2 D; T5 P8 l6 s, w1 K1 ]0 F
- h( z& e; l, W9 B+ F- }0 ~0 _
! L8 @% V0 R9 r+ ~- {4 W
! U3 b, \8 E3 G' m2 } 1 、弱口令扫描提权进服务器 2 R# i5 i2 S& k, Q# S# E
- [% S8 _& c5 T: p8 N/ c
! o7 p0 A$ ?8 o
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
& e% [7 {' v6 _# Z3 R, K; N/ y. `7 o
9 v9 e0 { Q$ O9 @ a4 u
2 t; J! P: u% s5 `& U
- c" W2 y( ?$ J' R8 F7 _9 i/ T5 Q3 a$ C " x" a) V5 M D6 E
1 w% U" a/ Y0 |% j, C5 `/ e" L o
; B, C/ ^; ^6 y" t* D
' l4 O4 L& X5 t$ A Q, n) g6 k" ]
4 U3 V. i3 g; \+ p, C' U T
1 {5 Q+ {' ~ C+ V" c5 n
; u; f& ^2 F" z1 {( c / J- S' l( r5 @7 L( T( i" m
X4 _& A; I& v
2 K& P. k5 K1 g
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 ( V l2 J! T7 J% |7 F$ F
% p9 D* l. ?& ]
0 `4 R+ l& [ E. G/ K
执行一下命令看看 ( O8 Q C: v3 k+ @! Q
2 Q( k( b! Z( E. D# j7 g2 v
( I, b. X2 ?, M( x" y; v# H Q' U& p8 n& \; P5 T
& L7 n/ r$ Y* A5 H/ ? 2 T9 b" }' S+ f+ A0 K" O$ j
- P. e) u! b$ J
$ X2 e1 y3 ?* F
4 ]/ e1 `2 {! K2 y: N3 S& U
0 b5 a$ _( d3 ?4 e9 S+ e
" \$ H9 J! D6 X2 C
开了 3389 ,直接加账号进去 3 n! e( \7 c$ n m2 K
1 Q/ N: Q( R, B$ r( P- z, Z2 q 7 _8 ~6 J% n% p( T$ ~4 k
}4 y3 [" q% e0 I- b( P/ Y
" z3 y6 s! K/ H. V( W0 ?
+ n( n1 B" T: P; @1 {
* @& D2 R, y! y$ [! V9 M: y
3 I+ E/ C' \5 U1 k% P8 T
5 R8 ^& v+ p' V+ u& P% k
) O, U# v1 c; M 2 @3 p$ g! b5 O! g1 s6 G, |8 d
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 6 I: q3 B2 J3 y/ E y" |0 \
) {. Y+ A+ H! ^" s! r* r' e
. r0 c) j1 M% O7 [. y6 H
% f4 h6 Z! V- a9 H s: A& N' L3 ?
/ I# K7 r7 e [( j
7 c5 A+ m# `# F* E! u; T* h, m" E! f: F
* S2 k. Y; @" C. c, i: ? + M( B* ~4 h, B8 S I7 P
$ a8 W! k1 w0 K+ n
5 h- ?0 u8 f% I; @" W 4 n! }% w) K5 B/ x9 g
直接加个后门, % l" ]2 X1 m0 F
2 V3 [. n4 B- R
( Y: n4 t3 T: m q
2 f) @% ?+ z4 v9 r s
/ Q- s+ B/ L( x- y6 K
/ ?' d9 t; r4 I8 V# {0 d/ T2 q
. m6 w' {# Q; [7 ?: M! u+ K. r1 U . Z6 G: {$ f j! n) K4 ` ]9 r 7 @# B/ J4 v2 e2 ]& E8 Q
7 u/ y; u* S0 u% t: F* I; L
) q$ V2 V* l1 n0 s 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 * h& Y) B; D. \. F6 \
2 P ^$ F0 M+ B2 F2 s- m A
0 Y$ A" j* W5 r8 f |) v& i
2 、域环境下渗透 搞定域内全部机器 $ N- y: q/ I- |" ~5 W
; a1 @+ R$ p: J" M$ ~
' r- ]( A. [2 Z M3 Q 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 5 p W X0 D4 [
8 _( q# Q$ n! L) ]+ }
1 r9 @2 o2 I2 O. L) C
* F6 ]# N1 R( Q# ~+ P p 3 o. z% a H7 i4 u4 t; [$ [
( x6 L9 @) J" E2 T! D
( P8 d5 G. _4 r) V
% S# F+ W' j ], |% r4 D. P4 y : q$ ]. J3 Y' c! J6 H. v
8 i" w0 S: n; W# S/ R
0 T3 e2 [4 q* X% n 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 4 S6 x# \: ~( B: }/ i
1 Q5 d. K5 o# d
& M8 [, o% O& C) c/ E2 \! `' I& v
. |! s2 F" b! w1 s( ] Q( R9 n6 Z& h+ E% }
- J2 s# ^ L" ]; |9 M+ H j
# I0 s$ j- g/ V6 T4 f. U3 ] ) n; U7 e+ F$ Z! `3 n; l
# \4 d4 p6 D! I
2 H0 M* u6 F" r- t6 g ( W3 p/ l2 n2 `/ t3 f0 Q1 @
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 1 [: A# W/ u. v6 ]; w
$ x+ z1 ]# d1 c" z. ^& U
- v6 p0 T& j! Z0 p / H7 I9 S* Y. \* ]5 ^7 w& k) U
4 t5 t2 G \' X6 A
9 q) O# L, ?. ?
z7 k8 \& j3 v; ]8 @
5 g# W7 V& W" u( _" r( g ' {5 m7 X% `, b7 }+ g" U
T- K$ m9 W; G ! M- P& F; M l! x- u
利用 cluster 这个用户我们远程登录一下域服务器如图: & H2 Y7 W! Y, c$ C
: g! \+ j- k K
' o9 g; k" V z
1 i- I9 z" ^0 ^2 c8 S- M 1 K5 K" `+ j6 |% E* Q
+ W. j( u9 u" S$ B4 }; u: C! H
, [" c- ?. f9 L
5 `. ^. | L& X2 H: H # g2 s) W# C0 L
: o8 D* ]3 \4 K$ B4 ^9 C
0 s( }$ D$ J# p r; g# }/ q 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 8 n4 ~4 Z1 z2 k% t i" H3 I
7 `9 y: H0 i5 E# P0 m $ W' c% M9 N4 c0 R
( H. ~& x8 ^6 l! L2 y( N/ p/ X ! G! r0 M9 x$ j6 a; [: U % }$ ]0 M+ C6 H2 G- C
5 k& u8 M: R) n: z7 W3 ~
- b5 \) f* j2 e3 N
: A1 Y- L$ D- x" W) [$ |4 k6 V9 i
6 Z( L+ w* l0 @/ U- Y
# F3 A+ v: j/ n; n1 Y' D. } ^6 } 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ; \7 r0 v) _: k8 T
! [$ o& J2 A6 h, U1 O% z# h; U3 k8 a
: }/ P7 i0 L$ B {4 @' D( Q 2 f5 k+ i& E. N
2 f- Q6 ^- k: Q$ ]
; C" ~& R& y9 C8 K* A( y+ g: e. w 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 6 R) a9 A+ z' W
, r4 z/ @0 {; p% u3 m" F" p
! Q) [ b0 o( l" E2 g3 r @$ q blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ; ^; E- f" P4 Y9 I
/ D/ n8 w) M$ s% F
+ Z; m- e i' j! g( J/ y
, Z/ J$ j1 _) K7 o4 W" {% d( b. J 1 R- f9 P" e" C/ L. j* `; r
# x, w8 \) s/ O) i2 w6 g
* A6 x' i' l1 u B5 Y! B$ d * n7 s) X1 q" _+ F! X# e/ M5 e
5 P! M( v U) E
3 j' J3 s* c' b' P# K7 ]! k. q: `0 I
6 j$ K6 @6 B1 _( A/ D0 d5 W: ]& q+ S0 T
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 ! c9 C. C% U7 |; |" j; s: z# N
2 c" ~2 |4 t; G* I, y |
4 f+ W: `$ c- H; R# P$ N8 F* l1 _
/ H4 x2 O, |- i& ?% s6 M. t+ E - A* v3 I; A) s . Z$ s7 ]7 b! |! c
; K6 x' P- i% f+ b
; o3 f) ]( _$ b2 @
1 i$ m0 R2 _8 h0 r5 W6 y. V
% `, D& P( x/ _, @. H2 H4 Z
, X' c; A0 l4 Q" ~* ]
利用 ms08067 成功溢出服务器,成功登录服务器 6 s) C+ c9 U% I' O6 R
! q8 T7 t0 w& u; K
9 n0 f% z _- {1 ^4 y3 w # u* \# L A7 `) K6 X8 F
) T( F6 {- R L' n4 c, l7 G. n
1 y0 a' U) N4 h. d
* E0 B+ k7 T o! b0 R
9 q6 C2 ^ U0 B$ L7 z 0 b M f6 r3 G+ d" h4 N) a
! Q* M& Q# C5 J- K4 \* G$ j2 j
( ^0 D% |8 X' v0 z/ d0 H- R; }1 s% ~
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen " J: D/ D Z* `# _
3 e. g W! B/ U- n* G9 L4 @- Y- a
i3 F T4 b, n+ Z5 T 这样两个域我们就全部拿下了。 6 K: ~1 E4 k/ r- o! W
4 {9 \% c2 e4 c* S8 ^ + p' }/ O( W. }+ x! y
3 、通过 oa 系统入侵 进服务器 - |' k6 }7 s5 a- C9 y" f6 D1 _
) m7 \5 a, F& K( m, Z& {' e8 [9 C4 L4 _5 g 2 R- ?# s! C8 H$ H* Q- n) W
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 ; i3 u b9 p. M" w
9 q$ f: y& C9 @& [
: P/ z' }( p8 `) t8 ~: y
0 O4 T5 n' d6 R( P( b+ y ' g# f$ t8 g9 I. { 5 K6 `& w9 ^# ^, S" c5 ~
2 E0 q* O' J0 T0 V' ]* U 8 C G1 D) u, n- c. o
2 I+ V, ` T0 _
, p! j) F: o6 { a1 W' S7 y b0 j& }9 A6 U" X# d& s
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 : {0 ^4 \7 l0 L5 }# k0 _1 Q. x Y
9 T" t+ T; x% ` o' I
, V6 {4 m! Z1 {, @& [ ( f( {" H8 |6 W1 O1 _$ b
1 U( ]5 ~, a: } 9 q- A4 F3 z! r9 M% v
: ]. d* v" ~6 V9 ?. x, U3 Y
" b0 |9 `# \9 `2 `( e, L$ Q; ^
' w) j2 z3 c4 S; y
, G& M! h" M# w4 M
% n& I; r/ z9 f* E 填写错误标记开扫结果如下 . d" q c- h" Z# Q
6 I3 H( p4 U+ I U: J
! P0 o8 K* Z* ]/ J7 c
3 Y& W6 Z8 c+ m 9 W% F$ c \/ n4 j
" D- d, i* c/ V; K, M0 a/ |( W
$ } L6 T% d, d) l+ D
- U8 R" j/ @+ B2 g5 K& Y+ l9 \ ; D t" K4 E" o
4 _2 R% Q2 E* I2 E $ D7 O* D) n: i7 {
下面我们进 OA ' n" H/ a' l! \2 h$ w8 M
) z; S z& F1 }/ @* e 3 U/ X- j* l1 p. N: K0 b- b8 p
: `; Y4 m4 d c! H/ w7 I# m
; a6 ?& q/ ], A( C+ X% A1 S 2 Z7 @) b3 H# R, r b
, M9 N& M; F! V9 O. D+ v
& t7 M/ E* A, H' }" c , D& L, m- m+ p, L8 y' n, [3 d
; ]! |$ _0 s& `; O 6 v2 O& v3 h! d+ w2 C
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 , n; i2 F' l; h+ S2 n5 x, h
2 F) Z/ T6 u5 a6 ^/ K
& Y+ R' H- f. n6 [8 K- e# P
+ p2 y: [& Q1 B7 U7 y* {2 N- V- N1 ~
1 a0 x/ C( Q, w4 l4 ? [
$ I2 d ]2 _( @, c5 K( f& N
( h W \/ S- ?; s 9 v7 g3 C6 `* [ E+ d
, v" j: D- n5 X2 ] i: V
7 _8 X) P( \7 x1 @! |: [3 I ( a, r Z6 [6 [, c/ f! W0 e
6 r% ?& }' {$ A& @
. v8 K& _( e" m: c : c! @8 ~) x# ?8 d5 N w4 L/ P
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 & ~ t# m- M1 z- k0 T% h
! l$ e) l" U) n; F
& _$ A& l% E# R/ w! \, { 4 、利用 tomcat 提权进服务器 9 H2 Z ? g& h
6 F/ C1 q# A q6 O, b; A- V
$ ~+ u+ o4 \ F 用 nessus 扫描目标 ip 发现如图 + i! c+ s; W& f
' h5 u E( s( x0 H1 Z% u8 t 8 L4 N0 Z8 S% f" o/ P' E
$ Q; i8 {6 c' @) O; w4 S 4 v2 l! R4 c) }9 F/ C/ W) Q, w: _
2 N6 W* p1 V b
% R( @/ ]7 `* ^: E' o* P9 B. O, [ & {: m+ D6 K8 V" L+ Q+ l; s
, ^" u2 @+ k+ A9 O$ F. p! Q
2 d! U3 }+ k2 R 5 Z9 }4 }2 S2 ?5 W3 v) D: q9 n' V
登录如图: * j4 K# @: n' ?" W/ S' x" k
/ i* ^" r$ p5 s9 A: F
- y% o i; c* p! t- u! ?/ ]
1 Q% w" k" v$ t, H* ` 5 J0 q- N0 @$ R* ~
# D( d# \) v \" W! H2 ?$ m9 H* |! n
9 S7 E6 ^* d! |% E! Y; F3 H h
$ i& y" ~3 r$ V. ]% s 9 E! ^+ I! i Y/ Q( e
/ N9 U: f1 e0 \
7 ` \3 o; \8 I$ l% A5 r: W 找个上传的地方上传如图: / z( q' H9 w# y. J( K4 c: }! R
* ?; @7 X4 S& ]; R, L$ i 8 |& b7 V7 y: r
1 `$ w# i0 k+ |9 O" N
& r2 ?* M( \* D
2 D2 D0 @. ^0 b: D
$ Y b: \) R9 ?) K& U4 m- ?
% O+ o: _; X! j& g$ D
1 I8 u+ n; ^* V, i6 q
, _( c8 l* V% N& a i* g9 w
! O5 I! C% B- C8 o2 r 然后就是同样执行命令提权,过程不在写了 , X' y+ d0 x, [/ b: u0 _6 ]
! p! `0 E+ I: I5 t* J
* k$ |2 ^, y$ y/ i9 p 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 0 I% [8 I0 M) c* F8 v5 Y
) } ~" s, N3 o( _+ n' F . d" _. E0 `0 P5 k; e
首先测试 ARP 嗅探如图 ; o% ]) O5 E) B" [& t
$ |. {8 u, h- L9 r& i$ S' x
J1 m& C3 h V$ I4 L- x. T; O6 M 8 f3 q; A! o4 h2 s2 g$ d7 m x
" `9 }/ x5 I/ a9 {: j. W
b8 D) ?) q: L* U
$ {8 K8 C1 @7 c4 r9 \/ g' P
% k- z1 `: u; K; E1 ~$ b5 u
" i3 Y* b. k8 D9 `: }8 Q( g8 W
3 a4 E$ E) ?: U
# T) Z$ \. H. G 测试结果如下图: 6 d- {+ }/ X( V% e1 k! m9 m' o! o: j
; e, ]7 o n% |9 ~3 _
* y. u) e/ `4 {& O ' _" W6 N9 O; V
% H5 R, N9 |; H8 G5 F
9 ]$ `4 f: E" Q, E% J; R! W
6 V! }# G# l/ Y
- a$ g6 h, _* D 4 E* `9 ~2 N, W+ B8 ~
1 z, o P" y! y8 N* R Y7 X
! _/ m) P4 K8 ?1 u 哈哈嗅探到的东西少是因为这个域下才有几台机器 : _& y% g& d9 [5 C9 ^
q2 J3 d/ e' ?3 Q3 d! D
# N( e5 t: ]8 @2 a- H% O, F6 f/ v+ C 下面我们测试 DNS 欺骗,如图: ; H8 G! g. ? ?; A
' S# j$ J. `7 s7 U! h
& |# g# O& }7 r9 a / h; S1 N8 J+ m3 S( d* m' G: y) J$ _0 P
& s% q% m+ K% B! `6 d$ _
8 g4 W+ S8 T+ h3 b! N; h, ~
; E8 C- F9 p5 G$ o C1 k Z
! r* N" Y+ L& R: a% m
8 u9 r O5 [7 _$ O3 q) Y; E" A
" a |" g& P+ c7 x, K& V" u
6 u" N2 z4 l" P& t p 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 6 Z! J) A! A. _2 a
4 G0 L/ E6 [$ K B* Y# ^
0 {# D- s+ g7 j. _' }$ x
( o: w; A' Y! n8 y4 Z8 |
# f# z! U* U! h% i$ B/ J
5 j H# V1 x7 w+ l: \4 Y
- c/ J& r; h' ^! i2 A
) k$ g7 h- J- ~4 ^$ e p" T8 ^( e6 Y) U- g+ S
# d7 }+ I/ f6 @$ U& e
6 G5 |+ L+ P3 V7 F5 J& k; o1 o
(注:欺骗这个过程由于我之前录制了教程,截图教程了) $ X5 G2 q; u7 E. A1 l3 e, l
! Z6 P- O2 |% q* n/ Q2 q& a
$ q7 M$ M5 ]# V+ [, G& {, G w
6 、成功入侵交换机 8 w" d$ y: o. [( g" w% n. i
/ y: n# F6 @' Y3 K$ Y6 k2 F+ @
( c: [0 n7 C. Q/ ~4 J 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' Z$ T/ _4 q: z( V- J- v, l
) g1 S0 q5 t0 x& _$ G
9 K! ], z% o: ^7 i' ~9 q" ~ 我们进服务器看看,插有福吧看着面熟吧 6 J( E& N0 G1 K- l; Q- M1 _6 E# C' p9 H
7 v: v+ S: I- C) @0 }* w- g 6 U9 T4 }6 U# j2 Z" p6 w/ @' r
! O! I, W. k& v/ m ' \! E( }+ Z. A6 p3 N$ c- O) M
9 B9 F& [/ n3 N, |
* P# P2 r3 q1 o 6 m, V' E8 Q* [! x" M
+ r+ H; X8 m7 Z; F. r& k
& Y5 d" a: ^/ Y ; \/ ~, c0 H: m" @0 D. F& O
装了思科交换机管理系统,我们继续看,有两个 管理员 , s1 H$ ^' f& N3 `3 G" x6 B2 H
& t8 P$ e! l, [
, ?( B4 T3 [2 G9 a1 H) H4 n% i( s/ F
. | s! N8 K1 m. z4 m * C2 v. S% C9 ]: m. x( h
* S2 D! y$ A# L0 l4 a
( \. a- ]( x: e% y4 a; k
+ k8 l& I1 ]+ ?% b6 S) }0 b ) c* q# A$ a# s# W9 J' _7 v
4 {, P3 Q8 W, |$ i& d
7 \% n# B5 G; |+ l
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 C- ~& q4 Y* h& f7 ^6 z
2 J0 x- _* i% X- A
4 O# f( g/ r: P5 s1 T5 g 8 J1 C1 v: j8 I
: P& G- @ s* D. L3 q2 _$ h
# F4 ?4 U4 \& }4 U
( A' K+ l( J5 E
# e6 o8 Z5 y8 q8 X) K$ D7 Z
5 l8 E! t; w) u1 H7 \% {
0 G, v. D9 ?3 Y9 ~8 E
0 w/ B& O+ R7 M- J8 Y: s
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 9 ~$ N s/ S" c9 p# s6 [7 l" X
& @) {. n1 l0 Z( i+ ~. l2 f # B3 i" C! G6 C) c& R- q
1 ?, ?8 c9 O _5 \ _ L# q) E" e+ r2 ?
8 }% Y2 d$ @% p2 w; c. p
! W8 T* a* {: h
0 g7 x; I. V! Q- H z; j- ~
8 k& Y6 i" Z- _3 E! [ 9 z4 m- Z' e4 X' g) B
! t! k# _0 m, E5 S
& O- X( r4 C3 d7 G 点 config ,必须写好对应的 communuity string 值,如图: 9 ?- ?) x/ ^$ Y" v
- E; R+ ?2 V( `3 o( ]4 T
' O* h* ]2 u" ^$ Z
) C0 q8 f3 I/ l" D- A" l' X ! k, D* n2 m; _# w7 |
+ u- S$ s# F* ^
3 S8 Q9 Q0 P8 [9 U5 n# J9 O2 W
2 A) m! G4 V& g! r+ M* _+ y " p A# P! Z" T. J& @9 \7 a3 t' u
/ ]' z r! _; \ {! R2 j
" p; Z- p3 k/ W* ~1 V8 E1 |
远程登录看看,如图: : X1 s- S- @3 y- D
5 a" x$ J0 Z8 {/ ~
' n1 ~7 m; K# g; A9 j; j4 d 7 P$ T$ Q! E# g, H3 ]! W
. E1 H; o# S+ |' j% x1 W( U# i' W
$ m! P$ z: o, x4 {0 x
( l& p0 T, Z( a# ?3 ~9 L8 E
" a8 E& \; }2 O1 l4 r7 u, k
; K0 k2 f5 v: U$ G! O! u& ~
7 F7 u" B N# j* o* a7 e: S# z
: _4 D5 x' R# q. ]: [* X9 K% ~
直接进入特权模式,以此类推搞了将近 70 台交换机如图: ; Z' C' _3 F# M A T8 h
, F5 H) ~# a2 j3 F1 J: K 2 F3 Y9 D! G. K
) i/ I( }) N! O- }- i/ m1 A
" M7 Y% j! g* t: \: j+ d% [+ R5 _
5 b! l- B% E# b- t2 c
3 f* }1 Z. a f+ l0 G
$ s- ]$ F) e1 w7 D1 }. X( }8 `
( u& t# q; }* u+ g3 l0 W7 S$ b& W9 m) T
. A3 }8 D; j: \$ J+ q5 s8 c6 d
1 u6 M' l3 O% @6 A: ?, v+ a1 b, e7 c : P1 V: Z. s/ h$ a2 J7 [
! l7 U/ h0 Y& {' f
! z$ d7 a5 q3 @) g9 p; r( \
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
. Y. r. t" u" N# F+ i! {
& A1 K: z# f5 @- ?5 C
3 a- c c1 u; E
, F* Y9 `- N0 j
9 L; Z8 Y6 j: z! s
9 J2 [/ v( K. c: \- {
9 d* S3 v7 ?0 Y I ) g% Z2 ~$ Z" g
. o# t; F+ B# o& t
- e/ B- A: f; M' M$ T% t
6 e8 E. ?" u$ b9 i! W
确实可以读取配置文件的。 ) F F$ g1 ?% L# C& F, G1 v
8 t" p& U! N& l G+ `3 S4 [+ f
r, @. R5 O5 L% W 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 # _) F2 k2 g" I9 L% V4 z' j
! O. e, I. X+ x6 l5 s( H, x
1 H) K5 U! |* h* L
5 b- J( T5 V R0 L$ H O6 |7 z3 E) c
- d1 J# N; U/ g7 r- t! E
+ r4 q' O. q# }; y , R- o) e9 v& S3 h
1 H/ {3 B" }2 V2 V4 P" V. \/ E
5 |8 z P( T3 X& s! ]% @/ V# Z
' M/ S `0 g2 z9 { 0 d1 \" s- D& {& t3 t8 B
# x& {; B3 j3 |$ H
6 a& C1 L/ ~0 T7 Q) p) X& Z 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 ) B) h2 _4 K9 M- o8 I
4 Y7 y( d1 h i1 x6 i1 Y
1 s/ H2 f, B% c* D$ o- ] h2 R. v4 a
+ j9 B; Q4 d. o; }2 Q) z 6 J$ @; P; B" c
+ N- W1 J* q x8 V: ~ h( m7 B
~6 k/ }% `2 D - _5 t, _; V1 U: q: s
! Q7 w' L% i0 d
+ D( b' p% u8 h3 G. U; ~6 } 3 t6 j, A2 k2 k
上图千兆交换机管理系统。 8 r! x% r) @/ z9 t: O
$ V7 R0 Y! i. y5 J9 @) [ 3 s! {9 ?" {5 B' S5 |2 R
7 、入侵山石网关防火墙 0 u# v% d- b2 p, {& K
5 T$ L3 v! N; U0 K! ?
# r. B ]: Q( H3 N* Z. L7 K+ r 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 4 u# @% {) n8 E3 M
* d, ?( K3 G/ ` i C0 e# \ % I& I7 V M9 p
1 n- a! o* y$ d2 v3 I 7 y) z! e$ _2 |9 m& H7 D7 c# r
- q, |$ @3 n* P \% d0 _& D8 h
1 \% g, {5 g0 X6 U( M) t* Y
- b0 n J! V: B9 c$ C% E8 [7 t
$ p/ f. `. S1 H7 J7 T
5 j8 @0 D. `0 ]0 a1 ~5 p
+ P1 D4 g) i4 e T# ] 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 [5 l; ^1 A& e+ I* I
0 \/ y5 @$ \4 i4 ~1 k, Y% `9 t
: x+ e0 X: {; F6 |* C
) Q: y7 g, Q* E* t1 w/ W % [6 u) f' Q7 V r2 X8 k, T; @
}( {. _! ~' V' A# D
$ E: q- d4 ^4 a o; C
- p7 {; S9 X2 v" \9 s ) Q0 m g$ l4 I# i
9 S0 c& u) K) T" {
$ Q8 Z! r! G3 \; L8 R/ s7 l
然后登陆网关如图: ** # C# O% @# x4 _3 l9 n7 G6 ?9 M
$ T* _0 Q2 i) Q- Q * s* V( F0 S5 U: _3 ~) v
# ~: X* L9 }& ], P7 z7 V; W/ N
3 Z- j3 Z, H3 A7 C- j* `$ _
4 j, k# M8 o2 T# P" C3 h% L
) L+ p: }0 A9 R% \& w3 n
- U3 o: a z, F" ]. u: h7 t: C 5 O0 u h' B& }
9 T% F7 h9 B# U# Q, V
- V2 l: E; z, x( I( T
( R) Y3 j& {: f% s * @9 q/ m) y. W. [8 D, I! f$ z$ u
& q/ r. S* k# K$ f
3 M" a5 ?" z$ d- l$ f- {
& L$ n) |' W+ N 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** + B) [6 h9 a# F6 _( }. d
5 J7 ?7 G- N1 @$ \( @8 z & M) V0 R l0 | }5 |0 A' p; X! [3 N
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 . c6 p1 _) ]" N) u: V% m
! v! l/ E% p& g6 C7 G8 P7 ]
* }5 ?. }# H& x o6 F! h
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
3 i E4 {$ \: U P" c5 V+ }7 _
; J9 g6 `/ S+ ` }
5 _2 c! z1 ~6 b3 V% \8 K& E0 F 0 O# Z+ A5 B1 c: p6 A" T
/ L' C/ l2 D1 e* G7 F
* g, @/ f3 T9 e, ^
- H" F, I- b/ d9 k0 e
" z0 `: i, r0 ?8 z
" |& |; ]! \# C8 P q+ i
1 z c# f! H a, J( s* B) Q: x
6 R I/ j6 ~0 q g B
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 . w3 L) G+ x; G0 u4 U
8 b: ?) j2 i+ ]$ a- F" t+ [ ! \4 M) m2 @/ s4 ?! s4 `7 c
# [+ `/ o4 I' a. E1 @
! s+ Y* i6 D4 O6 O9 M. X8 l . Q) Z7 N' f: U |! d
* x/ j7 ^. J4 j0 V/ {9 S
- H, J' B, t% ?8 M9 Q% ]- \
- Q6 T7 n5 Y9 X6 M4 e 
发表于 2018-10-20 20:19:10
收藏
支持
反对