4 f6 F& @" U3 I6 G! A
2 v. F, }7 m. w. W/ u
# t1 e# I$ H6 p1 c) A! m: X/ a
& k$ I' ]8 c# A& Z! j 1 、弱口令扫描提权进服务器 7 C- {9 H$ x- H: E
! q, E; ^2 [% V8 Q
+ P3 J5 O' {" S4 s$ r; S0 n
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
/ J0 J \9 |( y8 ~7 l
7 `4 x* y, k6 K 8 E! M2 U- T/ V( v
3 P: r2 U3 i8 n4 D, ?6 a % j2 a) k. ^7 k% j# X3 K
/ Q8 n! x# y2 v+ S9 z
# S- p3 m& \" T' c
" J* f# b# D- Y( | W; T 6 ]* K3 j$ v, y/ D' i6 w
" B R+ a3 N% l/ k u
$ t+ v V& L: p- o" t: X( l* e
' d# c. K- A# e2 S# ~4 ]5 R, r
/ O3 k2 U) U' z8 t
5 D" ~( r' t `2 \3 I+ D ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 . W7 j7 k" M% M4 P, ^
4 l1 u( |7 D) S* i/ V/ L" e
+ l- j9 s2 d6 d+ ?* @2 B% { 执行一下命令看看 2 m k2 G& m6 p0 K: W& ^4 q2 g/ f
- ?% R* g; ?* G5 s* G: P
2 _$ Y* e5 r q: w0 Z 7 ^; Y; m* R; d, R2 X. Z3 R
7 b/ ]# L+ v$ t# ?4 s
* S+ W' j/ j' ^# D" w
% |2 K: I7 j r
! C% E I) `+ b n
2 Y, k$ ]# d% ?
% M8 i7 u- d; h( P
, a# _& v8 u S. O* P' u$ O, J( o$ X
开了 3389 ,直接加账号进去 + a1 g7 I! {8 Q! i
5 m+ @* B$ l8 j+ E0 t
' X6 D" T: @3 V2 g7 m' {* Z' f + A3 ^0 P4 |& Y, d5 e2 e5 G. s
( H7 a) b8 z2 s' L# l0 X ) ~9 }: w1 ~) \; f/ d0 {( Q
; |2 I0 b; C% L3 j( w
9 C% S! I& j5 P / V: Q/ \3 t3 H( @ c
9 j1 ]$ Z( R! K9 W, E3 ^ + {4 h' f9 g" b" P$ A. Y
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ) Y5 H! p! y' I* s; {3 n8 E) ~
, d( [3 e3 q* u! v; t6 t4 h
, x/ ]+ a! O$ D7 t( p) _) l+ l # Z* L; u- _) ]5 G7 H) e
& P" J" |/ U$ g% T
% Q6 m" _# n' x7 F$ ^
' ^5 L' l! w5 W! r, S, G" Y
0 h) l$ L% Q" j" F& g % l+ d2 O" l: u+ c0 N$ X
# p4 i/ Y* z O7 V/ c, ~" h$ Q v' P$ R7 `+ W 5 F* b% @$ m! I, u1 e; @4 D. v
直接加个后门, 5 J+ _+ W N& K$ I$ H
' V1 ^% R0 c' b6 J6 m& n
' y' g s4 k5 f& h' q m 2 p# J( v& b) O/ u% M
" i. j. T0 l6 r: a9 n9 w0 c& T- ^
6 r) Q$ Y* w9 w
! Z9 C# i: a/ E: @7 ]% @) d 0 ^2 g- H3 `5 B% c1 @! c ) q/ b7 e, ^; W% i* L) V
: s" M' Y* O6 n8 u" F
% L2 Z1 p; U: b9 N4 i 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 7 S( h% I' z5 a! G
7 O# x% A: [/ b! f
* {: Z4 u# C, H1 `- E% M( n 2 、域环境下渗透 搞定域内全部机器 7 {7 N# S) K& h) F
3 G9 @3 L' g# D5 \5 E0 u8 v7 u, i3 G
; A% q, {# h( v0 G9 o 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 & @4 \! o; R1 x0 ^2 A1 ]) O
( L W! C/ Y3 R: v7 u
2 r3 X9 d1 C- ]
% J7 R. @; t. z 0 h- T: l7 m/ i$ O6 h6 ~2 |" y
# f5 v- d* F# ]6 ?0 j
6 R4 G& D d: a* h3 s" c 0 k9 Z. j% W: C% Z0 X+ ]0 o
7 G# t% J9 q- {0 u( u
& m9 z. R& P3 @, o, L4 k, [, _' Y
4 t5 T0 T% @6 W: V+ M 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ! x+ m4 {0 W: D. I' n! ?5 V. K/ p2 M' C
; @/ }6 C1 j( t# V s
7 _$ G3 D. k4 q, A6 I2 f
9 }2 W* A5 l. g; A! \. Z
3 [1 ]; Y; b- s % O9 \" j( S @; G8 D
# X4 g% x4 g/ D c7 ?
& q/ h0 ^- i' U* V! B( `
0 E J( W# {6 T& d' w5 p! @* |
; [1 i; L2 Y7 P! L. }; g9 Y g
7 }- ~; u" y# W% j+ g
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: , S$ E0 K% {% y' o' N8 }
3 d! U! H* E d: A# R& {1 T6 m' k 8 e1 W1 B7 ^; ` ^+ \
2 Z8 t+ N `, _# b1 S5 b+ u 4 x. q' `: S( o9 R7 Q B
0 I& c4 f: k: x- `" W+ @5 R, P
1 M3 o. W g- } Z! U; _
" g7 r1 n. o J9 i x. H$ ^! b+ V! r 9 n- i& `9 D% N6 H
4 k2 d5 V7 J& L( @/ b9 t
8 K/ A. J( ^3 R9 O/ C4 b
利用 cluster 这个用户我们远程登录一下域服务器如图: + B) Z/ D; _* M$ R, @
9 v( O; r- R2 N( [6 ^ ) v Y* T, X3 g2 m. T
: F @7 w4 Z5 s' O) a4 M5 ~
/ E4 m- ]/ W6 @, P+ u" I
5 n% c( H2 O7 O( N( v$ r+ l3 q
1 d, a' R! m s5 [; X1 w
: t5 c. E5 b7 C7 h) H
# m* I( p4 C; O! [
) }8 F' ?0 N0 `5 P4 k
& Q% [9 y: M6 t c b 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 0 c" i2 h& H- h
6 h1 [+ z* i4 Q. x
" o+ h& ^" \6 J: M8 D3 ^ ?: |! o# K 1 y1 J! T, F( M! y
0 V m g, ^3 f0 [
T4 c; O; d3 z# q8 q, \4 @
/ q% @# H0 D7 \# ^6 o ) ~8 S; i9 v# n3 k- T
' }" E2 G7 H6 a) T, I3 a7 k
& S* W+ s8 Y! y% d" m! O, m B3 S8 x
4 a& r0 Z3 W7 F; E 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 A) d" u: i# j, D2 }/ [/ E
7 l3 B [$ ~9 ?1 ]
% J, [+ n! o4 d9 U5 S# e & j( m) X9 h7 F
' X# f9 O. s/ U% K z
5 p0 P4 ~5 C! w: |# ~0 j 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 4 G: |2 c/ `8 b# w
6 O' e3 b2 j4 F9 }. O. i) b4 W. T
! R! C( E3 n- N. \% d) h blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: # N4 G# [6 G5 g& p( h4 `
0 B& f. h$ Z# U" C- e2 a
, O- |* M8 n( t/ @2 } ! z4 I6 [! Y' e8 L/ P5 a
P# A( F' `5 l# y' N" F( V
* }3 p0 a% b6 V
- o4 b2 C6 S& u4 l, u" s0 C & C& @( D! c" a8 a. B2 T: h! I; F
& J. p( ?# r6 v0 J( Y9 k
/ d% }! i) N# r( N: Z3 K
/ P1 p. m9 z& A T6 z" D+ Y 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 1 \" a4 P \% a. Y. E; V9 s9 j$ z: h* @: U
7 E* \! C2 W2 {. V: o2 O3 c
2 p6 Z+ w) l8 _2 _% G6 e
7 Z; @8 I% P/ V( x+ V+ o. ~
6 _* Q( A# y9 b+ e. N8 ?
+ D$ T& b4 b3 Q; w
9 E, y6 `2 r$ n- x- C/ `1 [
% P. p0 b- b$ i& y* W ; p s& l7 x- A# D
% {% J( u; o5 O( V& k7 a9 N5 v % J: k! i/ g$ z+ O6 W/ k
利用 ms08067 成功溢出服务器,成功登录服务器 / E8 B% v, M+ D J! O
' ?0 H& @4 w- D/ M; K
# d3 W7 [2 j5 W x" T
3 v. a. \( I! a" v( x. |1 ~ G @ % i! n5 U+ P2 X
* `% o2 }1 |* E( I
% c4 c* X: J$ v" T O* g/ _ 2 G# M' E# h. T7 F d9 n
6 |, v9 _5 M: f; L1 N! Y' ]9 t" d
" r3 ~; F8 V' W, {: w
) X0 \, V& v; D. d4 o$ O \ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 9 f: B* l( Q+ g
( V7 L: G2 a( d ], _; m
. F: R, o% n8 k# s2 M 这样两个域我们就全部拿下了。 , F' t* H2 t8 D( J) |5 f
2 _+ m& W5 |: h* q& V' s5 ^$ t & ~" C% {* k8 b/ `0 Y6 [# w
3 、通过 oa 系统入侵 进服务器 , p! W! x" O0 q7 v: ?
/ Z. L% a" F Z j' V' Y [- d4 l
( f5 N( M8 J% L& x6 E I$ m) Z0 } Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 $ D9 p! b( r; H
9 `* d' @0 a! t3 j* @8 j6 p % R* m$ s! V W7 V9 w2 h K! i
- ]% w5 M' h m$ Y: Q" e 3 E9 y* n* a5 U7 E0 i7 y% ]
( h, {. h4 o; P" ~* c9 d, f( Q: o7 j
. ~4 j4 a N9 i
) o0 |2 w- o) }' l 0 }5 A2 u8 y7 M* y
+ |4 f V; r* X0 T% |( ~
" k) t/ b9 M2 [% j4 O- ^' H& q2 R 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 - t2 f( i# J% t, Y6 c3 l
/ L/ I* d2 Q- ?# S( V , [# j; D. p& b; Z+ x3 F. r& h
2 g% N- ?3 T( e4 ^3 h 1 [% {; v5 j& c5 J" K
: o0 H6 @( ?0 \0 T- a
- k9 m- o8 ]* e4 z5 p9 N
; V4 Q7 w: U' G" k* J
# n( c5 n1 B4 z' W- z7 s, t
: a% I. V- j" j
, f% i; q- b$ V' l5 R2 @
填写错误标记开扫结果如下 & b d- @7 w: L7 q9 v% O
, `$ f- j: D; d1 e8 G& {
1 v( ~+ I8 D. l$ W' h + E' F% e3 ~* y+ }
1 r2 A: {# I! p, a$ W& C+ | 8 u# A' N% @" U5 q4 K6 E
- ]2 s" }/ x' N$ g& [6 D. C # ?: u( Q, J+ y4 B
/ ]* Y, e0 F" S. L4 A. O
1 Z" W; ?, S' O, G
* {2 X; g$ Y3 A5 I 下面我们进 OA . ?, l) @6 v- T4 O& ^
i9 n: }' d* \' w# ^4 u 0 b, y/ i1 e) T1 ^8 G4 B/ {5 v, L' o7 q
], E% r, m# U' z6 z& g
$ ]5 M0 E0 X) F/ w- B
4 F ?. h5 n) F T! I% m5 r) r5 T0 T
/ o- o5 X+ ~- {3 o: T 3 Z; w7 }' i0 C; Q% m9 U
# \% W; H7 D' [% A
' z, W& G. g; p# x2 Z% A
8 |. r8 V' t$ w( P8 J3 a) J+ o 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 . p/ I: S0 p* n% E8 i0 E
" ]3 p: ^2 C8 A9 Q( @ + p. s% v- R2 s. R' J/ G
. v+ q9 W2 p% K9 d" s & k* `* }- J. Z$ n3 O
+ P N/ O+ `9 t0 i
- @* ^2 G0 x6 T
# n2 P5 ]' v( d5 R+ X- r D 9 t# s- a' q$ H1 x* ~. F% {" X1 P
; w4 m5 E& s! s
/ Q/ L1 P! s1 Y
2 t; j7 e; S+ S$ d8 T
5 u) m4 }) A$ b$ {: }) G" G
# Z6 Q7 z: i) b8 E# H 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 2 I c9 Z1 ?0 S2 V
6 U" f7 d j) C9 _7 y
; V3 G, \$ [+ M$ T4 M3 e
4 、利用 tomcat 提权进服务器 # @: b; E# j) R6 B9 \5 h% n
1 I+ U M2 z# v+ h$ C6 v% |4 t
' |* w! j4 P2 y& ~ |$ @; L
用 nessus 扫描目标 ip 发现如图 . z a3 j/ E2 O: z; s# N5 {
; |- \/ C7 G2 e7 x
9 u( b' K9 {* G
- w) T# Z6 y4 ~* b/ F
, z! d% P/ ]9 H K4 T' S $ e9 A8 m9 f; [- k3 o1 w
r* m: ^6 e" `9 M `4 R
8 Z3 E/ {1 c1 ?3 J9 I" M + d8 N2 p3 F+ }; r1 A
! x( `( M \$ [* _
1 I9 w L# ^# H# c 登录如图: 5 G$ v3 F# d6 G8 m% X1 u
( Z& v& U5 ?" E# C* V0 p; U
4 M- H: y. f$ R
, x% a7 Q4 I9 ` o/ p & R. L9 x. [$ [- `2 I
) O% V g4 f6 d
; E! R% E7 B' q
" x. ~ [9 C$ k0 m0 j , \+ }' G2 V! n4 G0 C
# [+ s7 |5 U H7 F
" F0 x# ]7 y* r% }( Z* l 找个上传的地方上传如图: ) S+ X9 l( H/ e7 u
. |* s' ]3 S9 H% S0 t' E
3 } Q8 Z" l1 C5 ` : i% O* j7 H9 ?' P
G( j8 b4 G4 F' O
7 @- F( o$ x, g- l& {
: R, o+ \" ` C6 m1 p6 i6 U
) N3 F, z: Y- F ; _2 u, v1 K/ t$ Y# Y
4 `+ f; A) N% ~# A0 t7 j! @
* I0 L9 r& Z' R& S x9 N! z0 R( b 然后就是同样执行命令提权,过程不在写了 $ _; D# t- W1 K( ?" d
9 {- V" z/ c$ a' N3 p: C* T
8 I( i i" L" F0 [" Z; m 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 j' X+ s7 X f9 g7 U* W
+ s- s9 T [" ^4 E
6 f4 B8 N: x6 F) z 首先测试 ARP 嗅探如图 1 u+ D$ f) S" W q+ X3 H
: j3 | B$ M, H8 d
7 p! n u- C9 q _% J* h 5 K/ l6 b0 G2 C! F, U
' _" F7 ?! P% D) ?# k ) R* W: _& z. L# a
0 g+ S- B$ x! B( U0 |1 F 8 w5 k1 T l% o" v) C
1 a7 x6 R1 f* s7 P0 _9 \
- p" b) X+ X3 F) q( p9 F # ~& _' ^# d! R: ]4 {5 F
测试结果如下图: * X; ^ L$ Y3 y$ l1 j( u
4 I- E# b4 L7 R
/ [3 l) ~ B8 G7 ^+ }# Y+ f * f- a( y% T" ~: W `# K
+ U8 R! ~6 l& F8 s% i( t
+ E8 D, ?. i/ I7 q& K% ?
+ i, }1 S6 i5 z8 l6 ^# P: G- R, a0 D
9 E* C6 W$ e" B! V3 f4 e s $ T; l+ S/ T( q3 H
% _9 C: |1 ~! A. n4 |" w2 |1 g8 ? 3 o) ^0 y+ h' B$ d
哈哈嗅探到的东西少是因为这个域下才有几台机器 6 _( a! g! f9 h, \9 _( k. u4 \
# a: K% A {8 t+ I6 x; a # m4 ~: q5 I3 ^, ?
下面我们测试 DNS 欺骗,如图: : N4 s4 I8 ?' [8 q) w1 Y
7 l/ H4 d4 G1 ~4 C% ^) P5 g" L$ @ + C" E5 v7 w8 t' m# M! o
9 S4 y9 R* ^, M, v7 v
9 a( q2 N& _. [
5 b6 l: w! h- s( _, @
Q& Z! k+ _0 F9 \% b
& b0 p7 _/ [# ]9 B6 o5 A 2 b- u w1 Q q& a) r% X
" H3 N$ S$ l4 H s1 c8 L8 b : P! `( s- ?" V( N
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 8 B/ }8 S9 G; ]0 N3 W$ n6 B
* b+ X4 \1 d4 V [6 n 5 F' n: w" n) } a) r* f& X
) @5 f1 s( k# ]0 F' o, P , g/ D5 `1 g+ Z, a& j' i, \5 `
9 _" t9 J- y' C- x
' c4 r# ^2 r6 M3 }' h 3 ?7 p y- O8 b: u0 w! V
/ \3 \* S. w/ _5 N. s
& _* g+ w: d! b5 d5 G6 h ; u" a% c/ x5 f) a
(注:欺骗这个过程由于我之前录制了教程,截图教程了) . ]; t z+ U8 _" n1 ]
8 ]( ?4 L/ Q$ g% ]" r3 V9 l& r
2 L6 R5 p" x* r2 q) M 6 、成功入侵交换机 ! _ a2 J; {6 n; F. h+ M$ j# g6 f) l
" k! W8 B) ~: @# U$ c 9 Y5 W- C6 z) y2 \$ ]
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 # v0 J' A6 I; a# h& c$ w L
! J- {4 Z X1 z# e/ |' L6 y- u
' \. t2 S. J+ H! z8 w 我们进服务器看看,插有福吧看着面熟吧 + i$ H6 {: N7 A# }
6 a, R4 l8 ~4 o 0 e% t8 i$ |$ r4 J. V( f( b
2 V* u8 N% T$ a# w) N
: B. A( f! n- @9 @. O: Y1 d
+ ]0 k5 L8 Y1 V0 X% M9 L
4 R+ Y" u" g( f; b
5 X) e7 X5 Q7 a! t 1 g& p- S8 @5 ^/ w
, P9 ^5 U' P. x9 L) j
/ h. L- T3 h9 Q- _& M# C 装了思科交换机管理系统,我们继续看,有两个 管理员 ) J# b3 j: b: O8 n1 h
# x O: R! f$ O# K) ~$ ~' O( ` Q
l7 v, o7 M% \% C& y
- D) J& Q* R C. D1 m3 v / u; Y6 ^3 T H9 D
% a |6 v1 H& A O2 W
5 Q; e3 ]1 _' u' c: r( r
7 c! J @* y) m: S6 n1 h6 ^9 g ! Z; W/ K! \% l
" v2 J- X( v7 Q, x 1 d# M }5 i$ b
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 7 I- c$ f- T Q9 U* e" X+ N& @
8 [+ m$ w2 |& x0 \5 C" U2 l
. c q; M: U% {; y# M8 W
+ e" S6 O1 M2 W& b2 J
$ z1 a7 f8 M6 D( _+ Y+ e1 }6 V 2 ]8 n; h5 ^/ F/ _( H# u
3 v0 C; r. j/ ?9 j+ A
5 M( o: q0 s- n) r6 Z
" H0 \! @4 ]+ B
R+ s8 H- ^: C. I. L( F) i( w
$ u4 P# M7 I$ n# V2 N7 C, A 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: % m! f" L, @$ k2 l# o
7 @8 h% u S2 t0 C; ?9 l( t
# z" |" e% H' ]7 Y
2 x( I, [( Q- O h7 [- [% N n7 k
) F+ h! _1 t/ T E+ K2 d+ K& {. O
7 b1 f8 l1 s8 U3 Y, O; S E) m
* O+ n2 E3 B9 S$ W! c1 {' ^: U
" A0 N# D. M3 ^
+ q- j( I% e! H- l2 C2 @
/ ^5 p% y2 c0 k. s! d6 d: R& e& q & T5 _6 i( h: Q
点 config ,必须写好对应的 communuity string 值,如图: 4 @& A, \$ h( c3 a; B! A" l9 R
6 \4 M. y0 o/ K6 c: {
; } U, @6 R7 f. {0 @7 c" x7 t 0 e' {2 B3 ^4 j' ^1 q
6 Y6 U4 P K( G
! Y @ z3 \ q2 K* f) E7 h( g3 y
% r' `. b; T) o$ A( n7 V) u/ ` - W, t1 S+ V5 ^* q% R4 _
3 h) t$ ]3 w8 s
" D3 }3 F4 k8 \4 k8 _
9 ~4 ~1 S4 U8 S
远程登录看看,如图: ; `. G- z# f+ T: _/ A: h
: L1 P5 o4 \; j9 n, i
# V( B0 ~7 U- D8 l. A1 Z
: r) n/ k5 f9 z6 h" O6 H& R. L q- Y4 H5 z+ G; ` m
/ O2 V8 |, ?# {. D5 [! W0 X' r
7 Z6 D% {9 G5 n" u R* j5 q2 h+ i( ~
% T$ [2 N7 D' r1 w' W/ R& r
$ E4 \8 X: V- y8 J, n& X
+ |) G$ Q# B" B W7 x
直接进入特权模式,以此类推搞了将近 70 台交换机如图: # G$ q4 j! H& z$ Q4 O% o
1 X6 j. |4 }9 @, H
% L: L! w( u: m" V" A
0 {3 s3 e z2 O" r $ V3 r/ w. \( Q! t3 k6 l ' n, K- B$ L* V4 ~
; z& p( b) S/ p) y , |% X. V$ [. D/ \
. J1 t$ V2 a! H% c* x
5 `( n4 C( s9 h
, L& J r' B Q/ y8 o/ p8 }# ^* g4 s
~ c2 @& j! [" j4 Z
0 S# \3 w" b, z1 P# n" o; e& ] 1 Q7 }# E3 G' n
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** 2 b) W. v6 W8 F1 h3 j1 q, B
6 j; N, l* T& B/ N& Z
" e8 e6 ^! r- z8 M" V- y
1 A$ n1 T# ]' S5 }" r: g- I: q " E1 T6 `/ x2 t. p" o. D
8 H& `0 |: o3 @8 s* Y, F+ R
" H- W# N9 s0 L" D; Y
% ^3 D( r# k0 p* X( T& I- M ; X4 U- a& f9 r9 {# `* u
9 q2 @0 D+ z1 P, i: g b
6 [, V' ~2 c9 D7 e; U 确实可以读取配置文件的。 $ u" y7 S* H2 }- F" d: ~7 z$ n5 {
6 f( G7 w4 U! l( m4 Z. X; d2 m
9 q. s9 @6 T( U/ M$ ], u& i 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 4 r4 M1 O% H- z$ _3 v
+ E6 |) k) t1 q* M; ?) l1 Y; }& f d! m3 N8 @# p& d# Q
2 R) i- k" w$ D" O: A- M: y; P) n: [
) U3 I' ~1 ~9 L3 f) p! G4 Z$ c& q
, a" b4 P2 l! v6 [$ p6 y, ]
8 x C+ C5 y9 Y% h; v& x% B0 x
5 V1 q5 B8 J* M( T % B) W0 |* A% ]3 P4 V6 m' ~* P
7 V2 I) x' ^* }; M8 x
; b4 S3 k2 J2 g" B/ K4 p Z v% { , b P5 c4 I6 o, C
: G) e" F9 [. x# l6 A + W9 h' I _9 h/ ^% W
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 O; R2 C7 d+ z5 j% ]2 ]: C Y
6 b) w0 F0 J; \# `, D7 K/ [
# ^7 q/ C+ q5 [& z# n5 d) V
b! L" P5 N- j) D/ T' ]9 m, n7 i
1 U1 K* \9 K! d: p- i1 ~ 1 l5 M) M; g8 g3 r( w' T
0 \/ }( f. o+ Q8 B8 a! \
5 m/ Y1 x7 x- {3 m0 s3 i 7 D; h( R3 R& Y0 B
* `& q. e; u3 f5 h" K$ ~6 ?* q5 N2 ]
7 s8 X9 m- y. N$ \6 c+ M 上图千兆交换机管理系统。 3 P9 e; M% ]' Q- ^, }- H- b
/ { `/ w( @# K" ~) U: P
- B" ^9 n3 G9 c8 H( ? 7 、入侵山石网关防火墙 + W. [8 `7 U( E% B0 J
/ I: G Q7 [0 t* d' y2 S& E 7 E% I l: I% _( T, ^! I+ u7 D
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: . I: P! f7 k" o+ N- B: |% f/ B
# \, \+ M( e* W4 l0 L 9 `4 J9 M& _: Z" I
+ @ X# w9 i/ ^) ]$ b" x1 n 7 V& N, p3 p8 a- C 2 T" Z, V3 I/ g4 ?
6 Y4 d- f" I+ q) t* x6 H9 T " s* e* w$ }$ n0 _
* d5 `& k% G& f9 q/ U/ m6 B
+ \ s; I0 k6 S3 ]& H: p" T/ W
/ U d! V% a( l4 s! x5 H9 w 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' x% N) \# K, d4 d: l) @8 G
( d/ g7 s7 Q3 w+ y
. d5 k, Q) g5 s% @' ]; \
* u* Y: Y7 A$ u# s 5 S, ^9 `# J. {+ }5 v- v
- c# i8 t1 O+ f7 s, z! G
* B5 |3 x: L- S5 {4 k {
1 R; c) G' y! p' J+ m$ Y " x v$ g: M6 N7 E
$ k% S/ z% n4 p6 I' F' ^
+ E$ y: r3 P" b! g7 r2 o 然后登陆网关如图: ** ! t" Z3 w. E: D4 I
* b6 n; s' R# A2 U / t5 C1 b& Z* n2 k; V8 d
. _/ z% b+ G3 q! I. } D( z9 J" M ; W3 }3 Y" I4 Y2 y/ {# _
" F7 D, H/ G: n+ d$ h* o2 \7 F) K
; {, ^6 Q$ q) }' b
) z$ m: x. F9 ^ 0 g/ X; n1 F5 J0 N6 I
3 g# D; Y( ^0 s/ Z3 a
* M) ~9 w. ]6 R, l6 k# {! C7 m
4 |8 o) f! ^4 A0 ^# [+ w, w 5 }$ w O' _- e4 Z6 e
( p2 M' u E7 j- C! z1 k
8 B6 ?3 t) b, X/ |% _ / E! k, Z) z" p( ]2 a) Q
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ; W- T) x V5 @$ w% ?; A
; R$ w; q& C9 S9 M; C6 p1 t
6 h5 i* `$ K W3 x8 e4 e
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 1 b5 {8 U$ S: b, m0 e# Z% j, n" u
}/ u8 j$ b0 R4 l
3 i a& L" i" ~* f4 s
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
/ a3 H- t; g e( D/ Y2 X
) h) X% _3 h7 `% K; \' ?' R ! [7 Y/ f( I! e! V4 `3 R& @2 Y Y
: O7 R+ K n, I% Y! s+ F- c
3 ?9 Q& y2 {; G& l4 J" A: } ! ?. d# W( ]+ g
) K* G' o4 M5 K
$ T% M$ [8 @. `6 Q$ g* z3 i. H ( s( Q) Z0 r' K, ?( {. r
+ Y; ` v) V, L' r # J4 p- s& W0 T
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 / ?0 P0 Z ]; S
' q& @2 y2 E( `" b6 S/ {& P ) G: U5 U _# Y8 c: @) G5 t* s
+ f' X% E- G( c# y
7 I }2 i2 T2 ^" y
3 n0 q6 s' U1 _ c6 r, s+ `
+ R7 F0 I0 q7 @! w# @: k
3 \2 d# I3 P2 O& P" k$ F ) W. p# ~+ _+ }( b7 d* I' }) {) V
发表于 2018-10-20 20:19:10
收藏
支持
反对