) D, ?3 i* ~" I( S' e6 ~3 J5 j& [
# d1 ^$ d2 [( K% H9 H! J, C 1 ]4 X8 w5 D! k: I
4 ] S% q/ l1 \4 \: T# q
1、弱口令扫描提权进服务器 9 k% S+ J- R3 F0 {
! k: Z1 Y: m" j1 Z( }3 ]- y- {( Z0 v! k. O. A, k! S# e
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: $ N) G% X w6 j4 J: q
5 u- Y0 ?# H3 q2 H1 b7 K
% r2 c# {+ |7 o
1 I; y$ r1 x6 D$ F
# w2 I, G2 a G; S; Y9 R) y5 N
2 Z$ A( G- J8 H# P5 y* i
* W# L# d+ {7 Y' V6 ^9 N
$ p7 h* p) C6 i# W " F$ L- R' F' t+ w7 t5 J* Z* c
0 @- |/ x9 v! w% X4 y2 Y8 ?/ Z* ]: `: R9 {( d1 N, w
* d& m" B1 a+ i7 ^! i
1 ?8 q! }- b1 o5 k: S, e% e- \# K6 T z7 d8 T- ?# X
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
0 m- Z( j' t, x! k8 d g4 [2 O + x$ Z5 s" M7 x* O' Z
7 Y* m: m7 A$ L 执行一下命令看看
* n- |1 J$ R1 `& Y/ g5 `' ~ ) Y: h7 J% K' j! [( o3 Q
6 Q( X/ k( {# ]' }, W
& P& D4 v" Y6 E3 h * H/ V8 R4 H( F) d4 o
6 W$ Z& R& Y" p: T# n
n, c4 ^4 |; z; x, p) N8 s
4 o0 f2 K' B" v& t6 R4 l9 u/ v) b' P, @
7 V" \7 T8 G) f: e! j
7 V* V) I" C, E
/ w0 C+ p3 n' J. d) D 开了3389 ,直接加账号进去
# o v2 I6 b7 [, a9 q 1 ^) q( [1 b+ e' k% M
. c) N0 K: \; j4 E6 r7 Y/ D
" I( Y7 E/ B, Z
+ \4 V, O# }& I9 d0 ~# X & L/ Z7 I7 y$ e! _& ]5 B) Y
% o# }% I) n% n, B
7 r% \* ~. D6 c9 Y/ _( |: _
5 e2 _6 m; ^, v8 g& e/ X5 d
# N$ Y" j7 f# ~! ~: A( q" T
3 k, R% P8 ^6 N& T 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 / `' h% y" u# k4 l& ~8 [' Z' k
6 i( w/ f: Q3 |9 U( _
' }4 H x: P3 w8 z/ `! ^ & a$ a% p9 A7 G
& l9 M" a9 G7 Z) y- f2 o+ u2 k3 X
- f n* }) D V+ \ 6 ^, u T( s _2 _. q
+ b( p/ j4 ^8 ]3 Y
$ b* J7 O6 ?4 ^ }3 I- ^4 H 7 t/ P+ Y1 \& e
; \. R4 S" q- @7 ~& t* ~ 直接加个后门,
, ?/ c1 `/ I# F 4 H z# {+ H9 m/ o: A8 {
/ d" e+ M0 q3 r6 ?% `: a
4 t/ U2 m# \& t% X- ^/ h8 y* P: S
, i+ F9 u5 x+ ?1 N6 Q) A1 ]
* t" z( }% L8 K% O5 ~
& B) Q/ j, w; p" b # j% M( Q/ a- a7 g v" p- m
; ~9 s/ X+ I; D* W- I$ B 0 e3 i$ W0 ^( H4 g% B7 n5 `
! H, s% ~# ?9 b) O1 H7 F/ D 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
; q0 \& V$ n7 D1 o; S6 x2 ?1 H ) b; b3 k O# Q. P2 }+ w
: w; i7 o: V- r5 }
2 、域环境下渗透搞定域内全部机器 * h' Q' `( k1 L2 ^5 }4 S! u
' n8 r2 U @7 I* q
: i: l6 \$ m8 O* z4 C2 j; H 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / P' q. U8 B( m
% T8 t4 S% d9 m, p+ } d4 @# u
: m+ t- L5 h" w7 m
' `& q" E3 E. X" q
8 |0 n( |# q+ ]& y
$ W& w2 @6 l- k" Z 2 H6 l$ y$ `/ A: ~$ d
8 }0 N; d+ @/ l
: P' Q' r( q/ `8 A3 w
, c3 v, J8 H) m) b- [
2 J4 f, }# r8 Q2 g 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 5 W5 d8 o3 f# S6 g2 D
: g! ~! @& i: ^# S! a* \
: s9 B( t: W1 m
! a/ o r( C; c9 a9 Q
4 C. u( R( s9 I4 L
* e& d% R& {8 K: `- z, o7 d
% E& z5 W/ ]! y' B$ a s( l! |
& _* M' z9 M: ?: d/ l
$ e! P8 n0 m4 x, q) d. ]7 s1 g
1 _2 ?) T$ n( Y/ N s
( T4 \) h3 Q3 _( U8 f 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: " @* s; }. @, ]( e I7 L6 b% ~
2 B2 q' B. p) [3 K( b
@0 I0 v' }* m. t0 G 2 W$ h3 z+ g, Z5 @; @& Y
& v8 S$ y0 K1 F. Y+ x4 N- U, Q
$ V" `8 [/ `2 c7 p. Q! x0 R
' X8 E) k8 E) B5 w& k/ D
+ e9 j% F i) S( n * p: X( T$ C9 K& W2 @2 m; E. z
0 M1 A, Q, D _/ e. b5 M8 ]
: `$ V* ?$ f+ ^. s! B) K
利用cluster 这个用户我们远程登录一下域服务器如图: - o7 X9 X5 D6 O5 j' v! [+ B ~/ n
+ r( E/ T0 F$ @' R' ^5 |* c6 e7 K. }; _& B
: D# e) b/ n9 H0 J
/ |' K4 g7 w: P. ] 1 R, |# H- Y' x
1 e" E% ?9 J* f$ ]: v! B( ^
+ A5 S5 y" ~; b7 M/ g# T5 I0 I/ J
; z1 l' h8 t' o! f! v) Y( U
. Y1 g( ^* m( i
% D1 Y9 H: A4 k- v% f: _! y 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
& D* ^& B( Z- c9 l
( F9 Z! ^4 O: R) r9 U. K& q) x1 y5 m5 I2 w/ W: X/ Z* g# ~
3 ^( W6 ]! @! M% Y3 q- Z4 J
5 `" W( R3 @7 ?! U5 }' Y9 D
5 U) j6 z9 G* y) {, s+ W
, G* g9 I( B8 g
4 W2 `1 s4 Y4 f7 m5 k9 i
' I3 Z/ x6 H9 M5 R6 D" ] & a' u: o; n7 V( ^* _7 n% F
+ g; z1 B! |& n- C4 W0 B
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
) E% _+ C+ C _2 V' m # X, `2 L* V( \
$ X0 {' H8 _& e" L" w) W& T 2 P7 V9 T* s7 Y; {: n& v' T2 ]; ]/ R: I
$ {( b- d2 D: r( R
5 \0 G) v, s5 \" @
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping * j0 t/ Q" z! S- z- z
! w# b. J& H' \- K) L* k
! V4 T& t9 y( W: t9 u/ m5 d blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: $ i& _0 E2 R3 K
7 v: r& \, @- R
" ~) v) z8 H2 m. S# x
+ t. o) V8 o* |' \ V9 H! n/ o7 A' T
" k+ X6 |- S3 t1 p1 Y9 k* l) x
6 z3 X& I& I! i+ b! U2 q2 e, g. H
! w' K7 l _ Y' f9 [+ Y4 j; i6 F5 p& O" y: f8 c% k( P
8 j. o6 F' |6 I. A) ?* m, a! w
) a/ M3 O# A$ Z. @) w8 N9 I3 L" B6 G
" b, f% X! ]; E, f 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 4 Y8 b9 y9 a. l6 n6 L% [4 B9 d' z
" i S; ]$ c! b3 E0 T" I5 g; ]. N0 R. `& K/ c8 l
4 p) m4 N: ]1 I) v# m& F. n/ a2 ]# s2 s
/ e+ @1 Q0 C& o. q
3 `) d& ^- @) U
* ^9 O( M& ~1 Q7 X1 k% ]
1 ]2 M# E6 V* ~$ a6 n T 4 |$ M4 m1 T8 S& r: x2 @
/ x* o; \& ^- ~! M' ^$ P
0 B* l, H0 b! a; g+ x 利用ms08067 成功溢出服务器,成功登录服务器 8 w+ `+ q( M0 C" Z2 [
/ }% ]' C4 s0 v3 w0 @4 R0 h
& ]! a: P* M" M0 O6 `0 M
, D4 W3 G. b( F
l" @5 |7 F2 j4 X1 f n+ G - ^- j- J( y. ^( M$ x# y# O6 Z
* U; P) D [# |
- E" F+ r& ?7 ^
, u. `; A4 A+ j/ _/ w. a
+ n8 \" w8 p. [6 L, a3 p/ A' x6 g! ?
/ ]. B0 I8 j, c) P! ~+ l 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
+ B' _; a$ N5 i - F0 }# ~: D8 t) D) t
/ ` p! X0 g3 I" C; B 这样两个域我们就全部拿下了。
! @* F* Z& M V; R - L0 L, s1 a- |2 T- h$ ^* _
/ Q* s% E. z3 e2 u( m$ F 3 、通过oa 系统入侵进服务器
0 }+ J1 ~3 y5 h. K: z5 `, S - F- L; z# r6 u" e3 |) K7 C
' ]# v% q& R2 ^9 W5 r+ X/ r
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 7 u& ?4 x+ y( E" ]
1 X r" k w; t. q1 F
2 J) o" L. |" o ) K0 n5 W3 B2 b+ ~4 S5 ?
2 j( W1 s) g p0 ~$ u ' v3 `" p5 |% Z$ r
# o. M' N! w- T, s8 m r) P8 T3 [
5 P7 e( J& Y1 j0 u 1 w5 B" {6 m; {" ] p
1 G& f! h% B9 B+ Y7 b. }* H& t- `3 r
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 * T8 f& A2 i' }" Z- C2 B7 y5 q
S8 B/ s* _8 w
- u' x s8 D: V# s; G0 y$ |
! r- M' A( C. s* t" B( I* l
3 r9 } d3 ~' G/ s9 @8 S % u6 f+ M& ?2 d: h' W& \' X
% f( t' P9 ]4 B7 ^" F2 d# i7 s' D
; s! r% s, o7 D! o/ A2 f% k6 Y$ ~
/ ?$ d6 \! r$ q6 P, d
7 y8 G$ f2 U$ a/ E% i( \8 r' [; ~% o' N2 b6 @) N
填写错误标记开扫结果如下 1 C: F; m# B) |1 T4 e( q
/ N' E6 g+ L4 t( J
( k& a4 u) ~: s3 o
+ v. V. L# N- r x- E0 F) z
/ n$ T, f9 B8 V% g
' t9 I# V- O% A0 `" D
3 W: F( z' [9 L! R6 f1 M4 [# F. e0 K7 m# y: }! w
5 Y( \( n q0 U
- J2 w1 B: W* @+ @9 ^: E! U/ c+ ]/ z0 @1 N. V
下面我们进OA 1 h/ l+ Y& ^" j
0 e: L* Y J8 u. K
h/ ^# ?8 \0 u& X) p( W( ~$ G ' |& w0 t a. H! [: Z" V) U1 Z* c
9 S2 ^' b3 _5 ~2 q' P/ D
, S1 ?8 @& ~- A% E8 s 4 F2 `$ F; ] d9 m+ G7 q r
9 j2 `6 S$ G$ g3 E4 U) ]
3 y6 b: {/ u2 ^4 d 2 M' g' i" Z4 e0 d% K8 e
+ p7 h" E5 O9 L/ z* f
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 # T4 ^! [* q+ z& a/ u
% ?. N' R2 y. w$ I& `) H5 f- t3 N$ W/ V1 B
& e& A7 f/ W/ ~
1 H# S# O% }# W0 V
, W. W. k- F. D2 Q" o4 j) {6 A" _. f 2 }* i9 X: a* P) }% U
& d6 e' x- ?8 ]* @+ d1 p3 C6 T- B
9 k- u+ s% V+ [! M$ K ; m4 W+ W' y% n7 B
) R, k1 m2 V. c$ t. @2 R2 c+ M; Z
6 x& n. W7 O8 T1 w9 Q
2 ?# ~2 q7 Z* }1 t8 K7 f. x/ p% o% I4 o P$ U( U
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
+ e4 [: O K% K" e; w U1 M( [: f5 a/ M" i
5 Z L! G3 h' p7 O4 o) q1 _
4 、利用tomcat 提权进服务器
7 ~) }3 M2 p/ _( q
: O0 f' D/ v# E2 ^+ k0 y+ f6 }. [0 ?! i) c- Y
用nessus 扫描目标ip 发现如图
- r, q. _- k1 Q " g0 ]# u& C% o, X
! x: w; @ M) o& e& e+ B ; L. Q4 }" i# b5 g
, }! ^7 s# a9 X& h
! I: p- W5 g: j. c
& G/ X1 L2 f g* i! q, u. k
) s, `5 h0 Z2 |# ~# U% \
6 C3 d! z$ b- x3 \+ B. Y4 N
# k- i$ y; X2 a
& p+ f w( [" ~1 ^# d 登录如图:
4 ^8 ?) ^+ J+ |( Z# [
$ o* G( h" |5 C$ q; Y
& O1 I2 X- X4 ^+ q
( N; }5 @) j9 C. C# `
0 s* J; {/ y7 g8 @8 }4 Z* ?1 Q; Q: X
! J$ \, W) s/ T3 n0 o
7 R9 m9 ]% ?1 O6 R
! r, }% m; e/ N* I ; A6 `9 m8 Z/ f$ G# X; `
" d0 r4 L7 }' ]& W9 m" G
! _6 Z4 ?' C& l; \. j, K( K) Z 找个上传的地方上传如图:
; r: S2 }4 u- S5 M, l+ k& e8 ^
' H6 J& j" x0 ?& X: f M5 W
8 _ G( H0 Y! A! X
& k% b2 E6 Q1 e w* c- {! F . P: v7 M7 [9 A8 [! C- `: @$ C
; H$ ^' w+ @* } Y- ~8 A
+ u0 R5 L: L: v i" ]8 T/ l) z6 j4 V$ ]) |3 R# H
6 w8 V5 F; ]$ p- m) f* b, e; U0 _ ; {+ Q+ B3 h& A5 e6 _! p8 d
/ H; J. C! L9 p5 ~& ` 然后就是同样执行命令提权,过程不在写了
4 [9 @5 e3 j. w0 B" F4 F * \3 ]! r9 B0 ?! R+ p
& H2 D2 k3 [) D' l* d
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
. `$ o0 b! _' h5 T0 \) \
! Q2 ^0 x( O# _# ?5 Q& ~/ G! N3 D. p: L, u1 k
首先测试ARP 嗅探如图 ' W/ M+ c" O3 A* _! u% e- d
, L) f H$ t3 W7 J9 ?9 |: ?
* D2 ?% \% U, g# {8 Y2 j - I9 d9 d8 A) I8 }! ?3 K
: k0 w8 m9 h, H8 O! [
( a6 D4 d. Q' `9 ^5 |
7 k8 C3 `' G4 Z1 J% A; e, G/ u; V( Y* H
8 Z4 S r6 ^4 j: j5 v s
3 B X5 H/ p$ ?" b l+ {6 s
6 i1 w7 y/ Q# p# s 测试结果如下图: & ^( i: x4 A: D7 y# l8 {
2 t3 i% P3 J6 W" o8 u) I" K
* H" H* V; Q! S5 C; ]
, M, Z% C! L& Q1 N, [& j
5 _2 J- Z ~% Z# S3 G2 N e / l; J# e. f. [* n
5 t. y, z/ H6 Q6 S" `( b+ q6 `
9 I7 f5 H a! J: a+ \4 A
_: }% ~, [2 x2 m+ t) n" k
: E2 T, B/ N) M& w. N+ _8 h0 w, d
哈哈嗅探到的东西少是因为这个域下才有几台机器
6 T' |$ j% m4 ?9 \7 `* x2 Z
. D4 N. _" s! R. F7 f: S! _; y4 ]( m' ~
. s; ^* V8 S7 z5 |& z 下面我们测试DNS欺骗,如图: * W/ M: _( U; I5 O! v# ^) @
* Q# Q% S& s- I3 M; D* p
v6 U# z* {8 a
8 U( N9 Z0 j! x. P9 z, R
8 t7 ], z5 \ X 3 f Y2 g+ H3 B: D$ I6 m' P& i* K4 ]
1 y, E: z' C q+ U; c
+ b4 X' I7 ?9 _, g+ B! |
* ]7 h0 K$ i) j7 S0 H/ ^ 6 ?9 t: T. ^. y( f) U. O- F5 }
# \9 D6 W! B' r5 o6 _
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
5 s7 L$ ~6 }4 k; C; b$ H- r
2 r5 x. z. n* a( j0 u% l, v% S
- m1 h. m6 K6 l2 `! F+ i; j6 E! F
. z2 P2 P) J( r5 U& J( h: w
" x" e* Z2 U2 c- z $ v b, e6 |. m
- R9 R2 V. j, ^3 }1 a; h
- T/ S/ x/ ^ Y: y) j . Y2 a1 T) F$ @: a$ |
$ s% l' ?: n$ a* x2 w) L. u
8 S, X- u3 c4 b) C (注:欺骗这个过程由于我之前录制了教程,截图教程了) ; e6 `! M2 G4 C' e5 V0 ^. i- u0 E! O
, \: b7 Y9 V v2 _7 b7 z4 [9 i
3 m( N6 J: \' Z, z* v- F3 v* L 6 、成功入侵交换机
% |( F& u) \% M& A8 g0 Z3 c / f' K* B# S# Y( h7 D9 N- @
! K3 I' F0 J5 m3 G- L. m
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 # K; U& P: p3 b. N; N1 B
( o, ? `4 f1 ~
5 X8 w b& O7 e9 q
我们进服务器看看,插有福吧看着面熟吧
! l4 }+ k' a" T0 r8 q ' i# ^; r) J) p) I$ X- Z1 r
, {1 ~7 o9 f# D3 O) N * l8 T: I# H/ ^) {! g$ H! T
! U! D" y: `! J5 A
! v7 c1 ]& M) n( Y6 S3 q+ D0 x2 W
+ y2 G( U7 F7 y& ~" {" u$ r( t8 _+ k% N* a, n
B( u- M% p7 E
$ v" a9 G/ H# U) B6 i0 h( g
0 `/ p1 s; R$ N, F# r0 k$ @
装了思科交换机管理系统,我们继续看,有两个 管理员
& g. u" c& u% H9 k% r: _
) X6 p, a2 M8 l- e% m, P3 F3 H& X$ X$ x7 M% Z Q
7 v2 S2 A4 h4 l' ]
; @/ F7 b' f% p) \4 P$ Y4 O& i4 J. k , \4 M+ ~- ~% ?4 R0 H* z) L& j: k
! }9 H9 J1 m! s8 [ H9 _3 T( W
/ x. R6 _$ e/ B5 r4 | p- t' u, o9 ` ) I( D! z0 G3 o; _. u9 K' i( c i
6 B( k2 v, A$ z7 `
* w% ?% b( u/ T* |3 C0 W, Z# R 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 , n1 O' E' i- E: f+ }% |0 ~
& d& P4 Y5 k& u8 g3 u: H9 G. p A& t
! [# f7 Q. m! {9 w9 @; b5 j
% ~: e9 T& Z5 [6 [, y0 k0 ` & C2 _: a0 h- N; p9 _, c, x7 I' W
3 R. X: z8 F+ V+ O# Y
+ v) u% T; q. C; |- r' Z% `0 Z& L' U! l& v
9 T. K! x: O& B; S! c7 z
8 c: r. a1 d$ B5 h7 I4 {& e+ {: K. @1 q$ w# D2 m( n2 d' ~7 M
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
7 H) \' F B: V# A3 w t! t/ B7 o
4 `/ V* r1 f0 S4 Q. ]' t. T! t2 y
0 \# E+ ?/ U: N7 L9 h& R
1 H* `6 {+ ]% |& ^; L5 s
& u+ ?+ \. R. W" q+ D: l9 J 6 g: @# A0 s/ G( J' T
% k# _) i; N, X6 x
0 v6 q9 B/ v6 U U( v9 _
/ F' H, q) t) ?7 {! O$ G3 T; Y* A- e; u9 w
点config ,必须写好对应的communuity string 值,如图:
& B- |7 e- m g" Q [% P2 @
" P# n. y+ L+ I, B
# C8 @4 _+ V; Y: f
4 E- ~. e7 T' w3 Q& P0 u
+ }, q6 m6 J Q7 l! p) e 5 Y2 {$ |$ _4 N3 {* R9 ~# M
# D2 _) C5 j- c
5 @! x/ t0 \5 Y# }% M7 d
6 u& `8 j5 s n( i6 f' @" n1 J * A# n3 b$ X8 o
7 |4 z" a7 x# x6 Z% l
远程登录看看,如图:
4 h0 U1 g0 g* v: D7 U1 y! ~/ A4 y + ^4 m' x- }0 C' h3 T6 q
# V( y& a7 j2 ^+ p6 J1 S
* e2 e7 `! i! f6 b4 K- l( d+ m$ l$ { 3 N- a( n1 i. I5 v0 |- r
, j2 a5 m$ P1 z U. Z
' l! i/ k( H2 D2 K& y
2 | @9 _ n' j) @" i, S 6 @' e% x6 Z* |/ {6 i
8 ]6 e& L3 O i# E8 @& ^7 [ V- D% g- M2 g7 [
直接进入特权模式,以此类推搞了将近70 台交换机如图:
1 ]: J v% M0 v" f0 S3 w) r * \! [8 ~" ~5 W; l: `* _/ \
6 v# o) Q' n; x4 c
4 I+ |! l" c! l8 C
9 `$ }- [; u' _& q
- d! U4 L( P" ~ ) l3 \ A5 }9 T( y1 p8 } l& q
6 ?/ g! O! _/ s3 ^* ?, s6 `# ^1 j
0 z0 d0 e0 o3 G b/ l! i/ O5 _! q! ?- M
- S1 Q' Y# A6 J2 F) K& k6 K8 K
8 @! r/ f$ e2 ?! J, d! a / M7 E) s9 h9 b4 U
9 ]0 b4 t7 n. S* m* x7 b. y 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** & U! s0 e' b( I% J5 t
- [4 h7 K" r; }9 D* |- ~, e( {$ _
3 l9 n& V- r) F: y# X
8 w/ U1 T# [% Q I1 S ( W5 p& Y# q3 v$ l+ g5 d [* G
9 K1 E* b2 b$ [. M7 P# O
G$ K. s$ r' C0 c3 g/ R " n3 S9 Z! _. |& S! `
. G3 ]* [. y; }3 \2 O& ?
- [3 J8 ~ ~1 Q$ n* g
确实可以读取配置文件的。 4 }% b3 _- }: g! _$ j/ @1 S
) U5 y: B. ~& J
3 @8 d$ P( \$ J9 _ 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
. H3 }1 f% R$ d6 m, s3 k& A # E1 ^6 e( h- ?1 ]2 g) {( w* o, ^
* d* H3 r1 L& [ X- P ' f+ d) Z" t# Q5 s9 B( k7 @
7 x }1 O4 ?2 C) x, y9 H: N
: e$ [9 ]1 J! U4 F+ ]7 _5 j+ _
7 j& z- b0 E* d) @- Q( }
_0 k+ B+ L6 O5 V) s+ C
1 B( o2 e) F8 s: {6 n, m2 d- U
* N& [2 N" x& n: d0 u6 O4 ^+ D. V$ Z& L) o; t
9 n5 g' a/ p) G" h) g' q
6 n i+ [0 g& Y
J, m- c8 W% Y7 y" e# Z 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 2 {3 x6 |- p5 B7 p0 r: ]3 C
+ z; ~0 M& b* X% E; _; x2 N* ^9 ]3 C/ g- v" a1 B
3 I5 @* L+ |$ j8 r/ `
* x% J. Q- l' C8 u % H6 ]6 G6 J, |& [ s3 n
# U1 X$ O F5 p- d
) ^0 T4 ?' b5 n
( e$ N: k+ |) Q, {4 r' _
8 N8 u- r- W' G+ W0 A
2 S1 ]2 \& {3 C; y" U% x% C 上图千兆交换机管理系统。 . s* h) {7 B' \* U5 g5 d
6 k! n4 B- M% C, y7 b, _
$ N3 @0 x( I! w9 K- D 7 、入侵山石网关防火墙
- x, A% F7 D& k2 D$ H, q* C ) ` E* S% p5 h. k
3 X0 Z( i& `( o4 ^1 F 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 E4 T0 z- V; D& f& G1 i4 k) B
6 p: B# K8 r8 T5 W8 R; t7 p9 m
' t) Z" a6 W& T& R. \% o" r
9 v% j. E5 l, x7 H X. X( z ( u3 J( E2 B% {( }* X' }
9 w/ p9 a I% ~
; |$ u ~5 E* M6 r6 r
9 k2 ]* a* Y4 o* w+ R% u' A 8 T' w0 V) h. ~. R. N& O4 _
. n/ v6 u" t" p) S% D" ~5 T
2 G _- l4 }0 L4 U8 H ?* l 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
7 s! Q {$ q& a0 ^, g* S , r& O8 M8 `+ v: J k# z* _! F; D5 y
* [6 \5 n# |+ r
5 O+ b7 P" ^9 X. Z8 ` | s
' F0 I, t5 n) U! f( l( z8 [1 l, J
9 d5 t- ?- f: T: c) j/ g
. u% o# M8 Y- b2 @ Z
6 l4 u1 Q# `8 E3 _! O3 `1 H , [6 z7 R8 c. f+ }' b
0 l" K5 N( s* N) x& B" ~
& b# _$ u9 E* u9 }' n9 J 然后登陆网关如图:**
' a& Q1 u9 y/ n; j ( U4 w; y% v: A1 M, H. O# f2 w* x
. q4 v* i# } l- U5 E
8 _ s' f0 V1 F1 M& {
; b- x7 h( N% k
# U$ C, e5 z4 d- q# N& ?0 l
3 o1 r8 h2 h0 `& l# n- h P9 N
5 w' [! ~7 r( {+ p" s. a . C# _9 F- h3 [
2 l6 s- M* K" \5 V. t# n" a
$ x, ~4 t1 S. w7 { B$ h0 j |4 x+ P; `
. X6 y$ A+ s3 A) |2 I , h. V* a. m8 @7 s) x$ V
8 }* Y+ d; `( }( c
7 E) Y2 a$ L m( O/ M" ~2 t 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 5 s* N8 [: V* Q) I& V4 n( @$ \
; H' q* A; E0 W
3 l+ V, K( O* L# t( ~; a
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 6 D4 q- f7 d0 ~! o
. ]; i2 H' w$ U5 A/ {$ l
+ n( K6 f+ }% o$ X, N9 r- _
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** : V" q7 [ m" b5 e/ `
( S1 x1 p3 t y) r5 p6 M! |& d9 `, p3 C: C0 Z
" K! E1 t; c+ r; c9 u( e) l0 y
( E: V+ K9 n0 V& P& v: g
1 m0 Y8 Q- R |/ \( K' I ; C4 i- o0 }/ O: S" j# A
" k! O: w; d( T, O: N % _8 A" j! w* |% X \
! {9 X7 e3 n' X {5 i F
: S R2 K" r) J, a) X& o- v' ^5 Z
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 . r% ~4 \7 o2 q
" ^8 ~5 c, C) i( @( D
/ M( L, X. K1 q7 Q6 |3 g+ u; A ` 9 ^4 ~& H: `/ U
. ^* }' |$ T& V
5 o# J! H) f$ _
2 f& o( p( J" B
& N* L. N2 J& M9 \6 K. s- w7 j( R5 F' F4 v/ t
|