: o! U y: v6 u0 Q
# t+ r0 u1 f, [5 H' L8 z
l: H$ [' Q& m5 W: s: c9 g
" V5 ` K6 ~, Y2 l 1 、弱口令扫描提权进服务器 3 L0 t1 d f* K
" n2 w, T0 y; V" Q! A$ D
$ [ c' K6 E5 n' s- e
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : y, J1 b9 A' n: k$ E
1 m4 e' z! f, [, O& {- `' I
- Q1 c+ q1 c) A( x + q n7 l1 u- U1 Q M
% h8 w# O- c) k
1 Z h. o4 j. F/ u6 _9 D4 o
- B, W' `( t; V3 u5 g$ [2 r & w. R: f% e. B p3 y: S
P& R9 C, ?; \% I
( `$ m( S9 E. b
+ K U3 y' ]# P2 _ 0 a g5 e+ B& E- M
; f! l3 R( H% g/ K1 I ; H% x3 ^% u8 O1 g7 s9 @
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
, i+ p/ A1 U& \2 q$ e% }
: d1 e9 N1 |4 n# L2 k- t ( Y; a; n9 [* C# ]% U* N+ p
执行一下命令看看
$ g7 h5 u3 y& |0 J, r( s9 B- g
3 q- k9 t/ @, F0 J! s
/ c# x b( f7 K
9 x% ?2 i; `& U* ~
1 {& }' i$ }' i. s9 s1 A1 g4 b
( ~9 P2 O% B' D- w0 f . c5 f1 Z# s) @7 a* b" K
% A5 G. w2 L' l5 H
6 _6 r* V$ U C1 {! T/ z" K
, m* b" ^/ t: e& s* v C
% L: \$ n& P1 q" R. Z+ H) E& R 开了 3389 ,直接加账号进去
1 v& Q# G1 c- [/ J& ^
5 J- L5 n2 A4 g1 o
( y3 e( R/ x) |& v% c 6 ^* i, d* j7 T# z/ t/ E/ a5 A
: P# G) {/ x: c0 y $ j* \; H) L7 v" v
5 [8 M6 `) w) V$ Q) I1 S6 h0 u
' \# t" ?4 B; B7 R$ E& D% Z 7 i* [0 G3 @6 {* Z8 p* b6 a3 G
: D( A# ~6 x5 h0 n4 C
% d" L1 O" L; l u; { 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( M6 u1 }' b3 l4 f3 M# \
+ G2 r7 i, k* U* v
( i) m& [2 I( m0 j2 s
2 } A0 r, j. L' b, z , K; N# a0 l; _. ~
# I. E2 o. {- g+ `! \
& n: {( h, e; Y# \0 n) X2 i0 I
6 R" E9 w, d- o4 U$ ]$ @
4 S9 I6 F# X# L6 [
q4 K/ O2 S& B
& V x" a" T/ b, O+ {# }/ z 直接加个后门,
3 a) e! \7 X5 N8 H' o
& B# b& ]( P% t' q8 X/ k
' g- v+ u* Y+ P' a6 Q9 l7 v1 M! d
% ?. ?5 [/ e y( W( x( P( |
8 n+ \% \1 n7 _1 `# N A/ H# V7 n
7 N5 d0 T! d: j: R- O
! j! j( G1 ?; H1 {6 w
9 [& ~5 ?' S7 B+ H W$ V 6 H/ b. E. S# M7 w, z; v
' m: \/ j+ `& j& g8 f/ r8 T
* E/ }4 v. d- D: e* d1 q+ x, P8 U 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
; v2 ?2 k+ A$ B# b; C* d" Y
5 c- E& a! T& U
4 Y: g# P$ s* y! Q6 D, l- c 2 、域环境下渗透 搞定域内全部机器 2 L; {2 i, G( D9 Y5 F
9 B# r+ Y+ Z/ }1 y$ {: B. u
$ t1 ]$ O V ~6 `4 E7 x6 r
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
- ` Z& H+ ?% O# l/ M/ S" z$ c
/ ~3 p, ^) [4 O* Y- q0 Q) S
|) n3 }' g+ E _! e ( j5 Z3 s- \) R$ ^
) a0 h/ r B" I: l. H . {* H) J, |; d2 Y' M
9 {, b5 J9 E- v
9 s; J. {9 D2 r$ N- b! `
, \6 k0 U- j; x8 l
3 b0 O* O: R z% F
! s+ T" B" R2 r) _4 }# j' ~+ A 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
( L1 A- i& H4 o/ s/ S$ j
& k, n) i% j2 E' |. J
' n* B8 k, m' S# |+ e* ]: O + \3 E, D+ K2 b. p; G: L, Z
. M! b; Z1 {1 M I" N
8 L5 F |7 }+ Q' @
0 {6 y8 ]7 ?: Y6 N
. [/ S- t5 X) y) A0 v: K
" q8 O9 F" x, E* B6 ~# a
1 ?9 W4 a- R I( i3 W) s$ i
+ u6 z) D& O3 F2 J( w
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
+ O% n S0 F9 ~0 @% F, N3 I
* b; W' B+ V+ B" f& K' O. n
/ o$ j3 T+ ^. g! C% r) n$ h7 x. J , H4 |4 O! k1 w. R) D' z9 J1 r; L J
, _# M$ |* s1 b; `: m " L! v. A3 l; N
0 F6 @- T0 a# y- g) e/ j+ f+ P7 l * f$ `; ?0 a/ Z$ ?7 a2 a1 @- Q2 I
% p" n% F8 l0 h7 u; d
) p7 _$ S( O9 o# H+ T# z- m
& J3 a2 T6 y" X5 T" \9 g, M 利用 cluster 这个用户我们远程登录一下域服务器如图:
# V' z0 ~# E" [/ t4 R! B$ m
D# f6 M5 I9 Z# P# ]: `
" K8 U1 x6 J+ ^7 K 6 ]- B% j5 [: T, X3 }
5 ~6 s& o2 K, P4 ~) B0 V9 t, o
u }7 N) {5 J3 V1 p7 W
$ c* c; y8 N* j. s: ]1 n8 p
( ]( l, F3 w) H& d: m s$ j 7 n& V. `6 j) G6 o
# p* O4 h1 g: m9 k5 h' G- Q
A% E+ [1 D9 }. a) L' Q0 @5 C
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
: O2 F& k0 }0 u) {3 T7 d2 O
% j; H" z% ^* t6 f
! R: o+ f7 E; ?' O0 C/ d
* A# U y% w' d6 f2 s9 ?
. K. H1 E4 v) ~
. W% \; \; H) C2 Q( V
/ D0 z* o8 ^" u" m4 q " T9 `. M6 X+ q: f, j
5 b3 [5 a7 O# L% g2 g
4 d# e& t4 ]; n7 ]3 Z
" _8 S; E9 N; l h
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: " E" S, I3 c3 J9 A! E2 Y1 {6 g7 b3 `
4 j- {* g N! z( l& z( t
3 B/ c' h/ N3 l2 A; C+ y4 |
% F) _5 }6 S3 U2 _5 Q- n: @
: `6 S' S8 n$ G0 w6 K3 G5 J * F, E( g* N' }! }- [
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping + x- ?* H7 X# ~5 _
2 v; N' w2 H+ w% }8 ~7 N3 a
0 \+ C3 a2 ]2 e% t9 r. {; c2 T
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ; r. w, V t. ~' A4 s. ^$ s
8 X$ n& b) i# F" B) ^
8 J' }. z# e8 o8 r$ J8 w& b
" g4 O+ c6 R n: p' l' U3 i, K
3 A+ R! `) n( O : Q; `( p' G6 X
3 q6 e8 R) i/ J; \
7 K4 v: e8 R7 _0 V
7 s: y6 [6 _, |
) i# l, N4 }* V0 E+ k. b8 | 0 Y+ z$ Q! J4 J. L7 U" V3 C
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 & R: ?9 i: j" L& P/ n, j- E: F5 G
" _4 X" r1 x/ k/ `) o% U
: J ?& a2 r8 G0 R8 |3 L
& s2 f: c, j3 U3 f# J: y- v/ k - v: [: p$ _) o' p
: n, ~* Q& x% O9 r/ H8 q z% m
& Q4 }; f5 \" ?% z2 ^ V1 {" s
6 P* w' v% g/ _' s: n f
4 n/ B8 d3 O" c5 Z
! B- ^5 n% {6 U& D2 m7 j/ B+ h
& |. |# Q; d: q! ]0 _
利用 ms08067 成功溢出服务器,成功登录服务器
+ T0 E3 U# C7 u7 U! m
7 ]$ M( ~& E3 h# G$ Q S . `4 y5 L7 h. m( ~4 g0 m
# t9 p. q' E1 [ . ~1 h' |1 M. S" n9 D
' U9 P9 Q) C: {- ?+ _2 X5 F9 C# x
9 w5 F1 k! `' R: B/ S0 Y 4 U( ]# w ?* |- n7 |( r9 ?
/ |$ R% h( m& b8 ]5 E: O
% {, e; D% u. T6 I* w
8 v, n4 T8 q( A2 h4 H- c9 F 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen
) i5 _4 T t' j
) {' k4 x& g# y, Q6 Z 1 C ~0 ]4 B) w/ E4 k. ~
这样两个域我们就全部拿下了。
; o) l5 z% j' E! K9 q2 o
2 c3 R+ n0 a1 V! K% U$ r, _ I
9 X3 D% H! _3 S* o' m* e* T7 Z 3 、通过 oa 系统入侵 进服务器
1 C% K K! q& ]) x# a3 e
/ ]; G6 H4 [' u# J! H( S1 ]; V
( g- f) ^3 b, U, b! {: v
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
7 E. g; M' l' D7 F
/ B8 i) X, g1 n% C% {4 r4 C7 u
( f! j8 D* l6 c+ D- x5 b , P! b3 D* I' a8 L# I6 t- @3 \1 o
3 r, W B" ?3 j. I
- J4 H7 F* U$ j, [3 `4 i% `
$ F, B8 u3 z* @. o
) L# k0 ^. C0 G; a' [! n/ } % a4 G8 @/ O. O
8 r. J. t/ Y! R* y y- z3 ?7 {
- b) A+ O( L7 ^0 d4 D 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
# p7 t. P( k7 f
# A1 @& ^2 |) v8 G1 U: F
' t& k3 c* ~4 C0 @2 `
6 v* L- f6 W8 b; F7 h& K' c
" S( \7 ~8 ~( _2 `6 S0 H - L2 B: t" m% n* Z
; Z; T/ X+ j/ ]8 |: ]0 i" b
0 I$ M/ H- p9 s' r _
M+ q5 P' o) ]: I- |2 W
* X `) e, p- ~, p& _
+ p$ Z# X6 }( D& \: h" k 填写错误标记开扫结果如下 , K) F; I$ I% z
% `/ Y3 U; i& z1 w
/ f4 c7 i0 P* c4 Q
6 {% A9 e: ?8 U! o5 K. n0 T
# D% m' a; I0 U9 ]5 c N& ^
" t2 T6 x2 n- s+ {7 n: P
# H3 G6 S' \9 Z . G2 u& W1 m# v4 _
( n' W9 c+ V, o* I" \3 `* p; b
# x9 Z w0 }/ y1 [' M$ X6 j" f9 f$ a
5 {; d; p$ |, ^! _3 f! F1 s+ Y 下面我们进 OA $ {7 @* {/ Y' n- n z
2 D" A2 q) X4 P( p1 L
$ J, e; x4 n% g5 H( W
/ U+ c1 X3 J s1 B; @ D2 u ) ]+ |" D* T8 `( E: I( n7 }
8 O3 A) }4 K! [. V: h- G
* E% f4 ]0 |/ z/ }- U) _
3 e7 b6 O2 b% u0 \" W% U: D
5 T, T1 P2 c( i6 G! R) H
9 J& f8 f: t, i" J5 S( n
$ b& B t0 J3 a5 g; }
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
# g0 H; a5 T, h3 G; F- R9 K% f
1 x1 E; h$ g' W/ Y- k: ]) I
6 p9 {8 z0 |5 l0 }# ? y. r3 s" ^
" s2 c( Q, w6 |
' q0 |# ~# {4 ]8 H. c" [ c% @1 W 7 R; ]* V+ H4 i; e# Z6 N. I
5 }7 H7 A* ~/ e% ~7 h
1 y$ `) n8 a. j+ M6 B2 { 2 e p+ Q% x+ G5 X: N
: r$ v+ f7 B; K $ m3 X- Y g* t1 B: {$ m
& j# b# ?9 u8 ]
: P# K# N- a) L7 I' {" c2 w$ [
+ ?& X, ]" u2 E* }. x 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 # X" L( `9 A# U: r3 m
, v" p, h3 C7 ?! P
" @# ~6 P( v- X" ?4 m$ {. Z+ f 4 、利用 tomcat 提权进服务器
8 |0 G' K1 f0 |6 L' ~7 F. o
1 O( Y0 ^* N4 E; x( C# ?0 @ # ^* B' A$ @- |2 {/ U( L
用 nessus 扫描目标 ip 发现如图 2 ]0 z7 x; N: N* h/ s3 h
# W& N9 i# J1 a1 ^5 c' B( W
2 u* z. z: Q) D: m9 A3 L) j- q
$ L& R$ Z+ ]3 r2 y- ^ & ]; Y4 Y+ Q. v
" d. F @) B. a4 E. m7 r' ^
7 Y# I+ P2 b" M ! s' T# l$ [& U: S {
3 R: f& x; q7 h/ _, z$ i
& [ \: H0 A# N4 z: O
4 z2 L+ p9 K7 `( e 登录如图:
, Y: s+ d: v0 K% B, ?3 x4 ^
, b% s& P- C) M W. U7 R/ j
' x# b( q( Q; ` ^- Q
5 }3 A! \- v7 ~+ A4 J3 S
7 ^8 j4 U# W* N
9 m) w" e) y1 ^* A
# c4 O8 ^# I6 g! p: Z9 P* f
4 P2 c" j" {4 V' X+ f
* K; a" a- W3 ]: t
2 r7 A' ~8 j; }. [) M8 N' U# z
( S/ }$ R! |& u! }& R U4 V( b
找个上传的地方上传如图:
N5 M; T+ q. C9 o5 n% F
5 b7 n' }2 H( d9 @9 A" ~
& C1 S8 w/ i. i0 t4 v
0 F$ w3 R! G/ V) t& f
) k( I1 x, b- @0 Y! p9 d
0 C( C# g: z: b( T$ `& D) n+ c
3 C7 Y- T% F! S- @# C/ G
, D$ J* y# S4 g- O1 f
, [% h! C( l. O; Q: ~' e3 j$ U
0 ~- a' B% X P
7 V9 r9 } V$ d% x2 [
然后就是同样执行命令提权,过程不在写了 $ u9 Y9 ?! J' q S6 e0 v
' X ?7 [1 t: I) ~+ W. `1 _( p8 U % p6 K1 @; N" M* f
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
3 `: _ b0 N* j) A. b
+ |. Z* J# T$ N- ` : H, j. k/ t' {0 |
首先测试 ARP 嗅探如图 9 A4 r$ w z* S" z
( v) g% E# q* T: F0 S
" s5 u" X) ]! z9 v: m6 W
- p$ L/ C4 {! D, z$ b4 x
' |: _9 n2 s( D% }. u' ]
$ k# T* c: c6 Z5 }+ v a
, ?6 Z8 ^7 V- ?) O 5 G, D; T& O: R" P
# [( E" L9 [# y9 W1 W
) m2 h3 r* M$ U5 k A1 [6 X
( l# @( ~' L$ G+ z
测试结果如下图: 7 T+ y# ]( z7 o
/ p# ^2 i, \1 [$ c" d# F
6 B5 }% w7 ?( {8 q# v
4 _/ ]: C T9 R% e5 \, y
: r6 }8 |/ B. p }% ~4 x* E& F' }( Z D$ x; h1 y f
" W8 \5 M$ S% x3 A% R
9 r3 z- F; }0 q+ ?+ J
; _9 g4 j, P. v4 `7 r9 @
4 r" V. h" z) y3 c6 {
' U7 V7 k% _8 b: A# X9 Z 哈哈嗅探到的东西少是因为这个域下才有几台机器
6 O+ X9 ]; `2 x% p8 }# x, C
* K2 C E s+ k( w9 N/ X' M
2 I3 t4 D1 [7 m; k+ u
下面我们测试 DNS 欺骗,如图: $ F) m! H' q' l9 i
0 I- S8 w# |* C2 B; A$ q, f
3 }# F" F7 \- ]3 S1 x) w
5 P1 t, B' [* ^( o3 ?$ H, }% E
( p9 ~* v1 I% r
5 N- c. J+ L; S; }% \' ^& @
: [8 C* Y+ D, N. d% ~0 R: C" z % v2 u& m8 o+ D8 ~
# q1 K- h2 U u# ~
, M/ [0 M4 N7 L+ D$ |+ P, o
+ r9 t9 \$ M4 K m 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) R/ k% @9 A( P& i/ |; y! R; o
, F+ H6 V7 m- Y- y0 O! o & h6 a$ u! q+ m3 [2 x) j8 ~0 N
8 E3 ^( I/ {; ]2 X5 n
# x$ ~$ z) ]" m7 r; a) _ , G% f8 r3 Z$ v* D, g
. x* d) w7 O/ G
7 X0 \# i x1 [; t n
% Q3 i) [( i- P C/ L/ l
z d& _: q) ?: N3 E
' ^5 {( _/ o5 n9 x( R7 P
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ' y5 P9 D; Z9 M! W' h
) o; ^0 `0 \: r) x
0 F, o4 r7 g/ W. p- @5 x 6 、成功入侵交换机
/ w2 D3 i8 W4 M t) J
! W/ A0 F; U ^4 y) ~* t6 y
4 J/ X# r, G2 S2 V! {
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( W! S0 H9 l' |
/ _' C, E* x. H) y, c # o: \: _2 J7 b
我们进服务器看看,插有福吧看着面熟吧 2 Q7 J# r2 e% c$ @
9 P2 z4 @" f9 E1 a7 A) g
0 w# e) B+ D1 p0 t& j$ \+ |1 h4 H
6 i) E" o+ L0 v3 I- y/ o$ | 7 L2 N- T2 Y% s4 U/ I- h# r* I9 \
; Y8 z) Q* P6 M/ S' w$ l. Z) q
( n, t: _+ x% m 3 q* e9 y/ e% F( \0 Y' W; m7 r6 ~( ~
8 H! H I- v$ ^6 F* l& T' C
8 |! ` ?/ V3 ^. @& \* H
) Y0 p- j% d: o9 X/ n# J/ y
装了思科交换机管理系统,我们继续看,有两个 管理员 * O* H8 x& Z1 m/ q. p Z- |; _
& \# F, W# n" z1 O, u. l
( l4 o, P7 ~; X/ ]) v; M
% k2 \& ]! m# v7 h6 \9 U$ m * E+ X7 W6 Q1 H) `( K- ~+ L( h/ L
3 N* l4 X, m% L/ d# b+ A" h, a3 F
1 K, D& L0 l. ?; t- a1 E* K
2 \% ]/ J3 x. D7 k# O 3 ]& j) k1 T$ J3 I# |% i
6 O# Z- `$ \2 x) z
) s0 v+ s m# b 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
" d5 F4 L, ]& r/ Y: v
7 {5 T- L! v9 G% U$ R* q) T7 {8 S
7 F; d0 M6 D9 R O8 A0 O 0 r k5 V/ y4 A. t( c
. [, m& `0 M9 u6 e% g
+ {) k# O! n) V0 J9 `$ g( P: R8 I- U9 W
. n% J: C% ^: Y- ?
" M& g% F$ A* V: ~. w8 a
) c2 A" }7 E& _
+ o+ f& T @0 h) K
$ n: E+ y& R/ e0 }5 v4 \8 A0 F; e
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: ( F; ]% h. f; e. l- S7 U" v2 H# t
" a/ _0 y+ ?: X" P- r2 y+ T
; W5 i4 i& W& l# D ; L1 I0 `) J m7 c7 ?
) x% D& ?' l/ A* J$ S; z
$ B! ~. g1 X ^! d4 Z
7 U+ k, ^9 J, L) J+ z
/ W8 o. {- o) Q' m/ k( t $ U0 f9 f( C% r# |' |
7 _7 o! q% V1 \# e4 n
8 E1 q y' S+ z* I* p* y 点 config ,必须写好对应的 communuity string 值,如图: 1 P+ B: q. p$ _
, G& K# T- i2 ~- f 2 D d# i. P1 ~5 o
. r* w& x0 ]* S& F+ W- N% L ' F% X# I# z! ?" I9 B- L; R7 c: y1 J( ~
$ I" j8 g7 G1 u/ c- W2 _
2 v3 v) z5 B1 M: L4 } 2 a( S! [& A3 {8 b' P/ J( i; M
+ b$ T! r+ L& E" `5 O; A: N
" S' S( O$ A% S& [ K R/ @2 g% o' n
; ]5 `$ [- N2 r 远程登录看看,如图: 8 Z5 O+ b) a: l
2 v* x) @' ~4 ?% O
4 ^0 p4 c% P( h/ L8 X0 l& _
7 D! z# x) ~9 g
& Y6 w$ @# Q1 `& d8 b% V; v
$ a+ T" w% w |0 c# y
_4 O2 p( U% p$ ?
+ w8 Z; ?9 E" u1 f
, j5 k& T$ c- Y& C: }4 P3 x; w
3 J' _3 ]3 u. B# b 5 l8 H+ D0 R7 |# b, X$ }' L- X
直接进入特权模式,以此类推搞了将近 70 台交换机如图: 3 `( W6 d( |3 ?4 ^
8 x" b" g3 G$ ?5 m# g. d7 J; V y' N: M; l5 h7 @& ?1 Y/ h0 ?% c O
' l! S Z' Z3 S* A
+ a, w) h" p6 L- w) C
) T, V, g8 K8 t/ k- f, ]) c
7 A J! b+ C ~" c w ( r4 w: ?0 ~2 h6 _' W
9 B1 B1 k; B/ T4 q
9 q& [( C2 R: x, v. M$ m
" r# R5 d- J1 K o
: w# A4 `& v% a6 {% t* U7 O$ l, k
( n7 j2 Z% J- y# T* p# ^% o# e
9 k$ Z* @8 |& v) R/ ]
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
# ]+ i0 }9 h6 ^% s( I
9 `7 V' s' b ~) g+ `2 R, Q 7 l. _8 d2 d1 f6 B: M
8 R6 E4 C9 ]6 E
$ a: P/ g' ^, w) b 6 s ?! x8 G8 u) J! C/ _
( |4 g" ?4 B) s6 i s9 h' a8 W $ i' B( i* B5 S
; z% g% q5 k. {5 i
8 m( T& O- F: F8 Z+ ~) |3 b0 J
- W8 \( p7 q* q; T& e0 `6 z
确实可以读取配置文件的。
! G0 c b6 e1 W
( h) X; m a2 c) |( n V
% W5 t5 Y7 B( j6 q7 s
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 + \8 L. [8 f- }7 I
" @% E0 v6 ^( f6 X$ }
- o4 e+ r% U8 N; x9 t# j
& R6 _# C( T$ A3 V
: w( J+ ?1 J; V- h " x1 ]( i4 \4 N5 T
8 `* T0 F/ f' k/ t
* j8 R4 R% f- _7 M' k9 ` ( S" S9 {3 U& o" T. S
+ k2 a; ^9 [0 W2 K h & k6 A; I2 c# D( }# |
y" s/ l! a3 O, J- h
& [, T+ @( j# \! T
) ], u$ q+ w- @. v" A 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 " r% E0 r, Z1 J% Z7 _9 [* ~
2 H7 J, m2 G6 l+ x+ _ 4 @) P- n( R6 |" D0 S
* ~6 D6 _$ [' e$ G! [$ Q) |8 h8 }
/ O& P. m( O+ r/ r" t& U
' w: H3 p5 q# I- O: K4 Q) g
. X0 J7 S8 U: W* C' R5 u5 F
* g! w% O7 ?' Q7 ~" L! E
5 Y; s. b' }0 w5 Y3 e' H4 l, x+ C7 O
( T1 b; z7 _8 r3 D" p1 H
3 e: p+ T* s0 M) `
上图千兆交换机管理系统。 ! H9 I2 i; g9 L# G* B% M
o& \: ~. L- ] |
9 {' O; _2 c4 `8 v" _
7 、入侵山石网关防火墙 ) `7 o- b( u3 I! c5 b0 a) s
8 F8 H5 K- T# _' A; \
6 R* @* J# P( l, m$ ~ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
8 m3 Y) Q) O# b& G
2 \- h" [- [ ^+ g8 z* m- A
5 P' S4 P8 \4 `6 \2 B' \' l! A
& V9 i: w2 R1 w
! L0 Z/ {; @8 ~, P. y
1 ]3 M8 p$ P! w: V; R3 M: v8 I$ E
& g1 q' ]+ ]" \# r/ T. v6 ^; M" q
, u% b+ a! M" n. K) j+ n
9 [8 f+ H. r2 c: \# O
( P% x+ Q2 p) b) Y3 L7 K
1 c' E! Q3 s5 Y. |% j- w7 [
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: & | k' i) X" s) m/ j/ R0 g
4 o0 @; @4 t+ V8 G. M9 o
0 {+ Q. [# F9 x- C, Z
' A5 @- c- }0 G* J) z ; P* o) @- ^! n3 l9 X
/ ?! |& B( i1 Y2 U
" |, |% q6 p+ w% I1 t" v2 i8 ?/ C+ o
9 o \) q3 \; f* l A+ V; E
5 S4 N+ v; @! D4 ?# g7 V
% B, d3 @( b7 A+ t
4 t( n( O# O( M- J9 }; f6 m' U( C
然后登陆网关如图: ** 5 [) w; L$ p2 Q- V( R
" X. }7 S( a. d6 L8 R - i0 ~! a: Z- L
) y: L9 H) I' e2 ?0 ^3 f
U3 Q/ C; `& ^0 C6 ?/ \9 Y3 ?5 \ : `$ I- E# y+ n. h. N
4 x$ y1 Q2 s7 J" o( q$ ` ( t3 s! V7 G, O9 e
1 e c- _" E2 h. T2 s+ x
6 |7 m2 f* y& s % S, r& f8 B. t5 S. Y" t% m7 a
0 Y" H( [' B* L! L1 w* c# M ^: r0 s
# X/ M6 k6 h4 T9 l+ n+ d% U
$ z: ^; ?8 T Z" f- @2 i$ [- E
7 g* |. s9 c- F, v6 L
; A. R' W. @0 D6 u1 m2 n G 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** + t! H" K& p" ]* n
: m/ E' @, o' v$ E/ D
3 U. w4 l1 f, f2 S/ O: X" D j4 D1 A
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
4 O& b/ P9 Q6 u, K# ]! Y3 d* J
1 U( d, g% ]6 H! p; Q; o, A' z/ |
3 r; q5 J* h' @1 s# \ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** + ^( T4 C1 E/ z% a& W$ u/ n* l
* e7 E1 D ~! ?' h& u4 n4 D
4 O5 j+ ~+ y6 V& M/ G0 l8 v
3 T) l5 f7 m3 n9 d
. z2 F# ^" J' v% {
" V5 r; g2 G/ [" a; ^
& S" W" r8 \" C6 X
/ _$ l# x7 r$ z# G0 c
' R3 g; B: [! n: m9 B5 B
9 W8 a' z7 _6 d! u7 D" g, X( K 0 R1 s$ z3 G. E
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
/ Z- K) h. S; N+ ~7 J. a1 k
) Z9 H0 R# Y( |, B
; A g- b( m5 j, q# T6 H
" D8 Q$ ]/ {& E
2 R& V- C- D. O$ _2 F s! M- `
. z. R$ F y: N4 ^ $ |. o- V/ o3 A' |0 |# ^5 {
* T5 {, O- q9 a: j
4 @/ V* {, T/ V) I