|
$ [4 ^ s8 x" }9 n L/ W4 A2 P
: G/ a B# l9 G2 b q 0 J5 ]# i( [3 U3 @
( H- t; [) u* t/ l. z8 R, } 1、弱口令扫描提权进服务器 + t2 N9 Q' ]; d4 X. P
6 J3 M7 V5 W2 G1 P/ ^; W G
/ H) T# O' M# M+ H4 E. @! G
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ( f6 ~$ \5 q, ^9 `. q0 j4 l/ h
# x1 A# @% { c' y' @! T2 y
6 e: `' a% p$ n! ? : z% D/ j5 _1 [0 @9 s
' b. S5 ]% m/ R" x6 o/ v7 Z: o) N
: a6 u1 s) \( m
# w9 p" e8 C$ c1 ~. L
% j$ \4 @+ F; ~& U9 I7 m( j. J$ ^ z  . ]$ z! d$ u3 } d& ~: @) |
$ |0 _' |3 c" W+ y/ e8 E- i& L1 j# v
 # y3 U/ Y) u! |
I7 x5 S1 r% D3 q
3 [6 l9 {" l9 ]2 w ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
! s! Z6 G4 _5 [! C! j) d5 h4 Z / f5 u+ `/ Y' q2 Q. L' s
% s' }) \% E3 A
执行一下命令看看
+ w, }5 m# q0 U9 H9 n7 Y9 s
1 y6 L0 b- C" c0 C, d
* z% w- g& G) K; E! o# C' ]+ s  3 \ l( n/ x+ ~
" ]* ]) l$ X9 S, P/ [+ `7 t6 ?/ d$ \; J {" c
( H' p% r2 X( p+ @$ T v
: l' R$ w. ^8 ~1 y3 K
h( N6 c1 y& R3 O; U
/ x$ \- A7 Z6 B3 ]: B* |8 Z2 o5 _
开了3389 ,直接加账号进去
8 X- c2 ~* ?* P7 Q1 H o; n
( a0 n d" |* E% \6 ]5 L( j' e2 ^) N& V+ k7 C& ^
$ h& u. w8 o- \' U9 A5 \ O
$ Q5 x( Y% ~- F5 d
% K- {% H$ W' V
+ O3 u7 b! @( g3 x! L
$ ~9 u. m: b4 b) X' ^' F' S* w 
& O0 T- }: n$ W6 W n: i6 n, j , m( x" m y R% x% D7 R' A
+ b" q: c8 F9 Z 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 9 |- }2 p. L( Y) @0 m- R; P
, m8 H: ^$ j P
j! ^( K/ }; _& p
- }! w1 |9 G7 S5 ^! y3 l
1 {6 c5 N" k A2 N, R1 k
+ x. \( S" s; ~- z- a$ ]- X
5 z7 O4 e3 h) O T- u7 _* A: o2 q+ j: }; O5 v) S6 C
) k* ~2 `; L" M 9 D# ~ @! S1 i* z
' b* E ?; u8 H# K4 @ 直接加个后门,
1 J7 t7 x% A! q9 i8 X5 X3 K ! {9 x; j' V5 V' o( `8 H4 J2 ~+ f
6 ~2 I7 }8 o- M3 T- c 
0 p; k7 K6 S/ m" E 1 e9 m, |7 U8 {
( o* {$ `1 @- l# L. V
7 D% v3 n& e$ a4 S! F1 I2 z
# p/ f3 g/ B" e5 y, b' W+ k7 H0 V ( C0 |6 |( D: N6 R) P4 ~
1 ]; S$ e4 W6 O, U* x8 D9 w2 Y! L$ k
6 r3 { x0 \. V" K2 ~" O- b! x5 d 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 0 q8 P4 d( |* o( t' w; o" h
8 N8 m" L* o8 W1 O* ?/ H
' T: |( D8 z- l% w
2 、域环境下渗透搞定域内全部机器 8 `7 e( z" E: h" j7 e- R4 \7 V9 T
! p/ \2 d" Z' l# ?% u* f$ y- R- B: Z6 T9 A+ ?9 U% F. b
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
1 t: v/ H7 h1 |& O 7 S1 D6 C0 H, L) I$ ]! m
1 _* ]: t6 W: p) H) Z9 D$ t
8 ]1 K# K- q- j3 |
1 G/ l: a. G8 P' m8 {3 K8 z; T: T+ K
( X* G; F2 K3 A; S5 w
: O/ `4 w5 B8 y' z9 L/ ?' d4 a' A' i+ k: R
 ' w& Y6 d! d% O' ^# p- a
+ I0 R! ]* [/ x) B* Q
3 ]" z; J7 c% v: `3 k) V: F 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 , H/ b1 c: \/ R% K- u7 b
! ]2 F0 V3 _- [! d0 f6 J0 e
6 b( F3 h5 G5 K" p
) \6 a; q' e- N! W, [ g0 F
; K! o0 u L/ m9 S- ]# X, P5 t, l # j: l4 x7 y) p. |
* M) H i2 G% M& E* W
1 \' i; ]* W3 f$ a, o  : i; k, u7 D5 c* r L, E1 S1 d! t o
2 R* f9 b6 Z4 W. r5 M
" N. Y# @% [+ ]0 }) k# d) w
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
/ {. G$ n2 F' W0 l' {6 d 4 f4 I7 I9 e& S. g& }* Y
9 k" G9 y7 b6 Z
+ f, ^, E/ i, ?; J+ m
0 G; b( q, i6 ~3 A& _+ J M2 @+ d
+ J, Z5 k. W) e& m- t: ~
8 p2 k! \& A& R. B
, ~7 a7 d/ B- L 
' ~/ T+ U9 \4 D7 x V' Z+ A 9 j, S' g. c" x: K# l! Q
8 S% D" Y" V6 K3 [+ X- s
利用cluster 这个用户我们远程登录一下域服务器如图:
. {- X: N) S. l
5 r' A4 R' y, w- s" f9 c2 Q9 w; e" P0 l+ j
7 @: Y1 |; b9 j9 q! n
6 k4 _+ b5 P7 O5 W z( f9 o$ J % P' C! [6 H3 @7 {* Q& N
" r& w( L: N7 }
, H/ e; ^% J4 F& K  % D$ u* m. D: {
! _$ E2 e- ]& V0 x
; J; ~6 ^9 Y5 A: q
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: * G; F& h& W1 F# ]
& N% P. b, p) O2 Z. {- Z" B
3 S2 \3 H/ t/ ~
; B9 ^: b) t6 y
8 u. B1 m$ \8 u, S- `$ \# O. A8 ] % f$ Z* v. e+ D% [
+ z4 `1 H; ?, b1 Q Q8 Z
! { {0 e' t7 p 
5 C5 V& {0 D& M3 @3 a 7 J! L3 G: |' s+ K K# ^; ~# `
1 A& N( b' b4 y5 L$ r8 r8 ? 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
5 D0 E, k5 u) e' S 5 e+ e0 U, N! h
7 U6 O r( _3 m  3 J$ Q+ g% a0 ^, P
& m3 l- H0 o% {1 g& F1 e
; g5 T' w: P. f! q+ I
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 7 P | A3 [- I: C7 A
' [% [/ s+ g5 V x# b8 M2 j |; f0 F
9 a# S) b0 h0 e9 T: | blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
1 u5 F/ e" t8 W+ Z, ~: h8 J6 K- R ) t( ?, v/ t2 f3 X, }
- R7 B+ U: V6 v9 s% e# W
9 S: ?6 ?6 @8 J0 t6 b; Z) w0 ^
- |' }, N( |1 Q( R; ]; J, E3 h
% s* Y6 w1 h+ w/ H
0 x! M* o* D& H) B- \' M/ ~# B
3 T' s& F+ }4 h& N6 A' a% r1 Q 
5 L8 p9 h; A! R7 s
3 y% {' [" M8 s4 t: J) @
3 s5 J* |: Z( G3 k( ]( M 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 : k$ O: @/ V% R9 [4 S
1 Q. ` s+ @$ I' D: o6 |5 Z& `
8 F0 {/ w! v" o% m " r4 ~* ]7 z' ?9 T1 P( ~& P
3 x3 ?$ L: ?4 s" o d. v' k
$ p/ s" O, f9 Y% n# I7 t: N; ^ ! H/ _" ?3 F9 N% [. ?( b3 S% o
) P, n: U1 Z2 T. y R8 h  ( W: h4 y9 K$ X, P; a* n* i( S1 G
' {# _6 b# ^0 v' M0 X% k7 {- e4 b* x( g8 {( U3 @
利用ms08067 成功溢出服务器,成功登录服务器 ( m! g/ F9 M2 L5 ?' |9 m; @9 V3 O
- G' L; C0 x8 T1 e1 S- W
; U' p/ p$ ~7 z, d5 f- S
9 P2 l4 \6 h" M* Z. C1 v9 o5 w
" C% y' Y* Y1 `. O i+ `
& U u- D" `( q
# s$ D5 x3 B* n' g
+ l+ U3 ]# O6 U, C  % i( J* W( l1 v; C q9 q
" ]6 @# v3 _+ V# e \/ _9 D# Y7 k! A' L9 T% | E
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 0 b8 O8 g4 R* C: U: H( Y
, [( z" J7 J8 ]- f H
2 \3 M w, v- u* s) Z7 b' W/ ?, c- B* \
这样两个域我们就全部拿下了。
0 Q! V/ i7 W6 e: b + R( f, |8 x" z
+ o9 U! c( `. T8 z
3 、通过oa 系统入侵进服务器 - s' T! n* m* o
) f# o8 K4 x; X- z9 j+ M, Y7 U5 D' q; @$ a
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 7 j& i: i( R9 V3 S& o
; |# ^2 S) u% D2 X) [! }' K. O
3 b+ t! @! G* w6 g , }# W" C: ]( b+ a- ^9 G& H
, O( o" N6 u; x
, D5 \" n( a' l2 M5 j
7 T3 S; ?' ~$ ^9 x" V8 x+ a( m% b
A8 C4 C0 `& E8 X. y+ D - `) L0 {0 X" ~9 g, R
s) {4 t: j0 s5 P4 o2 }* h5 h1 x
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
! r5 D# ]4 d+ I9 I, A ' o& p" H) G. ]
& K$ r& J7 ]4 ^" M& x
g1 N. e( @- x6 c9 `! P
" B" j, }7 e0 z3 z
, c( T1 L$ U H, u# W
! i* c! w+ f; U* p
" E8 X4 a5 `. P9 \9 X& Q' V4 Y( Q 
: P' S# ^" O/ B
8 |- k0 o3 p+ B& f' L$ C
, N8 a. b+ q2 t. r5 B0 L7 S2 x a& @ 填写错误标记开扫结果如下 0 h& F- X( |, n* l8 @
1 ]0 [; Q8 D! ~/ o7 `6 O
+ w" W/ C9 j4 m& q
! U3 W& ] K' V
: ]- R( K# t5 d) u% r4 h$ \* n
# s6 ^- t5 I7 b! E4 E; r
3 |% C; ~& B* W( Q
, |( ~8 f2 ?0 D 
( P$ `( W1 N+ z- Y2 T# T) N% I
. k6 |, N5 u+ ~- z- p; G3 z4 A# K/ C, V( u
下面我们进OA
$ M" L. [- e/ n0 ]) a+ ]- l! e ! F' |7 S, z; T
9 L+ T, k/ o- H8 @ 7 v* K# }. h( h% v6 m: V+ l
) R; V: Y" B4 ^5 W; P
/ u3 J: V4 x6 B8 s+ U
- F Q" f1 y2 L4 H" p
5 O1 `) c, d5 V! N$ D) D
 * ?& x9 O- s J: `
) w% W3 A( A+ Y0 y. r p& Z8 e% I
' o& Z; k2 o# x( f5 r& i 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 % t3 ]2 P3 I% z+ S
6 y ~+ |( \0 C# K, u }- V- T; ?( C$ S4 j) x) ]
! o7 V, x* |, x8 y" D( H) ~
) K$ s9 Z8 k1 t3 O( v3 P, r # G2 i8 i; r; @
9 e7 e6 @' ?2 [5 W/ p8 c6 A
0 U) U' U$ S) m/ K' c& |5 Q
 9 K# F q+ a5 i. M1 Z
K4 X/ x% i' W* Z, ?2 _( U* O9 f3 u2 G$ z; M* y# \ P
 " o+ ?. g1 K: g# f" c. e: N1 d
3 u O' }& m- e7 [
! d, u; ^( o% V6 \1 Q 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
3 m. f) @0 D7 q1 { 8 \" C0 ^. ` {5 Y- n! i7 a. n
+ ?- v2 l8 ~# V8 l 4 、利用tomcat 提权进服务器 5 g2 f. O9 n8 C4 ^& L# ]
' ]/ E. |- @6 Y! d! t- C( n4 T# J% Z; y6 K0 h u/ H4 Z1 G
用nessus 扫描目标ip 发现如图 1 k5 D( z e$ A* ?
6 S4 \: U: J3 |& }
# M) l$ f' K# t: S8 F, N" f1 ?
9 w9 X' }5 F% H0 q
n% D# F. V1 j# I% z& g ) a: P5 @3 s- d: D4 V
. b7 }0 r! Q6 J% t {0 [1 o
' i/ M# s5 d5 T$ J: y( Q 
/ _, {# C4 ]6 T& l8 C1 ?% N % Q& u) a/ m9 ^
0 S3 n0 ~8 P1 O* z' H- g" p 登录如图:
/ K# O; ?3 Z+ t, Y- I& z ! A% g! t1 l' |# x6 s$ Y X
7 a5 F" N: t4 s* w; Y- C/ b
4 r0 t/ h+ A, b1 e
/ w% |, q! f" P7 R5 T2 Q
! g# ]8 j5 M% n% u- T' H
, h$ H* v- ~8 a( e! a) L, I1 r% D" f
& |3 _- K, O! s4 W' [* S% w - H& F* f- t- H
! H! d: p( s: z' X A2 s4 R: p+ B7 D
找个上传的地方上传如图: ! {, S0 z2 x% }! Y$ A
+ r! y T3 c0 J7 B( d/ f8 u$ c
B6 t& p" p5 B6 G0 E
! C* z& R5 ~& Z! \
" m7 P! u" j7 R( z& b* G
7 R! m& u2 A! D' e7 o; M 0 \- V) A5 i8 v I
3 N* K1 E6 Z; J+ f5 ]) W  : v3 ?8 [7 G# j
+ |" M3 J: q) e) c- a' Q, P7 j+ l4 y, D* b9 n' U( W; o
然后就是同样执行命令提权,过程不在写了
* \! h/ B8 A% d- d/ n- R
. ~! |7 }! s" S- c# e$ w8 O2 L. R, T% \. f: {) `
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 1 @# n! l9 }; l$ R" N* A! @
1 {: U5 k1 ~: T* t$ d, a4 f; Y
: G V7 T. \- o" o% j9 f' B 首先测试ARP 嗅探如图
" p$ p9 n5 h$ a$ m
) ?+ X9 c$ S4 C5 M/ U
* f. y; X, G+ N8 N& R0 B 1 \! B1 N' p _' z; c
* w& g5 y, r* \, R8 }; @
. y# o! l$ Y' Z2 e/ L" `+ ]1 w. F* a% m
6 S# r* {9 Z ?3 l# G( ]
, a9 m3 m4 T; |6 _; o4 J2 Z  ' j. E# W1 A! k4 g/ D" A) p
4 S# a% y3 J8 H( l0 z+ C' J
; Y7 u5 d; o: B4 C1 K# c
测试结果如下图:
. {. j$ N9 F& @0 D) ~0 g: V) E
G; O9 p, n3 H" E- t% J# d& k. Y1 ?! ~6 O
0 j& m$ Q% L! B
' I+ f5 @) ?4 d
8 T! \1 ?9 I2 `0 M# l3 l7 t # P, I" M) g/ u% W
: r& F7 z- |( {. h% X 
9 ^8 w- m/ \3 q
0 ]5 [# X& H' o7 a
& }' }" Y9 f. V: m# p 哈哈嗅探到的东西少是因为这个域下才有几台机器 ; H! ~% ^; F# H; C# V
: C* m" {8 r+ U* L8 _. N' W
6 A% z Q6 G6 U( X7 Z! V; _/ t
下面我们测试DNS欺骗,如图:
* Y6 g" H3 Q; K, n0 U
! ~( }: W D( F7 G$ S" o! |
, m: i5 i; L, d3 m" b9 `
m$ W$ H0 L R) T
: s3 `* i7 {7 i6 R' c f; o7 h5 s/ Y) P, ~) K7 g$ C1 Y
4 o7 j* D# d1 x' Q7 _8 A6 _% P3 m E/ l/ x9 F" V$ x2 z- X: @/ o. W0 O
/ w& M7 D/ R6 R ; j% |- I2 F5 e' L4 ^1 o
" U5 r* s1 N7 I& s: o/ e( K
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
: M- J [: L- T! P. T
- h) W' P) J) w$ J3 B
* E4 P$ b5 @0 T( V1 h$ X
" b* u: U8 a5 S) k5 I
' d. O$ [, i5 {- v1 Y, ?2 ~* E
1 o# o1 a' h& ?2 [) d) L$ c ) P2 x. Z1 T" c8 J- q
1 n8 S% Y% g; W0 {( X 
: b& X2 ~) ~" o3 k; m* H1 C
Z% } K( D3 a; q! g( s, [4 l& S' ?5 O( X( Z! [' s
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ! \% A! r# Y& y/ ]5 h. G. A- H
3 g* U9 ~- Q+ J7 J7 z5 N. u* w2 B7 i4 R% S, V, {. i, B1 }
6 、成功入侵交换机 1 B, q1 @' ^% o4 {4 Y
; p& S! ~% z$ A4 Y5 s
; V, j* g; y, y, l! X. Z 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 6 ?2 N/ Z9 G$ c3 {( a
! {) _% s# m! x9 t! q E; W" P9 d8 l# u. c4 z, m6 Q8 w( b
我们进服务器看看,插有福吧看着面熟吧
/ F U( Y0 b5 a+ X9 ]
( ~; h. z1 S# \2 s3 R3 E% d! @
' { y$ D* g7 {- k 5 A) M* v: F2 P2 Q W3 w
3 U5 W ~$ d! k9 v - m4 d9 b4 I% [8 l8 R) _
2 Z8 h) N A# t' J
+ P# a8 E6 N s8 I0 Q! y  0 P5 o2 V0 ?9 J6 j; A$ [8 [/ Z
) j# v" m+ k& `8 m
% J. N- F6 _6 ?$ l3 P# x6 k
装了思科交换机管理系统,我们继续看,有两个 管理员
}# r/ ~# t6 m$ b0 D& A
1 P+ @, ~: g" @0 s) b
8 a8 Y, ]5 Z( A' U; Y ; A( g5 ?/ C9 {0 H3 @; @" K R
6 z( Q: |' W1 J ; w' c4 ^/ a- M6 y) x% }/ u
3 i$ h6 e! X9 K- s# R L: F; W' v9 m' s& }( \" w* s0 }
 % i) j* y! w8 C, W$ i% Z
& e# ~, w5 D2 ]
# ]3 @. `1 j# b4 R8 K
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; ?4 q: ^8 F6 m+ \, _
1 @5 f! r( M) E! d; w0 b
) a5 K/ e7 X! a- F
: d# t1 ~ \7 h$ g
% A% W) F5 [& s2 }! | 3 ]6 q) R6 x; C$ f
1 M3 h" H3 u7 @9 v& N) [8 ?" i
' V! C( Z0 b9 Y+ O  3 E0 I6 a' @' f6 R
D8 ^5 K; {* b
. c0 z! v; W9 k3 z) P, n# d
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
; `. x" a% q1 I+ w# F0 M; R6 ^
7 W1 [4 @+ ~* L5 c" ?/ |6 w& c: c4 j4 M* a4 B
, U* [. N% j* N7 A( V
; O/ g: B* F. p3 ^8 C # c' S9 @6 R/ i7 r: Y4 J
+ {2 J; H3 L3 v3 C5 d
+ j2 \1 F `8 G: I- v: V% w4 ] 
# G: W# @2 y) `" \% ^ 9 A7 z9 `, a, i5 `/ u
' I& k$ r5 G0 M7 C' D; m h0 { 点config ,必须写好对应的communuity string 值,如图:
* T$ }+ k9 ~; S6 F' i $ \' u. w, T& G/ b& Z
& G& }9 n5 K1 @/ y9 d( [# o& e5 p
* k4 T' Y0 Y) O3 `
/ G+ s5 w! f; M . }6 i: Q, B9 G
1 o( w+ X. l! W" \
# j9 W) H5 l1 J% H1 f  / \: w. U+ g/ _0 Z4 |' f
2 P3 B9 V+ z P. h3 w4 z$ y7 r
7 H9 I) H9 T0 e* x3 N! |0 Y. X 远程登录看看,如图: 6 @0 i0 @0 }" l9 m
c$ E1 N% J5 J3 a
\& N' ~2 z0 M( ]8 y
) @; I9 y1 s) w+ s
/ ^* f: O4 l( j1 A ?: l
3 O* x( V9 ~0 ]( r8 D& |/ r
0 U; M' h m. g% V$ l% n
! q" @# u' X; `6 n 
9 `! F9 I& l A% ]9 m0 L 6 J# U+ Y r3 R6 ^! \+ w
4 ^: c% @' A* X
直接进入特权模式,以此类推搞了将近70 台交换机如图:
7 r0 ]+ e/ C7 B, A: U+ k2 e+ Y 7 y. b6 [9 C# l" t
4 R! S Z/ F, k
* f ^% P+ h- A1 F) s
2 |) D# v. Y. c) P, }2 Z7 \ 0 F( I! [% X: V/ i# l1 Q0 t+ e$ b
1 v5 S% c7 K5 ?+ i1 k, ?9 h
2 a) d1 i6 _8 [9 t! w! e5 t2 c
7 u: n- A+ i+ p& s
4 l: u! K1 y" M: R& w; s. {
3 A: j3 }* L: Y9 c$ y5 N5 l 
) N9 r1 z( w& [; j
* z. q# C' R* w _* M6 X3 k1 H8 Q/ m8 L. X
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 1 O" h5 G; B/ ~0 T Y" } c9 W
. ~% S& B8 j% b8 z! ~' C/ Y/ p1 x' b9 z, N9 }; m- W
- i2 q# f' ?. S c( M: q6 j
, U9 |3 N$ ]2 t/ F
$ Q5 Q) P& s( |+ m8 N
6 \/ P5 X& r) M |. ^& t4 W# }- G7 ?- [$ d5 W3 S& M' g) h9 U
1 C4 L' N( R; b9 r" @1 S- B; [
D( n# Z9 g6 X3 M: I, `7 y( b& G0 ~8 l
确实可以读取配置文件的。
1 m$ M. ], c; h- k2 q 8 ?& }7 \' O/ H5 J
4 T% j1 f9 X6 W 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
4 S7 [1 o$ t. R! l2 c2 h0 U9 ? 5 j1 B- B" ?, x- T: o' m, E
/ Y' ? a; R4 H0 u
& A* D3 B/ \" Y6 A* y
/ i, h0 q5 N J* }% I2 e( @
8 t3 B' j- g# q5 s* w/ U- K; J( Q
r0 \. I; \! u% s* I# J; v/ o( N" h o3 O% `5 L3 Z
 6 h' L8 k8 Y. B: f* J# ?1 U
7 |$ t' n8 R! t! b" \; w4 ]/ B2 c
9 b7 T7 U. Z1 h* I
 * [% o* X' }: A3 `
, X; q% x5 Z: ]
$ r2 S, B0 Y. X0 L2 t, E. o6 ?
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
( P3 x0 W0 ?" {" F- ^' c" s
5 D) ^4 j5 z/ T& a: u8 i- B
9 ?! C0 Z: l& o' C5 ?8 Z: G; K1 l ) a/ D* J0 E! a2 C# `/ w
6 p3 C* J( ?5 x% b& F
7 w; w9 B a$ ]; v; j. C
) j- @% U. J, E) O2 B3 S
: B; z4 O! q h# R 
; P* e$ C c" h0 Y: Q
`3 y- F# I6 D7 K( M
, u5 p; V) l# |' W 上图千兆交换机管理系统。 2 ]- D, @0 ?% B
. O; W; j; g* p4 u
7 E5 r( f* h( h% ~6 m, U/ T 7 、入侵山石网关防火墙 9 }1 r' a* j7 Q3 J7 o1 U
( e3 c; W# O9 p$ @
: J! n% n6 T0 {2 U* P0 f4 H 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; X4 @7 m5 J$ n5 a+ F: \
+ V7 _9 B; I$ s" X/ H
" M i6 H" M- }6 i; W! M7 j$ K* U
# s, m- D; M' }7 ~0 `+ O
/ [# O' O o" m3 s6 u
3 G8 Z2 B2 G+ L, r9 Y" P" h. p0 h& P
' _& F3 b8 v2 {6 a3 r( l% m' r! r2 a3 g( m
. P ?4 {6 j( n
P9 ~, Q; c/ m/ n# \5 W% `+ U
+ a9 X. c( o6 \6 \8 S 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
' o- x+ g) G, K
- B v) C/ a8 {/ Z! q6 a7 b* j0 C# `+ p/ n7 e" ~! ~% |# X. A6 c9 B( p
; N: X) \' Y8 |" u& H% q
! C4 o( j& j+ i" G4 e4 @- p2 b, _
3 ^ B8 n: `8 q; X1 H
5 a4 F1 j# u$ {( e1 Q5 i* P; q4 r- I y$ M
 % \ ], Y5 \5 U$ T
( ]* O, S+ R. ]9 b! \
: y4 C/ T `4 D: f1 f
然后登陆网关如图:**
" k. C% [2 F7 [1 i$ h; K
9 k; t% L! W1 {7 k) r8 b' R0 V0 A+ g, ?5 R: W* q/ n
/ B0 D) c( N5 d" v" A5 Z! ~# w
: @# s1 M) p% M7 \# D8 b
& O K$ I d( g* u- p0 y- W7 v
# [' u; D0 G6 U; ]& n- e _5 c' p- Y! F5 z1 G; G8 V
 : z ?5 }* O% c' Z
6 p. J# r) K$ e
' p- ]: L9 N( `3 j1 [4 x5 a& b 9 s/ @3 \ v" c3 O
2 p; G4 H' L, M, s) N, ~ i
2 K9 f7 u5 @! }/ \; ?& a ! J! v+ b" K+ r: L% N/ ?
. P3 ^4 K& Y9 d, O# J5 e- b 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** # C: Q& {: m+ b6 X4 X
7 Y1 }# k0 y- a. Y! ^ _/ D3 S" [* d* x) c5 h
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
% c, e1 w* x/ u, g! u- b: Z
1 h: p, `8 E# X$ Y* o0 s* H' D) z1 X! Q3 i, \0 t
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
) O% e% _4 _$ p+ o
|$ ?* [& r$ F* ^
A' U8 W# y! [9 @" w
3 J1 T Q. p9 k5 B% c5 J, f$ @2 [$ D
5 ]6 b9 P' c, C& I5 O
. [5 k, N- m0 }" V+ M" \
( d' X9 h) H4 Z* c# K) J
3 j) k, m# G) H  6 L- Q) S, v% j# @! L+ h
% t+ ^1 y! I" G \ b0 s4 `3 ]$ |
, x) `6 @1 O3 e4 t5 A1 Q 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
2 y0 [. B1 z: L$ T, T% `4 B
( a( m$ m' I5 G% V) U9 h8 C: L; ^( ~$ s2 G, Z6 J" @
& X) K) r! K, t+ L8 S0 @8 t5 ]
# X! K2 B, _1 M' o2 j1 R) |. T9 W2 U2 z9 U9 g8 m9 t% ^
* x6 @# x# N, _
( Z! l; E n; u. T$ k/ b7 U% j& F0 V
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对