4 Y" C+ [& ?, |; o
# n+ B0 v# d# v5 x3 t% w
( [7 P' { _5 u. f# J1 q
6 ^+ l2 y4 c5 L# I, b+ q1 Y( w 1 、弱口令扫描提权进服务器
! Z" l* u. h" K
, K" l+ x9 m4 Z7 a" k8 ]0 P
1 U: S9 z- O+ d& K5 k V, } 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : 4 p7 ]' T) ^3 B. `& D
4 r/ O6 T0 ]0 ^$ G0 o( A, s1 ?
6 ^: F6 M$ D# l, f& ?' F
- m: P4 h3 ? ^( I- N0 U, _
3 ~8 U+ i( t+ O: }' c# h+ E4 }
7 z+ p' d% F8 |
# l: d/ b, C5 h1 p: [4 s8 d
, j/ |2 J- t; E+ J. @ % {" j4 r# D! Z7 y
, u% X X6 @$ A- O; a
5 b5 q5 ^9 h$ X8 ]+ E: G1 } 3 U4 @0 z H9 }
. F2 Y6 j, Z) M# R
# Z7 g1 g4 U4 G4 [3 v
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
: O! e$ N C/ _4 t
4 c( q3 y; q Y! Y0 x& k" b4 Z
" k. ^: N" Z+ F8 g0 ~2 j1 e B- T 执行一下命令看看 ) R+ J! S* l, J+ Z
6 w7 B* X( @/ K) @5 u ; w I2 D# l# B/ _# F
6 G# M/ C4 E6 y, @) Z
1 A& P+ u0 t, K3 U
1 c0 M9 M( m* ]2 W- y8 e * a) k# Y6 Y/ k1 i1 {: B# _
6 ?7 v6 j2 z- \/ C3 ?5 z 6 a+ h: v2 c& ]# @; g6 I# L
V8 Q, U, g' z, O( r
" P3 S& o4 ]) [ 开了 3389 ,直接加账号进去
5 O. J' M6 V& ?2 y6 C1 C' S4 G
# ]7 ?0 _& O* D" V9 F3 k3 F 3 @% Y8 y* c7 E" Q" ^
: d' F( `8 t" c- k+ M ' a' {" g1 ~8 \& i
% d: e! Q4 R: ^
& M3 N: [! ^- I6 I: ]
1 ^7 \3 U/ j( n3 {7 _- ~
9 c: N% v* D: {) h8 p
5 O# }8 g* R ]0 V* K) B$ K f
( D0 i8 C+ f) x' ?- r! Z8 _+ O0 w 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
2 I' I# g" \' N4 `3 M
# X) ?# L5 e0 D/ |
1 m' P! U7 _2 d# f4 {( K/ z
+ G c) q( M' c
8 J7 n5 g: V: E+ h; D+ g1 ~' T5 \ 1 _/ T3 t" d0 G- r0 r5 g
7 @6 d: a7 F* W* @+ g
) a7 ?9 d3 E) v; H4 M1 \
9 f! G6 _' I; E" o
3 T7 `2 ^9 q8 f
1 b8 B! M& `- e! Z% Y0 L
直接加个后门,
1 Q# t1 g# L$ H: J5 v R- ]
8 @8 g% C# J3 p3 Y( B
$ z ]+ A: @4 Q) \- i7 e7 J; F) e
- M( R- S) F5 i- o8 o6 g
o* Y3 T$ T+ h, |5 r. N 4 \ I- h% ?" X% Y! R+ w# f& {
% n4 k" t) P- O2 O
- [' h6 _$ Z, ? a0 O" Q; Y$ S 0 k* y8 {" b# ~" O; Q7 o" J
6 N6 [6 |) v q3 Q* d' e
2 a/ A$ I8 J# m0 c+ F+ d 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 " I7 m; f) x( l2 ?5 H1 ~
% Y% B8 m9 T) U- y/ U, n
+ M: o0 N h7 Y3 C7 k
2 、域环境下渗透 搞定域内全部机器 " P) B' t; {' J6 {8 I2 N. ]' z
- k% E3 t8 A0 Q6 V' k# V* f
" ?# }" q! o' J) p 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
( y; H; o4 B* R1 @6 A% ]( ^
! |* m( w6 P$ N( z" G/ t4 t
$ S; N2 ~$ u T O2 u5 n
" X; ^) D- \; m
4 ~' }7 a+ ]) Y* R; d / f* d# I% ~1 F! V# P0 B. G
4 H# S( ^$ T7 s0 _8 o6 W
' S0 {9 k, \$ B" y$ m. p- V3 `6 ?
8 P1 t; ]+ L B8 A* H/ M1 e1 l) u
9 o% ^6 z! {+ `) Y0 [& f4 k1 v
- \/ y6 U7 P; h% T! G 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 / A0 w4 t2 V( L, u+ E Y, U
+ \% r8 o' e6 I+ }! ]# U
" Y; I6 }8 t. T7 _2 z. x 9 T3 Z7 a% A* R4 \6 _( ~- K: b
" B# ^- E. M0 l+ k
7 ~1 i% u( w1 x, N4 f# }
1 l& ^( e2 [! _ ' I3 b: f( E0 R/ p# r6 e
, @2 V% }6 \6 J2 O0 g: a) p t
* I/ A* H. L0 S. a
2 {4 r ~. @2 `1 j8 s; H; z; j 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
! y3 \/ i( ?; `7 J% k8 R
8 A1 r5 K8 ]1 u$ h; J9 x1 a
: ^" D$ m2 ~) u# J
% f: `% Z I4 v' a5 B
\& N$ N) O) H# e . C6 M, E/ W/ u+ v( i' h
5 t' h( E0 Z$ n# b, g) A
# M& S1 B1 [- u8 D% `; \; }- G
J4 X7 i4 q- K) o# L' o1 Z2 K
, ~% L1 a* z! |* n$ n) ^ / r3 q" Q- \6 E. z8 R& m
利用 cluster 这个用户我们远程登录一下域服务器如图: * O9 E! b( q) W- T
7 a3 F" O* S0 r4 H8 g
( F8 P% D& y9 a! g( w
% ~+ [3 a; M2 t; o/ y# Y8 k* e & M; }, e! F \
# V3 A0 `; f$ l' J5 X
) m+ ?+ M! Q6 Y h7 S' s
; c$ r/ x) C1 w- `/ h8 B
9 F) S% Z' B9 S; k _) g
# B, }- @6 y- q: z2 b% y: _5 v2 c
* j. _; J+ J3 r) s1 j' J* h 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
d$ V- b; L1 J0 t# o& o7 g/ _0 B
0 T6 M) }$ \7 V2 w, E. P Y! L/ B" Z/ x) B7 B @
, s3 q" n8 u$ n' R2 a2 k% e5 a
" B% e5 m7 l3 T
5 ~& H# G& l' ^2 g$ p% W: N6 C( A
* D9 ?# ?3 o7 r" Y2 y . U. F- Q5 R6 @4 Q3 u
6 Q% J3 b% d$ ~
# A- p, h a) d3 b& S
% W8 i7 d6 Y7 H$ z, G2 D 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
! {) P$ _0 Y& v% |% Q& K# S2 A
4 f- r U6 e2 u
1 b/ d' P1 l z
$ t8 N2 j: i! [7 o
5 _% V- R- r" Z
8 e3 R. m* s" b, [( P+ n% o 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping & W. [4 t0 F, C0 @
& G/ j1 m- w! z3 a( g; ^2 [
' t# h( W# s$ H: y
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
4 s; @- y1 g! ~
8 f# u$ e# c/ ]& B
' s6 Y. l* R$ z8 l: T1 q3 h
b! W$ ~! [/ G! ]$ X& B 1 ^* Z3 c w) q5 |* A3 ^: g
2 A; ?: @1 w/ O; a
' O3 u" g7 L! ?. k
1 K+ q2 |8 x$ l, c2 G$ I& _+ ?, H
3 C, N( a2 T3 x5 @' m* |) l4 q
% S% x$ _7 j1 \& b# [2 V
s! V2 C ?) S 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
& p0 |) C8 L* I, @: P( B( h5 J& t
I. H8 S# N4 f: r/ R7 B
; v' L2 ^0 R9 r2 G
9 u! d0 \3 b4 Y* v( x; b: q, C3 O! x
2 ]2 Q8 R' W0 D
6 J% b; ?3 j" g4 j0 @/ F" O* ~9 d
/ J9 Z/ k' H) f; s, ?& f1 M : C2 m" K/ t$ ?4 Y
4 W3 `8 o4 H1 D% s5 y/ i j2 w' O; B: C
& \- ~: v4 y& w) e3 y
6 [' O) y5 g# u 利用 ms08067 成功溢出服务器,成功登录服务器
9 `8 J) A; i3 A. V/ r
, J4 q4 H, J8 t- ~6 _ ) m: D! Q0 Q/ A
' p- `& v: k% `% l/ M" } " |8 w- Z4 p* y! w; ]0 h5 Z
- I) T Y- @8 Z" b% k
" G% T" \$ ?4 j: o. g 8 l& K- c& `( b& k, J' z
8 `( z( \' l2 v, s+ q! n2 I: A
) o$ }9 ^7 S" U8 O" R8 F
' p2 J1 z2 i( O/ m 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ( w7 V6 f2 f9 Q S# q% h
7 q6 Y4 [, [1 k: u) l* u4 @
& Z2 m2 l& D8 b" C j. b, W2 a
这样两个域我们就全部拿下了。
8 |; m0 P8 n6 C n4 V
4 V# M. k! j& b1 e. y; l
. L( L; h% y% i' x1 M 3 、通过 oa 系统入侵 进服务器
5 j# T, p; D" A' J
0 A" M# H" Y3 W# Y
6 h) V6 _6 z4 c9 M' v- P Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 1 q" N) @; U" y4 i
; j! y; N3 H/ D5 u
; X, J, I3 G6 G: l, E1 ` D# i$ H - T) h9 Z% }! R: [7 E5 b
$ e6 ]- C L3 n% f; r + Q$ i% s. c7 V: X/ L+ O( U; S
P6 U* J; }. t/ Y, O1 m4 j
+ e$ Z3 c# l+ G( W8 J1 Q
) o* G. L: h3 G6 z/ N" e4 v
/ l6 _; ]; [# N' B' ]
0 e. _3 s W$ N$ a8 V" @ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 z) W/ j& p* W/ j: _
7 U0 L. E; v8 T1 Q9 _, t. p
9 K6 ?7 W- i _: n$ g; |4 l1 J 8 M Q0 l+ R5 I% P
% w L2 B. O0 M* w
, Q' P- L/ N$ `6 x$ T$ f3 Z4 o
: ~; }7 S. a% x4 }
* r: ?7 L8 R0 R) \: y
) R8 W+ m5 P) j* o
( q* ^" S# j4 b( G, G) e& ?9 p % ^. ~' \* N3 g, C1 @
填写错误标记开扫结果如下 ) }) D+ s7 l" p- \. v) O
& O! B8 L2 A* U' I8 l4 t
* U9 R2 f, B6 W4 l
0 C" e( ^1 t( P
- } Y8 i. e/ n- f" P' c0 ^- N , Y! b+ D7 s z) y' ^3 v/ C a) S
9 a1 B- Q9 @& q" v
; n, e) c& i! v8 B0 d0 x
; Y& B8 k3 F Y( g* ?8 s
/ e/ K) c6 O8 d: c( }
; O' \8 Y' N) X! W( ~& d* B 下面我们进 OA . s) e! O0 ]+ z* R
& O1 H' \# X! d / [% }+ u# a1 P7 W2 X
9 `6 e U; ~" \% s + x" K- ]1 @2 }: ]4 _
0 _# j: Y' E# Z) p' I; S
. s8 K! U* B# Q( N. U) [! B( K
7 S: d- _' L! K; V. a ! b; T" C( d* @5 i: m
' ~+ ]" {. m) U+ T; b# o# ~
# C6 S4 [, _, [! f# O 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 , f0 s. m; b6 v% J& g; e2 h
7 S+ r+ V& `8 q% t' H
/ c. D. h* C- Y+ @6 I8 U. y7 m4 r
* c& w/ D( l/ ^4 p" h+ {
7 z: n! _ U/ v' m D
v6 k% P7 ^3 c$ o, Y3 G# a
7 V4 x5 x: k) c" |3 a, W6 b+ E. L
3 r$ I% i0 g. p' @ _7 G
# P- A+ [$ I) R( ] n/ M* L, X
' k& N# r6 N; l5 k
" m5 G6 E' W% l }6 y
/ g5 f( f, ?7 k: {# g- v
; {2 y, J( K* i$ j+ o( R2 P; ~0 F2 e
' t. ~4 {. b7 {' I. u
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
0 F x1 q5 b4 p: c/ j& y
5 q5 Y- b2 c- n( S% H8 ~
& u- T& j {) V2 k1 @) r
4 、利用 tomcat 提权进服务器 * [* h% v1 t0 p( ?% g1 K
# o' C3 p% }- P; g , G3 Y6 a, m: w9 y
用 nessus 扫描目标 ip 发现如图
; q% o2 b' [8 y- d" E% a& M( }
; s$ W+ Q& @% a/ E" b/ `* ~ 2 D( J& Z* w6 \' m- r. S
4 M/ g* Z# E, m1 U% N
6 J) ?( X! Y" \- i% N, U6 X * t( `; U5 U+ L" W) c) Z- `- m( O
$ u- a; x( h1 E+ y8 P, o L ( s/ V- _& ? A& B
5 X% l! q, J" b! p% q& s
* q) s7 R3 u: w
$ G2 @ c$ V' U3 j4 P6 O: z/ s
登录如图: % E0 R9 }5 _! Y# | x9 v
$ \$ y+ q n+ ]. o1 z
/ T! [& k" O$ B$ s! v( N
! H7 r0 ]0 T: { j2 @
9 i# |* O6 B' {( T# A
7 P r" G4 h4 F1 o7 D4 `0 V
! m8 R% u! I9 ]9 c
: ?) M( j$ z0 |/ I! M i' m a+ {) ~( K# k# q7 m% i
" E' M( r+ Q7 q
( b( ], J& ~9 z2 I4 M9 d 找个上传的地方上传如图:
2 f$ [. R8 }1 \0 n: v
8 G$ d9 d" x4 J7 K1 E$ m
/ r! z, F6 E5 N5 S6 S) R4 R
- n2 i7 A' S: r1 Z1 v% e
! Z1 C1 o0 d9 x- c ; |0 ?1 x) T9 Z
, J- A3 p$ I3 O( t8 ~
& S9 y/ `% m4 a9 w2 @
; X- F+ o) ~, r0 Y. X9 I9 Q- ^
; G* O$ r# y" J. L7 g$ m# ^6 g8 k" p! L, ^ m
% A1 \: N5 z6 O: y0 A( h 然后就是同样执行命令提权,过程不在写了
3 m8 u; T! j$ s* f
5 M9 c, D; [# B
7 ` X J n* i 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 6 U( _2 w1 }1 l9 a. U
2 l0 y, \9 }3 [( ?
. Y; n( A5 O2 _: f' L1 o7 q8 z& A 首先测试 ARP 嗅探如图
: y/ g- m, P6 U
& p4 w- l4 z; x! T' V
: H m7 c& y. L1 b! W6 G! n6 b/ E
9 {0 ~7 v' @9 B/ _' y9 }! W + d9 V+ O2 L6 O
9 s% ]3 Z# W7 ]7 @8 W2 c( X, p7 W
9 L) B" Y& Z- F K& B! e4 e9 W
5 n. }; d/ Y2 A* b5 b# P( r 5 G/ N- }+ S( w* M: Q7 J
- ~) D$ f+ ?: z/ A0 d, P) r3 F/ C. A
& s# O U/ |8 t+ r+ N U" Z
测试结果如下图:
- O! d4 K! g) |* m
/ k ^+ \4 R" I4 B& ^3 v+ l 4 W- u0 B2 y3 c3 S/ h' v' I$ y
, u# f% x5 C2 z' r# {* H, |' A
+ R8 B2 a- k4 r# E 3 q; R4 Y& t( s
7 F9 T. D& z% u0 P& e6 H' s& F9 \
! C* z: I6 K/ W) {; r . z( D8 Q8 V H
( J! W9 s3 o, U: R5 a* ^7 d% Y
. g! E% Z1 \* K5 [( L; \, P 哈哈嗅探到的东西少是因为这个域下才有几台机器 , d+ t+ b5 v @7 Y
c: F( F4 z" K1 W' ~, u: B 8 m! P1 M! o' @* ~
下面我们测试 DNS 欺骗,如图: 0 R0 M* V2 }' i# w" @8 O q
1 O; `! s& h5 i4 U! v( b
& |0 f% L% x! L6 Y# k
. a5 Z/ n& j j2 C) k
: l5 C8 I1 r( S" N 2 ^6 i8 ~: O: L' ?
/ Q, k1 l) E& P* e6 ^& h2 c8 y: d
/ l& M( M) R. x; L: c1 v5 D% A: i ' t$ ~; |( ]7 B: Z1 f3 H
, I Y5 N+ Y9 x# d9 a 3 G' J4 E. t8 ~1 G; M1 _5 T# F" y) M
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
/ V5 |& G* Y1 @8 C8 M0 f
% J8 }% |/ q k) [, W' ]% E
7 \, T) N1 X# B. n d: Z/ l! l " [* e2 W3 d! w- D' K0 a
& g% L" x) y9 E5 j8 H
6 T; H1 M. [9 C
4 q3 s9 ?9 T6 T$ d( X- }4 q5 g
/ [( ~) Y$ w( l m' @* M! b+ H) D! V4 a+ C# V
2 j. p5 A8 K4 `) k5 L
0 H- _5 d u y (注:欺骗这个过程由于我之前录制了教程,截图教程了)
8 g6 [; E9 a. W
# g0 e. q, _2 w0 o h# k; T- O
' j( \. i A) |$ V
6 、成功入侵交换机
2 h3 ` r- ~( ~* f
3 } i5 S R6 h 4 @& \$ h" P/ u$ |7 b$ w
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 6 m: Y% g) ~4 p
* {+ t5 ]5 ~& j' N" \% o) p
" p3 ?$ A' ~) Q2 ^' f
我们进服务器看看,插有福吧看着面熟吧
8 A9 m; ^2 `. q" g2 G* k4 [$ p
+ S* c& S* @. [: c$ Y; S : G: r/ r; I$ M, M
, N% a) c7 z- i7 ~
8 m% Z' P: Z1 B0 n: b
6 J# q1 ~" @' I0 U6 L
2 L7 [" x) m% x% x h
% q7 u) ]8 `7 C1 M$ T9 g& j, K% e
: G4 ?( |: Y9 N4 m- x
" H0 x. K! a4 k
# n7 n: V7 T" q. s 装了思科交换机管理系统,我们继续看,有两个 管理员 ! l! f' z2 O F. l# F' p
+ ^: d& p! C, e( P) }$ m
$ E4 U+ i) ?7 s " {! F4 \' S# T6 S
/ {# _9 ^" O3 m A
}6 l7 m& O0 q3 V
5 ~0 T% I. y; I. m& }% A0 R " t5 N) S$ M$ i* ^
* }1 G) c( O# w. b" p# `, _% B8 [
0 z l2 i0 R1 x$ X5 c& @5 n
, E4 E* W3 U$ s, r6 ] 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
8 [% ?3 y/ l; Y- Z- C
* B1 }5 {& l" h6 ]5 e/ f( ?
1 a8 @1 |) G/ O( _' g
. X6 M6 B2 V- f8 o 5 o* a8 e" J' g, F# M! c
x# z" \; N5 G4 ^; G5 a
' L& k' ^+ t+ o4 g' k
2 b. V; D s& K5 ~
3 v. w: f! }5 `' w2 \7 N) w
- D6 S8 V& {8 o+ M! a. \: b3 t
( k& h3 O. F' O6 b9 n% f9 P 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 9 D/ e$ V: d. s9 O7 Z4 e( J# b
# P7 B7 }( s! J7 U* q! A# w [# T+ ]+ ~9 o, a, K! N
! S9 a3 o2 A+ e4 F& A / u `* n5 L1 V6 O
9 p/ y' g2 A$ e& b p1 f/ q
" ~% E. N6 }1 T6 ^. }* e
) i0 Y# A- D2 K4 c
3 h" M1 }, C7 u! i, {& h1 |, t" }7 ]
( |) t7 X3 I8 R) @
( h+ V( S/ e# d
点 config ,必须写好对应的 communuity string 值,如图:
+ F9 h4 R2 W1 i) Z0 L( p
- y4 ~$ l% }# M* N ! B8 Y# x' S6 B% m$ s' a. l
+ V3 Q1 m3 [5 h p' @/ K7 h% h5 v* G* G
; L6 h& S. |9 z" V- r
. G1 A: y6 N5 K
3 M4 a' N, U% g 8 q3 n* l2 Q, E* h) L
3 }" h# O* Q6 V% m* C2 O
/ a3 U+ |2 _ d* K 远程登录看看,如图: + K8 l' ^* d' z# w# \( g) w \
" ]) z" T- e# \( j( ?
( r& w& Q' T$ X - o( c! q8 N. i7 i# w
) [5 O8 C0 [9 M& e5 t! f( N8 j: H
8 n) v6 c2 m: P" f1 ^
8 j) n$ g( u s4 O
( @8 C) }/ g7 g1 E: D6 |* N: p : d! s/ O1 I' m' @3 T: f* @
# }. {2 @( h; n: L
[- B, \3 l( D# j1 k& T9 ] 直接进入特权模式,以此类推搞了将近 70 台交换机如图:
$ b N' j! F Q9 K
' j$ ]: g4 A0 k# y4 n% {
1 Z6 t4 A3 A+ H4 { " _2 M0 t7 F7 h# T5 U) m! R) A* @( ?
3 c0 m/ ?7 O# e7 a
. {( A1 m* G/ `
$ u; S6 k: ]- _- f, p+ b
( f" Z$ U: j/ P! `
7 z% z: A6 [& C6 ^2 n" W
8 l3 Z+ J% [6 u, r$ K& {( |
4 H! a7 n- K5 s; f, C' K: z - r5 k G: g4 g( ?) w
' T# X k: _# Z% ~$ p
- S+ D8 M n& _8 a
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
i3 q3 |1 q2 N W; W
* w3 D, Q; k9 q9 A
6 ?" Y0 X' k5 c1 d
. W7 t) I! A9 B& z& Y; Y- r / j% `# h; x+ G$ o; [
# s6 p* q* W4 F7 e ^" N, i
( _3 n7 l2 ?! M' a7 k 7 A: K0 a) F+ Q! r# X# F, q, e
P' E) c+ f0 f9 o
: v) U3 H& ?3 [2 T3 L
4 D/ B; J1 \" k6 H
确实可以读取配置文件的。
F8 E7 @) z8 T# H$ |5 i% a
' c, s# P0 R& q. ]* |9 o- Q
% v. Y( j( e5 a3 @8 t7 z 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
* J2 Z/ a( k. F2 ]0 i- f3 b1 t
5 h* N* F' Y' E2 t9 E
4 {) u4 [- O( @! N5 q 1 a" S0 W+ R3 E: u4 F& l6 ]
) m6 f d8 F$ y" ~/ l 3 r6 k$ F6 N3 n) ~8 I; Z4 E z7 L
; g% ^' | W$ N9 @
% X& I: M7 q# B3 R& C
$ Q1 s0 q/ ?) W _$ c5 ^
3 r' w P/ E8 o: Z 6 U$ S) V2 a6 p( X
7 ?7 g6 a5 G) Z9 H. V; t$ r: m) ~
8 i& y2 D+ r5 }. E% P7 y3 ^+ f * i. w2 n" n+ z0 \$ M1 _! e$ @
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
; G3 r3 a( s8 }4 B& q. w
; i& G4 y! J+ v- ], B$ i
9 P# W2 s! U: R3 `2 w' I
$ z* [: r( R+ Q' W4 i
) R5 N! H3 Z/ v, A6 M/ ?% S1 t
; {4 z, n* O" b9 u' v% H0 a
7 S' E% ]5 T) s: S3 c& }; h' {9 K
S) P: S0 }, ?7 h6 W5 f
4 Y D. @# [9 s, ~/ z0 A
B! d1 ]2 h7 o6 k5 |. Z! \ / t9 V+ j/ z- A- l& W
上图千兆交换机管理系统。
1 G; d( c5 D/ l8 u+ G- r* Y; a
3 Z+ o3 {: f+ o( `3 d+ L
) h2 n- v! i" p4 e4 e5 e, M/ N 7 、入侵山石网关防火墙 1 O9 s2 l$ m; o/ g* W3 f6 X1 i0 m
/ B0 s: R% U. v- E5 y
4 X3 J! r7 c4 w' g- R( x8 Y5 ` 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 e, ^5 {% d* c) U4 N Z: Z( W
1 p1 |) M- S: T/ L+ C1 P4 M
3 O+ S+ L& w+ ~( @/ J9 l
6 _' U( ?& {8 H2 \6 `. ]6 ^
6 u9 I: D- F3 F# g/ ~* @% m
* D$ [: L" k' U0 u2 C( M% m
% g G: ]5 i |' N( J& |) X& Z0 P$ h
0 c- y) p- z+ p) d8 K . n" H4 r7 S! f: l3 K. m
5 Z) x! d& N2 p
( n+ U5 f( J# l$ W 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , @6 j" g3 A2 X! r% l
8 G, I1 T! t" j( s, o 9 c3 j9 n9 x7 ~. x
, V9 t0 o4 d" m z, l( h2 @. x' P
! ~2 i% }, U/ h% n$ j+ F 2 r P' G, { z% `" d5 F
7 }4 c4 B4 b: A7 R6 k
+ V( V' p6 t! |. j0 l
! L7 ~( a4 M* F- `$ H
) {; E, q: H4 g
% A# V- l/ L' s8 W6 ?% @ A
然后登陆网关如图: ** : b* r# b0 ]7 U8 G! q) }
a! X- u% _ f
, O6 [4 P& K" J& b' _
, {; h* T" n! U; g% }8 {, b' m# I6 l
% v9 R7 L8 j4 e( u3 U7 U' z7 p9 W & f! K9 n p8 x c1 n. d
& S: u/ _3 F3 R# H " w: u: B, x; X9 B9 H3 W8 `7 k# e
7 H+ Z; @- E% W$ n. {
5 H/ T/ l6 l# |; a
" [4 j; u9 O5 J8 x* l1 T; h3 k5 m 3 y5 N* O; k) U/ I, N
_# Y5 n5 `, Y! U4 m$ K ( X- B( b) N6 D9 e; r* y
% Y8 p6 Z: N8 t+ q$ G' B& L
. i; v7 n8 B2 \% }. X 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ) {; F; @5 G5 E/ P% T
$ L# Q/ e8 D% }
" V4 X% y$ ~3 I& G$ t
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 - }& Q/ ?) v. i) U, b
]( G1 y+ w1 [9 _3 Y! k 0 f# z8 [1 Z1 Q
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
: ?3 K5 ]+ l4 X' ]' ^3 N
, f' Z, _& u. M4 S 2 d9 K/ S! D! J, s& p6 f
6 t, z0 d4 v$ F: g 1 O2 O- m& q. C7 ^( o
; t- U3 P# E8 Y, G( X) p/ U
9 j( B7 E. z$ z 0 Z0 [. M# ~# X* f( M: R
2 L. T: k- }: H9 J( W+ n9 e m
& C, z3 o! i* Y3 [7 z& Z! F
* @2 i$ R+ T9 T0 M
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - k& i5 E( f. d/ M; i5 I! B& B9 h+ M
/ a0 M4 w4 e. Y9 a' P
% ^7 Y* q3 p( o8 U2 Z0 r& n4 z% ] 3 j2 s- T4 b; i/ l8 d& W* }
" E3 ~7 e: V: Y; o; z* q
7 n* [4 {' l% W
+ |0 m. T+ F7 Q
; N5 |2 A- N* J# P4 V/ e% x
+ s6 v) O/ t5 T3 ^; q9 r* Q' J