P+ _3 z3 F$ ]5 B
3 \9 I( `/ F4 Y6 U3 e2 g- v
& t6 s6 ]& z/ P; j2 v- t
8 D& ~4 {* E0 b/ g/ { 1 、弱口令扫描提权进服务器 # ~% Y( l- U# \( t
" H# ^6 C4 Z3 G+ ~: l
. k2 h& m7 f, i1 }# M5 n* Z. Z 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
: A3 A3 v. R9 n- }
# Y7 t$ F, y+ A
: ]$ y: M" g5 `. Y2 y( r" F - d! u& O Q- ]* t( J# w6 ~6 J% u
( y0 B! Y# V/ \# X/ ^( B9 M& E
! }5 o, j" A* ]3 Q
L0 @6 J0 a q" s# A * ?$ L$ B+ ^8 }
: b" w* w2 S; m, B. E0 c
5 ]" X* B9 N8 W' X; m% N A0 P8 S1 U4 h# ?
" d% t) |* w; U; ^* m! J
o9 u- n! v% ~/ U7 s
7 ^# k: a: L+ ?1 I ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 - h& L4 ?1 I8 c, n
0 j( Q* _" S4 L5 j; m8 v
5 q% O: h3 U; s+ ^ 执行一下命令看看 . z( i& ]% y, D& A: o
1 f6 T! z0 M# f / n* ~3 B: S2 m5 k
+ b3 a8 ~% M7 y
" f% e; k0 M Y6 H D! {# o, d ' i( @' e3 s- j# z: T
9 O# p! f/ W; C2 v
+ E1 z- k) l! E$ x& T E- e + F; J7 k7 R* k2 o
h( w8 q! C; r- d5 F
d% G W& Y/ N8 x+ H* Y 开了 3389 ,直接加账号进去 - v% ]3 V0 U4 V9 q+ G
3 V% m' @0 Z9 b0 G6 H8 X
9 ]! W! U! C0 W/ C6 t ^3 j, I# ~
! t% M; P4 D5 @& c; I - D/ H6 N7 t0 p( a/ G" x
! f$ D u3 O) U5 s3 d+ s3 J0 q
, B7 F+ g7 O, a/ j
! D( U! q d4 D- ^( W# G % [8 q4 G: I6 f) u& o+ H
& }: O; L5 y7 g4 X ; s' _: f2 M, D; o! H# @$ r
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 " G* z8 p4 | G% S
. D# o3 ]0 h8 B0 Q- N8 V
' I" F+ Y7 P7 r
# F+ ?4 i8 ]5 A$ \5 P1 p $ b0 M4 x. ?0 A
& _% q9 k% N: f
^- }+ U9 N6 B% `: p / c" P" Q% W# `+ H% o6 b
5 ^& h$ t6 k% Z- W1 A' x) Z
a1 f6 u7 i$ F$ ~+ ?
% @& ]2 e! @. E) q% [ 直接加个后门, # _0 O |/ e: ?3 }; x5 T( l0 C
' T7 _, F5 M/ S
2 s9 c. k6 T& y
d1 F( ]0 v0 e5 R0 ?" k
) U9 n' y, G3 Z8 `" S
3 g7 I1 f7 e( x% W4 l; S( V
# N: ]: Q. E, i& s% K
+ H! O5 d6 G# c4 ^# I3 \' o6 }/ ]
" d; O ^/ i% w+ S- F
- Z. ?+ }) d& {0 A. j5 ` $ m+ J; h' _! b) C
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ' T* S! s9 }0 f4 T4 X
( ^ m5 c1 m1 C( v4 ^
1 k6 A& b+ Q- `* X% ? D 2 、域环境下渗透 搞定域内全部机器 " z0 Q3 c" e* `: E) L3 _: [
0 Z# I, r3 f$ F. P
8 K/ h) u7 e0 U9 |7 g5 ^6 s 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 " O7 ~6 j4 H w; }; N6 l
8 \! m( q# Y) F
* |: [+ p- Z( ]9 p; x
( k: {" y B( {4 X: ` o + n4 z, } {4 ~
2 @1 X, K- U( f% I9 G* Y4 {* B( E
4 z0 l0 j: h: X1 c' h
. o# a/ J# C( |2 }$ W; S8 E4 Q 2 w4 |5 o3 N. p1 `, k
% M. b% ~. N0 o$ l" k i8 S C6 C
6 N6 k7 o4 n- O 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ! q# M1 ~5 v1 D+ K7 i+ i( S
* Z" G+ T. f V: z" ?' F
" W5 X+ j: N/ w; K7 X8 t
, v+ s; s) n4 q! d% V
7 c) |$ l2 Y0 w; E3 k% U& f0 n " c, w; K/ p6 R( V7 a0 S
- b, j: t1 x2 Q5 S$ k2 y3 L4 p+ \5 q
) V+ }5 r! i0 F9 M( s: | ; T/ R' K1 m e8 s+ B
: O4 P/ ?& ~9 E
1 v# S7 `2 N% G/ u% I5 m 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 1 G( V3 s, f1 X9 ]/ D
+ \3 v8 S) s2 Z! W( A3 [
4 r8 M; t7 H9 ^1 e( `6 ~
: |& R1 X6 I, N+ G" Y& a7 T
/ Q( C. h# A: Z0 X & _$ ~8 d; p/ u4 Y6 S: B
; R$ P$ R& ]" z8 p
# u* h; `6 b6 ?7 }# p 8 F: {4 K& x8 g# C
; B7 L# ?% @# t, l2 W
& v7 B" m& h6 p. s: a% _2 F 利用 cluster 这个用户我们远程登录一下域服务器如图: " o9 q2 v7 w; D$ w3 m6 r" m
, @8 L( d. N" v' O
: b7 ^% ^( k B% Z( p( L A/ n
* Y5 Q) y+ I1 f) s 7 p6 e+ M, n4 l+ | - Z* E; q' D% V2 U: G! m
" w1 f) c! y+ |7 g0 }; p' m
! _5 {- M6 I! v# N+ |' X. z* X* l* H) h 3 B+ G- m" h4 E3 H* V
# d: ?) @9 p; x$ Y3 P- l # p" W0 V& }# L! E# ?
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 2 ?8 g$ K% u, q
- _! r( r) D2 F$ o3 k/ p
. l( B2 P9 z$ i" Y ' Z7 x" Z4 e5 \. W+ ~9 @& O
: [8 `) D% v5 b
5 c# ?# {! @+ f
- N) V. z# H9 e" G C1 J2 O
) V5 L) ?7 A7 v9 G: I 0 s2 H# W1 @$ p1 u2 d* s+ K
! I2 S3 w3 G/ w4 l" c& G4 h& G0 x 7 N& ^7 t# }- A& T* ^% U* x
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: * W* k* l1 V b9 g# U
" J0 J- \/ Y4 z2 c m, E# f2 v4 e ) ~( G8 N) v7 g/ h& _0 {
/ ^& d5 _. L+ U* V9 f6 E
6 B% ]1 h/ N+ _: Q% C
4 d* c+ L: d* t9 D 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping ) ~2 |8 r' a) I" Q4 J2 a
" q! j7 p4 W. Z
. A+ J: n$ ~ M0 h. ? blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: % i- l/ V) I) j* \1 \* p
& u& Y9 p: X g" ~" E 6 D- f; v9 g/ h2 o, x0 c
! F, }1 ?1 C* |5 G
5 D$ w' y" ]/ q1 Q* D3 S
6 E l" C6 N3 S" ~- {
& f) D1 V% t8 M+ R
) V# i9 g5 ~2 K6 H5 x4 J$ B' _ 7 W6 G# L7 X9 O% |& u8 O& d$ }, G+ S
1 j+ q: }9 q! \8 ~+ K) S
. A* k4 F- |, v( i. { 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 # c3 D# M& |( u* Q/ `1 ]
4 O a. p$ J9 @+ t8 L- Q' ^ 4 X; K ~6 L/ [
. ?) o5 p0 Q! Q% A
; Y! t1 i5 N1 c Z$ K4 V0 v
8 U! |: }& K1 @, O! T
h, h I1 t8 q" |3 \$ r 4 W/ |6 @' k4 C7 R( B
0 S# d+ D/ v+ k M* j
$ x- z0 V; U) o' ~6 M) F
# Z; T6 L) o, w. A6 N1 b* n 利用 ms08067 成功溢出服务器,成功登录服务器 ' g8 J, S+ v- Q7 E: { V
* N1 n- A1 k( d
( ]$ B7 y3 {' F( J' s( Q7 g
& t3 Z e) X9 y. z% c: x' _4 G$ i # U) Y6 D1 O- _0 c6 d
; [0 d! x3 a3 G3 h
/ j1 _8 k4 d' Q
; N8 Y" y, f2 d0 W( |5 \- E1 u, u # N9 N2 G2 {* N% p3 x6 u0 C
' u4 M% }* R% n! Y2 ?& ?
$ g( p9 I+ F0 e( l. \2 x 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen " C8 Y1 y3 B5 f+ {% M; U
1 ~+ x4 H) b) \, V }/ v 5 _) J! V9 |) `- j$ `+ d
这样两个域我们就全部拿下了。 " j; j7 `* T0 k
, U& V' [; O8 M) v( M( e8 H
2 N6 l2 F1 {8 g$ Z+ g) m% s6 ] 3 、通过 oa 系统入侵 进服务器 ' `. Q- G0 f' ^* i
8 K- q N- B+ U" P& l. g$ Q
* J. e, l7 ~- x2 ?* R/ F* e8 x& r Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 n1 R) ]; Q1 U
* N! ~6 J2 Q& P! V
0 @/ r5 S7 b: [) p1 F$ \ Z
$ X# o2 ?! B/ A; u% [: o* g
9 C+ ^& s4 i- N7 o
; W8 \/ F% x+ \( c! a! T8 N
4 W! U- L7 ?, R% N- C $ s# B4 D! B( D; w5 s( Y
+ X6 V4 H0 |# V
, H/ f/ C3 p$ h2 H1 a6 V
" F" ^, j( t3 f2 D4 q
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 1 M D" }7 d9 T' N* {( x J
, Z4 z- ~4 t& X4 R4 s: b
8 |) t6 s9 l" P+ n" b' F. m" O& l
# o; I8 T8 }0 C" p9 s+ X" U [ 8 H, H8 @3 y1 y
0 O3 v+ [, S, {8 K: `* c2 Z) I
7 k) B9 f6 M ^# W/ d! s3 X& A
) [0 S0 ~$ t; r# r) t8 Z% b, L # D h/ e1 n9 a" a8 J
7 {6 v+ K& ], M0 I, U2 L, q6 |
) ^" X9 g n3 ]; l( R 填写错误标记开扫结果如下 * x3 r% f, {' R: v8 c
* R. E' P" T6 e# `5 P. Q7 ~' p
0 q- K8 t/ a/ s: U, S" S, L C
! ], Y4 ?! c& n6 S U6 o9 P ; u" ?, S3 L5 H' Q3 `
* l0 i. C0 [/ A
! L. V9 ~( k- Z7 S
6 d: S' b7 G# N# \' e
3 q9 _9 _' E, e% e+ ^
7 [; ^3 G6 o0 V) f/ g
% r5 o% l1 f* u9 q' u/ N 下面我们进 OA 3 a: m! t* w, M7 {8 F3 Y
. \" M+ g' U. ~5 s; P7 V" N
1 Z2 S7 S3 x$ o 6 J0 k" j( J2 U& Z7 j% U6 c
0 D) v+ H) n1 h. V. K/ ?+ Q0 d
; E/ K( b) ?$ A. \# ^3 U, c( [% N/ K P
; _- l2 b4 x9 H * {/ C, S$ I$ S5 }
0 {7 [0 S! r b' [
0 U5 _6 i1 p" ^' h7 q; C B. O $ d9 Q% D, g* c& T/ e2 y1 y
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 $ p7 u7 b1 o# H+ j' K
+ [3 R5 S9 H A : |$ r0 L) P6 ~( ]! C8 _
0 C: B- U# P) `& g4 N4 O
/ ]: r& F# m* I" o2 j- V! T; v# @ ! P6 [; B0 P5 \/ q
6 N4 M5 i/ O* v8 ]
* i; s3 |5 Z3 T2 {" i7 A8 Y: t * ^6 a+ o! |& \2 S
/ `: v! Y% J& t9 {
, ~* K9 ]0 E `( W * c1 n1 y5 \, F% k
1 _9 y" C" f& `+ m+ O! X4 D
* L8 n3 P5 G1 Y
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 ; l1 t$ T2 ^' j: e) n
. }! e9 a* x- w0 \
8 c0 P, X6 ^0 q* i; ?
4 、利用 tomcat 提权进服务器 3 P4 v) O) X$ ?2 m3 R5 R
* E `' p* \. x1 v# M 5 v: j% X7 }& U4 ^, }
用 nessus 扫描目标 ip 发现如图 ' c) K# z" p1 I/ O) O7 b: g3 d
# D5 F/ |7 H C* Y* f3 ` 8 i' l2 R5 z7 u9 x) t
, U3 G) H4 J1 G. }; D2 ?2 q+ Z7 n( y / p g0 G* r8 [( ?+ `. k! e / G* T9 D" |+ \- Q
4 K0 w2 t: U7 j
$ q& ]: d/ o! D& u7 w3 a, M) d 4 l9 j0 n/ I( h5 I! d- U
9 p' \% @, p" l
( f- w( y1 t. K3 q( m: E 登录如图: . U8 s; q2 o! \% s9 L
) _4 Y$ Q8 h6 }; M* S2 [) t- e
' A. O7 J8 `) _& S" n* V
~3 R! j! V- s0 b: R4 m* a 2 h# q4 r9 H( J# ] t# [ U$ s
; R3 [% {" s# R( b6 l. J
1 k+ A B( S$ L% M5 G" ]
8 v4 O0 i( H2 x* j; s: l0 Y% `6 }" G $ E6 B3 ]! ~9 O8 M
) L1 t5 v4 U8 q* h 1 t2 D% Y- Y+ G! D
找个上传的地方上传如图: 3 X/ W! x5 T* \- i; {( p
2 f' K% p8 N4 h7 s- H. g/ \ 7 d9 r, X' E% x+ [3 @( x
% C- t! t! ?, F! I2 ?6 d4 T N 8 j, d, |6 w! }
9 c. g& Z; Q# ]5 L \% s
' }/ m3 d; v% U1 q , Y4 ~; _; G6 p/ X/ c& P( R
5 t1 K9 Q+ q. s: Y# p/ i* F
/ ^( b' l/ |# a& m( V
5 ^. A- |$ A1 L. D 然后就是同样执行命令提权,过程不在写了 7 s! n9 Y. E8 L* f8 f" A1 @
; C5 u: D' x! Y6 [" |
6 P9 f. w$ f7 C- N7 U 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 ) ?$ @7 h7 C' o) Z8 w! p
! R4 r5 h+ `$ `5 p8 ~
# w/ ^$ F7 z4 `* N- M 首先测试 ARP 嗅探如图 : T7 I4 K! ~9 D2 X4 C+ e
" d) d4 {) r2 V) ?
( j& t. M; j9 W . p# F, @. n' u- a4 E& u/ s3 B8 S7 @
; ]# ]! L' i" U2 n1 F
1 A/ n$ h: }8 O) O) t3 I
/ o1 j9 k; d, F/ z; y
! a# j; e2 b! R
/ \% o3 }5 f* O: R& j6 u/ W
, ~ j% A' w" g
- ~$ L0 c3 z" h0 b* d
测试结果如下图: & q/ e% ~/ x, |7 Z& m, Q
& _2 d5 ~0 @) d4 N/ C
5 N# j/ _% r1 M' `! T) J) y ) S. T$ Y( V7 P8 i7 |1 ?; R+ }
; m1 P0 p7 z$ Z( O8 c9 `
, {4 f* |0 c9 X5 I
# [" r7 k6 A0 C- S 7 D2 k4 x& {, [5 c# l& L, Y* X1 D
& T6 j% A/ V1 J7 U* V- g+ o0 e
& A5 X+ } P7 \1 I, U
1 p, n) b& D1 T 哈哈嗅探到的东西少是因为这个域下才有几台机器 0 [; x* y8 z7 { l( c9 \1 d
1 P& L! R Z& s. Y% D
s- m5 a- G! B# I- ?9 _/ p 下面我们测试 DNS 欺骗,如图: ; U! `# _2 R- ^" D% |
: v; m: j" g4 ?8 y# ` N ! M# Q; V( z. Z% V$ K3 ^
1 } m4 a" b+ d& l% N9 F( K
& }# f) E: f' j3 H" F( t- r : C& _% y! o$ V
% Y2 @7 m1 l6 h/ ?6 C
5 M( \3 F/ N) [/ ^, _- L ! O. e" s$ S7 f* ^- z8 Z/ w. i3 E4 v+ ?
9 l: T/ C8 J& ~' B }
( C' D: A; q, O7 L3 f 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % m/ e7 D, ^+ e6 x6 |0 u' x6 z
9 @$ @* A q" i" f " |+ R4 V6 v3 A/ |- J8 K$ n0 W
: g5 L$ H; v8 A+ }2 S$ Q5 ?" l+ x
. D5 `, \/ n* A
" S3 n2 `2 O9 H' l5 |- v
$ X' B3 M3 E& X2 n7 ]
( f' W+ x& P5 I; a6 J+ G 8 v- G- w5 e% {" p( s
V, F# o/ x# _+ V; G: _- J ) p8 q6 _/ ]8 N3 [
(注:欺骗这个过程由于我之前录制了教程,截图教程了) * w3 p! d4 |0 ?% [
: D* w/ F$ P% w9 X . _- X; R- K% O; G; c
6 、成功入侵交换机 # h: H1 b7 d: E! k4 ]# [9 \ Y
3 I3 y/ c: a- {! J5 k! d* Z6 s
& M6 z/ k# y; w: h 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 $ X7 C9 y: _! B% _$ g- [
# i; [' g( z0 Q- B- i
8 d. \# g! u2 d: E" w5 x 我们进服务器看看,插有福吧看着面熟吧 v: f/ e6 V* V% E. I; E& S% s
# }5 k5 u) G- @/ r $ g& g, L/ u1 D# K5 l8 b- f
+ }6 C& \1 j' e- W" M+ r! Z
/ `; u& k% v' s& ]# W
% y _7 s) E; s4 B* W/ o6 h9 ?& K
2 E7 Z: O- J8 ]4 Z4 O2 [
: A9 [' t7 p8 e0 e - r6 D* Y+ j s+ K
: o1 ^0 N/ u/ Y2 g3 K" X8 q9 y
0 ]$ ~2 b8 t; b6 ] 装了思科交换机管理系统,我们继续看,有两个 管理员 ) y% I" H5 V4 I; p, i; {3 |
/ N: D) t6 P8 ]6 A) I
7 B% ]. f" X- `% I" P: m0 Z* x
! P) Y8 j6 M+ r - P/ ^7 a; E7 ?0 b* G& D* l
& u; h' h6 x! ^1 Z) z- J) o
5 A4 L7 s5 O4 t& Y4 }. ]/ `: X
2 x6 H7 g+ S+ t& f* K6 X
# K! K( ^' a5 P% o, }) A7 H7 b% z
2 V) F8 t* `( Y
+ b3 g6 j2 `1 ` O1 n 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 / z' {- N5 o" O6 a) w
- h! J( v) J& n, G7 Q) ?2 a
" n3 P) m# }# \9 ^6 z |( C 6 K+ Q0 L4 h+ P
6 F. e4 D& y! N0 p & W) w. _5 A' w7 p( r# l$ y! c! s$ `
" {" w5 F7 b3 g7 L
# X7 W$ q, Z0 x" o9 b$ x 4 l7 p" l! H: j9 J' c+ C
' H) v; ?3 f9 A0 _# K" a# [9 u
- D9 |) ^) ?3 `4 e1 ]3 c% o 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 2 ^6 R; s1 b5 G2 l! {! P6 T0 Z
& ?, z6 U. x8 l1 c* j& E& D
, S# G% |, T1 N, \5 C* q' u U3 X
, |% v6 Z5 | L+ w6 U% E: ^
& j3 k. h1 M# ]* S# B, d8 B! h9 s* Z. a 8 g6 z7 `3 a7 c! S9 c
) [$ T0 X2 a, ?# l! R) b2 b
) }6 y, Q( }1 Q! m; S0 E 7 |7 o p" m% `; w* q
1 W8 w1 A8 l) ~ * x- V. K7 \3 Q) n: ^
点 config ,必须写好对应的 communuity string 值,如图: ) y9 ~9 c* V: I, _; t
" r& e. }6 r! t& g' O2 d9 {
) Z# k" ~7 @. D, _+ |* O
! S; H2 W+ i; G! _# s9 R3 x6 T9 s 3 S9 Z" b' y9 \; f
7 z- J+ e! p1 i# b+ }9 b
1 W" U! m1 z. c/ l4 k6 `. a
0 U6 H' v \7 S! I& Y; t: E
! h1 ]7 P# c) ?
6 P& y( B4 O! w; i
2 T l# T0 y/ u 远程登录看看,如图: 7 y! {5 M/ ?2 W
7 K) u% e- r% ~% h) v. {
& y7 w% Z' y6 b/ e; l
8 j7 J+ K6 g3 Q) u( m" O" {& c - J! R& z a" H& w0 ]6 _
* O6 n7 d2 k/ ^/ t1 l
( c w6 O G: O8 N: Q6 S, s- T6 N
# m0 G5 p& `+ U! w j: ~ 4 q! T: C2 C1 A. W, K0 N: x( j# C
[1 c* ]4 B& e7 _* O $ x" @. @; N4 T$ O" n, _8 o' O* x
直接进入特权模式,以此类推搞了将近 70 台交换机如图: & e6 r, n% {/ W; Z
; j2 V; h/ T6 t8 i5 D* N
$ z. v0 F; |; i5 n
# a0 H4 I1 z I. h + m8 o1 V. ?) J* u9 @
. D) n( ~& R, q' x" x0 w
5 U4 z2 _8 [5 C0 c, {' @3 T8 b
4 Z- ~* Y9 C# m1 L, o4 G . s& J6 E @0 h" e* E# T+ ^; i
: j: r/ i. Q4 W. y
& I% i g; |; W2 v. s2 j
3 `! F$ U* I ~8 e" i$ l; q+ l3 z* S A
* L* b6 y1 s- D# h; A7 R2 u
# Q9 w) t; a8 d7 u! [! m7 b 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
% L n8 N* o. g2 Q$ V. U0 n" j( B
, N* ^/ l: h$ h) g. Z" r
0 V( X* H/ r0 M% Q: ?' V : j$ T g$ Z/ r" J* ? U+ P
1 Y& L5 \8 @5 K: _5 w4 ]
( F% C( K8 g* m6 z/ S# w2 F/ [
& C8 S: c3 ] |) w% G
; P$ S b/ n- f5 b9 z: W* P + k4 B2 m) V& O, a
* `$ D6 I+ s2 ~* g3 m2 U. }9 p3 N 6 X+ |8 e0 v$ X+ p' ~( k3 X9 @: I
确实可以读取配置文件的。 ! w9 _9 p! d- J# x9 l6 b' n8 d
" S3 t2 S$ D1 g' v$ F$ `( M
9 Y( _- k' o! ]- M9 s# N6 F 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 0 s3 |) w! C" x3 z U) K
3 }" j- B. w. r% f
, \: k2 W$ Z, c! q$ G
. E* [( U$ u4 N7 v 3 P6 z- q( e3 t0 h8 r* I# \ - ?! F. D2 @* w: d" z. a: k \
3 f1 K# M" U2 K% M . ] t, w4 f# j2 i. j% H, I8 G' b8 U
1 {) B, f& m9 o
! A, }- ~8 o4 A+ z
+ v8 q2 ^7 Z& E/ r- f- D1 D . v' ?' B6 u+ V
& m+ S- I6 i5 _* b. l# m - o% A3 \; ^0 Z4 G
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 / C! @0 `# g) G
" u4 v( K5 z Y7 x# H, p& u & s q, Q7 j. Q3 {- u! g0 \/ S
8 ]* b" Z) \" J( |% ]5 {/ S
2 h( a* y n+ J- r' v ; I- r- R& W; g/ {
( ^& |2 W$ h8 R" N# P) y
+ j7 Y4 w0 V4 R$ c
. j2 V& a) q* o! B$ I8 J: Y
( y$ z+ a! p2 H* [* r6 m
8 a% K; S }1 k7 e0 U5 J' f 上图千兆交换机管理系统。 ' y$ ?3 ]8 K3 s( Q" t1 J
' j$ H# x) c4 Q6 l! i
% W& U. d* b Q. p 7 、入侵山石网关防火墙 : o6 W$ q" }$ q: k: P8 [
1 N2 R* ? d! Y O' R 1 q4 E! {1 v# p- L
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 8 ^: }$ h# O/ l4 Q- A( ]2 w
& ]. |* B3 X" f" H' |
" n) v, b6 D$ K9 O \; ?
! V' |/ X. u* Q) V( A; G 4 J8 R* |6 N [' e, M' P. u
% m- [5 [- n; E! S$ U! R
8 j4 B7 i0 n s4 l1 m
( W: r3 d5 b' ^0 T; p5 Z( n7 C& U ; N9 g% i* H. O4 v
' E$ f- r, i' o: ~
8 i* X F) O% @8 @ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ) v- u* i o9 O6 d8 E
& b. S$ }% u5 {! {' j
! G- v! W. z4 G- B$ ?+ @
3 p: _! {" Q/ _2 M
- f3 ` ?7 g8 H, ~' L1 I: C/ H1 K! z6 F# n
( t0 A3 }& f. T' D. b# W; v
7 W1 c* ?: S; R1 L5 b
, n9 a- d r" O9 V; N. A# Q
* n C- m; K( r& p* B( e! N
' Q4 L' L: d/ t, ^ / F0 {, L; R$ D; I
然后登陆网关如图: ** ) h+ Q. @4 w- H" O
- P9 _" p5 d- V7 ~; e. Z8 i
% C9 P9 ^# y# P
+ ]7 q0 k1 P. H. }. I/ _* ^ - k. O2 T+ F) k/ f
. G! Y* u6 L" U, r
. H' t# d3 ^: a0 [( h( W1 W
* h w+ {! ]5 d5 f7 J4 T/ ^
J; {4 T) q# u' m' e1 i1 n' J
; v* I( s" [+ v+ z+ f1 d
2 z& T) H0 k) x ( [' J5 D. i' \/ M
/ \) b7 @7 ~8 @: {3 B ' |9 M. b ^+ m+ d8 ]/ x
# i4 u( b% `- b6 q# ? , D4 j! V& K5 H4 j: p6 R* F
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** h9 N( [% [0 E( |
+ Z' N4 P5 N( k i A0 ?! W# B' A! x
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 % Z' h! ~$ x# z9 n' p
! D$ p, ~# d) ]/ X; N
3 t3 [# ^/ w! }, ~
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
- Q( m/ B, E4 {2 V! U
8 ~( x" p5 m2 w
4 a- G2 a3 f( ^( R1 s ' J! M3 S9 a% J" k" R
. X( M, n' ^! G
( q# P$ @0 m+ C3 p
8 y, f6 e! n- ^) h( q6 B0 N
8 k* O& _# l' Z9 d3 [3 ` . U1 X( l) D- G6 C
5 [0 t3 N, O! s9 g
2 i T6 k8 k% }' \; Q* Z 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - s4 S$ P9 v/ d% b7 W4 _3 }
+ O8 F+ {! o8 n, N J
0 k2 T4 c5 O5 O& D& p1 a
9 }" q' \( w% L3 A! ^
6 X! l$ y& D" _+ c6 c: Z) j
6 |* r% V6 m! G" E- {9 a0 J1 T$ u% L T" Z4 @4 {( U- n
- E! P4 e' I7 Q" @1 K ] O: @6 v5 G
# F2 X+ m* z; O2 J5 ]% w
发表于 2018-10-20 20:19:10
收藏
支持
反对