4 b# K" k2 S$ b: p, l+ H- a % T) w5 l$ s1 K$ m
# v6 a+ R. [( o( p- v' a" z4 s
- E2 l5 F% H! y/ Z6 ^. {" A 1 、弱口令扫描提权进服务器 2 j' D# A# Z9 p! x- Z. q
2 n4 ?& @1 h& k( _- \% Y ]
1 E' Y7 f* x8 l3 @ s 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : * ^' O) X7 w' q, j" G& Y
q% U: ~( u7 ^" M1 |# _2 L6 w
+ }5 t- y+ T$ z ; J( L6 f' L. L% d
( j8 \5 u# `% c" }* T
3 D+ }+ Z# ^* [: j8 Y+ J% k" g
) K6 }- J7 Q+ B) a7 g' A
/ g3 p; E9 v; ~+ y1 h r5 o 9 @2 {6 n% R. f: N* ]0 c, Q% z
8 |$ `* b# U- Q% {1 h: }
1 k" }7 ^ C; c' U/ X $ {# L" o0 w- S7 K/ A& | M/ J
# y1 C/ M0 u( r2 P5 S
4 Z4 ~" J/ h- z% l ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 / P/ X' W' Z: a; V9 o* o. y
% r- ? O3 x) {; @+ \
; F, ^' ^. x. j1 G 执行一下命令看看 6 n* e' S7 j3 O: b" F/ v# E5 I, P
. X+ X, m) j. D: n# v : D X- H9 L4 c: l' G. Q
8 N8 `- O( n2 d+ g. u/ x3 v% j) O
H9 N5 V. c! s6 ^5 Q
' S$ R% s4 Y$ o5 ~4 ] - p5 p9 }9 F! t2 `
3 e5 n# D0 f1 L! ?5 ~8 k
2 Q3 G6 H. ^; T) h
9 \+ E9 y9 q4 h3 `. ] k
& D, E4 \+ x. S& S! m2 N 开了 3389 ,直接加账号进去 4 d9 r- x2 a. A' h* j1 x
6 K* L- L! ~' ^5 I$ ` : i. R% O: T6 a* G, I& P- W" B
* D* Z0 J) K) N: d# |+ @
8 Z: \# F& |) C+ h& D+ d * L) N1 w9 y, D- t) c2 {5 f
; V: ]2 n) K' a ! N9 v9 @ @7 l5 Y: t0 o
& l! F, ^8 B& T# k4 o" m3 b6 E3 _4 p
. [# r4 p* S8 [" {4 H& M
4 o" Z6 _6 Q) I! E& j
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 r. O2 c5 K' t* G1 }
' `; [: @6 M3 v; y9 j# g9 S $ F; u8 ^! k0 o! m0 L6 R+ d
: O2 f/ x+ E0 p3 J 3 r, u" {. b' y
; i3 z7 t; [- d! z
" o/ e8 i m8 E5 K- b 0 G) J2 p/ {3 U! ~2 z6 R
% {3 a. O& ^+ m$ S9 Q. y+ V8 q
5 X2 ?7 Z$ _' P- j2 a7 V' S# U
4 v0 E w" l# | 直接加个后门, : h9 }* t T3 t6 Y- K9 v3 N
& }& ?) x! H: A( g' {4 ]6 `
. P( I# z9 q5 H9 I ) _7 r3 Y9 w. M$ l3 Y
- v# R L! N9 H8 y8 ~ & M# m, m/ l0 Y6 s( M3 h
0 H9 P r- }0 ]. X 8 y( V# o, ? `% n. u! S
- C# ?$ d; T! v
s `5 I- i3 @& d9 h . S7 B7 \/ @! j a& w( a5 r
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 4 h6 Z! Y9 k0 b7 a" n1 z
) I! K7 P. C6 a" q1 S0 y- n5 k6 \* X
% G, s5 d' P* ~" Q$ A* j+ c
2 、域环境下渗透 搞定域内全部机器 $ c& ~5 c9 J) |
( y- V' K2 g" l, [0 a
5 T+ B) q4 W/ x) }/ ?* f. h' B 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 ) t- F( x+ T! e* ~7 ?8 S
' q! X% V6 A% O1 e; Y
|) o' g& z; L3 x' U- {$ P 8 J3 y* n6 u- s% r4 C
$ r$ c7 w7 p4 \1 s! \, \" _5 B
+ e q8 T' A% [ ^7 R
! U4 ^6 K0 H: u% J Z, T+ r
# L0 F, q9 u" n2 }- } v7 P" H% I 0 q# Y* P7 T) ^( X/ f
/ V" ~2 Y& H) | . Z" L% V* {0 H7 e b6 y
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 " b0 L% M9 M0 l$ {8 K) Q
9 @: J( z" t a
/ V' s0 A% I0 P) Y6 I6 {3 J 4 Q5 p! @: p; S h7 V8 o# w d
: C5 q/ }; ?" t$ ^" ~5 \! k: h) {
3 }* t+ z/ b9 n3 d
+ t4 f+ u; n0 c% I, r# p; g3 T
: i2 n4 t h- \8 d S 4 `/ o0 y# T0 M$ l( f, @
; O, d8 D/ c! d. q, e8 ~
' G4 z: [/ o$ r 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: & R" T3 |' c* v2 q8 u
( F: r+ o7 o; U2 u I" I
\/ [! S0 n+ j) x( ?+ F) h # [' f- [% p2 P) d
) a9 b% q% `/ ?- G M' `5 l/ Q
/ ?6 B& N1 Y: [. H+ l
# _$ {) ?+ J; ~$ m! W( c) r& j" `) B
% d# f( \) Y- u4 _, s 6 n0 X8 k* f' L% y( P
, E0 D( Q, p) R
/ F7 s( b: F) P ^: c 利用 cluster 这个用户我们远程登录一下域服务器如图: ; T j$ @0 }/ i5 s& K
% K4 @* z/ f) `: n1 f. \/ Z+ i
2 I0 n) v, ^; U- v2 c# o; o6 j6 B
# c+ j6 V3 x' a( S( n
* d$ w$ v( _7 L2 M! W# \
5 @1 L5 T8 `; f
# S: ~4 _; G! O' ~% v6 k F
0 L1 r6 N9 q5 X. b& Y
& e) j. h) N* `4 }
: f" ^- t0 G$ t
4 R9 V+ }7 `) |4 J, J
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: : z q' r5 _8 i! t0 a
0 p. Z5 c$ n: v8 Y8 v5 e
9 ?. g( _! |8 y1 g; }7 Q& w7 M! } , k) p# \! j A
5 ?, ^8 l" i9 ~6 C. g 1 Q# j1 y# E6 X: [6 y9 E
! s6 O* i/ a( x2 C0 A
$ S% R1 n" l" p( i- p 6 T! O$ ~0 Y8 o, q9 ~- p0 L$ y
, P( {: x) s8 |. h$ n
- X% s' ^6 r4 Z8 ~ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 3 ?! e g \5 U' m# e9 j# W
) K4 ~3 S# I$ ]( M. J1 j
" I, f8 l9 @9 B' \: E7 P- h& T $ L& c9 j# j% F# h y
2 I$ `8 {' }4 w % c( d Q3 z- r' e7 K
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 7 M# ^1 A5 s; J, S) `" O/ \
- A3 L6 ]' j3 U, M0 f1 S: Y. u5 d
M% b/ {$ X8 f: Z0 j4 V" v8 L2 I blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 4 ^2 h1 p2 H8 t* Q. i5 k
* ~4 W7 x) z% o7 e8 h, c% X & Z* d x; ~7 ^' A8 H3 C
u; b0 _; h+ D+ ?; i7 H; _
8 Y$ ?7 N$ n2 _. k/ Q
8 P4 w! a- s$ m3 d3 }. z$ V
9 i* |$ t: `! o0 M: I% F
. \# q( J, w' d; m
# w" O# @6 ?0 r' g
( ^; n+ P! k# v9 m3 {; s* `
6 e0 T9 Y$ O' |6 N7 V1 W( M- L 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 - g' k" {+ _9 s. Y" d# A
# n3 O$ i8 d5 S7 h& M
# f) V: n q( h1 s; G$ _ Z7 |7 n- b5 {5 k6 v
: J0 S( O" o/ i0 [$ r
2 \# s0 ~" R6 c. R; W' M
3 u- d3 o0 j* c8 g; o3 D% @
- N/ Q* ~4 S# A6 V1 S $ t4 V8 s* _$ G
1 d- F6 d( G9 G7 k6 s% I
. s* @# Q7 O$ a
利用 ms08067 成功溢出服务器,成功登录服务器 1 o% p; f$ O5 c
) W V7 m) L( i1 i+ G- Z$ t8 R
& {8 H' N8 x+ N0 y
) c% c6 J' e2 I* W; v
- _! |; E$ D9 p7 J , E8 D0 f/ O; X1 e, x- `
/ o9 Y: |: S; e8 O5 K/ q) H8 s" a
2 r& j2 w' G4 h- N& `) m/ K; c8 G
& W4 u* F8 m- F5 z( z3 ?1 J
% n/ C, j, A) ^1 V* f5 g ' L" u; q) I0 C. }0 j" V. F; B
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ) k l8 e: h* H* E: q; O: }+ b
* `( p% E; v; }4 u) B( |
- n7 t4 I @' Q* Z9 W- E- r 这样两个域我们就全部拿下了。 q# g( Z- A5 b( [/ S, Y) V
, z6 A# @# R# B
e" \1 D( E+ J6 A7 x6 I. V( y 3 、通过 oa 系统入侵 进服务器 + x( _! y5 ?6 f: [1 F1 N1 U* l
1 e7 t: S( m, K/ U9 Z- ?" b) ~
" }8 x n8 c$ f. T6 d ?7 [6 F( A Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 8 u. N" T$ n6 n( Y7 }- y
$ |0 D J" u" m, Y; O/ D
: E7 n* }: u0 q+ C* E7 H5 s, g 0 c! g" I+ j7 M" Q
! C- k e! `- K/ L& v
2 a6 M2 ]& o1 u& l/ l, P4 A
+ j( Z' h$ d2 z2 @, r9 {
" D: U) V: O; G2 f8 F7 l, ^ . B2 F% V6 a$ |
8 V* A( L3 S. M, L1 v# x 8 {: t# x# X+ |0 G5 T% F6 b
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 * t. B" U N; N8 P9 P
( |. @% z8 Z/ I8 z
: F# w1 R- t+ k1 h$ u% ~& [
' \( ~# P! @4 D7 Q! X' W+ P " E( t! Z3 b& S6 x- D( O. Y: ~
& M& C8 k/ a8 K, T8 s
1 a3 n% o4 }* e. \4 _9 i
1 t) Q6 D0 N+ N6 j
( K8 c; p1 j# R% e# D4 ?
' ?$ H+ K9 K2 B5 h1 s R) u4 H
" L& a+ q) C4 Y, k. z 填写错误标记开扫结果如下 5 K& _$ J" h# T% |+ v; o2 S3 t
% I3 N& q$ [2 c8 [5 O! b p& o A3 x6 y E% ]/ |0 E8 P
5 p/ @1 ~9 n# d2 j" }
6 H* I5 J; j% f/ f* U- [- ^8 Q
4 f W" x9 P6 A# h9 e8 x
- `9 v0 _$ k9 A. K( D% b0 [9 W
! b s2 l8 ^2 N4 @) \" v- z% P- ^# E # {6 `; I# _# w: w6 V0 w
9 g. S0 r% S; m2 x
) I/ q- ]3 l3 L3 S. `/ X+ K: o 下面我们进 OA # \# F' C( p* l: M3 I
9 t6 \3 P2 ?+ w5 J
/ A x- f0 e4 {! ~ 1 ^0 x4 t2 m6 X8 D9 L% W
9 b. @: u6 A: \: t ( Q o& `' ~& U5 V" o+ A8 N6 i3 ?
( i/ }6 p- \( @& V
+ D- } M* P9 X6 b+ V* }& W 2 w+ ?/ ]; ^. ?# R3 w+ a
! }9 g! N/ `5 m$ v' G6 k( j, |6 y$ a x " M" ?0 p: r6 q3 r
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 " q. k3 b, w* S) D% q) C7 L
/ j( P9 o% B6 ?& ~$ g' T: J& x
! t, n1 m/ |+ p& b3 S5 j 1 b1 Z; H6 t, C+ ]% V
O. M) C, Y) B, [( K5 [1 o- ?
) E& B) p1 l% {8 X
0 h* n( G5 } f) \8 _# N- t( i, G
5 M3 t) n/ W( n# ]1 Y- A+ d9 b! i 1 H6 Z" v! f0 |6 V
, C% j `% q' ]7 d9 } & G- G8 \' H# ~& U2 e8 N$ l
" F# _6 k/ A) g5 @ {7 c
+ s/ ]; f0 K; W* i, A( [ 2 |/ v# E- C7 @" F$ P3 {2 O
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 : ?. \: d5 a9 V5 A" P" t0 q
) g2 e- _' H; F r3 x5 C
. l8 e4 t/ a7 Q& y1 _3 i
4 、利用 tomcat 提权进服务器 * O0 d* F6 c5 y5 S8 v+ `: C& Q
0 l0 }& }5 u5 z
~1 n3 _7 A" s. L0 c
用 nessus 扫描目标 ip 发现如图 2 d- C0 k! e" B5 v
) c0 M& x0 P2 W
3 a9 U+ E t1 X0 a3 v4 Q9 q * i' V# I5 @' @4 F% f4 ~; ?
" h W! Z. s, w/ E' h
6 p' t8 h u0 i: ]: a: }$ m0 \
' s; k0 `1 ?9 C! H0 ?) R1 o2 d
- f; s8 |" }) ]( o
1 c' g0 c$ I4 B; f
' S% I+ D8 x* f9 a5 ^2 c 3 f3 D: x$ Q4 Q
登录如图: 9 W$ ~) N( X2 ~" O0 V- Y: q
2 {* E: g' S% p# k
, c. u" R& O b: S* B, |) b8 h
$ F6 v3 v" k4 z) H( p 6 c: I) O* x% M( f( S " M. O, x2 W* A" v5 E1 \& d" q
3 _+ @& Y" v6 f
5 X S+ B# {: c% J8 { ) ~+ F) {5 |* W
- H. m. y2 m6 x& d6 A5 n0 ?+ J
+ x, e! a! Y) q! s, B. { 找个上传的地方上传如图: " N3 b! i s+ L+ w. A; t
6 o+ ]4 r6 C. ~, q& J
4 @# x) N( A6 b7 m 9 H9 _+ S0 v; Z% d
& N$ {! O2 ^2 s
3 w4 a" q2 T) _# I: `
% `. V9 B4 F- ^$ z7 U6 o( J
$ B$ l% e, F* Z, l* y, s 9 q g! l( y& @- V3 h( b5 @7 ~& H
% Q3 \0 v* f9 Z9 i
! p, \8 A4 N# `9 r: S
然后就是同样执行命令提权,过程不在写了 + w7 m# A; d4 f+ C) ]3 p' T
0 _3 ] d/ h* o8 b6 J- d8 x/ W2 T) `
* w; I' I5 [; ]- f0 `: A
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 + h q; g* `7 D9 d- k. Z3 h
# x0 j1 p5 J7 z7 t 8 F1 P! g3 V. m2 G$ x3 c) ~! u
首先测试 ARP 嗅探如图 ( P& R& V8 q/ e4 o# R
; ]- `9 b# s, r& R
) i" e6 K3 ]6 B1 W& m/ j
) B# B& Z( M& a# l" m9 l ) F/ y* G, D. B7 H - q! t. L7 A8 O# }
4 h6 m( S7 ^8 ^' N& p0 _: @. x
6 p! u- L7 U1 Y1 m, g! ]; q 5 t( W7 a* I% W% t
0 r: b4 X. V$ e' k( }% \
: r H, i3 {" o& s4 h* o" M: b 测试结果如下图: $ r2 W( y$ }. N# {
( y+ l$ w$ U% X. e7 U- V; w' _
" ^: L5 V, I/ T# O
+ t8 t- u) u' T" x4 A
; m( o$ q8 [: m
{- x8 Q( R# |0 z+ E f- N! C& c* C
' a' T9 R2 ^' b6 c/ d3 I 3 D I, B- b% @; ]. w
+ \2 S9 t# H) a" c
8 l7 b1 H" S6 h$ X
+ S) f: N, M% _( V) m 哈哈嗅探到的东西少是因为这个域下才有几台机器 - r7 r) l, h% ]' i
' |! z5 g, [/ N7 J
0 ~% `" o% t& R. ]/ _' O/ \ 下面我们测试 DNS 欺骗,如图: % @! r: D6 b9 A' k& B j/ B% Z
/ ^. k" e0 F1 j5 X
0 J g' {) e9 S& l& M. g4 Q* [' `
0 Z. ^8 Z' g9 \ M/ E( S" a 5 `% L: }, M9 Z! j1 A8 H1 e
; {3 S! e. v8 @0 j, G( k0 O
E/ a( z/ R8 q+ t
6 d Y8 A* I3 `& k$ m
) E. T$ K+ G; z1 X7 N
- q. @0 J7 H2 d3 s/ R4 S9 g+ r* Z
1 T7 B h& p5 P 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 5 H$ g; I J7 j5 E7 L: W4 ?7 F
+ L" p; c8 N( e
& @0 B# K5 d, `9 Q
; Y0 _8 g6 p/ S) F, y5 q $ ^( T3 L! h% d3 ~+ L s
" a8 C# M! F i8 c$ \6 D
9 E9 i; X$ U/ X, y$ o& z
+ E8 M Z# e2 q$ ^6 k
( E: ?; N, F5 i6 J+ W
) ~+ J. ~8 [6 n! f7 k7 p) w
$ A' `& G& \* X8 m4 m8 B
(注:欺骗这个过程由于我之前录制了教程,截图教程了) " t2 {# a. X7 i- C* z5 A* U( q/ y. a
, ]/ C+ J5 |! v1 E4 |1 ^ 5 ^4 S! S) O/ u" l P2 ]' U
6 、成功入侵交换机 7 j, w9 {4 D! T+ K: ^
' Q0 ^" ]3 |, c* m3 `
* E0 D! n% f9 ~7 ^
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 & n- f( k6 y1 ~9 {- [ O) y
4 U {( {* V, z) i
, t; R# j# b7 y, K 我们进服务器看看,插有福吧看着面熟吧 + B! u# L: |6 E9 a& W
: \% S/ c J h- |
4 m. W- f9 n% r% [# G- u 7 A7 O5 }% \" S% k( S/ A
2 Y1 r: c3 l/ Z n; z5 u
' l4 F8 O# c9 g1 h( T8 M
2 H1 i! C! u: v+ z- E5 t
2 f1 ^8 s( I# f( m 0 l, m8 h4 `' B8 r( ` Y h
6 C+ v7 F6 ?& o) ^/ M u
* I+ f N4 A% W* r `1 h 装了思科交换机管理系统,我们继续看,有两个 管理员 % \- j- Z$ B- _2 e7 w6 v
" E7 }% |7 l6 ?( s: d" z - S& H. }/ ]3 @2 r k
* ~" f# q3 S) ?# f6 @ $ O$ ~1 e( H7 ~; m2 G
8 }+ B- \4 \, |+ ?4 ]8 r8 E; _
8 l0 r" B0 X9 H* R& H
& L0 V% C R2 X$ d6 N
/ f t# n; g8 V8 p4 N9 k% T4 b
6 K k1 l0 h2 y; G1 m" G6 Z2 y7 k, a
1 \7 H! Q8 `. E# A4 E' T
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ! p. |1 j) j1 e; m* S
# E( d9 s" A: |4 ~
+ y" {5 O: h% p9 x ! a' l# E) Z \) l6 J' |
1 c" d# X/ x! L5 v! _' u$ ~5 Y
, k+ z7 T+ p/ H3 Z
H5 {' L# Q- z3 d% W8 \
( K0 g+ P/ ^% n" L. i+ X" G: E # h% ^* \' h1 n: T: S/ p g
9 U6 r+ V3 D1 b n- E3 l : \2 ^' d" P+ L6 b u1 \8 x( ?2 p
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: ) \6 t1 q# x" c" j) Y
. u' V0 s2 u. r
5 S- K# V% D! I9 d1 x2 ]' H3 s) `
1 y0 F0 K1 J5 a# E& p $ y; \# n& j7 d/ i" W
& U* K' d( Q5 S
* w5 P/ ]/ j# |, k# U 7 y+ C" U4 S( q6 L6 W3 }
. [+ x# J' f6 {4 R! o" N0 [
" e' n+ x2 {5 e# y: L- x. y( V @
# G" [& U! n5 [$ I 点 config ,必须写好对应的 communuity string 值,如图: " N0 F- @2 `% R6 v7 H$ d
* k3 w7 q" F8 }; _
) o( |& s# X9 y! M1 ? # Z, T3 W# J. s8 D1 L, o! U5 i3 m
! z1 K, Z# i. @4 r! G, m$ |
; S8 U# J+ h. Z ^6 e
; d6 W6 y& a8 Q6 F& s6 Z . d7 x x! d: S3 O- [
S) ?: J8 L- s
" C( h6 Y9 F- B( I u
# v3 \- S3 E& g5 |! T0 P# Q9 e 远程登录看看,如图: 0 j5 o) j8 \! K" ]+ ]! V
7 i- a$ I) ?& c( e
4 D# N9 D& { Z* n/ B! O! k
8 V) @( q# }$ x" \ + @6 Q! Y- _; Z+ O" F
' I. g% U3 t4 r6 x, ^6 [6 n
' O9 O' S- l- S1 z# l8 g
! d, T {9 e; l! l0 f8 ` F 6 U' P( m+ Q5 S" i+ o
" T* j8 ` C1 v, m
' h3 z Q, w1 J/ h, T; z7 L 直接进入特权模式,以此类推搞了将近 70 台交换机如图: : }" M. ^( c4 f% m" x
. b. N( B* W2 P4 e6 w8 y7 m: g: z2 z
; M/ q* Y% l6 N* f# r2 Y. a P! p
9 l5 p- b' i0 p
! w* n# ~0 K& J x' O/ l6 c. P _5 N" A
1 K+ d6 U+ u# k0 O& n
& {0 U3 M& _! x : F2 Z r/ r t8 Q1 ?. Q
- g- p0 ?' s* P7 Y) `
7 M# b9 O1 U) ]% c 6 d( | U9 h" K4 Q) Q: _; A! N
8 N, W# ^% B; N' ^4 K - u2 o# R# \# w: ]$ q
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
' v1 _0 W$ k' l7 B
; s' b% @( R: q G0 {
4 Y9 z. ~2 |1 V" k
- l5 H+ L2 H& C8 {2 ~+ O / g! x+ b( O; }- t( K $ E/ b) O3 x# z! k) d1 M# X2 E
4 R0 V u! `; ~
( q+ K4 v8 O/ N 1 r. D, F4 `) O! @2 J7 a
8 H; ]2 Z: G) @' c6 s
: q7 P+ d. t6 f" V8 S/ f) J. ] 确实可以读取配置文件的。 3 R* A8 E" b J/ }
8 `& J0 }: O2 Q* W# D/ R
: D6 Z7 Q! U2 c9 ^1 p# U, {/ A 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 * x9 c+ Y9 G P9 S# [( {4 V
; s# \' O" J" [1 \5 e& u + s; [/ m# x6 x) D) P2 \$ X
4 G! w" v& g: c# l' A7 \ + V7 V& x }- d; n- f) B
- y8 ~# c0 i" W% P0 [- ?
3 w2 n( {5 \1 o. s0 V$ K
- p' {8 M, I1 g4 U# Q" k- N6 G 4 Q5 h* j$ s! R. Q! M
6 F& T4 U1 p* S# g8 o) H9 | / E* g, i8 @& {+ ?& ~
: [5 o. Y2 [# x* D" J5 N
8 K+ R) S4 p- ^. N
2 @/ i) v+ G# W% T 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 . C B2 P" ~( K. L T6 ^2 c
! y4 S: y: r+ c1 a: V + S5 W o0 |1 Q: P6 Q: _ Q( u
. p- W' n: l+ r7 z" G+ \
7 v7 I5 r1 F; W* M& `. Z: y 9 E& v# S% \; B4 Q+ n
8 b) h3 e0 B5 q: l" K C5 `( ~
; E! ^ P) t4 w! {( m( M
( P2 B0 n4 @9 |3 A* j( Y6 y
F* l' l6 ]: Y7 o8 Q# u& x
% Q$ }4 C# K& R' ~4 p 上图千兆交换机管理系统。 0 K/ n Q; z: T; [8 H- E- z. r
& ] \( V& {' x* E8 l( ]. c5 e0 _ ) }3 N. f9 K; C5 T# ^
7 、入侵山石网关防火墙 3 p9 i$ C; D9 f. r. L7 f
8 {- t3 s4 f, x* X$ @5 `2 }
3 s; R/ e a# O# I; r
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: # h7 u" Q( q- F4 C+ R
/ Z5 A; G! J' A/ |' i; { . g2 w0 F) w* o$ u$ }2 R
% w7 s' F, N+ _( I% ?% l6 x( J
4 A6 K: v1 j# Z5 w; ]
- l$ P' N+ U; P4 L8 @$ ?% S
% P& D- d" j% W8 a }2 W, H
# q+ x; B9 t9 z0 Y5 S( T . Z0 H0 @' I* \; v
4 J- u5 S7 b; I f
! W1 I7 A4 U6 f% Z: {, e- J6 \ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: # G8 E4 y G% ?4 N7 W: \) K
' x) T3 k1 y- \0 \0 m % W# o! W: k7 n. _7 u" W! v
, i/ [. _0 k4 `$ O 4 d) k+ P. F5 p9 g" Q6 k2 i+ r/ y
5 G0 l$ F! m% r( r3 @
4 Z2 E* D6 J$ ~ k; L' \/ w; W 9 O, q; U5 _( t
% @$ I, C) K A
" [# H# W0 x' K/ [, ], g
* V4 x/ a; ~0 D% |5 {4 B% A! V
然后登陆网关如图: ** # p, V* G- G/ `- Q! Z( @( n
5 u' ~( e- n* P
) g% M9 u4 u; v' `8 I7 W @4 ~' ?6 G; ~
Z7 |3 L" d( q4 }/ ]! d$ C
3 j* Z6 P% ^6 R9 I8 e1 p
6 [& E, R- U$ b. ^& o9 g) W" R3 k
. N" J& w6 s, ]' D# I6 F6 B $ F) h; M0 x, t9 m" r$ ~3 R2 U2 h' a
, L: A3 V. s4 R3 y9 Y
. `* m0 Z" z4 z* x
( a* v6 ?: X" p( ]# O; I7 G 1 C! f5 n& {9 Q8 V6 G; N
( E7 Q! R/ l- ]2 r" @/ `6 m9 ~1 j: N
4 P) W% k/ V: K$ I2 d3 O6 p/ m7 j
" i z' m( K, g u5 ?1 T 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 6 |& S. |/ Q5 t+ Y4 C- I; v0 u
7 }" |0 f4 y$ w5 P
( [5 m5 R3 ]2 c1 y
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 # w+ J4 R9 J/ i: ]$ Y5 r6 n
' |) V# C$ g# K3 G/ B
, Y) B( b' w# J# h 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** - c9 M. ~- P/ I9 ?
; q, s/ J* s7 Z6 }' [7 x* Y
+ E$ w0 L4 A5 W- `( b 3 \9 J7 {' h7 V+ n
1 i3 R. t4 [( i1 Q2 M
* j+ T f: _1 H9 U" R ]1 E
+ d3 }. S ]2 N3 }2 R1 Q
5 g) h. j4 a9 C, i! I: b) \
; K5 S' l0 n n% T9 ^. U
/ R. B- N7 S6 V9 L6 ~ & E# a5 b0 l* n$ ]: a
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ) r: _$ \. K/ _ @5 n% ~
$ K6 h/ Z+ [) p
: B' s: P U7 b6 q! I& |. Z + C( `0 ?) Y6 H& B. K) K
, T/ Z( G$ u2 S* M8 U1 F
3 V5 @4 l* U1 \3 Y6 M ' d' }, t* i7 H3 s" V2 Z
; H8 [) s- G2 o: G
) Y: I# f- Z' q8 Y, K4 O 
发表于 2018-10-20 20:19:10
收藏
支持
反对