|
! _) E2 ]4 N. G, w' Y8 g
0 i9 B# K" S" Q" B% q* W
8 [5 }- ]* y* I8 w% l8 ?
. l% @0 U d6 p 1、弱口令扫描提权进服务器
2 d9 @9 u& Z2 S1 s
( J, j' J3 t5 R) s% {- o" _
@: p" K8 G! g' l5 t. i 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 7 D4 e) z2 f5 B @/ {2 v. y7 W
- |: @; O6 U2 |; E, ~, Q, ?8 t% r2 k; ?0 F+ d/ h" w1 K0 g/ k
# i! Y3 u' B% `! ?
; c) ~# S* \. `2 s6 U6 C
' h- r! O8 I# T* L) W a* @ 7 w+ I' g2 O7 g+ x( R
6 z" v9 t6 r. X: M
" y( d% S, _/ B, g# @ 7 A+ P4 N/ K' l, Y5 Y/ n+ l
) n* _5 }' M, L/ a4 ~ 
6 }3 W+ ~# _4 L9 C
0 t" D& }1 o* @- v- _! U% y) u9 ~
& J e) ^: A+ p/ e6 _7 w7 o X ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
7 Z) V; Z, d5 c2 Y' e9 q: ~( S 1 E) A6 B( _" S
5 ~- K4 \: ~( S1 e+ s
执行一下命令看看
8 y+ s8 _ c& K( B9 C% w- D1 `/ m , T* W) {' o( R* T7 W/ R
" x* {2 ]. L8 q9 }! r 
1 L& y1 }4 o. v1 I- ^ 5 [6 m9 u0 o7 `, Y0 H
" \* j; q1 o# H6 ?' R% B. T+ p" W9 t
+ p d- n. V6 N! C- r. D0 [* G
$ }- w, l& Z6 Q5 q0 g2 A% C' v( S
* f, a5 @: V6 k; S. d/ Q
& p0 d, K& @4 O
0 O, a u/ ~7 ^& n 开了3389 ,直接加账号进去 ! E* \3 O9 r, i. \4 l1 J" B, l
2 c- B8 L+ z! @5 {3 o% I ^# B5 q5 |9 E5 J. L8 \5 D. K0 }
1 s2 q0 m; S' Y
- C" B# R. n. l0 u5 m% Z2 X
' J3 l* A" f& \5 n O3 P
) G- j A# c6 Z4 S8 f
( g' r# U& J, S3 o6 b! y3 w9 ~ 
, P' S$ S/ O6 [6 Z - H- p2 {. { A4 Y; r
7 |- G3 k4 ]! `
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ r& A& l0 ?3 p( ?
% u6 T6 t7 O- k! K
5 W' I7 A7 b9 m0 D
% I5 G5 f$ A7 N
4 N$ l- c, C% n
, V- e9 g/ J5 B% f5 H% @; R2 ] - J, Y6 s' z1 M6 R& y( L, ~$ d
& ~7 @" o7 {, r
 , H- x c$ k0 H
* S% @9 p- o! O" V2 f
a/ y5 ?( V2 k3 O1 c' b 直接加个后门,
: I3 N& ]5 @) \3 B2 p7 c
$ f @; W: E) U |( ~
7 W; Y, ]6 f) U8 i1 o2 F4 v- R- L  4 a' B6 I- r6 ?* Y- U
; K; i# H/ v2 M: M
4 o/ f+ y7 Q( @1 E: [! b . h9 J$ J8 h2 {+ I [
: n7 d% h5 S9 l1 W [8 J
, m4 }' ~' C5 P, ^, ^- D
* ` u$ l4 G1 O# y0 O2 |& a+ \ t' t* a) y& E
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . k+ f" d% s1 d
. U: }, e5 L1 ~0 r$ s5 y' o# h' l
2 、域环境下渗透搞定域内全部机器
! R; n4 i) f- N& L. W. O) x& U
0 R$ {* ~* n) k* j \* B7 I& n6 S3 R0 u
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
7 v% l2 C; F$ @ 1 T" ]5 H/ I. Y3 Q3 Y1 g- Y% D. i
5 @* k6 F4 h$ }, I
1 v& @/ E1 x& M- o
2 [; k0 t4 Q% A
/ ~ r/ j, v, u7 W 5 \/ I7 T, n: h7 h# O% l4 Z
[) j& E- j' o+ V y! i+ |% D1 w
9 W7 Q' |; {& \) z% e
" t+ U% E" z4 k, j% |# }
8 E! @% {! D2 B { 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
* v+ O; w" j( ?$ d, B1 ` ' M+ I9 s* _% P; r+ Z" ?
8 E$ T2 C0 a0 s% k$ ` . j, K+ ]$ P7 J- U# y0 c; p' _
6 I/ Q% ]+ Y5 P6 ~
( ^- [" B# N7 q# x7 s; R
% i7 k* C# C, m) I) }: I
" ~, K) B1 d+ X$ R0 O4 o  ' g) _6 d' \3 K1 P M
d& `3 E* P/ {5 E% b; n) P. W9 |
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
4 A8 A+ T4 ^: |2 {; ^
/ ~6 d5 F8 r) x5 `* {0 I
% R5 Q/ a2 i* b7 q# n, n0 D+ o. q
3 S) K' b$ W. t8 W. Z1 {; h
& O. ~8 A: d5 U4 C0 ~) a; X
# h1 ?3 H _: q2 M% i/ U6 D
5 x2 A8 k9 E. o9 N5 M
# y) j8 t9 n. _  ! T; `+ ]- ?% R4 x, T2 Y3 L' W N
+ h1 A9 D2 V" ?
H, g' I }* U/ S8 \6 W 利用cluster 这个用户我们远程登录一下域服务器如图: - {) O5 S; Q4 I8 h
9 n# `8 q$ }9 D5 g/ C8 s6 P% _: D. K6 J& \8 @) ? I% H$ C" y
- }1 \6 V' U0 r6 D, E L9 Z
, z+ [7 l& v/ Y4 Z0 j
* k" H/ t( `$ d% ~6 t ! P, p& D @- U8 Z$ j6 {% L! ^
9 O5 M5 q4 d9 Q* |9 y
 8 ~0 r0 B6 ?: K: N
: f, q8 G0 y2 ]$ P3 _8 C* A
2 ~ ], E. F* {8 h
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: % f/ e. m7 [. t6 ^
& M- |. x5 u9 S: m, G7 x4 f4 C; b, s. R! l4 z7 ~. ~" B- G5 @
7 z+ W/ y* j' H* }
6 t$ A" h6 {$ L; K4 Y
8 @! K; X X( o* d: J, j v0 M7 e+ V# [
, |' Q8 u# g1 w+ M. O B
 0 ]& R7 r$ G \; r( I
, [5 y% ~ ^" L) P( G2 u- c/ t) P, f# E$ i; r% n
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 8 g2 X& Z6 m7 G* A5 H l
- l- X. j+ m; x4 P( q
' W" q8 M& f. N6 c! s 
O* {; j* M7 s g ) T$ @& G) `3 E9 N& H) H
1 t& x* A. u" z+ Y 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
8 w6 b0 G% r! T8 B- f* V1 |3 b; h : w1 o+ H/ t; L* Y4 V+ g
; F( w) L1 u. O8 Z9 k& t# h1 a# `3 J
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
, X# n# f5 f: [' B . n# s5 u5 z# l: ?, ~! I' t
4 `" a! i2 ~( a
0 s8 G" Y; o. G8 ~- |6 E' ?
0 p+ h( K7 X! I1 s" ^ {$ k
/ R* [" I$ ~, ]' O' w/ g
6 N5 Q! r1 ?8 ~4 s0 L" [* {) a: h a1 |/ `. Q
$ q: |: }( m: s. y# J, b + V# R2 z2 Q& X3 {8 Z
N1 O% M! H( J! ~ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
" \5 k0 |8 p' z- C6 s
. j& X. D0 t! w' P8 d/ N" F. h* @7 Q3 |1 t3 U; A0 Z2 |5 c" l6 Z# o! R& y
: Z0 j) k3 `/ g+ {
# |8 g+ k' k' S5 [- @4 ~ , I2 e& k! Y4 ?6 h; m* } p* @
3 P# q" L" Y6 P" N9 h' M) X$ f# R2 r
! i; J4 @: M* K s1 O
! P# q/ v4 l) } J9 ^, r
9 V7 I6 n1 `2 g$ Y 利用ms08067 成功溢出服务器,成功登录服务器 % e) \1 V' Y1 V
1 b! n* ~9 Y: g" d
: A% ?1 g |% K; R2 P% j6 C# }
0 i" T N; `& Q% H# C6 }
8 B6 h1 q3 t X$ ]" Y
3 K! V0 O# t) K0 ^: ^! z) ]! c
% Y/ k; T) m+ W' `6 T4 u
* k/ m% s/ _6 F0 w4 _9 _% q  & S/ u4 u& T1 ~% U( c& f
! I9 @# q: {1 l: q
) Q, f& `/ l$ ], R0 Y' G, a 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 0 m! R' g. j5 F& d g
# @% a" J" s [, L/ s- a
6 l' u6 f5 V5 L0 x- b# A3 l 这样两个域我们就全部拿下了。
" l& k c8 a% J# Z 5 w- L8 m. I3 _
% d* R: Q1 z* i" ]+ X7 ?( m/ D1 v
3 、通过oa 系统入侵进服务器
( i k1 u/ g1 O3 a % B9 N3 W. A5 `/ ~& F1 l
/ E3 |# X2 m8 \2 H6 D Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
- {5 V8 N- }, I5 P8 w; G
+ J! a$ }2 V3 q& u9 q3 O' V# E+ N2 g! u- F# Z
, F% M5 B" U1 u# D
6 f7 T, V& [0 ~0 u! `
- D, B8 V! W. e
4 ?& w) s! x! m6 ^ q
- S) u5 V! |1 W* J  , p' s+ z$ t! F$ F6 u) p" p& ]
% K6 Z, V0 L3 }0 ^- S; g
6 \5 x4 s4 w* P* G+ [
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 i% d2 M" N6 ~( e' T
! _. _ K; n! `8 p6 K& y2 ?* ? P
6 D0 ~9 }7 |: a
3 l, u$ N$ N' G/ x) G4 E' Y
9 `. a. ~; W( M- T7 O% A 0 \7 d( N$ E% j8 V
5 _2 m" O8 G; e6 n! ?8 g
* X0 \) {; X( m; a
6 f _ M4 F. X4 w% _, R- s
! c: a3 t3 e4 |4 C, i
4 h4 e* r2 y" {2 r& P4 `5 K 填写错误标记开扫结果如下 0 ~8 B4 Y# O3 h5 h5 _
7 E$ ^% x w- n2 {8 c' W2 l* F& s# H) J% ]7 s% G6 e
+ b% B* x( t7 @" }
; \ F+ s2 ~$ V6 M
* V% h) Y. X2 Z) t: G
0 E e+ @! M6 t
! v7 v4 A2 }" I# l5 V 
% V5 h& [0 r6 v2 B& X
- q6 j6 S8 H6 f+ S2 U7 a0 V6 h+ q+ H) m5 o
下面我们进OA
1 @& _' r+ p! ^) m7 G" E
6 v4 ~8 ^# v+ T5 h9 D' V1 V4 G0 h. o* ?) U5 n
) u% [# _% e; E6 U
4 R4 r& b8 M! ]
( u3 a, f# i5 l6 e& y9 z/ w
1 c7 P2 [+ P: D* q5 R" ~% w/ F+ P7 q% Q' m0 j( G
 # T D0 h, k. ^; b4 I3 J
' n$ A6 K0 O7 p) r1 u. o @
\7 {/ e: {! W3 C$ n
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
( r" s" i# Z- A$ Z
" ^% _1 O) Y7 F& S6 \: _# s: @5 z* {; e9 f
$ P7 ^! U; B# }3 o1 V# J; H
; k9 ^ U' b% J2 J% g; ^) B; m 5 }* a, P! |# ~( v) Q, `1 ?
1 }4 U, a% @6 U" f
# f! X3 X9 \: h1 I+ X3 T8 W  * U* _9 j2 M- [) V/ E, g
m1 `- @! w+ H8 t+ I; z
2 J+ q$ k, t2 n
 * _- p' G. C0 {7 f& K' Z% p) \( K
6 p1 y, u/ j" e9 t
) [9 \$ H7 n: l) ?1 N9 q2 j
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 * {; p6 k: |$ I2 f) ?1 R' z' g
3 x! ?- W! M9 P& c9 [( K
9 b+ i3 j' U1 _- o" ^ 4 、利用tomcat 提权进服务器 0 @; [4 ^' s. N8 J4 ~
, m, }: x1 M! b
% H0 T b2 s5 h) J/ C' K0 o' H 用nessus 扫描目标ip 发现如图
& T1 V" R! `+ t4 l/ e( @3 X7 o
# c2 D6 V( k6 ?" p3 `
& x! w- g k3 t8 k! A
- Q6 |% h: F, e- T
6 }, }' _' R/ Q1 s& O- F6 e
- c: {6 C, [* b% L- ^$ X
/ t0 o: L: W# X0 l" S. ]
- s1 W6 w7 m3 l( |* F( T9 j
* M: C/ W8 a9 k2 H1 R
. V7 d' f/ b# K9 F- W4 ?4 C2 L4 @+ `5 ]3 R' c6 t/ U7 n
登录如图:
; }! {: ]4 S* v9 `; N 0 M& N& R1 O9 U- R
: ]* N; V% u+ D2 E/ a$ U' Q
]! N* G$ `3 G0 r" G
% R$ b; Y+ _ E8 @ ' Z2 o3 _( N( T5 I+ g* @7 g
1 t/ [6 O+ A" m' I' P H2 u0 Y0 I, R. ]8 `2 T7 ^6 G
 # q2 J2 X- n$ G$ O* Y! V9 A
, l: h) m: h) d6 \, x% |8 b
+ f' E0 H3 @3 Q# R) k" Z
找个上传的地方上传如图: $ z. j' e" ~+ u/ u
; W% c4 [/ S0 J5 \$ C
q y. O; ?9 ^4 \
1 U$ C6 a" n5 f9 w' i
' H# h# J6 E6 F% H
, K$ Y) @2 B8 d/ Q# J7 k9 m ! g" ]# @2 y7 F$ H1 I* t
/ |% @( @& l: L  + O- S/ Q& ? e* |
& q7 _5 X7 J% b) T( J7 |$ U9 D }# U6 J5 H% G
然后就是同样执行命令提权,过程不在写了 - p8 j4 y b. y" a y1 i
% g* y) B* s0 X4 I5 t( d7 ~% n( z
g* d" v. r3 v 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
0 N+ k3 ?" }" R9 e/ \- p; C
: x6 F g; h/ V- C* k1 g# q$ {3 I+ p0 T/ R; @( B! j
首先测试ARP 嗅探如图 4 y+ m4 L; _& b7 ^! l V1 H
1 l! ^% ?- v9 o& V
. t N! S$ _" d; D! m
3 _# ~2 q! }2 T9 r4 _1 g" n
7 i" t; I& L7 V! }8 N
9 v. c6 e8 ^) D5 O
4 g) b9 \# R0 t1 N h/ S2 A" X6 M9 E) h l z; w5 h
 0 G) K9 T# G1 ~4 R
5 O1 u5 A5 n6 x$ f* p2 |0 ~) h
6 i0 s# W/ j# W 测试结果如下图:
) d2 a& w% |! `7 Z
9 R. X* \: n. m5 {6 [7 f$ L; _8 x7 A- {9 v& ~
. w( O7 v) @6 L. V' a
0 x, o) l' H1 o6 v! k7 `
8 z& \. [* x' _ 8 m' G+ \* j1 k w4 `0 o* ^
9 {5 u( p6 m! s1 K2 N% {6 n3 c
$ `( u0 p* X) c& S2 t2 \
; E% _1 {9 y6 s5 V1 g' c$ z0 Z, d/ G, L+ o) J1 E1 Y/ R
哈哈嗅探到的东西少是因为这个域下才有几台机器
! _* K5 \( h" S. `% \, t+ @ * P& D; h7 }! \/ l: j, A
/ d/ ?/ Y3 a( _) q
下面我们测试DNS欺骗,如图: : ^* F8 }7 e; Q" O
9 T+ L; v. E# J$ |& [. q: j2 D
6 T* `. z7 x9 q+ Y- X) X6 M
# ^! d+ s6 [' z2 A. f! ?: A' }- z
1 _8 n G9 Y5 a - m5 s- ~4 A9 ]* Y+ K; h
$ X" j9 y9 Y$ l5 k
7 p& D# P, l7 d
( { B" ]: Z" q1 V% ^2 Q 1 y: k5 g( v% e' N
2 }/ Q2 ]/ z+ u# G6 ^+ V5 n0 R
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: . }; v7 n; n; i8 X
8 o$ [' p( l- o# I0 f, e% U
2 c; a' i' X8 e' \" t
: P! [0 g$ J- k1 P
4 p& J: A) z2 N+ C- @% ^; \) R
, o ^8 r6 V: V& ]# R0 v7 _
}8 T( S. Q$ o8 Q$ i" a1 |( Q* k/ t; k+ e# `% G# \
 % Z" J! Q4 W8 F# y! p1 ]! U
# F* a+ h% Z7 G+ `/ W
! p6 k! f3 n% Y* Z, K (注:欺骗这个过程由于我之前录制了教程,截图教程了)
% Q! ?0 m) Q( y * M! w: l9 u n" D7 s
' s) X1 t; |- I7 C7 @" N/ c 6 、成功入侵交换机
4 E3 v& L2 B1 p; B/ I% K; r) ~ ) m( J3 Q. ~6 N! H
) K, x; |' \$ Z. l) h
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
4 A7 {% b/ }9 B$ E. i
% y; R5 q" J+ ~* { }0 \. u: [- o0 {6 Y4 L' \
我们进服务器看看,插有福吧看着面熟吧 * |4 f. S, x* z5 c$ K/ c) Z" ^
3 O* e2 \, b! R( I9 E
- W# z9 z8 c# _. K" { }
2 j+ r: Z$ \0 j$ q
+ U _8 T6 q6 K$ L! C
' D) b K+ Q: C* A0 t4 ] 6 |+ E( {4 A. g% C) S9 P0 |1 m
+ d0 j. }. ]( C" h, F! a
2 |0 E( J" y9 k- l & T' M0 z" R2 `- ?3 U2 _! I
3 c0 N! }! y+ V
装了思科交换机管理系统,我们继续看,有两个 管理员
1 h" x2 q: }/ {* r: X) T( z; Z: J
' Y {7 k$ C: T4 e7 X7 K, y C- U+ B$ K
2 [" l5 W* ?7 i) C r( q
5 W$ i" ~" t. {
2 l3 [; i$ P, C2 w4 x0 m0 A2 u1 W
+ @2 y5 B+ b( N( a6 O6 b
0 S t n" ~& K9 G( }- l/ V2 T, C ]  8 @ Y* e) N! v% n4 g8 f- }7 K
* r: O, L r( ~" Z! X
) g: ]% h' a. z* s 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 2 v0 M R; f$ E% w
/ D- A6 A- T6 I+ O& }, x: z" G
7 s7 z0 B$ p* ^' ]5 p* F / Y& @2 z& L5 M( x: R) z5 C
& ]2 A2 u8 N. z% d3 Y
9 F# X8 u2 |: O. h0 o4 E7 ~1 W
8 A; U J( ^" L+ K2 c Q7 q) n4 v% a; N1 M$ Z$ O
 . s; \3 }& ]% [$ D2 D6 N8 k
7 g6 R$ s% ?% s7 c8 X+ }& v
2 l/ q/ e a- X% I- y3 i 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
# j! `1 x# z6 c! z( b
% h/ o# R! w0 A6 A3 R+ M9 U/ n; u9 M u0 S
]- K! D% V, f6 z: g5 n7 r. w
& e5 @8 R4 }' w) @
# V$ ]7 z( }7 d7 \ , _' }/ S/ P9 J* p0 m
* }3 f! @5 |5 z 
7 |, I& p! K; h8 a5 M
( ?8 a5 D# j2 }9 F1 u/ B! e( B
) ?* }2 u$ ?, b0 r 点config ,必须写好对应的communuity string 值,如图:
6 O9 u1 O j3 t. s# n$ X. V
( v* ]! j$ a3 e, e
3 |# D/ S; n+ Q7 s# ?+ W, a$ K 9 K. i. [; j5 ?* I+ E3 j9 M
: M0 @" i+ j; }* ~7 p
8 J. c8 {4 f) J8 J: _, R4 z7 { 9 Z1 e' H$ s0 g' I; |% N1 K
* |: h5 ]. F6 X* k: w
 6 T( l. e! k6 p8 ~+ ^9 X5 W6 n
2 I5 s: B8 A/ j
/ g: S+ ^! `3 R/ p) p3 X* V 远程登录看看,如图: * U- f& {3 Q. J- R$ a
/ L9 ~) y& S: i$ @
6 ]0 U3 x8 m4 L; i2 U; R
$ O! I# H l1 R( h i
) z; E8 {7 @2 }/ G" @( M
# n4 o% D/ X5 E; Z* U" h
, M( x, I' S5 v, y- P$ q V" L; C' ?* P* s8 _4 o
: E% l5 i3 X9 Q, I3 D% S& B 7 w* S( q& _, I3 K
# |" X7 y* R& i5 V; C) _
直接进入特权模式,以此类推搞了将近70 台交换机如图:
4 \1 E, s1 ] C5 c & e- U a' C( a l3 ^, a- d) B
" z! O9 M& f; F* |' r% @5 d5 G Q & e2 j4 e' o% u ?% u6 o. R- Q
6 o$ C8 J* T8 } a 0 e. s4 B! ~, k
6 Q3 f9 A' L; j/ {6 I q4 T
$ X- T' _) W( [% g0 W" v% a; u  5 l) j$ _. W. D, C O
/ f8 Y7 Y# i: }+ r; q3 j# V
7 r, t! }7 f$ [" I) d+ w  0 [6 k6 K' h2 v" ?1 F+ ]6 F( B4 l
' G9 y( w) G; [( ] K% b% T6 ?) v O( n7 @
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
' T) c$ ?! p0 S( U x# h4 s' k# [9 R$ n* ]
, @/ ^& N' Q6 ?4 ~! e % k8 N( \- N9 i$ t
6 w5 y& ^+ ?; o
0 \& L" v! p9 ` R* F- v
8 j( [: M/ w) o4 U
& u( p- Q/ G0 u 
8 D! X6 \; I& z! {3 p' ~
' I" w: s9 c8 O5 h8 L( y6 s$ _, l. w
确实可以读取配置文件的。 7 n1 X5 }; Q2 A; c0 _5 T
0 u8 W" v3 _3 E" ?+ }$ R, W) k9 k5 J8 u5 o3 L9 ]
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 I& @& P; ]6 Y% {3 o# e
, x/ G; Q4 r" ^( ?/ O
2 G& b- A5 B A, ?# r7 B, I
- S. `! Z5 X# S, D! o4 H: s Z
9 e5 `7 }: f/ k- f0 m
& s: J5 S9 G: V8 i6 d" y9 n 4 Q5 z# L. G2 j7 e- s8 V; k. G
3 F, a; e6 a6 n' j2 n% a- s 
5 B" W* }1 B* J, \0 r5 k" B: N
6 r5 C$ K6 _" T7 [0 A- D# A% D) x! D
, n4 N P I$ y# s9 v& B3 c* m7 F# w " [+ }1 L2 R5 ]* M
1 B) Y! B- U. ~# R. y
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
1 o, t$ U1 b4 N. i$ _7 C1 X
, Z) @, ]) Q/ P2 X* w5 ~: W
& q9 w, W# k( V+ C( }9 i
' t: E% }: M1 J% K( ^% s9 {
. I; k. B) E p: I; R' n& Z& J' x
3 F2 C* H" f/ ]" N/ m( g 2 I- O u1 n3 \
9 f W0 A1 O! a1 [" |* H
% w# S# F1 K% M! F2 ] + S, F& a7 S& J) w5 C- }+ M
% w2 \+ @7 F+ G, M 上图千兆交换机管理系统。
( L* F$ u6 J, Q" i3 u5 `8 t
7 }. `3 W6 g; p+ G% J+ a& I6 ^6 ?( Q; @* b
7 、入侵山石网关防火墙
: C: j/ S8 R3 G- k* \3 E " c+ W' _3 Q4 C# \
0 j3 Y, ?+ D$ h: b- r1 z2 k7 G 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
4 s/ {+ D! g4 P: x1 K% c 3 k" c6 p- ~8 ^/ q
7 P# z2 p4 `/ a. B- T
0 Y; @. z7 p/ [0 u
% J5 q7 x* e8 c! a9 D/ o
. d5 I5 ~0 b' C" K8 D- y
. Z+ r5 ]4 o; Q; L4 B- `
N1 V; C$ \4 u; l6 z# y 
$ K8 R- y& y( V4 Z
: ^% }5 Q0 J/ _2 b) K r' @0 e# a: k3 l: V# w
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 L# A; m& w( m* ` O6 ~$ p. f4 V4 A
9 {& p/ x+ ]9 B
3 [- F3 G0 E5 C1 W _
. ?; ?+ J3 t& X# _1 b
H: [; i% p$ v$ ~' m3 P
* m0 J, O! m5 F; S r. C1 ~2 t ; x4 L3 D; z# }7 _
Z+ U I1 Q. I( y# Q 
7 E& v t: v5 }, r1 N. o; E( w. T $ Y4 K' s( m- L0 ^% L( l
1 _/ I; J- \0 m& U8 Y( K( R7 F$ Y
然后登陆网关如图:**
. D$ H& x6 T* }- {; Q" L7 `8 O: B
* N9 g; Z8 m. r2 L6 a- E
G% Z2 F% y0 K3 z0 M. A Z. F1 H# R& H) W) @
, X1 d, A& r$ ^0 g - q1 [# e9 q4 X5 z! h2 l
1 _/ U8 ]# k ~; J3 ~
2 Q Z2 D! ?9 g 
- Z, x. k: ?+ {1 [- {
- e9 ?- y) {) z* @1 y7 f3 v) g' u& p; o/ K0 G! n
( Z( A4 }. \' l$ l( Y1 L* k4 `
- y8 [ c V6 A% u2 h 0 F4 E+ T( d* |
o0 X4 W+ A2 B6 q; P: \) A' o% a: H1 E H
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** ; S- S* [4 r- r! E! [" u% j4 U
3 h! x9 { E3 y; ?! K% C2 A! n0 t# y9 @* I
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 " Q4 D3 Q4 B/ ^/ |
9 t) S' g1 Y2 ?- S
+ a" q$ x/ C4 O7 F' L7 w& ~% E 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
9 P' |6 B3 X7 X1 \; v6 D& [7 P% J* w 0 d/ e# i) {' J' v9 V
* ^- J+ ]# G7 M
/ E' G! ~4 j3 n* A8 Z$ {/ q, O
8 v. ?/ y& L% P
4 D; G3 z* Y2 j/ K
7 D [7 c8 f/ N% V. r, U$ l3 \( [$ }+ g6 w: T& q: P9 \4 n7 e* Q1 E
 7 T& R' F v0 R0 h9 W
" w3 h1 I8 L7 ^* x5 M0 ]/ |3 x( y
; ^7 J: r) i* ~5 j" V 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
2 l) c, @8 u: W2 J 5 [+ f" _* u" N$ B
; w! n4 ?! N5 n- f4 n1 e# w 5 Q) X+ Y* v9 d4 b* d
& Q4 a. `0 G1 E5 {5 y
- A- r1 g k d/ ~
- Z' X1 I1 S" i1 [1 v$ p' k" Z
. V, `- |! _7 K4 ~& v- B( Q# K
, E. ~! v; N: p, ^0 h3 N& M | 
发表于 2018-10-20 20:19:10
收藏
支持
反对