+ P$ u6 \; X2 E: z! O
% T8 d! ]8 o# h \7 F& x
3 J& k* E3 ^% r! G# G) c8 [6 A 7 @ p+ S% q' P3 z8 S
1 、弱口令扫描提权进服务器
f( E8 q |% [: n
: w$ K! b( t( m$ F' }: o, i: {5 [! t( C 6 W! [2 h% U0 `2 ?. f6 W
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
( O1 ~: D6 j$ d$ j- p! j
4 ?& ]: K0 n# `, Q
7 H8 l1 {2 a# y 0 t! E& V3 z! \& t! U# _' T% x7 g
( [# Q. k0 i" T( P# V ) K9 A' [* j( x8 R% K. M
, L' B# `* s6 @ k
; z8 E# `; A0 S9 t4 }2 v
) \1 ?2 r" L3 R3 z4 o
2 w5 K# J" h3 o5 ` ! q" j/ Q9 `# K' E9 l
4 s$ }( m9 F4 A: M
0 |+ s; j; E( S9 L4 l! I( l0 ^
8 h; O& @- c; p) ^2 c
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
9 {) t D! A/ M, b; @* f4 H7 }
, i/ T5 G. ^8 c, y
' T' d* p7 c7 _2 Y; g% d3 F. B 执行一下命令看看 ) h. O+ J5 u0 p6 q: E3 z9 s
) V7 A2 y [3 ~
- W+ ~/ z u. t# f$ K3 f, [" r1 L - F, N0 q' }/ a
# \" A4 O4 s3 M& d
2 W' t# M' c& E7 W0 i$ u4 A
6 L3 o& k4 Z! h+ k; z
' L$ i- Y4 b4 u8 \$ J
( F, X6 a \# D. _8 Z
! I, L7 C* T3 R: K. j
6 I) s; z* P* e N; K
开了 3389 ,直接加账号进去
# V. Z% q7 G( ]3 \, K
1 E8 I; q/ y& m9 ]
+ U! Z- r+ @/ }& { % u& r7 J8 Y# _
! u0 G+ M# R$ b' L
0 `' y. j, Z: k: T0 F2 S+ T; w
4 {: H% M9 ]2 Y+ O3 @' o+ P
9 G' U0 n0 }7 h2 t6 K; j# Q6 ?
# t: k# v M5 N( S- F$ E7 a
* \* K+ y: F4 V$ P6 C: n, a
- b, \' e% B8 W 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 . O* j" y2 g" |. Z$ s) F1 o% P9 l
3 }/ |- K) F0 G' p d
: u2 q8 x J* P' Z/ O1 j
0 k: _2 |, {1 T. W3 q& r
5 V) C( M/ y/ g V) i / E5 k( R! ~- z: s7 j% h
. T0 q/ |& H/ d4 }- j9 E 8 Q) P' ~; ~, x4 A% E. }
# a4 h1 t$ P0 S8 I, o6 T m0 V$ x
; F5 T- g$ {( T# C4 X" T5 a 0 r' v6 r) c' J N9 ^
直接加个后门,
2 ^2 L4 l9 A$ \1 e
& z+ p& q3 c( t5 q7 D) [* x 3 Y- l/ W' ?! k3 H/ \
5 d5 C4 S: D" D
- S7 Y N5 h' ~, J & T' | ?4 s1 c' e% r, N) @- i* F
$ W! b" m1 `' T% M6 m& {- i' ]' p) c ; P! E3 [1 f* A: X! i$ V% Z
; u- |+ H/ O# k# }
- S/ k( f6 }" f4 g
2 f8 p/ b2 T! ~5 o& m' j 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
% V. L/ y( g8 C8 H
; p" T4 ]* @$ L* Q. V% `
, ^& h$ i5 F( c& a 2 、域环境下渗透 搞定域内全部机器 q- z1 o T& r7 Q1 f; H: O8 f
. I0 L& P9 y; x, ~" K( K
) `2 E% ` Q6 O3 o 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 7 p; D) s& I7 i- T6 O
/ _3 S, c) x [; G# Q9 Q $ h( _- H' D0 `- j V/ c' M
6 e8 s1 A8 J+ H+ P# ~. i% Y4 t0 S
* w }: r/ ]6 N6 a 1 J6 P- o7 s# J$ p
: K) G7 _" B' d5 }
6 m7 [5 y+ G& @( m1 j
) q$ N& `3 @) o
: X6 M! s8 r8 E4 W
0 J4 ^; W) h( Q B- P! |$ G3 W
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
* S1 h# C8 \1 P: c
* V8 m9 o6 \4 v% j; Y3 H
! R( T$ z6 T% f 2 ?- `# m- ^1 b0 b1 I
& k3 J4 N/ K4 _8 a$ \) o
4 d5 e6 V! E$ y: m: B' @# P
; B( s( G: x \( X: E. V
8 k. A& G; W) q% X7 Q$ f: [' N, k
+ R( `) d4 `6 M* M- c
& @5 j9 f( N7 G: r R 4 p- X9 {. G6 W5 l. R9 M1 @
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 0 U8 \" v+ `0 r- `% V# C% ^3 o
7 ~( p. ^- a" O& Q! l& a
! x P8 c# ?3 A; Z1 Y/ G " S- n1 A6 J/ b+ u* Y$ b
4 `# o: E- }4 j* E) I+ ~ Y9 B
/ c( H; I7 F" x9 G; l
, z8 d) T! K$ ^2 r1 ]% {4 T
) t9 E0 h4 y6 g5 }* ] 1 \: ?/ X% m$ G$ {% R
+ O' T3 f( |, O. V9 t( o
# k2 N0 {; Y: E/ j 利用 cluster 这个用户我们远程登录一下域服务器如图:
c1 K# x# v% r7 W" O* d
* z [ K8 x1 q9 u- `+ e
$ U' \& B* a" t $ m9 R) F5 q* D" M5 o7 \" T' C
$ Q: `, r, K( e. W5 c6 L3 ^; }
4 r. y5 j+ h( I
& n0 d% R4 [; @) n
& A s* t8 A6 V 2 E6 ^/ ` ?6 e, O! E" H# L
: p1 k; M5 c) G8 p) R
, k9 {: f9 ?/ q0 z# M/ `8 ]/ ] 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
( g, w" z0 R! {2 x
5 s" }* V1 @4 J5 P( v6 R( G " }: P$ o3 Q0 S0 m
0 M. y% e3 k% U# D" T5 K
" n! h& r9 c+ G. I f8 v6 r& n% [
4 L, _% w- {6 p
/ ?3 { e) P+ u) k
( J" D8 P9 D) g2 B. f+ d9 R
) c8 [: o$ Z+ a& {' [% t
0 z$ z5 C+ `" {" y
& ~9 d& j! H8 d$ [4 [
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
/ l2 j; s* I* V# M" D7 v
; K) P9 v8 v& ]5 Y
+ R0 F N6 h7 U. K8 u: e * a9 F' B% ^# u- Z6 J4 s4 f+ k
% t8 ?2 r0 E6 y& s0 d2 i
1 H3 O/ t# y2 i& ]9 P' F; j 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
9 ~( R3 c1 \5 t+ R% v4 K& d, f
3 e& ?( s4 p7 m; y2 `" b( k
6 s' B% r U4 l+ g$ o$ b1 F& T) H blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
9 m) Q* F. Q, z; w1 B) b
Q% s% `6 Z* ~# U& ^) U& j 8 X ?0 p( F& j- U& U
4 ~$ m1 g0 S- ]
}/ U. ~) h$ H
+ H; F7 Z& o8 F$ f
6 M* h* A1 E! }+ B- l! c: J ; U; }$ ^3 S9 n. ^8 m5 B
# M, y$ w6 L; p# p
/ H& T2 N. p$ N/ a+ b) P
3 E' j p& [6 G6 H4 l4 F Z" S
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 # y: G/ T% S5 n A
( o! x$ z0 V" W
2 A' \( t7 }$ K% S; C, I
" L" t; V/ ?0 F( A " O: \- [/ Q7 z* D. G
: {0 y1 O& q# b+ V$ {
0 \# c- F- Y8 t2 u
: N2 b3 u9 t* v 0 X$ s, n/ x$ u. E& E
% ]; ~; _# o3 q/ o. c+ B
1 Q6 E+ \0 P M$ n 利用 ms08067 成功溢出服务器,成功登录服务器 ! [1 j+ G" Q; c7 r+ u8 e
9 Q# D& r! @/ G$ `1 n' I* A! \ 7 S& U/ _) r/ g! y$ ~/ o
$ U$ Z! k% |/ i: {$ _+ n9 {/ v
# `2 a' B" T& R# U5 k" {) X
/ y* O' \! R$ A8 t$ w
4 s7 r) a) c4 n7 g+ n 1 E; f6 K0 I* k4 C
8 r+ Y5 z# x; n1 Y
9 S" `* Z$ y& {, W/ V
4 `, l2 h4 ? U$ { 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ' q U0 K* N2 o+ q1 \4 u
0 d4 m* a" E' _1 s5 \! B V ) Y, n1 N/ M5 x9 T4 M& }5 e
这样两个域我们就全部拿下了。
8 S7 v& L# \, {
; e+ d8 K) E0 G1 O
+ {2 X0 x- t6 A# x. D 3 、通过 oa 系统入侵 进服务器 4 b% T- i. A7 L. U8 P
& X1 b4 K- L7 ?5 O. F
& b! p+ S7 t; n3 C2 ^/ a
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
* ^; s& J* g6 r6 ] J+ x
; b8 S/ i& c" w/ G7 @
' O" S3 z! l- U, K & N u9 x- N( ^3 b v- `- g* f ^
. T0 x+ x, X, k3 R% V $ t. M h# L4 M/ m. R5 J- v
* k6 k/ j) v" G: j8 w3 H' ^
! F& ?$ t3 P/ S9 z
* v* D& s% U& n4 p$ L
2 n/ N9 I( t( q. T; A0 u
" p& R- b) t& ^, s6 Y 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ( i7 N1 h; S6 T- ]. a( z! S+ ~8 L
( N- m( w' r& m
: G( ?5 k& C( a$ U9 }/ q: ?
$ L' Q& \* t( F2 ` 2 z, T Z9 R6 q2 s1 _: @# S6 T3 }
, }) X, Q5 N3 n: A; M6 L: `
, J, ?0 ~0 q- z9 L+ y8 h5 V2 P 6 q6 Q& A) E6 K- h" f. _
. Q8 t6 a. Q" w$ J# U. m
4 I( G3 y. W* P4 z- [( q l* ~
* A, G$ j: ]0 e, C! e& u
填写错误标记开扫结果如下
I2 N7 S* g r" i9 m: A
4 m% ^' c* ] V% l! t% }
8 Y1 V6 Y( [( E# y' p% n8 r3 ^ ' G. W* i! r( W6 D, I
1 e* M& z/ N* x1 L$ ` $ g1 U ?" w7 m' A4 r* F8 x- M" e. c& M
- k" D o$ X! k5 c. I0 Z5 X
5 E; V; i1 H. @
6 Z' P7 D5 y! J+ |# M* m
8 G# {+ D9 S0 [, o6 x8 Z# W* a
: u _, l1 p8 F) Y4 m8 T 下面我们进 OA
/ B {; G8 V" L
7 [' l9 o" B; X9 D7 {
+ W: {! A' D9 e+ \: b ; x$ q0 j; }/ j" s
& @6 N' q! o9 | b2 H. x( P7 j
6 ]# a4 v3 E; V 0 f4 d+ r c1 [# M$ q- p# N
, I4 h$ r( S3 P1 `% a
. d, _2 P9 U( }! n4 o6 {
" X) _6 B# f& ~9 N 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
5 W( S/ B$ _. Z+ L
5 k' `) x0 z5 X3 y4 Z6 G& Y/ _
& ]# {8 ~0 \% i* }6 | g
. y, [; T9 |8 O% B7 d ! w( P2 Z: J$ r; j* z3 m
8 L- E1 [; |, ^# {) r$ O
5 H* o* z, I' \8 b! k' k) o0 r3 z
9 R+ ~& D t- U5 {8 l+ e; t
7 R8 k7 S& ~! Q7 X
2 S, e3 ~2 ]* _! k7 ~# l- a J
* C% l- Y7 Z, l
. `" e0 C8 B' v" G
" `5 J! S) {( d' t; n+ F# ~
" F H) p+ {9 `) V& Y8 L e
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 , B% u0 r8 Z( o2 |$ @6 f$ _
* L! f- s, u2 t: g+ n; @
& ?: x$ U: ?7 S* |3 U- K% i 4 、利用 tomcat 提权进服务器
; d3 }: ?3 e0 C
% n5 W& w' T% ?# c% k9 w/ r: v* } 9 i% U# b1 Z; Q# s" x
用 nessus 扫描目标 ip 发现如图 2 p: ^5 e( P" N. c" R
1 z* ]* p% U. I% w $ `7 u# L3 a2 f5 ? v
) m& I% D1 r6 f7 k4 B3 S
H8 P& u4 o, a( c. R& H
9 _) M8 g2 |7 o4 d
0 I8 U8 Z- h/ E- y, U# z" l
1 I# D, O I+ ]$ r0 q
( \1 O; V* N8 Q+ c: ?
R0 }& J& N4 x( l" Q w# w2 L
2 Z: x+ P, P4 U! M' L+ Q 登录如图:
, [8 R' N7 G3 y
/ a. d! S7 N5 N6 N- B" C4 j
9 B# S- ~4 l _; ~! F& o+ l- ]
1 _5 y- ~8 u" }; x" J9 O7 D3 e 6 e4 W5 {; Z! H# f! R) d% O
) |; U. q4 l8 [/ ^
! ^, j0 }, x+ Z6 }& q0 a$ c
5 L( H! u, d* c' M
C1 u: q/ U, p! f6 O+ |
! q" g7 p2 j& D1 [6 i# h; }
, W! D4 m2 u3 J, u$ {- j* V7 ? 找个上传的地方上传如图: 6 h% G2 N; ]7 f9 Z
: ^7 M; ]1 B. m. |5 K
: m9 V6 A4 D4 y$ E$ {2 [ C4 K0 d8 ]6 v5 d$ a+ g7 B
- j# b0 w# Q0 V/ V5 I
+ C$ \! |. U) q4 t- e- b
& J6 d2 m2 A6 r
& @0 t& i% c. h# f1 O; X
* `/ p0 |. L: c/ J
# E. Y* ^3 r1 M s c: L' [ 5 s. `' A5 y N4 i+ o0 h
然后就是同样执行命令提权,过程不在写了
p5 @/ \! G, X- F9 K7 [# w
2 T* O! @4 r: g6 B0 J5 r
9 `/ `% b/ J) k3 Y$ m( v 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
. m5 \* f3 G+ n8 x; }
' [7 t# i1 i$ H6 _3 F Q - Q& m) `. x+ _( a; [% L
首先测试 ARP 嗅探如图
9 @! e% m7 X# ?
1 L# H& G2 W1 Y1 S( g
3 d" I0 A" Q8 c p
9 H/ T# t1 g2 w% P
6 ]1 K' o3 r* O4 |' B( ?9 V
7 S4 @' s2 n8 P7 t
2 Z- r( L1 g* h; {4 ^
6 z+ a/ b4 S$ L& q n
) O$ Y+ q6 T% ~
9 {$ v5 s4 f# I* s- y* X # F( `3 a3 m) G7 @( B/ n: R
测试结果如下图: 4 X/ T$ M* j9 m0 N
* w, f$ u$ m5 M
" o& a$ W- b. @- @: t7 `( Z
. D) M9 N4 e' s8 @" \& q: z" X 8 K, {( S; K1 C/ k9 Z5 Z
5 U9 J m0 s4 G- i
: m4 p: _6 `0 F; Y7 ]" u" L
2 e% G0 Z; t: p+ \/ l7 e/ O
9 P7 i6 Z' Y5 z2 i
) v; R" \3 o, R9 x) C, i8 E+ ? h7 V/ `% Z5 x
哈哈嗅探到的东西少是因为这个域下才有几台机器 + A: P# d# x) @7 ~2 L s! E' l6 F
) F4 P3 ]0 X: @' F. U2 x
* x7 ~- q% r# _/ y4 U m1 ^* t; ] 下面我们测试 DNS 欺骗,如图: - C9 T- U# o0 D% E2 T+ }; S* ~
/ ~6 `: B; h& F
2 h) y. D% B7 ?: S9 z" f$ B% D; L & i6 h- l5 e% V* i( K
' m. ^' u: | U- w( v / s! A, {2 D+ T$ }4 \$ m
6 i8 N+ s( n+ |8 x5 }
P+ u0 x# ~4 I) H1 u
) ?: Q+ X! R3 x+ v7 I% W
( D/ f$ A, s2 [ n& f9 R( B ! o* |! H8 d. ?! e& L) V
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 0 A- N9 G8 v, K: K
0 b) I. F" @% F O. u8 ~5 w
' a/ b- y+ T/ b
9 t( H" J7 y& _, t& S9 |8 v$ G
( }0 u4 _; V, n5 _
/ }2 [ L0 e5 Q% d; \
1 ~% a; a! e0 Z; [1 s+ {
{6 a6 m! @: N B+ t& r5 n P/ ^+ H% `/ h
% i! b/ M, d" X6 n+ @
+ G( w8 L7 J2 M9 i- P* d" q % D" x! n5 N2 v$ [
(注:欺骗这个过程由于我之前录制了教程,截图教程了) p! |3 J) W$ Y. \" \( _' E
; W5 v! B* x# ~3 H$ ^: g
$ O6 p. }; T( P; z' t7 v
6 、成功入侵交换机
' Z; u- [: @0 i, B
" a$ F3 J0 |3 u; p! s; S o & Y2 T4 \5 f% U+ O# O, `2 d1 I
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
* _2 M# D0 w8 [
: |# Q9 i) S3 r3 E# v" x* D5 R
' b" g3 c8 I) c# M$ z- f 我们进服务器看看,插有福吧看着面熟吧 $ j2 L, p9 @7 g9 |( p- F
% h: S* q' m/ [1 I9 F9 }, w8 \! t
1 ?/ D; Y7 L' G. l$ t- \
3 F( t7 T7 T5 }/ w: ~
# w; v, u6 r) s9 f0 j- Q* C
/ t2 I7 w+ X) y }! s. a/ o
1 D; A: S* J( r4 v( Z6 `
: _3 y2 ~3 P% k1 W + X, ~) ]0 n8 I" i/ f3 q/ E
% J% Z/ A! I5 F 5 g+ y4 J% Z2 G
装了思科交换机管理系统,我们继续看,有两个 管理员 0 R( M ^) M: s$ a" x# B) [
9 k' @0 J2 G0 U
; v. R- o, w8 D/ _9 a# z# ?
- i! b" N/ }# W9 b# O: p# R
' o* A) A( V( S, x
' V% P' L8 W4 ^& r1 ]% H7 g% a) o
- N4 F% a! K8 j+ k0 @
1 }, d" T3 q7 ]2 a: X, i 4 m( h/ I3 ~5 P& d9 m7 T" r
0 Q$ p7 U8 a- d* R6 ^ F
7 z: k9 _) b/ a5 w5 q { u 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ! g" c* W( i# r! s1 b* f1 y5 f
6 a& }9 `. l8 O7 G: N) w
/ _0 s: ^: `$ o/ W, P$ T$ O 4 p4 E4 R. f3 J! \
* v+ ^6 C# y5 j 7 J- r, [' M0 Y4 [6 ~0 a
; q1 \8 S' e/ d0 ?9 D$ A
3 h1 C' S) f/ H# o" A* A+ g 0 H( ]4 y: l( O; N
, z: G- w/ O9 l4 j
8 K- w4 Q$ m% a! ^5 H; Q" P
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: / ]$ c3 ~( |- s
4 L2 l) P4 A4 P4 {5 y
1 J% X" @1 h% ]8 |& J
" z& L/ A# W* T1 c* |8 c) i & p8 G* L7 N: \# Q4 Z
1 v& ^- k% h. ~
! r N; }) L# ^% v; ~5 U! W) W
3 N7 z' l/ Y8 B, F6 W8 l
9 i5 I8 [9 R( V7 t' W9 H/ I! M
' a; ^8 z1 ^# N* R
9 I1 D) Y% L/ y8 }/ I7 @( D8 q 点 config ,必须写好对应的 communuity string 值,如图:
1 a; }* q- }, R+ f
( d; P4 X$ @. f1 S / f/ z( @) j3 \5 }
; w9 |: E9 r7 j 4 _# K- p4 a- A. I, @9 ~- X
0 Y' e" i' @* G. P
9 M9 c7 b3 _2 h6 s0 H) c \ k. `
4 d- i, @; Q6 v; J# M
' S0 ~. _7 u7 M& A! P
' O8 o% }/ a" F! B4 N! |- X u
6 A$ J( q; Y. x3 R5 N) S2 G 远程登录看看,如图:
; R/ X$ _8 J% j8 \# V
; K" @) P" u, F
* |' c" r6 }4 n3 w ( F8 Y7 x5 f0 X% @1 Z2 R
$ I9 a( ?9 D# o% G% V
) x4 m* w. p; T8 m( }& B
9 b; O* O% H6 i9 i7 ~
5 v' W: Z. T0 {0 N- r0 V e
$ d% d8 k; d$ H* @1 ^
$ o* ~- }2 X& a5 ]% v
1 N7 m9 H. s6 C: X 直接进入特权模式,以此类推搞了将近 70 台交换机如图: 1 b# h7 w# f2 e" _0 o7 E: _
' O; K- j# k' N) R0 F. h& q6 b " W. r3 y- |% ~& L4 X
) U3 Z8 Y N4 v; j! | 9 X1 w: a6 _; P6 ~" K
3 H7 I9 q/ G3 P2 q4 t9 `+ W
0 s! G; d T9 [3 ^! Q a9 J! a , h7 R& Q2 w& }+ y3 Y2 a( |
; H" ~ f1 a ?2 g% R9 A
9 e/ D) |6 V! G
9 X0 J5 T$ L5 m4 @' d( A, \
+ r2 E! H9 ~6 |: B8 Q
9 n& ` n# o! [/ l3 i5 o! I
3 d; \% Y; G" O$ l- v! C
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** 2 F, l& L4 B4 @) P
( c O6 |6 Q$ y1 R; D9 ~ , K. h5 M4 [; E# m( E
: V& E) H S$ Z- A, F* }( S! { - E) i$ z9 b. a' J. h* u2 Z+ ]( ?
3 l" J8 P, {! d* m; x
+ h& g2 b3 \8 B
4 h$ [4 p9 C- h7 Z: o }; m6 q3 }/ [; _; ~
, p5 t- s, `6 P: L% A
1 v1 ~0 I' o8 h
确实可以读取配置文件的。
- h6 L' r# k0 b, V6 z, }1 F
$ P" |% F6 x: f) W7 y+ J' D2 A
e6 Z6 t" {0 N$ k8 K/ R" K! P 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
) H) M4 ?% W; E, F( K
) Q" O" \# ^+ P: I% A L3 K
3 U7 q6 B& n" e4 \* C# T ' a3 i8 U t' O6 a
8 }8 f8 e& U( C3 P+ @2 t9 H5 {
3 M4 l6 n# {. n0 S+ `
: V/ f; U+ k( ^, J1 b
; `0 a, `& j( ~' y- [3 @$ P 3 ?, B! {3 ]% `
g( M) k) \% Z$ m1 q- I
* ^" t1 \/ M1 q E t7 w- \ 2 q% W: }; A9 x: e' F
( k4 u3 c7 }2 T$ U. U
+ G; ~, F5 L. u, ]/ L 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 / c3 s9 U( G- B
5 r3 f* \- |% l
. F$ V+ o2 ?6 `5 D$ X- e
* I0 o$ c, u# r" l5 y
8 w: [7 H0 Z5 O/ V# ~. d: W
3 X( N! M( V. ^* U" {1 t. e- ^! Q
, _% F+ V( Z& |* Q6 G L6 p 2 u6 M, |( ]4 E2 @
3 H- A* `( W- ~' `# m
* P& C7 Y: [) q8 _
3 @; S$ q C% b( c+ R% z 上图千兆交换机管理系统。
9 y5 N1 ^3 q4 a, g2 @4 X
; B0 }- b- J8 ]: N' f' J
3 h3 S' V( S1 C$ J4 c; k. A 7 、入侵山石网关防火墙
1 R; p9 T' X9 ~( D* l; k! }9 T
' S6 q! J' j# |7 s
" ~( U7 r( B* a" o6 G0 Q! h9 ^ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 k. S* d5 a& h( s
. a7 `+ f: {0 w$ o
6 T6 p* T- B2 G% X1 D( |
h3 B, y, c% I/ j ! h5 ~2 C" b% |
1 c! z; h* _- T8 V
. D7 ?2 c2 |3 F) T4 m4 i5 i
5 d2 I* w8 x7 n0 Y6 w& I
' l9 D4 w% G/ t+ y
# r) j7 Z' J0 _" O0 s 1 b, Z r4 x$ o( k% Q: w/ @
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: % r# E) A" m/ h d/ w
1 l7 W6 v* A5 j7 ~6 A4 e
: v/ k' W4 j/ z! |- |) y+ u! M 4 O( u8 e& G1 S! L, E j+ D
0 w6 [6 }; h4 _/ j: h( E
" j$ ^4 J$ ~# v: S
, r$ i: F* w" l ( ]+ f8 W& P( w7 |. ~
" N; S' Q; K; o' ?
- s. i' g; g/ S2 V
0 b, f$ X- y: n2 h& V, r6 ^+ q
然后登陆网关如图: **
: P) n' N' [- t* d; P, n) j- V- _- G+ P
$ x, m- E7 H- j7 n
& S) r9 T; v2 o& P C 2 L, l8 k/ R$ C) m E. M6 B
; `4 m9 }4 f' C
$ Q; D m. a( C' t9 v
0 m% C9 A3 V( N9 _! o% x4 v: J$ `
" W" P( [" w. C' b: h8 h$ r I3 Q
4 K4 K4 B# c7 \7 ?# Y/ E* B
4 S% F7 F# D, e$ m% X7 w, U- d4 @
3 J6 J+ Z3 ~* i6 g* Y& C 5 {, x3 a+ r& w9 I/ i# v* y7 S- x$ h
6 H# i: o$ h( W* Z# n2 v
! l* O( D9 ?# d7 w+ [' J+ F( e
c4 T: F; f% x6 ~, W
5 c. }) s9 r8 _: v
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 3 p6 }& T9 |! \! {9 K8 H, D3 ?
) Z$ P% |* U) c" M + `+ q- _7 @4 ^4 A* w
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 1 ?4 d. o5 ~7 |& B
# {7 a, t0 F6 L" q
# K$ M4 n3 F3 y$ P
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
7 u) Z; I, }2 a3 O8 {% D
7 p8 d5 {! C2 j5 L& l& S$ I
" U% ?1 z1 `, C- e
. x2 o7 D/ b$ R9 d8 X * f) d- z0 g! X" t1 c* \
" \0 w7 z6 I% |2 }1 u/ a Z
+ ] ?, x. X7 p
j2 d* _$ E' G$ t6 w3 o. Z
, R; v# j# J' ~/ D" p
6 l2 {1 V4 s, m0 X' V; L2 c
6 |. ?: U/ b( e" I- T& T* x 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
- d0 {: ~! F' m
( H% x J4 w5 \
( |+ b5 Q6 b5 f) m 4 E( c0 ?8 ~& U5 C
" h0 u2 n2 V ?' i/ Y. f J4 O
% h) h& p! U! h* p
2 c& ~# {9 j8 `9 Z1 Z* F
! m' K' _8 P$ E 2 Y# G! J& }5 W! d) D4 `+ H% C& S