" r5 J7 G- o: U" c2 t& r
+ h- m# A) @; Y* C; t7 T
$ J1 C, e* Y# e
* z# w* f L9 O7 ~+ k8 ^4 V1 r5 } 1 、弱口令扫描提权进服务器
8 K4 T; m3 y7 e3 X
( Q" |0 S& O, X- o* I
# l" Y- O( F' `+ k 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : / H8 V: q3 [0 u; u; A
& N- a+ Q8 d. {6 [( R" G- K6 y
. l3 ]( w8 b0 x9 I3 i. @0 p
. |' u0 y* Q! @6 e- v( N
! t. f% W1 M( e 0 @, E3 B5 B5 R5 w
1 `0 @8 q( u: `2 d; m2 m5 t
) h' U% x/ U- i
3 ~. J8 R# X# P) K! b
. ]! C) c2 N7 M/ v) p3 c
% ~" \' G S9 t. k5 C# D - f, ^2 D& V$ T4 |0 c. x6 e
7 P7 c& ]! z; y+ H4 q, G$ B! _ 5 \1 P* Z, {/ n) `! t- {
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
. E. v( |4 ]% Z7 a" t8 M4 s
D, x0 O$ s+ q+ T/ ~
8 N5 W- [+ I) n+ |4 F# X: ~ 执行一下命令看看
" a) {9 U8 d( ^. f3 @5 z) R
( { `' Z) Q; S& d/ |: b( M ! i% W5 g, z7 U0 A W' n; h
: \$ Z7 q# p; u( T6 \' \
, `. ] G# b) h3 a
7 Y# ^+ ~. m6 l , V& w- e$ @; q% u$ z
9 O1 N! L* a2 ~* \% t. B0 [ " q! T( r( J4 v- d, C, h
* }* B! X+ E# m" X* Z
; A I6 v8 z9 m/ f" I. M 开了 3389 ,直接加账号进去 - z6 s3 A! w' e1 t. c* m' L
* G0 ^6 ^4 k s$ m: v
" }, f7 _# H3 `" L6 b4 b, x 7 ^# J4 o- v: J, H
# a% ?* n8 @" U$ I. @6 s, t 4 u P* T" M5 f
( v/ J& H X# G$ i# s0 `3 j
% B3 I4 [0 [$ g, J& a0 T" y7 D s- i
" d% @2 a+ v$ P9 H
2 n" v* I& b f8 o# @" B
: w. B6 N# t2 ?- P2 H: w 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 4 Z7 } }( B7 l- U
, q; E+ d% U! x3 \6 U
8 R3 [; K. v* K3 p1 H* K6 Y3 U 9 O( C. o/ W1 @" m$ S& c" w
; I1 l" J8 p2 w 9 l+ h! k" A" W, p6 y4 i
3 O3 \, n3 u9 f6 |% X/ j% q2 A % r5 y8 C5 w8 X2 e& S3 Y$ s+ w& p. L
$ E5 S. L3 Z; O, E8 n5 l- w/ {
9 ?7 X9 o! F8 S+ m # C7 a3 A6 l! ^* X7 y; T- r- g
直接加个后门,
/ E+ r8 F+ D/ _. I/ `
! C# Y' \# ?" y( t( O/ u, k8 v
, ^% `6 }( x6 V# G. s, s
6 c4 ~8 d# |, [7 f+ u5 u
9 k! P3 u8 h7 q; @7 H" i
& v# Q: w6 x" |7 a5 B, M3 x0 t
" f r6 Q: s: ^2 W4 I8 j
9 p4 ~; `; |4 Q0 G - w/ y: o' ]0 M! |
7 P8 l2 E5 ]6 O; [0 z6 p
2 G |. c: u# N7 V 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 3 z( \4 v- ?/ c7 e. q1 ~
$ e5 Y* E v8 T+ `0 U7 E! y ; n o4 _) ?. w; E6 p7 j3 j
2 、域环境下渗透 搞定域内全部机器 ; C" f2 @4 y7 x4 G% U
/ D0 w: K4 a& _0 w
6 q+ N7 n8 ]& c! ?9 N0 ~ } 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
' v' ^$ P+ t/ B! b0 f, _+ l1 W
* R; C. @2 J& l2 Q/ U0 K
/ L s5 }2 i Q4 T
' M5 q4 e3 k* L/ Y8 o5 L& g
0 T2 Y* [) [: [ Z. j . e$ O( j+ r+ o" x
# J- p. [$ }* `/ D
9 c6 O0 d i9 R
( V$ i3 n& X- Q# ]8 R' r9 w3 n$ S' d$ ~
5 M2 t2 S: Y- F0 M6 n p
9 t% r6 }. n8 p$ a3 L
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ( \- R' S1 U* D+ G6 l
# a. k5 z! r$ r: k# s
6 c5 G+ I% H f1 z; x
1 _0 D- f# _# d' f/ ]2 }) Z, h0 L
3 ]* Y2 |( q8 N6 O7 _+ V
9 E9 V# C+ Q9 @9 k) a% |
: E- C8 I P, ?% t4 C/ F- {( g . P! |! A2 _* y* u" m
+ i: o$ d' U6 ]0 c2 o
, c- X) }) _. u
& _$ ^0 T5 {+ |. B3 v* V6 P 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: + M N9 K* n. ~; _2 ^" }% X i, y8 s) J
) }" }- y# Z7 P9 j 9 F- x$ m, d$ ]
' N% r, Q5 k7 Q" I
, a1 A i8 e8 e2 ^+ b* W, ^; k3 m
- p4 ^' Z9 G# w* U: E/ v
9 X0 E" z9 {$ Q8 i- Q# d
5 A, { P$ j! s- o7 j * h0 v9 h7 d# y, l3 g* [
; n3 w4 s5 S$ T- B o; A7 Y! b5 P, x9 B
利用 cluster 这个用户我们远程登录一下域服务器如图: : M6 Q1 n* T$ ]
/ v- |5 V& k% _. F: p8 i " m# m; q0 n& S7 M
% _3 ^/ ^/ r5 P: d5 u4 e ' m% q' G0 h- L8 p' v2 s
" A0 R- B) [1 E" x4 b
1 Z" X. Z- g0 f4 k$ j! d
1 t7 X! g0 V- g' A 7 s8 G/ J J+ ?% a. a
! C4 R( l# T% S. V$ {& S
3 |/ d; X% V) G 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: * m! G2 d ? Y6 ~% r/ e' o: a
. B2 C9 m. ?$ a
( d5 {# P8 b* v0 {
/ I- c3 Q" e3 J- q 3 a. Y7 R# |2 [$ j0 ^
6 B9 B1 O6 ?0 d7 S( a
: B- _) l; ]( Y4 U$ p " D9 v! b' L5 Z# J# E1 y. C
/ c9 y7 X/ x O
0 J. |9 r! m2 S* \
% j! S; j* c- l2 I. y. i0 J) y) L
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 u) C' T: A8 g8 q: }! N( |$ D( a
8 h/ ]( O, k9 V$ a
! \, d2 E+ r% Q$ B" V5 `! w9 a6 D 7 ^; v) p- T2 z. n) \- @
d6 S( l! |4 B2 i1 @3 l) _( e! \
3 Y7 S* q4 W; p2 p 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping ; t) Y' \) U/ Y8 M" j
6 g/ V: s4 D2 W# X' D: ?; V$ Z' E0 b 0 f* a. ^! e8 ~( E+ h
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , r( `5 S2 n. I. M! x
5 K) x8 x7 ]5 H6 g: n( B k. `* x
+ \# b" T. p% G
5 J+ _, c q2 K2 \* r! {+ |- } , l. J1 D9 V2 l
" V# g: M H2 o J
. \1 S1 r7 R* u) V2 s; \0 W- y 6 Q s6 q( _# Q+ r% \' \+ D
' U0 b0 h8 o7 v% z) h% V
3 r# k5 j& v$ ^" G/ M$ j" z
. E% o$ e. k2 ~- H+ F 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
# }& l$ a1 D: A% y5 n4 p! |) q
I) l8 u3 a6 c) W% o
: R$ U W6 o' }+ A$ T% m
# d" N; V0 y2 l: u, A ! R" o' v. \- n% }& _
4 w; P N3 R' @1 H% o( o. c
7 [7 }! }- P' Q5 l* e
4 L* {8 w1 D% o, n+ ^! E1 z0 ?) P
6 O V4 y/ Q7 w8 K7 Z
& s& W5 r3 r0 `! f3 H
- h5 u* H& h+ z. i$ ` 利用 ms08067 成功溢出服务器,成功登录服务器 / p9 J& x/ J4 F
; R; }( F* C9 V ( u" G1 P3 H- P
) W) ]6 N1 }" B: ]) s 5 {5 a8 [% M) t' F# j! f! w
' Z' w9 K& I6 C2 G
" h% B) c* u" M2 G! x d4 v5 I
1 p" y; @; K: V9 O7 [
; a ]6 v# k2 `+ G5 {5 A/ b- `
1 i) k1 A+ c; S3 ~$ Q
2 x# J1 {) ? J5 o
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen
) @/ P! |& Z2 h5 P
2 ~- i) ]; W/ ~8 x
" z/ X+ Y2 A4 O6 o: I. w 这样两个域我们就全部拿下了。
3 z0 p9 _4 C5 l, Y* e6 j
- {+ x$ J9 |( a1 c5 G9 i1 M+ ~( Z J
# q5 P. O6 H% H& t6 G 3 、通过 oa 系统入侵 进服务器
7 T8 s0 r% }1 [- `8 T; ^; V8 f
0 {! _ A7 j @4 ?1 I1 o # H9 a3 v) x' _* |
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 3 w6 p% {" Z) |7 @0 Z+ C( ~0 c
1 j/ q. ^* a0 r, y $ F# P" s2 a4 j
- v1 a% j( K! e% L
1 R# x$ I/ ?* \0 H$ _( @# L- ` % s! T: M2 z3 @( J! S- p
* |* x% c* y- Q# U3 a m
. c! m2 G! S2 j3 e
* k$ R; w, V/ s+ f- N; Y6 ?6 Y$ g6 S
3 X# _9 z, E( f( {
) {( B5 V ?6 x 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
6 O: t+ i6 Y8 x4 a! w
$ F# i6 ?3 L4 K4 h
" b; N- X# `) C& |, v
% X+ g! a# S Q1 G0 ^- ?; |' w
' a- y+ S% Y9 T" p+ K4 t' L6 R
- t3 R) l4 @: n
. G! @! `! v2 _/ o
0 Y2 `' n/ b: n( R! ?
- o2 Z4 p: h8 U1 U7 J2 j, K
7 A7 w% |' f* J' b3 N' D6 a % C. k4 y; m9 \( k
填写错误标记开扫结果如下 + I. C' z( X* M% f
9 d; D) Q& L, G7 ?, k
" `/ M- j O! q6 a+ i$ r6 p: J5 c; t . m( t2 h# r; i3 r6 j3 W8 D
& Z3 e C4 D4 T0 V
3 p v4 F. [7 D2 y/ m
/ H0 n3 t L' h5 ^! _% i5 a$ N+ G
' A$ u2 T( n2 m; u' @) c
* J/ f& ~# h3 V0 ~3 O0 n
) |/ X; a) J: w5 ]# \, z- W1 y1 [
! \) o4 h4 S, [; f7 D: Y 下面我们进 OA $ }) X& N* ^0 X
+ Q! z& T# L. H1 ^6 `2 N0 G
! N- N" s0 x; [% K% `0 D& M2 @ w3 ^
/ p, z; `7 E. H. }" H
/ ` f. v# ?% F- C3 T
1 u5 M1 ]* x" d; q
# L+ O' N; K) z m7 I1 _% A
4 G+ h4 n( V4 ?9 J5 G 1 K; X! }, o5 @+ I8 Y2 D k8 q+ _
& ^8 c+ F5 v8 U6 l
( ]3 j9 f+ g0 l# }: ^. k! K 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 8 p' ]2 j: ?1 | m) q
- U) x5 r$ ?4 T: ]
1 Z8 \* @) b: c8 s# d 7 O$ l B: q6 R5 J. V3 p
$ I4 Y% S- F( b+ j0 I
) d; o! L5 W1 d8 B* I! s
& _5 ^" k5 E/ N* d, r/ O( _3 N! w
, X% ]* P, F0 p3 ] / r }+ k9 D7 ]5 t
7 |$ z4 Y l5 x
4 b1 ^1 v+ o, T4 X) P" _/ N+ W " \; M1 X, \1 R9 e2 o
$ m/ n; E* J! U5 R4 b+ c% n
2 y( a+ A1 r G. X* g
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 : I! C6 k- t+ ?4 r+ ~
; ? P0 `& `4 z. X" a6 M4 X : Q1 ^, [ E0 O% d
4 、利用 tomcat 提权进服务器 ) X j, O/ C; U4 B' ?2 X
- @- i1 h3 |) p' m* X2 ?/ E
3 L% @6 c& n# K4 d8 Z" @ 用 nessus 扫描目标 ip 发现如图 1 i" b1 M9 I3 O+ z. b5 a
9 z2 p5 D' o J6 }
8 L/ n; E: Q& e& y0 |6 m" S* B
+ _6 `' u0 A% I3 E4 w
/ W- \( w3 p. z, K) `. M5 P( J 2 ]( @$ `3 y4 q/ A; y y; C, e4 w
7 Y7 O; x# @) \% u4 H( H
6 Z6 t+ b5 S" d3 J% ?+ Y# R$ Q
; N' O$ j" I5 `- w9 h9 E: ]1 N% R( E
8 d- f$ `2 X( R& j9 S
: s6 y I/ C$ f3 K7 Y i" F 登录如图: 9 X( A$ J2 z$ q8 V' e6 r
{ @6 [, Y) r) n4 w: V
, U M- m8 B1 S5 I1 [! d' A$ M
) S, B# E, W# F6 V * v e n# W M) `2 u
! q0 K7 Q, F* P z6 m, F: B0 p
0 d# U) L& f S' T+ o) B! E
1 A! c" P! s+ w% l9 T
% M9 Z' b2 {3 T( B/ [) t
8 d7 `; z" c* K0 U' q" g
1 F3 o2 m7 N- S7 K3 |
找个上传的地方上传如图:
, ?, z) \" u2 c H3 M
* y" X: H. R. Q6 x/ X( {
* [/ C7 S0 _- O( k* G: t; J
' ]5 X( y D/ }# n/ h; D
- b5 I1 A$ ^' o8 S5 m- @' E* P5 s
- c" S# r( M! @# h2 U( P. T
{* n: H: B0 [ . G1 T! }5 Y% K G H$ ^% B. u4 B
- x' F8 P7 s4 P' a
) ^+ R. l& _3 E4 X
* t# R* ]3 K! X+ ?* `
然后就是同样执行命令提权,过程不在写了 8 G( T o. B8 m9 W' ^) K1 {9 `
, P$ |4 I" O) Z$ L5 \# H
7 m# B' @% B+ t5 L( c0 D9 } 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
/ Y2 B2 q0 |, K' P. `7 z) _
0 H" v1 U' f% n1 y: \ 1 K' U2 w5 S1 X6 I; Z
首先测试 ARP 嗅探如图 . c0 |0 D( U6 X) `4 x
7 R9 f" Z/ {: }% K' z
# m" S: g# I. |8 ~7 P0 o, i6 [
- F% {, J' o. j# p $ |) q U" ?6 @# D( e1 \; Y& l
+ z3 f/ h5 K2 Z8 n7 G
: C( K# ^0 x. U5 d1 ?% G& @/ ? 0 G6 t, k' O6 P' q8 ~1 j! f
2 o0 A: y) C" W, o4 i
4 m1 F$ N9 g$ n* Q& Q( x0 n/ ~
) K/ l. C/ p+ ]5 b) {& m; @$ }$ p) p 测试结果如下图: % }5 N* |. G, D& H" M3 W+ t
& d, q% |. Q2 x8 L" ?0 \9 r% f
$ i- b5 L+ x; y# ]( Q* b: J0 \
+ w* Y! V/ Z9 E# a+ _+ z# n
4 p! |( I t' w; G) r1 K5 ]' L 1 _! b8 J% h. ^7 E
" U/ ]* t5 k4 Q
' ]4 i5 U! @9 [8 ?: C* }9 }
" O" c2 D5 Y7 D8 L% p- Z" ~6 _ S$ G6 i
3 c0 f( r" a& {% C% G3 ^, E. J
. @2 ^, Z6 a3 h" t) p 哈哈嗅探到的东西少是因为这个域下才有几台机器 8 ]6 A! u8 R N% ?
' \% f" |7 ~6 S5 R K; R6 s
! |# ^# A$ X5 i) O2 d- r; ?
下面我们测试 DNS 欺骗,如图:
; C+ _2 Z' d( a
# d! b; }2 ?' n* c( Q0 Q+ e# p
% M, Z6 j8 H# D5 i1 v- W) B _0 ]$ f$ o' Q7 _8 r# }/ d" \8 r
" z5 \+ L$ T+ k
( a% y: J% c# p8 ~ ?1 d
+ S* c" S' y5 A4 H8 Z. r 4 f' v* F0 b( J4 D
* Y- ~: b" B* r W* E% Q
; L+ b" X2 `$ e" s7 i # V# c+ M6 g- g- D, `/ _. g
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 0 U; ~% q5 D6 R1 F
6 ~+ L; V! y+ u; G/ S5 R
: W- n" n& ?9 H. c7 Q
. F" N* w( t1 o$ E9 i
1 @$ `) M5 o0 {+ ~ ! P/ B& b4 C7 i& K+ {4 i
% m' F. n3 }3 t% o8 A/ m0 V" Z/ g ' e' i8 x6 s# z! E1 N& X
1 r j, p. `5 o! Q# W c! ]- v
2 r* u* j4 Y( @0 t' E* D
4 K2 k0 F4 Y1 ?0 j h/ L; q (注:欺骗这个过程由于我之前录制了教程,截图教程了) ! A% P. J, u; S% Z3 U/ e( e$ y% m
5 m* l1 Q u' I' [9 g. c . z8 l$ K/ P S% v1 T: u
6 、成功入侵交换机
% G8 |* ^1 R3 P
+ t% s4 v }* p ! `2 I7 ?0 }% T! [
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . X1 k$ ~% c3 Q+ X7 K4 C
5 M; h- Y4 r3 x7 ]/ L
% k( H2 `2 }3 w; p4 H 我们进服务器看看,插有福吧看着面熟吧
+ K8 Q7 n3 K! W: S9 W) r
4 ?5 | H; I$ r4 D
( y; C. i7 \" S& x. S
# d* l! U8 G' U! T) j2 K! h . |! V; w5 D7 C1 ?
+ ~) G; s7 A* ]9 e, n3 `! j: i
: {7 D! [5 k6 m% v# u
6 m) k8 { ~: y$ m' ~. y
0 Y. _0 @& d0 s" ^8 I3 o. G5 `
& C! T( Y6 ?5 E& ^) o
$ H7 R# f( V& q9 H* o3 j- ~ i" r 装了思科交换机管理系统,我们继续看,有两个 管理员 4 a J- U$ [6 ?. |# T |
1 }0 N" d- ]- o8 a- U) ]
) S2 i" K& X4 W* {
+ J3 P7 s0 Q) x! O+ ]+ o
" q8 V& q6 F+ F0 i/ c; {2 l5 D; p, N $ C, x8 g( l2 B" X" p
" o3 f7 c# `/ S( N
3 H( E* `7 L, S9 P 1 ?4 K0 n- X" @* C$ I2 `, `( z
! v' i& n @% t/ T" M7 u+ u
0 k% B) g) t* p0 @9 U; K7 I" }
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 4 _% F' G7 Y, Q; d9 a# O
5 S" G3 `- l# U+ x( B
+ Z* g+ E3 _' P
1 C6 p8 a& }4 e' Q+ \6 r
; h. {" A/ }3 l3 o2 s
& |) n# S" f0 u6 E5 ]4 k& E, M# Z
& n' p* _2 M. `# t
0 ]; c+ A Y/ X! t2 l1 }3 | ' c* _3 h% S0 v# M3 J. F
% ^! ~2 _) F! E, h& k
8 E' L+ Q: Q/ H2 a 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 9 Z+ v- \$ T& }: t- [. }5 G
% N/ y+ x7 C( |% Q0 A/ ?% Q, W
$ h/ I3 a6 N9 b5 c. D- A* I
' M2 h) N3 Y3 z+ K9 P c
k& O8 S7 m: L
6 }7 }3 m; J# L; a) z ^
7 P* M1 u" W% z3 ]" m. j) A( } 7 P6 F# p# H$ k& r
, J& x6 P c5 ~( m, g6 N
, j* W) o7 [ w k, t5 y4 i
0 S3 g }8 h2 X+ b3 Y
点 config ,必须写好对应的 communuity string 值,如图: ' F6 w0 s' {1 ?. t* n4 h$ _
( P* X+ E) `/ A# b8 y0 m7 Q% ^9 ^9 l & Z6 r# F9 @- c1 T0 o- t, l
0 Z* p+ L+ \+ y ' k' E6 T$ l4 M
# X a3 w+ N, s7 n* T5 [
6 _9 R9 q9 w9 U
2 Y) ]2 }" T! ^2 p/ e' E& e
# L$ R1 s K: b5 @
, c" y0 O/ s: ~8 i4 x) Z! P* D % \& M7 A& n$ u/ x' f
远程登录看看,如图: 6 [; C, Y' | z. @8 h+ j
7 g! ?" X4 V4 K; c
3 b3 f) [ Q8 I E& @- D
1 ~" e c5 ? ]: N$ u; I: Y 4 [/ H" r7 \: K7 P3 }/ r
( [; w: J# Z0 K; E5 R
9 P- x- O2 k- H6 r3 e. g; y$ o
1 ] n: a- T* i& L, `5 \ + g% J& w1 n& R( P! _
2 C* c! ]3 ^% y5 O6 M + A3 O! i+ m v) l# t. A, p
直接进入特权模式,以此类推搞了将近 70 台交换机如图: ' ~& \# p c, P2 \. G8 Q6 T
9 g" K/ B. I V2 ]7 ]
# x( ?7 U; G* n8 d8 @! v4 m
1 P# b. s8 P. F$ a" t W0 x
6 o: h$ W; q- J4 |
$ I7 K, O% K$ H
( O3 `/ |' M. c h+ J5 {
4 Q1 Z+ ?7 R* X
$ P- i7 q5 q4 R9 k1 S0 S
; `% S w0 a' D
4 C2 o* @! o- Y6 j
2 j1 _) O- W7 Q1 a1 r
$ S& i; Q1 d [& D3 U7 y) c/ C4 K
; @& x( r% c9 U5 P
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** 5 I) e5 p6 c( F
: x! ^, y( }% w7 ^" q
6 \4 p: |5 c; Y# @
j. Q: a- s4 T: Z. e% j' V1 X $ a# u k" ~! A- i) O, G
; S R; d% b* M' }% r# Y
+ \) [( Z, C% T / {1 \& m1 p; ` o- P
# W, s- K, b2 }6 J$ ^, d7 D
, ?& g! d) r: H3 ^# q" U 3 m# O/ P' R& W6 v, v) d$ e$ J' N+ w
确实可以读取配置文件的。
$ E/ J! E- [* W B* m6 S
; L4 W5 a% v) P- w0 p6 Z: s + l4 [& T4 }8 h* j+ e
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
2 s* y! P: C- q5 H$ R: j: P3 s& [6 O
% s. i5 J A7 l$ N 7 w8 a: b7 \! q
9 H4 A7 s$ [. ]8 l% L' Z' S ; l( s J1 {- Y7 C4 H9 q
, V W. V$ J2 m+ V7 i' c3 X
. P0 J8 l d- s0 G8 W
4 @" f% f. I- w' Z6 ~ % N- ~0 B* U. b) y' N
5 {7 [3 i7 J# E* o
9 n7 e" p. t) Y4 l
6 ?. H6 e, C% o. F: ?
$ H% S/ C6 k2 R& r9 R1 S
1 k! S) V* T* E- H. q 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
w- d$ `) U% I2 g& H6 I
9 h1 ?9 R1 H% ^) L2 j
4 q' ?' K0 T1 O f& l; b' e
6 d$ a+ L/ M* d j- J
/ X$ u+ ?) {, s 6 h( x4 q0 \) ]8 ?- h6 W5 D% ?4 L4 S2 J
5 x q% \4 S( \- t1 W8 [/ | 9 |8 K D- g# K: Q6 y
1 ~/ h+ K3 L- v6 i0 D7 n, H7 ~
# X7 I7 W5 Y9 _' l0 f3 a# V5 W , @0 l! [# D9 N& T- n: [. [
上图千兆交换机管理系统。
: g ?; w3 W( \6 e% e
2 c7 |2 Z! m8 l j. Q, `7 B 9 e' `* X) ]" f. C
7 、入侵山石网关防火墙 ; l. k. x2 K. t" i' i
0 B* M, M% y/ ^" l. }5 w; V
" S8 h( e3 v9 p' i' a 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
# ]2 t p2 j4 R9 n+ w' E
& N& t5 i& F" J D0 A* J: C
& \6 c# z9 j8 U8 j5 ]3 P6 n6 L + ?& Y9 ?4 |- G: L
4 Q" z, V e/ K2 H, m# O7 l0 U
! c' |( E" ~! w" @
' f% Q7 f& o7 ~1 }0 L
0 x0 d3 G( K4 M2 L( `# {6 r
7 P) T, w9 G @1 J* K
M% v/ W6 U' K- Y, T% j+ Q! a
: _+ J& I, k2 P" x
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ( [: b5 P/ x( E5 H5 n' h% K; ~
9 ]6 [2 `5 O0 S- j3 y3 L 9 C) U4 x2 ^7 r4 Z" ^) T& s3 o
9 |4 V3 E3 Q$ T 0 |. Z( Q! e7 v% _5 M% w3 Q
' j& u$ d% h( \/ b
4 ]7 n( [5 u/ z& O5 o; R% X 4 ]. p; b& D. J: R
) o0 F' o5 G0 H8 f, F
6 n* Z: n, r4 D 4 b$ Q' s' |* a2 a2 M7 V
然后登陆网关如图: ** 8 B, @2 N) P6 K5 H) } ^
# Y" Z& L2 S' C8 p c0 K; I4 F
, M+ g) O& k6 u/ q/ y' K
" F4 m, n( O9 t( W9 Z& _
+ I/ a9 z! z3 l2 Z8 u; v7 k 4 c3 W( ?! c" \5 x( ~: M
5 } u/ h5 ~; _5 r" X# _
( p* m. p# `* p% l2 V7 N# v+ H+ i
+ Z- z, w/ X8 [" X- r
0 }8 S s! p" w
# b6 r" Y. F1 k) N 2 r2 e( {- h W8 f& `) _
- l- I. e1 `3 _; y9 n$ C
- E! t. f6 a# }5 P8 Z3 D( u/ X
' J5 p4 _4 f; i6 J9 ^7 \
; O6 [3 O4 e. d0 O
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! **
2 O4 T6 L: Y- ?/ v/ S5 |
. }9 V* c8 [: h2 x; d
6 T! L& M& D. f6 ^+ d 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 N' O, x7 Y- ~7 l
7 [9 \) B) f$ E) m# d7 x ! J+ U) D2 Y" q: J
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
2 a; Q9 [* A/ ~7 U! D' x
- f+ R* M* P2 Q* ?, u
$ e7 |! u8 w6 b; F2 N
$ O. ]6 o/ r4 e) [) w9 {& z
5 T4 q$ Q4 t! u$ _5 A
5 F) |4 R, u/ s, R
( u i7 A) B- O. u9 P
! g1 }4 D! l! _$ ?) O. Q
0 d3 u3 l5 b1 s4 O* N
0 ^3 F4 M$ |) s6 K1 q6 J3 N : s% Y. M8 O: J, W1 X
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ( Q7 R* L( \- c. A0 L
' W6 U Q" D( X% z6 K9 z+ ^
1 H9 l: r- { i0 d: I
; T7 H6 ]) H* [* E
# C& U; |# q- u" W
. [ E' C2 D7 U$ F . Z* T: Y( N9 m/ j* r- ]
/ i Z2 w6 e0 F6 ~3 X. T u
, L6 w4 {' A- u+ R! C8 P$ G