5 @( ?: A# j6 Y
& h4 @7 Y- l' d3 d; W
" z3 [$ g- _( }9 D* B
' w3 [. C8 R! l+ {! i8 l
1 、弱口令扫描提权进服务器
- i0 k2 S0 c! G3 q
+ p) ]9 x7 H+ l, U6 I3 N2 a 9 G( p9 R5 ^( n% V, l& j* I
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : 2 \3 z; w# ]9 }; Y8 s
& _3 j" V: M5 y; i, k8 X
. W9 G' H# d# I& V! r 0 d2 q! ]) {+ e; ~* [
" D' Q& ~1 p& n) V# Z1 O
7 p* O( z8 D! t& b2 r: k
- G" Q/ a5 [- V
6 [5 s0 F# }% x7 r* G( D4 U e4 y0 ^8 }4 W, ^. g) p
# W$ h( `/ d+ @5 F, [/ z5 i# e: L/ i
# p$ J- b( C6 {4 X9 S/ V ' h# M5 ?6 d: F
" O& W; I1 k. S/ \: Q T) y " s5 W% H' n4 ?, d* i
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
$ I3 @+ ~6 q4 n9 k( Z2 J3 l
' }4 a1 s: k; D. I4 o
: I/ y3 B, u) i3 r 执行一下命令看看 + i6 b) l2 x) u* x: ` T
. p* _) d# p$ l% S& V % Y* J7 M8 |6 n' @, q' A
' J- f; I# d% g+ ^
$ m4 e, @6 t# e
8 h0 Z+ \7 g3 L0 Q( u
6 o l1 ?* D2 M5 X- @' [/ K 3 g( W' J/ i, \
4 A1 ]$ T; U9 h+ W$ c
5 Y+ k, k4 \- n! T - W$ x8 }0 n N' N# O" t0 d, S
开了 3389 ,直接加账号进去 5 O! p5 D7 i) N9 ~
9 ?& I: F- Q I
8 C+ C8 o0 b# |" s, c
7 A$ l0 p4 @* F0 ]* G& L, E
Y/ d2 Q; n \) X
+ ]6 K% Z' |( B0 |
$ r+ d( Q% I4 z/ D% W
! [" W- I: u6 {: M. r6 }- `) p7 ]
# z6 @( S( |. l* T% L+ l6 ^* \* d
4 s; l( c& r5 ~( J
! U2 V( X+ o% S 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
( M/ p' A, E& m2 k8 T1 j$ D
" N& i* ^) V$ @# F- g
- H7 ~% `1 l3 m3 v8 [! k
0 I. L. {1 t3 |5 B
/ u: c9 x! _2 g' h! T% H
# l1 j: j M! s# z5 L+ f- T0 }
9 _8 R1 t" d) Z+ I" Q
* X( ]4 n" v4 M4 t8 i8 _ 0 M! j+ Z+ l/ H, G4 e' P
' C- }! @/ ~2 T: W! n! \5 a) t
' J* i/ U, d( A4 M0 o! J3 r* x 直接加个后门, ) F$ k7 e+ R+ R1 r. X
! b( ]( ?. P: k4 b: P3 N
7 N7 E1 ?- K& {2 ?+ n ! N" S$ D0 ]) u, G/ S
8 F& D, k2 I. y/ t 0 F a0 C5 i* I9 ?& e" c& g
% f% F7 F0 M( e% |/ m
; v8 _5 c6 e! @$ b1 f 4 M& v* E+ _/ Y1 Z
6 T+ q" S, c* V4 q4 a9 T
6 Y: O9 w- `# P6 h+ v 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
- g4 f6 n+ p8 T% `; `
0 {& s$ `+ U6 c6 M1 w: r
0 v1 S+ R! t2 `9 [
2 、域环境下渗透 搞定域内全部机器
3 _7 B& K3 T( g l! k9 v% W
) @4 g: W! X% H0 Q* x& y
# ~' o0 _3 w! K2 i# {$ s. @
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 2 [8 Q9 K* D5 h1 d7 _& T b' Z
$ p6 C. m u6 m 8 M6 [8 N: X1 K: E6 M: R7 H2 k6 l
# [+ Q, `5 P: i( h+ w% K
# L3 t) r. w* d# D& f
q! Z, D: C/ R. N5 n
4 d% d8 r, `/ ]( o& m
) z4 M7 o# f6 {8 D( z3 Q
7 ^8 l: f2 a9 y8 [# {- i1 D. T
0 c" D j: Q5 D/ U* B
( s0 c+ [* X$ a* B) ~& f6 K! f$ E 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
6 v$ `4 ~8 K ]) B; D; A( p
2 F8 z0 [+ S3 W. C0 O
8 l* ^4 D9 U: r8 N& S' F4 e4 _# Z + h I ?0 X3 s% x* }
* n7 @* h( L) A: e6 [ g' m/ o% L! S
7 x4 G8 A' E+ s2 ?* h/ l; H
& y) s9 f3 `. f( w! |9 j! C
) ]. s" f. z3 \/ f: A: B, p
5 c' w9 m1 d7 ?4 k3 S
' f7 K! d$ O: ]$ \- r
. G) @# v n$ X6 Y- q 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: # ]4 t) ^, D1 n# e
R( h- R/ y6 G6 M8 H
0 q. |* N3 D6 c# Y* @
V: }1 v$ m# r2 |
( c, T: _9 i3 P, S
3 z% L7 m, w! v: P% H
9 n" a8 L; Q' E& P( G8 r
- {/ L3 H) J) O3 X* s5 y
+ e1 @3 W2 o* n! B0 g5 N7 a
. q# K$ e F7 K% L) m. V
; m& ^ ^$ Y F# E0 Z w6 y% F8 g 利用 cluster 这个用户我们远程登录一下域服务器如图:
3 }% K3 `+ I% V. O$ p+ m$ C
# _3 T: |6 V$ R+ F4 t5 I$ P
% r n n, ~: o: C
9 Q* m2 Z! U& ]+ m8 m z ! X& l2 z8 D! c2 v9 k1 \7 q
( I6 t' m. N; b2 c( L/ ]* R: [. U
" f2 N* ^. U& V x' v' a6 F4 Y& g3 C
! S$ L$ X( e5 i( l% K* j( g" U1 j
# f I1 [( Y( f; q
( a" n* T& j( `+ k1 r 6 e. b+ k' m4 h
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
" p, f/ X, b0 K2 ~% _/ V
9 t2 s% U3 M8 g$ U6 Q% f6 k
( o" X- U& u: m) @8 L+ k! n2 g7 U. o
8 g. X3 b! A* R7 ~ " g3 r, }! C m! D* V1 v
6 N6 N5 w4 j/ {1 c' J/ K# P
3 T: b% R* b7 N! R: ^4 e& l0 }
) F" U$ l0 O5 ~2 G6 N7 c) P
! v/ \* A* \. D
3 r# P; \1 H0 c1 X# i ; M6 T; I/ K0 W, Y
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 E2 Z% Y: R% b0 M
$ y. w/ _3 _2 m% g3 D @
" Q5 M1 b% E, i 5 W6 p2 F$ V: l. z( a/ ^
% D& y8 N" E: a% t, r
, w! p }8 c) J7 r# R 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
5 t1 O) k b% c4 h$ x- X7 F
) Z& Q- Z" ~9 ^3 Z 8 ^: M; v K/ @5 n& l' i. L' b v ~
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 3 }& z; a6 {% n: A1 K7 W8 J4 J- d
& b; o1 S" h9 H2 V
: _5 W5 H4 p1 l% K* F3 D3 }& Z % I L, p5 O. z) ]5 ]5 R, V
! a9 J& _/ r' F) G4 O* J
3 m+ ?# b# M6 o/ _+ u9 g+ F
+ `1 W, q& c0 d8 M x' \
N6 {, q* X7 t
: p1 Y3 A% l4 R$ M
b, [$ I' C! V, d/ X
5 c/ m/ W% _8 j b; N
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 ' A* O, R. v. r* y, s! ]
) C* [, I0 M+ g9 E1 T
; G0 E/ I& u- w7 L! I5 r r7 n1 y$ T5 o1 y: c
& C! B6 }4 v: u+ L, u! a 3 \( H8 l e7 L: U# h0 C
7 i5 a) x: ^4 f7 o# a5 s. e, E
8 a* G5 \; R& k$ L; p* z
$ J! h+ A0 `* h, k# Z I* F
3 b) O& H9 U2 I. x5 ]1 d
& I- O! e& E0 A2 y$ p2 L- L
利用 ms08067 成功溢出服务器,成功登录服务器 0 W0 R* K& j( H# _
6 B( x% F" g4 G$ G
: g& J% G$ V3 F
2 V7 P3 T9 p, L
) w* t1 \: c! {' B- O" E+ C3 H( O* t( s * R3 p4 @# l" S5 x
_) L- f5 F* p' Y; R% r, T- m) t
& P6 z& y' n! i0 {4 S 6 w. ^1 v4 \1 r1 u$ W
% G& q7 h+ V6 }$ `, a j; }7 j+ F
( A" w# U& C& s6 G6 b 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen
& H" j0 a ~+ X4 A; L
, X. K! e+ n( E3 u
; R; B- i- ~ G5 Z: [; V 这样两个域我们就全部拿下了。 . Q' y6 t1 c$ [. _
4 u& n0 Z$ N r) t/ h, X7 m
$ W6 D' n# V5 @+ `! U 3 、通过 oa 系统入侵 进服务器
% u% T. [# c! g& X' y
3 O+ i! A+ L+ |
: B1 }* G, W9 |. T9 |: u Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
# U1 f' x6 _4 u" L) P
6 n& r# ~6 y! v- @3 _% W4 W0 u4 b! l
. t; W |+ U4 p0 T' V0 l( S
7 y0 j+ S! V: b" Z
, }' i$ S1 i' ?0 A$ U' l7 L
" H& e6 A8 g* o6 t
& y/ h) ]) U/ Q9 F' n
% c6 V: M: V3 Y. U. F9 a0 k
7 D8 [/ v$ h A5 S
- X8 T/ O; q/ ?9 d% J* Q9 E9 [4 t 4 m: c3 _ n& ?1 A! n
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
1 I, q) q6 Z4 b+ m2 n# r) n: W- s
5 S6 N9 B; \! [6 s( l * o: @" D1 r6 Y" i3 z$ {5 V) ~
6 X- N" l; t0 ~" g0 l 4 F0 E( e0 g+ z' P, d1 v
" }1 F! P- @5 `; A8 c% F& `5 n) }
. w% z2 u2 M/ S( H* P7 B, v6 ]
9 O# r% E! f' X
6 k2 N5 b/ w5 p6 S3 R, k' s
- b. Z6 [6 Z* M& K& e' k
7 W' \. O9 c) z4 D6 _& f7 O
填写错误标记开扫结果如下
- ?" |7 q1 h1 p
( M P3 A, m r* G" O
6 h# e8 ?$ H, Y7 o' K0 D u+ s
7 f _; f* r) H3 Y
4 I( j$ Y4 a1 Q( Y; s q8 q3 v 5 b" x2 Y* c6 }& b
0 i$ u X% S! {% ~
* ?! O2 [7 L3 m2 B0 o
# A2 A. y7 g% s5 P4 b* G0 r/ ~
+ O+ |% W8 q2 l% D" [0 k6 N
$ l0 i5 _: Y& U 下面我们进 OA
) p/ p3 ]: ?0 z$ a# z
8 J/ G3 @0 }5 W* X, {' i9 ~
1 L1 t. ?7 F/ u" | ' f1 D- J9 V2 J7 @8 [1 Y
2 ?" t$ y9 i# _5 f0 Z- ]) |9 ~ + Q9 B( X9 s& }; @) W' o0 S$ [
; ~3 z* S) e2 b- X
! U }" `0 v& m
# Q2 J; q: q. [/ H& Y1 D! o8 ]
$ L; i( c u/ K0 e7 ~' k
5 j! ^1 n `# |8 _
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
" b) b+ e8 `& B0 T( t0 E& x0 n
1 }1 \6 |$ {& r) Y4 y ]
8 G! {1 E9 j. G+ [' Y% E
3 T# M: Y3 C7 V# X5 ~& w9 \ " E7 m# D# t0 S$ w6 K
" `1 a7 f: l$ G. F
. H( s6 d! W" B, P( V1 f% Z6 ?
* I* h$ P# u6 q( {- k0 E/ s+ ~' ] 4 @+ e, Q% ]/ R/ F* t
5 \" {. `3 L1 d6 l4 ]# G% z
( ^$ T+ `, _6 Q
) f1 x0 y. [# R/ }6 J( v
* w" C+ b5 y) R . X. [3 v# Z3 l8 N7 V5 N. p; B, }
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
" ~0 z% K0 k x
! Z8 n3 H2 x7 r1 |5 d5 g
6 X) ?! y9 S2 V7 m, Z9 \ 4 、利用 tomcat 提权进服务器 . W, z8 e1 _# O6 j( [
+ M( @8 V: u% F/ Z% Y7 a
+ O/ X9 C- I8 G3 k# T5 D( z
用 nessus 扫描目标 ip 发现如图 2 |3 l! G7 U0 R/ P
; [/ @. E4 l9 G2 {
/ Q! O; q9 |+ [" Z
$ P& ?( R5 R% \( ^; K4 B" L 9 |$ q7 |+ a" Y; H
{. H" V6 K7 T1 @1 W# Y# {
; }+ F; ?3 D* M6 z# u
7 \/ ^; \; q8 U
. a6 q0 Z, ^% `
. k1 Y. G4 ^) W6 {4 O# o
# C4 v8 T/ G( ~ k' m1 K$ e 登录如图:
" h! [0 z; V) {0 j
% X! ^% g4 Z/ W! E& o6 h) U1 r2 r) i
; w2 s7 V9 _4 O! f
6 ~* U5 U+ [1 z! i2 O * A2 ~/ d" I; h. r* N! v/ E" Y
1 p3 k& _0 r& J
! v; e* X2 Z$ r- @0 p- I. P; H% l + b# R1 H* ?" s8 p' @
7 X7 S* J4 L9 @% R9 Y' @
; X% ^& |/ R; \
2 b; e3 @7 z7 U! {+ o6 I. s+ I- q 找个上传的地方上传如图:
4 z3 O" H7 Q( |1 O6 U
$ V& j: l# l7 A9 v B+ C
5 o I: O, o7 I$ d- y" B
! R* M$ ?% Y) Z$ n" ] a
, T4 f0 @3 L& O7 Q% E 0 l. V- K+ Y6 g% N( ]# z
% C4 b& \) f2 n
3 N3 n! W, i2 T/ e& a
4 Q7 z, ]: ]* K, Z* x x
$ M$ Y) k7 ~6 W2 B
2 \- }, r% O: \6 V2 f7 w0 u 然后就是同样执行命令提权,过程不在写了
* v7 A8 D' v; L+ H+ e* e
& m2 d6 p: M$ \# K! l8 f
4 s! F8 J3 @7 V( Y' Y 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
% Y; O& C% ]& x4 o6 s; Y8 m
7 ~5 A* Q2 f" Y) L3 L& d: a 2 w$ v- F1 ^0 R3 {1 T
首先测试 ARP 嗅探如图
; z0 Y. U0 n8 c' P+ ?
' i& W: |$ f8 s: A& A, H& T- M4 l
, O8 z8 ?. x; G/ Y% t$ Q. p& v
8 ]2 q% Q; | a7 ]( L* Y% I
( C' @9 i; s6 T( P: G2 u
0 c* }2 }' @* s, {5 W' P0 }
% d% I% W' Z; V; [$ L( W
6 ?5 `& b: t8 Q5 ^5 c0 U
6 A' h6 H3 o% S- L0 N
, O( j/ M" n6 k$ [: E7 l; |
" k5 f A# g$ u 测试结果如下图:
- _# s' o, o u; Z7 b8 }
; y/ n9 H* Z7 F- S# V
& h" ~4 U2 F$ U6 _2 d " I9 A- [, H/ X; g% c( Y
/ m4 {" |7 L& g+ M0 f+ X
( n3 c" g" S* c, u
3 [9 m! Z- d( E0 J1 r' ?
7 k, L9 a6 p1 L( q
0 B/ ~- i; z5 y( \
- g3 E5 k- _9 ~! M
; l/ a; v" C4 @" G7 t 哈哈嗅探到的东西少是因为这个域下才有几台机器
* g! \% Y$ a1 p: ~9 }
2 N5 X& H3 q$ {. C- y# P8 x
3 m" H& G# a( o% n8 L; |) j
下面我们测试 DNS 欺骗,如图:
7 ~1 N! ]/ ?6 ?+ L, s! t
$ g5 K$ n7 d' i# ~0 X4 @1 i3 T" R
0 i5 Z& l" w: m) b$ v
! Z3 s f$ H# t5 F. H
+ e A/ A5 P4 U- @& Y# F) G4 v- g
/ J, V3 z* Y, m' e
& b& I% R f: z3 ~# |9 s
% ^4 M. ~" t ^8 m+ L4 b5 l0 C
1 c5 |: B/ @( {' z( u9 I# b$ |3 k
0 j& z2 L! i2 S A2 `! t 4 }6 T/ j" k: l- n2 H# g7 ^; w, {# |+ m: D
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
0 N5 p: e! k) i2 Y) m+ l& F7 V
, i6 ^: f; l" A8 |6 v% N
# s, n. m$ W) [& ^6 x
( U1 }5 w3 r- N0 `
) d5 K. K% l* j6 _ : N3 Y" d1 @% O
/ @' a3 v7 ~% w5 b# j# e1 B
( m4 i# F3 G5 m2 O$ j. \ & q; u, f5 f! s% L4 x5 q* l7 \
# [0 q! d+ h5 @' S
* B3 b, t" e2 E! `& G+ o; J (注:欺骗这个过程由于我之前录制了教程,截图教程了)
$ `8 r/ b$ q. Q% R( `: V5 I
& l. l/ C* f7 b& [ T $ n n9 o6 ?* k
6 、成功入侵交换机 ' u7 ]7 Y4 j8 _: a$ G9 _
+ H6 d7 {8 y0 P/ g # P9 a) L7 E. r5 u
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
% `* x6 Q _9 J6 L* b S
, `+ @/ _; R, x u* C: g! H' ~ * Z4 t8 H8 b: _2 q+ M0 p6 a, J( {- k- k8 `
我们进服务器看看,插有福吧看着面熟吧 + z% \5 |; f0 ^0 j1 m3 D9 Y/ y
2 d: t4 D% |" S& T7 M
- m e/ ?1 Z4 _& Z: F & K& @5 `, n4 T0 }+ H2 P
; H; g7 L* [. V" T1 y2 W
& C" `" h/ d( ]/ R, Z. \
) I3 F: o/ z) a! C7 a7 l ; n5 F) w7 O# n/ U
4 {$ q' W2 O0 K5 l; K* d
8 u3 m3 X( Q) D, M
# u8 @" _7 @" C- a: s 装了思科交换机管理系统,我们继续看,有两个 管理员 ) n' I: X. E7 v" U$ O5 e
s: T: n6 t1 b3 }8 w4 g
) ~$ E0 W* b8 N0 u8 t$ [ & ~6 \1 W" k/ v
, r4 D% U1 ]' z
) ]; A" i5 x; K9 [* \
. i4 c: m* ^. @- x1 n& G ! F7 C) ^" x, I- _0 ~& U6 ~; c% `
5 o% ^, X. c: W9 N* c8 r) ?7 u- `. \" ]8 \
; _) M, q+ S; X0 N7 w
- [9 d! Z% C; b: ~5 Q" R 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
( w/ c0 J. }9 y* F: `; Y7 O# C# P
# L k/ I* r" v/ P5 I
) O* U1 z. e/ T* [ 1 V5 A% G7 B: \3 `3 L, N7 ]' h
8 X |2 H; ?. d
! R. Y: c- R4 v. c/ F. l' p) v
0 h$ G4 x' u4 ^: I3 j5 Q
' a. u A* ^; N. r' b. q6 l
" f! J5 D, X3 Q; C# N
2 }7 \! B) v) h5 D: m 4 w7 o" m( P! p3 l2 U8 w
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图:
; O1 f9 r4 E: M7 o @ E3 [: S
( J2 G7 j# t7 J! N
8 w) ~6 b X- ?, h( |7 U
5 E6 g. k' K2 t9 ]
5 X) I- F3 K. p
4 }0 Z, g8 x1 d1 V K/ _
4 N9 s9 I7 `8 R9 @& C( l! h * I D; \) B' x3 K9 c( G
( V# |- X) o: w2 p
/ f4 O- c$ [, x( W7 M4 s6 G 0 d7 w' `7 \) ?# a, d' p
点 config ,必须写好对应的 communuity string 值,如图:
4 m4 H, J4 Y% v# h. |8 I& t
: W+ m( j5 L5 N
& ]! R d2 C# W$ O! x
" S Q! N1 W5 J 8 t t% H1 N3 l6 E" w- I
6 z9 f L/ C8 v7 U$ K8 g
# w& v9 f( g* K- Q: \/ Z: F E2 j, S- x7 i$ p+ I0 E, C/ h
" `3 i) b) P% m, g
! R1 R5 Z5 j0 a7 W* n 9 s# z* a# L/ W+ \+ A# O" Z
远程登录看看,如图:
4 Q/ G3 ]7 s" D% [3 D2 h6 g a/ o
! T( s$ m' @) Y) w2 W' h
2 G R& {2 m/ R, Q3 u# `! J % ?5 F+ I& X9 u- @1 ^1 {* L2 r
. s" L' ?' i. @3 z* A : D7 Q* C# |+ B- z7 D1 N4 L
! u: B) P2 {- G% b6 |( P
, }0 x3 x# [( Z) B3 K8 N
G4 t3 \0 l: R8 M7 i
6 g$ c( k( R* X+ R# _4 K% h+ J7 J
; q0 z8 W3 U! M
直接进入特权模式,以此类推搞了将近 70 台交换机如图:
2 k8 ?; X) S) j
0 z& B- L; `5 D0 G 7 N, m0 i$ _* E( W$ D8 r# f' h
' p: o. i+ n# B% t) d2 ^
/ ?) U( D) J+ ]6 c5 v, j & G( q3 X1 x1 \& f, V
* N }: M& w% F
$ k. L/ R, e& c4 e: m9 R ) U( d* U- K9 I2 b1 F
; `) y9 X& p, S, i* a
* h" B( m' b0 d$ Q! H
D5 W, M, a" ^& Z5 {
1 R9 ]# a! d# O* P
% u6 P' |; M( I 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
' s, K7 m( D2 ]# m3 s) S2 A4 I
. Z% x; ^; A3 M5 j; q$ |1 C
& G+ m4 Q2 v" [
* D% x/ b4 d, F2 C& V9 H y( X
- K8 O' A( z8 d. w0 [- F
, ^; r- i2 N' ~9 U* s i" u
4 H5 @/ _, J. H0 Y( ^ 3 @. B' ]( t8 u% I) A
" P5 y. A% E! F( |9 h |5 K
! D$ O: k5 _; B8 m! p1 W
# r$ U3 t" P' _3 U 确实可以读取配置文件的。 ; T) q! U! N( ^' @. V8 U v& Y
5 q9 X; `7 ]+ f/ C " p6 t9 d) I3 L! m6 h% r9 h( O( \* C
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
* {, S* ]9 k+ A; g5 [
- q% w" x) D; \. w: w) S/ N
- K' C i6 Q0 Z( X1 }9 x9 D5 S
" P5 @9 n1 ]% a+ ]$ `; ^! W
* _$ m# t3 o. P, `) N 0 G' h6 j# A9 {" f
$ h% s& o, q& G# D7 V ! @& W7 H- v. f1 |$ E
* t- [* B. m9 |
/ U! }5 c" ]: b
) v4 g b; y/ v5 f% L' K 4 u& U& C$ k5 I/ [# ~
7 n0 ^) L$ {+ u8 }" [0 I S
8 A2 C! |& D3 J* s+ o 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 ! L1 R; g3 u! c) }3 |3 c
% |# R0 O$ b' M6 x& D9 N 0 M. |# w8 e* V S' i
; f! L" P) |* Y! e% y( Y" _) w
7 ^7 R- A" v' n9 y
2 ]3 L. b4 t. C# b* K
/ o7 ?) |8 V8 \! T2 p$ G+ x' C( ]3 T
5 Z/ S. j: u- }# `, U( x& f* j/ |* ]
7 h& ]" I8 W' t/ H7 f- i
" t s% B, J! l / z9 z1 D! C# a9 r) i$ A# V4 p9 _
上图千兆交换机管理系统。
8 g. ~+ ~ O& d& q* o
8 r* j0 R/ U! Z2 V- \5 ]4 k$ A. h$ n
( A7 g2 g9 S ?4 `) ~4 h 7 、入侵山石网关防火墙
6 {: d ^+ q& N
6 J6 h5 ^/ P* C& V* L1 [0 P
! ?! }1 u8 G/ d9 W' U. b* u. X6 [ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 8 @& @* V5 f7 i: W9 z) ~
4 A, |* M% U) N
2 S0 j3 p& T4 D+ l 5 b( d( I+ E% [ a b) ]$ E
+ Q7 X9 C/ t. V( p+ c
$ N9 t# J$ N4 H
# v* C2 i( a% B5 s7 b
! ^9 ^2 U0 b3 ^
2 n c* a8 i" V& g! b
0 `! t2 {8 Z- m+ y
% T( R$ F1 H m7 o$ { 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
& R4 i- N `3 p0 Q+ I1 \( D
' a: M6 d, B8 d' d6 a% Z ! O3 C8 P( X4 b7 ^9 \. S
# a! L7 ? F& R- a
: R+ l! {' X3 h* ?, O8 h5 L3 ]
# A: M' Y' g# ?( K' D# O- ^4 c& r, }- n
4 _" h- t, T: `( s/ O5 |- h: ^
( O5 n; W9 r. S- L% j6 p 8 p u9 y# y4 x+ Z1 p/ u
; r( |( c. x" z3 J ' n1 Z, C- B" U6 p
然后登陆网关如图: ** ! S; f9 y9 g5 E" r/ C8 O. n, P9 d1 o
) E6 q, J' k4 Q' S% l, a
7 @2 m9 A" }, J9 _0 ?
8 }1 x+ E. d0 P; w8 t* Z% B
8 q# I& x, V f+ G4 m9 l6 g0 d+ s
1 J U) q) B1 l2 ]1 F9 h0 X7 c
K- B- I1 o) E8 x5 s
3 @3 A2 K, `8 f3 l" B) ~
% c3 e2 F! U) I( O& k* t( F. N
. Q2 B O6 R2 s5 J
+ R5 u: H4 Q4 q8 f. E6 ^" G5 m
G) o6 _+ e6 A/ | ^) ^1 G 9 o7 Y, `5 T+ n( M
& I0 P8 x( D4 k5 l# G& c+ Q9 F
: `/ a4 t" g- t
- \/ U- O+ |/ }. H5 O7 {, V 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ; L1 C1 O+ M( n8 c0 j5 y$ V
/ y1 c6 l( M) K2 D, M# ^ 8 b j- |9 X) B: ]0 k# ]' ~
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
# J; @" O# T9 k: Y& h
, A+ I, J G) v
4 E$ ~6 B0 m5 g' B/ [0 i
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
1 E1 X! ~; N1 z+ m. ~, Y7 J2 a
8 f3 @" y. f6 h
# b/ w' b9 }* {' o4 ]& \6 h
/ S k; w ]6 y4 M ) B0 w: s4 M: x) M. ?
A, W, X# w2 s$ q. K. p
4 _, K6 V) `8 R* g' r ' F" j7 Z# f7 ?: m2 ?& I' i
" B2 t `- o. d6 V3 P/ K
1 y& E) q% |% ?0 L3 F % }% [- S- \ |2 K1 L( U4 s
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
8 l2 u7 S* q# V( l4 o6 ~6 b$ ?
$ F! j, n% B2 Q* j# f. {
% w6 J* N4 U$ I. t3 Y
. `& o4 d( {$ _# x5 N
/ B( k) x8 B6 x7 m+ G
" w! M; J; T) U: m
0 A. |7 }5 W: S' K7 c
' j" E. o2 X. w% o
U2 s3 {: c$ n+ u