4 S1 w) B9 r$ q
% G! e& t: m0 \6 P) Y
% L' J( J# _1 [7 }+ g$ }0 N
: O- z: I5 R% H5 ?/ _ 1 、弱口令扫描提权进服务器
+ H( M& M% Y1 `
, P# q+ L' h+ _; |* N( A; g 8 i) D9 a% b% E! o$ a
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
, P4 j$ ^/ v$ a+ Y0 h
" U; y+ }+ j4 _3 h1 C$ d- f5 K7 D ; M, A0 e) p# c! D
_+ {) R; M6 s9 f- B
% h! @/ m7 \- K0 L1 B
2 g* |5 A9 L# a$ f
% y; o' n! L; u3 W5 L% t) l! ]
* Y$ D' o* z" C. j; t $ T* O0 V3 r3 K/ U2 p
& ^" o7 r# k5 q3 m
0 C+ @' R" }- b$ y
$ i6 e8 G/ {& J' b$ T; i
2 A! w/ P, r& m4 s+ j# i
! _! {4 a/ q) P: X0 j
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
2 r' ?9 V) T, Q s ?- Z
: q* G6 K# a/ M3 l0 t
d$ Y' { G! [) {; P1 n3 _ 执行一下命令看看
i* u6 J& O3 s3 w
) i0 T7 O* x& t
, d. e1 @# q6 o
) y% m" u- O, l* i7 n% }
8 o* `! L# i: c& Z 0 R+ q/ S& x0 Z8 |
1 q# A! L# [) R, W9 u1 \ 2 ~0 \9 l. Q6 R; L
8 u+ @) I" q' w/ x8 h/ m& q
5 n+ x. k4 y; L- X; l
% n P7 `8 k: J I 开了 3389 ,直接加账号进去
' ~0 f+ y" X# S( _
3 `8 F; ^& T6 ` 9 S" b( f9 }6 ]
7 z# ^& N j' a) \; N. P# G& D
; y. h, W! H/ k% X. Z8 t
) R0 T* C2 T _! D7 h
7 f1 P8 n1 b v0 y+ @2 m/ i# T
( ~1 T! L8 l1 w2 g
( `# e# n1 t% m ?, n
. j7 w) f, Z1 K
) Q6 D& B- n% `, t/ X0 v
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
6 X0 F0 N- K- g0 L4 |) ]
# w4 b3 A* J$ J" ^7 H0 G
* ?3 E2 Y3 G! B$ g2 R. z2 q' E
$ F" x4 m$ m: M: I
) [3 z8 e$ F; o2 l/ B
9 s, @; | q5 i/ v M* b" i2 k. b* x- f# B
5 X5 @0 P1 t& {/ Q. L/ n$ H
3 [3 ?! I4 w; L( t- X9 B # O5 D! I, z$ C; b
: U) \4 ? a: s; S0 n# ^
) f0 p$ q3 o% T# x+ a* ^) F 直接加个后门, ( L+ h- N# p: t1 q: h
- W7 F- p2 F' g# G
6 q- d1 d* ~: C3 R
' H8 d: k* C9 M: [' _0 g; k# V
1 I" d& @6 U# X5 v) h. G* o
; x3 I# W8 }5 D6 e( f1 e
( m c' p6 g5 h6 p8 h; `5 b 8 j' X; _; Q+ A% q' A- _
G$ J, K5 e3 h
5 r, u6 ~: k# ~8 N1 ]
9 F2 W0 D$ ^& A) k) B
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . s# j, t9 a) L; |, M8 ?
* J5 G+ m) I( _* b) X1 F3 n
0 ?# c* _" Y1 m: b d 2 、域环境下渗透 搞定域内全部机器
) Q& P/ @! f7 u9 n" f
# D% L5 L8 q! }: h % m, |" A' L; X$ B; S
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 * ~9 N+ `% Y5 r
. f4 l9 W6 w! r# h3 h
* y0 c9 ?# O5 t9 T+ i 4 m. B3 P; m/ `1 k$ w$ w( K. Y
1 U4 S! x( p* t' m8 H6 E; L
1 D ]: @- t6 ]
: u: ^" K' r+ E. k1 q3 E! F; Q! g
/ X) n9 u& ^: ^( Z2 v ' S' Y6 D( Q" N9 M+ U! K. K+ ^
, ^$ X2 a$ k# \2 U, Y
- p0 O; a" U# |7 D" m' Q6 Z
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 $ A, L8 ?9 T- B9 h: K
2 U3 M! G# b0 ` v : O b) y. K8 p N- @3 r6 x6 p4 T
1 U& l6 i( G3 E( D6 V" t
- \' B" D6 y3 B; B% |% E' a/ N
2 T% J0 E n& b7 {: P9 d
& o$ B! y% T- k0 I2 F. Y ' Y+ N* |" N3 ]# h# o1 b% }
6 R. k* h) f: x. E, N0 j/ p" e5 \
. {' C! D3 l2 s! D5 l7 p" v8 L
4 ~- ]( ^$ Y) o2 J0 w9 x" ?; ~
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: * B* `6 D$ I# l
1 z4 u7 C3 Y& \: }0 m. B3 @
* s, E5 ]6 A2 s( X) t4 e
7 i, O* X$ v+ a# ]
' r. D9 D1 d5 W J( A
4 p! r4 x4 f; ^" I
; G0 a. ~0 L- q9 r. }/ A
0 C/ v" E- s- B+ w5 x. ^
: A) y6 J2 ?6 a. v q$ H0 `
/ \+ m+ t1 i3 p+ }# ?( n 5 l# D8 V, g! X$ P
利用 cluster 这个用户我们远程登录一下域服务器如图: - `9 U4 V1 q) _( l1 [# u; r
/ f# ` M. C8 g+ L
`" E. B0 g0 @6 [, b9 P1 y 3 J" B, m; e# G( ?; y' a
: ^; E1 A6 W, ~8 s6 }- g
# |3 S2 Y& ^, r# n, N& S+ G3 R
1 u# G, L7 k8 f" `
( C9 x2 v2 L. z9 G
8 c/ ^% ~" }3 O& i% r5 R- h: t
8 {* e* b% b$ M
% }1 U/ J, p. `% U- D3 H 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
& w! X9 x! u6 E$ l' T, |
6 I) N/ e! Y4 f8 k3 m; I% O
( t, ?& j5 o# w1 U2 g: l7 ]
6 k+ {. z6 r4 |: u) m- Y% ~8 {
9 R' U% @. [* V" o: M8 M) ~! @0 T. E
. G4 G. l7 N, q+ r; d# |( `' r3 v
( o- Y; O5 b: g* {
0 a' b. X! t4 }+ D) M# @1 W& U
+ |5 `* u2 ~) {; y3 {
* n% h! g- w* w8 Y9 ^0 }! \
; @3 {% x8 U5 r8 m6 J 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
! U* X U# I) c( q0 }8 F
5 C; l7 q; P7 N. @
( a7 X; `$ X" U# x7 a
9 A% @8 u9 F3 S7 V( P& {
: V! W& k' d$ ~/ u: e
2 t F4 k5 `! o, C
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 3 @" y$ C3 s! z# x$ n3 J/ U/ a6 z
$ B2 w' Z% r. U t
6 h: U9 H& k- l0 T# S2 a4 @
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
2 o! O) T, l# @- a1 w# y- P' J
5 j! j5 \9 B+ F* S# x8 }
* Z7 E6 x) T) H: e' T ! A) }& p- G2 M/ D5 Z+ w S9 m4 v# z
* Z6 C8 _% @( j) r' G+ ~9 A/ G3 e
/ q# u/ v j! s( U. S
( A' |& T5 g8 }4 |) v# ` ' S+ B" Y6 K6 ~ _& N* \2 {# p
- r4 T( x& w, R' e
& D4 W4 W# Z: y' e' i; f) R
& \* z8 D3 P/ `* b- U( [, ^ 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 7 b* a' z/ W; |, M
O$ n. ?6 a! b# [2 g' U
" r- r2 k3 c$ @0 G & L. q3 [; n7 I u( Q
% \# T- r; l8 F) l& p/ a8 Y
9 U6 ~( f' t! a5 f4 p
8 I2 p$ m& R' r
6 J/ M5 [) x, I
9 C. }2 _- N! Q( T9 i: f5 K
- I3 Y1 P4 J" p; S$ z l' h w6 L
# I8 h4 _' S5 }/ D4 b8 W6 j 利用 ms08067 成功溢出服务器,成功登录服务器 ) H5 K2 S+ l7 n9 f) d
* O0 v0 f8 y) ?" o+ M) \8 ~) N/ ]7 F! X + q+ z2 i* a0 C3 ?3 n. l
% `& Y, ~9 [* l: ~4 O! a8 K + l9 k4 u% y( |( G2 f
0 f" C6 g8 c( C1 h
- {, H) P0 ^0 ~0 Z/ W3 {
$ u# M1 _! `+ c. ] ) }; A. o5 a/ n4 \+ i! q* S
2 }6 Z) C% \* m/ l8 X: n* Q' z
0 w' a. T* U& X 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen
3 {2 U' `6 ]1 v% s2 x, J
6 K4 M. [: i$ [" |
+ l. i% M# T$ r5 i, L$ s. Z2 T 这样两个域我们就全部拿下了。
5 }7 j( T. {4 e1 K
& d) b9 v; g3 B6 F8 u) D
; T, v8 t& b6 u, Z D! {) L+ z4 j 3 、通过 oa 系统入侵 进服务器 * `9 N& S1 ]) D8 o; m* z1 {
: M; b% C7 Z& ]& x9 C" l3 c
! i i3 ] {. Z9 a Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 + C. V/ w7 o/ k% V+ F
/ w) a! c/ o8 M, I5 o0 c" N8 H
5 ^2 n5 t2 L! B) m 9 t' c m) f4 ?9 ?9 k
( l: x( j* J R
4 l) }& h8 X; k
! J1 A0 U0 N& j' x/ C - S6 x; X1 `0 c$ t8 k. B
; g6 C+ X- v1 g) R+ m: w
1 L5 \* x* m$ Q" V& h( n( A6 h
2 j" W0 e$ B* m# n 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 % `# }1 ]% ?2 H D/ K* e% |$ o) @
& @; ?" g) N& `% F4 U; }: U
( C9 I# _* G) g$ G
& ]9 G- I( `+ U8 b" a$ y' U 8 q) R* o9 u6 n4 ~' a
% R) k8 v' s. c) ^" x3 D2 M
4 p* F3 L! g& B& |/ r9 A & ?( t0 z& _; ~0 n- c R
' j' [9 _3 n4 L o
) ]$ h6 J0 \7 _1 a( k$ n& W
# B( @. H6 ~9 u1 h* t
填写错误标记开扫结果如下 , o0 E/ X! `% U* p8 T
$ h7 g/ _+ Z6 ~ O5 k7 m/ F. M
) b& c5 j; S; F9 g E, i & O8 f6 D, I- l" ^. E
" ^/ e! M( s' |6 r& b3 Q
5 u4 E g, g/ m; Q. V3 a* B) G7 c: j( W
& w0 E( E5 ?0 [" L: |7 ?
7 n, l1 @/ d2 B+ a9 N! ], a
5 v; l# j8 T1 Z* D( o1 O- ?4 d: `
5 T8 ~3 e* k. ]% v 8 f5 U$ ^# K' [0 [* c( u- F% L
下面我们进 OA 5 f$ H+ F& p9 S% l
: f7 m9 L2 B2 f3 E8 k
! {7 H4 q9 A* L. }9 R) G, j2 I ' o; u/ g f X9 P, {
9 j6 [* P0 J; R, T$ P! p8 C7 M# ]
7 k% X3 h: P5 E
0 A2 Z; @9 s0 S0 R" g! y
* T- C; G; \* l, [0 R+ T
0 ~) Z, t# X$ u+ h8 c6 ~5 k5 _
& H3 @: B4 C1 h7 F! U) Q5 e+ X) g$ w * X, t; e( n+ x4 Q. [9 e
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
3 y: t5 M$ {% U; m/ _& ~ n* a3 J
+ l/ ^4 x; s9 ?0 d6 x1 j7 N
; D9 ]/ H, S% O7 N3 E 0 _/ W* x8 X: R2 m3 [
+ k% {0 u9 C6 |: \; R# M
. A) c1 g. N+ w0 `2 P% @
* [2 V4 Y, C- y& t' h% k5 o
% [% l0 `) j9 f$ l
; r5 Y5 d; o1 w% Z, b! m5 E
! q: |; a s Q" I
3 [# E/ R5 Z$ k6 j: O2 N ' [7 X1 ]9 M6 O a. q3 ]4 F% J9 F3 ]
* P, L8 \* V0 m* ] 1 _( a$ w& q1 @' ]3 E% z; f5 Y
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
( U0 k# L) _$ q6 f# J/ [
Y8 ~/ V: ^+ t' X
{+ s& ]3 I* X! g0 C" T4 o' ` 4 、利用 tomcat 提权进服务器
/ i9 X/ S6 x, i) f v" [+ j3 F
, r. @) z. r# D7 n0 z/ E* A) w $ @# g# x3 s9 t7 B' ?
用 nessus 扫描目标 ip 发现如图
( Y' \# }+ c9 `( B. C, U4 o9 O
7 R9 Y, v1 X* U, u" L
8 p7 i* A3 N9 ]8 [" k8 H8 S
1 x& [8 I' q& K4 T2 ~: G* O
. i$ s: J; ^( P* ]0 z 4 J! Q! ?+ f/ G
! Z( K4 i# l! ?8 U: i5 |
3 r) v2 h* U ~! j4 p# n' ?# R * c- b" U- P; n4 f$ J
: X, s5 i8 ]$ i+ Q
: Y; u1 w+ R. Q% {6 {
登录如图:
( T! |; S% p( z5 f( A
+ @4 @' S4 f4 L
, n: f" Y9 K+ {; e2 Q& {
* C7 I0 d% j' q0 N% Q! o , ]! ^+ E9 X* p, U% L
9 R4 C9 Q. ^0 e! V' Y! A/ r4 Q4 ?) S
2 ]4 ^$ _9 J+ B : R( x3 P) F0 s# }% i b3 i) r/ y
1 |8 y j) C' ~9 x' Z y/ p
' n5 |% M' _! T
0 `# K! w& N2 @4 z K 找个上传的地方上传如图: 2 C9 V) F' C9 f) D0 l
9 ^3 i1 e6 J+ u$ V
% B. d3 m1 U- _
+ P& c. g1 s4 R8 i6 K! ]+ R
! I# `- w+ ], u d) i
& f H7 K& O. K, ^3 a0 r
+ U* W- n; J! q
( e( v7 n# \0 ^/ T& P9 H* B / X3 L; M- e0 P6 t3 Q
7 c# N8 v q* C # P X. R9 O0 V7 e& N$ o( {7 G
然后就是同样执行命令提权,过程不在写了
4 h" e" {8 d, V1 ]4 @. j/ x2 J
( u7 R& n) }4 G u2 n' K
9 P7 f' j" _. c# [$ j 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 & B4 r* Q4 k7 B3 N P8 F4 ^! y
( W. N& j; W3 p% h( f
2 T7 `2 l: A8 M. g- I" k
首先测试 ARP 嗅探如图
* x. r2 t$ s" B, Z* Y& h
1 |6 C B9 M: C6 M2 H
/ \2 b6 X5 ^8 d3 o1 e. m# n
' Z. Z7 u4 I, q, n) K/ b
& W s8 T7 ?( C n0 O) o" d
2 E" o( V% r" d( ^
0 @7 n4 d' ?2 I2 F: j8 c) q' `, N ! R& k% ~" U9 `0 t' G4 r" H8 ?# I
. r( `7 R6 u1 D; j3 j1 q
1 M. Z4 y: q9 E
0 Z: l' ?0 S8 P8 S% l 测试结果如下图:
& _" k5 y. A4 E
8 J5 ]+ x3 P# d
# r8 L# W% i+ c0 n
5 E4 ` ^9 ~5 ?8 r* e8 w" D / p0 B W( f, I" L( q
' v5 z" t3 s9 f4 J
5 W* [# V. e* U7 g. ^6 C* L
% S& x9 Y% _# l6 W2 N, p8 j+ h
- q7 w/ T$ J* e; }: V
2 h' N% s* c8 g, L+ i
, A. {& [5 b& y a& d4 i7 L. c 哈哈嗅探到的东西少是因为这个域下才有几台机器 % S# G5 ?7 ]5 H5 Y9 B8 X
N/ {5 `9 J$ h4 F $ i+ Q) s0 V0 E2 ]+ I) b
下面我们测试 DNS 欺骗,如图: # H/ G/ e1 l1 S, F6 `
) [% E8 t1 S v e1 j " n& q1 }" g4 a, W m& `2 B
0 c8 t2 k' g) k7 O+ ~- V
6 O9 ]- T6 f3 R6 L( Y 2 u$ R, p* N$ t3 r* }
% C; C' ?0 f4 Z4 @* N, X
! q5 s4 Z l9 P , w3 W" |3 e# h: F, F! j5 [+ n# [
* \% G; i. c% l) y: p% W9 G8 x8 x
- o& L7 w4 @5 G5 y0 s
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
, h. `8 p. v2 F9 s; L
; ]# |0 O* e, T8 x% m4 w3 e4 V5 f
+ G) N( [: t5 q8 f' q9 G ! P5 z5 t' v0 Q- |" I& m
, \7 e4 E2 X9 b% \6 J " ?/ e5 {, N$ u" l1 H/ f5 I
4 E7 o! G# Q6 u5 q; L' C
9 {/ ], Q" k4 P* \( x
& n6 H. y G3 W" x8 P8 X8 H1 \
0 |+ Z% ?' o9 h" k
9 f5 x% Q5 K, I4 ~* W' @ (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 f, m7 f7 Y% q" {
( G$ w# L% b. ?; a! ]9 @6 m- D. q
0 }* L* `' Z4 J, m5 q3 H
6 、成功入侵交换机 7 G5 P0 [3 k7 J: G, K7 q/ O; |( q
! N, {. t- g% c9 q/ x }5 j
+ |1 E0 V3 Z2 W4 U- g1 f) Y 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
: ?, O7 w" P2 M5 g- [2 C1 k6 u
/ p5 _/ t# u3 w$ Y9 }. c. h % Q2 K! l6 u& Y6 v
我们进服务器看看,插有福吧看着面熟吧
# w1 v. [( q5 l
: A; w; ~% T# p/ ~4 f( t 1 r8 l+ }* T4 v" ]5 i5 e/ e$ t
% b# W* [3 ^8 S
6 o; D3 U8 x3 S1 b5 C l: m, o8 w
5 G# r# i9 E7 p6 [) N* S. v
3 H/ A9 ^+ K5 F5 x
* ?9 O: I, c0 z
, |; l: C) i8 F
" k# u& E" d) C) j
# o2 m& u H4 P; w5 q% c 装了思科交换机管理系统,我们继续看,有两个 管理员
4 n3 v; H( ~5 |6 @* M
: m8 l# V& W2 E0 ]1 ?- U I( m8 v
& |. _% v. D R0 S3 | : ^# I$ j/ m. {* H
2 g! u! A0 [ R1 v7 P' G3 R7 T
) E, d: L, y$ N8 g4 }
2 p8 b3 J! {- x& v4 x: a m( \
* r# E. Y0 [0 d( Z! _4 V
0 P$ v* J# i% e7 L4 X
# @1 H! @) p, j! W# b 7 G4 j: y1 r; X' c7 G1 H
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
5 e! N) `2 ]0 }. V3 j2 G
6 @& J" R+ J5 x* A; v9 y" ~
1 N6 {$ ^9 B2 g, ~1 K
' L. _0 z6 f: X' _& s
8 c- R f! T. u0 U5 w - k2 P4 \9 b9 B* b! b+ V
$ ^- {3 R: o o0 h) J6 h
* P; F8 ~4 E1 r: `9 x: i: D$ F
1 ^" v: ?' g, C
( G! D/ l) O: A4 I
6 {8 z8 ~& r \! I* [- h
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: . F( \! m6 y: |4 n, ]9 q F
# q* ^ A$ c9 b. {+ Z) O * J9 A' o% O4 j: V# j* K
4 B% }' ]: [0 {% J( J 5 C# A k2 m4 p- L6 ^
- s- \' R8 c: V* Z9 @! g
# S s- L: _: x' f. g- j) Y
* B* v+ R" P) T# O; J
d9 X7 x2 O' _/ C' |
6 l% x' M2 z" G2 I" W) | / Q7 o5 ^7 x3 W/ M) N2 ^9 y* u
点 config ,必须写好对应的 communuity string 值,如图: " n: G9 t) J$ {7 ^
) R& O' O0 c% ^8 d/ A! Z& |1 }
$ }; C" f1 x5 M! j & C2 ^8 ^# k0 l$ s5 L
$ h. R- L8 K6 K
' [. h4 u0 J" ?4 ~; ~ W" m
. p# C; _ j6 \% y* o , Q0 y3 M) j# A4 Y
! Q" t# _ H- [$ _' s# F
- G/ j7 v' t a2 F( l8 h1 A
6 K% U; C$ C# f& A- W' t 远程登录看看,如图: ; F3 X# R5 O- F, i7 [# s
; q" C' T2 }6 a 0 N# d' K- S( I
# b1 `* `! H+ @8 p+ N
1 L, P5 L* x, \5 I6 R2 S
4 A: e, m/ O. a! e0 g! U
" U5 u% A/ {* q4 ^& y # K8 X/ M4 ~# N& `/ l
' a0 B P( w9 T# E* j! L, w
5 b( D; W; Z7 t; h1 U* p
% N; `) ^5 g4 i; v' Q, V2 Y+ ^
直接进入特权模式,以此类推搞了将近 70 台交换机如图:
& [9 ?, N& D! i' G
! o7 m! v+ f- e: a1 C* g1 I
; C% s0 r7 U+ W& j- X
# A4 s9 ~6 L R+ x1 g: u 2 f. L6 J* U1 d* w& `
+ f- G; R d) \
' ?, u0 V* ?; V& v- L- C; X
" `1 ?+ w9 K4 M: U9 b
9 w5 o6 t5 ?$ x/ m
, g" }. ~8 ?5 K9 W+ V
4 T& k* M- q- ] y5 e5 d% W 5 s( _1 x3 \8 g, M: B9 ?; w; O
2 k$ A/ N5 F) Q/ V: X2 D4 s0 d ) G2 T/ Z. h- g! z- N U. C
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
! F8 O' x( R% I6 G+ N
1 A# q, C s1 c
. I- q, K4 q9 [* x
* p: p; Q! B4 N e2 E/ T+ K
x: Q1 s* D) j6 k' b3 O , @: H% X/ `: `, y+ J/ ]) J
: Y0 \4 C9 a, P) O
+ V& j1 y" T8 M0 B, O
' K+ x; T3 J. H9 ^. F% ^7 k
. K7 E6 \. p9 ^% [" \1 G! P' q # J$ x9 {! R! }6 C2 K9 m. q# H+ n
确实可以读取配置文件的。 8 s$ [5 s1 A; H7 A3 w
% ^9 R2 _( A- P- ^4 {
! q1 G- |+ }' D 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 + ^8 b+ Q* N/ a; ?
6 I& i; A, i$ }4 n, v# l
5 g6 s: ^' ^, I2 i 1 v( z ~; T; I g. V
& |5 b7 C* x2 d4 _$ A+ O1 F9 D9 G * V, u' h( _) ^8 D) t8 C
: h# g7 N) p4 b( A' W
! Q% o7 [- K" E 3 b% y3 @! L5 _- Y
5 H6 K, ~2 g, g9 Z* t/ ^, i
0 Z; S$ l3 \- n- [; {/ j f7 W" a; n ' ~( V6 @: N3 U+ ~ ?3 L0 |% @/ A' H
( v& I* p8 x" Q5 Y% @
; e5 G$ c+ d8 I* |- L$ S( i; c 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
* P( F9 H5 {% p2 P! w+ P# ` R
. D) x* T4 ~7 L& b# T * s# U5 f7 j* C
9 E1 y8 L& @6 n7 S% x- |7 u
: D) O ], `# i$ g9 e u, m/ E 8 z2 n, A4 C+ \: S9 {! \7 D6 e% l
- Z6 b! m% c( _ ' _0 t. }+ t. V5 L
- C% c' ]* A# b
3 W0 J, {% d. j
2 U( b9 q- u2 Y8 u+ N 上图千兆交换机管理系统。
9 c0 M* x5 b) {. u9 K* o( G
0 F5 d1 x, E2 p- P) o. |- l8 V. f
) Q0 X, f/ ?8 z- [5 u3 j
7 、入侵山石网关防火墙 # o, Z* }& D) I/ B% l. s# Q% _/ u; O2 J0 i
" b' q6 @! ^' y! g
6 P* \3 d2 |, \: w2 @/ t+ L
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 f1 V" \9 ^! m6 X, n0 o3 J
$ y, |6 k6 _) n! Z4 m' w
5 B+ c% m0 N- ~ % M" P3 o% F% ^
5 s; r& p( I) R* v$ n
8 f4 J3 }/ r {- @# o0 |& t; F
1 r( e6 \) a; \" Z. @9 s- S* {# R1 o ' n, |7 h! U' p& |& x: p
1 p( \: J2 i! G3 Q( Q' K
- o* O4 ~" D0 x Y1 y( k/ ]
% b9 K9 }' `6 Q( |0 ] 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
4 _- H1 c f' F1 n; H6 j
( L- q5 |0 D% {4 K& r+ F
5 a) E* X/ \% j& D% `2 `. a
5 \& H+ ]6 Z0 w3 i- p
' n- \! I: j: I+ ?- p
' h1 |5 R4 `; }& b+ N" X
& G. s" P, L! L* a# y4 ~/ n; f
1 V0 D# i5 q' J; J% H
3 ?) U' V/ U8 x& v. V/ j/ U% B) n
2 ]) ?8 u/ }1 @. v1 Z8 T
" {: M8 [1 M( b- N, Y/ e6 H, W" ~ 然后登陆网关如图: ** - }0 e. {( [, I T
h' D+ t1 v0 w* s. o0 {- w* c
+ D% N6 v4 x. u8 [8 E8 _* o
n3 j/ o8 M! y6 `6 E | 3 |+ h8 t* N' k8 k# E2 T
3 d/ d& P, J/ i/ Q8 `6 E
( y! |7 M' }% P# u. t# z
9 G7 L1 h$ a7 g3 O& N, x
% |! a7 y* @5 r ]$ _. P
& |. g8 E% J# q9 }& \, g: j' q
7 m. u0 P, y+ `, I6 D+ f9 Y7 T5 H& `
' z2 m1 L1 N: j7 v" ^
7 Q% C8 `" }* {- s% d' A
- U* N3 J/ b1 `8 j' e
( v- n' o# A! ~; A& E9 P# a
1 H6 Q" Y7 S7 h1 E( g i5 T" h
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 6 }1 n, {, @5 Y5 b7 c1 X
9 q/ d7 n U1 d+ l2 ?+ T 6 p* |. ]. y) R; x
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
2 {+ C" q7 Z- s) e; L6 A' ] s1 B
; k) E' o+ M5 D! F
' P1 y* S$ L/ l, E 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 3 j4 O" R) V$ l3 O: P- s$ I
( a( Y0 @- d9 }- {
: X# e) a3 h8 Q! k" t3 l' Z
. b6 [( r% Z, r! v. S5 T0 u% Q
6 r% {7 ]/ I5 L! G, l
( \* P F; Z& v/ Y, u8 f
! a+ S" Z* w% {, e7 M6 @
* w- e9 }; x% m& l) i5 D y ! _" }/ } \# G% B4 ^; `; N& p' G
8 P3 W5 Q4 V" D9 E% x5 q$ b 0 w8 \8 m' F# X( K4 v! H' T7 G
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
& q6 {! {7 B0 O$ n
5 q0 |2 {5 m- G0 b
0 e l- r2 ^. |% `
+ `4 Y1 N3 U. x8 `1 W+ u/ p5 N
: L1 ]. h9 U; m; F 1 _: k7 A8 ]% }- ~
* R1 M) I& G. V( S( W4 g
' a5 ?5 f+ a( \ G' B0 p$ v5 P4 p # [) e9 r1 e) u( r' P* P