|
+ w* `0 r( D/ p! P
# P9 B7 V" x, m- {* q6 b# P
0 z+ [* c1 y+ Q( k
3 j# O @# J( d8 T: A& n; _' f 1、弱口令扫描提权进服务器
+ l6 i3 O3 i/ T6 I; X
+ d" P+ w/ s, X& O0 Y
9 f; J& l. |" H, {$ o8 ^ 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
: h, o% y) ~" p" Y7 f# J0 I- a5 ] c3 | ! ^) ] {8 m" y
5 N- |1 B) V3 K4 I! i0 y, N) a* F
; f- u* C5 f6 k4 h0 a" N
- P: B) u" F- W6 A+ b) h
) }/ V! f1 l8 T/ m/ `& n
) h- J& z6 n* x& u
2 r) ^2 q. T) N1 K  0 N/ N% ^2 x3 p( G4 D. v; {9 a
! `8 z. n: [. [: z& o- F
/ ]& [. ~& h+ B, F 
! e, N, `- [' Z" ?7 _% w
n# d' f2 n- e* ^$ ~: q: A0 I, E; y" i4 B. Y( s5 q y
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
# y) j( i3 v- p$ Q% P1 m
3 g3 z, l; j5 l9 h
$ p6 e: m6 v. L" u 执行一下命令看看
8 |: }8 U" Q( s% @9 L5 F1 g
+ i" H- M) z# Q5 p1 T5 ]* [ T! w* D1 [8 a& o& p
( z0 s) Q7 R/ H$ V6 g; H
) t3 s0 Q: l2 [$ a
: Q2 T$ {* i! ~
" R' ]! G$ b+ ]4 R' L- B4 r: Q* h; A( o
+ `% l5 J( m8 s
, `# t* ^! U* M4 G
% `* [6 g( w, F( j
! n, q z$ C' ~2 N( | s3 b3 S 开了3389 ,直接加账号进去
7 [0 B+ _9 z+ S; Z2 ~9 q0 m; w. `
% w$ K% F, ]' ]8 L1 d* k5 u) v
4 B; r g9 x$ p( a+ F
1 C. A5 ]5 ]* q) B: P2 n
* p8 E' r* C0 \3 |3 J: R ' V( @1 z5 J2 D v; L
( g/ n1 _* a n% [
4 |! ^* e. }! o
9 k- w( r( M/ _& ] : `5 W: J* o! k* P: ?4 r
) E8 G. c8 m3 f& M" F* y( q2 O1 S
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
9 Z+ ?; R" M8 A: k5 \
. K6 C) g1 L2 F1 ^& n( X! b) h/ l' q8 q2 T6 [7 K0 l- N& ]
0 B( H: n/ x! N. k n5 P
3 Z' e9 \& t- V3 r2 D. j
4 [# Y9 Y% n9 M0 t) t3 l
2 X* u1 W, m: Z: g& t1 v& Z
+ D: ~2 @6 Y- o1 g# b  ' ~$ A3 T) \, I
; S; d" t W, X& L8 X2 h
1 ^# p Y2 Y+ I. w J* s 直接加个后门, & L' _1 w( v& j9 Q9 y
' g6 E2 g( O2 t9 i" F. T3 U: Z# h+ {4 t% ?( r
1 j6 V3 Z$ k, S9 e( ?
: E8 A" v O7 Y9 U( {
& ]% ?: N9 R8 R, R$ S * b7 j2 s f W; O
3 f k9 U' d9 R- K4 |& K9 Y7 l
* P! s }% I! E/ }3 Z& V & X' e6 `) Z v% _) M0 b/ u" m7 d
5 p( w, C7 g1 F9 K( F& P4 n* V
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
! q$ h o$ D1 C6 q5 w% |. a
* E3 o' m2 a5 ]/ X8 F* W$ R
" H0 S F& F0 V5 { 2 、域环境下渗透搞定域内全部机器
! E: j, g9 I5 o. Z- h
: r& U. _3 w1 M5 g& y* T4 a
5 N ^( M: r! d8 ?, X& b7 C 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ) o" P9 P% x$ c) C4 ^
! e9 X- f3 a. J E1 z' X& {, J1 ^3 i, ~' g2 j2 N1 D+ ?
6 m5 S1 y6 a% e
8 }( Y( p5 N7 A7 B) U
* a( t/ [) ^$ k' d
0 L6 k+ M$ Y0 m7 B p* V: {" N8 o4 C8 I" e
; y% N) W4 z$ k& [5 V
) N6 V0 p% T0 t
F7 o- U6 q. m 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 " Q+ |8 x+ ?" b
, k3 u7 W* f) d( o0 E& d, I9 I
7 `) ?! {* ~8 E. K0 K, w4 Y$ l6 x1 o
* g. U) `( k1 |( c5 l
$ f% h2 U) w, t! e' g$ q$ G 2 J1 U4 G1 f! @9 _3 L
; P, }7 |# Z$ f; x: [# w
- |# ~; O2 t, w0 U( b. x z% T* R7 W 
5 R9 g8 j! Q3 {) u/ W6 @' y : o& i% m+ q. I, N
! X1 y3 n; k8 M* _& q 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 2 H- e/ H9 E c
& T [ d6 f- c/ g- U
6 @% m' _: r L6 \( R , f9 V2 m5 q( k b' b& u0 V
, G4 b' q1 ~# W" M% y$ W3 z& N 3 }) c' N9 k7 f6 y4 \
) E8 F* m/ d0 T5 ?5 [
3 p: U8 L5 a: d5 I- Y# X 
+ r: \$ j" g8 r! E: o ' \5 m' G0 r$ X* K9 [9 I1 q9 y
/ M* a* S8 s) N- C# a- v
利用cluster 这个用户我们远程登录一下域服务器如图:
+ }) O- h6 H( U* H4 d- e1 T2 X; A: R6 z' F ! E' ^3 H x( c* |$ a: V
8 B% s$ h7 z6 |3 |' ~
( q# X9 M- b. S
8 ?' w, A8 n- P! H* `
. J) n* d( A+ f3 s' x# b+ b
; D% _, |9 Z+ Q. K- H2 T+ |( ^
+ j* w& x( S% j4 {6 i/ n* W7 y 
. m% z2 s* S. l2 q 8 `4 A8 B/ M- U# e0 }9 N* d. j
) X) U! ^0 @# \4 T8 o 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 5 {& Y: {4 n' Z0 _. W6 @, S' c9 b
$ @/ `2 Z( W1 Q# n9 L
- C, J8 f$ M6 R( Z; ]& k' ~% S . O3 e5 S3 E6 [. g' Z
3 h0 l$ S6 f/ o5 o
6 k0 N [, S/ U7 l. A
# {' g4 [. h" f( l
# i# P1 f7 e7 h! c  4 G( m6 e2 B% e- S9 }
7 x/ ?% w# o0 n# A
9 @' z* a% O6 g9 R+ m9 k 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 1 R8 T% o% J2 i6 }, I
$ T: P* ~3 b8 Y5 R3 e |' u
# V$ ?6 T" b+ | n, @ \; v2 Q
 ' \$ I; [0 z& j+ Z( J1 ]
# s# b. H' l3 B0 B: B2 V3 |6 S2 n+ g, l+ q" [+ z" T+ N' v
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping ! K! x7 j5 |7 V8 I v3 U
4 @6 B7 }/ e: _" p* p% {. v/ O, F8 s" ]: a! J
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ) ^: N! \. W$ D" ^& h
2 d+ A0 M( I. r2 h6 z) ]$ g! q7 Y
# o$ Y, J( F% ~ 5 N( K7 g! H3 O D# o' w
& A/ o: ?/ h; s, F3 b* C4 ?0 c x
" A' O1 u# S# |( ?' ^+ t; i6 W
+ e+ a; p! p0 w2 N4 B
$ X9 M' a& G! n Q* P 
8 x* G+ z+ f5 T- y w0 G 7 w+ o9 E+ e) J" I# v
- q: C/ Q2 C. ?+ g* r; L# q- v 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
6 D1 d4 Z g6 E$ t/ r" A- U 9 A1 u8 N0 H7 x
8 D5 ?! y4 W b" m6 `/ `; j
" G6 e" v' W) R
5 d9 D( G; p, g0 T* V/ F+ M& S 6 T9 J* p4 s0 h7 q! C% J
1 i9 [, L" p. V. J1 e
" x- v# V7 j e; M  $ a: v4 |6 j( l% N
6 h+ a3 i) I3 `! a
& K2 q' V% E5 y$ n" w) C 利用ms08067 成功溢出服务器,成功登录服务器
+ `; r' `: L( |' }5 g( ~7 c! ` % W3 q1 V$ w' O; I" L2 Q3 O
# k! ^" V5 \/ ]1 r9 Q5 ]" P 6 J+ p6 |, Y4 k. O4 C E
4 Y* h k% L9 ^& M
6 {- q% E# y) F1 N0 v% l. J+ \
# T7 |: r, M, v
. p/ m+ F! u: w) w1 i1 q5 e
& a4 n- `: n5 R9 u; s5 W
; b. C9 t, T! }& F, i$ a9 ~5 n$ \- F" p4 [) H# Q: Y
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
$ I6 W) h" N; b; h, f " x4 v7 y: d) [! y) k) R9 o
A: P; y _- U5 ?: f 这样两个域我们就全部拿下了。
; M# w' ?) y4 ?. [' S' u2 U r
; k" O% R* U {- d$ W6 }( E3 q% W* M* w
3 、通过oa 系统入侵进服务器
% [, m# ^" X, Q & e% Q- @" g- ^: i! W
8 |1 ^3 H, S5 Z* Y! R' m
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 + k' o4 n9 N. @, j _, _2 A
8 \( f5 j$ c4 l0 N' h! H
* D1 ]% u+ \) {3 }6 a % d. {7 w( t, Z
1 x6 n v; u4 g5 r( q' ^, O
4 m# H: y. R4 \. ^ . t# i$ _; i0 G
- I6 }1 d! l. a6 j5 _ U4 b7 X$ I) p  - f, |+ ]( J7 x7 J
4 b2 d% J5 g0 y* p2 u4 z! Y' Z) b `5 P3 _. @! ?
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
1 B: I; k5 `0 f R& s$ g8 j. v& K# ` S$ Z8 B
) o) t0 f& @8 H5 j % r% {9 Z( A- F2 N4 d+ z$ H
4 t- \- u6 V: ^" c: x1 }! D0 U
( G5 J4 J) I0 m8 p$ p0 G 6 S# \% H2 ^8 I* x: D
+ ?$ x) h# ], x& Y+ J9 w 
! E4 z! k, W* M 6 @5 s7 Q0 }. A6 |9 z3 c. h' C# |
. @, x6 R& f+ F8 z& |8 v
填写错误标记开扫结果如下
, M- D4 T; J' c , G6 g; b1 T, I* n: }
/ T9 W" `- p( o: [# P( T+ m
" z$ {$ ?+ |4 @1 J6 X1 U/ \1 ^" B
% f! E& j8 \1 I4 s# |4 A. C
9 u: s- c: z# f! a/ Z( w# a
: f, K3 s0 y& B/ H9 X" m; f
$ ]! ^/ O9 D, u# W3 r 
8 i! U0 z3 W( k" d2 o6 _ & P f" D( ?6 T0 {0 i' Z: h/ P
' R0 r* y, _ `
下面我们进OA
) ^8 ]8 o, a/ \
$ ^+ s% O& W7 Y
% c* @) O' x) L" x% d" k7 f) f' i; B 9 {3 V0 o: b( H0 i1 J
3 G+ i$ p9 M2 W( x
5 D; ~: y! a% l9 s+ |
. Y: k! K! D! x) x
% m8 V" x2 k5 ^ 
* N/ s: Z; I: a 8 s$ J+ M0 S7 |: q
* m7 \6 z+ {. v
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 @" |/ B$ m: J6 y( `
3 i: H& @6 O3 p0 d3 r! l; I
, J' `3 D7 D m: L6 u- d! p ' v( p d: O5 L# d1 M, S1 G' z4 A
1 S6 u( e4 l2 V: n$ j
( }; h+ J* C t* N5 K
$ @; m5 a9 {6 F
: X0 N- ~' x) o3 i
9 Q2 {6 o$ p5 k: P' G2 @" b
. ?" H% g% \, |5 u2 Q: z# J/ `* }) ~6 @8 ]
0 e; O5 `5 }$ m4 k : H9 L( d0 E- e6 E6 [# I, d: t
) m0 H. q6 H; S# O5 g& T8 c) K 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 9 B& S$ V+ V( n b- s$ i" C% U
' q+ h( q) k/ D; @- }1 }8 l8 `3 @5 n
+ ^" R" p" p( m: [
4 、利用tomcat 提权进服务器
6 z+ J1 C% F" Z6 g# s- G+ r
1 w! m4 a! ^6 x+ K. K' Q3 J- }3 Z9 l! M- ^& t! v. k
用nessus 扫描目标ip 发现如图
9 J) |5 N3 F" ]; y. v
7 T3 `# Y6 J6 r( _( P
" f0 F" J3 `; |3 I2 P
1 L, c* a$ r$ Y0 p
; ?6 P' b _) b. n
7 ]' m6 z9 y7 a2 @- ` - e0 c- A+ }# O' u. t5 S$ G
/ c# D, G. E2 G4 m( z I4 F& j 
q6 b, O* U3 `7 Y3 C
1 {) ^7 ?# N! U# \0 B* Q
* k6 ~- H7 E1 M9 T+ ` 登录如图:
* @, }+ X0 N6 C2 a1 H. J/ V2 `! \
1 |; T3 ^% t* i/ B! t0 V0 G+ X; C6 _$ t
+ \! a; P1 k% M$ T * a& [! v' @6 Y( O7 Z- U
: C8 m3 Q, M5 m3 ^$ [ # n" q' i: X2 R3 C( [& [
' Y, e$ Z: o0 m0 Y) r6 n- k+ R8 @4 O( _
 ( X3 t' f; V" Y. o3 G, L) J! ^ W
/ h1 H8 ]) n% p. N5 H& U
* S/ X9 y3 P/ O/ r8 t4 J
找个上传的地方上传如图: $ O+ w. |8 M) }# `
8 `! S7 Y* {& d7 u! T
4 P0 Z. y& n2 V; a; J. O
9 Q8 W- O7 s3 a
& k0 u M/ s: f7 D # H! L! K* D) Q3 n( p9 k- j0 S" W
j) T9 L9 y" c
" ~/ i4 H8 j3 I$ d 
/ w: [- V# E( X. z 0 W: W+ y4 j8 Q% @, t/ f
% P. d& @/ U4 }) X4 I2 N) a 然后就是同样执行命令提权,过程不在写了 + ]8 _( r2 z+ f; Z6 ?- l
( ^7 W2 `* b0 z6 _2 }/ O
( A0 E0 \/ h) A% ^* V# j$ i( h( i 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
6 i2 T: \# D( p0 m( p5 \
" Z z- a' V: B8 O/ t0 N4 o7 ?& w/ ?2 t- _
首先测试ARP 嗅探如图 * E) V8 ^" F5 Y7 q
- M2 z7 q- F/ U- n$ Y
9 H( x" A- }0 [3 L g
3 h; R( \% B8 y& f, ?$ q+ K5 E: z
8 S) @2 b8 O4 O4 v4 T/ y5 y& h0 v : W- r: Z% n9 e6 P3 ?. Q) e3 E
8 z/ ^4 p* x% S
" W6 V" d5 y3 E
$ V4 y8 @5 O" W 7 R6 K0 q, o# i7 U. u9 {
' T6 V j! {" i
测试结果如下图:
4 `6 T+ `" d0 H, Y: B/ } , I3 n: g/ c- f# t2 z& `
w* l, w5 \( q5 g/ T
a" q8 p# i0 ?; w! e( O
" J. T% X) V; E, L/ L* w5 r* H# U
! a& c, }7 H7 Y, r1 J
# ^% c1 F; T1 Z7 w( M# O' T# a
d5 O- l6 Y' f" n5 v/ R" i9 h9 K
 # o1 [7 F& e* F, I$ F8 C
4 ?! G3 ~; o; V$ m. H, d
2 j% _" ~: X/ @. r4 y+ C
哈哈嗅探到的东西少是因为这个域下才有几台机器 , @$ f' `5 w7 o# ^( E& {$ ]
; D t* x. `# R* a4 P* M$ u, m& e/ y
下面我们测试DNS欺骗,如图: 1 Y3 n8 q2 L- h9 Z
5 F4 J7 I* d' X8 b1 u
2 @+ Y' `. ^) J! N! f" n ^
+ ]/ N4 [6 B+ e
7 N) x& U, z0 l% |' ~ w9 b6 @
- N! ^6 M; t% \' I5 F! O - |# Z' L, D- _$ c: G3 }
' ]- L! K9 k4 H$ n# D" \0 J  2 z7 M7 S3 p8 @, ~
% B0 u5 ]3 L/ k, I1 H' s
3 G0 F# C( @6 J$ }: z* b 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
$ {* x2 K4 m+ g& ]; T 5 w% Y) n& [0 G* ~
8 ^1 R/ e( C- Q $ N T6 J: g$ T0 Q6 T0 X3 D
2 Q% A. b' B+ n1 [
7 Z2 k5 a4 d; v, @* d3 L+ J/ T4 z: l 3 D6 x# |# j$ H/ w1 |* n6 l
$ a" R& u. m7 B# Y/ j! b( Y
 / y, R! a! q* }( s
0 h+ ~- ^( U% V2 a9 F0 j$ L S9 c( _9 s/ _3 s$ y
(注:欺骗这个过程由于我之前录制了教程,截图教程了) , _ l$ M2 h; [) d6 }
2 A0 t, U" v; b1 S' w$ b! Z5 @ g4 n4 h( T+ H; {) s4 N X. K3 R
6 、成功入侵交换机 - R0 Y7 u0 x, q9 t! g
9 X+ S/ C. Q4 C4 j) _
! m* s# ?1 g% W: ?' M 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 9 K2 y/ t3 w7 D( Y( P* \
4 u: E- `7 R. {0 X
/ z$ i8 r" X* m2 H) y: Q 我们进服务器看看,插有福吧看着面熟吧
3 L5 F* A: a# @! @* [' b; g " Q+ o& ]5 _8 e2 j6 P9 i- m4 l
" |3 K+ U+ M% W/ R5 r
6 k8 C& p# V' l. m
% Q( g/ c; N, ^% S2 _" {; r * M: I$ e. Y- ]; V
, B2 v5 ?5 W: }% i9 c
1 T) k# D1 Z% w1 j  , l$ a, F3 l7 [) Q) Z6 m9 _" _
2 H+ |# s- ?+ v$ }; s# C# n. T
X! Y, m& z9 r1 h- F( c/ ] 装了思科交换机管理系统,我们继续看,有两个 管理员
1 Q9 b9 b9 M6 J- m7 J) }; y; ]2 Y
: ^0 i' q: x* D5 ^* J' _' a7 R% P S G& ^7 I0 t
* b9 I( f5 y+ I6 H K# s
! V2 P' _8 Q) Q9 h8 M$ W: [
7 }" I: Y u q0 J
; P+ M/ T( w' c5 O
) l; Q" U) A k# V. v8 j  8 C0 K( V/ e2 o4 s+ E$ K- Y
8 a9 U" x8 |3 s
! q( `) P. l+ r& [
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 J& f' B; z6 j" v6 f( s0 K
* o- O) L7 F& @. v/ f
' h" t- o+ z& Y! }0 Q8 m R$ o
$ K7 l0 T4 v9 b/ p7 r
' c0 d" d" d3 F& U# m+ _; O
% R) J- \* f6 F( u
0 n9 i+ u7 T8 x: C9 s6 k' y
( A/ \5 q' M7 c- u- v 
2 _6 g% V/ V0 v) c
/ T% w; U4 T4 u
; a: K0 |" y; o1 a3 R 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
2 M8 } I! j1 }3 T# ] [* [ / D1 I; `6 w; A! x k5 ~) p* r* U; m
& \& S4 p- p0 U% p" M
% O. k3 w* ^) k9 Z
) n# I3 g9 l$ f
: f. Y* G* c3 s/ N0 [
& w+ h: ?3 F( s" w4 g$ E9 U7 b/ G5 C3 K+ R- ^& h9 ]
g1 N( d# ]. u+ ?0 \/ {
+ E7 S* Q C% r3 B) \) r3 d) k6 w1 y# u5 a1 w8 S. z8 Z
点config ,必须写好对应的communuity string 值,如图: * C" l! J: u# j
* K5 Q- {, Z- K% m. E _3 ^3 h; a5 G4 g2 t
* ~3 Y/ S. ~4 [$ y# k) v, R0 h2 o
: O! V) U$ h$ Q% T4 w- e" ?) `9 Z 0 g, |8 t) O4 o; H
$ Z# Z" g' r, P" N# Y7 z
6 B6 M) l. u9 J. @ 
6 p2 x! a+ ~" o5 c/ m . m) p; b Y. K9 T6 F
* u. @) {- A# B1 N8 a4 Q" {
远程登录看看,如图:
O. A* `1 I/ ?; n
9 e9 a F, o; e2 w1 \% }1 f$ a8 }# R
$ w, c$ Q8 Y" `1 u( d
G, O# `3 y3 {( K$ x1 D' i
: g5 S1 c6 T) D " }* C# x9 m7 u8 D5 V: j
( x1 r. x( i6 Y- O a  9 S, `; ~# i( ?8 {) `
4 f; V% s1 o8 D) I7 F6 T) P3 Q
+ w! X0 o: i0 s# {- H& R 直接进入特权模式,以此类推搞了将近70 台交换机如图:
i; Q9 b" J( x- ]# o* b4 X
" }9 y1 {4 g7 o$ a4 U D8 [% N2 @, Z5 `9 x- I7 n: J
3 [. p1 W K: ^: T6 D) y
$ _- j; L9 m1 k3 c; f/ ^
4 r- ]$ f3 J' c4 z/ D! [ . L5 i9 T0 p; G- d: |1 O
$ }6 g2 O5 G1 D% c7 O' Z 
: G7 j+ c# v/ S% F2 V1 f) E, ?& E & D9 M# I. u7 ]+ C
9 L0 Z4 Q8 v) K$ j% F6 [1 u- U; G  & F+ G: x! W& @4 r6 f$ |) _
2 K6 X3 C7 ~5 g# [
6 c: e: H! a7 ~. v
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** : @1 A) {- E6 ^5 @4 S
: R, z ?+ ]- \6 v" a
! C& p# |4 }& u! \$ I, b& { G / z# D% \1 A- C1 u0 h7 S x1 R c
1 z$ u, l% q1 t
: Q$ v& e$ n0 U$ u& c* y
: x$ Q/ ^8 p C/ ^$ }8 L5 o! I1 J
L- C5 c/ z. K" P 
9 D% K1 ]' s6 a. Q5 C- x 7 ?' [0 t: f3 Z4 C; ~0 I5 q+ |7 H
! c& d, b- [% C( _9 L! t
确实可以读取配置文件的。 7 d& E3 N1 t8 x0 e. A8 J
- l6 p' Y5 f3 c$ r
9 R5 }# i% I1 W4 {
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 5 C8 X* z" j. V
, }, q' T3 m0 q+ N. k5 G
' e; I1 u8 }" W5 J! o$ t
K. E' V4 o0 ^3 a; ~! G
6 y- o" E# s. F" k. N
" n; S6 A3 Q$ u 2 D2 u0 _8 e: o
& B0 B! F+ i& @/ l 
" x( `2 s% y F1 l8 M o # t g# Y* Q1 l7 c3 t- J0 \( {+ |" B
- U: Q! @) e N* q# Z" {! @
 : }) V7 T- D6 h6 S) b$ F0 Y
- m0 L9 ~/ u. B4 J
2 ?3 b2 B2 e: X# `% @9 F 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
$ f: s6 s& U1 v+ S& w
8 D& u1 f6 d3 b; [
% ]* G" |7 J- c) f5 e5 j
1 x/ x6 g, Z, M% E
* {) l+ O( b3 X5 a9 d # A$ ~1 C4 D& s- o, l" k4 Z$ ~
! z! Y+ i8 Z6 z r" j, E
. {$ i; h1 e* m' J T 
& z, I( \ `9 r; F
3 I: b0 ?1 @+ K/ g; B
/ k4 C r0 }8 u4 M6 }8 R 上图千兆交换机管理系统。
" @# M8 B1 j5 t/ \' d . W- I6 h1 g; g7 k6 ^3 x2 R$ G
1 ~6 a1 i/ A! J+ R 7 、入侵山石网关防火墙 , O' M4 P( ]6 b/ R
6 }! A7 {$ g+ a; Z5 v+ ^$ f3 b
! T) K3 O- D% ~ Z, S
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
6 o6 y5 C7 N6 ?& p: U; B" c* s8 H 0 t1 {1 f% x" z- @2 \+ @$ F F
+ M/ h: g. n# V# j1 u; [. O
( a, w( n! t8 v$ S' K
; P. p$ A: R7 |( l
% v4 m0 P# \6 H1 @, B4 I' E& F6 N3 f
! E2 o! Y# e3 F, l! {; e; Y7 w3 }; |! x
0 x4 N# g6 V7 D4 B0 v* R5 O - j7 k7 J1 a, r9 R! Y* m) v
' t* h) |" {0 R) W6 ~ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
& }( ` j2 k. @2 d8 t) k/ F - ?! ^# R, f; b Y; y; y5 Q6 Q
_" M7 A# o; e( I& M5 h7 }" Z
* H8 [# H6 ?/ C: f5 I2 D; h
& A% v0 u; y0 S' q6 H2 D
2 x, g/ ]! b1 \3 n2 ] L/ f w9 m. X 1 K& j1 u. ?% U
# o9 c/ k/ A5 u0 W 
! H% } v) A" ~/ h
+ |$ @; a9 q0 T {) W' ^5 T8 P- ?; m% L( T$ X/ r
然后登陆网关如图:** 9 @+ Y! K5 j3 [9 j+ Q
) x8 j. w1 T7 |' l1 ~- p
2 ]+ q( G: u" o: u# p : e" r7 ^/ e; Y3 h
. {. h- j1 F/ E1 A$ n
) j# Z3 T" L; Y: R
* F& u8 _3 o$ x- ^3 J* v
' n( |8 f/ I2 V4 P" }$ j  3 X( b; S7 l0 S' a
S5 U% Y( Z. P% ^4 q
! c7 w* A0 p Q4 r# i
) |2 r$ z4 W- D- U% Y% ^# u7 j
; b( N% X) a/ L1 W+ e, N6 G' f+ r
9 A7 k- a9 j! B! Z/ x
4 g% M, o Z$ g1 A$ H9 @
0 d0 F* k; R A/ C8 l/ H! G
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
8 s$ `" a; d) t% {+ }, O" R: n ( ~$ z' ?8 E0 y2 }2 u
% r7 B5 Z+ @, @ M0 g5 w# S1 g2 f 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 + b8 S# Y7 F: a% \) w
U) W: {8 K+ R0 `
9 Y+ |+ S8 `+ c
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
; a. i9 v0 E! `# n$ K+ O 3 i. B" r. l: u1 d% h# q
t) w) E7 c! @* |* c, t
. x t4 d3 W ]# M" v# B
, i5 K- K( O/ `" d% {5 e) I" r
! H7 K- t6 q3 w/ W9 ]/ T; T0 t, E ! ^! E0 j; C4 }( I# _
. ^5 b, U8 H; C# C' V Q7 _
 ! W( k8 M! q6 Z- Z7 J; ^
! K: C3 V; a7 A1 e8 k
$ G1 B. [5 R- x8 W0 p5 X( y5 l
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
4 `& h! T @8 E' n6 |7 n7 e ( p( m8 i: S; r: Z
8 s" [ F& Z- [" R 8 |; B) v/ B' @
, q) @/ y' X7 H/ w
7 m4 X/ r8 N9 F/ o# W, M# U
" Z# B; x' Y2 T# H+ i: Z8 B) Y" W
* ]6 m" A+ b9 S, m
* v( _6 }) K4 j, n | 
发表于 2018-10-20 20:19:10
收藏
支持
反对