5 L5 S8 b2 t3 l# Y. K* I: ^3 \ / B: q# [ i9 z4 F
% S$ g: K# Z( S8 i
% n8 p; z1 C8 d& S' _ 1 、弱口令扫描提权进服务器 # i4 }! J, z2 Z" r/ q( _; T7 }) G
$ {* b) s# S0 u2 G
% y6 ]3 x* u: P9 g" \1 N, k' { 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : . q/ A9 j- T `" [
) }( n6 }# ?% R* N! Y4 t4 W
. n6 O8 O! x. T! E
3 n" r+ l- b, ~& D3 I5 T5 n& { 7 o# d) B, y4 {4 j6 G. k, q , O S2 N, {5 R& z8 {: y$ P6 M
4 L* B& Y1 s( p7 ~2 j
9 e2 X6 L0 R0 a1 d - T* k; `$ o) P
& h, s1 Z" ?/ h- i. f8 S- d
4 [: Q0 E7 b/ k8 I
. }* O' p0 @. w; R3 o7 T+ X
8 {& v- ^3 q8 V% Q! Q8 H _$ Q
: I& I6 q9 m; g3 |8 b9 D7 ]* w: E
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 $ V" _- \; t/ v7 K
) u+ @3 [3 L9 e) S& \# a( P 9 z l) C/ {, l$ Z6 f
执行一下命令看看 : x& f. e1 n# q6 x( L9 }# K
5 I5 D1 L. C. {. y2 W
" _" ~* e0 B0 Q4 N2 S
" z: [# p% k8 `; {* L2 h ^
+ ] M; w' x% R2 E$ L+ {! w8 F j
- @% W7 g' D2 `. G: p$ _
0 H. C2 Y0 N. Q7 N6 _ $ }! H9 }+ w" `4 ~: ~! F
7 t5 V: i, S& V; q
% E! J/ A1 o& v+ j; o9 l% [
; l8 r" ^% w9 z/ W
开了 3389 ,直接加账号进去 0 A3 E" N' F6 S2 [2 r; F
/ t' Y2 u8 O9 G
: l2 a' N& P$ m1 i8 f4 c % E5 d) ^9 d8 L% A4 |7 t
7 ]( H7 j& N/ W7 A$ s* D
. L1 ?6 |: B5 q
3 w" S; ]& W. x
+ \5 K) m1 l. v! |" V: L * P g2 z* p2 y
) ?' ?# h' N) n( ^: l! a
# L9 m/ S2 f! ?2 q3 z( [" q8 S* G& W
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 . \- D7 e( b4 U* b4 v" ~; G
8 R7 B/ N& o# b % F0 V. h7 _3 L+ H3 \* `9 e
1 V: Z: ~* y6 q0 x5 b5 P
9 Z, m e+ D+ `* y8 C, q: Q
: N5 x1 r+ e; _7 `
0 `; U1 w! E) Y+ O; e
g) N u5 _" _ ' F% Y+ R: O# n$ U
& k7 m( G, R! k8 u. B7 {
+ V" f Y% v1 e8 z6 Z& R U
直接加个后门, , P# I, A7 e! @/ K
2 s. u0 R [8 X * _$ {9 U+ H7 D% }6 @) |9 t
3 c& C1 q. g& ?* L. h% j7 I5 O3 \9 I2 ^
: P7 h' i4 E1 w8 i! w; T2 m3 s
/ W* y2 H/ R L3 W0 c- L3 J1 J: A; w
+ ]# I, Y* A) L0 G: Q
- G% ]7 e7 o u; C% P" [8 M - V/ X8 ]; ?0 a4 Y/ \( I$ Y. I+ S6 c
% P1 P6 ^9 W: J* c" ?8 ^( K
V4 @: Y' k) G 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) W4 @# ]6 |# h: w0 ]7 x9 `
: V+ Y) X6 L O+ D. ]
A$ A, c$ w1 S) D) `
2 、域环境下渗透 搞定域内全部机器 0 X) o. g1 b2 G" [7 `; R( F- E! c
1 f2 t. D$ L% E* G& T8 _; c 2 \+ S" F" q+ c. Y; U6 p: c
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 9 w& @& j+ C4 Z" t* r2 |
5 s' i# Y+ N0 v* h5 T+ n/ }) A6 c
9 \% }- K8 K$ c1 ?4 H) X) {& o: l4 Y % g q$ [. _5 h5 N$ B
" }) [1 m1 R% c+ @0 Y4 F2 n( t$ C + K0 a4 J& F. `7 M3 E; v4 g
1 N1 j; c V& X
# l: X* M" [- l+ o- D U% c* j0 } N
8 ^. v" H F$ Q9 P 4 a% q/ [ c* S8 D5 g9 r+ Y' N4 H
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 3 K6 v! u! Z6 {( V( @$ ~
+ I3 |& w; |8 a7 E2 O' V9 V
- U$ F( U+ i% |6 a2 G - ]8 B: B* s- r0 D
! t3 x* S1 ~& s4 I/ S - [4 T! d% U- v
6 A9 u5 y! q6 r- E
( y7 ~ P1 m# Q$ M$ x* \ - g9 \, H; K. L5 ?
% o8 x1 {& o5 y ; W7 X+ ?9 |+ j, b2 b# C
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: ! T8 e2 L/ U5 r4 v- q5 i& U4 d; o
2 P6 s+ V4 A' W0 I
6 S! G, {) p' l4 | " C, t% n$ C$ P: y" M3 N3 [& A+ v
: N: |9 q! g( h
* X6 G. W7 i5 y- |5 ~
: r7 \/ o6 ?0 X , P8 u" N8 `+ k* g- X, v, |8 u
6 ?7 ]5 G2 l# M- u, x2 d+ I* B: N
. |, M7 \" F4 V# a; c
' T1 d7 C1 {" R: V3 v) J 利用 cluster 这个用户我们远程登录一下域服务器如图: . j$ a! Y. m" j. I( w& O S8 ^* p
2 }$ \. Y# _2 z; ~
) U: E! O5 A* @: h : |/ @0 E5 I1 b6 @
7 z/ @- i, U& ]$ G! N! J
& q5 ~/ b0 M/ u
* w8 P3 z2 L6 g4 a1 V5 j 2 p$ z3 a; h2 r6 U
% o4 u" T1 t1 X
# V3 L: L# M( o6 P7 b2 b2 p) m
& |9 [$ {4 K5 v" O( U. g+ ]! [ 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 8 N) O* ~1 K, T) K4 Z& |* D
* O! O5 Y/ B5 Q" j
4 `; S2 d6 E) ~2 o+ g/ r
0 c5 s$ A( S# u+ d7 ?5 h
- K' `9 @. {9 p2 F. n
; y8 I5 M$ `! X( T) t
% f, c% Y n0 N
; f' @6 [. {3 v4 s' e1 |) o
. H+ w) A$ _5 k- n1 P! \
E w# g: Y' A1 p9 L2 F
- ?. z( K$ A9 R4 e4 u
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: # }# _ x/ [+ a
! ^) l9 q, H9 E+ f! B/ L* I
) T: M# T2 e' K! n g( v: h! S
2 U3 h. u* U+ S$ e$ Z
4 c0 I! I% w; s" f% a! h
$ e! e9 K, U/ s* w7 Y 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 0 \" S! l: @) C, T8 P$ {7 L
5 |6 j9 N. E0 S
2 A, f& e6 a5 k1 g! S% v0 n1 z! e blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: m# C1 K2 a6 |& D
8 A/ c! I3 [4 | 7 i+ \' v; V3 S. y/ o9 a, F5 n
- ^8 _# o( v5 D3 T 8 [4 a+ `' |3 B
0 @& F* U/ C/ ], ]/ V: }
4 ^/ A! t6 W7 K2 b+ h
* O. G7 S6 d9 d8 X* j 3 P3 R. Q1 C5 B5 l7 L$ `
7 Z6 f5 Y; ^; \. |" b8 _
; b$ w2 L, m1 a& I1 _5 |4 f 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 , n2 ^% m m7 b4 c0 d# ]; b( j9 k
/ r w8 G. U# N5 H2 c
6 y z8 i) Q# C' I
* y p9 ]% U2 }6 G+ }
" r e' z, P5 s! Y
! b4 @0 ]6 _+ \3 F7 w
) u1 ~2 {3 Q9 [5 }$ W, j
' c5 W2 b$ Z( x" Z 6 q3 [' `& a7 @+ n4 X
% Y6 o& C, a. E. m- z/ A& O
" S( G/ k: L! v0 B 利用 ms08067 成功溢出服务器,成功登录服务器 / d" x. R' q: Q. `- A* G
% @0 d7 w4 S) \, V& p1 l' S- V
! z. m6 n) z Y$ l4 ~: K Q
. A& U1 [' P3 a, b; @% d" ?0 c+ f 6 t R3 z& V, V% F& b. [
; s0 \' b, _5 ?( t6 ^
* {4 Z) M* E7 J( I9 s
. f; f6 S$ ]1 O [+ j0 z + ]" ~, L/ d. G, }. ~
4 ]$ Y! V( B/ G' ~) }7 I& ^, O
) e6 A4 \# Q. R5 I
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 3 B1 D. e' S0 s; H" Z6 s/ }
( F4 a1 a! w3 Z( c 1 x3 B$ T4 Z! ^7 n, C; q/ D
这样两个域我们就全部拿下了。 w! e& b) N1 m2 v/ X3 j
4 z M6 j5 k5 z: i$ j6 C
- d5 W$ k5 {3 c6 G- q# }3 r 3 、通过 oa 系统入侵 进服务器 ' ^* G/ ^) {) }- n: s3 W, O
, L- J4 y! M8 f; J7 X' [& T* N 3 U z8 E4 U, B5 U: y: [. T) f
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 # ~2 w1 b- a+ v% _. y- B- n
+ _9 E1 o) @5 m$ T! X+ \
9 ~% J! ?1 s5 {7 R6 h, q K9 m7 g) q& k1 b4 p
0 @9 n" E& j$ { $ i' j" c9 T# y$ h; \
. {+ b' d7 g- \/ ^ 9 d( H6 y$ \8 f
. ?# x2 J$ h/ Z% z0 t4 Q1 W
0 M1 S' T6 l* C( @3 X9 A. b
! O' S5 c/ x9 z* Q% z& V$ f 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ) p4 [) ^! O" b
|/ j4 i" |: }- j
& O5 c9 B! O! @ % J: Z1 l& o" B: ]; b
- Z4 G: y+ Z) N" f: d1 C 7 K! Q% m* ~, u* u9 K5 W H
; F2 d. x) |8 K0 F8 ~' m0 k 2 N$ R* I! k0 |0 e- X
1 p" V4 {7 i- O1 n! }
7 A6 `4 p# @& G/ r2 C% r
# [1 h* d$ p- b+ u( \; Y$ ]$ ~( H# ?7 q 填写错误标记开扫结果如下 / F0 I9 n; E. g0 i4 f+ S# i
- O: q* B& q) K/ F) d0 \$ J 9 R: ?5 X8 u% I. n, Q9 r+ j, O+ Y
: ^+ }8 ~1 N1 P! P: n
1 W6 H" Q( I5 ?/ W7 o7 d% J' x- E+ n
@% L h& S3 Y1 z
2 U2 M9 c! L9 _9 v& J8 C" O* N$ ]
" _" G5 s H& Z
s9 c7 ]1 n5 E) B4 R# k
& i( M: c, G/ E
! K" f* V8 e. t! G( m0 g. N' m, n
下面我们进 OA 6 \* e) R ~3 ]. C& l
k0 z! c4 P" s$ Y3 L
; z2 v6 R- u |! I$ D4 E1 u6 E; ]
: e9 g* U! H( q1 R* ] * _9 ?/ ~; A1 Z$ S0 h
, l9 D* Q! t L4 _
8 A. {* d7 {% [2 n6 l' B
3 `* ~9 i; ?, r. X0 U9 O
2 P. |4 p9 w( V+ N7 u
1 @) S: V) P$ i7 f U* R
( w8 Z. W' V! f0 q 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 3 j+ k' ]! F% d) N' f% D" Q | G
) T2 t/ @7 O* x5 p
. u$ `. q; l) p% n2 h0 |; t
, }, ^3 p1 H( D( H' T" S& R ' S A, L! V" _8 N, i' O3 w' U
( b) `( M+ \* c6 ~5 O
0 Q: S& `3 ?( }0 A- k8 U% O
4 s/ {% k) |5 I , n; m% l. ]& n/ H
4 k$ K _2 m( p# { : q9 @; h) T# X# a% b" [7 E: m! n0 p
. \3 J5 A: `2 P& M
' k( x0 a6 {6 q# e
& Y" D% s; D& @8 m0 S 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 , c. Y1 c* h4 R: f" v6 w
. y& W8 s6 l" g, ^
& B9 v5 ? ~. w7 b4 k8 ^! R
4 、利用 tomcat 提权进服务器 & r# `. ?+ M3 {
; b d( N5 z4 X U* Q
1 d5 b! ^: }8 V) g0 z 用 nessus 扫描目标 ip 发现如图 * H1 y, e! a9 U" @2 ^ t
# X! N4 ]$ T3 l# h/ n% j - S6 K: i/ N- S+ \. O3 u
: X, k/ n' e1 R+ y
* @5 r: J! ?! j: D 9 q. w: d9 Y6 u$ }
3 M v6 d; s& u: i8 l4 f% \
: _0 x2 T% f5 `: z " \ B/ F. l f# W
- b# ~, K9 o) X4 R) I! S% W8 |
8 j/ d9 [+ X7 n& N8 n# v 登录如图: 4 V- `- p: P N! ^9 M
" L& u" d K( E8 q! e
/ K# r; R. W: h2 `3 G! N: d : S4 [4 Y. ^4 T! |7 }7 ?' Q$ u$ M7 K
2 u. `2 w: O/ `+ X( }& g 7 l$ q3 q* Y6 }! _0 ?( V
& X0 ]+ t: Q/ ~" M s
3 Y3 b' N) j/ R& y
+ ~2 z t: H4 r3 S8 i
$ l: E; r- Y2 L% Q% L8 _( S1 | 0 x4 \' `5 }2 r- Y/ ^
找个上传的地方上传如图: . A8 e# Z- Y6 y) A9 w( l0 C+ W
+ W5 r8 V/ s1 u) |! S
1 X3 e! z9 ^+ W x( l
! ^5 X/ f7 V, e( ]& e 4 r3 K& \1 x+ o4 ?: k- v ( r. h: l4 L7 t
6 p0 q9 h4 y: q ' d/ r+ K% B5 u' ~3 `
, H% x. L$ K4 Q+ K
9 a) G3 q4 d9 ]# }$ R 3 x9 Y$ x. k+ Y g
然后就是同样执行命令提权,过程不在写了 . N. ^8 t* P' o, H5 u8 _! U
2 \4 A2 a4 ?# v; L# z" X8 {
; X( Z# V: Y% |3 m5 ]5 V 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 4 m% Y6 a) L9 U, v4 E: M
+ j' W' J. _' U4 w6 q0 S. q) F: ?1 s( m$ } 2 V6 ]7 K: U9 J
首先测试 ARP 嗅探如图 ; z' u% y7 Z$ I$ s: w2 d9 Q
5 x% d; z' P S" ^8 i+ k
t5 T6 z6 d( d% j6 |+ S$ {
& |2 J/ r# g$ `. r2 u / G( y0 Y. \7 R/ k1 q$ |
, d5 Y2 i& m8 ?# d$ j; ~1 c
( u2 U& s4 w9 M3 L
; `; V1 ]. B; n 2 X2 F# o* a! l0 R
: e( w0 D; C) R 3 N8 p: _2 O6 Z! q
测试结果如下图: g2 }) @! U% y# e; o* w( V
6 Z' m( X% S4 V3 K- v# ?/ t
3 ?& m/ v! M- b# ? # M r+ }' d& r* D
+ L$ e0 j. A4 s! j" L1 [6 v6 O $ }/ \% \1 a0 c' D' p4 V( F1 z
9 v. @- W' I% L- b. O" @2 D1 r 7 F& r. l7 e! T$ U7 ?9 m1 a
& J, u6 O9 o9 I3 R& F' d- u/ @
' a) D' S+ x1 y6 G
/ N% _0 w( T* q2 _
哈哈嗅探到的东西少是因为这个域下才有几台机器 ) N$ F- e" B, I$ D5 u R
0 O1 g. P5 T) X8 F
1 V1 T8 X, P. R, q* w; B1 ` 下面我们测试 DNS 欺骗,如图: 1 w8 E% n" s/ [; I& o
/ V3 q( ?( T6 y) J) p9 T 4 l" v1 I0 {! d( e- B! u1 Y
: f/ ~- H6 m2 P' Z* R$ I0 a
5 n. X- `7 l( U" r! ?4 E
6 Y& N: w" d+ A1 ~1 t: P; |0 i) r8 A
% V' i( R, @ L) H * V d3 E. }, g% A. o. n, h& j
D4 F# Q+ V1 ]
- M- c; y5 B% q! e; h6 r/ S' Q8 n8 ~
3 F& U5 f% e+ B- f6 ]" E9 }( b 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: / b; I( d; H1 `) ~! G
1 e! `% t2 @" u
6 K2 @5 o3 @* c, k8 l4 s1 k
5 `( B/ W# S: ^2 A ) T0 e6 P8 y4 H- L, K6 \. @
" V' Y; Q9 @, g+ t4 n8 f( X4 d2 @0 a
& p3 S- ^* M& c" f
. B( r, A. o3 ?9 o8 A 1 e, q6 f! }7 h' u1 b, `
' x1 o" m; f" z. E! H0 w
# ]+ ^5 o! U, P8 O. r9 j
(注:欺骗这个过程由于我之前录制了教程,截图教程了) + F& O: H: i3 n% T9 Q; k( r# j3 [7 C
- Z; ]5 w+ Y9 G% Q8 f9 V. ]! w" c
& c; A9 O9 R" _' \: b 6 、成功入侵交换机 ; A7 X' G# G: Q2 W
( F3 ~3 u4 m$ ~7 i2 r% [
4 s$ y9 _1 C& |' t7 G& v# z- u 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 : }- Y6 I$ o( b. ~4 ^
3 v1 M( h7 }# g0 U; ] P
; N, K7 C' V5 ~+ Z# x' g 我们进服务器看看,插有福吧看着面熟吧 3 D% b* P& \) o `% _) a1 P" D' Q
/ P. |+ `2 J8 c/ n3 t
, N' Q9 ?2 J: N0 @' f, K2 M: n
2 y9 a, E3 P. s8 |
/ y& N0 _5 p- k" u! B& |
9 r7 D' {% W1 b
$ c* m' J( k( y* v
! B- D, @* c; O% J5 _3 ~ 5 y d/ O D0 [) ~2 F6 {! v
! n% i" L3 V+ L
3 ~2 Z( p) p/ x
装了思科交换机管理系统,我们继续看,有两个 管理员 , c [$ y( V* d0 Q" C, j$ ]
/ m& g8 p' ]- @( G, C+ D
7 Z0 g8 W! \- a1 N/ ]9 }) M
a: \# E: q7 [$ d+ Z$ | & V# p4 S! Y% j: m. n! y8 V" D' K4 `
5 t! C2 i* M/ w) H9 l
5 w8 Y9 w. {" N2 k6 @ $ e7 Q+ {/ f4 o; y2 j
1 C2 l) E n7 F# l6 |2 D# U: Q' c5 I, m
0 r: _) C0 v; i' ~: Q
( k# _+ g. b: D* \: b4 r5 i, W 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 % Q9 i. E# p; p) E- Q
* l+ ?: a- h; `' B
* E- e5 X1 w' k( v- Y
: w0 K6 z! {+ g! n* ^/ K- f K' o, F $ s0 J% ~% k! G8 |! V 1 w( i9 K4 {* Q3 V
: L% f5 p& i" R, b6 k9 D7 l
/ i* ]! D7 d8 P% j$ z& _ . ^6 e9 i5 ? x5 t4 N
8 V% R/ D& t }" o7 P$ F. R) P( s# q
0 }" p: y* j* ?+ p: x# b 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 7 T* ~( y$ H) M+ Z ?6 y2 l
! u: z4 u% ?- a$ g ; w9 Q, O0 V0 |7 Y7 @/ k6 s) ?
b$ q- Q6 B7 `5 U% L/ W g# N
5 B% B! J/ V! @0 B* T% _
7 O5 u r! m1 o
/ c+ B, | b- d' a7 s
$ L" L. P( d2 i8 k1 _ Y7 E
$ B+ v6 _/ Q; }" |7 d4 ?
7 m0 G6 K) k+ Q1 c 9 |3 I& y! z$ \9 H! L8 _' [
点 config ,必须写好对应的 communuity string 值,如图: 7 I* f4 `7 p6 R8 ?1 @4 e/ C
2 H* w* ?" T7 g& |1 L
% i# n, B& x, ]) e( y
* C4 P% [* ~5 P $ M! A- H% e- c5 Y( V
+ `6 ~; s' g, M& Y. }9 p
}5 g- y6 K* K. D' y$ {2 y
8 m) T7 {- z: L( i7 M6 g 0 r7 \3 S9 l' M
/ D0 F' r7 j6 U- B+ Y5 n
" G( ]7 s, T/ a7 E
远程登录看看,如图: ! c5 v$ g0 { c) ]! { X* _: o0 |
- O* b9 Y% o$ T' k+ ~7 c
+ J8 B* G) ~6 y" ^; d7 f
2 v* J" D5 K* l+ l: U3 \8 H5 D0 z! S& ^ 1 `' M8 R- W y& S
8 K' W( @4 {- p+ E6 `
4 m" Y, q9 o( N: n: R
* l- i# |6 {, T 1 r4 [& {7 F2 `' p' ~" n
1 q _- j% p( z+ D& `, Q
7 v' g% U) u: U5 F" ^ 直接进入特权模式,以此类推搞了将近 70 台交换机如图: 8 q0 v8 J6 A6 C7 h. y4 w, t
\( x8 ~) n% H; M
$ K3 n! r( S. o# ^$ O3 J 0 Z. m+ L2 ^. i! T7 s! |. A
' C1 M U" I4 n, Y) V( `
: M7 g, u2 O4 e" n
8 n4 q! @* N* w1 Q
! [- ~9 T0 p4 \2 O6 y: T- b$ h( S" o ( {( A! z! N& ], T, x; a
0 a! X+ y9 o B b( D; c ' @6 j( l7 h7 m! ?6 Z6 g5 W. O
+ H+ ?: @) W% H- U; f9 X, k g
_, I7 ?5 `& T0 ^. v- j: @
1 i2 D7 d% u5 ]5 X# T% K 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
) Y2 f8 K, O" b0 Q2 C: k5 g7 b% F
0 \6 \4 v! l) a
7 }0 p/ o; R. ~, g1 V U3 R* i6 n5 \5 n* J9 V$ j
4 }3 ]' E! J% B8 s6 h3 O* D
' t/ V5 K) G7 z( K
* V1 t# `3 j* G. K9 G- w 5 T' t8 H$ b" T8 ?9 s' l
2 |1 [0 F# o& J: C* U6 T$ M: L
$ Y/ k' k4 Q& O. k1 S+ U7 D : q x& I5 e9 k4 m+ n' w
确实可以读取配置文件的。 / ~3 U! G2 z" C
e- k) J# v6 X4 T B' ~9 s- ^/ n# n
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 ! W* _' c( F3 W" c4 M2 m+ w
0 h: |9 G( G0 _& V& \8 m& D4 r $ d9 l6 Y6 S+ x: J
1 Z5 w3 \. r7 |( Z0 C+ t . ]% }8 V4 b3 C# I
6 }& f# h+ Y, u% V
0 ?- `& t T! x; q: s: _ 1 ^, O* b' A) r9 P3 j
& ^0 c# M: F. W2 `' x: G
5 ?( ~6 @$ u8 E, E, M7 `
8 N# ]( e4 X k6 b: O
5 [! x( \8 y M5 h
: o8 j9 t' X0 d; F3 s
7 W( R8 \( a p+ A; x! T
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 % Y' {% Y9 V. G/ D: G% o
: m& N a4 T, H' W/ \
! ^! A% ^8 z8 U: Y* C
# H @. d) ~2 ?' T4 p, }+ S4 l9 O5 I [8 f 1 r, z% Z9 t; A. P
v8 K, N6 h0 _2 h8 K5 N# ~
: N) e ^, K2 b# \
8 s& e! |# i9 P& | 3 F9 [+ s0 n; b' A' J$ g
7 C3 y3 M2 l3 a/ a
4 P J: B. `2 {
上图千兆交换机管理系统。 . d" q9 v9 z* x
" @% K' J: Y( ]; D8 f* k- q! R , R/ k% G' @6 g( _' b, ^& w
7 、入侵山石网关防火墙 & O# T3 E" k0 l; U! P
/ ~- B+ D" z4 Q, t% e5 X ( m4 m, R+ I' v; L: l0 o+ D
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / R, g0 t5 k N, Z& r
) D' a8 d4 ^7 p9 @) Q8 W
# j! r2 u, |& C6 s: ]8 B5 M
7 H2 }. P/ ?, q% z 6 P, Z7 k x5 n u1 b
% B3 ~ [7 k$ e* H( k; f
1 U& _8 b# x, u9 r A% S 4 {8 e+ Y3 `: I" I* T
, d" c" i8 x' H* S2 A/ ~6 n' I+ _
* Z8 y0 E; j a) F5 J r. s* c 4 N$ y7 R0 E# Z# Q- ~) z
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 0 K2 |) f* L) p' S6 [4 d4 J$ x, t
: `- B( E# T) @5 y0 N
a- _, h& V0 b/ C1 l) V
: E. s9 Z! c7 k $ A! Z8 t& o" I" Z4 m) O 8 h9 P0 C5 G$ f4 Q0 t+ b, W
% q' b9 z, i$ ?1 I) }* c' d/ [ * z1 O h3 k5 d+ r3 H1 D
& {- m' @3 u+ E8 I
, F4 a: o; ?/ y6 l: o
* q8 d t2 N& ?2 Y# K! C
然后登陆网关如图: ** & y' t' Z8 ~( N: `
, ^; d% S& Z' O, m$ Q% O5 O
+ ~" n1 t/ B# C" P1 { 6 ^% k0 c/ h$ `1 e. e( p% a( ]
1 k8 ^: P8 c6 P% s! m& r
' o h, M! M! x8 p4 Q: |
) \& X7 R1 L. t
g+ `5 Y7 ~, r* u : M- }; f: Z X9 o5 D
6 s' a9 f/ I0 F8 S. Z 2 T; c+ G( Z* P- g$ _, Y; j7 N
! ?3 A* L A, Z% o! X4 V6 { - C4 J; c2 U5 Y6 r3 T( Z4 f
3 x2 q2 ~, D3 U/ ~7 Z
# j1 h- M+ W X% c. y9 d W- i7 g
. G; c" A u8 {% n G: ~+ U
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 8 f' h! c9 h4 K) `1 R7 C- ~$ O" ~
2 |, {) i! L' E7 D
& b, B0 }# U& |- L# ]4 P 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 1 i9 X U% @, p# {0 {/ |( J% ~% M
# j8 R5 i# q+ m' D, A & B2 Z& |' ?! X5 k' T y+ |' j$ W
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** . ]7 q% y, W. S
6 r/ \, A# d7 u* r; ]- Q 4 q/ ]3 Q8 G. X& h% Z, A
3 W( R( y5 Q; Y- u8 M
% d/ j4 e! {4 F5 d
( W! g: G8 C9 j3 E: T
# y+ u3 N1 v! u5 F/ y5 B
2 ~% K! J6 F7 v
: r' j6 q2 k O: {$ v1 M8 Q+ k8 ?' d+ \
$ U5 L$ _, n! X: V% T ' S( t: p/ P$ T4 T. |
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 7 u) L* f$ S# x2 c2 }0 y0 |3 O, h
1 b2 B1 k- }! Y! P2 {6 k$ y/ J9 D6 L ) C( @% l8 E. y7 L# q* z0 K/ {# \3 ^
% k2 _! }1 {+ ^" l
6 L4 p5 ]2 G: _# O7 i+ Y
8 k9 O( O0 y! {' _3 r$ e6 M ! N4 w0 M0 g, w# ?1 z# }) H
( ~3 R! I$ U( W) y
+ K5 q8 p! G7 l# `$ I7 r 
发表于 2018-10-20 20:19:10
收藏
支持
反对