|
$ X7 I/ C0 S1 X6 d" c; c2 @7 V; v
) q0 L) j |/ N * p: A4 \; L1 f" _
0 J2 |5 S& T2 m; V# m: C, y 1、弱口令扫描提权进服务器 @7 r p3 h( \* P+ Z
) l" f2 d5 R% }. y0 A
- e+ D8 R) a3 f9 M* M5 j! q
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 c1 R/ \# k5 Z" J
; O! p. _9 m0 U; g; L
4 w) }2 G6 `) A+ [; f5 f0 A4 B
# P; |8 P( A% V' ?0 K7 A
& ~& q9 d/ u: C& L1 p8 k; g
R& @) ?# O4 } U) I: m
9 e7 c8 P0 B( u, \8 F9 X0 u: W5 c, i% O
 & ^& q' i6 C2 H. M, `
+ C- l% }2 O( d8 M- S9 q: Y# d; a+ b+ _
 ( w5 J* q- i& A+ g" H
$ D: D. K5 z, w$ J q( g5 G. w; L7 x0 g+ ]: c
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 0 D3 z! T" l9 Y: N4 R
+ g: ?8 e- K, w" i4 L* W: y& U
+ ]2 X0 D1 j/ w) J8 G+ l$ F C/ x 执行一下命令看看
X5 |% n/ H/ Q2 b 4 @* P! w5 W0 x- @! R/ B
. l* X, q2 j: L3 l8 z* a+ l
 & H G. [2 I" Y7 Z H
* k( ?1 h" @3 y1 W. r( [% D3 e* y6 }0 w9 x" a4 e5 [4 W
' q8 N- C, h6 ]5 ]; A, \: a
/ K* r H/ q) e) L+ H/ j# f3 U' S
( T* c$ j( p: n. j7 N ; O v' U& x' |9 v; P$ K) Y" S1 o
, f/ S* p+ D3 Q2 s4 B 开了3389 ,直接加账号进去
9 @: D; G" L( g2 Q0 d% b 1 O1 y5 h4 @; t# W5 c% X. t
, }8 ^ `; e" A( S
; A/ y+ A" Y3 l9 A
, {" ]' g+ Q1 @
m. M8 ^1 J! O- r, D& r 4 B- W% Z. K5 r% S; ]
. ~, `0 O" d- o& Q/ u: G  - }# l R; z& C4 [$ H
6 ]4 @; r0 ~7 O0 B- Z5 P: l0 \# `" H1 Y
. B7 t( N2 @$ B, H1 z8 j$ K 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
# \. k6 |4 i: O/ L. d& L& T
) R( G# {( J: F2 i% O, A7 e( a: T! P! {# R
% K# n- E6 y% w1 O* t" B
+ A' b% Y. X0 s9 w' k v
/ ~: g/ A, e4 j( T: e* r # z- C8 s, q( V5 w, R
" J# y" [! W# m* Z# i
( I% x% T8 p& r( _9 o
( d" |: A' K b. m( T. ~3 [8 j, \ m/ K
直接加个后门,
& y% T+ a% W3 ^% f
4 ^% W- x1 y c7 V8 l/ c2 G3 l" q
 ( h; Z, ^+ r& ]) v& `. e
* ~( `3 {, z. a1 g" O+ k: N/ I2 v8 g# y
' P( O0 R7 B1 g6 K. n& m . ?0 T$ |7 e) w: I" _; v8 v/ V5 B
: i$ N' S) Q+ A, f/ n- C# | - `- P1 ?3 Q5 I6 `
3 p- A4 N+ Q) B8 B
5 V0 j- x8 @! ]; e- Q 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
* L9 j; G/ @- L/ @8 |
g, ?3 w( _3 E7 x- Y+ c
* R8 l# }! H `4 m 2 、域环境下渗透搞定域内全部机器
6 z" b* X9 l( y & z8 K( t' o# y
' U. x$ H$ {% O6 N
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
& d* G* D- Z& q& }" S% n
2 u1 G* T [- v- u7 M1 Z+ J: `7 I2 ^1 a5 w& \- z6 a4 c
% N0 o/ F' `8 P$ W. x
2 o7 ^/ _& l2 a+ e
9 D! ~# D4 H3 Z3 C2 D% o4 `. D0 v
8 E% ^7 L7 W4 v: J! {' z4 U: T7 E2 ]
' [, ^5 P% F9 W% o0 C' G7 i - |$ E' Q' g2 h/ S
5 v) z' c2 G1 ?0 U" e4 l( w ] 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 4 z0 D9 s+ j j; n5 S
9 p" _! `: ~! s, L+ g
( j" b5 b* u p2 D. \ $ v3 {! h: w; H" Z
4 t$ ~( K* w7 P: y# J) P
# n( v1 q# f# C" H$ W" u# s% [- w
) ]* S* b/ v. i6 {4 e1 A- A# c: R8 q- X( O0 D
 ' O. E/ w1 g0 V
7 n$ W8 ]3 Q" t" Y! G1 c+ S
. @ [. Y% H$ G0 o: u 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
% J& L8 \/ P5 g; K5 D + h5 d {! C4 D5 B& X; N! Q
1 B( P: t ]& N8 g) Y
8 B' `& m6 w! q4 V0 g: ~
) m$ m0 A$ Y, o2 d: F7 ^* T
) A( P y r" [8 @2 e
6 ^8 j* ~$ k9 L4 E4 F7 v, S$ i
7 D% [' j. G- m' r5 d9 b3 x, T' g 
! M k) \5 x* m0 c+ H' L' h" ] ' z) k( d1 b+ x
3 l& B5 y2 v2 J: V3 y- E Y* E3 w6 m( h 利用cluster 这个用户我们远程登录一下域服务器如图: 7 r3 J1 k- j7 ^6 l$ L. n! i
( A) c& q8 B) K! T
3 ^: ]3 c3 P& Q7 k* k7 w
: a0 {( p% J D
3 @2 F6 R4 M, K4 M$ m! _- Z . Y! u5 p& b% V0 F7 |5 a
[" R) n* T! H$ i- `; `1 H. f! V+ r4 M* a
 : G9 X% [9 f6 n$ g* x
$ ^" I: E) h3 \$ [+ B. \# R
6 }1 E8 o& P4 f/ f0 o 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
, J z) V6 h; \: X( o' U 1 U, h+ ?% z& z9 u* O% A G3 \8 D
9 Z6 n0 [, _* |% w' R3 L3 V' ]$ ^
% Q" [( |& j+ ^; m& b B
8 G$ H0 R. m# \) T5 a
; F8 }' ` S& R5 ?# J' |
7 i1 o4 N9 }- M: R' o" W) W* O- {- d2 j/ s) n
 & a7 ^% W0 {& B9 |- F; ~- t
+ u; h9 }/ {7 j+ W8 n5 U3 ~
: ~- E; ?- e) e& j 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
; t, ?9 \# n. w' `5 { B8 H1 d+ p; P& n; m# X8 D6 e
+ `: [$ K, Q3 w0 n: e& R 
! {. {8 P6 y8 f* i" P- e
: u7 l. A$ O+ \9 i, N7 |5 b
9 t/ a7 M( d' k9 d9 n 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping # x4 f, {, A: w6 ?
G, a9 ^! ]/ H5 o/ N* S! v
. ]- A: }' e, B* p9 z7 ?7 V blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: + C" b0 S: A+ d9 R" m
' o1 S0 ~% n2 S4 F
* D( d6 k0 K$ S* [% S) Y: v
0 C7 ^. s1 J! m& V$ L- ]
5 d/ t9 @; o2 A+ C* b" d6 x5 A2 B& R: c
+ \/ H/ N4 Z# h6 k7 @* E4 A1 u
6 Q1 Z# `/ N1 S' A1 q5 y# p2 a" {3 e( }9 }6 _0 W" k: D4 y
/ q2 J" C8 E& i ` V9 o4 l: f
2 _7 ?7 ~0 c$ g# v$ Y& u2 }# i: b! ?
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 ' J N# D) R. t
5 ?% p P3 P W2 f7 H& W* j7 ~9 d- k2 z& @- A' J
( o. n( @- O% t: z7 ` i
9 c# a* O4 V5 f; Y, |
; k/ N2 T6 |) {3 {9 \ % T; ^- [( e8 x. K5 q) N
5 R* ?8 b" W; f: m3 ?
. U) t6 v. G( N8 }$ G( B
' L8 H6 V' I: |
0 [% v9 g3 K7 [6 j) ?9 Z4 x 利用ms08067 成功溢出服务器,成功登录服务器
7 g9 ?$ y6 W* \6 V; p% Q# W
* @" C3 m" D1 F' B8 U% R8 c
/ R$ h) x) ]& {- C* h8 N 1 U" L- t! w7 y$ \9 b `% _
5 s# }( s8 |- b8 X
" \* D" v5 j) F ) m" D" g6 P9 `; m2 J
; [$ [/ o$ F& N' r& c. h' ~3 w 
! S$ D: L+ M k) I% q & C2 Z* c5 m% P" @
B: Q, f7 H: r6 T) P 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen # o; p8 B( W3 Q
6 w! O2 o8 A0 d1 r( U' D( E- F
# I7 w0 y$ b1 c% V 这样两个域我们就全部拿下了。
, m1 O: ?# E1 {9 z a 0 |" i! q) u) G8 W- A2 Y% M. x
. }1 T1 P; u. P
3 、通过oa 系统入侵进服务器 , g6 I9 ]- j# l1 c% H) e
( B' B3 l& k8 `
, g8 X+ _$ @9 r1 y+ b
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
; e) ?$ @2 v8 c5 @. L# o6 S' K) r7 O
t9 w. Q" l3 w: X6 U8 k9 G9 ]5 q- K1 m( `1 b% l( M: i. ?
P3 v4 c6 i2 B9 N1 X
2 C2 s. ~/ u( B9 x/ W* W
4 B1 }/ g1 ~5 O2 y. E
& q! G, T( y9 A. Q4 r9 A% m
9 c) b. v) D, Z; P7 P% t  5 W) X" n: p2 `8 E% V9 Z6 d
; E W9 }9 n/ F6 _' u! y c* e8 L2 }
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 E7 ^% A" u) c8 _
- G; a$ H9 q- f4 F# Y5 ?; |+ R; Y* U; y; q
( |2 n- C8 T* i) `
: G4 p1 V& [, [2 x
) [8 |( P) @* x9 e$ D6 i% }; t
4 h$ k) o+ R# h3 u
( W! D6 a5 M. c% v2 @& B% w  # F; F$ m* A$ N( f) V
; C4 G0 e: r+ V5 r0 ^% T) t7 v, H% u& I1 `. k$ b& ~
填写错误标记开扫结果如下
+ n4 }- u* _8 I3 T; g
% e3 ?$ D- l4 O1 Y! Y1 ?& u! { W& ^3 D% `4 l4 t. d
: b/ p" d7 y# L! P) b0 G
9 D# M, [' Y% W) y5 Q( b' `
3 V; R, A+ Z" V, r) ^, f 7 [( o& T% F) n
8 J; p( M* }: i  9 I2 s! U5 \9 O2 \' y, l4 v
" K5 }7 J3 i$ y1 K0 j
a) \6 Z# @2 n5 h; X# d 下面我们进OA
. H* ^ y. k( N N, m' N" {/ q5 Q& ~ " v0 V+ |# H& X% H. E* s
' P% d4 | V/ y0 W6 M# C
2 j% y1 j! ]( q X
3 w* j7 a- i+ f, `. L2 s5 A5 Z( s 9 _6 V2 O+ y8 x
1 `" w" ?5 k* h# t
6 S/ a& a g* \( Q  # ^# A; M1 ? a9 I; f0 m6 q0 }1 F
b t# J* H" z! h+ U% F# Q
8 L! s8 R, M( S& ]
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 - I& {/ k, x' S, J, H. w% V' B
! b$ ?; v* O# J7 d U4 Z
' }. y$ @' r% M( ]4 m5 U
4 I* W, Y& i: r. p J
4 }6 Q2 i7 h. E/ n
- U1 d, e" \- ~; G% t
9 P4 c. K& P6 _2 m
# W3 J5 R" h" f! Y# D9 ^7 G0 ]/ ?
 # t0 l# c! r6 I* ?+ b
) z" E% k" u* L/ a9 i# C6 O3 g1 g% I& K s$ L/ m8 V
( y7 ~/ C" y' `2 r" F 5 Z, s9 O* L) V8 Q R
% u6 l# _2 L# {0 l& z: ? 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 $ n {& G9 z/ p0 T: U& j8 ?$ f# ]
, r: d: R/ Y& V p/ g y. e
( L6 i/ M4 W: o- Z9 ~: T* p 4 、利用tomcat 提权进服务器 * D# f# l* |" _$ I8 ?) ~
- J, F6 T$ A( k) h/ N- ]' c- w. @, k# W* X' M! {
用nessus 扫描目标ip 发现如图 $ X x* z- T5 _/ c0 B; J
: M8 @0 ~# G8 T" F/ M1 {% l* \9 r
$ I) K0 ^- s( u. z 3 e3 @: F: o5 P+ w5 j
9 v4 Y$ ^; ?, I- O$ Q0 \, [
# U9 n, G2 Y$ P - O1 b0 b2 F2 J- l
' ]; Z' R4 A' B# T- a  ! L) x; s" ?0 E
I2 Q) i% @' `" {
0 W4 t6 Q) ^0 r4 B$ a 登录如图:
* }+ T& e3 P6 h1 A# w, l 9 ~% ~2 S8 C5 k' |- A+ O4 H" G
8 X- l1 T: c) u1 m ) i/ I! h" J% h4 L( m) o
7 u* n4 }: t* c
$ s/ V2 d8 D& `
7 S( h/ a1 e4 B2 n
. \& k5 A$ @+ s5 P% C 
) S; L5 e; I! [) S. ?* R Q
' Z" S+ Z/ K2 k4 ]% ^! G; g
6 S+ F/ `0 P1 T/ ~8 n, h 找个上传的地方上传如图:
- b d2 f/ o5 x' V 9 A! r) i6 L* Z+ i
6 f* E2 @+ k' v# z
2 W% ?2 F0 u& H; r& m2 M
# m+ I, O* k: A- t/ q+ u ; y E, e7 A7 Q% A2 N; T
7 p; o. |* V! `
9 e& k0 K8 Z H+ T& Y3 F, E I" l
% H! k+ U; q! E 3 C6 x2 p5 y' Q# p, M4 {# U* f: d
8 `; y1 D1 G) v' Y, G2 K- b 然后就是同样执行命令提权,过程不在写了
) a" ]* ]- @0 m
2 M5 v' p, L# z9 c( t7 `
* J6 d; H- S0 B" H% D8 v' p0 | 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
; y" ]1 q! w& w m' S' [6 z- @& s1 ]
* I7 X# O' |- [6 ?, ]& b* x! F' H- G$ g0 t& \( ~ H
首先测试ARP 嗅探如图
3 C: S+ i; h1 v' X7 N
; K# O8 j; s; P8 ~& ?5 s6 q) E( X! Q, l; S5 b
' B8 H6 W5 e; V- F
7 o! l% D7 E4 _3 H
7 t( z5 ]1 E, e6 o: Y5 e4 |
$ ?$ U( i: p6 W/ W1 n e
: d, g7 F% L. ]  1 U/ S& k# B( Q# i6 w
% [, A9 F, U- C K2 ]( D I2 D1 n
* v( F& h B# M B A% N
测试结果如下图:
+ D4 ?2 b0 L0 P1 o6 d. w 3 T) ?: V3 p( n* ]9 P
9 ?. Z/ a a- P" ]7 G
! ?" p' w& D0 l+ c" U6 U. {
5 u' ^0 Q* I+ M- l
; y6 _' q e: X
8 Z0 k' K# H$ g6 U2 t& Y: R& i9 K& I9 S0 p- w T1 c8 I
3 H; |( ]3 L3 X5 C% q# w. e. k ; o& Q2 o, o* O, r# [
- a+ t) S" `" \- j, A 哈哈嗅探到的东西少是因为这个域下才有几台机器
3 p0 m% I, c: ]) p' B . M' A% e! s9 {" f$ H
/ ~- X1 p+ B* {/ X
下面我们测试DNS欺骗,如图:
) v% V4 q, f, o5 @ u% o3 v# J
* [1 R! N5 U; j; o# W6 s
9 M5 r- t# U" y# E p q9 w$ e3 f
( x- a, W. X- w6 Y3 P
- R% Q \* l9 y6 Y s* z' \' B: d
* z4 d! h9 ]8 H9 |; t8 B, N1 K
1 M, s4 q3 `3 x" f
( g7 n) b+ a6 `2 u$ L2 t9 H
/ _" L3 A+ Z9 s X2 I/ c# v: d 0 a% l5 ^6 ~2 O' ^9 ]& H
/ `6 C' h! p) Y p7 E5 a 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
' T1 @$ ^+ n+ S. C1 M0 s% | , L& O* q$ j8 z- U
6 u- t- Q9 ?- D: ]: \
5 w' x% _1 y$ m
; m$ o+ t7 i* M+ w5 _7 A
, A! g( F1 H( `- a
0 i* `! g2 {' A) O
, J$ u- R6 c7 a( w, {* S 
! ^1 V. r4 y# Q5 ]2 e, g
( z$ F$ g m7 M, n& Q5 o
4 V7 q2 H% X- u3 Y L* |% f# e (注:欺骗这个过程由于我之前录制了教程,截图教程了) 8 z# ?: s8 W+ a* W8 B1 p/ \" f) \
7 g: F% L& x3 P/ ^; H
8 G. s; [& t' o6 `$ M 6 、成功入侵交换机 [$ N0 {9 f# w
$ A- T/ M( Y( x5 I0 r$ g
: w0 I# q+ J, j1 V# W0 n. y# } 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 9 a% b/ w; ?+ Z; n
4 u# m1 m" _" k6 B( H6 [0 A
5 r* e7 f: n |+ `
我们进服务器看看,插有福吧看着面熟吧
3 i; R6 b& c1 n8 ~7 c5 C
7 b2 G# L! h* P z: I" J/ V. E9 L! ]" s" J$ T& B! O
0 m9 Z$ X0 m+ G" c6 m% ?3 V5 A
$ _ G7 U, h7 L% b
0 ~# d* z' w8 i& W
! ^1 i; k' L4 Y) R
1 _ t" v+ s R# K, g/ u 
, z- B( S, `+ r2 o5 W% z
5 N( R- @) a. a+ }9 o& k/ E! B
( g9 Q$ b" g g. }- j 装了思科交换机管理系统,我们继续看,有两个 管理员
$ Y3 g2 {" m" b$ p; b7 ~3 R4 R s: I1 _ ! D% R% P. \. ^. ^: |0 f, ^- X$ u, ?$ b
: o; r; U0 d( U* M, V/ o0 z& \ : `) T/ d/ {. Y+ [$ W7 O" d
/ Z& D9 O+ j5 E* u. J a+ _% Q6 t! b* t* I' ^- ^; S" [
7 @: s1 ]; c6 b3 P6 f, u$ k: X: P- X4 ~1 z; ]( a
 ; M8 k0 P& {2 Q9 V% d3 Q
3 g7 q! [9 _% K0 T
8 k3 `8 ~3 q# e; d4 t0 C8 L 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 7 d' ?; X7 J: z# @9 B! k
6 W, _& C2 N+ v8 R, u5 ]9 {& ~, [% C8 k( K. C1 |* V! k3 w
0 g8 z" ]% h% Y% O
5 S* e, T7 Y$ S5 N& q
6 W( Z) I: J& z0 y. f* {) l4 ] 7 e$ A9 D: a) T( X+ G
H$ c Y3 y% I l5 H9 C; Y$ d4 |
) K J: c* Z( G$ U+ x4 A% c- a # t9 a" ^' A, j1 K+ g
9 {" R1 L' P" |/ j: Q 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: , _4 Z+ I! ~7 m! d4 U `* ~4 z" [* {% S
# A7 ~- J/ C$ a5 V8 Y
0 C. T4 A7 b P* m% C+ V! b
* c( w' m6 b2 W; C' D7 e& j9 F
" M2 j& E) v: T( I ' M! ]4 T, G# h& X; C
% T. X" n2 ] D$ E
; L3 C9 L7 M2 W5 M9 Q6 ~% V  ) k0 d8 y% \. f! p, ]! \; t
: b2 D/ f7 L% a0 t: ^
' l- y3 z# C+ z* p0 p4 Z9 ~9 y
点config ,必须写好对应的communuity string 值,如图:
$ T* K/ X. Q2 p8 }7 R7 l u
3 Y% x& w* t+ T+ h# O- p" C4 \
4 _! \* u* b. c+ u# Z
' V3 G$ L: K0 S/ K; t5 P' m
. K4 `4 I+ p' U! H ) i+ k+ M+ W# u6 \8 n
1 [# l _) y$ I4 T3 i0 _. {' c/ X0 I) V
 ! V6 \3 q: e! M( O
9 M% A+ _! q1 Q E. u7 j! t
; X' ~# w0 ?3 W1 u 远程登录看看,如图: 5 K% D$ M2 H: E/ h( s
, L+ }8 U' ~2 R( V
) E7 y, |0 T; @: m1 [. j1 x( c; d ! ]* M! O% r' K: L. u, P
2 j" n" T- w% g1 t6 F ! ?6 }, v7 @! w
: ~) i( F+ _, N3 r! j4 R' B7 j* l3 {& \! a
 9 P" I" f: n. ?- P; T# U
5 {( K) j& _! ~8 q& [7 f! h- ^
7 E! q+ ?5 |* o" e7 z5 V
直接进入特权模式,以此类推搞了将近70 台交换机如图:
+ X& x* u7 j# D4 Z" @/ s $ a# Y5 N& @5 m+ ]2 c8 w. C
3 o( g0 V! y0 `8 j( N$ s6 _- v4 U
' L. |* R9 ?. |" m" O
C; ?& @% r4 o- ~ W9 E' k% I+ i% _$ |2 `8 c
: }5 ^8 X9 V$ e; C' _2 ~; ]) E
0 q5 _1 F- ^( t% C) B  9 U: ^+ @% G' @, p" x) N
# k! ^0 c/ u, ^2 J# z- a, V- Z1 P- C! C0 f- V; z1 O
 ?, v1 j. q0 Q& ]5 R# t {
5 e m$ U) c: _" o4 _3 T! J% x9 E: ^0 g1 i- f
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** * R" J8 j3 f7 y6 K: f- F& C5 Z
. ^$ g; a( ?4 P0 C# m
$ z+ Y) O% B( u
0 t' \8 j: U. T9 I: _! g) Y
: ]# l4 W6 ^" i: I& \; F' [
( |3 h' d( A. y
5 Q4 _& Q4 \/ ?' l) `
, V: i* G I, J- y! N% } 
m( e# j+ F( Y+ l |! ? ! Z, n8 }' q9 S! f- y
2 H8 @% s# z% ? P 确实可以读取配置文件的。
5 i8 f5 p' L2 ?2 k + M9 F! a/ X7 m% {9 H: ?, S
) ^8 a. x( @4 [& l; f
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 " F8 l; V0 `- W
5 R: X0 Y3 f7 N( _
( L1 R0 {$ t* ?5 S- R 1 k4 C5 g" Q+ h) p
# {( [- C: d: Q$ P
J9 V; _5 m8 r: e0 @% U4 T3 L& y7 F, a7 P
( a) X7 B, y K" C' ]: O
) x+ V0 g7 @$ m0 E 
0 ^: N8 J6 r& u5 `& m- x7 p8 P % S* M9 w0 I: m5 a1 W4 a
4 c4 T! A# N! C' ^5 a, i2 B
 ) l( s/ n9 Z3 s6 P2 i0 c- I
7 M: y: s2 i& \3 X
, y2 r4 Y* N/ D% K 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 u+ E4 O6 K9 c% j( T3 e- T
$ e& P- p; |- f h$ J: Z* M }
. u4 Q0 I8 q6 Y
6 e: T. R( P; K* A7 `, h
1 d+ P) M$ Z6 [' U$ K
! n. I8 Z F' v l
& c0 h6 q) C+ G9 B7 W8 S7 [9 c: |8 S& V. a
 8 p) p2 [) {/ W6 [) n# T( {' a7 I& V
; C' e& L, `2 Z2 \- t) Q
5 y2 T+ T' T; n# _0 k$ q 上图千兆交换机管理系统。
9 C( I' ^$ J$ v8 z/ _ " H6 V# [. W' P g4 n
& F) f5 y/ u: u& |$ m6 Q$ ]; n4 q) `* @+ } 7 、入侵山石网关防火墙 0 G: @* p% b. B+ w
( \; J" F, s2 a8 s
# C7 I$ m1 G2 W8 } 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
' H6 U" c7 ~& ` N ^! P$ U, X
# B9 j5 r* M- @, Y3 O
9 [5 x7 a3 m4 o) N( p 9 M( j$ I5 @0 v
$ Q9 P: }9 ^4 o2 s w7 |5 b
8 i v X' h( ^ a $ N* T* E) H1 r$ J# @8 X
9 j1 S& s8 V# V0 x 
- @) u, l( L: u; K2 F
e" H/ z8 |+ D( n
( ?+ s/ L0 l3 s: X& x8 J 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
- a+ b o! \! Z3 J3 ?3 p 7 g J) F6 Q0 O+ s1 ~4 h4 C6 R
6 g5 s) V4 o( b1 @# a
9 v0 m" Z. L9 S H1 D9 x
7 Z$ Y, w# }1 k! s
/ D0 S* w. }5 S) }7 C5 n% s' o$ ^ & y; G4 S* F0 {1 G6 }; A
% }5 W% f" @9 {& ~1 U" f# e 
& R$ N; R5 ]; q2 X . ?$ O: p" y- K/ Y
* r/ M0 o: G8 }* N. P; s) e } 然后登陆网关如图:**
7 V& r! y. {. X& E$ R6 o( R7 @ 3 I+ i1 Z" @. i3 G7 E" N8 n4 M" U
6 x: @2 I ~8 X+ p/ n
0 [' ^, b8 E/ D' E0 K$ {8 b
9 V4 n7 E& _3 p6 C( ^8 l& B! ^
+ X' |" Z" C" n; H |6 d6 j: r. n
; F& g" Y+ h: L  & j- ?9 R! n7 R8 v
$ D* L$ ]: N$ a+ Y a5 L
4 ^% }4 R j0 e- w
+ M7 p* }7 j3 m$ J- a% e: x; n
4 {/ V, D. G7 D! `& w" ~# @ % a1 _) V" {# w) @( s
- ^8 i% s, A. s' }8 w9 O0 Z3 |, B; T% ^. v1 h, j& z' a" c- u
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
* d9 h/ g( u7 o& _4 R8 \% @( N . r, a3 A. s' E" B& R) ?
2 u2 W1 c% Z5 b2 }& k( `, |
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
% G! B# Y I2 |" k % H' K [# l5 A0 p( a4 M6 v3 u7 s
' W" o/ C6 u4 g) `! {
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
9 }) h5 H5 s5 X2 ~) b1 X
& s A8 U1 o0 a( {# y
% s h w: t5 \
. M7 `4 h. t: E# W* j3 h1 g
; J+ A8 c* T! K8 }: ~2 _
. \ b/ {- e, C1 j$ o) z
H" b: v+ h: @% X( {1 u; ~9 L! b; ?( o% {* ]% {1 F$ w& D6 p7 `
& z+ d" W$ u' T- B. d$ Q
( F9 K. s8 D3 ?9 N, v: {, d; o- k2 R# R
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 " F/ l( r7 T. B% c9 z% D
$ _* n' [: T! W
# [8 Q& e' ^, ^7 v3 Y
& {( a' U% ?1 p; _9 o8 K
+ T# C: X5 R3 k( p% p1 G6 d* Z2 t
+ _$ [* V+ G Q1 h
: A4 H% X7 V# o# I
. s$ ~% U6 @% g- f2 s
: D5 q+ A% J g8 M. W | 
发表于 2018-10-20 20:19:10
收藏
支持
反对