|
. L- d- O, W0 z7 p2 u% w: \0 b- F1 h
) r- S. i- z1 f3 B& N3 S* Y
" \, X2 \7 @; G' p( }0 s2 {, V) }
4 t1 [5 ~* I7 ]) a5 x+ R; r7 o 1、弱口令扫描提权进服务器 ) y& X' Q$ U7 N. |
7 C, Z. m7 v) U. j8 ~+ V; p- `0 F: \2 y$ E" x8 N% \" Y
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
: R! i' Y3 U# L$ _+ ?6 i& L6 h % m7 h1 I& P0 ?4 j3 g
! n1 p5 j1 c- G! e% q5 x9 U3 f 4 f7 b& x W7 e' M2 I/ `: W
7 S! \7 O$ u9 p7 G* l 2 [% @. c' |% Q2 y1 ]1 |2 F8 }
9 |% X/ o' p3 Z' e3 g
, Y J0 s$ i i1 C7 D 
\! D9 @; t i! b7 Y( J4 t
# J- J# x1 l8 w; i9 U' K4 L9 e. [7 }; A( A! r9 r6 r/ `/ \) ?% }% h
# f$ q3 Y) ?) [! ~8 p
# O) g1 }& k2 ?* G* c' V" ~! o! z* d
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 ! R& Q0 i+ L/ }5 q
+ ]3 Q6 E+ b; B* A, q" C8 f/ k- A! A' q2 n- T2 b8 D
执行一下命令看看 * S! Z7 }( z' w
0 b; U1 v; ~, K9 m- }- T( Z% |, W {3 j0 \
. x0 x# [9 J+ ^2 T
" ]# q5 ~3 ~0 v; w2 B9 X% ^. `* d) c _3 r
" T. [ J( @& Q0 S1 [& L
9 x; j! y* U& d0 S( @2 G7 V0 g ( x# ]3 {' \9 k
; F( U f* K( |8 C# e" |9 m7 ?: V1 q3 y; f8 v% V; @( e
开了3389 ,直接加账号进去 . Y: R+ |* c# U) ^0 w3 ?" i1 o7 C2 m
; R6 P: P, }1 {3 n5 \9 q2 k# H& `9 ~
: x, C K3 k2 z+ ^5 m
( M- f: x& B6 N0 ~3 D V# p; ?
S3 b+ o. w4 b8 a$ g j
! ^4 i q3 m0 U1 i. ~ ; y* P, C" i: s/ L8 o+ i3 B
; ?/ l+ A4 E, E. c  ; b; \3 V2 {2 d! l# o
& d5 U. N7 O/ d: \+ P @- ?5 c# m+ v$ K2 e- V C$ j
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 % ]" R& X2 m! U6 Y. J# M$ H
+ e( e" B8 m& Q6 ]( o2 q, h* k
0 T9 k$ P- g" Q2 H" w, F; T
# T( I5 J$ G$ Z% t
4 M# c) J2 B0 [9 N; d2 L' P
8 J3 f1 Y7 _& r7 c. v2 u. }* G
' Y' p7 o! j+ v# O+ Q3 ` m. S2 ?
# n$ `; p! [ E- d% [5 ?  0 H# n( G5 d6 y+ X7 |
3 ~3 ~, g/ ~# [
9 ?" e- B- }0 y- H& v' f! j9 n
直接加个后门,
# w X' v' z+ z! q" N& j/ \& ?
" H. m/ q D/ W+ f/ T+ |
! U4 w+ H) K6 [" s- V; ]3 G  7 n+ v- o* v% m: p' |& [( K
+ V9 Y* n. J+ | B/ c: L
\" q5 F& n8 W- j2 _ - I1 h$ i$ _, G O" a0 O" T
?/ \- ^1 N1 q& r - \6 B' {4 K& v1 L6 D
* d2 N; i$ K' E! C" r0 ]
( D8 \# d- k1 m( G) j8 E
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
" I' }( `% F+ R: k 7 _5 g. m! Z$ ^% l3 X& [( G# X
) Q- z& w+ P& S& p1 Z0 P* [
2 、域环境下渗透搞定域内全部机器 8 M! F1 p6 z; k0 Q
# D0 m y6 M- n$ {0 }
5 E% c+ ^: G! n; ? 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ; N5 o# K6 m' y, o$ ^
: N" D4 H( D# M* h2 w! X7 X2 Q- W- W0 J
4 z: @. i2 I1 d/ i9 C; ~: j' J
( x, E V# [: t9 e1 }& g: X
0 w* \' D4 O* _ _' K: c1 H+ D L- C
$ _: G* @( ?2 J4 c* B
- j! U/ E) R" y  + E! M% ?& G0 a( E
3 K5 U9 t L, k" T+ M# e, F; i4 M# g; s% |" }# N8 b* T& e
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 - C# k" z5 c, {2 m; f
/ {2 M% `4 L7 j z: p
* ~) n* c( O: p/ k/ G
4 z* ~4 [2 M; R: }5 l' G/ a. _5 I
0 _4 g4 M( u& H
$ k; P7 R4 L( z# J 1 X. z5 i E% x. q7 r" X& ^
& q/ y- S: _% t! C( D
1 R# X. Z( a1 E- B( M1 Z; E 0 d3 ]* |: P9 D' u4 X/ D2 [
/ _# J: y4 @/ i' m6 R& v 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: * v7 P2 D* j: a" S
7 Q+ T& n! e5 K8 ]% {& T" k
/ p3 p& X, j K0 O' }, S% d
9 U+ O- |, {4 G( a" k1 d
6 C. r T) J) M, }8 n
& O) v1 ]; n2 Q/ U! I/ G ! Q- S- _% u* X4 ^4 W
/ }' ^. Z Q% ~8 Z
2 V* Y: x" |$ F2 c
" k+ K, g, i0 z8 R4 U& e0 R! [" a' n" q; x
利用cluster 这个用户我们远程登录一下域服务器如图: 8 L& e, ?) ]2 s1 b. o8 P) P
- l1 f0 q- C2 c
) D8 v, q0 W$ m+ Y, z" W1 P : p- W. i9 c, E2 `1 e! R2 D
3 ^* [- {8 D) Q* a5 {- @+ M % @/ s; F" v' j+ N, A6 J
6 ]6 L `. Z- f( |# y: l3 g" h, D9 N' J) t e5 r
8 i3 d. `3 J) ]; j
0 S$ V1 n9 M# J# j/ h
: j# b( ?, p j4 ]; O. P- D' p7 r6 n 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: - T( z! |1 d0 c9 Z
" a' r$ w# T& ?# j8 X- D* i% q' A
9 W$ r4 i. O! T: Z, Y; d6 H" L
' Z9 l# D8 p3 S. c2 k2 j! t( u) K q5 p
7 f# F; m# i$ V0 p
" x' Y5 b$ m9 x
- y% v/ c- L4 h8 L6 ~" e& O5 H( u: j* m4 K
 $ K2 `" Q/ d2 R
# b3 Z$ E9 l/ C6 W% T, `- M
; a0 W5 X0 T( Q3 a5 B* Q
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
0 U/ X. h5 ]5 A1 n8 J D2 l- B 9 n8 n3 ]8 ]' ^+ S
7 P3 z' i; f( r% O& P* t  % w6 H* v3 l4 c& u6 `: i
% S. u& Z3 l: d$ p+ V. i! V/ s+ H: O# \ Q6 e2 V
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
6 f7 ?% l% d: h% W/ ~
. w' @" S0 \/ V8 D. U# ^+ ?) {! ~/ k5 k- P1 q
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: / y k; X% g/ U7 f) G4 h; F5 r
8 i! d* G. P. T1 r, \# p, \
0 i4 \, J! c6 V o1 H) X8 H7 T : q0 G5 m4 o8 z0 @/ V
8 K: y$ ~+ Q% q$ S8 _+ U% q! e
( M( ?: M7 S( g6 @1 ~9 i
" G3 s& G& V+ y: G
( O# {' E6 n* B0 F: J3 {
 , a& e% U3 ^0 p
! q7 p% W/ Z; P+ W. d" V6 p5 p4 F
- B' W& I, h5 l
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
! Q1 D# o( \8 b* \ ( R: I, w; H1 `
) e0 `# `: p8 e( i+ {0 T7 [! N
- O P( F% ?2 K- T
) k5 w- _ x7 i9 H3 T 8 s9 v9 w7 x# J9 x
& S3 ~& @2 P/ U
( p8 [4 h8 r& m 
& I6 Q4 f9 x6 Y# c0 p. O
+ u2 e \1 Z8 C. v" @1 [1 U/ h- @
利用ms08067 成功溢出服务器,成功登录服务器
3 w6 m# O) i) P K# v( J
$ V$ C( }9 G R' A7 o
' M$ G7 } b% [8 Q3 r4 [ 0 \) {" J1 O4 j6 ?1 P. @
) t7 V+ P$ z, u, k( _9 u
% w9 E" b: M+ S
- Y( O$ _# e/ T; ^" ^2 c* j$ Y# i% g
! Q [8 f# i# t# P 
$ ?" S6 L% \9 t4 z7 Y . _" J' \. D" F ^
+ J" ^/ z* C# t
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
7 K) G6 F3 f* o0 ?1 N1 F 8 g, J. j9 W! m; t' B7 f
/ m0 w: `- O Y- k, l* J5 |- y 这样两个域我们就全部拿下了。 ( c6 C" K/ ^; Q( L/ a
" |! _; Y* q/ K, h
1 P. @6 n/ j! R0 r* J2 \9 |
3 、通过oa 系统入侵进服务器
. Q* f1 m. w9 e2 ?
4 E. Z3 `1 @# [, f O3 ?0 I: t
5 h7 z- N" |0 q& B Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
8 m; e2 x8 ]1 j$ Z5 B; x
- C! k! r. F: `7 A# m
! D9 i/ j6 D( l* Y2 i$ T# \5 U ( \ ~+ O; L4 B' E% I
* I" ^9 d: C; B( V: `8 o2 |' n
. C1 W! T% W1 f- s; [6 {$ I& \ 8 j7 D \ a) K. ?% k; o+ A
/ T+ ]8 ?: b) p1 p, g" [. r# u6 _  2 v3 l$ E/ \+ N: A5 Y' S6 j" Z
- S' f6 g7 `7 k" g$ M3 ?; h
8 }8 D& ]: w4 l 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , {8 i4 ~1 C) W6 c% Q
6 s) [9 L/ o* ?; I4 R6 I0 ^- ~+ Y
/ b; S l! c9 k2 b$ K; ]1 @ 5 |$ J. v7 | O" F: J5 V; `6 I
# ~! A$ j" e6 w/ G1 u9 _7 P4 [9 S* q
- r" }- ~0 a( i/ }; Q( g% N
7 r: y% s) t8 |, F- Z& j
, V( Q2 [1 ]) P1 p/ Y  " l3 t; f! }' W$ F: R, F d0 r) I% P
2 A$ E$ W0 a$ I' U _4 E1 r; N
# `& r* {& X t+ Y* V# \6 n7 U 填写错误标记开扫结果如下
4 `! \+ d6 I1 o) a' k6 I/ d
! h7 \* C2 B7 p
; [! s) X2 x" {2 _ 4 ], {6 ~6 D" i" T
+ G& a4 p' g4 z5 m- } % a8 D/ ]5 Y6 L$ M$ U1 |
" _6 r1 `4 W# x
. i0 J1 }" J, O9 A, M 
, }( V+ d/ C8 T1 ~: t% Y, c. k
9 v- i; }1 |0 A) s- Q$ }; X: v8 T0 U5 b. H1 @+ G0 R) Z% i
下面我们进OA 2 ~. O3 u* U. M" J+ N
" o3 q! b( g, J; l6 Z; C$ }0 y
" K$ }' k% ^. {" F1 S5 N
# J* A% V1 m, J4 l$ U
! L9 Z0 y& M3 V5 A: C6 q ( R; q! d3 h, L+ P4 Z
6 G2 M+ ~1 `! k5 y% t% ~
: y0 a' V" C) g% V" i  ( ?* w% ?0 t: A1 ~% r. j. |
- F0 l1 A, y$ ^' M+ ]2 \
, U7 [8 G/ G1 q" Y! }* P' p& t5 m
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
; B) y! s) s% ]6 y 5 O6 [% ~ }" i* }% f* r" e
5 g2 M1 L5 Q& J5 e7 k
& _4 \9 R4 ], O2 A0 N
2 l9 W8 u9 [9 P6 {! H
, Z# {# q. D1 Y. ]% k& G, v) w; w
8 W: B3 _( N t4 C2 ~8 }( k9 ]3 k) O! J* [
+ z9 P3 p6 m2 D ) v9 p; j3 s4 v. b" v% h
6 v/ u2 ?4 Y7 @+ }  ! L1 ]$ c3 [2 v
* L" v) j+ p4 W: M, m
1 y0 G" l! i* O3 M' @
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 & _1 B7 y0 e X7 O" F5 E
; ?% m2 x, k Q8 b# j6 E: h0 I
, @9 q, D% Q# C. d8 I 4 、利用tomcat 提权进服务器 ( s+ I, {3 q0 Q) H1 a! J* |7 N) l
9 k$ o) t; ?4 ^% T4 J: b
/ v1 G$ g O, d3 a* K- K
用nessus 扫描目标ip 发现如图 ; J' l& V/ M+ q* h% I1 r" T/ H
% x6 ?8 |7 _0 Z8 A+ Y" M7 S
( ]8 W# o$ n; w) X! d- O6 A4 c , O: N4 B. x2 D0 S* u
: t4 l( P- y, _0 z$ b" C, u' I: r
8 w0 Q6 u3 n$ Z+ H - _ c2 f' O3 q/ x& d9 z, i8 S
' r+ Y+ Q; q$ ~ 
% r1 x! o$ i4 p5 A' T+ Q7 @( }
( o% P5 C( Z, q8 l, O) s5 @ u: S
, z0 Z( T5 R, R: S 登录如图:
/ R$ ^9 P0 U" `/ }
: d+ ]8 K6 ~/ E* d! v( o4 b) P; f6 {5 @! i: O, ^
7 U) X( ?3 |* Q+ H* k: W4 t. ~
- L: S+ e6 T5 e3 d0 G6 d
- D# g- }; u8 E6 C& L0 w5 ^ ) A8 V2 _+ K5 g# b
: y; Z# D! o/ u, R- t* a$ j
* H! _6 N, Q+ D
$ k1 S4 {3 J& l! C9 y
z" f, e" {0 D1 q0 { 找个上传的地方上传如图:
. W+ o3 ^! v Q$ K) y9 }* V4 g
/ n( t9 p9 b4 r4 u" J: l7 |& l! |
: I; L, H) u7 @: C" g" u
+ T5 t3 @6 C1 Z l# `4 r
* u; p! ~+ I% D: v" N$ B$ ~" n
$ v6 v$ m+ @. ^, i$ i- m
9 ~! v4 v" a& k4 v
* D u# z" a# z" e: F" N 
6 W0 j+ R" A' S 5 t1 C/ d: g7 G4 f- |! ]3 Y
3 ~4 H& A( {+ K4 l) L
然后就是同样执行命令提权,过程不在写了
6 i& M/ V+ T. [7 g0 [' l* ] 5 z4 I1 f. B" ]- B F, s! Z! b
8 D( n9 [% n9 F- c% \* B/ L 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 3 \, M4 h" f* E& e" `
- `( [, u4 V" B# U: \8 }8 d! c4 C# B- ~
首先测试ARP 嗅探如图 4 k7 `( Q, {' L# z, p& j b
' B4 I+ M, r* c9 u
( C6 A9 }) ?* w/ t1 U3 S/ p0 { 1 B, }" \: D/ l6 g! Y
2 ]4 O* ^! g7 J! y$ S0 z/ U
3 ?. \' m1 |; R$ [/ m5 \
2 i5 `3 F8 b+ f% U, J, O5 v3 W
$ }; c6 q9 N2 W. @; ~% P- x
: q" b& P) u/ a" b( M. |% k & v$ Z8 r+ }$ r, j+ [
f _; C Y8 t+ J2 @/ Y
测试结果如下图: " o1 z) S* ?- y
+ M8 I, f5 q( r% c: x% y
, }9 Y! v( i" t2 u2 @2 S/ z / N" }' @5 {* M
% h, Z& Z, R% f2 M8 t% A. W- z
) b K- _+ {, S
8 ?6 @+ q) H- |9 D; B3 V0 G/ Y
+ D7 z8 n; W* q4 X; X( K4 x" o  - V3 ^# c6 x( m+ W1 a
& _) ^ y9 y) x
/ P, s1 R& T- F- X9 u% L! n5 a
哈哈嗅探到的东西少是因为这个域下才有几台机器 - S) G S" i2 p; I4 l! y
4 B3 D$ n, U, g% Q* U6 L; g+ y1 `, l* e4 V. ?$ ^0 C {8 B4 I
下面我们测试DNS欺骗,如图: + L2 |$ A! f) r( `* i2 }" ^
s' |" ^1 E {' I/ {! N4 E0 D* ?6 p
2 W6 ]6 w/ Y" w- D8 P) D
8 m' q: J+ ~) I( n/ w1 _! _& i
1 n* O1 |% ^7 t+ f3 b* c }
8 ^' x+ Y2 Y7 J/ ?+ B+ T7 `
& @1 N7 k+ e1 b7 n8 u) G2 i: p5 ^1 \, u/ `8 O. ^
 $ G- g3 |: [% H: @9 {& F8 e) ~
3 z$ b$ C% d% G8 e
# \9 W6 G; q7 x$ W 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) U, J5 R5 l) f J& v
, z6 j- N A6 T3 K) Q7 j
3 I- S4 C: O9 p$ F 5 O _3 O- g) ?8 X' Q0 F* {
3 V% H: C$ U, q: f/ c- T
$ G9 v# z) j8 h7 Y
5 ~! u( i! m/ P- J! j+ s
% a# v2 `$ O( [. }: D4 w1 R  9 c5 R$ f) `- y! n. l
, A" I& A5 n3 w8 c& g& O9 B6 _ U( ]+ g8 H7 h+ x
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
- a& P/ k2 u5 l) M, G7 F ( l9 n' c" r6 S8 A
7 r. s5 n; q1 @0 b& W/ c8 f! T
6 、成功入侵交换机
. n4 w; |6 p# |" \( u8 I; [, E
# t# U5 @# ?7 d$ f, ?0 P# T
' p$ s$ y9 ~( S 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 + Q. ` c( `+ [6 G: p v
4 Y; M- T6 o [. q; B2 K
3 j4 q" Y! `9 F2 X5 M 我们进服务器看看,插有福吧看着面熟吧
& Z6 m. A. j( a& V$ [; ~* W 5 N4 H6 ~, X; x( E) P
9 y, ?+ Y. H) l1 F5 m3 b7 t & R+ V% R% T6 Y4 d2 Q# q5 D
2 t H! F4 B6 g' @# ?7 a
/ A. A* m1 z9 s1 a! f7 } 5 l% t+ A; i- ~& B7 q, L0 Y( K
8 {) M! {+ X$ i* B$ \; N
 ( b1 x* A' g* h8 g& d8 _ ?
6 e9 k) Z9 j: b( W4 E& }$ S/ ]+ R4 E& `! a* ]7 h( T
装了思科交换机管理系统,我们继续看,有两个 管理员
* W! R& F& y5 @
& v& d6 Q/ e1 B& d
+ S0 @, E# S! R* z* T 1 c4 y: J$ ~( | _. A6 ~
1 f5 R1 n! I( X$ n& s
$ @/ Y3 D3 `0 S
6 ~- @+ e0 X& }) i4 h8 x
2 w/ d- U2 q) p" ]: d  1 U! U4 o& F e7 T
7 Q- I7 x8 o. C) M! E3 V* u
. |0 J2 w* x5 h; y4 G; k$ Q 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
4 Z& |: Q- x- `: u( C
, M* V* g! P0 q9 w' |& `+ o. F6 k* R. S% T, s
5 m3 X1 f" Q5 d$ J& u1 [
: `4 c" ?* p0 ~
- C6 f( T O, a, a / c$ R9 `- v: a5 \) F' g
3 Q. k, u% H# \3 R9 k, W% ? 
. n1 o9 c: I. \0 K- o5 t % P; P. Y+ e! S: r4 t4 R
+ M9 _ s7 {: m8 W2 ^' v! p 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
; r% S5 r; z+ H) E
3 q* \* e2 s+ V7 v
! Q2 ]& M! y# L6 J# o1 i
/ l* ^; N( R* i. `3 B% Z
8 M4 K2 T5 }& Q1 X5 k
$ \6 P% t+ o& G- Z6 G
5 U- s; |4 n* x4 F* g( r8 `
. {1 c3 P# N# F7 I: r: K  4 K. k/ `9 X5 Z, P
. P. O- l Z6 ~9 p z N& d4 f
; @7 S* w8 @2 X/ b
点config ,必须写好对应的communuity string 值,如图:
" T! h4 y! v4 _) `$ |" G
: g- [: x( {& P
% U" Z0 _" _& r) o. u5 c
( |' F' c0 l* ?1 L2 U6 f
! D4 j5 l+ b* ^, t% ?
: _! H g5 n! z4 A8 e3 R& W9 k
' E/ S: K/ |% r8 v3 a$ Z3 C% f: ]# {- p8 ~5 T( |" ?) F" u! _
 % v. H9 @1 Y4 y' W# V- y' W0 j
7 F. W9 @, d- ^. k8 T# j$ S; P
& R$ n3 E: ~4 T! p 远程登录看看,如图:
5 ~+ q% ?, \$ {/ Q0 H
- C$ h, L5 _& n
) v# s5 g/ i$ `) O, Z. b
2 y$ r% \7 [& \+ T# c( X8 V4 \/ Z
1 l" ]& Z4 i' t8 w# P: G3 _
5 P$ l) U7 t# ~1 x- l `6 M % Z8 h% p5 o" L8 O
: v. p# E* L8 d. q) s% C3 D% d, x5 D  + e$ M0 y& e6 p( r0 c! d
1 ?8 u. q7 w! O1 S+ X
) f+ a3 F( w* `2 ?* y& h. n) k6 A) I 直接进入特权模式,以此类推搞了将近70 台交换机如图:
( y5 P8 I) u6 N 4 F" b: R; J0 E
- Z7 e) i' B0 {4 K
# q! L6 W8 Z) G6 W! P# s
1 l" g& U8 c% E0 @/ ]
$ R; C+ ]+ A7 \5 `. t0 x * v: p2 ?( H: W
. H. x" j- H c+ k5 ] 
0 K3 _$ }* V' u2 F 2 @! q. H7 p$ k, I6 |
; |1 x* b9 h7 X$ S: n4 w 
R3 P! `" B( W! a9 l- W# U# S & O0 u' Y" K! Y4 B, L0 {: U8 ]% x
& }/ f4 c+ u6 J7 P5 z0 q3 f+ h 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** ) J$ l! f. I! U A4 M$ X( F
7 k c9 d4 f |# P
, S9 f/ U9 l0 E3 z1 c+ r8 m3 [* s
5 Q; u' t% J. Y% j! @0 }9 X
0 F! d$ }- x/ d( c1 Y: h" z h* P
8 q9 N2 n, C: P) e
5 E/ Z4 A: k9 P9 F: {, ^
- T% B8 i+ h6 l) F3 H  / ?7 W% j" K1 V% Z8 t
5 b4 }/ m1 F+ F4 d% L$ b* G r4 q5 y
确实可以读取配置文件的。
! {8 B; ] ?6 Q& ?
( d+ l3 U. f1 A2 t" F# H
3 v7 a S+ V( `$ D4 l 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
; _: j, R. r7 W$ ?" F * b: |' l& S+ a2 M F+ u1 Z; M
5 J! [3 Z% o) g, `. Y" |+ w8 {
, a+ d2 g: ]8 r4 v9 @& X3 o4 F
! a3 L: ]' C- |: I" p ( F% K3 ~! T7 _
6 u# H# h& ?9 m; X! W
3 O" D( ?: t/ O5 _( u
! {0 Y' p: d$ G8 e* N3 G4 A# }
! a/ ?# I( \5 z4 x- }- v& _& |; |
F) N6 l( I) D4 c7 G 
' H1 d5 h# `& y + W' @& R; G+ e8 s. n! g6 I
) l+ s7 g/ Z/ g3 I4 B# h; C' u# H 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 0 N$ f; V+ X2 ~2 z" N* K$ G
) G7 |0 p( Z ]
, }2 t; I C ]( {
. a) ~$ T" V4 q" x. L( V
& _5 G; n! S$ T2 I3 ~ 4 ~* z8 R7 W- V, j( `8 `% ^3 V
+ W5 R" v6 V1 v* V% _ g
& p ^" h+ Y% G+ ` 
; u. k: f1 d) b/ B- W1 A; n6 Y
0 G. |* N8 c% ]0 M0 \6 B
1 K. t' D$ Z* [$ B 上图千兆交换机管理系统。 + w3 e6 R. k( _' e7 b
$ f! } \0 f* I6 q5 ?0 A
$ o$ Y* v# W n( l0 H
7 、入侵山石网关防火墙
* E0 y1 l' ]) p. K- g3 ^1 d* C
, j1 a" P# L9 N
, Q: c8 X8 ~% a- N7 p: E 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 B5 V9 L) r! B* a9 X& o6 ^; I- ^
1 ]& }9 b7 ]; {6 j: V. S! Z1 U( T4 Y
) O- u9 J0 h' y3 v# W1 i " \0 [) K$ p# l( R- v6 D" \
' q7 V) T, Q" O' K4 ?
6 q! T7 I8 S9 ~8 X
) |( D' ^8 u; `# y6 L R
/ I/ U( v; ^+ |3 u 
, U2 V% c k' [1 w
! ]* z% R2 P4 i: x1 D$ ~, j s
0 V, \" P- `: j0 o 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
- Z9 z- P4 T" W' B/ g2 h A$ _
" W( B% s' M1 }1 }/ ]
, X ?2 C% ?5 t6 `: j * D5 ~, l1 Q) ^# M H: ?
# i" @" p( [+ p % _. K2 g! Q, l
+ ^8 A! |; p' o5 R* p: x6 Z* y7 [
8 N1 X, G& ~3 p- m- G2 d' x
7 @+ f$ j7 H3 K' c9 i3 P7 d1 B : f) s# ?. v8 O. H% X
* h' d+ i) S, f9 B/ S5 S
然后登陆网关如图:** " D$ C: i' P4 @0 U
7 X1 S0 H4 a0 R2 b% t
+ q) H- t; q# ~3 W# f. n5 I5 x+ ^
' g5 |8 W) g1 ?. g9 K% h, }/ |
/ w4 ]2 @; Y2 l
" J8 S5 R2 k: v+ {; D% M
- u( n1 m, Y& C) i2 Y* G& x2 D% R$ e! i: t
 * ~3 V5 q! [/ b* B
W/ m5 y9 v6 R
/ [- x: A0 i8 p+ [
0 |& M, s0 e2 y: n `- n! J, |% K
) h5 l/ Z" E |* a: _3 x* `
6 V6 A# H0 L: j4 u- l
9 Q. x! U+ m3 z* g5 K1 w
' o6 p: K1 B0 Y4 m2 \: P$ D* L 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
% G& t A* O6 t" [" m
# H7 m" h# @* U. Q; A6 _" O" x! _# D# p7 I! g& m c7 s
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ; D& t( k/ Z h1 ]! ]7 j
) _$ i2 k2 A3 p
+ i7 n& K4 K7 W% H" k3 R7 w 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
3 K' D8 ?0 d" }1 i* m , l0 l. H! o% C* y
& t" _6 |7 C( s' [
5 _% ~ b% n0 S! _! e" g" N9 D N
9 C5 [' ?$ |; x6 F# d& y) Z1 S 5 o z4 w% m. ~6 I/ x
' M; ~1 m9 E, ~2 f% `# I, o; T, s+ b6 u
7 W, m% X+ p* U8 [
8 d; K6 z# R7 t5 I; G" A, I3 {( k6 b# @4 [
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 2 f0 }) n$ ], x- A8 l
0 h3 F( z! y. D( h1 U
/ R0 Y1 i' m* m1 u+ B5 {
* Q) \8 _) s# {# i$ ^ ! a. j* }6 U$ C% I/ b9 R
: ]; Q6 n4 i" F3 {% x1 F
4 d4 @/ O# s( `+ u. j+ U* O4 I
7 U4 e9 `9 b: N/ r0 o: o: ?
1 Z9 w5 o" m- x1 x% l# B | 
发表于 2018-10-20 20:19:10
收藏
支持
反对