|
* I# }$ s; S" A* X. m* m
! O0 F) m' N: C/ v$ M/ w c5 \# p% I1 _
~ d" k l* X. `! l) @& O3 Z+ N
1、弱口令扫描提权进服务器
9 o p; c# @5 F! F 4 R0 s3 M- @, Q0 {
, k# {+ q+ t! @5 d8 L) a# s, ]
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
8 y. S1 |4 m( }+ c8 k
6 B/ m& J% {# [. v# z; X, m8 z7 Y! |! R- _9 L
& P, z- s1 f2 a
" ~3 A% W2 J) s 9 I i" u4 q% t4 M& w: ] l$ I9 b
, N, {0 f! u5 L, L/ E' i
% \. z+ j6 ?# o$ F 
" ?$ \0 P' L+ d& s) g ; S# w# o& u; L4 ^; i
) H$ I1 m D X) X 
2 e$ K0 r3 ?; e 7 |+ T) Y0 Y3 y8 n d7 C) t( Z
. n3 }5 H- v( I
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 ' ?4 l. d) D% R
, _; T# r5 L- P5 g0 s% W5 X4 ~! }$ r/ P f+ q
执行一下命令看看 : i" E3 J" N" y% @' B% n* T) m* X2 I. T
& w, \# U; t+ E2 k# w3 j, n
+ h8 t: C- k% g9 y# g. Z# U( m  % |1 M3 q' x9 I6 X4 t- ?' [
# D4 M% U: y0 a3 L1 }, Z; d8 u% C9 F2 D
) z$ A) j; L& B- A- A
0 m6 f. l* }" W9 e
) o' h: D, k2 T# b0 n V$ I" r + D. E- r8 q, s& W: h6 {
" R+ g8 }- j( {
开了3389 ,直接加账号进去 9 x8 m$ ^) Z0 W1 \& B
5 o3 P& J( S" r5 U) L* y3 c' D
1 Y- @5 L5 E" \7 S' W0 f
0 X8 O; e9 T* ^
3 a/ \1 s# N, X) x: [( v9 G 0 X; \! R$ Y& C4 A
$ D6 G+ N( z" Q! p
2 d0 @- D+ x" G' L4 `$ u" A 
: q: J" d d9 s6 A8 E: n # i4 m+ i$ \& }8 r! _7 K
# w1 R0 E5 z: @ D# H. a
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
* z8 P* [3 ]7 J8 w" E/ q
& b$ u! V1 q7 ]2 E+ ]9 h4 i) l1 M: I# c1 u& e, v
+ s2 P" N8 B8 x, h
7 S a! ~ P0 m! E2 V4 |
" _* l/ B( ~/ X3 F% e
" y8 \$ n) L8 o ?* E' a
" s/ m1 a( S) f 
( R; r9 \1 ]8 T& w* [" X; y % w( r5 k2 H2 a, q+ v4 H4 i M, [
* W& r6 u+ E; a5 B. W& y1 Y( s
直接加个后门,
' x0 C s D! q/ Y- v
* j0 c' G% K, V8 q* d L8 P* f
7 x+ H/ w% N6 F g3 o  ; _8 L1 S3 j* j% l$ p/ |+ N& P
- B& x, ~; C! T6 t2 {# `* @) s- {% {/ g1 i' X
9 m, A/ Q' X, [* D2 k
0 ?, d, E+ C* o6 G" V
/ D T4 v, m( X % R* {: n7 H# Y/ y+ E- F p- C8 B
+ u: V: ]) S( \
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
! A# M8 C4 }, }0 \ 4 W; s6 {% T D. F+ U8 U0 E' O/ k
' [( a) {0 p- x8 @
2 、域环境下渗透搞定域内全部机器 ' i" V( D0 H: U6 b( b
, k# Z* K6 g0 B/ ?7 q. w
' t% A5 j- L! B# B% T# F% V 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 0 a! Q3 x4 h& U, j& O2 @
3 O" p& p. ]6 G5 P
3 v. K6 H5 T8 h- U2 Y
/ @' x6 j" R# F# q& n
; m* r0 C' q; r% U1 n5 D+ p, [0 g
5 r$ |" e }- I3 |4 ^1 q
% I& U1 p5 Q7 f
0 K7 k! z! k3 @. X t ?  + m3 v0 |2 j0 l# F& Q8 w
5 r9 w+ B3 u/ t
% G1 S8 e3 j& c& H% i$ v
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 8 N( y+ p) s+ L1 M3 a
7 i8 g( o+ h( C; z, X/ ]5 G
, [7 F4 g2 m& k% c ' v/ m- T3 R( P/ G9 N4 P1 L1 T) E
. m6 q( z; H# x
- F( `9 g( k/ D) O & c5 W( p. C7 Z: N0 @
C& _1 I. ]4 I; {1 z 
, d5 K0 |% k; S8 M( b6 S
% S* G1 F- E# I1 i, H, K/ P
$ l3 n/ ^* \ |5 X 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
; o; N7 N, c' U; n4 t( P# a( ?
- c3 i* H2 S9 W* C2 X) P* g8 H- y
- l( n2 T* o7 K E
- O, X" N+ `- [+ k
' M; ?+ R: G# y& f1 p1 T D
2 u7 j( w( v( O7 V8 T2 v5 x5 j9 R: J% B, I2 u
6 n5 J9 r! a, e% R! _2 P 0 }$ O5 l) w2 Z( r& \9 v
; s7 G; R4 ~5 P0 w* s$ a
利用cluster 这个用户我们远程登录一下域服务器如图:
* O1 x/ Q1 n; \8 i. [- H% }1 N# v
. ]5 D; E7 n9 @6 z1 f6 L. F4 Y5 B- {+ ?2 n) D0 S' W* T
+ A) J% F* k( ~' Z( v
! o) j$ W3 Q: B+ \$ }
1 f7 f( m5 }% f. j3 @. a+ ]' f) q( p 1 t1 J x8 I+ Y7 Z% ^/ r8 _9 K
. E! w/ Z0 L( K" r0 V; ]/ k
 : r: P# Z5 @0 u2 H5 b+ D3 D/ s- F
8 T" g. v. `& C
2 i# P4 N6 F# L) v 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 0 R1 r3 j4 _6 U$ Y
$ A3 ]" t$ c9 d9 _3 x) f; x) g( _1 E, s4 u; N/ a! z
5 N* v8 v6 c: u
6 l6 W! l1 p* q+ ^
- P, H- e& R7 k: w 6 c6 [' \$ |2 g
! s. M5 E% V" X, l# x* P' Y8 N8 e  3 x3 x/ o' u5 b+ `/ U$ ^7 I
F! t0 i& w5 ~! Q- a: [/ S' g2 b: a% d1 V, m3 q' \- O6 g
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: : N/ q6 X' v3 X g
! x. a% _, R; v. a1 c$ f
# s7 @ a, B: j9 u, R o 
2 R4 X& h9 {# X6 g0 P0 u4 k
) d8 A& j4 T& E# g) r2 u8 L' @9 | C0 k2 c$ B" {% c" {$ m
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping $ S3 Q* N+ s3 N: H/ t
7 i7 y- a" v" D5 ]- P; i. Q" g; h" h0 k& a2 w2 ?$ s- T2 r! R# r
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
& r% H/ G2 T+ j6 i+ U8 F9 x5 r
1 }* y* I T* a$ P9 j8 c
2 N9 Q$ r, t% P+ @6 T & v9 o; n! {7 V3 J* V2 F: W
4 h3 Q9 U& _/ V9 K! F9 W7 y$ e- k
6 d; O7 H9 ^4 e1 \ 7 q: K$ @0 |/ l6 v
2 H3 D# x* @, ~& K [ 
7 T u) y' R9 T. B ^ 9 v7 Z) r; F' m8 E- Z3 f9 E7 x, U
' L: e5 Q7 U( i( \; I8 j# T
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
, h( c- @4 _+ J1 n m4 {7 w! P9 Q
8 ] Y1 k _, Z
' U: K5 `% |( a1 v0 R+ Y- S4 A ) D9 l; G z* Z& X. G. b
, V# k6 Q# h( p; x
/ G7 i( e. K5 q7 a# W* Y7 k! y
5 j/ ]- C2 o) w9 N* `) H6 w( n9 k. g8 `
 6 q3 G% e$ ^% W1 M5 p
5 K# N M) d, ]$ |$ Z, g8 `2 v7 ?
; Z# e1 B5 C4 V- B) p( \$ S% ?
利用ms08067 成功溢出服务器,成功登录服务器
+ J" B( V7 w! R" I) b/ G $ ]& q! [) y: r+ d8 a
n. v$ [! u1 ]1 Q- k1 \ 8 T( b& C5 }! ?
: {! d9 C0 k0 d
4 E/ t+ J% c7 g' \+ G' p % f$ v! W/ E+ O2 a' [
! I& Q( ~, j6 O' [ 
. v+ K4 p w( W+ G3 d% n- T" `! K
1 f7 b: E# ?. C2 n9 o
/ N# p p" _% ~6 M# q. }1 M1 L0 F 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 8 H( ?2 e4 b" v0 R. \
$ ^ q: a$ N) m! M% s3 z/ p; ^- w% g6 T: @
这样两个域我们就全部拿下了。
! Q+ C/ _. z2 p; v& B/ j; u 8 f2 r$ ^' ^: Z* k8 c
4 j, Y+ ~9 E, A$ R* [7 M9 p
3 、通过oa 系统入侵进服务器 $ S {2 Z" S! X! @1 v
, R7 G( l& o6 K! I3 `$ M) H* f; b
: A. {# r2 M* L Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
) k1 V# Z; o c6 m : }4 P- v0 u T: z$ _) g/ D6 H% o
( R! P# F: D2 w
* e; g2 Z. b" q- C8 \1 j; W3 S
9 I$ ^ E& Y" t1 Q, P) F- [' N% s 2 [5 H2 T; {7 k0 ]8 K% q2 r4 D5 X
i$ s1 a5 {$ }( t
, T$ I9 u* G0 V! p; a: X$ z! I3 R; _ 
4 d4 {6 p& Y7 ~0 e 4 c9 W/ v5 C g* Y$ K2 ]2 d
$ C3 W7 \7 E3 X, G ^5 t& @ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
5 |0 y) O5 l) A# f( j9 B 5 V+ M4 Z' z Z& A
: s% W- l* ] m
3 l% y1 o0 r6 L* p
. w7 \' Y+ Z ~& O; n7 f
* a; \5 W, v9 [; i! K % W( U# g. F3 q( |2 r9 L
& X4 {/ s* T6 f: }
, o3 d2 q; E2 Q( h* G% z / U9 T6 c6 s+ l, l1 i& d* `7 N0 v
6 ~' y) k' E2 J6 x8 p0 q$ A 填写错误标记开扫结果如下 ! _9 O& J* p, |- ~5 f D3 h3 s
3 l2 H7 _! E! y
! ?) C3 P) ?' o0 R& U0 T8 _5 j
8 i' \$ f- y/ e7 D; ~; k5 ?+ M
; l% R; V `+ A1 N* `* G* @
' g4 _% o! U. W$ h& I$ r& N
. P7 N: M8 A/ c( v
) Z8 l7 \; ~* X0 C7 x! P9 } 
9 H8 c4 j# \& {* C7 b6 V; |" m; R 1 B0 ?6 d! V- ?- X [6 _+ N
( {4 P% K6 y$ A$ e) [% t, }' h* `
下面我们进OA 6 `* Z& D6 j f' X
) g: N8 T3 e- F( y/ W" R2 _
( e+ `8 N- i1 L, O$ J ?& {* H 4 \& r! u- t; {- p
5 Q+ ~+ C/ t% o' P2 @, o 8 r. f! |' R$ [! A
% u3 o& D8 E: l) E9 X% c/ F
# n: X# l9 J" M% L$ S/ e* k1 u  6 A% D3 A0 G$ `$ Q2 j" q
- Y6 f; h- B2 ^$ N4 F( I
& n1 d) B6 T6 G 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
9 ]7 O2 U) Z, }8 V
% e' h& A0 w% t+ a/ `9 N/ C
6 a: p m1 B0 \2 p% P+ h5 n6 P* S
% G: I! j+ P6 Z
y! r4 ^- l/ r
+ U3 D9 j( H; h% X& m 5 F& V6 t* U4 n+ v' `
% S: i; w! j+ c( A3 w6 E' a
 ' |! A) b7 _$ R
( O l- M4 I/ Z, v6 t& N
; V8 i w, w6 M: [" n1 n; e
7 C$ S C; X4 B+ {9 `1 T1 E1 h3 d
' o7 a. e( B' J
% P, R: y4 w! W# z1 O2 K. [ 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ) N' _8 K7 H1 {) F9 K7 l# q, `
! U* [: i! W8 x1 W f, r& F6 R; c; H# `
) E' R9 t+ G. T) X# |3 m 4 、利用tomcat 提权进服务器 2 C4 Q& [2 g* x! d2 o) U! O
3 B# C4 y: g- |* w) {
6 H/ y1 g3 U" f$ X1 k1 v
用nessus 扫描目标ip 发现如图
1 ~! ^6 Z8 X# a' ?+ t! u
9 @8 Y- l0 q# S0 t5 [% P- [; ~- x) ?
* M$ I* H) Y& g3 r
4 L' T. c7 D! }% w2 f
; R# b1 C) i* l5 i+ i" D& A4 F ( q# H6 p2 D( s! \( E9 T
, [ d- N s$ V) g& t
 : H+ I9 X7 U9 U# f+ o K- h
4 i9 j2 h) L' l; n6 \1 R$ T
- U3 S' G: h" e% O
登录如图:
# B) }% k5 Z) D
$ `" P. k3 U( F; z
5 P; M3 Q. T* d . E9 K- Y) H6 r0 _4 {$ {# S: s
! g% {* ?3 ^! C, W- B ! O* u, O/ }$ N' M6 {& b3 r
, P' i$ O8 t1 [5 V' M1 I
" z3 ^* @8 t3 n* v; u2 t$ U
) S" c3 U8 i: X' M& B- K | 9 |4 |( P, T( d: D; H. L" E
8 b. U$ W4 a5 [$ X 找个上传的地方上传如图: 4 n& u" l1 q6 P7 x3 X$ O
, V. C5 A5 Q7 v# F; w0 l% O4 [" x2 R* [% r# m* ^9 C! m
, t4 G( M& {4 X! B; r% W
& V' ?# r& M) m- ~) E6 D7 w! v ! g: ]1 O+ w+ J2 C/ ~& R7 s
7 @* {& S) m" N
$ f/ l: Q- [* {! m5 h6 o  ( C# F& ?8 y" A" }
% Y- z+ l; U# Q. E
. T+ |4 ^; {" S 然后就是同样执行命令提权,过程不在写了 1 C4 Y! }9 g3 \; Q( p
; @6 n, z9 q2 ~7 x2 E6 Z
( q" E; I! g) R9 K 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 " A" \( X! }$ w# B" G0 O
1 J5 o: d. f8 q
( U( m0 q! ~0 H' h! Y 首先测试ARP 嗅探如图 $ J- E, I O# z% w# w
9 _3 w' b2 j) Q- u$ i
8 b+ S/ h" n9 N0 J ( W2 e8 p U. \! ^$ k
* y( v( O K8 }: x/ G
! U* o2 _+ g# ~# q& _* T
' K: f) E R. F5 \+ j0 m0 r7 A7 o; W9 m+ E' V: P8 q* Z
% e1 E1 i g& d C- [ ; ]7 j4 ~4 H& | O/ c
' e5 E1 D w( F- Q4 d/ y 测试结果如下图:
; @) X! I A0 [2 ?- |* R. A7 F 9 Q# A( l* q/ m( k. p3 ?: I& f
z, ?6 ^; w) g
; m3 ^7 G5 h2 f1 B% w
" M, g: T* `, K* J/ P! r
/ z. W! c& G' o2 _( J& h
5 N* E0 k a1 i# P6 l
5 U- z$ `( M- h. H& u  1 ]5 M/ @/ ?3 R5 L
+ Q8 I: L2 V' [" [1 |" l# [
7 I( K$ n7 c: y 哈哈嗅探到的东西少是因为这个域下才有几台机器 8 u% ?/ f, ]3 j' ?
4 Z5 b% F7 @. ]- i- J
' e3 Z0 q$ O" e4 e 下面我们测试DNS欺骗,如图: : l* i& s" E, n* Q, K- R+ w, P
/ B9 c8 _0 m# o! |
7 p9 o- b& t G. }2 {$ g
6 z2 x0 E* A2 n( x
* f9 S9 I* W1 w, @, S( d3 q , d' ~. p: m+ K" x5 l, l
9 k5 L" J6 Z( ~, |+ d3 `
: A& g! A. b: M7 ~( f5 L 
( e2 J* V) F" ]1 k+ d/ I $ t2 Q/ ^& c; B% G, F3 U
5 S* @* k3 N8 T
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
4 @; }- d! v& k) K7 T( }8 |/ j
2 B4 L* S8 _2 `. }5 f9 d+ h9 ]% j1 f
+ p7 B9 ~. U6 w# `2 _9 X; h
: A/ J! M4 b& Q# V, {
y4 C6 X5 R. [0 W; {
" {" S i' q7 e9 `5 ^" p0 Z# g7 a
" Y% H2 ^ s$ z& r1 i$ U% K . G' N5 H, F, F- F9 @' a
R" m1 a! R& I+ g8 u# `3 g
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
/ p7 S( V0 p: d: x2 n% F- v$ J
: i9 x2 g( [! ^1 E, W \& B
0 ^3 z# u/ e# I9 ~/ J 6 、成功入侵交换机
1 {: T* `4 d8 ~8 \' D5 q8 Z
* N( k; U, s. i* x6 W% [! s& @2 l
8 h3 D$ T. ^+ {; x 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
# V J- r l& q% ], U3 l" j8 {7 V ; w4 h6 H0 a* X0 n: v" f9 q0 |3 B9 t
& U& }- z* H- N; d
我们进服务器看看,插有福吧看着面熟吧 + \- ^3 A8 H3 ^6 d" w" H) w
% z5 v m1 Y/ u5 {
+ S1 N A. G5 _; `/ F/ {
0 @2 F) @. N! B1 Z
6 i& ?5 _ M# X- }, [- M% V
: u6 I) h- [" j8 w( T
- ]' Q! e: ?, _4 L& o
. ^* u. [% |1 ]- u) }  & h9 O+ V0 Z) j: s- W6 a3 D/ ?
' V7 E; H' O* x% g) `9 [+ }
Y ]) [/ }1 P; H& Z0 l9 O' [
装了思科交换机管理系统,我们继续看,有两个 管理员
0 y# q7 Q" x( p! d
# k; S" E7 i/ |( @4 e7 ]1 j+ E. ^ i
" ^5 A6 f6 h* Z$ s
# p; n4 y' D% T M; g I9 l2 T1 v
" w/ Y8 Y# c$ r. p
4 P% \4 _" z+ Z- r 
1 f0 Z- G" _1 l/ y J6 v Q7 q 8 R3 o0 R9 M" ^6 s
6 C% T1 @9 X7 w( D G) c% @% D 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 / m( u0 {' ?3 [3 Q, K5 P* \
2 K8 f2 n0 L3 K; J: V. J
w- p/ v3 s& x/ B
0 t7 h- _% T; z1 e% v8 K
. A. d7 w: h+ }
9 U Q5 k: ?! u0 S. C
4 X) I* R% z: S& g& P! G
! s2 B/ c4 j6 \* @" o  + y6 B9 R8 ~) {) N
; \1 Z' @. M' l' v
. I2 l+ v- F+ w 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
4 U7 z- d2 `' Y! y4 r" I4 H
, G7 t8 W* q* Y; ~/ i
$ @! B& @& r. w
; ?+ k4 S8 t. v. ?1 v* g
8 b: w, z6 D9 V+ M( ~
4 E* A' P3 B* H 2 Z1 e# H. _: W2 { z5 ~2 ?
, Z9 B" ^; o* l1 W( r# W
0 b$ j2 s# ~$ J+ S( C$ Z' v) e
: u8 N) }2 m3 W5 l; |9 j* x9 c1 x: i' I' L* U7 o6 b1 X* ~
点config ,必须写好对应的communuity string 值,如图: * G% C. w3 V U: `& s& y. E
$ Y' u6 l$ y# J! A$ H/ M$ m4 j- _" v0 j# w+ T7 A/ _# O1 O% A
& x3 _8 |* `6 U' Y$ x8 i3 ]
4 q7 y) f' X, l' M9 ~, z5 @ 2 R. N$ [* i8 T7 ^' n7 \- U9 z
- A( a* Y- v" `8 u
3 K$ C( a, ?- \
 7 X( Z% g! b" y2 F0 |
6 M" n- D* }9 w! _7 @. O& Y* R8 y- L. i* c9 ]2 v
远程登录看看,如图:
7 y7 \& x+ q& E% c' @- X ?4 W
8 N* ^& r! G6 e3 D! D# a4 Y% W) E" D
% U! p2 s+ [& ~# t; r
% p& Q# E5 D* e9 z" g * n0 K5 F) L$ S
: J; S. F0 {8 l6 \; l9 C: s
" A% ^' [; R" V: M" s
* J* R6 D8 y0 a& i+ V0 ?2 M ! w6 }- a* u: ?5 C) D4 a
5 z: A4 i% j5 M j9 I: k1 v4 V 直接进入特权模式,以此类推搞了将近70 台交换机如图:
! q- Q5 D7 o" W* I. ` / J' u+ ^! N2 {1 Z
/ o( o! H: G1 e. ?3 O+ s
% g6 m: p$ L. O* Z. H
8 `5 V$ A! O* i6 H1 \2 J5 r0 x
8 Q* F( [/ h! }" X4 n, M' K
7 t. z( R. X* B/ |" G$ x; z' t4 C% u+ l/ }
& W+ l! p+ s, @% r* R3 ] ; f) N, r; a) u; e ~
! k( F8 \/ d: I) Q' U
 ( _5 i5 `* k' n
% G) s0 d9 Z: g3 f- C' C# a$ B
8 h8 h; W! a5 N3 Y; z 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
9 y4 I2 u9 V' N1 \- z0 c, I
a& x. m+ G4 R2 o6 [. R b
. Z; r( C1 }! g/ r: e) r % ?( H$ s x( [6 p2 q1 Z. o
2 ]6 A* z2 v' g& M# t8 C0 Q2 F
6 l5 p& D7 O3 L$ I g$ Q0 e! m
% @0 L- p8 m$ }' l% Z
) J$ i. x/ n# r1 Y( Y9 {  % D8 P3 L4 ]) M; C2 T& P
3 |% f6 q4 f7 p6 f5 ~1 L5 H
# _% U+ F9 B, z# R0 u 确实可以读取配置文件的。
. C) Y) E/ e) h) e
0 k4 ^# @4 U& F
# d& K9 z2 R2 B* ?/ p4 D 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
7 Q3 F: C1 u& W6 d" m# m 6 z b# B# e; g4 l0 Y
$ M) m/ Q7 \! D" i6 R/ W( G 4 s# t) F, {4 k4 f6 ^$ P
# o H# q5 w) o1 I: j+ g0 _* W H! D7 w' b
2 B0 s( @$ @' u X! Z- J- A9 W / U8 D) \) w+ Y- R" M
! L n C6 p( q) W1 F6 R: ~2 S% T
2 C1 l$ n" c6 {9 k p 2 G0 d# R1 P3 V; c. d* a$ v
X' m! q% O9 @& v# s+ ]8 p" D! m 
1 A% }* f! [& }% V k
7 t1 K/ V# d Y2 F/ e' N' i5 d" e4 {" I$ z5 T0 |$ I4 G L+ x% a
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 8 ?. g- E$ i+ V. ~; o
6 n, x% w: r9 J' \/ n$ @$ t) D
4 T/ P6 N" S8 ?, F, }2 ~! e
% ?5 u" V- D8 a. P- U0 U
% [7 K) b9 u, h* e+ X1 m3 P ) `) _' w3 f0 A& v5 b( e
& M7 t8 @# z+ ~
* a+ X; ?% L0 e. F0 E 
6 I& T) k- L4 E1 w& O7 T1 e3 b/ z
5 z( [3 h" `+ i: F- C: s4 h" `5 C- u- d& R
上图千兆交换机管理系统。 0 a, {3 ~ Z5 t; W! P6 T
5 H9 A2 q1 t- P e# f V" j6 a3 n: n7 J2 U; G& K( N5 {5 J [
7 、入侵山石网关防火墙
) p5 H. h2 l2 S/ o
+ f& B: v1 a8 r+ X9 `& b. Q1 e% t8 U8 ^, K7 s4 t# A1 V+ O
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
$ Z% K& o' y+ l
8 ^) c9 `2 G* D7 q5 O9 ?' k2 Z
2 J7 ?6 \2 q. ]% Q/ d( ] 0 K' ?# k2 @! V( e7 Y8 d0 X3 N
) F# |- J. o1 F
6 t1 d% U6 z) m) J+ c
4 I4 y$ M2 q) a
% J V, b( l* G9 @2 e3 v  4 D* k; `6 e/ J+ \3 u4 }* o
8 p! n" Y, D' j2 l4 W2 B8 t5 \. b a6 |+ o z+ C! D) H$ s
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ) |, g5 |* N1 i6 c4 s1 e
4 m9 L. T+ Q/ G% q* I
; O) ~8 _( K9 }( K 8 C, J- V" Q5 \: I* P+ E
0 {. O1 a: |1 n7 K) n
% n4 D% ]2 L* J6 f l e; M" A, p l
1 Q8 x, B, n2 m5 {& M
$ w$ R8 K ]- s- w 
; K& p6 e# L, j$ [* |. Q) G- n1 } ! [: b+ v( C' a
9 R, e) M8 h6 q# \( s
然后登陆网关如图:** 0 @& r1 V& C3 d' R
( F3 r& [9 b* ]! w# W
! ^" H4 S( d9 _, _- g
. }, W3 D( z# C: L9 F# f
6 W* h1 P. ]( Y5 C; K- W
, L1 w9 N+ D, |
" g% n8 L4 x S4 O, h$ p4 K) C3 R, C7 {1 Y' S' ~7 a8 Y
 & p" T, |# f- L) S' }
~0 B9 N S7 G; ]- q
( |" ]* \- _) U9 p
- ?+ W' Q. n$ u x, |
1 g6 Q5 o ~6 n; W- W8 J
8 e3 i* k, y- S) a+ O9 N1 C) ] 2 \% R+ N) c0 S/ x- g" u4 Q0 q
1 h) A/ L/ ]7 A# M: ]: F 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** & p& a0 c/ Z+ _" L8 }) Q
4 T) d* T+ C5 T6 [- p( b. G4 G8 {4 w7 M1 a, g
& l9 N' v! Z' P$ N% Z8 ^ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 " |/ ?" b: _ w
* ?) }" L* |+ j
3 `/ W; _/ c8 Z: p 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
3 T g4 V* I- \1 \4 _; a 7 P2 ]5 m1 P4 R4 A u9 y$ U
! H: _& H+ ]8 ~0 W0 _6 M
7 d& F9 R n5 H
4 J! s2 h j' K* X ' p y' t- O$ s( r9 K( V# ?
- I: _$ X, c( \2 [! t; X$ V
- Z2 O9 M: ?) _. j4 N; T$ T
* b/ h U, T% d8 c. M * E$ j. t; B: ]5 o# D) `
7 E( C8 Y6 t# x+ p2 h- M+ N9 T" o 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 5 a) J4 i5 N) j' L
& n+ o4 i2 m! `/ g
+ k7 s# r3 p9 \$ w% D! n* P6 U
, q9 l* R% M! a# ^2 |/ o1 o
) J, F! Z% v+ L. [; Z
$ X! P1 v L0 c- n
$ t4 k) Y5 e$ f2 x 7 N- j4 E2 M4 N2 D# [; n
; O+ ` k$ }/ l/ z | 
发表于 2018-10-20 20:19:10
收藏
支持
反对