1 C7 q+ T1 z" s6 U6 s" Y5 c f
8 _* A" c0 S. k+ M, v5 o L
* e1 J" D# e9 ]
/ |3 Y$ N4 I9 Y. d* n; q 1 、弱口令扫描提权进服务器 ' {3 j; p& ]/ Z; E6 @
, D8 T! M; i+ J" U
) ?7 ?/ [1 W' k0 s
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
& a# h! ~/ b4 [) O0 G& ~- |
6 Q6 A1 b. H; a. j/ F, J0 k
0 n% u ~! V2 q* B2 {) z( K. `! L ' _1 |+ \' {- m6 t
" `7 @' x( P% u: V- I
/ d* W! t1 d, P
9 @9 a0 `' x% w$ z7 D1 g6 w' Y' V
( r& A9 f* m, p9 y$ h. ~
3 Y# d k9 S* g3 i, Z% c4 y2 |- l
+ I3 Y) X5 ^- C }
( w5 s; h5 c9 g / k; a3 a [+ X* B Q
7 ?$ D2 J! T* T* a1 K' {
; Y: ~3 G# @( H* g( W& ? ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 4 ?, C+ S Q6 ]1 \; m" `
5 @" h; V! Y* r$ |
# c4 D; K2 U K, i+ D8 T2 q% N, ^ 执行一下命令看看 9 H* Z# _$ C0 q( K$ g6 p
9 X4 v7 @. e8 e2 L. x1 g, Q 1 m9 X6 A6 p3 \
) {) s9 m' i- Z: x
2 n5 I' b% [2 G9 `6 G 0 v$ T' Z4 B5 X! ]
" \* L+ F5 L) W0 n
3 r1 L7 p- o4 L
# n4 S1 \3 V1 P2 ?2 {4 o
, r: _) ]; U- m4 ^. w4 J " w! [9 i1 E1 X, y7 y2 V/ n
开了 3389 ,直接加账号进去 / A& ^9 B7 B: V/ H8 B. D
1 j4 M* s* S/ d6 A. \
6 W& f8 D! \: F( }7 N
! X- T" e- ^8 E. t& F+ w ; W& }3 e% x3 D
( w: T/ r1 w5 @4 L# P+ n
2 P5 e G7 V" o ! q7 z% x* C2 T" P( L" |4 x
1 t3 ^% n3 p* Q* I* P. f
2 h% |* E; B. H! h5 j; ~5 Y * H' H7 b2 h& x9 J: u, B% E: B
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 7 q [$ F- w+ J1 m* [ X
0 y2 t0 V2 S4 V; m # h/ `6 b& b9 m9 H8 S9 z9 Y P
6 L. z; g5 X4 L7 a" A* N9 V
m# H% J& t. ?+ w2 d
3 P6 k' x% n' w- i
& d: |& a; r! X
& V0 F- x9 ~8 Z5 `0 q
1 g2 @; N6 t! v& M' k. n0 d+ w, F
( e7 v$ M: g" T) y9 h8 o L5 y! E [) } / r# [9 g6 i, b2 N, N" W' N" p
直接加个后门, ; O) `) r7 P2 \/ l* {7 s, B
# S" s6 @% ?: e1 d/ q' I
! k" h7 H: Q- {5 H# E( V0 F" \* ]& x
' c) P' [% u( k* G+ o( l6 H
% l$ F7 ^# V1 L& z$ [: Q
; X2 M& I- m* [! Y' i' `# h( a [3 i) Y7 ?' t- Q: N
2 _5 n) Z9 _, \6 @3 `' b) C $ _" H) q8 _) c0 Q' K4 N% ~
. K* S( N# D9 |7 Q
1 ^ X' f V- w+ c) ~' U/ p2 b1 B 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . v8 R9 a7 C: ?
, P1 {9 |: P% t! `1 Q * O1 U' I, f2 ]; K1 Z2 F' \
2 、域环境下渗透 搞定域内全部机器 / U! z5 A5 m, R# z
0 J5 s" L/ e! s( u1 g U Q6 P; g6 H! t* B9 @
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 , E& Y9 @% Q6 B
# C( a' I1 g% ~! L! G6 W s9 Y! R) @ 5 B K% H9 z0 K8 X9 r r
( } o7 E6 ]; Y& p( z ; H) J, I2 A, v5 U/ \6 \$ A3 Q ( h! j- s% {. M7 l: f
+ o! n" n' K& V: ^
5 ~0 |9 X/ d$ N+ ` 2 g, L X1 n: ^
6 w" n/ B! h$ U" t6 K% i8 a
5 B7 c/ x0 } o# K
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 . c$ D6 Z4 y2 c/ X6 p
& m* H3 T! Q1 A6 I! x, u/ {
) S4 b l" B5 O9 Y2 m/ G 5 S; E8 L: f) A$ a+ Q
- w& b a& o: c% z; k - e* b# S# W+ k1 G
. Q; N+ Y- c# F7 C8 ]
' d# \' A9 _1 Y9 i7 h) {: y/ i
) a! w9 b6 B/ R# T
( b5 u, N! S1 ` 3 @& K& _$ A7 O
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: / t3 r. S) Z. f/ s, P
# F7 Q1 E8 h8 c0 f. P9 _3 R3 V
q! z. n- ~" q% \& W( b+ H- V 0 g, Z+ `5 F8 ] v k* Z- X* w8 {, S
2 t2 ^: ^, N8 Q6 L, ^/ `
% U( T' K: K7 M
$ q2 M' H2 M' y7 W- T
1 k1 W* a1 i: f# y5 Z/ p0 u 5 X# G" ^8 Q; f* @7 ?2 q
8 w2 z k- z8 s1 T% C+ z
) J8 I! W: Z1 Y 利用 cluster 这个用户我们远程登录一下域服务器如图: : C! t4 N' V6 u# _+ z
" ]/ g V( Z& f* p; L
3 |( G/ o* d4 i$ w & f& y" d9 J) h# l8 f
/ z" ]% J1 h3 v" w7 J
2 d9 [3 ~6 c+ |# c) _/ ?
7 G9 f' S, j, I( h7 {# R3 R
5 k: |- o; R# I4 H: q P' M0 _* ?( n2 E
2 e* |8 { B0 D. W! s% b
" }: {8 g" M) U4 f& @ N9 T- i. V3 G2 C4 Y0 L) H: Y8 M8 A
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 5 ?3 S, H! Z0 { z& k$ D) X
# c, Y& b; J( T, U3 U
$ D8 k! m8 i8 ^4 @6 n
& Y% r, `( i7 M! M* d' j/ Y : f, a; d- y- {$ U, s% A _% m
3 M( `* R- C- u1 ?3 A" I2 Z8 O' ~
5 d5 h8 p! Y& r, h+ G& ` ! O8 C# Q. r$ l; x+ d" A
; t5 y) v0 F h! \7 s: w3 ?+ l
z: O: V1 L+ L7 E6 {8 i . X* T- j5 K: y* H
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: % ^, u9 F2 \( v' c$ {
" o& [8 }( }: _5 Y
) d0 j& w, \4 _, h1 t+ {. k- [
; J+ w- e, D4 i
9 ~8 ~5 ?: u2 h+ O& J- V$ {+ Q8 q
. Q1 A6 g: F6 a- a- c 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping + M% N! M5 b1 [6 }4 Z
" D* _4 t% z( B6 O
# e3 g9 Q; J/ n' @. c; s, P. g blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' M1 e: R0 i1 V% B8 {
. }, x* B7 D: a! r4 g7 Z
4 z& l& W g7 k% J. | % v$ a: S" h7 c# f; V' p
# z* \4 J9 S) q0 Q- X
4 a P! y4 Q: r0 |, P
* E" q: H3 o2 ^5 M: O5 C + j8 v5 a8 M6 F4 W6 u9 l
& @* t5 q3 j \! h! B/ ]& f
& k% H+ l5 d1 \' M# A8 P5 I
0 e7 Y8 [+ V2 j+ u% F+ y6 z! ^ 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 : c* P6 }7 ?. |& k$ g. k5 Y
& G& `# F% g5 g/ d; _
+ C" f' b8 y- |
% i' ]& H5 w' }2 _2 {5 Z# b# [- E 4 k J' u* b2 V, o- N, A
# ~8 ~' w. I* ~' Y- l! z8 _2 j8 f
5 B1 N( F2 d! |" E! k& L ! o+ z) v: e( W1 `9 d- r
0 [5 @: V2 [5 h+ v/ Q
4 l) ~9 r$ P# J- p' Y; G- [
8 a5 z6 C" [, d+ D& N1 E6 g 利用 ms08067 成功溢出服务器,成功登录服务器 9 ?" I" U2 ~1 o' E6 D4 B
! q$ ^7 b8 ~) a; n0 Z * |- h5 y) o9 K' M1 R
! d \6 E! ]; H5 r# L& m; S
* o4 A& U8 `/ N; |! \: Y B: e, ^3 m5 M1 y" {! ]* a! c' h
1 l5 V6 a* y) G
, k: t6 E- H4 ?- Q 4 d7 L6 m: U% C4 f6 q) b
% p$ i9 L* ]7 B( a# C
! L. f' w! R6 J 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen & l5 P) d4 [4 [ D5 n1 w4 U
1 ]4 C; l" o8 D
4 Y5 \3 p( ]' U8 c7 }6 ^+ C0 f8 V V" H
这样两个域我们就全部拿下了。 + x4 o/ G# t! {! D
' ?- h: b/ s7 G
" m& t. V: q8 \+ }( k 3 、通过 oa 系统入侵 进服务器 ' B& e. x6 |( {8 Q* {, K
5 q; W3 `2 ?. l2 e
?# ?. O F" I) D$ @2 `8 S
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 4 ]9 j; i" e2 q! W; C" K7 ]
; |: d! g4 s/ ]" s% o
$ n9 e E7 i& A1 G* F' c5 B
3 G% A1 e. R. i! V ' _6 L- ~ V: a- V! G0 | z: B * k, D8 P7 H! u: u; U* G. P
1 s! d$ N* i8 W: }* J# l
( E$ e7 {7 X! H 1 B F) ]5 {# @' N! D
8 J% v7 M( N( e* M2 ]! L; D + l/ ^( A; c, O3 M0 }7 ? Z- N
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ' t9 C/ t1 Z0 Q& w4 ~; U
L+ i3 W9 _+ @ # c; e0 Y" `2 s) O, c
, V7 m {6 v n 3 z1 a* k! d6 ^! k ! k: O+ r" b( j! \8 f+ f9 N! u% `
$ b& l$ V9 o! M8 O
& g% H4 M9 _' `2 v( D, w( S
4 Q' e4 B y. `/ Q8 k+ X
2 n+ {3 k0 }/ C" l j! O" G9 X
1 f4 f$ e: R0 m$ _+ @$ {0 ~: d
填写错误标记开扫结果如下 - Q B" c6 c5 a% g# M' O" ^0 ^
" z2 A9 O3 g Q, @% {% v4 T
, i" @$ g: r3 G, n& A) j( K. O2 S6 R 4 r1 q0 V8 v% X$ T
, |% L5 G' [7 y7 a ^" k
; w, Q/ s( m" x0 r0 D
% Y' ]5 W$ p' n" I' A! o, { 9 W" r" z$ u$ n! l6 p A
, X7 B' a+ p8 O
4 F2 ?, R$ F" i+ C+ H5 C
# j% F( k d) W# w$ y 下面我们进 OA ) c% l: W3 U+ n8 `4 A5 m
0 m; \* K; H0 s0 B# q$ q; _
% M' }* @6 N9 A
2 ^( C6 x1 {7 b- m
# X. n7 x+ l) Q; d3 X 2 n! }; e8 P/ N6 K
( I) E9 i* D4 a8 p9 d & f* u! r* G/ `% t1 {
2 K4 h2 b @! H2 C& n* S- `; h4 x
/ y9 N% [3 {0 b: }
; F6 Q _7 n, T7 C0 b, U3 s
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 2 V7 r& e4 I; b9 r% M2 Z5 B
7 n9 ^2 b; Y8 v( I
# V" [0 V7 _3 d9 l. Q. u' l# b 3 J E. z' z" h+ T6 F
' p, e6 I% \* I. b
0 E S$ @, n* T8 Y8 x8 }& ^
7 y! b* v% L$ {+ n 8 x) {0 v3 o1 m. g: l4 P0 D, D
I1 ]8 k/ q- C" B: ~! y; z
& O4 l. W: K, K7 v9 R- G
+ u/ a& N' f5 h) v" ~4 W
+ R$ W5 v% ^1 N$ }; h. `2 O0 `
* h5 ^6 Y& B0 }) B 3 I' U( V* n( h3 P
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 , U) w3 R) [$ C& A1 S
: M8 W# W) L* i' M+ [5 n
6 ^. m5 Z7 p8 Y' I4 B9 x& B; m 4 、利用 tomcat 提权进服务器 / n! M/ {' R& X: `
+ M- U1 e, a9 I- D+ K$ M1 h
' K0 I5 z- X: n4 Q4 s+ F 用 nessus 扫描目标 ip 发现如图 8 {" h( |0 x2 X, M; y. i
' ?% Y1 ?% Q1 J- T- r3 t
% d) c7 \- \( Q S# e
* m! L7 O4 b$ g* [0 o; b) N " L% [- f# n3 O! ~ i- r/ h; N, E1 J8 d3 D V
5 u6 r1 i' H- M( u a$ y* r
$ C# h3 D5 \! o' }1 ?0 V7 k & e4 A0 k5 {" v. w0 h' l) O
7 L# U# n$ {$ |7 v' \
: [, Z' G, {3 J; _ 登录如图: 4 E: u, q5 B p; v9 V, V% l
6 y9 M# I* J- [( U2 @5 Z# D1 f" V ]
1 G# g' [) h- r) a. P+ O ! n5 p7 [- ~ i m
# m0 [6 L T2 o3 X) t
2 w T: @" ?* V
% S& S0 z6 b5 a. X1 g " c& a% t3 }" o# }6 M
% D6 k2 c3 T) W6 I& f
9 d! V/ k1 f: ?
! L- H& _! ]3 X: C
找个上传的地方上传如图: 4 a6 o( g" y% k
# W( n7 `. \( ^1 P# r
9 @' Y1 A) F# l% u- ~) A' `8 j
4 s8 X& t# v6 u7 s 2 V2 Z$ s8 [9 ]. J. N
8 `8 ^' ~. C! T7 f$ b# Q
+ ~; V% l* R! ?9 B! F 5 t) j8 f/ n2 a% ~6 h0 m H0 C( g
$ R- o, R: b5 q
; V6 _$ `* ~4 s
# c# u, v4 c! r/ q5 @
然后就是同样执行命令提权,过程不在写了 : G2 F8 I* ~, A" l
* n. U& S1 u; V; q! h4 p
3 S8 L9 p3 [! H4 r
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 . G' u0 P1 S2 p( J4 L, l
; H; w2 o' T& |. z0 @, C
4 T5 P, g# Y) F+ ~/ {
首先测试 ARP 嗅探如图 9 P% T W% k5 R" P2 ] C$ m8 _
) o/ I# j" V3 ^" T6 J4 g, }
- a/ e7 C' Z6 Y6 H0 y
) d7 @4 [ w) c" G6 ~+ o) v
3 j6 h7 }) I# m9 c9 d" ^+ f: e5 A
8 P* F" R% Q0 ?7 p) F" @
/ X4 _5 s' A( e) {
u) q9 h5 f2 J; i M ( r3 D. b2 j% @& @4 r2 X) w$ |
4 N/ h8 M6 [" H+ u
3 f. v8 l9 F# J- P: F. O: e% I+ m$ ` 测试结果如下图: + Z1 X- T# H" I2 j3 S9 W) F
) @, G' Q: h% D7 _% t
+ n, H" {0 `: O) D9 v3 ~0 N: o
, n5 U7 X. U. P" Q, ?4 T - m) Q6 \1 R* U% G: L
/ D: T1 W c6 i: ?
* U8 P4 Q" e& ^9 q! Q" z$ s
I4 x5 N3 M R( p& y
& Z/ ~9 j, h8 k. o: \( j; b
' W. W% o' q7 M+ |4 S4 u' s$ r. I' o # c0 m K7 W. |: w' z: e# O7 E
哈哈嗅探到的东西少是因为这个域下才有几台机器 & ^1 l; g8 k8 u/ m
) q( }: b( a( |8 E2 x5 j& V
6 F% V# b+ }8 K 下面我们测试 DNS 欺骗,如图: ' E1 D9 |- F' o
4 K/ c& {% ^7 E+ C/ s( _$ w, J- {
" F: q v, {) a. f# \
1 e9 e2 z; z& m, S7 A- `0 G3 {) L% e ; K/ i5 |* q6 X& R; n
" J2 u" S' Q# E: \% q
" E8 x8 f2 K- D" E/ D) B * {' k% W* u9 Q" w; K$ C3 e) D& x
& h+ K' g. i/ G2 D# K& i' v+ s
" l' R+ p; [# C: t0 ]- j
4 {4 a" c0 i* Z 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ! o6 \1 L" y- X8 f4 [ U
" \! T* ~; q6 N+ q$ b; Q
" F( w7 h2 w" R: j 1 N+ @' u$ O$ [9 w0 H/ L l
+ l& f1 f8 b! w ) u: [* ~( [9 B; c3 l
: Z/ u/ w1 _8 ?
+ [+ a4 B7 z/ I; e5 a$ f: a 1 V, l9 c; H: Z/ h' V% `% u2 S1 N
/ L6 g0 b4 h: o
- ^8 H5 l4 ]5 F* k9 Y) ^. X
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 2 q" s4 m: |2 g& L7 S X
k) f- \( T* T( o" p3 P
+ k4 @; x1 H6 O9 r 6 、成功入侵交换机 / F5 M, g7 u# a% m+ ]
) O+ }! L9 i! j2 I
. W' M" ^' Z3 B/ R8 ] 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ; p9 L+ I+ ~/ D. U
; l4 O9 d' B8 [8 b% U 7 n% D) E B$ |" f
我们进服务器看看,插有福吧看着面熟吧 + [4 l3 o' D: R; D) a
( K2 K+ l- o+ i, u" G6 g' {& x # C; x3 g [# k- v+ m: _
. F; F5 f, M: ^4 W4 v) Q A. i 9 C7 `( G0 i- |* R4 \' V
5 v) U) V. w" m' f- L
3 n" u* f& ~+ O- `# O! j) E, d
S, J1 b9 W( B4 b8 w5 k3 N6 f ) C$ W/ v3 z1 A% x7 }2 L
$ X3 h0 ]( O, Q) p* @& L# N- n
% Y* Y1 t, Q6 b, v 装了思科交换机管理系统,我们继续看,有两个 管理员 & j* K. o% u2 {6 F7 K' f' G4 Z
# G. `* ?! Y. j8 P& `8 G6 V
& l) \; e8 F1 Q S4 ?
) a9 k% t- c+ Y6 @* c3 z' i ' @+ ^; f; j6 s 3 r) N% G; `. h6 L# e! _
5 K8 {( \8 L9 p0 ?# V
0 ?' K4 \9 u* ]" v3 S
* x6 t1 |: e3 q7 n8 I7 n
- c6 F2 |1 J% f) p( T ) N( j) @4 \# e1 I( }0 S
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ( {! S% N. R, |0 J
, E' w |* Q, u: J5 E) ] s
: n7 v" d4 W. C& K & b, a8 f2 Y. @9 {6 ? e" t2 E5 }
. b* o+ Z. E3 D7 {* i+ ~
( M$ `+ O' w0 W6 E5 X3 b( J
* E C& [+ h; I! [ ( p* o4 L$ P5 j! e6 S
5 ]( W! W$ r3 J4 H% O' m
q" e, L7 x+ P" x6 ^
) u( c; h2 l5 ? 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: & A5 z1 a0 k# Q. N8 i9 R5 G. g
% i2 u; F( |: t3 ]
3 A! h% ]( X8 O& ~0 L
- I2 n6 w0 ~. z
( B0 J4 h6 h3 X" a- o+ {' W
} y# N8 I" o* c' O+ S3 ~% x
8 V3 W5 I N: W# E
8 _2 q$ K+ w, q, O 2 F& F8 T, s, K8 N# Q7 \# J
$ r% f3 }$ Z3 @& ?
1 D) M% b% G, B! _3 ` 点 config ,必须写好对应的 communuity string 值,如图: ! e$ d/ x! A1 P3 T1 ?! U/ k
! C+ ~: D' x- ] Y9 q4 `4 m" C3 K
9 } ?& Z: ?1 n7 j* n% f 6 T4 C, @) j8 U7 ?8 m , v2 j d6 [& m4 @4 g; h2 g
6 o9 @+ f5 m8 k* W+ n x
F+ U ^. f9 }" k2 V; i# M
7 S$ Y& M: k$ j5 D! f
6 w8 b3 X) ]3 x8 i. S$ T* m
+ A' c2 D! _9 S* H) X: u! G 远程登录看看,如图: - R# [5 R$ Z$ }3 Z" D6 t5 z3 O
\7 W2 I6 y7 t# r
$ \8 u/ o' x* G( q1 `* ~ % |; s, I& x$ k4 G+ p- h' R
) Z9 |/ q7 F1 x1 v# I
( I: m: Y6 [/ u8 C7 C
+ D" A9 c6 N2 B' H# \% M
9 e0 N' X9 w" J' i* @% q ( r5 s0 T4 o) z( G6 y) z6 Y
& u9 ?& T& v' R7 z$ K! E* K
, C, a. ^0 W/ |+ ~3 N1 v# h 直接进入特权模式,以此类推搞了将近 70 台交换机如图: ! ^3 n; v# x* m) f g
7 s; K9 k: P8 s1 q& G# i3 d
8 F' Z5 g) Z+ U& w5 h
3 [( ^; [+ L C 4 ?" A3 ^3 b! t9 K) |
( |( @& x; ]0 e+ r) z( h
7 ?+ S. V! P$ U1 ^ # z1 r* u9 q4 x0 n6 N+ ^
( \7 a, f" y1 G; P( _, w
; ^! w- T$ f3 w7 C" b+ k& d
! Z" [* Y$ t/ P/ z, q; ?9 A " F9 g- y$ b! s1 \. P$ Z
. ` p$ Y: H% X' Q
2 a% ?" Q A' }- O/ W 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
- ]( D1 l$ j1 f) A* c8 b
) ~" \, K5 o. H; }! U0 m# s6 k
J! a& m) h0 D
2 O* L9 {8 b) ^# C 1 ?+ m: B6 G7 D2 |; C0 n7 r
8 t! d/ @) y9 r, x2 ?
6 k! V4 ?( I: {# Y / I, S0 X: } G/ [& }- z
5 v V' r& |2 e5 w7 {9 k- f
/ x1 m U. P* ? , V C. O& `7 M: t0 T
确实可以读取配置文件的。 . e* `, a3 A, _( h& }& @
) _6 {0 K3 c! ?& H1 M; R% _: o
8 l$ B4 _ v9 Y: x% O% A! \& J
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 $ U1 x4 j. r$ [
$ y3 Q3 G, x: M% G
$ h* {2 s; }, \: X p
! j* R7 r, Q e0 _
/ y5 z# A% e( z# c$ {. s
: \' K4 e! a m: W! o
1 z2 E! j, @ v+ u- |3 p: W& N/ K
, b' j S" R! x' z: v2 \- T 3 O5 U, m4 ]2 Y( w, W6 Q
6 H6 K6 l! C$ L+ r" k3 p2 U2 V+ E
( M( L; |: ~& |% ^5 ^4 @( k! K
" H% X: C0 x9 M' ?
+ w$ a' D- K, S* w5 ^: ]# ~ P$ m9 i1 g+ r# Y$ K
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 + x w" r7 |+ `) A2 Q" P
8 P3 ^0 F5 I. w9 {5 I
R5 @! N6 C. Q9 W Q( X* K9 ^% G g3 @9 g
6 h& Z$ i4 h: ~+ x$ B$ }, X % n' ?1 w/ i7 `% H- t7 q, _- K `
9 M' H% S Y; b* }! W9 i& X% B
4 C6 `- i; E w) c1 ? 5 z' }$ t3 I* Y% d
& z1 }2 [/ p! ^; n' Z; p: O- ~
$ G( V8 T; q+ \% ?! f3 M
上图千兆交换机管理系统。 ; t( w) P# q, r' w
+ R: q! B4 }3 W! \$ h& {
5 {+ Z0 m2 ~% ` 7 、入侵山石网关防火墙 * S# p0 m: W2 n; R, S& P
. m& w8 w6 s% N* P0 C
, Q" c" z4 }" n- r0 i 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / s7 ^: N% q( G4 F, E
& J1 q( o: A; \5 n
+ Y5 [5 X' b; ], {! Q% ~- C
0 O& `- ?3 f& q7 x, H2 v4 L% H% v, B , \% a! M% w, l6 ]) ? ; |5 p; w: P* d, @$ d+ ?1 O
7 X. D9 p @# ^2 n5 I( _ ( F- V; O6 H" |" }
4 ?' t k9 y- M+ u& y
' K$ B# b4 q/ Q ' D* _5 h$ `% ?# Q& M1 z
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' c$ H/ L8 c; ^& t7 N1 H
* C1 @0 I) ]% Y. Z' Z* w
0 {: t2 d) n( P+ L. K/ N0 _ ' I6 h8 k( }) {* g/ g3 e
4 _( W0 U% z" c- M: Y! u
4 S1 Z7 q: N9 W i0 _ N' l
* l, s& Y @4 k( f/ y9 N
7 s! i C2 Z8 V, k0 h9 F0 | * W8 m* ]8 r9 J5 o X
5 t5 h0 ^- t7 A" l3 G4 T
; y0 r3 L* D# r" p5 p2 `+ _- a0 q1 E 然后登陆网关如图: ** + L9 {; d$ ~3 D) h7 O
4 q8 c/ f$ B" y! R6 R" |4 [
+ p7 }, h) Q: }: W4 V, c
: `! v! p( v6 s. q' m- n0 k9 x 2 ]! x, a t: C" D0 j
9 ?* u' n- u+ _6 s
2 H% H: Q: N# w- F. N: n9 q+ x. K ! ]0 I; d* T6 D# l, Z
( g9 @' a3 m" f1 q- g+ q# @5 h2 y4 V
! g, j" W1 w3 X w1 F B; [/ i3 w$ F m% V
" t2 M. {/ V, K3 W. `8 a; ]% x
" X% Q" T4 F6 M: H
+ t1 N* K, t1 e$ Q. m3 k/ N# a2 |
% K5 K; g! z4 L9 c" q
6 ?" l/ K8 p* g( X* h! ~ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 1 Y- O& T1 I& A. k
- Q( Q7 w5 W" S5 J$ R$ r
6 y* A$ O* R$ x9 v- L3 N 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 # N) p1 O) @: w$ T/ b( A' N
! f0 [0 L" w1 k+ `% K
# j) @6 }% Q* x' s 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 6 G _2 M3 G) p3 S8 m; j; V y
) Q7 j, v) H/ O1 v 4 d# K; [0 r/ D+ w3 @- b% E
1 t, z q0 s, ~# t1 ^ E( C
9 W; k* d- z6 `2 O9 G# r4 j' m
6 n9 a4 ?* `* o. l1 m0 ~
% q e9 g3 e7 N, @$ B" K! F
9 P: k% L5 g6 ~& i ; |* f2 C- |; y$ }) m- B9 T
; a2 P" s T1 G! W. Z) e6 Z
P- b( b7 l) V. Y1 B1 ~ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 Q2 e4 @4 {+ d3 a% R
2 K4 V x$ p( f' e. S" H
5 u' I; T1 L( l4 T: J4 j1 b0 b
, H& E9 m- ?2 l9 e
, ^1 l2 T8 e$ N6 [. \9 `2 W* i
+ ~' M# L+ {7 K. U5 [' [
; p3 r$ O/ ^: P" P5 y' h
5 p0 E) k4 r# o1 q. K0 J
0 |2 v h! d: K% ~! j
发表于 2018-10-20 20:19:10
收藏
支持
反对