|
6 |! f# q0 ~. J
- X# v4 R B0 X4 E. J0 Z , U* ^- a. `/ s) Y4 ^; B
) ]5 N7 ]. ]1 \& A8 M% t
1、弱口令扫描提权进服务器 ; V' `' Z' w+ V7 m
4 _7 {( R0 L$ h
3 f" Y9 w! I6 L7 d; A, n
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 7 u# J- f- e( h8 h E
! X2 ]# f& F, i, t
) v$ m( C Q7 Y9 \7 Z
; f. [- T+ F, R% E+ d: D
) `* C1 V) D* B0 `* m 2 R4 n* q5 t. ~7 T2 w3 w
" @/ [; A4 g* {# M: y
l' C1 a; P0 |) Y, l4 i
 + _7 i8 q: S" S+ y
) f, X4 Z+ L% Y0 ^9 N1 i% P% z2 I9 B, y7 ?
. k8 o6 N+ ?" {2 v
/ }0 X8 G: U+ `+ {0 ~1 j5 j
! ^ p/ L. T( V F, @ \9 R+ ]* ^, | ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 , \; d3 C0 K& u! L( o; c- o3 R
/ G7 l( r! o9 Z9 x* i* u/ t
) [$ ], x% E P' ^3 s; M- d; n- O 执行一下命令看看
, a# U# I) F4 Y& M! E# N, c( a
0 H4 D$ Q+ q% o+ j& z( a/ E3 C' A, v x: z. Y
) B) q! P* I9 k7 P3 q . u" X1 ?- ^( T4 Y
" ] G9 P8 F3 Y: z( ^
V( g0 c0 l w- g2 x- h
0 O _; m* {1 `$ j
0 e. c8 K) S3 \: }9 f 0 n% O$ c7 L5 l
y% e/ `$ r6 o( g2 x# {9 O; b
开了3389 ,直接加账号进去
' s% p" Y1 R" P* c
( x6 J( f- u! W
3 n5 B# A. Q: [
; }: t o# u0 W2 w( v. ^" c: L
' W* ~& N! J4 ]5 }) ] s
G2 w( G7 M, W3 q # G+ f' ~1 V% l; X
& t, K6 G, ^; ^  # g! i& g3 M7 p, h* }/ y
" h9 g- U1 U0 `% ` r
6 t. H( L; i0 m2 N. P" V
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
( x7 e, M5 b- a
' |% _4 E+ ^- f8 Z2 F7 `/ J4 t, P
1 s, V' h$ r v5 ? V) p g 8 X- @) L; U* f2 P
) v5 {1 O5 g- f+ V' u2 I1 y ' H5 Q+ d9 e6 M* M/ w
5 S$ W8 r* ~# D( ]! H
4 z0 p, K! l6 e" {4 G2 p+ N
; X* L1 W! I- v2 g
# o. L: }# D9 t
& j7 h! W2 ]" S( J 直接加个后门, l' G0 @, p4 n* L9 o( A
* m6 U3 O7 H! h5 D: i* C0 Z
, @+ e( N/ h) T( m5 i4 I4 X3 y i  : f3 O- ]) J# d$ K0 W- x) T0 i: o4 t% G
4 U/ X, V* R& R# V/ |# j) F2 ]& U6 y- K8 B t& x/ k
5 K3 j* G+ j6 j7 H
. i; L2 n2 A. [/ {2 U, D7 d* R
/ j7 a) f. o+ L : ?2 I+ m; B" H5 L$ b' H
5 v/ F& Z" n- D. N o 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
7 ]+ w2 m1 U& T$ c
, d0 R: h9 z% n: ]
u, D2 R$ p* O3 B* y" j4 ? 2 、域环境下渗透搞定域内全部机器 5 v, B/ `0 d, I3 E
# f! u7 {4 x0 \( m/ _
" A+ T* V. V7 H4 X+ J P" _ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
% I. n8 I7 k+ ^. I) r
0 ^4 \) F2 U$ m7 p* ~
0 n1 d. u9 o- i : d: I z6 B0 z# j" g
# d) V7 j1 M- w / Y1 X9 X8 z5 ^: U* n# }; {& }
. A5 D o+ q6 A
5 L% \% w/ T% G* U9 R/ r 
* J! |8 I& j* s% n3 J
: _& S Y; g/ \) E8 w' J
- w$ p0 a8 r2 u" R' P5 q9 w2 I 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 + `0 S e0 M% Y' O" S$ v8 R
5 F4 l5 G% }6 C
6 c% c. ~( U0 p
% T0 v# X5 l8 ~1 i0 i
. `- k) v& a% S8 g( q$ h ?: J
+ y: u* D* K; v+ e( E) L3 ]3 n: Y
, A7 ]' r( x2 k6 ~" D
$ D/ D+ V+ T. ~9 |
* x* _$ o1 u: o3 ~! C; a- q M, Q3 n8 i7 J# j. @7 }
( B. v( @$ N( Y7 U! }9 P: ~, T
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
1 x4 M4 ~) I9 [5 e5 Y/ D4 o
- s- ] C( C- f1 ?0 D% @" S: N
a8 ?/ v& {4 @3 e8 X
7 n8 ~' A, A& m7 R
]! t5 f) o2 Q' }$ U3 k) E/ e
$ t2 X" B" `2 Y* p1 h _% B% A0 m Z$ i) E9 _# O4 L4 B
; n, @# K! E4 e; @8 Z& k# d- \9 r  ! ~% D) b; f6 y/ v4 `9 o
% B: f W; U c! p4 K2 ]6 E( W4 t& g- k/ z+ j9 j6 |) r/ N3 r; W7 O
利用cluster 这个用户我们远程登录一下域服务器如图:
# |$ A# O0 e2 A, I* X) B- V, U0 i1 z" r
- ]5 E' G3 h- @1 r% J
) I0 Z. {9 [8 z" d # |3 f! b2 p+ `! e' M
( `0 s" R8 _5 U; t# q" N* }, i 2 {# `: L$ V( X! c. }7 n* x/ x' ?+ j
- h; W2 A9 k$ f' o5 T
" n* v, ~( a1 D$ v% b
 ) Y8 N! R. d$ }9 A* u# M* l
' a2 q: _' ]2 z% ^1 s6 G: y# d6 L8 w) T# `
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 2 B2 V. b0 Q! y. |( h) t8 `; l3 S
) O3 n2 l+ d2 N. p2 e l, R7 V2 P+ W
# n( k( T' S/ [( h. ] M
6 z" N. k' d) o% q# }! t
) d, E) z }# |! g7 M5 U- J # }9 m5 z$ v2 ]5 F U, ~, V
9 f* O5 l1 }- Z, s& \3 P  8 ~( B5 S+ t/ S# r' G+ Z6 ^
9 o5 w) P0 K& ~2 }8 y- {9 h% `* w5 ~, z4 H
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
+ h% t1 f3 k$ a3 _9 y# Y & F: E _, |5 z* W2 x3 F
! f) A+ o6 E* f8 ^2 {  + C0 ?0 z3 r( l- I
" s, A8 K6 a2 y- L7 @
! U9 v* C- l% @ i8 ^7 h! B' T 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
, q0 a3 L9 w0 p% ^# A3 m ( d4 d+ y/ X4 [2 `2 n
0 r2 ?: \0 O6 D2 J
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
, [8 i3 M5 e) {9 a" ]1 E0 r
$ `+ g! O- o0 c3 v! n' @" C7 d6 q0 Y) O2 I
! Y) v8 o' n$ x* K3 x: u9 x3 I) W! z
! n5 Y4 V2 d/ P6 I) Y' _ 6 X9 L+ n+ S, S& U( \7 [& Y
. N; G# M) I5 E0 F4 n6 {8 j* d2 P | r2 x, e5 ]0 f) i" a
 ) R3 p5 I' [( b( U; Q* z$ O
% j& J6 U+ ?4 n5 ?5 O9 M
* ]/ _0 f( c/ |+ y) B/ Z; s6 } 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 / h x( W# _+ T3 C7 J
: j1 J6 Q# [8 v; J7 z! Y1 N
G, S% L$ u! ]& O6 |& C
2 Z8 G0 _8 ~, L7 @) L
. w2 i0 \) k( X; b. Z 6 M6 W8 `. K, ^- t
$ _' S0 \3 E, e* ]! M% O9 S
0 C# L. o ?- D0 f7 o8 r. c3 s( {  0 ?+ i( g: v* L) i
& q2 @* P, m, i; g) S
6 H z+ s8 `. n
利用ms08067 成功溢出服务器,成功登录服务器 7 H$ @" M! f. k7 B
$ @0 D- b/ |, h& K' Y3 [% S6 l* }0 A& X1 s) o
6 c( E$ M7 ?) l' `" U+ h
, Z. `' g# \) W+ {7 m4 n1 x 7 z: H7 U1 C; {) m- C
+ j. _9 V5 {+ Y/ a( t7 c) t' c( f
+ d5 a$ S0 S. Z0 P  1 ]8 @0 P! y* ? n
( W1 W0 O4 x! \ t }
/ {6 t% [2 X6 J0 c5 _ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 3 I- n- v4 V w2 s, A. t1 n+ g' Y2 {
% B, q9 |7 b5 v8 f9 i
- I3 Y- }4 `0 y' Z0 D0 [
这样两个域我们就全部拿下了。 " Z8 j! C- {0 N7 c* S
; `6 i) J* I( N: ^2 Z) Y3 k0 E; M* T. E, B% }" B# `! K
3 、通过oa 系统入侵进服务器
7 j! \3 n* S4 I5 O" }
' z& {" b/ s9 Z$ u- p
9 h! Z; D( r I' g Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
' ~( i. j+ b3 G1 E8 g( V, n5 y : s! B) J! x# {% `3 V
. ~9 |: ~0 n! S0 z
& ^3 W( \8 x3 d/ A; v
4 f) ^, {( f7 n0 ` ' u7 I3 W3 N; G: w- q+ [
" r( s3 M& z+ r! q
4 s4 K; w+ {7 s 
% q. @3 K' U/ c7 n: z : ~8 p9 {8 \" M% Z0 Z+ I, Y |
: ^$ k# `, Y4 r$ `' a 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , y: _* h! y4 L: ?
" c8 Y# W( h+ m; N
* _2 p8 C8 p6 s$ p
# |0 d$ O2 f+ d/ r) _. A3 n' p
7 [) |8 [& r( J ! x6 |! ^6 y4 | r! W0 Q% T2 S
" W" w7 ~, g# M% W; x" S r
0 L9 w* p; g O* o8 L( D  $ j9 ?& w) q5 k* h/ L6 O
" N' l% h9 W& ^ F2 a
7 K9 B- t. {# X6 J9 z0 E 填写错误标记开扫结果如下 9 g( y4 I9 w2 W& a- ]7 }
0 Y+ b& D7 Q4 g, |
+ l) E% m( j A( a b4 |) d6 j4 n) @
, p- W! q9 |0 K" P" C% a
* ` ^2 ?0 @0 ~
! N2 D* z8 b! Z+ ]4 a6 Z: n
8 T# m ~- u% _1 j' W& j( C) i
' e1 x; J$ `9 H& l9 t. l, g- A
 6 Z- M5 @! U; t) {
8 p7 ` T3 F7 X* B/ b
4 c! T' f5 I! i 下面我们进OA 6 F6 Z. a; U/ w1 O
1 U$ q( V& [1 a" G" I" B4 B
) m4 l% v. Z# Y
2 Z r: Y0 u6 [. h! y
) [! n6 p* L- B# J
$ W# b; p+ P/ `5 _% a9 `, j5 l & L0 t" s$ h# U/ h; f5 T
& e. e6 [$ k6 T+ b! X& j1 C- e0 h1 @
, k1 [9 H3 A3 } \% r* {
% ?0 f2 N1 q! s0 o/ @6 C
$ I3 u. Z3 [ V 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 4 T( @) j3 t- V# {/ W
2 s" `# p2 j, d! N3 e) k4 J$ }$ v7 K/ Z
8 F7 j6 {, ?) b; j: M) Y
B6 w( q; c( S
+ ~: c4 F$ \% s0 a& a 6 t2 F" \1 Q' N5 Q
8 p) [8 q5 P* |+ I G3 U
 . x# ~6 t1 L5 m# D" N
' m2 r2 A7 D2 z. ~
! v% W1 O- E6 \1 [. Y' s  : C1 \! q) N& v2 A' ^4 [
+ D/ g0 l. I6 A1 z7 K7 f0 v
5 e! }3 W; m( R; J
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
: y( d$ @+ I, D& |$ \
3 e' N' o6 H. h$ S/ g* S4 L5 Y, W7 e6 c) k3 k H
4 、利用tomcat 提权进服务器 " [8 ]. l! z1 j8 Y5 T. E- k
7 O! u7 q- T- j8 u
1 c4 W) P! S+ i& t! g 用nessus 扫描目标ip 发现如图
4 o3 i2 c; b4 F" t" j 8 M" D' D" J- ?" z- @
) U# P2 k i; `1 `( s; B" O# x) _
3 D' V# `5 w* P7 O/ i U; T
. ^8 {# H" F5 s! j- B. K
H" H! P, M, q [8 ~5 J- V
5 q2 T. R7 q2 z+ a/ E+ Z9 |* v, }
. g) u% B' b! g) @ 
! R9 K v% q) c/ {# f ! J: ^& W0 B0 P6 j) Y5 z. G" E' k/ \5 _
, p, A5 h, L: f' s9 E; Z2 y/ _3 L
登录如图:
2 j6 S) K% i& D5 A$ h& u & ^; y' O# F3 Q. a# j0 N
6 B/ S. a- r0 J" `# ?
9 c3 m) l% n7 B$ _$ v+ o( p3 V
; G7 D6 S- a* k8 ^3 v3 P
7 R9 X$ r; Q6 L: ] ) ~) n5 @- f5 X
+ B6 l+ b6 L; x8 E1 T' N
 " B: v& Q6 P' P$ d( ^3 d' S
' J8 Q7 k, P3 x3 f O
) g6 t4 L5 ^ Z' t1 ~+ A% ` 找个上传的地方上传如图:
$ L$ U; g% C- B& m$ z: U
: j0 m6 |6 O; Z$ v- W) ?0 D2 I9 m% z$ A
; g. _6 z- W, D% B \: j P. ?( K+ ?) l" B8 s7 i% N
0 M! o& P; E; y9 f7 |3 v0 M9 c " ~& \; M4 D% V. o
7 j/ k4 k! U. I! D
) _0 ~ u6 M: h& h+ J& j2 B1 Z 
( a8 F, p6 b' u
% L2 @; M$ u3 R; x. I* J) W: i/ L5 i. E6 ?8 w
然后就是同样执行命令提权,过程不在写了 + N s( g: `+ K. N6 i1 v
1 l. L* @+ j. t' Q0 f! f: m
9 ?' K/ p0 u0 F$ X8 Z5 L$ |: z 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 . u' n3 w7 K$ Z! {4 u: m2 ]
* R$ k4 y+ T2 P" ~4 a
k6 c4 | m. D" L2 U
首先测试ARP 嗅探如图 7 e* d% E' n" |, V z# M* W8 A- k
7 ]$ Z/ `; ~- v6 W+ I" g1 a% ^
+ X& [7 x5 _( l5 @, [
* Y. C$ [7 `" g
: b7 q4 _4 i/ {6 ^4 @( f$ z
7 g H" P3 r7 w: u7 T D( t7 O1 ]
1 p/ ^, m6 f! c" Z' R
7 L ]) S. Z$ [+ G. l' _$ q 
8 B9 }$ |, I" R* W8 e( _, R7 ? ; {$ D% j2 m6 E- V& A
+ h. @( |5 [# h5 `& T# \+ m* ?2 s 测试结果如下图: % ?+ b0 y* h- s3 K5 O
2 [# i9 P' v/ r2 Z6 a9 }+ ^
& ?( S. U, p! f) ]
4 O8 P! [% J- l) h. l
4 r( Q+ B, A+ r5 V* K/ m
# ]5 |3 S( ~1 r8 `' x6 p
1 \4 f+ k; I& k- G ?$ t
" D z8 `1 @8 _% Z, I+ l  $ k4 \- O V/ Z9 [5 i' ~
9 w$ @; K. h* F2 d7 m- ^2 q6 B
- }* c' j3 `; n6 B% a, X; D/ e0 J 哈哈嗅探到的东西少是因为这个域下才有几台机器 1 _6 s! n: b& b/ W l
' @4 C: j# S1 j. C3 x
2 {; J$ D# D1 a; ]$ P
下面我们测试DNS欺骗,如图:
% L8 Y4 t) B* b2 z# q0 c
8 S" J0 X* J. [, A. ]+ R
# n; ?6 N- f# ~( W5 A* _5 W/ ]6 d% w
3 `) P* w- V5 m5 T
* D: k( ^) f) E, M
: D0 r8 W- ?8 N! O. ~ 5 q$ |* V* c: u' I' O' o2 }
& L2 U: b% d& g* T
% L3 F! _1 c$ @/ j
# P! h0 H! C' \" a
9 P# w# j/ ?, Y9 O m8 J0 c* V' P) c 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: . G; p1 D. r2 `3 E9 l3 h5 m
+ n" F9 l" b! x! W* H, t/ @+ t% o0 n- ]
) d9 S1 H0 }( I+ o7 o+ ~7 U
2 K0 R; w" h% f1 g 2 x* S4 c+ b2 L" j5 @6 b, K C2 g
, ^% S' e( _7 C* _% h9 v w {) Y$ o
7 M. W; W1 h) b( @& y0 e $ d' J0 p: P- d5 {
& y4 E. M. `7 R" j& A9 n) C" C( M
(注:欺骗这个过程由于我之前录制了教程,截图教程了) % k2 Z8 A3 r+ R+ B& @) C
4 J& S6 \- v1 W9 f8 o/ q7 l8 p% R0 v* p G# ~0 n
6 、成功入侵交换机 ; Q$ y# d! O) o1 d1 X
, z. E* c; E* [( ?4 p' a) Q" i, \% G2 E# h5 {( e' c0 Y
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
+ L7 V% {3 B! W; @" O7 ~
, M1 G. ~9 i, O! |+ c& M
4 {( G- c( `' X4 X' A* M& J 我们进服务器看看,插有福吧看着面熟吧
% Q1 |0 t1 O* ~ $ c; z4 a- ]( E3 A
$ P. i$ x* ]( K' D6 C
# o- Q! [5 @# n$ Q& m% c+ Z5 r# G6 l
, g7 d! M% ^/ N. m
% `1 L, ?! G5 A, s& S; `# E) u 2 J6 F* W0 K! i7 |5 b) M
3 A6 [4 Z7 H: C& v) K 
" k& K, D, ~) I- j ' U4 \) \3 A$ m3 p- u
7 v3 R3 q% Q8 N
装了思科交换机管理系统,我们继续看,有两个 管理员 4 |2 F, L4 D/ a% y0 s, y
! d! i7 M* R- \! b
: n A' c z# d8 x2 ~6 N! g9 _ % ?% d- ]2 r- `
$ @1 F" q, r/ N2 s! u8 p- |# X
: v1 L- N1 E8 _1 v2 b7 q
9 j3 u( [8 G4 W+ Q _) q7 W; i
4 e* `: m) @& N- W' T; G# Y3 B  ; o1 A+ ^2 }# r* n/ Y
$ N( C3 s" t" Y$ {. q2 r1 z( i- |/ r- g0 C. V7 i, n" b
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
1 d7 d. f4 `$ F/ b4 X! y4 i
, s i5 B+ i" p8 x
* \& x" v) E- f2 l$ h1 Z0 r5 \
5 g* L5 H. U' u! A+ c2 r
5 z: I8 p& O- g! C2 `$ O/ _- E
" x% X) L: u# J( f* m; X' H ! ?3 U& H* {0 L# r" ~/ i6 D
. r2 l& Y- o3 `
 2 z( [ N6 j) N; U6 b5 G4 D
/ Q% c: H b p5 k, w6 C5 c9 |
6 u5 l4 q. r5 I* H5 t, v2 m3 _6 p8 f 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: - \) s9 p6 G) G3 g) S# O7 \$ a
0 ?! T) C) N0 A$ ?4 J- ?* M* q4 _4 M& [
5 _: v4 R( X$ G i2 x. h
' S- b: _0 N7 e9 u
4 m6 G5 b) j- O3 M }
) {$ b1 {/ e6 K7 L
# r& P! t! F0 p, x( d  3 B7 Z. x1 f$ ~8 n, L7 a9 i( J" [
/ n3 s( y r/ \
* P; k& P& [' e: R8 | 点config ,必须写好对应的communuity string 值,如图: & F0 j* W4 U1 ]* f3 Y4 C4 l
. R g4 G, ^. w4 I0 C: G
H' @8 J1 D; H: z# _' h$ s; l " F2 ^: F4 C' T1 p' \7 i+ m
: v3 F# K8 f% a7 C h2 b 5 h3 |7 F( R6 g: I
8 ~1 j8 I4 h q4 V& P
7 d% V3 K% H) E2 j; Q0 \7 F8 {' a  ' b- a8 O8 @7 E4 V/ x3 D6 Y# }: H
, _2 j& z$ z0 ~' L5 C8 H! \- p3 b
$ G6 n& M! f3 X& T 远程登录看看,如图:
! w- ^0 x& k9 b
) a6 x* L) L; K( |% Y- c k6 @; ?, T+ Q" }: E( ?0 V- k
& \7 ~& n6 L! k z8 {: f& R+ w
. ^4 k. T/ l, P% m5 M3 ~ 8 |" `& F7 V+ t3 s4 ~9 k- s
: i+ r0 L, {$ u% I! K& z0 l: y$ z
$ {" K, K( m4 m1 R 
& @; \' [6 Z* m8 e- q2 Y
9 _3 Y( A' m1 X! [ X- h2 V2 i, T5 f( z% `& n
直接进入特权模式,以此类推搞了将近70 台交换机如图:
- b, l1 q( x& p! F, A
( ^5 v6 i2 F1 p4 O7 ~4 C, l+ U, A* \; A
6 X/ M9 W/ v, Q' b: k' U
. q2 Q% l0 D4 A: z
2 g2 s- W8 K' ]2 U3 \ . _) ?. h B9 O& Q
3 ?9 I( [1 `+ J" H
% d" c# H# M: {. Z, M/ e
# M0 j5 G6 X& G( c% U+ \' @ ~& _9 k. o& e8 ~$ o8 x2 d
 . h2 X5 @0 D- s- j6 K
2 e3 k) I; f& f+ Q4 r6 p
J# X6 Q4 Y3 ~# i) p 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** l7 O; h, | {3 G; L
2 j; w# y$ K. M8 M
2 E$ B! U8 g* U$ P! p/ X6 K
' v1 X0 z, X0 u
& z9 o5 H5 N/ p' e
% V; L3 Q+ w. Y
6 V5 r/ `* @. N; P7 y9 J# x3 n+ Q3 e b
 ) E* I1 ?9 {4 Y4 ]8 d0 H+ P' H
1 e+ V5 T0 @* q' V
) H0 P# A- E& Q* G/ I% F) m/ m* Z
确实可以读取配置文件的。 ) t0 {" C9 b1 t4 X5 z, O
7 A8 Y5 n# \# X3 E. x
1 z! f; _# K9 j m' ?
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 1 e, a+ Y7 V2 j' N9 `+ v Y
* J3 A8 b! S- p
5 K, f# s5 s! U# v
8 v/ {4 `7 q- _% U6 `4 y; V1 e
3 e- V1 D4 g& @" J: l# z
- f$ G: a; L {( p8 {
) Y$ I9 O6 N3 K1 T* Z" ^0 F4 S
3 Y/ o# L8 a) g+ G7 Z 
4 \4 y# h5 K( y- ~" K 6 ^7 a( z' b8 o, p& K# J) c6 _
; P0 j- n( I' L; f8 Y  2 o1 n7 [+ R% C4 E- g
9 K9 E4 e+ w8 ]: p% s3 h# C3 m8 ^8 y* ^" Y
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 9 P8 y/ ^6 C% P9 Q" i
" D! @$ T" ?$ @. s: n* X
! r& X8 b# _) Z: A
; p+ K9 k6 T7 f% {( s. K. B
' c, R/ {" a8 ]% [" j& K9 e) I7 {
: ?1 d6 j& X9 `" Y$ d, L
J! x3 D2 O' g+ L, z0 v% h& t; R) m- E# t4 T) ~1 ?
 + A# k2 a ^# M+ D+ v( G# |. Z+ {0 C1 C
1 [2 \+ B! }2 O) R1 E) U. \$ p5 ~* q/ q# E
上图千兆交换机管理系统。 # P' R" b6 Z5 K9 {- U* d5 p% a* D! M. v
, A5 w4 z- ^% Z q& A( }4 U
: H2 N) J3 w9 K
7 、入侵山石网关防火墙
( J7 O# A! j: z % P( T2 {( D! D4 W+ D
: Q% P! [* E; Q6 \. [# U+ f% }
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ) m. T1 b- |! Y" W# {/ m
7 L4 w1 p/ _5 K( }1 F8 F8 H7 r" c
) n1 z, O+ |5 w% p; o! b0 a
1 m6 Y8 w1 ?. t2 {' ?+ `
& e: W, }/ Z4 Y" u! H0 l
K4 w" o% H G/ ~& Q: u% i2 e
, O }7 c6 ?) n: p! N8 K# V. u, r; ~6 f6 W
 ' d) f% ]; j7 r6 U& j6 F+ ]
9 I6 f; C: l d0 T! F
6 V1 T! w; Q0 F7 E. h- x 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
/ p$ k& g4 d4 I6 v2 \ 3 u1 X0 q; F1 a; v
) ~1 C# T9 X. ]5 u) P. F 9 \* z O0 J0 n8 S! v4 s( M
% x+ N3 y5 e3 X |$ r" S' Q, ?' H
( O; z- E* }9 ^- z' k
5 K. [7 m& |, J! f9 z$ R
( i8 E+ x. E% B; K* ~ 
! T' \* t t3 G( Y0 Q4 D $ _* n5 j' g, N" y/ |6 I$ O
8 c& ?5 U/ h8 k: \; Z, }9 u5 J( n
然后登陆网关如图:**
! `. o5 ~* R- Y
' I* N( H7 z0 M; H* {, X5 I9 A7 y: |/ N! o! j: h
8 O7 i1 r1 I O
1 W4 k; y, g' g8 J+ _9 Q K
( N' R+ Q9 Y: R% G# g" R. J
, r9 e4 z9 E& J8 ?% B* F6 \
9 q8 f* k2 Z. m2 |% X 
$ J6 x5 i0 M6 B- z2 @; X! ~
) x% _" E; A5 h4 [5 V/ B( }8 w0 R/ r$ J5 Q/ Q% N
0 R. j3 s+ @) [1 ?! T0 D* l* `5 D7 ^
+ J6 S) S" s" g7 N; y1 G& Z$ A
+ e" @, X. N/ Q4 {. \4 [ 2 u' S: w$ ^! a: q! n+ m( I0 ?( G0 I% J
$ O9 y1 L, o) q V3 @/ _" ]8 n 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
0 W3 T6 s$ [" R: n. V
- c0 }4 i6 G1 m* n/ h. h
2 z5 V& F( t" A9 W) I# c( h$ @8 G' } 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
& S- b) l2 P2 h" Z/ A7 \' N- J
) n% ]+ Q q( d6 ^
( J, G5 K! b$ M, G 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** , i) |) Z2 B5 x
* G2 k: s- Q. P& E5 H" X) \ ]& G
, W H, I) ~5 w$ z( F
) g! {* c2 S( n! s: o
v9 W6 }. w/ ~9 z4 u
; ~8 n/ {7 A U% @+ i
% h5 {) P* L6 ?2 t! R$ h 
. e! i7 z$ s" W( v1 }
3 Q# g U! p1 B6 P1 A1 k, C8 q. W# c5 h L# Q1 \+ i
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
9 T0 W8 }4 e+ C+ z$ I8 i
+ u( A/ \# |3 j" U. ^8 j# x; r* g; }+ V$ _4 x
6 n2 ^8 ~0 d' B" S I: @6 c; m
k( @- J4 ~. t8 X8 [2 M. T8 x7 \; Y* o' c( M
) }2 N3 m6 p6 i% g7 z! [2 i5 J1 Z
* u5 Z( r, b: }9 P$ x
% P* q3 b6 r3 |0 Z | 
发表于 2018-10-20 20:19:10
收藏
支持
反对