' m+ N b( j |
3 _, F% d0 B D! `8 a( [) {
3 ]- `0 q& g: |9 [0 D , w) L9 Z) {- E/ t
1 、弱口令扫描提权进服务器 % J2 F8 U7 z1 s- V
6 i8 u: X7 i. ^6 w4 J4 i$ w2 e9 m' M5 \
% G) T1 j# V9 J& e. E4 |
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : $ w, c0 x0 U5 `- K$ ], w. f, W, M5 S+ I) L
, i+ H1 B7 j ^5 z1 h& e' \! @ 2 {7 c; U* l+ `: K
$ E+ N0 S; H" S1 j
# z" R' U7 p. q8 u
$ P! u- [) h/ g" H! J) W; M; u
8 ?; b% R; g# E! Z
0 M8 b1 V8 F- p; V1 y# ?4 @
' X6 f5 g% g! d5 j
- |$ X) U( ]2 q* ?$ n4 a
! q+ O! i( q# R6 R* t$ Q9 a
0 w, D4 q0 t. l
6 {& D9 w# b6 z( W
2 C1 r3 f8 ~: S1 z/ j ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 : f G; q0 w) \4 t/ b8 V0 H
% `3 g# E! |) U ' r# n6 n4 `+ R% J# H F q
执行一下命令看看 : @0 C1 d: ~! n; n0 E% c
, d7 u+ b2 Q) d; f8 o, ^/ W
) R6 D; @; W+ z/ D 8 K6 l6 e( l6 h" c& ?
9 O$ S O# a; V6 Q. M: M9 |1 e% z J, \! c: P# n2 D% p1 @# _
$ t$ y0 y' {; B) ?7 v
& m, R' F) l" N& u0 W* T1 v5 H
. F0 B, r' G. W$ u! H
% x- B% n! ~' j) ~. ]
2 R( Q* C, n! n: C. Y) K 开了 3389 ,直接加账号进去 + R9 P( G9 ]1 P) u9 H6 V" q0 v
) _: d" o& F" O9 a
) w4 O! t0 ^+ X# c: S4 Q8 w 5 k- r& g3 _3 r! n5 J
% e p% p. {$ n I0 A
9 U8 b/ S8 _+ K
9 B+ L/ b' C% O4 E8 K . v9 n1 O5 q" _* J8 o# D
+ U# R7 ~! F/ I* i; C- K3 W
- r g3 k9 V O/ o7 Z5 c
7 Z9 p1 i/ o& }9 k+ j2 Y2 H. n$ d 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 : h& `1 u! L5 E5 N R# q# j
- c! z7 A- n5 Z* ^4 ^/ I7 I
1 G8 Y; J8 ?4 R- e" s: o: C , i2 u( R$ m& J5 H) l& b
* W& T1 M0 S& d, `: A8 u2 y
$ [" \% q# m8 @
/ K; S4 p% [" c1 d$ A+ I
1 ?/ i) o5 R' `8 H) Z 3 s& @4 X9 m% r$ W0 ?2 _
1 w( c) T" d& ]2 }! A! a
* L% b) s1 q( ~7 j2 A3 e2 [ 直接加个后门, , w J+ i/ t9 ^4 a4 R. t0 t
% ]7 Q8 s$ ^6 l9 k1 k. G( e: ]
( U4 `8 k! g* c* a6 \: \6 c 7 m% L7 B' i. n$ k
2 v: ^3 e, _: L" j
7 @8 H2 j$ G+ ~4 m 5 u2 T; @9 s$ D" e/ R! R
( e; K0 r* \7 X! _$ a6 b) N
7 z, _( o" s, W" k1 w4 L
; b' X% H4 `; s: c5 v
& N2 z7 R* }& R+ q% R$ v+ U
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ' k. d0 U- m: [- M
9 Q$ E5 }( S% r8 }& p7 p) u O$ w; \7 V; ^* q0 H1 ^: H1 \* L
2 、域环境下渗透 搞定域内全部机器 ' y3 r9 E) V2 a9 n
O5 f" J+ J5 C9 y7 ]5 _
8 x) G8 ]# L4 x4 z! F: }, T
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 & ]7 h4 h# n$ I: J& T* N
( k* f' x# \! O( B' R' f* e
& ~( e: O. Q- A1 C; W3 P $ G) a y7 z2 f% y$ q' S+ ~* G) S2 C
2 O: P0 v$ v6 G8 v8 u( C! X$ N
! \/ n* P: D+ s7 g
' [3 S7 ~9 ~( A% G7 ~
$ D, G' Z' e! m% _8 K
+ s8 V+ b) r A# u6 {) |
9 @+ q: I. {0 v* e8 a! B* o: {( R
7 C9 {. r3 ~ u# O7 ?
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 " G# v) e. Y( H
- a% t- D' l, _8 U7 D& o
( V" J# j @ j& z$ |: R
* Z2 Z) {9 h$ o0 t) Z( c 2 F% x6 v5 `% w# V& X1 o& }2 P# W
+ v" d" @1 a9 g) c8 ^
' m* {& G; _' `' K s2 q $ `( N: h6 \7 ?$ d
# K- D; r9 c. F+ d. \
7 Y/ U1 z# ]9 A, e: X% O / q+ }5 l. `9 j0 ~9 N+ G+ W9 O
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: % G! Z1 Z, v9 e0 N5 ?2 g
" M& S$ Q* y w" Y$ @ 2 x* K; l0 u& N8 l& ]2 Y: ~- v
) M$ Y; ^" G2 J( C
2 O/ v) n9 b0 q# [9 X& L4 E1 A 9 g* u$ b8 ^! G% Y
* j) v/ A. ^0 i5 u# b / t: S% I: Z6 X' _
* q* |; s, r. |( k E5 I1 J* I
* o. C2 _8 e7 e. c4 P' _
- c8 f: E' D6 m 利用 cluster 这个用户我们远程登录一下域服务器如图: - U4 m% g5 R1 C4 y, C, ^
5 r9 v! ]( D7 I! `: V1 k
! A& }% a, v! C; @" w
. u4 v* A p) l; y% l# I ! r9 K2 l& `) J / `2 C2 j, ^4 H/ \
9 f6 w$ X1 W& p& o* }) [) `$ O9 n5 m
, \% o8 I, O% W" H 9 U5 x; h' T' Z; G. M
3 [) m- @0 G# P# `' X0 Q+ ]9 U" t" \
' _) k' g! R7 J X4 j
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 3 V& W- r- I- U# r2 w
1 O% l; v8 b4 g: r! Y8 `# B
4 S# g' X, |9 v# {! z3 J/ ? 7 G0 ~6 z1 V& H6 j' r) i9 y! w+ m6 h; j
. E$ o: l" T$ ^% ], g) t: I
+ L+ E+ g) t: v- Q! T" d
: X0 N) A2 ?7 W- p9 q$ p
. J+ A" J' c0 Z& K5 e 1 R `4 ~$ @" U
: ? M G* |7 m 3 G' r$ @( n; h, B# s, L
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: * _ q7 i& T* Q6 p2 r4 N
$ h7 ^8 M; ?, x7 b) e- f4 q 9 Z: t9 s8 \: }5 w; F! ^
5 }5 ?3 i$ l" h3 D
- G: C4 m5 a) F4 ] " |7 H$ U6 Y7 V. Q: ~' l
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 0 A: R H! [% l' G$ y) y/ R
7 N) g. P! y8 p( R1 y- Z+ ^9 s9 J
' g5 x1 w% G; e9 O% q
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' t9 S) w8 S( v! R& V6 u4 M
0 W( J o* c! ?% ^
% e' C! k$ D: w$ P! @ " a. ?7 N! i3 {' d1 w, g! H
! p; g0 W3 ?) j8 T' c9 S3 U
7 J$ @( H3 v+ b3 p# ?3 F
) q1 M5 ]8 v, u
0 z3 d0 S; K8 s* X6 m ; W4 D: Q) r, f! o9 d
7 n* w! f; r) A" ^9 N. l0 K
$ V/ r1 s0 I9 \' B# g 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 / l3 \7 Q) s- B$ w) M$ N8 I
# z) y" | M* ]7 ~' v 8 A- K1 |) H/ I2 e
( e4 {. V4 m! V4 B& t 2 v8 s* Z j7 p" D) Z4 G# r
7 X; D) d5 B. T$ U& O4 v
" z3 [! U1 ?/ v
/ b9 r" t0 V2 ?- b, z* T$ Z3 J) _ j) `! r2 E3 O
0 p/ R* X( s5 C) P" s. l
8 P; ]& J+ f( w1 B 利用 ms08067 成功溢出服务器,成功登录服务器 " x, v7 c8 O" m" p$ C$ X
0 s( G1 a$ M: i# [4 \6 P+ W* |( k
0 f" u4 q! G5 ^, V5 _
4 n- @, y8 W4 R* g! l
5 ]1 B( X, V! E: J2 y ! y! N% O# q% t# ]+ ^7 \
+ P) g( l% I& o+ B% D& R " D% S1 p6 I; }- y' H: r
7 k4 T. {- d+ f9 F
8 `) r+ U3 E1 _
1 F: {# E# W: ~& `4 c 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ]7 X0 ^7 b1 C9 i
& ]/ `2 X. p( d5 [
, r. N! p: H$ ]0 h. _4 } 这样两个域我们就全部拿下了。 / o* i @2 S* r
/ F9 ~: N. @) ~5 ?7 P 8 ^9 h- h. ^# x" c4 \3 l
3 、通过 oa 系统入侵 进服务器 ; d# g9 \* n7 M4 {# l( l @( g
* z+ N6 M1 P; _- z- |1 \6 F
2 T' y n) x* H, S! G Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 + N1 v- K1 H# c; d0 D6 I' z
0 ~" I/ \7 s+ K# i5 ? V! w
, h5 [7 t- X( R1 e5 Z0 o ) t: n/ m$ d% V. R+ y7 o
* F' N& P: w! O% u& i# w6 _* i
0 }; ~% K% F" Q0 c% e; n. C
$ Y# ?; d2 K$ S+ O* j+ m" s! [
4 x7 S+ ], s0 A$ L4 z/ j6 n2 M P6 u% n8 G y
7 n; n* b) c1 Z" h E
4 b5 N' ~5 Z. E$ @/ d* r 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 $ n+ W _1 Z7 o3 x
2 L* J+ s8 `3 P9 N: T' m' w
7 h4 e$ [5 N7 j# P5 Q8 H9 d
# J# }) i9 p% p $ J) e2 y3 W: m
) Y( Z+ B v: a
$ d8 P* j' j% n
! E2 t, G: w/ I0 L5 _9 m0 V% a * u% \- O) T! h8 Q/ R
) j0 o$ k% w' T1 i9 ]# F. r, h, N
/ T! u" Q9 U/ j
填写错误标记开扫结果如下 $ C& X/ x) R' T0 _* s4 O! [
" y9 U$ Y' z9 t; T5 Q0 z, c: W" f2 n
' |4 B! N1 J z) h6 D 0 f# V+ Y( j. z& d% H
4 u1 _9 U M( M& b1 Z
$ p8 K! W# q3 d2 k- e7 W
' J; V5 S6 f5 H; s6 x6 A$ W
" ^+ F6 y$ E, I8 @6 L% y' k
+ u0 s5 \9 k' S: z& S! U
1 u: f5 R2 l Z
' U3 x1 ^7 J! L8 j4 C6 b 下面我们进 OA 1 j6 f/ q2 _* f; Y8 A! |/ N
' a6 v3 u2 c6 Y! `3 f
5 r! E4 T! K; d9 x% j9 y8 B , u! P. X$ c8 R) g8 V) n% a7 }
2 P6 O3 n; r% h( J- d) N$ s/ m + P- e9 ?' _5 E( i( F. \
6 z% d% U, n" e% I, W' K. d: C& F( c
/ H3 a: B+ T- K- d Y 7 x7 E3 u/ a6 T" X4 f% U6 q. Y7 V2 P
: u( O4 {& `$ ^
# ^$ p8 `' j i, Q
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 * |" p* v! `# ^' Z7 [
9 e& q$ D |7 @! i k0 {3 O7 U
5 P# _% ~9 n$ h3 O6 ^$ y
! I! P% G# }" H y0 S* x F. \+ P3 p4 e3 v8 C: f
% w8 @8 H5 M3 D- Y h$ T
! y+ b# o4 N6 @- g8 e & p8 m& {- R$ I' L; i2 V
- V* ]6 B7 n! s1 _- c7 I
1 S9 r% _/ {$ F( K; W& t) P8 y, h' G 6 O5 _. K. |) m, l# ]2 g5 d1 N b9 d
/ [9 ^ B/ y2 W* D3 n% x8 o
! A# i0 z" i' ]1 K6 ^
! o% r+ c% a7 x' b+ A0 [ 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 + l( i8 V; l! P' b
: _) q# Z) t w7 ?
: {" u' r6 R3 n* d 4 、利用 tomcat 提权进服务器 ' K0 H6 R$ K/ t6 G- D+ ]- B6 B
! d, C' Z+ z& X! ^* P8 B$ K+ {& }
/ t' r D) W5 p* D( Y 用 nessus 扫描目标 ip 发现如图 ' X4 q# u2 n2 {3 g N
2 E' |9 M- y. {( n( k
; d6 {2 X) R# i# B, h, _, U
7 u r4 ]/ q( M8 L$ x! u9 K- d5 o ' R9 n$ N7 ^' j, x0 J( }
6 i: A/ G* p# M5 S' y
1 J/ ^& t2 v/ ~" _6 Y4 O! R
( k5 V+ R8 E" [; w4 r( @ 5 W9 w( | [# _, n& K
, U2 h; g4 R& p5 E @) Z7 p6 g
) C2 c' L5 W/ t* A
登录如图: - n" B" d6 q, s, h; f1 @
' u$ g0 @6 Z* J1 F2 m/ C. Z
6 t* Q; l9 X5 S0 S * ?. I: m- ^1 o, U2 x( r
3 t' _. e; F( N1 u' \1 ~
/ ?+ w% V1 ~* V. R' ^' \3 w7 k( h
% \0 F6 U9 L1 x- {4 A
4 o- J d m. [ 4 [" R4 ~2 l# K/ a) U; L* r
0 O' f _/ K* @/ E5 I1 E
1 ~, r/ V ]4 m H: k 找个上传的地方上传如图: : l# C6 ]; r1 e8 N4 ~, z; |
+ C$ E* G" p0 U+ {- J, J
6 i- p0 q8 j& _4 t9 h 4 p5 e+ D, v: P' G+ M9 q1 t6 I
* y: u% i! }! Z5 @+ h+ E8 I
+ t* E- H+ v6 f: R
5 ?/ }5 y" q8 e" |: E
, D: U! K1 h# M* b" }! F 6 q7 i4 l3 w, Q/ ^( v1 \7 o- c
' k% y+ V3 Z0 F! Y1 r" @$ h- i
$ s3 g& V% I: t: B7 n r/ i0 u
然后就是同样执行命令提权,过程不在写了 ! T/ N l2 S4 j1 q
: B' T% Z- e6 i0 `& p
: A8 y/ @+ p7 z% A+ C 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 ' |% w+ K! g$ K( r2 l
1 @+ ]% m) F4 L. F
! C% W. w: R% }
首先测试 ARP 嗅探如图 7 K3 G+ t" v, i; G/ h
. B. q% q0 t# j, m3 D+ j; y $ }4 F5 c4 B+ K1 X1 l% {# l% f
% p+ l! z* ^- ~1 y
* ]5 K f# J( n) O. o9 s # s I- ?9 y2 A7 E
3 s8 o0 @: J6 d% h4 J& h& i
- K0 o- y7 o, P1 U+ t
% P- d3 e0 [: _( j3 Y% w% H
9 [7 C( k* D/ E8 Q: t
* ^% H4 F- n+ n9 a 测试结果如下图: ' I* g0 D3 z: h/ D" ]/ F9 }
! e8 i% k2 B3 L
7 T8 _& R3 W" H2 E1 f/ F3 z8 y
$ a! a& v. D* G& j9 ] 4 h1 T0 U! y6 P$ j7 B- i
& I# n# b- f7 }5 Z# R: F' ~3 Z
I% H/ f! X' H0 E( W5 _ 9 Q0 L2 p; X, N' j5 t# f
1 _) H- y1 P. R
7 z+ L- [* t; b4 W' k' d
, Z p% y! \/ _0 q- `7 [, b 哈哈嗅探到的东西少是因为这个域下才有几台机器 j1 X% D$ w5 g, r* }# s* p
, ]6 e* s, O! [, ?. e
% ^' \% q. A8 r: b( _+ f$ O ^. ?' p- @ 下面我们测试 DNS 欺骗,如图: ( w1 M. T7 N* j" k5 m
" W+ t1 J: r# _! f) J& ]
9 d6 l- H3 R* }
* o. l: J1 U1 S5 o8 |9 \3 Q2 D* w0 f ( o& x8 A$ [0 B! J" P8 H ' a# t4 H# }# f2 l! u V
* u6 J7 A( B2 W; r1 G$ g
/ Z" [) J5 k& B9 | % O( P- |# x9 q4 t" H* P' p
2 [6 a( i$ Q$ q" } # |! F3 ^; S0 j
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ' P' s$ z1 X) v0 `" I
( F/ V7 c9 ?: N' O 4 u, A' c0 e9 `, _) m
/ D0 S; S+ b, b, j0 B ' q# d# M7 I5 W" F0 M7 W ' F& P( v2 N7 N5 q+ i6 ^+ S
, k3 I0 A* Z0 b9 Z9 o3 |& j! } x8 R* M# j5 Y
0 M+ A- _7 X& U# X4 @8 M
; `4 K* G5 M2 @" H8 F4 l; G( J$ d
) c. q) z4 l0 k7 E* H% r8 Q% x
(注:欺骗这个过程由于我之前录制了教程,截图教程了) + s& N4 G8 \4 v- {, h* o% G8 u/ b5 {
* ^, \0 S5 Q( c/ D, n3 a+ G
+ t: b* ^( Q M5 T8 A; ]* g& M3 [ 6 、成功入侵交换机 9 j/ A4 J+ |+ ~6 M* U
$ ^: T4 X& D2 P- @( f
& P* V( n4 o: ^- x8 ~1 W* a 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 $ V* ^% ~4 `% y. C" `& T9 T: `
, e4 C- {* C' L! v9 Q9 Z
* J8 v/ V l% n2 V7 a5 M
我们进服务器看看,插有福吧看着面熟吧 0 ?0 N3 V8 V: `/ _; p" e) M
7 }6 H9 Y1 t6 F" g
8 Y& V: d, S7 O ~4 H, y) h! A0 q
% y) T2 s3 c2 v. E! h + W" d1 J# [8 g; f
/ M* b) [6 z2 z
: z# [8 }& W' T: z' }" ?% }
( a2 w l( {# Q 9 w6 E& t4 n. `6 k4 q. g
6 V: L- ]% R8 ~" s! n2 r+ E. s2 i
8 J \% {. g, @. e
装了思科交换机管理系统,我们继续看,有两个 管理员 9 K: @# |6 @8 K( ] R
" f8 `( P; N J* d" M r 7 g8 B( x: }- D6 o- W7 Y
) V9 T9 f/ y y6 @% t
, Y6 I$ u+ L, \
9 J/ Q, {7 ~! X B% C4 g) ?& e: C( j
5 w4 O) V4 R+ G; A: W# ^
* R0 | ?- W T! |& f" |6 q
: _) h: _" I+ Q3 U* h' H
! D; |# t' v: P; C
. S, o' ~' w" I) ] @1 m 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 4 Y, E& ?- F2 X- N
3 ~) e6 |1 m4 `& [+ c1 B6 }
, W0 i- n, ]2 {+ n5 t; n+ L. F 3 h8 c3 e' M. h% Y4 T: u
+ l/ z3 i7 h6 K! H1 _- S" W
# D; A4 I5 {; t" u2 ]$ i* P T
. C) c. {. y+ X5 u: j ' Z3 [ }+ |/ e+ d4 y
- h0 F9 ]# W3 |5 p/ D" x% T
5 b' w5 C. g( P
. c* {+ Z6 H( q! W
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: / n: ?: C* B/ m! F9 h) @6 c
$ r% R: F# }+ |% `& ^
# M2 o7 \) @5 e$ p) E' r 9 a/ B, v# \% ?/ m$ I/ a
" o6 B$ g' I% C4 m. `- \& C ( @: ?# f" _) F* b8 i6 |8 Z7 K
/ f- J. o' k8 }, r0 r: F8 s
) |" B1 K! ]/ E1 ^" C
. K3 l2 d" I" K8 w
* Y$ Y3 b& i L/ q. n; c: X
+ D0 e+ A" r# n 点 config ,必须写好对应的 communuity string 值,如图: - J8 k' w3 N+ S5 z" c' E
8 k3 X/ J6 T; J6 E
+ I7 W0 r' M7 w4 X5 A' X b
, |8 K( w2 F6 s8 g7 c# t0 Z# i ' e! [5 y$ U3 M8 J/ a& Y / C x4 `& Q+ f! ^1 r9 n4 L
9 h3 k3 O2 c, k2 E* z5 |4 F8 j
6 u- j. ]. [" I# I& f- V5 N; P & S/ H8 `. C( V
( h, L# k1 N; N
2 B$ G/ R0 L/ A
远程登录看看,如图: ' m* ?! |6 H! t
2 y0 _4 l' O2 C5 u# Z
. B7 E0 \5 L5 d. T
0 q, ?- ^, `3 K1 P3 A# d- H- E ( _/ c5 Q7 w8 c# k0 _
9 z. ]3 }' f5 }% S8 _
# {' J+ {) ]# U0 f$ C( ~9 h! Z' z
& r9 Z2 d: r3 t9 J : L& a$ I4 r8 j: e Q3 j8 O) Z' T
( U- K0 o3 @) D' x. V 0 P6 J- W6 U/ O0 \8 J+ Y) Q
直接进入特权模式,以此类推搞了将近 70 台交换机如图: 9 C* P, k* B! k( t1 S1 [) [
% _7 l! b0 Q3 {/ [' V8 J
& _$ n- j3 j4 m6 ~6 b6 V$ B. Y& I ; [% W! V6 Q/ k$ B' D
- P" m* p6 Q1 ?7 w2 T4 t
2 O$ @+ i% h! b |. Y
?6 @4 ?2 G' |& Z7 A( ~ + D0 b" l( u) L3 k& ~0 y7 H
1 `& B5 q# o: l+ L# M5 o6 K7 ^' L
; U4 F- G& z1 K8 h4 N
" C& l6 W8 u3 b
* y3 `3 Q8 U1 Y9 i' n
V. j; U9 k( ^
7 d. m a3 N6 m+ f3 _5 W 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** 2 M9 V1 _- R( H) d% a5 Y
2 K2 U: d6 ]+ y7 v) D& V1 j
/ r7 Z& A! D. N" Z! a. G% Y8 L
' @4 L2 B' D1 D$ @
( }+ X4 b7 Q; b4 P& @. V8 [5 q3 Q + E0 t7 `- ^( m# q6 X( c- ~
) |3 o5 [5 F7 {9 ^1 w8 s
* L: E. o, n C+ F& i* L, O
4 _; j% k# Y6 q6 ]+ H" S" y) Z
( v0 h& a/ {" z; i6 z " b, }# V$ T. P- f$ L: @2 L
确实可以读取配置文件的。 1 T U/ o- j2 t! C6 v
" H P2 V L% G Y2 l
7 }; `5 q5 o8 d! s2 d4 V 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 4 |) j O$ I9 {3 E% ?
8 s1 Z* I! g$ _) q2 B: X
6 _6 f* j8 l/ j: i; K0 R
. p3 x' p" j/ ?3 r" t 5 W2 f2 }" }& D3 N' J4 ?# |+ P; o; Q 8 A3 I% e% S% Y3 E2 o R
) O1 V8 {) |+ A2 T9 k) P' J ! S5 Z; _: ]* ~( u" |
' N( s8 r1 G# J6 @) L' s
* B$ I- K, u' v* E2 W; y
. C7 s* W: x% k* V# t% z
" }: q- k5 o0 s$ w
, T& P) j: _5 a# J
4 ~# R$ r1 q) M% H2 B U/ i: V
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 * y ~! r0 F7 |
. t$ P5 i4 t3 m7 k! O: c$ [
. T- \* k K% i7 r" k8 g
2 m$ g/ B# j- s9 g1 R; g2 I c: t1 l! ~! _
8 F6 s6 s z8 y% X/ ]6 t
0 D$ `; f j; X8 B4 A; Q / C/ f* j" T& B. \0 u
! l `# Z) l5 v# |+ Q7 e5 f( K
6 x8 Y' H# W; X/ D
( w( A: t) `1 X; @
上图千兆交换机管理系统。 ) k" ^" {( E- o/ {6 \
- F& T' s2 }' w5 K
6 @3 p' n0 e9 V! Y# Y4 J) T6 V 7 、入侵山石网关防火墙 5 P2 m$ j: `. H8 I7 p% k) W
/ N; r9 C+ i* v( z; X% ?
$ W# U p d8 A/ _. K 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; P3 K& D, I! o) D4 _+ M7 i
: U& c/ a `4 e+ h6 o z
2 H4 I$ _3 y* O' r+ J & I4 s% Y! U9 x5 t; v
+ A" y: V+ v1 m; d, I
! m2 g, \8 \5 O' t1 V# M
* e& E0 a: B$ D5 b R
2 r& e6 d$ S2 J% Q! ]
% I- V7 [% R% \4 Y
: ~' q R6 S; W2 a; M8 w |
0 X0 [+ O/ J2 G+ b y! U
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: " ]& t" o# n8 O; p
+ k D- e0 e, G- w/ n
x7 j K! `0 A) F9 x$ K: N% @
5 e" ?: _0 S6 l8 {0 E5 | 3 e! A1 s8 K2 U: Y/ ^1 s+ A: I
6 I9 g* W/ d0 p+ f
1 l* x4 G6 [0 n8 a( m5 x) L % q5 \" B7 {2 ~" C: H4 z8 _6 g
1 H1 ?& ]4 c' D" ?/ U3 A$ z
0 Q$ G' [& Y8 C. Y
' X1 l; [$ C+ M$ m; | 然后登陆网关如图: ** * b" O, d- G2 J/ R
F7 v/ I: q! Q; D N
- N* o* J [; F1 j, z
3 U3 N) q* t" x7 W
2 m9 B7 V, e) Z9 ~: M( ?6 R5 s2 K * z2 u- o) c% P& p, [5 m# w4 d
9 h" V% V# R; X7 X: L5 O
+ E0 X0 O, h0 G5 z- n. `/ {3 d $ }% k# h( w3 R4 M" p5 i
; W5 o1 m) F, M4 a! o: c
, ]3 U% Q, d! L. \9 _ 9 C* m$ v, w6 k
! s6 C1 I9 i% A0 c
! J2 r) x D! V+ z
! y6 D( {. G+ A% \ ( O) ~* L- S5 a' |2 o
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ; K% v- q# L' t2 R: K1 o
" {* ^" K' `. W4 {4 _" ~' j5 T
' ^; `( y( L* Z# s( A 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 . d( O( `4 D+ M0 M& Y
0 S/ }( @5 X4 o3 k* Y; p, \. f& r ' o6 f. n4 G! l4 A3 K1 L: P
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 1 G6 F, D1 }: A9 r
3 x0 H5 l6 g+ }2 X; p( }4 k( ?
5 ^: P2 N6 l6 M
5 f: Y& Y2 b( y5 \% C7 T) m+ n' _3 R % f T: Z& u. Q
' g! E I+ O; l, x* l, M4 [
/ D/ I+ B( m6 l( f& H& C
5 s' i; ~+ K% D! @* }6 O $ T( X% Q) [! c- ?% @3 K
" U( M) q# K( ?: w4 E! K7 g" @
0 ~% V/ } s5 s+ U% S 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 Z' ?! H% C: w' I* s
0 i, |* i+ g* a5 s% X4 n- z
6 S/ H4 L1 ]3 u2 f9 G6 z5 C
: E* k! Z1 |$ Q/ ~3 D% R0 q
$ ^* {! F. g- x0 r8 ?; ^
: @* r9 A6 P% i9 j, H: F2 [$ Y" u
) P$ ]5 X! R b
1 _; i" C/ B9 q$ t8 t $ V2 `$ \. A8 p O" u+ y 
发表于 2018-10-20 20:19:10
收藏
支持
反对