1 z2 s/ h+ G( Z
/ q% E8 W' u4 y5 K' T( M
2 K+ @' i7 l' `# D' F: F; k
& V1 A! V, c3 o 1 、弱口令扫描提权进服务器 2 B' x9 Q0 H# t, A
, W, [. H8 U7 c6 c1 X$ b: z. z; b
/ s; }2 C2 |: [ 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : ( a4 U2 [+ P# q; H! M; \- l. j" s- q
& V: U: O# s- A $ b J5 N/ {- `# J3 P Q' l
" S9 V, b) R: J- R* B2 ^/ ?
7 j. }4 C4 f9 }, x! l3 P( S , T% N; k- Q$ h) _4 Q4 E
3 s0 ?7 U% c$ Q
3 \/ I4 ]/ ~+ a; O1 j. i * ~6 K& C5 m' J! R+ I
' G% z: I2 _ c7 v% [- H
l, P. `6 z% W' f2 `3 x- b% i & J0 P$ f/ a9 B; g: C- l4 p
, c2 V. a h% S$ I0 |+ r
& v3 R# }& ?$ X2 i2 F9 Q ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 + c8 ^* A9 `2 v/ y/ _
" m6 z& [) O5 T3 l# b
' H0 a! c, B+ N4 e. ?% ]
执行一下命令看看 3 M& B" ?' _7 z4 J* u9 }# t3 L* L* y
7 p- B/ A( o4 \6 ^' y : t! O: F M$ v
( E5 l2 } z4 r0 ? `) K
6 Q" ^3 v6 p) l5 t" ?& A3 O) r - |) I% k. ]( x; [+ ?; b
9 V& \2 F, Y/ d6 J - a2 Q- ~ ]0 p# U0 o3 D1 p 1 V; R6 N( e& X# R$ y
: D' L2 [; i# `5 S- @3 g
0 N6 w2 }1 N; M# O- D( z' X 开了 3389 ,直接加账号进去 3 v: H) J* z& W S0 }0 b9 p
( s+ U' g7 Y* k3 x: {4 B% O % n1 D0 {+ y$ `
1 G0 s5 s) y$ s. O0 l1 D6 G% ]
3 O |$ Q$ K+ A# Z- p0 `! B
! M7 l) P, ^, U( G& V
" ?6 Q# A5 `( g
) E. W- X1 t3 n _/ ` 5 [5 X* a0 s& w
0 {: A1 Y; j( W6 l. C2 K T
! l) \ Q. |0 P' \+ H/ T 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 % I! B% B* k+ f9 e
e |+ D9 W. M+ T9 x: P0 h
; ^% `3 f# b# D- G 8 K, q3 L/ [8 z, G6 u0 L
6 C% Z+ n0 Y( y F1 T/ }7 K
! e/ l. d6 m0 F( m
* M, Z9 c. Q0 A0 ]! i2 i * ~5 s+ H+ x" c+ R" ?% {2 |4 b/ }8 y
" _4 k& n1 L6 K( l% z
: ?3 k( a" O) q" s% a; P5 i. K9 ^
5 j* y* g4 n& n7 z$ ]6 \ 直接加个后门, 6 z E) P* X$ v% E0 U) o
$ c, P; y& l, ~8 X
& v/ e! H G" Q9 J) Q/ ^ `
. d! \, @" Z" w' U* g m
; F' M" L2 Q z( @; j$ D0 D) g
/ U9 V i6 s1 Z1 X% Y. N- I ?. ^
' i( O7 a1 t( n# ?. h! p6 T
/ K6 g& t# |! [" ~: p' p
8 f, v9 l# t! E7 ?5 V3 G, Z
5 K. D2 P2 ]9 m* _
: `7 m% A K5 Q+ M) R" o6 G 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ! c8 J _" b, D# g& w! K' H
( J% F5 ]0 {! R; C/ ?" g. M ) c' Y0 k6 d- f2 w
2 、域环境下渗透 搞定域内全部机器 - v7 a! m4 K% f+ `: h" l' w2 E
2 d) V) Y; p: W9 u) b7 w$ e
% Y' X( s/ ]3 O' i8 i; e' V 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 9 Z6 ~9 J4 n& M! J
: D9 C* p+ R/ ]$ k2 N
- k6 ]$ Z2 f1 b
# t6 m. ^, Q5 h1 y& e4 ^ ! W6 ?4 y* d. u# q8 N& f8 C 2 T2 q4 T9 t4 H) J
6 j( \2 h7 [3 c0 a% E! ]8 F$ p ( A: w0 n' M& ^2 C1 k3 ?
|; x) l" b7 Y& a# B7 w# r
$ K% @' G2 D# H2 D: V
v+ }; R, E# H, s: Z( l, n 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ( @* j, w/ H8 h! L& x* o ]
8 W! o6 g) V( W7 ~
* x- E8 C; c4 ?0 D/ c
, r" O2 Z- N" Q/ e3 N7 j$ w 0 }6 X4 @8 h$ U- l5 u
2 I" f( k$ y' o6 ?1 Q2 F- K7 ~
6 m; @7 c5 q& C" V# U
' E4 \' {0 B: s$ P1 e& P
& }- j9 }, x6 N$ @$ e
7 r2 m" d4 _8 c$ F' E 3 W. D: }2 |# I5 y
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: - n: f1 g) y. [3 g! V0 X) n/ ~$ U
% F0 p6 W7 }5 @
?4 \' m9 r/ |7 ~& s1 `$ a
# G0 }, x8 N8 a4 F1 V+ T7 r S 5 J5 O3 w* |0 ^2 g / M) a$ {9 P; Q& C J' |- v9 ^
) F" G; @9 V# Q$ M
# m# W$ Y: X; }; A, ?- j8 p. q ; _! e5 N+ v; B. n0 F# D, O- G9 R
: l% C# |% [0 m4 P5 e + ^: T7 h' i0 E" N/ J
利用 cluster 这个用户我们远程登录一下域服务器如图: # }' N9 B' c+ J2 R+ M6 q
2 k8 P* V4 i- Z# N Z
# z" z! F1 g% O5 N1 }4 A* M: S 4 i# H2 W. r5 g
- {- \/ S( N8 v. V7 W& I0 M4 z8 ^
) f% @: h5 k, A o! i" m3 J
+ Z! G3 K6 z8 j q
, r6 s! j9 o( a) Z * ^ B6 S% x. A+ S2 L
! j- C0 u: W) V- l( P : V8 q. C8 P1 w1 r( ^! Q8 t+ C
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: w* n9 r! a7 M' ^! E
0 J3 S' \ ] V/ W N/ v0 \
6 U% l0 E) v" ^8 s6 l9 B$ w
6 U& s5 R5 g! C" w
3 N, X( }7 ]; P6 P
. J4 X( H5 V/ P( F$ } a) k5 c* n
8 Q- Z T" K; |& }: \* g4 Q) T
$ X6 u0 d7 t; A* h0 `
3 H5 C, F o3 G j
# v# b: E& e5 [2 X
# k- |) _3 b# n8 q 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ! k. D' S! A* i
7 F4 Z) ?- l6 P' ^
& c7 G* w9 j, M) h9 I# s + }9 O |" d$ ` y! n
! x6 h# i3 Y1 u" p+ J1 S9 N8 v
5 \3 L% J; G# [9 y1 [# ]1 q+ o
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 5 C' p. i! b- P+ ^: \7 v8 ^
9 ]6 j. j+ l3 P9 c4 @! F1 p( P
+ V( ?' q/ S; C* f. @$ z blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: # \7 ?% ]; U" e W q
6 b j P9 Q. m6 n9 {; X
% ]# G1 n% o$ D: q6 D # [8 ^- l, _8 G4 J9 B# T- b5 c
f! [7 M7 i. Y r3 Q2 m
- a: H" O0 \) _
& {% m6 V! e: R$ Q# H4 I6 t8 I7 y 7 z ^- ~, y6 \
& T) K& g G7 [0 o7 K
7 t- s- f9 o9 T- ?
( G% M, y( t% ]5 m1 l0 V4 D 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 4 S: Z% X* z( | O; H$ D
; D/ y: ^- _, j n f# G4 x, e5 D
* R+ |0 K/ R( M1 B+ @ 0 z! }+ i g+ U0 A* N }) X0 Y
8 H+ E- }; n% r' b& ^3 O9 C6 a
" \" H" Q- n( E/ Z5 Z& E
. M+ k( R/ l5 b2 ?9 _- C 4 N4 H M+ n* a5 H
: H& ?- c. E& j5 z' S0 ~
$ T! U$ P; @ V( H9 A& n0 I; h
% g" X+ t, f+ x 利用 ms08067 成功溢出服务器,成功登录服务器 k% j9 ]0 n+ a( T2 T
1 N9 x' C! \( V, \; X7 }
/ b" P# b [( @4 ~- `0 P
. _# B% `! S* ^1 x # B6 O) H3 N! X$ T" _% }
6 b' ?5 M8 n4 ?% a4 |
1 x5 \5 _6 K( g! d+ x
0 @& s' N9 Y/ o# I# _4 \* K9 R
# @! d, D: H9 F
1 E, F( t% W0 w; D9 `& L& T
y5 u8 Z. Q- f/ f' m9 Y4 }/ ^
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen & I9 u0 U/ b& q" \! z- p
_% u7 c3 T2 |. I& L , k& _' c# i$ [6 _) f
这样两个域我们就全部拿下了。 - Q3 a$ r, z$ X4 ~' ~9 o
; F! r1 [0 T9 i) y* l3 n* \5 @( i
: ^! l% o3 e, t* f3 ]& S 3 、通过 oa 系统入侵 进服务器 9 y' r( _1 O$ G* `) {5 B2 u+ t
+ n' _8 x0 X3 z$ }+ V8 L
( G8 m3 c1 z* e1 X V
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 3 g# O% n7 h/ l
+ @/ u+ w7 o5 v$ c' n
; [' ]6 U& E- p " z0 M; x) l* w$ c6 t
* H+ O7 U& p% z 1 |, N0 A; Z/ G& L0 X% r
/ t! v" E; b3 t) ` D
9 d1 C* Y7 z `3 L4 c2 ? ) W# [* Y! n: ^( n9 u- q# {
4 c- S/ \: R* _
! F8 Y$ p9 Z* h e) Q1 n- c 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 " y, l9 E& \7 P- ]" [* A9 l, h
1 ^4 r5 y% T6 D ) ^1 e6 ^* N0 R* m# s0 G
7 j/ `/ |/ I% n% f- F( I ( Z- W7 k) i) E7 ^2 H0 B
h5 K9 c3 `) U9 b9 `; u, G3 @
4 d2 z# v+ W1 W% Y
9 [8 J$ b* d0 J + _% `; Q" r$ P" e, X7 ]8 B r9 x4 ~- G4 ?
+ \& V+ n+ C$ b! \; K
' }' `9 S5 k; o' K! K2 E
填写错误标记开扫结果如下 7 u! ? r2 `6 ~8 j% e0 M
) D+ j0 ?$ p0 J
, _* r! U# V# K7 v' T% t% m
8 z: Z+ J" G" L! M0 C' A6 r # {) e% y+ U! Z) J
6 n j% |) l% x7 \: v
# B/ }& `% u% ^* U; b/ e 7 C7 ]! ]4 A% L1 |+ S
9 h8 |( [$ D4 ]: l7 k) q4 J! I
1 N3 n, ^) _. D% J. X* t
, o X) k0 t1 \1 x' S# _ 下面我们进 OA + ^1 P+ h I, G, ?' G- K
. y) Y. Z: E& v& G2 q- Z7 Z3 y
- A9 \! N, a: L5 R$ |
- q9 L: ?/ K5 s & {7 y3 n' {/ K! ]1 [. b9 q
1 s& [( u# v( J1 n$ o- }" J' t1 }
) @2 L4 y+ M8 V
2 v: o# b' c# N! Y2 k. e3 @- z
. d7 {4 s2 S/ r" ]' b
5 R2 V4 W0 Y9 T" \2 b- K; G 7 |% K8 p/ }: W/ ]& s3 T+ `1 d2 m
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 1 T9 R+ G& S5 I _( N
9 _! \7 n# }4 w' f$ `4 ` & X% ` j; e6 h8 W4 L
' u R+ N' f& u
1 V- T! w8 o( D+ H& |! v& w3 k 0 R4 F) f- Z# ?6 r1 w; M
8 r2 |6 G- t7 r" Q
) O/ d6 B8 i2 l0 z' I# B % D0 D5 Q. s8 Z( V i+ K& k; J- X" x. U
; f7 C+ I5 @8 p. g* G5 F) w( v
. S% h* l& P& b# c( R4 m& K + z3 B- h, ]2 s8 G9 U. b( ]
. s4 `# c2 v1 N; L' L1 H
- `- t! P. }+ { ~/ a) b8 {3 u
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 4 v* @' E; h5 o5 P+ N( G$ n' g
^$ ~4 S1 ~/ p3 ~) z: y! }& X
" r0 G' h* |% n( Z" \* F 4 、利用 tomcat 提权进服务器 * d# L8 y0 L9 v) @: h, c
" p- ^3 R+ ?8 y
- I6 }# _& R' q$ s0 ]7 |2 U 用 nessus 扫描目标 ip 发现如图 ; w I9 k1 R, T
- T. m$ l. H8 Z
# ~( Y' F& ]' V K8 Y2 } . ]0 Y. U' f" G; x5 y
* N; t' f; Y) l! _
e S) A) x% s( y, D
6 j L" ^. g6 U% W/ W; u, F
2 d9 W# G$ s9 f3 [3 c1 E& x 7 g8 F- {& d% E5 i% H% l/ F4 L! }
8 e! t/ B0 z0 | 9 j( w. Y6 S+ e. M; @
登录如图: # P4 O6 Z6 B/ A. m
; ~- F, m) t; E* a. g
$ m+ e u* d7 H- F& ?
- |* m5 H9 u0 {5 M" N' w7 d
0 M/ Q( Z: {' Z5 d j7 m; M* j4 a0 j
. I* L$ N0 q% W" M5 h8 `
* ~/ e# K& H$ I 0 W9 S, o2 K4 p& p$ T
7 o2 x2 A$ |* S# s7 n l" K
& P7 `( M, l @1 N! |; U5 Q8 G
I2 T3 U0 B% G
找个上传的地方上传如图: * J& Q. n" R* f" m- K( x2 b" X
; [) M4 U% E5 V% @. r) c( D6 ]
; z3 x. I$ F4 v! s, T# ` 2 }& W9 q2 Z: J7 L$ d
' ^2 d$ Z9 `/ S" X0 x/ d& }
, E8 J; b5 j. `4 a
0 t( c6 v9 g4 f* h K' r7 p' a
v7 a9 M& v5 P9 D/ Z 9 @( h3 w- `/ q3 x
" x( t2 E2 I+ c2 A& h5 G
% j- l, D! ~' t
然后就是同样执行命令提权,过程不在写了 # p8 S; {7 z" `; ?) c
% Z, x# @$ o- y" F& w" ~) e
1 p+ K2 r4 \* N8 W) P' C' u 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 0 s3 ]$ l- x6 C9 a
9 v0 z9 e. l) K, K
/ ~* r. \. [0 x4 m8 h+ a: b" ?% w
首先测试 ARP 嗅探如图 0 y8 d2 M B& p" g6 \
# K" t: H( I: c% L/ Z / H' A j+ M, F- f
0 z H8 P- k# m& m3 R
1 c9 j7 Y2 `- o3 F3 G u/ i/ y
, w& C" |0 I$ M; c+ R7 P& c
. I: [ l" A+ E# Z5 y
, n3 C) r j3 }" F1 e 0 {5 w H2 i3 d$ X. ]
+ a$ a$ y, s9 g) p6 D
/ S6 G% ~* ?2 b7 `- B: j0 O
测试结果如下图: ( O4 j# f. P* G4 u
j5 M# w3 E( V; q+ k
8 E5 y6 V4 H. ^; I: K
1 C3 T) T) S6 \9 s. ~. U
1 \4 g4 f( Z6 L# v
( b) @2 ^( P0 l1 t+ m. N( Y
( ^- y3 O& J5 S7 y1 c" `8 T 4 n9 I% W2 r( i& Y, b
) J. G( ]1 }1 S8 {- m# X
. w. X9 F" v' W; _8 A- `# y8 ^
) U$ U/ D2 K6 f8 W3 o2 v' |. c
哈哈嗅探到的东西少是因为这个域下才有几台机器 & M' d0 i7 ~( b
/ m+ y p1 a% Q* a7 a
2 `: U P; G0 V- |4 M 下面我们测试 DNS 欺骗,如图: n2 T% r; v: B. V
- R# w5 @0 }6 u+ Q4 \3 _/ f
9 D) W8 l" H( P
5 p/ |& M7 \/ z& k3 b i2 M( \" r8 G: v& j* u
8 P* x+ o& |0 Q! s0 I
7 d! h2 o! j. ]1 s) B+ h
0 C" u2 {/ S( u( A/ G3 R 3 H- K# {: w9 E4 S P$ x
; T6 v' N: G' \2 V- U, n7 ~, b& d' O% [
5 G* H, t. ^% z* ?. [
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 7 [/ v; Q a% r1 I8 H
( @ x* E k9 s' I# F; _
0 H) G% d K( S3 s) v% l
6 H5 \: z) g G6 s; u9 E7 w 9 G4 T M+ U; k; E2 Y% ?, S
: h2 ~; X2 T% K/ w! P7 R
8 M9 H' s, X: K! l& |7 v7 l- \
" E+ i: p& s" b3 Z ^2 d8 T
9 L+ P1 v6 B0 @8 Y
% ]$ K8 U$ w/ X7 g/ a
1 ]4 f4 H$ a* P$ P. d) S' R (注:欺骗这个过程由于我之前录制了教程,截图教程了) + M5 I+ B+ U3 l& Y! D* t* J
& W1 d, \, k& c9 d 7 x% Z2 L- V" K/ ]) |, ^; I
6 、成功入侵交换机 0 j. b1 J" z I+ \3 ?9 \1 y7 K
2 S S2 V- {+ w& j# V , Z* v' L4 G/ Z0 `& N7 a
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 7 I* J' ?5 S( |5 \. E
9 s4 F0 t3 z" g2 f
$ z) X5 v- r2 \' d4 S" i0 R1 ^ 我们进服务器看看,插有福吧看着面熟吧 ' `3 |+ W+ v9 @) a/ p2 N# K
5 @/ R& ], l0 ]* W
1 I" A1 r" _. `* W
& B6 _9 [ b* B7 Z5 w) O d& j ( g0 H0 `4 s$ s. {7 w) ^
3 d6 B8 U# c* y9 x: w! V' z
2 F; l4 D$ G4 C" m% y( n
2 |* k. l- [: L3 V0 @
2 H9 l; A4 E) D, l0 l% E
- L- w/ q+ q2 f5 O; d: d
' F. k: o( v4 M) Z1 Y8 g% O
装了思科交换机管理系统,我们继续看,有两个 管理员 * {$ U( t- q3 _6 V% G* p* b3 u) Z
$ |" m) N1 ]6 g( E8 X( q
- S: g3 s9 y$ Z, W
% E% e, j& a& S4 k0 k, A & X! O/ b9 p6 T1 ^) s' c2 l 8 n6 H, L$ l# `/ W# t- {# E
! b9 F, W4 L9 F8 m. m' ~
; ~( _- B0 k" n- H7 _! C9 }! q+ K
& x) B5 [$ L4 C" f, B
2 J) o4 u( i( B3 ]$ @
9 t! N# p2 d# B) f9 [/ j 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 6 Q. M0 o' L- ^2 J* b' z
. [' m1 R5 J# F0 V: F/ A/ T
9 o. t) F ]* ~& s
5 I, d9 s) S& n/ R" w; X
( K8 u8 u: K% x: y! t) Z 5 Q& j! z9 a) H9 I6 `
/ z4 C3 u4 {9 P8 j P
0 M5 N# ~8 j6 l1 y X
1 u0 M0 u) R- K! C5 R
2 B T* R4 d7 |/ U" `5 ?
' Q4 ], E& H5 b' g
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: T* A& g* C4 ^' [$ i) Y
2 k2 C. b1 t" c( H/ U
6 z. \8 \: F& p- `9 |) V5 ^ % T9 i2 s9 g4 \2 }: e
+ B& u: `1 O. D- q2 D5 G* P : V' z5 T" q; L+ n% I; u, X% {
9 |# J9 y$ @# U6 C1 z/ _
) [ W7 n6 r; s7 c' g5 J0 s; N$ T $ U0 ^2 G/ n' k% {. {
# R+ w {' D+ d' `* V, K$ I3 G
' V: A/ r& Q& t 点 config ,必须写好对应的 communuity string 值,如图: 5 g! `1 B: r" \) P; x: H$ d
- a2 E" X; U6 o6 R
+ q1 K0 W+ ?3 c- Q4 d6 F) B! W
# G& I# J- a7 o' Z" q! K c# ~: V0 Q$ O 0 g s4 d0 h! E) f& b0 M
- v; p1 R0 f! k" F6 p
! T. }' d1 B& Y: S6 E
! a5 s; @$ [" i - L- P" D: l' r: Y) R7 H
8 A* r" o3 Z9 _) }" ]% G/ o5 @8 H
6 O e. K6 J: H# c9 d" K: J4 n8 x 远程登录看看,如图: # p9 [( K2 [3 S2 R) _& S
1 F b/ q: R0 R3 M5 v; N
# t! }/ \9 e% w) F( P ; P% I! X% A2 ^7 q7 X' e
( z7 j% V: M$ L* [# \+ h 6 A p0 G. Z" U( H J' E2 H" @
% j! ?. \2 w+ W$ O& V' T
9 _7 T }. b- A+ @) } 0 i* k5 p# g0 p3 Y
7 t+ A3 |1 F- r3 [7 ~! m 5 e) o. v' l- l. b3 [7 q: s
直接进入特权模式,以此类推搞了将近 70 台交换机如图: , S* w3 x- W6 y1 B6 \5 `% d
; q; ^9 u8 Q' W8 l* O, |/ d, e; p" o: \ 5 n- b9 V1 v, {7 n
) h3 r5 d }: e+ |8 z9 g! g 3 p6 S: d8 o* f# ~5 n
+ ]# u" J$ ~' A
0 L! X) [! j% G- f 3 e1 M3 P* g0 z# o+ f/ n! _! Q# a
; W& G5 ]( ~2 M/ @2 w( d
7 u& Q0 B) j/ j1 M
' D. n# Z2 h2 N# f6 t* a* t- w0 J - X( ^/ `4 L2 R5 y7 C
: c; s5 p8 z' ~9 z" A8 R4 Q0 K
% y2 m' }$ n% o9 R 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
x$ }- ?1 {: c* j' I. P' s7 |
# @& z' I; R0 s- h& B
0 U S7 B, u( t9 W0 I; v4 x
7 |9 m6 x. w9 W; q6 D 0 n& \) Z1 j0 a$ V( W $ K6 H$ d% @) p" C) {6 @
) K1 W- ]4 M* C( y& w& _ ? 1 y# u1 d: b( J* D
0 L/ ], t `0 y) F& h
% E; D8 N7 {, [ U0 I9 R0 }* {3 M
7 j/ B M7 o9 ?4 f$ }1 `
确实可以读取配置文件的。 o$ V+ B! W4 m$ h" {
4 W$ I8 M5 b( G$ h3 |7 {* Y$ P ( k9 Y) D0 ^' \5 a( P: d6 l
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 # v/ o. r' A6 W6 _9 W4 B
K1 r% [ W/ a( e- h" X8 R
& n, t$ A8 l) X. ~
$ ?! z0 S1 I6 r$ P" m4 ]/ Y * j' ^3 H8 n0 F6 @4 P& l) Z - P( L6 H! l$ ~" M; l5 v
; U' K' g" Z0 m Q% W, h9 H5 O$ s
6 {, o" E# }- I) i+ F
" K# Z, ? y: L' ^4 ^
& D$ O e" C9 S" @5 U/ K
% v1 Q- Q7 `3 z0 q1 S % P3 n* K- G; g9 Y
) ~2 l Z, {* }7 y7 `
) v+ o% b2 v& W. A# J3 @ 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 8 I/ R- b0 U4 b# t* X' \$ M: f
( s/ E3 X3 u: B# Q
# ~; G7 n5 J/ f) k o n. m' P
' W" G' ~( U5 @* R9 Z* p) r7 { : ~% U& ?" ^, F$ g5 g! I2 T L. K: G/ [, H
, ?9 V4 I9 D8 I% p) W* \
% m# a: g8 {7 S# a : B1 Q& g4 l+ k
+ y( k. D: h! x% f$ m( B- ~
7 S) ]6 K/ k4 J& a7 w
上图千兆交换机管理系统。 + U6 d. k; Q* j. I" M3 u+ t
j1 A5 n+ p) M ?; h# w; f 2 t2 V" F- m& ^9 ~
7 、入侵山石网关防火墙 l0 { N7 W7 y( H
' g5 S: h( ?3 P- h# a% s6 R, H7 x
- s) Z; j, b( f0 a: u8 c+ e; ^
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ' e9 {2 z# E! Q f# z
' B; L; l, c& y: R3 `% H
% C! Q6 T" a' Z K- A, m, U
& n: ] k x- M ^7 e' ]2 B# Q 3 \+ B+ h- s: N& l
) a) D! E0 c; W( v1 F2 U& i
* s- ~0 h G6 O" H& H' @% w! [
. R9 [) c9 i2 j+ A! W ( q1 i& u8 H; b! B8 g- @
- ^, u' h8 e& R4 L# ^1 e
6 H6 ^; F: N. r) D2 {+ K 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 1 p6 K7 @ B& i D- @
( p& _. ]0 T- ~1 ?1 Y9 ?, x
1 V8 ^& x8 p' O
* w, S# j& V/ w& F, d
+ u6 D5 m5 C( z" {& {# I
9 i2 Y9 Y$ S# y* S' q$ x* q
& U& u) b2 }6 X3 ?" O
) _) e. I% ?1 t4 P $ H/ {0 l3 L9 }* l9 Z) b) A/ H
; Q- e. F& U/ ]: f6 F% Z( ~
; b% H2 g0 F! \( X, ^
然后登陆网关如图: ** 3 q& E1 w' u3 J: I |
6 R5 h H+ i' h! N% M Z; \" d " H9 H3 v" q2 h1 T2 Z
. p8 ^2 e3 y' }" R/ e( j+ e( R 0 Q* ^, f! x; V# M0 C G & F* R$ z4 N. A J
4 a2 H a& ^8 C+ l
( H7 M; \4 w& u! T* N3 b b/ A9 @
0 y2 z- _& V: D. v3 C2 \9 J, M
! L* K$ e) |' p7 P* I" B- `
6 d0 j! B* @* E! ^7 a 1 W- }! i- y6 g, p( _7 q2 ?
4 z( R/ j+ z# m, S) B8 O. A3 |
9 w; t' O* Z2 F* a7 q4 _
, O+ l0 ^' ^7 g8 m/ s( i
5 l- y8 c4 d; r% y( g7 e" G
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 0 f9 m& @- O& t: o% n7 l
7 R8 T+ q9 J' l5 B
?( y9 s7 v& v
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 ; A) x* g' j w4 u+ t) n) m
& t, a2 S. l. w# W O
x3 M, Y& O! C! [ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 2 J& G3 N' Q% `7 w6 ~8 d+ S
( M- |0 Q) Q& I) }( a3 N$ ^) Q
/ K! R. L1 W. ? ! `! m' s/ B8 U& s, u
" g+ V$ j, b8 B: h D% u ]
! [' f: q5 w: I: G+ y1 y9 B# |, c
8 v0 c% E& i7 S" b 6 o* K4 |4 Z( C- |( F' w* L7 F) D
2 z6 L: `8 q4 F4 q. }& ^3 w+ P# h' F
- [; y2 E# w7 r, J9 _3 y2 r3 P
) y$ z5 t! @" c+ x9 U; `
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 $ Q% C! H3 I2 ~* f
( Z% W$ P& Z$ t9 X 1 r3 m6 y" N! Y! M$ ~
# {- A/ D4 o x1 O* z
: Z2 |" \: c& D8 J
* |$ g) E8 T; j - p2 i* [: d+ j$ V( t3 \% o
6 a6 |/ `/ ]; {9 L & c; {2 p. ]. Z: A" h E 
发表于 2018-10-20 20:19:10
收藏
支持
反对