9 y: [! W% e7 C Q - B9 r) \+ k5 ?* @
6 w" }# f% ?( b2 e$ D0 R 3 w& H; V0 J" K g
1 、弱口令扫描提权进服务器 ! @& f$ t5 l3 u( {4 }0 [
; K+ m- `! N P* K9 Z
& x' N, y* ~% z3 U
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : % W% p* K u3 G
3 ~ p& q0 A" f% s9 k) p: w * `) j `/ m1 B4 m C
) n# T; ?, Y& U0 J0 q l. Y) }
: d' U- K* V) |3 L ' r4 p; e+ _( ]4 p+ L9 N) R) w2 {8 N0 T
3 V( m4 i7 B7 `* U5 P* D
* T' u* r8 Q \( N1 c: b
5 r5 w$ g# Y& T0 w# b' S" e7 S
# p, P% p$ M$ m* c; }8 R/ U
7 i3 c4 K- W3 |& @8 J * S7 H( `) ^" s- B. c4 X' C9 K8 |
1 @* j8 R& \- Y+ R# [ n) Y5 U" G; }" |6 }! t6 S/ G
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 & `2 D- y4 {( m: x' g
. ?# J) ^: f5 C- t; g
& q3 W0 C- f8 w7 k 执行一下命令看看 $ c6 k6 F3 a7 Q; e
0 y. U. p& Y9 ^0 p6 x 4 z4 v9 n+ c [0 m) T) X A& T; z
& p& D2 n! H( d/ ]0 u! t# \
$ k5 z `& h* d) r
8 q, a; o0 _4 _ 5 \# u* _+ L$ D+ O! r: h
! q5 C: T! s, t) C# t
( Y l. R r$ u
% v5 s. c3 U, j4 d 7 b4 E0 ?: c3 B) @0 H& S
开了 3389 ,直接加账号进去 0 e: E& I. p$ h: I
# y0 u/ `( g) b: ^* Y: ` ( u4 \' ], Z) ?" U. \' E
$ w# {4 @& G/ n! q, z1 W & k( x& ^ M6 c7 W
& ]8 X9 ?) ]6 Y6 t1 P* E
( r) A; a% ^, A
' _7 v5 G( ~' ^. K& [5 M) L $ {& U. v9 d. P# ^3 a4 f
" y$ d- U9 H8 L, n0 p 9 r" S/ F" L+ u3 \
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 9 E5 d4 p. p3 [
- r. }$ E" N' f* Q* E q) }
6 |0 @8 m/ B4 q: w: ?$ J# W
* Y* M# l6 x8 I3 P" X1 u - \+ n2 H* w: _
% J$ c/ l% L9 D& } I
0 O: a% }0 j9 a, e* }' T
; y6 q/ M* m* d2 z0 T, d4 l, y
' y' D0 o0 u% z, N7 W- r( i
/ o) P5 Z; _0 m, S' x' Q1 y* w/ g 0 t0 ?, `7 t/ Z2 p: [" _6 o
直接加个后门, & p0 R! U C( l& w4 f" v& y
$ h, M3 q3 m- \ X) c8 h l) n
1 N, ?! \$ A8 B# S, }
( d/ I+ j' [! D
, u! P4 D& P* U4 S5 O/ c" r8 O
' `2 W+ R n* L2 g8 u2 i. R/ ]# c' N5 ?5 g 0 U; ?" K |: d4 j9 |3 {
& O6 b y. n0 d, O$ ]) O0 |* m; i. Z
6 }* d+ i/ g" J y
) z; {! t2 H8 ?* U
( ?$ e2 z n4 |) n 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ; ~7 ?, l# u' ^3 f1 t* Z
! l7 @0 V- q8 s/ e1 |0 a$ A% x
. z( _! P! y" m' G
2 、域环境下渗透 搞定域内全部机器 $ I( J9 [4 G. ~' S
- V0 N1 y; C4 i$ V+ d9 y+ U
6 D0 V8 O$ t/ J+ F/ [! c; ^+ o 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 ! w" K. @8 L! C
; D" k, g* A& L1 B
( E. n6 k8 H% J8 S+ Z* u " n* c$ Z4 t$ \" a
b7 Z: Z V9 y" W: `
) D2 F$ T0 L- P9 V" t
2 b8 N* G& B& y* m" k5 Y. D% d
' }% k. z; v+ o4 U $ p' z8 n5 ~% a9 _& X. f4 R
; d% i5 e @% C& p $ P/ }" C$ L6 n6 M* K6 E
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ' h/ b4 M5 E- C
- x8 V N; w3 f( O ]1 J
v. y( W7 E; Q4 b* c/ Q
) H& k$ V7 Z; g+ B
9 u- @9 t, ]# ~2 m! e# D
5 X2 j. z7 Z4 x7 @3 W
6 a$ R0 c9 z, g% _ ; g( ^0 E" o9 V% V' W, o; {) K
6 o$ m/ a0 C( n! H1 T8 v
& l/ \" P" l6 Q1 N- y
& @( }7 N) w1 ]0 f% |. B* {, G
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: . ^' j7 O. [1 q4 Y% ?+ I
, M( d+ M8 Z0 G
/ b9 e/ a0 Q5 c! d % u0 }0 Y5 \4 _
; N$ m7 o/ D3 z) S9 S" `
8 {( C/ D$ W& h5 N2 z7 H: J
7 t, r* S( O+ x, k5 c $ d- y2 V" w* n# W( d
1 u% I# [( ~+ O$ A0 Y) U* J6 O
2 I$ Q5 n$ R2 u' y1 z
, Y |. o* t/ x 利用 cluster 这个用户我们远程登录一下域服务器如图: ( A2 W) S# }6 S4 W' n. z4 ~0 ?
+ U4 X8 G% |1 ~& @ % c! d1 e* K" [0 [7 V0 r
$ a; ^( p& j& r' R7 D , J3 f1 B6 O3 f& B& x4 ~
3 P4 ~ ]8 y/ j* z+ O
. J: e5 b, L6 h
6 E4 D0 c2 Z6 q( Y* M / Y: |8 ]6 E1 e A" L
; M7 }9 I% G5 |1 E( |1 q
) L: e# j: a& P. n( w, q; k( l
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 3 @% B c7 q# [( Y$ o% s
& M8 H" g- y1 Y4 \2 I2 L6 f2 G
( ~; W3 x: L5 y m
0 n* @3 T1 x' e. n+ c9 r) u) p& c k- x- C* L" H) ^ A; D& J5 g
- a% z' _; |$ m
0 t6 Z. Y. f0 Q
$ g1 h' T" G' C* H1 a" z# m7 w5 Q4 @ 6 I( D' E( c) b: r( v& J/ z5 {
. _( t' f: `; }7 {4 g& a, |
. X6 `; c- L0 \' }/ q 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 1 w3 Y* M) Q8 b2 p
, G( Q3 [& S- r; \8 G; @& g
2 k/ l: p! R& M3 t # |$ J& D1 _! W6 |. `+ x$ y5 B0 K
8 u( ?% t# B$ `: {- X
9 I5 l, R% K) \, }, h( h2 L G 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 8 V- T! y9 m5 P8 u5 G. i
2 d' ]" X2 U3 l; }* I5 y; J 6 v7 K, i/ B+ F# q3 A& S
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ( Q) x2 v( b, M3 e( D8 R. B) @
4 V. |1 W, f l1 |7 {" V! V
+ O" K* l. f; f) `: i1 R+ p
9 N( |9 R2 B9 m$ h9 K" |
/ F+ b2 N& {; F% G / c+ c# \% c( c: b+ P
6 }5 T# o2 J9 C; \/ g ) r* H4 [0 a9 |/ V/ s0 f
: K+ @! @) G7 n" B" |) x
" n7 `2 F9 I9 z: m+ Q" b5 @
. Z/ z4 y E4 M9 c2 Z+ D6 }) i 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 * X2 K; E2 [* h0 h3 z7 U2 m# _( L
5 Y4 p) g# a& G3 V
; B$ N5 t5 {* D7 | 3 L0 |1 Z4 z* O6 t" ~" K5 L, Z1 u1 H
1 \5 o$ ]+ V, i) ^& p1 ~
% ?) ]( f. D7 L: \6 J0 ?, k
; q& @4 d1 i( a/ g9 W9 i$ ?
3 a( |0 P2 h' o* p6 U( y+ \7 N1 K , A3 c, V: A1 I: w
% r2 G7 T; f4 a$ Y, ^- H
4 m9 X/ Z2 R, k9 z d
利用 ms08067 成功溢出服务器,成功登录服务器 * d# Z- y1 y7 {0 n
7 y3 J7 T; ?$ [/ E: `
/ h/ {6 S9 j7 w% _
/ H4 N& l' M% O6 P 6 n1 V6 f9 r8 W- N, G8 L
; D' r6 g) g5 K
$ j# l* k% S3 y) B# w
/ ?! o& d/ k$ L, d5 e5 y7 S) L
; a4 z) j8 N( ^
5 _) m/ F5 A' Y$ E' w7 C6 V$ b
0 p0 n ` f2 B' j4 e
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen # b1 d* X ` P$ r6 ^- c
% i$ s. A* Y" x& S q# \) B. V
) S. j8 A4 Y/ H' m/ R4 ^ 这样两个域我们就全部拿下了。 & X4 b' G6 ^7 P( G6 V6 J
9 t6 Q8 R5 O4 s7 Y3 b2 E . C8 x) T8 p [( L
3 、通过 oa 系统入侵 进服务器 1 ~; B3 M) F' w7 Z+ M/ d$ ~
u6 N B2 z# T2 M
' Z2 [9 L4 E: L# g- {9 r2 K3 |# Q Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 % n |; {( o5 q$ O6 O; N
) }. h: [& I+ |' D' n
" @2 N5 }" L! p3 d; b/ p+ S
, X1 V& P/ h6 d- q' H% Z 1 o( v* ]: r5 Z& V c+ T& n7 q
) W) T0 ^2 `& Z9 k
/ n/ ?! \0 G% A, [' |" V* D , B9 `3 s" D6 _; {$ q
3 _9 m% j6 [3 F/ h! l, t S# S
, Z/ t( D D9 X( A/ |. o
8 z7 s4 p6 [- D/ H( t* a 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 * o$ e$ [ M! y. m/ q# N9 n. P/ D
4 u% @( ?$ d! U( p( s
; q8 z1 z: ?" D) q" r
1 j i6 }- `% V4 d ; P7 [4 C7 [6 Q" ^% g3 P7 ~# o/ e
8 b- z) m L( J* |
, z- O: ?* r& `3 V; [( k
2 @+ R/ ?5 Y% L : }8 y. |+ c- ?7 A7 H
$ \* y9 Q: k& {* M- G4 H' L Y
3 c W) x. M" c& M
填写错误标记开扫结果如下 . }( M3 r: K, G( [9 B* i3 @
3 N1 f8 D% [% l: f% t! b1 W& E% _ / o- ?- w0 I8 H) l, r( B: J8 w
- T; [) e0 q! q7 G9 |1 m . v' R: T( w) ~- m0 M! ^
. @5 D; \4 G% e8 V1 X* C% {: k
0 U3 `' a/ z" J# l9 b1 |6 w5 H
; B- y A9 j1 a( w8 \; Z( q2 {) V3 ~ $ C$ e1 r4 W9 X! K2 f
3 H* _* C+ `! f8 b4 v' A" ^, Z' C " ]" ?: e2 Z) T- D# t. H* \1 u
下面我们进 OA ! ?) ]+ a9 m# F! _. b/ q( D
l' g- Y% v( {8 e0 A" c
8 W9 q2 E& ]/ d& e. d" H& D5 E
/ w3 `' L% \: ^
{' B5 b* w, U: X2 [7 k# D; o
" i% L$ ]5 z) ~7 e* U
# _4 c& v, ]3 \& i4 @& i. Y ( j2 |' |5 m& b: W7 V
2 Q# g; O1 u8 Y% p
6 H/ Y% s: y0 z2 D/ Y" Z
/ `( _4 M2 T/ i+ p: \' J( X& H
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 8 o1 t! F& v( j% P5 x& f- w! {
7 I- F. _ `4 w1 ]& ^ % [6 {; t- c v! V8 y- b6 x# Q
# ]5 [0 i4 m2 q& U! O0 G
* x) L. a, g$ i5 }) E; V' l5 ?
% K, p5 x5 O3 n- ~) T% o
5 i3 N- R) X+ p% a) b& ^
9 n- B8 z! N5 m& }, e( O - d5 F# |% c' `( V. I
A6 S6 {( `8 e! B
! |9 p8 V: `+ X; ^. |$ y( g ! Q; W d; l) P# `
) L" h% i& i3 {, D
) i6 Z6 y9 N) }: u. }
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 - u, Z3 l# D* D: _8 W: S
( |' M0 t ]! S" Y1 G0 h* \1 n % T1 l: v' \6 o* M
4 、利用 tomcat 提权进服务器 * V8 o. r' U }9 `( Z9 f& N- K( j
- _5 u2 E6 s0 A' N# A
+ j+ e, \' [3 h; m7 i+ K; ~ 用 nessus 扫描目标 ip 发现如图 & E6 d( A4 U8 s9 O
( @$ [2 r5 J' O
, p/ M* K7 x" E: U% _( }/ k3 c " T; a1 V) o$ z6 I
5 Z4 B8 J/ m% R
( j' q) O" j, s! @" s6 i, C! Z
' c1 E3 D: e5 Y; ~) Q! P' s3 {
+ k- U6 s- K3 U+ W
* I4 z2 e5 \& i7 o" ]
# G' _+ L/ l, w! D; \
{2 e7 a4 C2 |1 \' R 登录如图: + n. W' F" |! T0 l' f" ^
9 O+ R: q8 n7 p* p1 C
/ G3 w& [+ B; N
' R* Y4 S# U* ~- e! P, q; f & {$ A7 L" e3 J, _! ~4 ^
) w0 {3 @: t$ U
! s+ }( a% O0 _1 N# n6 z+ C H
" b" ?: E/ G- i3 v4 o G7 v* r& a! q- F. ]
0 F# N% ]) T$ m g6 n( I% [
- b [- p/ X7 n( A' q. c2 o
找个上传的地方上传如图: & _9 O; j3 h P+ n- v m
T# D4 J4 R' C ~5 I" A
D" z$ }& n. \9 a& B: p9 H
% B- g* u: [' L# l8 H- L( W - @; F' R, S, N. _
5 g! Z. E; E$ @! ?# u& e
7 ]* A1 J0 y8 G: z6 P7 z2 L
/ t4 X& v4 z6 m; S
( d& X( w7 i/ S2 @& G7 \' P& M
4 `) G/ Q6 ?5 h6 K
4 ]% ]3 L; F3 b* c7 N 然后就是同样执行命令提权,过程不在写了 # O* X# d$ H( Q4 ~* N" C6 H
1 \( i4 w! ~3 F2 F9 Z( l
! [1 s* P, k+ [ E; l9 s 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 0 ~1 f# w* N. T- l: C/ w3 i
& k7 L: z" D$ @+ y$ _
# C/ N0 @$ `6 F3 C$ G4 O1 w' V7 _- C 首先测试 ARP 嗅探如图 % x/ u6 O+ ^4 V7 w3 R
( h% R. l6 i7 s+ D2 m2 b, n N l 8 P9 o6 v, j0 i( }7 i
& k/ m- D+ p8 }& [+ S* R1 z3 i $ D- C3 m" H% s4 @& p: Q5 j
* ?+ u2 F3 y; ]( |$ l8 }
6 ?8 k X+ w# s( Y: W( L. B
. j/ ?6 p6 k8 |, ^. o9 H( ? e t
$ O y$ W" Z# R- d# k- t
7 P; m" a3 S9 m
; o! H1 g: J% W, L" b- t& }# X
测试结果如下图: + }% }; h0 B. Q- N; u
1 p/ K$ |, k- M5 E% c+ [* ~4 D
' j9 Z/ r* |: r. c/ Z
; X$ R- p/ ]/ C! X # C4 r3 q- ~8 } J" U2 S' F4 B6 n
8 y* E# L. i( u
0 Y+ P1 p' b2 d9 { g% d
, m( j* V& Z3 C' O' a 7 R* g; X* F+ R {: V
6 ?- ~' d, i! o2 _
9 R+ L% x" X: D# i+ o. Q" C& M 哈哈嗅探到的东西少是因为这个域下才有几台机器 0 ~" d4 K0 s8 ]" _4 B: a6 |
/ h. O$ K$ E3 Q9 b# F6 V
5 r7 A& E6 x# H$ g n% z 下面我们测试 DNS 欺骗,如图: 3 p5 e, K; k% y1 j% O* |/ C
A6 h/ f) R# l6 B; O+ [( T
0 E; @1 r0 U1 D, A7 | # u5 _; B/ @$ ~* U2 i
8 S; B/ j7 ^: k6 j9 s" B
9 \3 z$ g" m: N5 g9 S$ H
* a- P. ]2 O$ m0 v+ i+ ` 9 F" S m+ t J7 Z, s- D! S+ [* d
. Z$ A% p* z6 P4 c' G$ Y: T4 ]6 ~5 R2 x
7 G5 G1 P4 g3 ]' d* i& o8 [. U! f# o
- X7 s9 D. e# p 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 8 b/ h) h9 u& C1 A' m$ y9 l% L1 @
8 g W- y. U9 @7 _
9 p, A0 |$ C" ?9 s# J
# i6 V( o: V0 v( [+ g% y: H
P% ^1 A0 `! A! d4 e + f9 x: Z- f, r5 m' Y6 |. m; x# y- ~
" p( w8 m# q2 C$ H0 u$ Q 7 G* X; z0 g7 P! N- `
* _4 t3 ^# x* u8 n( ]0 q7 e
: a) \4 C/ N) T0 g9 _8 B
9 U# \+ l) }6 h" W
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 2 b* s! p3 E4 b4 [ |
& L/ {6 O* L/ w- ?$ X# e4 X
; D+ C7 A# x: h9 R 6 、成功入侵交换机 u/ z/ x7 n* N1 B' A0 ~+ X8 \
9 \4 M. S, c. x7 W- E6 n/ F4 D- l
2 j' o) F7 w2 X1 L" @6 T
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ; A9 E& F+ |) h4 [- P R
3 H3 j( K( c4 `. \
. N3 r2 s/ r, v ]7 f) r 我们进服务器看看,插有福吧看着面熟吧 " t0 ?' [& k* N+ G: q
8 w$ n$ w; r# H/ h5 a) o" D
/ f+ n( @- ^7 E, ]/ \* p4 K
' {" Y/ `" i% `% P0 g) s. q & O: B7 r+ z( U; ~- t! Y4 w
. ]& Z6 c. K8 y# f( o) s
+ h+ s" ^9 r6 n
: o3 q, @# b, e+ y- I3 x6 d ( z" Q c2 x" l" x% P* H
d4 y2 G# B! O1 _) O5 r
$ j8 d' L6 [( x' ^4 Y
装了思科交换机管理系统,我们继续看,有两个 管理员 * {8 k+ k& q8 b+ R2 @6 ^$ P3 L
8 _' y- o! x6 `* s: n
7 K* j: Z- V" A- }1 b+ J8 L0 v1 h; h $ M6 Q$ @* w( H d
- Q) H& C. I3 z& B7 @1 }
8 W) p/ T2 @! I# _7 u4 d/ X- ~& {
/ r( v$ }! e8 R4 {0 h* ]# B
3 p' l7 T: ?7 f% W9 |, } " {! e5 d! T) l) }/ B8 H/ O+ ?) A
$ |& o0 I$ c; ^; [
7 Y0 N3 J4 s" S, @- T; ^
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 Q0 ]$ S, e* X5 c
) j P D/ j/ n2 c1 J
: m, y$ D; b+ P! D
6 ^! W4 e2 @% r: [6 P/ ] : y$ z2 h% j* {9 f+ O
* g5 {+ E! t- w5 n8 Z& a# z9 ]' f
6 ]7 f( l& ?% k$ a& h
+ I( i- |( t9 R4 t8 ~' [) I7 G. Y ) m0 w/ L$ w7 b7 v. R
2 \3 {) z( q0 P 8 L) p7 H- Z. H* y, k" \8 |/ t r
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: ) c" x N, c% y7 F- }; S: E: Y9 c
5 }) ~8 t4 k { 4 ?- C) m+ K/ n
8 Z; G( R1 L, {) R \
1 r" g" N# @( z! f! U3 g " y! c' q1 w4 h7 g2 g
9 m( @0 s X( @0 ?; S
: Y" G! p- j6 R' L* M$ D9 k 6 k6 b2 V! |4 a& w: v3 `
M/ ?9 @9 | N 8 X- w6 r# S! s* s' s
点 config ,必须写好对应的 communuity string 值,如图: k4 V9 R1 J& s' G( ~* j( m
9 I8 d7 x& t/ b
5 K8 [4 p7 i6 [! x5 ?
( a: _" p$ ^& T/ v) K' j* z2 v; @$ Y # ~7 U3 Y F# J1 J4 E
$ z, k9 o, n: i q/ O$ W1 x% {
+ ^# s& M9 U% `) B+ A7 X% U
1 j+ k5 l' V+ I ' X4 h& J0 P4 H2 n
0 c' {, E3 P# k- G7 H
, k* p3 z5 q5 a; t% M 远程登录看看,如图: 7 K0 D5 W, h# c% l J. H; V
0 D$ A( G% B4 b( e, _8 C. Q R
a6 _$ l8 i! ~+ [ ?" j( u) R% i
: a7 T; b% Q5 g$ v 3 @ x. l' t: m. d- p. `
+ `! G C& P& `% `
) \* C7 z; C3 K5 ^
6 f: O( g& h" m9 p& H8 ~4 N4 B$ a9 R 4 m0 [$ g5 }) X \! r- c
8 E- I# M0 K$ j
1 |; n- Q. {' w3 G& R, I% G& v' z1 ` 直接进入特权模式,以此类推搞了将近 70 台交换机如图: . V2 R! G; \* H5 P- ~' h: s
8 j1 M9 k: X' H' Z+ |8 ]& ]
& z) [" D& }2 \2 H ' k) _ A Z8 k) S' G) h
+ E5 b4 J2 d, p7 k" V8 n
" c+ ~( K9 n' U' l1 F& H" v ^
' r. y$ w4 C }% a1 U
8 J- |$ ~; }, a( }/ x 0 `9 l4 O6 }; D9 N
3 Q5 g0 O( ~) l, ]* j
$ k) l8 P, }# [. X! @# J: F 3 I. m' M6 u4 c# ?
; F: n2 x1 q, ^3 E, G) ^- Q$ H
% u( N" E$ i6 L& T
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** # j3 S" G+ K- S, o2 U& C) L5 U! ?' ^
% @ ]2 c& X6 G, |4 E; P
2 R6 W# _* W8 N7 m
% A& l/ ^* O/ m- Z 6 t' E H$ J* d# A; w$ [* Z
! Z4 R3 ?, E$ I7 }( `1 n) `% q# U
" J8 x5 h5 g/ e: u& V% m
# B/ l% E% n M' L, Y0 m / K8 ~" X# B% @" `
' D2 r( S( W3 S- n0 `9 g
$ S |' U/ ~3 [4 y# z' r; { 确实可以读取配置文件的。 * h( e+ Y6 e x$ `2 E. d
; d. J9 W; \6 P+ N4 |; o: @$ D
, x1 i- n! |/ b W+ N7 }7 d 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 ! @' @ r4 Y; X8 r6 r
) v P6 T4 E k- n$ l- `$ A % `# m8 V! U/ P( |, y) D; W% {
8 J! @0 b/ k4 Q6 T1 N1 S
0 w" K/ z* m- J1 A. b \ . |1 v5 x$ r. ?# ^6 P
9 x7 m: M; L( q- p- N2 Z+ b z+ p
6 R% N% a4 h D( g ( J: h0 E4 H# |2 ?! Y# A$ b
6 F; n; J$ }' z* b5 v
# h2 {/ K4 l0 O ; Z% w3 \8 |) Z/ W# @' r& }
a7 F5 e8 R/ [, T2 w6 A( e/ { ) V5 F+ U3 m& m+ k7 V
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 8 w" W- C& _% w# i! C# E. w; ?
1 Y8 y' {) m# ^) [
* }% `- K8 \ z. J5 b% U
6 g9 B! f3 [) R' v
# Z' R: T' X7 C; j7 O1 t4 P( u
, d7 [9 K7 F4 x3 Q6 x# \
6 l+ ]5 c& M; m
5 i; L4 \5 G; V6 e3 L1 Y# h % v, F+ E% g* f5 t# b
& [ F E. ]; D2 _
7 w8 \/ h/ N; {2 N
上图千兆交换机管理系统。 6 J" p% m2 @( F. m7 p5 O6 }% o
5 k. _- v% O, w1 y
) o3 f' L! k; E) F9 ` 7 、入侵山石网关防火墙 8 }( A: H2 L+ d
# f( H; `5 C" @) n! {- u8 r+ i; E
7 A' m' i4 Q5 H |' q. p X/ [ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 x; K$ ~* D/ G3 a% Q: i
5 C+ O- h8 U* X# | 1 G% z2 L# o5 D# n( _5 }
9 S2 D; `7 N* l W& L 4 _& c; G; E$ x c3 m) {. M" L
, p9 v% l; o: N9 A/ V+ @
: C9 M7 J. s- ^
' u: X1 C! A# g* y " W+ M; s/ R5 l! s
7 n U. H$ z5 P5 S
9 ^: [% J% ?! N5 l 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' A( A" w* E# Z7 q! l3 G
0 f3 E( ^! ?* f) A9 [# m( g, v # p# J$ M- f3 U$ X4 i
7 H0 h. V7 F, r+ g3 l& b* ` 3 ]$ n3 }' W1 Y- {# Y1 v4 z) a8 X% Z & T3 Y" r5 ]3 k+ _
/ W% l6 u1 J/ Y; L. K/ M
+ P% k1 U1 o7 K! Q# o# _; R% N* R 5 Z/ U" B+ J$ A4 J. @$ y& p
9 @) H0 E7 G) R2 c, i
: ]! M0 C- a; M* {0 m- j
然后登陆网关如图: ** - Z: E: O. g6 `4 E4 ~
1 ]) \ l& I) `& f
) l0 x% U; ~3 m; {
% l+ k& i5 n0 I8 S
~8 X( j/ t0 Z/ F4 |, t, M8 L
% s" |; _6 E' [
2 o5 F1 _# |' F/ A3 @" _# f' f
( q# u0 O) @2 Q( e G* Z
+ S4 F- y9 ?" P2 b$ I
$ r! u2 O) \* o! y; V
! X$ h6 {5 v7 L& v3 w 8 `) a4 F( f" v. g Y; S3 v% `$ m
0 l/ g) i( p D1 j & s( ^- v# c) C- u; ]5 I
0 U! J9 [/ i2 | `1 Q
( K/ v/ M: }* A 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** : q2 y- x0 ^4 [$ @; c
. r. W, y8 K* D$ S
7 P$ d; T7 Y1 @% @7 V9 k' Y% `
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 " P0 v0 @- g. H7 i
4 l9 h: _6 k: h5 r& x7 N0 s
$ h3 _8 N- b# c8 L 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
# T2 Q" c5 F3 e q: S
* z k% W# J/ C3 Y ; P+ W6 i+ |9 N/ X" i! r( c2 y
: G7 y, e% n( X/ a! c, C, j
8 w1 m7 b$ \7 ~' i. U
) l5 g7 H: }; O0 E
) C. K! b8 ~7 x8 k7 o0 B' S+ H
4 a7 g% B. ^- Q C% I# j3 \ . p; y. d1 g7 Q3 G g2 F3 F
1 C% j0 H/ D5 ]4 e, S. A* L( p) f - B/ t4 s4 ]% |. B+ t
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 . S8 v; \& v6 P
# W+ P' B: Z4 l0 r' D
, s" d* {% ^9 z* B4 q 1 B! Y( p2 `$ Y- B
; K l' n- @* W3 ]4 E % a2 Q" R# f) C' h7 g+ `3 J
" |, ^; y' y+ |9 C- I
, d( C! V& L) B ^: S J# i# b ' c0 @; b6 u- }3 [
发表于 2018-10-20 20:19:10
收藏
支持
反对