 w/ P
% \( N _6 b2 T# ^! q ( `9 l' Y4 t. M5 Y
U F9 ^$ H6 W, S8 x3 f
1 n: [" d% ~9 V/ u0 _* A/ B
6 W5 a" W0 }; b# A5 b0 v9 |) `) t
( H! v' ]5 b7 v
; \8 Z& c! A v
# `2 }% y( F* E1 }8 f5 f9 e
+ r5 s2 K9 ?1 v% y/ b9 @/ Q 直接进入特权模式,以此类推搞了将近 70 台交换机如图: 0 b4 R; H! C- ]. [7 Y
% w, z, Q0 y7 u& S2 i/ ^% p1 e
Y H s0 n! x& c ! Q) r, P1 F. i3 s4 f& z
& @. B: o) r: i2 G$ ~3 P
! `9 ], s8 f" h- U+ h% e1 h
3 t# i+ n4 z2 k/ h4 K! w* r
. A7 [+ b$ k- m9 d# O
2 v) _$ D8 h. U: } ]
$ p1 o; C6 h: b3 ?
, G" e0 h( V7 }7 f5 v5 h
: x; a8 Q1 ^8 r* @: _+ ]3 J
) |: B/ w# b) c6 d( W
+ o6 E/ j! ^* i; q 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** : r% S9 }1 z$ _3 u* R0 C
' ]' y' Q* @" F1 V b
9 P; L6 f; }5 i
. v9 C. f5 {. |; l
4 ^1 R+ U$ f4 Q1 Y& {; x! A- u+ A
% H- E/ I( s$ b- j& H- [& m+ {
! J4 o3 K0 ]* L" j + l9 t( B& E: R3 q* k$ V+ c
6 p# p, Q0 l7 a2 L# v
# Q9 ~7 ?, l k2 Q6 q8 E& H
) O" E" O. m9 {. L$ z+ _) U
确实可以读取配置文件的。
J) [3 P6 l1 m% a3 y6 J
1 x) {2 O5 v4 V8 a+ h. t5 [2 k
3 X, w. }/ j+ R3 L8 C7 Q. e4 u1 S 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 7 j$ ~ z' O# h7 ~
/ J; Q- ~! B8 }0 \/ s* l 9 z6 J7 ^! u! o1 y% J
8 Z: _+ l% t6 i# H! y7 X
% W! [7 i, r: N* g2 ~
1 ~; B$ E% y. Y+ d* s
% x" m: `2 w8 }
5 ^6 m- |, h2 N; |3 h1 l' b * j6 J: C7 N# b3 |. C( H+ x
% f) B. w7 A( `8 a: C
( Z% L, U: T' r( Z1 n % r9 u2 i" a) _, R) X$ x; k* Y4 v2 E6 v
4 \9 s' {5 v/ l" \3 f
) y4 x1 E$ G8 ]3 U6 U2 m 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
- ?5 z/ z$ T; O" u& M4 E
) o3 U7 [: i7 u% }. F- w
) x3 U# P" E5 _) ?; Z8 r
, v& z- L* N. G& J6 a3 T, ^
& V5 Y, T. V1 o, C' S % {$ j+ L; e5 u* E/ W$ v* D6 t
" c/ W4 s. B( f4 C
) |) ^2 Z, \" S8 j9 B
$ S5 \8 q& A; [) Y5 b
! q9 W: x/ H4 P+ B7 P+ Y6 o# G3 I
6 ^3 r6 q0 n. W9 `
上图千兆交换机管理系统。 ! o0 D1 c) t, }1 Y. L: S4 L$ i" e
! W) w( J6 ], q- `1 [
3 F% _% I7 @" e
7 、入侵山石网关防火墙
& \( n) t' K! ~/ ?
( A9 T) c5 ]) e2 F# K, N' m
4 y9 i2 u2 e1 Z3 Q- M. ^2 p8 R 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
: s1 Y x# W3 E c
) a$ p7 D" w. |% E2 b- q. i
# D$ s, H- E' [8 p$ N& ^, u5 z [
* {9 w' N M% w8 l0 o6 { : n8 {0 t% I$ P& q1 s8 |
+ W) D, p y* R; z# n- F9 P
6 x$ E* Z# J" `; L0 U8 z, T k : _& d+ w0 Y, N, \; Y
6 ^* S. v' A" ~) [
. N/ j$ R3 z2 \1 H+ ?
$ r+ T, E' a$ ~7 W+ v9 ` 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
. ?0 H. r3 {/ F: R+ o
! ] b; L& V* B( q; }
/ Z. y* Q& b/ v; S8 P
. ]0 a9 ]6 A/ |) i) T
3 X \0 }) Y# m7 | + p+ s5 |6 E- e. [- x9 U1 \
* F5 v5 D. ]$ R1 q$ I
# t1 w8 ~9 l: P1 m
; ?3 S3 R& V5 U X
4 N+ u4 P9 Q) q, ~9 h7 H
7 U- d1 q1 T& z: p2 P( h 然后登陆网关如图: ** - S& M$ p; S& u4 @ K: d# H
+ a% c3 [+ [ Z9 V$ g( Q
3 b8 x2 ~0 R" s+ G( Z+ P# m
* `: z" }& I8 ~' g; `( | / P \9 O; ]* \. F- M" h- N/ [
H9 N( w, C* D' H; e3 M! C; G
. G8 j' p; I9 H* A! c ]+ @
/ k0 R! ?+ A" a3 h3 Y
/ O' Y% w5 W. U0 U" z
`+ M; c' B0 W- E0 B+ {
@& q0 R" Q0 h! o+ C' F. L / J) X" k, }7 x5 m9 K$ S8 f
" B. C- ~' W8 q! \5 P/ I 1 }/ j. \: M, ^
) i: ~ G& S3 v: p# T
1 @7 K) L/ G: {9 e1 K7 s8 u! Q 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** * q* w k! q8 Z( |) B1 t7 }
0 F9 A6 r1 p4 w- a9 M' X
! T1 c% v* s: a& E' G 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 6 M5 C; ?$ `# o5 \# u8 F+ c5 T2 z
4 x% u" D7 w2 _ # Z' Q% S9 ?! b% |. ^0 d. ^5 `5 a4 m
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
" d7 a1 ~. a2 V- S- p7 ]8 e
* R. G" H6 o4 r; I, K, k
1 U: B) y+ L; m o5 f, ^1 s! P6 t ) i. I9 M' A, H* R' h; G: E8 p& t
3 g( T8 a7 I; ?. ^& n% v 8 g" t6 s4 g( g! ^1 [3 \ A g
4 A# f# G9 f) y& r9 Q5 `' ] 3 W3 Q! D* y! W9 ]) O: b
1 Y% T, V' A P1 ]) Y
1 z/ v+ E! ^: `4 i
, O* @! r6 G5 l$ g. o. N5 z% c/ P: H 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 5 @) k2 j' k8 }) R. R9 o' x9 C% G) H
/ z5 i/ I ]- L
( h4 ]1 T9 Y/ ]' }* D' H: ~. N 1 h( k- I. f) o c
; `/ S/ ?- w# A" l
4 u) n. |$ o$ I
' k5 L+ U- V/ N6 S4 A5 z
- Y( s- O1 e K3 O! l# F
4 O1 n/ G. B& `; Y) b; v7 r- f