$ H' Q$ V$ x* ]- H
; k0 `+ m9 c: C$ n
& X* g& C) s% [1 k& f# c! w
; B6 a! B3 M2 C. @2 y8 ]" V
1 、弱口令扫描提权进服务器
a: f+ y3 \6 m1 E2 V/ E, H6 i4 u6 I
/ ^' _: b" o( H+ L
& L* K$ E$ D% p/ ]
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : & S0 r; J S. k$ t7 }! e1 o& G2 Z
7 i) N* h/ {/ b# t
* Z: V) @* Y( \8 |
+ C3 _* ~& I0 ~5 ~) x: c) T- k
{4 z# A" p6 q2 u+ P% y
4 M9 A+ A0 j, C
4 }# `" C. M$ {2 u- H
* R+ N1 [ u W: l5 ^0 l 5 s' o* T' D( a x$ j( @
) ?. z& m7 W" F: ^$ X$ N. V % R0 R" G \* B; N2 s# G! S4 F+ G+ M
0 j2 ^4 X: R8 T b; v1 T9 M
& j; Q& q" h4 U; Z) g* P
' @/ `2 D! \& N5 y$ S1 ^ ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 & ?" y( T! N# F h! Q! [/ ~
$ h! @! R0 Y I4 a. L - {+ ^: @' |- S* J- B
执行一下命令看看 4 i5 P- T+ N, x5 C
, G2 X% f( {% Z. g8 m( b: M 8 n+ @6 y4 Z3 b( \7 M
' O3 O/ b# c3 z' c! k
7 P; I l+ \8 t
" j* @ c, o- K# Y/ {3 {
3 ]/ w5 D& C3 a$ U" J+ @
- K0 A5 _1 `% R* q6 L* V) j
; W: D) ]/ O9 A* a+ G3 w
$ t0 ?! u$ n4 Y3 E& l& s
; h) I. c8 g- R5 C1 @- t 开了 3389 ,直接加账号进去 0 K! o" Z8 @6 _; @, M& A
6 ^0 e2 g* v/ O7 J
) m( `6 m) P2 y, a) F7 [- e
" S; G: S% z0 g0 V
/ L J4 R. l' e+ B& W8 J5 Y 1 O4 A' r9 n* ?: H- }, [3 t
; L/ }' x" y- b* B2 {& R, v0 E4 [ ! o7 G0 X8 o2 W% S+ W# ]( g: n
1 T+ t, u) `& M1 }4 ]
$ J Z% U" H; I$ t; C8 V8 p: e4 I
2 B O2 d4 _( b1 ]7 V3 k
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 & s2 T' `9 w$ Q" W( z, H
( R; N' o @& i% a! U
" C$ @3 b4 [/ q/ u9 j ; S+ W' E0 ~- `
( i- G$ I0 ^9 [ G4 V$ h
) O1 H. M' I, i5 V/ Q: o
9 v3 H- y- L' ~) J% A1 \ ; r+ q/ b, Y& C) x. M- j& v$ `* l h
! X. j: s5 Q# U. `# B1 {+ w _
1 b, P7 W% a; P9 G2 |: r. B
5 w8 e9 g$ E% z- g' u3 B0 c 直接加个后门,
* Z1 I1 A0 c3 e! w! c& y
, t: W* g% o' h) @$ c ( P! F& { @6 @ X
$ v" m) Y* f m6 p! o
( A! b2 O& {/ O( c' j% [ ^, ~0 q) k* P/ K5 z: \
5 n1 a# u$ n1 |" |# [/ i- V
0 C, _+ F3 b# V, V7 W+ Y1 r $ q. t l7 u2 N) p5 t1 b
5 L2 X! B- N# H+ m
& T& p/ n6 z9 q8 ^ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 / Q7 ~3 ^* a- s, s, ?9 D7 V2 Y: z
. O4 u2 d6 W- x0 w: G0 A. T7 g
% m3 o6 B7 C+ R5 A% d2 }) z 2 、域环境下渗透 搞定域内全部机器
* u8 A6 ?% X7 o7 J$ f4 e* d/ ^' d
7 `: H5 ]* g* Y# a' Q: @
) ~! P" o$ I0 s8 x9 `
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 1 W/ N8 A, Y+ I3 T; O; {
k7 q7 Z( |! g* V
* g! T) R/ p" s0 Y, g
& s* ?9 L/ l6 z' t K
+ r7 T3 t" h O
; d- n5 X. e6 z" U" r l, j$ w ?2 e
- {% d& t: K8 g# ?' R! F% n2 z
% p7 }3 X8 G8 ]% n: E; s7 o, g) I
: o% x) N: R! E
" U& Z' P' J/ b* \9 S0 j. |' C
: P- m9 t4 p, I# ^. }2 E
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
+ q& L* \+ E6 z$ P/ X$ o5 x
7 q7 [. |# Y' D2 Z) {$ z1 k( |
1 K3 D& o* l5 D5 T6 Z# \0 v / ?$ a5 Q z/ j1 i6 B7 c3 H
/ ?2 `, N/ \. ?+ F* r% P, J! {6 l. U4 e 7 g7 ^2 `/ F) u* ~& e
" Z# B& r: u8 P( z& j: n3 [
- L* R2 R" p7 Z- _8 ] F) N4 Z% { 4 {) g8 q- u9 m+ G0 j
& d0 {5 Z9 h% ~& o0 ]
( Q5 L" [0 a- `- Y. E9 O
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: ! d7 E) b: E8 Z9 k
& N( N1 k' p, P $ V" B5 ?& h2 p* o/ q
! u5 k: `# {( |. n5 ? 9 V! g% o1 ^: l0 C7 `
" z. O- t. u8 Z
& U" ]5 l5 p9 v, b
4 ^& c3 u; `8 V- U, v
( C% k" ~2 J1 _% ]3 d* W" }
+ t* d" r7 I& C0 S5 G' a
, W% o7 R. h: B1 a
利用 cluster 这个用户我们远程登录一下域服务器如图: # {% N. M. r. T9 R6 I, }
8 G9 |. w6 u! o& Q) d
2 m8 f- A# P4 \* U, @$ @' k
% e! _, t% d2 {2 k! E
5 ?4 U6 a4 Q9 Q% ~( c! G; ^* c. J: ? , w0 F* w3 B! g$ S, K3 ~
- g1 n1 H+ S4 z; H+ y. w& s6 f- _
8 |; K) L+ t) G9 ^: S 5 s2 g. \ G; b# X
+ s. j4 T1 ]0 l; F # v8 _$ N, |: w S9 T- }5 k' o
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: / ], a& l' j- m& q: Y
& D) j( J7 Y' B4 \
) v# B; V- W( h% y ( |8 H0 i2 A6 y, S
# @' S5 u! a' Z0 J" u! _" q/ D/ s5 R 2 ?& j4 m/ m8 f9 ]# m5 ^$ k
7 J2 r B- u" R( h% R
" A! o( W i" R J5 B+ X4 l+ K3 u _2 ?1 K+ K
: ^* s7 G q8 U5 e } z% i
5 l/ Y5 _) G/ j 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
) r9 W: g$ q0 z- T. J
# z. J4 `- D2 `9 _$ A8 T9 s
. ^: k: l3 w* K4 m/ M3 G
+ {! D- n& L1 x. h. e9 [
+ n2 k/ g+ n B' b) z" v % a/ q) Z0 I. ? R7 O4 p
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
! D5 @( `" ]3 _
4 |! K! l7 p2 `. [2 @8 l& {0 n, e+ o8 {
$ v# @& Q) }& Q' P% b
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 ^: T8 \! n- M u2 T# V
7 X9 m [1 f5 o5 B4 P
( n- D6 h4 T, [( L* |+ ^0 p
3 D9 Q( j0 g6 i3 A6 C: i7 Q
$ ^' U, T7 U# L6 l
1 t3 ^2 O1 \ f1 {; E5 S x2 h
+ d3 D; i* S7 X1 m6 s
# |4 P$ P' m+ x. u + h# n# X! ^* I
9 ]" J/ j, `* s& Y2 Q+ O/ G9 v
+ H, s' s9 H4 ], |5 @
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
; m+ h8 o; H. ^0 s6 X: s o) O
8 P0 ]' T8 p2 i, G8 @ r) N- \* ~1 ^
, Q6 H5 V. n2 w/ S# g& Z ( k) v; U% J2 ^# R) ]
# i8 B& {7 |; p- l, S
; A- P* B7 Q' S: p, y0 ~
5 ^# |, O% X) A4 d, ^' `
) C+ z0 n% [. c8 R! y! {+ ^
* x3 t0 g" x; c7 r! T
6 W' E7 {) M9 P' L/ v 0 H$ r. m Y# U9 B+ v# ^* S' p: ?
利用 ms08067 成功溢出服务器,成功登录服务器 . Z4 H8 J+ D9 @4 }, [6 S6 U& C
% }; B. @. X0 {. K3 ^- v6 X # [8 I. Z) b9 u1 k8 `8 }) {
# z4 T% E# e( x, I# |$ S% ?9 m0 s. P K- b( g# `( ], N% D
( I, [6 F: d( ?
3 t% v# X8 T/ s! ?4 R5 j
+ G2 R7 R D M4 t$ i X; d% H4 o1 F; h- r. b
8 c @$ w4 a8 t4 ^% h 8 [* e; x3 Z5 _& R; g( n: B0 k
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 5 e3 l' j3 W6 O% F7 N8 M( h
6 a. q, C7 U1 G/ ^2 Q
. w: Q" M; q; z, f/ A* x 这样两个域我们就全部拿下了。 3 M9 E: G! G6 ]; b" ^* |0 l7 x8 u! P$ q( d
8 d& _8 N* [+ h9 T- n1 ?% l9 T- ?2 W, h
" |# d+ n7 z+ n8 c5 P 3 、通过 oa 系统入侵 进服务器
2 Z m1 J3 {% A2 Y* ]
$ m* F( I0 B! G! u! t9 Y+ q
0 u0 {1 v& ]6 m! n7 C
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
# y3 b5 M F2 M, x% k/ h( S+ c% Q
2 U7 J( U# }+ n* F: w3 M# D/ {2 s
6 r# n4 t; _# K: K- d5 V' x- C # J3 U: C; V; g+ I
1 \5 k7 q; ^; C
, M( ?4 A7 \* j8 k. w
+ Y( k! {: M# e
' ?) A* R, N8 V1 p; R1 V3 K $ z! M* O4 s0 \1 `
8 P2 g6 v- |: I# f$ { : T0 |1 K" z* h6 M% l @! h
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ! ?9 f6 ?8 g' K/ V9 J: X
# P$ o; S' W, e
# C8 Q$ h1 ^' i# t. |/ k6 ^ - [) [/ h& N' ?9 W
0 \6 B' g: G+ p) }% m$ J8 W, c m
+ C/ X1 S( V' {& r- C4 m& i/ R
( s8 m& X5 ^$ V) \5 L
6 q* h5 }1 } Q$ h. B) \% G! W5 `
! ?: m: r) v+ M% Q+ X
& ?3 B% a, e- w+ Z' @; t9 S' m2 d
/ Q4 l Q. Z: |1 W 填写错误标记开扫结果如下
: e+ z2 L" e' ^! m) O
* _' Y! T+ ^2 d1 W6 B0 X
4 |0 C* Q& u7 Y& |7 O
6 o' n7 d) j/ p: t' C' o
. v6 a: r+ F" D5 c! H 5 [* d5 I X9 D: }3 N: l
. ?) }" G: o9 r/ K
4 m# Y- q" a5 X+ K* m" X' ?2 l* [ # F$ n# A7 s, _. u: G1 i8 @
x7 d. @ R2 L; C g' ~( i6 V3 |
# b: I0 J; A/ g$ x: i 下面我们进 OA
$ S# o* d) h+ H; s2 i, r
3 y1 b6 {4 g% b8 }. n
: H" d4 B3 J( r: | + T& J4 `9 F* G2 s
5 ^( O1 H8 i" E. A6 @( e
0 ]2 n* S6 {# W& D
$ B. Y- t4 c9 C: d/ G
* ?2 b1 k" c& z4 Y) x
& @9 }' X( {8 V1 D: @8 L# P, t
& j+ D+ V* T1 b* b
$ k/ u. e' I! h! y1 \: [8 [
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
6 M% T7 q& _: ~5 j5 g+ d4 J
4 o: ~8 X) P/ H V {4 l! O5 `3 x$ M
9 V' y5 i0 N! D i+ a) B
' p0 `! m" [. j3 E7 T0 b
- e6 e+ F e6 X) V; U, P5 f" T
/ i& F6 n5 y) f$ P. ^
% p3 _9 N6 q! i6 t* m3 t
5 ^* T4 o; @6 c: {. Q
7 k N7 m' c0 e1 h" |% o6 V
$ F1 O$ [, @( h8 I* g + d$ `9 c4 m- u4 m
6 D, R _! C$ P% k5 Y, |$ T
# G) T7 }" K% Z6 \8 |! c" j/ |( i
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 6 U7 i4 f7 c: d$ g9 _: c
3 u# ?( Y3 y6 F& U# B
, I- @ P+ K5 _3 r- T
4 、利用 tomcat 提权进服务器
1 g. b' E; c! U& Z7 Q4 z
; X1 s( [1 V9 M& g3 |7 |5 x; f, U
+ P, P7 S9 u: {$ ~( I+ E1 | 用 nessus 扫描目标 ip 发现如图 0 P1 ?/ ?. ?! ] \
3 g% r& _! s+ N* l# w s" a
, Y( o" w9 ]! H9 H' \ * p# }5 ]2 F0 k3 F! @6 C
0 g ]3 W: B4 I9 H+ n
* p* |+ Z' Q: D: y/ n9 N; t) `
r1 r6 v9 ^1 I/ B1 d7 U' ^ 0 h+ L# ?( }8 W- W
+ o" n* w6 s# A
( T3 o# d/ [- y: K) H
! R: e7 c- x) f1 t( ^( C; F 登录如图: " d Z8 g$ A H1 b3 m
0 X H' {: a8 `6 l5 W9 m5 o) x8 s
7 `4 v5 i* K) _" ^9 H
/ }( v% Q& n8 c. q
) p& I2 {+ b3 k" j& h$ w8 s. X( L + x6 }" u7 Z; i* M* `
" F+ y0 D6 Y% y
1 ^' Y: T. o6 ~2 r T6 }
0 x% d0 v6 i6 {+ c
$ j1 \ f2 ]' D( S6 F7 P : l9 i. n0 |3 P
找个上传的地方上传如图:
# Z3 e% Y- z; W( O* x6 M- A
7 `+ t# {; W9 \, O! }
) l* [8 [) z- r1 z5 |- R! a0 g
# D2 q+ I: a( j! g( o$ L! {
. U' ^9 Z; Z+ r1 V . w0 k0 ~% I j$ n' B
0 C+ b* d7 e% Y" i6 B2 N
$ y0 C( |( o" y4 t0 f. k) ?* M ) ^9 J7 F. p) O2 l, z
G" L* ?+ m) W% K' f . w/ k# D. ]0 w, u
然后就是同样执行命令提权,过程不在写了
( m, ~$ K2 ~# D+ ^* w# n
+ }4 v5 H9 s- \0 q; I, J
& H* A; J5 t' A& R$ f" z& a: X5 O7 n# H1 Q
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
: l% }( E+ ]' [
+ _( n( E- b* E/ S, S, D
0 f" f$ i" s7 v) J7 ~" _ 首先测试 ARP 嗅探如图
; M! B$ b; _2 F' u" ^
: M" U b. ?" c m: K1 @ : l3 O" A) A$ V. D5 F
- Z! P& A8 D8 _; a
( j4 c' c2 D7 m! y # a, J1 T \' s' }" g; G; u+ S5 e9 J
) e) b0 { K! Z" W' E
u, e4 x% z+ G3 \5 x, V) K( G
% q/ i; P1 j+ V
1 s- X1 |% y5 o5 S' {# l9 o 3 [2 G3 X+ Y) _" V8 x
测试结果如下图:
: v& k; C+ N! C6 x& X3 S! F2 \# w
) o: h+ Z" Y) E, y9 t( {6 m : V, B4 b- d" y! v& s& z) b. I
' Q& n# z8 L! f5 J. M
- Z! V* a' w, d s/ [1 v8 w- ^' U8 w
# P6 l g8 a6 ]* n. p& E
4 a' f# K" q3 }2 V7 I- L6 F% j
& h7 | }, r9 F/ J. d
( n% h6 {% H* p. s" P
: I. W: O' a% l6 J
$ a2 Z- H$ t, h8 `" G, b. }% ] 哈哈嗅探到的东西少是因为这个域下才有几台机器
) F! I1 V% E& a ], {! I* ?
- `8 D7 z6 I: \5 w: k; E2 W
; `- s' t- f. A9 M 下面我们测试 DNS 欺骗,如图: ; L3 I& e3 Z4 }1 F
+ i. E$ M. v0 W4 y % L9 T9 F. J/ O
6 W3 H* D/ f" e5 v! G |+ f
/ Y7 x. k; T# x) N1 y6 ] 1 d0 a3 a3 t- Q; }) I+ C4 ]! R+ ^5 M
' k7 J! w) Y( B2 W y / q. G4 C; ^; t8 d( Z
/ a( Q' M+ [3 L. E
, M. k! g; h/ j" S7 O% M
8 v. u7 U* Q! o" c2 s- F 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: , z$ P/ H# A4 o* {- M
4 B" |, h4 L7 l( u& e
, d- f, z; U/ l3 X. ] : p1 K; m/ E: {/ E! @2 ?
9 \5 |- f# Q4 \9 e
! X: Z0 Y8 t; n# Z
) E0 b( o% N& } F; q9 C
: b- V- ^" _" s : j* A9 {: q/ V# _( k, v2 t8 z1 h
4 F, k3 T+ _4 T$ v
' [- R8 Z3 T4 p" B. G
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
3 @ S7 s2 ]) K- s$ U/ y' Y5 b
* m/ j" p1 c$ q# a# @$ N
9 v1 v; Y4 }- p j; Z; n
6 、成功入侵交换机 0 F8 I% V9 H8 q9 r( c* q8 T# x
* W Z" l6 U0 b& J/ H1 H
& E5 b. Q/ g H G5 `. z/ m 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
/ P! V% ]5 v- y% D8 F1 A& K
3 n) n+ y: V& T: V
/ m# h6 G4 L, e- v: S 我们进服务器看看,插有福吧看着面熟吧
8 O/ Q/ d8 U' x8 i, O2 B
1 [: _6 g+ L: e( p8 R- h2 F
2 i) c& V' K4 h) a- _- F ( g7 K1 P, R( u8 E- L$ v
* R/ g/ O* B m) E- J; Z5 z1 g
' ~, M" ~+ @$ j
2 X: W* ~/ z# e- E
" h: n T8 v/ z5 v4 h, N! G' M
2 }, a5 j' m6 V" h& n" Q
" g" s# v7 w! m0 I
5 f8 Q/ g4 D" l k( q6 W
装了思科交换机管理系统,我们继续看,有两个 管理员
% e* M9 [) \) o( B3 W3 ?/ R
, Z/ A2 n! T1 h+ p
( ]4 d4 [/ U: Z R, s
% I7 o$ Q2 i, x/ {' z' q- V, {
( c O$ ?) q W5 D
5 _1 {. ?6 {& E8 W4 i6 J) ]
7 C$ j6 ]# Z& T& P. W6 F; E" F
' G1 H( [2 Y- L) y2 ~8 X7 E
# H+ L6 w, j* ~' ?! t
/ A+ A9 M5 t2 w- F: ?! x8 z7 X
" ^: q$ t$ ?- y2 }4 c- s$ u' s 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
+ N8 X' }% R; z8 P* O' t5 d6 @
7 h% M$ j9 \, _
9 _- M9 @6 [8 x7 @( @9 P, ] $ z& B) w3 S1 c1 ?# I6 T. I
3 f1 `& [; \+ v* s
1 W3 c$ F. ]+ O2 E
$ L! w; }4 r1 q- _4 {
n# b! F5 T9 V3 _7 ^ 2 Y8 z( |. w9 b' @5 x
o2 J' W+ |5 O Q* T0 ?. {
" U) D" B0 e/ }. ]) Z
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: $ ~( m) h. Y. P
3 i- {5 \# R5 P& q: a( L w+ ]
2 G6 m' W. W5 p- V9 [7 t% L5 U
' H% E* g( F& b& ~: }
; w+ j0 T8 J" A5 n( d
$ N1 o1 {0 k% ~$ s% |
/ t+ A7 ^) V4 f7 g
5 @* [* l7 F2 J n$ g4 ]* k
9 C3 \; b: N7 P, k* ^1 E1 L
" E4 Z; o* G$ u- }
/ t+ `3 ?4 ]3 N# d- h 点 config ,必须写好对应的 communuity string 值,如图: ; F3 _) X8 ^! T, n
) z: }8 V4 ]8 J/ v) y* C# B
2 \6 v6 K' L! i' n" ~2 K( }( Y1 j
8 _! J, g6 j; }9 p K
$ b, d% z r" t: i* e
" d0 {- W- J; q- k9 l" T+ e
" K7 K$ E% g9 K3 ] , E! ?# y' f) Y. S+ L
5 Y6 k) ^; J& W# _
1 z% ^) H4 u6 p! F2 M. `3 ~ Q
. D" N2 C1 h8 d( L! |# I 远程登录看看,如图: 1 y n! C1 A( r0 d4 e0 @4 H( k
& e; |* k& A' ]% K/ O: z4 h! W; {- `$ s
2 Q( E$ N* r5 o+ X% w, R
6 k8 b0 L; c% S& a8 F* h) f
. n$ E/ e' i7 V8 t( J% I7 V
4 Z8 ]0 s( f1 y
/ V5 c7 W4 d# \8 S- H" Q/ L" R
8 d6 U& h- g+ I& P
: Q" v% _0 A( }+ ?
/ `, j% R; J/ K0 l" I: M
& b( P7 J. I0 K, P1 E 直接进入特权模式,以此类推搞了将近 70 台交换机如图:
& O; I: I2 U5 D
, _* V9 ?+ n8 L2 A+ s1 W
8 c& w3 w% q6 S4 q$ v8 i6 n 2 d1 z# R1 E" P
8 \# i+ o# ? F- H% W1 F9 p
) K* S9 e/ a5 J* R
: z `5 o8 Z; i5 h) E0 p* m
* C) |% j+ l, I9 {( `4 ]
& ]! ^. i% [0 |: S0 |" W
+ i0 B2 o" c- ^
7 ^( B; V" o" ^" V8 m# M6 K
! E5 L2 g, `3 v9 p, N) \* P) Z! q, z
7 G9 |! j6 d/ G7 w0 M / R- c% J y2 K. W
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
' z7 w2 J5 P" r$ x- U
& t% ?# E( w" @: x5 }0 q) X
( D( n2 y8 q* {! X1 w; ` 4 R; s) u8 C8 g$ p" @' z6 G
' I$ q8 R, B" L1 w
0 F2 X Z7 y7 w! L
3 C( u- Y' ^0 ~$ v& M
6 P7 d0 i. J( w/ l
' i( x7 s: T- k
8 ^- w5 s2 g& r! W
0 A5 x5 w6 m% ?+ U$ ?8 {
确实可以读取配置文件的。 7 Z Q" d+ K6 v4 r1 t. V
5 F. h9 J) ?5 m7 o7 O
# n0 {( B J' T. s$ S 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 2 Q1 r* Q1 }9 I7 y: m: E
, ~# E) R- |+ @1 |# Q2 S
9 b ~* {# P0 Y- ]; [, s' H
8 w6 e6 P I1 ^7 L
% Q+ j2 B. x+ b7 Y/ b0 @2 e
! w. u! u2 ?0 W& x, g# b6 x7 U! K
5 t: ~ l+ s% [5 u! m% v
( l2 D% _ D( C8 Z# t" g 2 i( {$ m9 Y( B, d0 j( `2 C
" ]- x. R* Z: J8 N, H4 \8 @
$ A E+ \4 X/ P" Y$ S
6 g5 G" B% m5 l# `5 [- Y; v
# s9 C8 z) u7 ^2 X
# V# ~3 J/ Q* H4 C 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 6 p7 U' ?1 j7 o6 Y) R$ Z9 S7 m
* T) \" b& Z e0 Z, L; q 2 Q" l8 @# \" [
( U* T+ b; D" X. G% D' ^4 l( j3 |
( O h1 g- x/ R5 ]: n) L# r& A
/ q/ B. \" j$ Y' M1 g+ ~
6 ]1 x6 x5 `6 ?7 y, S9 ~9 x$ r* x ' r; R+ s4 v" x, A
) u+ p9 I- E; R$ j$ ?
7 n) }6 K# D8 J3 k
5 A7 G/ K% b6 m2 F( i+ B 上图千兆交换机管理系统。
+ \# x" o0 x5 v( B% {
& Q$ u) T6 x8 d7 f& u# N
r. R3 \% J( w: H. F4 M7 H 7 、入侵山石网关防火墙
f8 `; X* f' T0 u' s1 R
0 q* [; d: u+ s$ `- i1 R
; \/ [' D4 Q$ z+ M" m+ ` 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; s o5 w( a# K) j! A+ B0 |/ E
3 e- o `" B3 q9 q5 [$ X1 k- l
0 |. z& t) k3 n! x: n" ?2 E ; c& H6 b" } Z7 ^! h3 ]7 Q
, U4 }1 p2 L k. y" ^5 M! E
8 E, y" }) }/ u% U' a% p
" B# K1 L) G/ g) t1 z4 f ( w: t. s7 s$ `" \: b. v: w
: k- r9 {9 n9 H) N
9 `6 K, T" L1 i1 g% j0 p% [0 U
S& Y2 W% f- ?5 x* U 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
% F! m/ N) o+ J: }9 w8 m: R" ], m; D( `
: T7 Z; r k: Z. P7 E2 A$ H; }, T8 k
1 |6 c- d& R1 S$ O: C I . ~ }. U/ b! {# M' G7 Q
: l. ^5 ~. d, D V \2 _7 r1 F
6 E- A$ m& @: u1 K1 d) a- Q
# K4 Y7 |1 \+ Z- u# j# v/ F
, K; Z( k6 b: I; O
+ H8 Y# M2 M" V: s0 p. S3 v* m9 N
% H1 o2 r6 a' [ |, b
- y# M& l+ K' G: n7 o
然后登陆网关如图: ** $ n' W) G" m3 B+ G3 p
; L6 D E2 K1 X7 J* q/ o) {
6 T6 ]; \/ }/ [% t3 `/ r 9 |" w- Q; _3 t( v4 ?& D
4 z# i. d- C( Y" N3 C$ { , f, u. H+ R3 q3 G; w2 f' c- i
) w Y3 Q4 @: t4 t6 Q# J! S+ p
& d" _6 D8 r$ m$ p$ U, R + [# U- y: o0 r
1 T6 J6 ^* e) k" n. Y: C! l0 N9 z% K5 p
- A. Z+ _, Y& P. {0 N. P8 C; P% ]
, A7 |, J( Y& V " e8 O; {/ X2 W& i/ T# Y; ~" F
. p0 l4 \, c: e8 j
) T s2 k, e% b2 c, U
, r+ h" T8 t3 z# C2 q 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ! c. S9 W" c% G7 X
! e( d. l) m( \; P% j5 w
* p( t" N3 m& j4 ^ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
! ? {7 V) ?+ I+ I6 P7 p7 I
7 E- N, w. R' E `0 G - l! w% T2 F! l( ^
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 7 ]$ `2 n% H8 X! _$ ~+ ?
V0 _- J# l B/ L
$ n. C1 V4 z4 k4 [# ?, a
% A8 Q8 R* k8 ]; x- \8 e* P4 Y
5 _, x' i# ?- T
6 e6 D) C- y! q( g
\9 }0 a- Q, D, a1 U
* g9 L. w/ f; [0 G7 L9 o' B
# D" c: ^5 {4 u5 I& R$ ?
: ~. q# R7 ` E- o9 c5 q
* u8 h% d$ x5 e" A# L
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
/ g2 A1 ]9 A; m5 d6 b
( t `' H7 i8 p' F d ' F( {2 ?9 c3 }+ I/ |, X3 e3 @
3 F# K) R2 }; S2 |+ ?, g/ A1 k
$ b; e$ i$ a5 M0 m( t! L. f
& H: R) ^: g% c! P4 P3 s' h% N; F
& K; o/ t5 w, P7 x+ G3 Z
- f' D0 V% J, {* i" r0 r7 b
1 H7 L+ d2 v, N1 C) Q* g; d2 x4 T: ]