|
, E, i- s H& o4 h+ u
& y) D% d n+ t3 V9 ~5 V
1 h& N( c% U! M7 Q! w. `" x
- u5 x6 v7 o: m- y" u1 k; k 1、弱口令扫描提权进服务器
) \- _5 I& U w( k1 ?' I) y! Q
' l; b: }2 K+ y' t0 ?; u4 @) v
" ]; u! x: r; E, e$ Q% C* J 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
, r! K6 f: I+ @+ z3 B1 F1 l8 D. j$ a 1 |+ F. K2 j5 E. I. _
' a& A+ J/ o# D+ i ; ^" u# j* B" p1 Y: w3 ^
* ]" t! B6 K5 @" O( v
. s) _' F* i( h" g; D' D. G $ l& t( I7 c _" L& I0 e0 p
. d# b5 v0 j. n ~* A# H 
+ ]5 \- s; [ | * d& ?! q8 W# ]) s {
( l0 K) _0 _6 y, G0 ?' b4 o2 L
 , ]; \6 D5 z8 G6 y- v$ L; W
7 h# F+ }( G7 x. f9 y/ ]- Q& w
4 c0 h6 I7 j3 Q/ o. t0 d ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
- B- y3 V/ n7 m3 X0 | 1 s" l3 Y+ u3 P
. y8 N3 f$ y' d4 R; R2 |* ~ 执行一下命令看看 " @3 n. N; O) ]
$ `% q, V) m0 G: x4 R2 y- `% R3 i7 L: v6 Q/ K C3 p3 o
! T* m) H; m9 S8 d c8 }# v' T" `8 u! h
0 p4 b( @! t% J4 I. l1 T
& I# u p9 ]6 ]$ h" l1 j8 i
) p% M( n! x2 K+ C7 U
# V) W8 P6 A7 i% Z) z
. i7 _& z( N- G ]. b ~
9 L0 i# a8 m' F, r }9 U 开了3389 ,直接加账号进去 / z3 x" ]) M- j4 U/ V
t/ f f& Y A) S5 I' Y
) e( ]. p0 n# A, ~; ~4 C% I7 j 2 ?. e( S/ @: r- g
* p4 B# S. W8 D9 i7 U 3 H& e- W/ J5 [, X$ `( `* F& T
7 f+ x/ E. H" W7 W) G; [
/ w3 z: ]5 m2 f 
I. A3 t& R- V
1 W7 Y9 f3 r( _. b
0 g% i& m# z- ?4 O- i j 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 4 H6 k& J" J$ B3 x* X
0 v" ~+ \& v5 ^0 |- w- m- e& K0 e k. _2 B- U/ t4 y
V& f4 i0 H9 {6 t; }
4 q6 E/ ^$ F% L
* F- e( N& m( g. m" W . g1 `; ]% |: s& t! T; g
: V: D- T1 C& J  & I2 a5 F9 ^ h; X. y
+ [4 l- q7 [2 u7 _6 m1 B+ u# ]6 G0 H0 K1 d; r" [: J, d% o
直接加个后门, 3 O3 y0 Z; `5 J
! _5 R$ f/ U9 G1 E# F" d9 N0 d+ e# i3 `8 {2 u& l
 + H( J6 t1 u% @1 X
. v7 K3 I7 I1 d3 [$ H. F4 ^
6 b4 B( q" w6 H# L# W6 o+ f
% |* E! {9 w: l" N
* q* K) l& x4 t k
0 _# n& c5 G" Q; j' s) V5 a: E . q; \, }5 m3 E. U
+ ~; W! e: X3 X! S* @
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 0 e. u3 p3 m' g+ H; m9 C# e& `1 B
8 N1 G( T" m% `% X- `( l2 e/ K H
% Z* [6 f. @# e2 X, S; Z4 l) } 2 、域环境下渗透搞定域内全部机器 4 Z. f. @' h- M1 K. H- g- i
7 s; K' G2 [( K2 S9 Y; R) G5 }+ y2 h8 k2 a
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
; b; N/ T- N# M/ }9 s& |& f
6 Q6 P. I! m" m4 [; R! \& M# a K1 n9 k0 V) g
, {6 q X, J- b6 R6 f5 t; b
( |/ m1 W7 ~0 \3 M . y/ k' I- a# Q
1 A1 c) r" S: m9 S2 Q% P7 i
: f* _$ k: Z! }6 R! L0 B  & s7 s; Y, G7 j& q1 `* U. ?6 `
& L0 J( @% U s- G! g! t
( P+ v7 x" _6 U" A7 M 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
- x+ g; `" X l) c; J1 r - K2 T9 C7 u; i! x. U
9 }" F+ |* Z0 l( b* j
, `- i; b& Q: y
! D) m& L" [$ I3 q$ ?4 A5 X: o
, D4 r6 c, b6 g9 r8 {
' r3 z& I% L, b- N5 o! k3 F. u) D1 E2 V1 t' |+ J+ v, O' a9 k" a
 3 V K) e3 P7 d- _. m
1 r# S1 X; b4 K9 _3 Y4 c
0 ~/ ~" [3 J# f
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: & l g/ b/ T* b8 C. i- `& F8 d3 |5 {
* A0 v% \5 B5 Y: j8 l7 u, \$ E% K# C+ e. v3 {( _' D
7 C/ ` `9 E( f7 W! G, C, r2 C
6 B7 e9 T; t- z) M" r; k" _7 p
3 b9 h# f) P- ~2 B! R I5 W
& K6 b6 V, u; |. q
9 D+ O. ~- Q% m6 Y5 W, Y& g2 {  + `; |7 ] q& V- C- t3 y
6 ]7 ` d1 T' T% ^6 E9 y* s' x5 U4 ~# g4 @8 T& d# t
利用cluster 这个用户我们远程登录一下域服务器如图: + R9 ?9 T- n; V- f2 `
) R! B* O5 R5 l/ ] X" j* l- W, ]
4 r$ |+ \/ u5 e8 ~( q5 ^5 a
1 c3 C0 f4 Q/ @; L' T
$ g; k) b/ X$ F6 F9 c 6 {/ |% A6 J$ L9 K2 Y+ N
" ]& z2 x8 C* i* R, K+ X0 ? 
, {; J6 z6 j& R' D" T
" j v- ?2 k, ]4 B
* ~" n. Q3 q/ K1 ~3 F" r 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: . y! [- j- ]" ]) A
( _0 H( V' k3 T& ]
! T1 T; O* L% }: p3 ]! Z1 \6 r" b $ `$ h3 M: l* F" v$ v" F: w
( P5 ?6 n) @2 r5 G, B- f
6 y2 {; R; ^: I( S- ]: ?3 W9 d
! w' r" x F! i5 s
G% J/ A8 g; o1 P% b) A 
; A8 w: X" r4 Y , n* I( q9 h) |! i
! n3 P. I% Q/ `8 j
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
# f. o- C" v8 P* X/ T
7 U( Z. m* W" T# E
' c5 D! Y+ ~* V& f3 y+ U; L E$ m  % j* m( \. }7 {7 w) M8 f
0 _2 @& C& N- T1 K/ P, S: @3 O h! E' g7 y! Z1 e
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
8 i, e2 f5 K1 A 9 g, Q+ r9 o/ [1 }( n& d+ N+ R
& g e) h" o& V
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
: h: [, n2 p4 Z' A
# o/ d3 a; ?$ {& _6 c: U# h! K% ]7 e" p
( v! }0 {) A q
4 [; m+ o8 d# t# h8 d% H
/ K$ r0 _" J9 D2 y
8 p* n4 U2 Z0 H7 A+ p$ |7 ]# ~ ! x5 U' f% K/ w* f; y/ Q
3 w4 p; `/ O+ |7 t5 j
# P! o2 q% v; ^% q$ J' u7 g
9 {" M% B. _$ f& [- y! ]* i
+ l, r, h6 C1 `) s 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
" ]- K$ M% l6 A 6 J. M$ ~9 n! R' ~6 j8 p
4 {( P1 o9 p; x! Q1 E
; f5 ~( F: I/ E2 Q1 ^! V- p$ l
) m& y% U/ H: Z# ?
* b6 y7 j0 j! O {' r6 g. O 3 r# z& p, d3 t9 M5 _: P
( i- {+ B3 ~, v! w
 ; Q. ]: f4 p( S
; g# @* H, p' b& K% N$ ~) C( c% b- z$ i0 e" c
利用ms08067 成功溢出服务器,成功登录服务器 5 y) X2 ^7 A! u: t% b I; ^& K! J
! q U2 n: g* y; M' g
9 h o5 |8 u9 R" W/ i( C
- u! c7 t) M2 B8 d* E0 A
. G( {/ w9 m8 p; `! O3 Z7 W0 C
& g) X& T: J: K ( w9 A0 {$ T3 K# l# n. z) m' S; ~
" t; E& v# {$ z c5 S
1 r( x8 `3 \" Z- [+ U
* G7 O. R' B4 Q! ]
3 H# K2 }# M: F& H( t5 ?; p8 i: ?9 B 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ' r1 R' n. ^' |1 W' U+ T
: g, L0 R: \5 V
4 h6 d) @: ?! o7 s9 j- m 这样两个域我们就全部拿下了。
+ y4 v6 g1 {& w
: t9 T6 }7 k) p3 \" K6 f0 ]3 e. V$ ~ l" D# \
3 、通过oa 系统入侵进服务器
3 F1 p$ _: J* F) q 5 V* a8 K: h/ Z- t
" J1 U0 R1 D! k, j1 E) e a% z' C Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 - Y* {/ D8 y! D
3 E+ K4 }3 l- t% O3 b- S% M1 P: h9 k& A0 ~$ [
- O/ ?$ s l' O5 [9 F. F' r, D
# \' g1 T; o1 N) l
0 g1 Q$ M1 C! c( Y. f' A" Y
# w; e* j3 `% J9 {% Q( h( Y1 t
3 ~ m' E, a; p! v0 [, s7 s2 l 
, f% L: [& R0 @0 I( ] 4 \$ G: O, {- v$ ?( V- w! m
/ _( C9 Y& P5 ^8 j2 G/ q: r
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 % a! k: p4 W: X( p. @
% T2 ~' a. G5 K1 V- t: s
8 Z s6 r4 N2 J2 o; m# f0 z. m
4 U1 \4 l. B& l" q5 n2 ~: k9 y4 m
! w5 {' u6 y- J3 A8 ^# K2 m
, @% o, k g8 i( V* @3 _* }1 Y- p
5 T) G/ p/ ]" y$ Q' v6 w
" x+ S x2 Y5 L+ z
5 m4 H- }6 k. V( } 4 c" o+ X8 U+ R# D
8 u$ l( L9 j8 p5 P
填写错误标记开扫结果如下 / w" ^! B: b3 @* w1 Y9 j* j
% X$ E! z$ ]# X
& W8 L- N: L6 `+ q , T, W9 L" `" i R; {) Q% ~
* e+ ], x/ N+ \" b, x
! C$ D& }* q% g4 _! t k3 w0 C# o: R 5 m% E) w6 C; `2 u1 i7 h: b
# J8 E; Y: d/ W" w; _  7 v9 X" C. p% D6 A5 G1 R, D* P7 K, @
]. K# P8 l+ H. v1 R
+ R& r5 T3 N6 d+ @$ q$ E; ] 下面我们进OA
: e, E8 ]% a" b9 v- u; G ! o2 k' W5 D1 A) Z% Q4 P0 y5 T
# \$ t/ O/ p6 w9 f
# f+ z" F) Q8 i: L, G9 u
2 P/ n( X5 r; C2 V2 l- m
0 j6 T6 {& N6 {- a# t 4 D2 Q4 ` g9 D. `
6 v! j$ v# t9 u+ p; j; ? I& S 
0 n4 K( {" q7 e
. g: x' @; }5 Q3 L1 q
3 w2 d) j- x" h. \# ? 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
C, w1 r6 X1 J( H9 W
6 j) q8 J8 U! c4 g
$ Q9 {" m0 F8 V/ ^
# T$ [0 ?7 ]+ V0 i& _
1 v' o* r" b- k/ i% O' O7 U# [
! g8 w* A: g; J
/ D# N6 l) N0 [. z1 }! h5 P& o; X
- s+ X( w7 O6 Q& L3 o
 ( B3 a# ^+ \! m6 q+ b" m$ O) x
; r8 A6 S% X" K9 L- h7 n2 u9 \
1 r8 A' G& q7 u. ]. u+ g3 c  : ^& d# _+ w8 u/ W
! b0 y# F3 R: }3 I; L& J7 h
7 d0 ]6 \' w. U$ Y$ s& S 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 2 P( j- O8 J7 n% O8 k
) L; r _8 } Q7 F5 S2 N2 A
2 y2 Q! W2 w3 l# Y% U- H 4 、利用tomcat 提权进服务器 + e+ I/ e) K4 c' g2 M
3 E: q, K; Z1 B' E# _& v( m* v# _4 G) p" h( S+ f3 {
用nessus 扫描目标ip 发现如图 : a$ k) P2 U$ Y& |3 ], S' t/ I
) d7 c; B# |. E, z* b# @" C
k" g: ^& L3 T2 G8 r
7 l' D( t! ^% w/ I
0 @: j- ^; T6 M+ F- N0 \
4 A1 L/ ~! k" g6 T& D
7 T f8 C/ T9 t9 ~: R3 ]/ K
( T0 ?: h3 @. H" n1 t6 W 
x) R% z) J7 [7 {+ a 5 |* b# v2 b9 R+ \; j* e
8 {$ `3 H+ k" u- n; Y" f" \2 q, M
登录如图:
$ K- a7 @7 k8 _' r4 v 7 U5 g- o' j( A2 H: C: g' w
8 T# k7 b/ m8 V* b9 T) s
9 P1 z4 b# \% U! Y! ?3 ?
; X2 ^" A6 x# ?! c0 R
, @4 D' G/ \0 E) U : p: Y2 d) f: c
% V. ]3 Q$ u6 f  j A, v, F& P3 S3 P6 G5 j
2 U3 v5 t7 U" ~: b
% q8 `7 O+ D" c! r- q5 {6 H% T
找个上传的地方上传如图:
; c0 l: U# I- }5 m6 }& G5 N 0 s* Q, k3 p( M( _' K4 y+ b' U
% r2 F7 {% [$ x2 `# g$ ~
! O: @% R2 d0 L; [# w- ?$ @
# K: U6 F7 ]$ |8 x
, l! H1 d; c( b, v5 B6 |- b' n, |. _
# ]8 D e! D- G* X2 Y! l
8 F: ] H0 \( r3 @& n 
6 b1 G* U8 @0 l. B; \2 o8 U ! q& x6 [( |7 U0 {; I7 Y$ W
2 t8 ~5 {$ a- r$ K$ U' G1 n [2 r
然后就是同样执行命令提权,过程不在写了
2 Y J! A1 U' S1 i0 `
0 [. ^1 r7 z/ `7 n6 x: e# w R$ z9 V" l8 ?3 e2 ^( w
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
5 D; P* |) s5 ]% \, ]+ c , i/ w2 c6 R: w8 A6 G
4 D: A4 @$ X$ Q9 Z
首先测试ARP 嗅探如图
6 S A- U3 f9 K0 j5 L0 \ 7 D9 v4 H9 n- l# F1 z7 `( q7 A
' @! f7 H0 D. O! b' f - `2 n- | W* w7 A4 B' P4 L
4 ?) F% I! f; P+ D& |5 |3 Q/ l" @
4 O: O6 x# k8 U/ G
* \5 [: {$ I5 y9 x3 q9 U
^. q1 ^& U2 Y |4 |+ g$ M 
; j$ t. o1 i/ x" } / E9 a0 C1 |% e6 q* {
+ p% h0 [2 N3 @; g# d3 G' T5 e 测试结果如下图: 7 p' r5 f! J6 u7 G2 I4 C; @. [7 k
9 I: o q( ~1 d( e
$ y3 G- V1 ?8 X d# @( v5 |% }
, \, p$ {: E4 k9 t6 z$ i$ w
) r5 E( F. M' F- F0 P8 Y) K6 ]
@4 Y v' F6 s n( x6 W ( b; o& H1 h8 {
5 ~# o5 l/ {$ G, Z' y4 ^ 
; p! \7 z; x6 w- A - B0 Y- r1 r" q6 a/ V( V
7 z* s1 V/ N( a$ Y6 K) M 哈哈嗅探到的东西少是因为这个域下才有几台机器
# Q* W* y. Z: x7 y% L . m7 m3 R. q! T) E& W+ f
- j. p! q& y" x1 `
下面我们测试DNS欺骗,如图: + n) z% [9 \& [. G
2 d: q6 y7 o [6 v" q
$ {8 C7 Z! a& ^
3 d" ^/ C! r4 \
4 i, H0 B% i) ~: L4 m * u% z8 ~! S& V) c9 n0 t3 R4 F
6 x% z; s F" b
% q. P' |2 v8 }$ b) o9 m 
4 X# i; J- O, C6 g 2 K9 K7 [6 P' T: J5 h0 l) H
9 K) G! v) f4 U1 H2 X
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
; k! o, f: S" f) c* O; b; w3 d. W
9 N. u T, @1 I+ n2 _! o( D' Y- `+ {* C5 Q$ g9 K+ O- Z) U* g% {) J
) i: x8 x* E( y0 ^; q, Z
( a1 u! O, ^. j0 ?% Y% o 7 W( n s9 T5 W- Z. T/ i2 V! J
. w' A0 O" _% [# @* |9 z, s
' c9 f' B2 A+ F4 X8 s0 D
 " h' p# R! Y1 `2 ^" J
; D8 h0 l2 c5 O7 y1 L6 P# N
! {8 [3 U( {& n" \$ c% i (注:欺骗这个过程由于我之前录制了教程,截图教程了)
9 c1 K, i2 e6 Z3 j. a" T, @ ( h, y3 C6 R* [6 g) [( d( Q6 `! [
7 @: p9 H* V* ?5 V! @( E9 Q' D
6 、成功入侵交换机
. N! f% H! W9 C: f! ]; @) j 2 x! `6 E0 f$ T+ M2 j" h: A
) T: E* @5 g3 L' l2 u+ a$ [# v: ^
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
% H2 J- v% W9 t: B" A
* D6 D& @; \ c- B. f" I
2 ?" |% P. i4 s( t$ w/ Y 我们进服务器看看,插有福吧看着面熟吧
6 b! @+ s. y6 D3 W, |
+ T7 O! g, R. \) P: s9 \2 J0 z
) l, L! B7 K' a3 ^& b& l
8 ^, u6 A2 ?" P% s
4 e& b1 A$ F* ~7 x/ X ?/ f1 {
\# `+ `/ A3 E& |" [$ l! Y4 \6 l 5 T8 J- U2 q$ V3 {' C- H0 v
& x( p+ \" H$ b) c/ O5 R8 e- J+ s  % P/ ~! L2 b1 l+ {
$ {" B7 V0 R% J9 l/ u+ \! O: r
. Y- B& L5 `6 V2 C! a 装了思科交换机管理系统,我们继续看,有两个 管理员 , Q" E6 Y% W i7 }( k" Y
" L/ x5 c: Z R' q: c4 r
& f7 b7 y! \3 L; ~/ b / H8 V. d- e1 G1 I2 ^- V$ b3 d, O
$ j) W, T5 |6 _. U9 C
5 O' |( Y, X# }: _7 D* n
$ A6 C; S7 o+ f! {$ [2 X6 K
, |) v6 l" M y  : t7 C4 v9 A# `4 H3 R, |2 L+ l5 |
! M# [- Z8 t: B- F1 e- h7 g
4 n4 r/ g0 t5 b, V& D; l 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 , n% _* J4 ]+ g
, \9 ^1 T/ m8 @) O9 U
. ~4 R$ {1 u, I: K5 A/ o
- d F1 Z4 c+ i# X5 K- w
5 R% ?/ R$ M* X. [5 z% R% X, f# R" t
9 S- h2 u/ \2 v2 N7 r
3 J" s3 t' ?" R
) y/ v3 ^" l3 h) \# j# n8 B  6 t6 v6 G# k: `" y; ]
R1 O2 M# U; F8 [
* U+ k* |! v* c! M" d: A" f 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
2 T9 Q+ h! w0 `5 a0 u
) e# s& J3 _* A' Q/ O5 r/ Y7 S4 @& ^/ X6 p3 l1 m( |$ }
& ?( [; J3 L0 q: @
! j# j; k+ P& ? 3 ?; I4 B+ u1 L% e: h
/ ?) L* U; Q, ^4 [9 m0 F% N# v
1 t- N4 F: w# n% Y7 m- f" @  , p0 s# A! Z$ G$ u& J3 C* p
: k/ r( b- C- f4 P4 c: h' |
' x+ A. W: L/ a" M 点config ,必须写好对应的communuity string 值,如图: ! O/ B% T$ L; K/ q9 E0 m. Z$ J
1 [9 M5 d* Q: N& L9 o$ g* M/ q/ _4 S. F( q5 `7 J& H! J/ u
! ]' q2 U& M6 h* s
" v( x/ a6 s* o' k3 ~ J7 t4 X
" |! g3 f; O- V( A, S 6 [. \1 r+ [3 |1 t4 a8 y( j8 S
* A% B4 g" t. ?% K& i
( s5 G$ c, L. m8 v
: e* e- h7 y+ z v) ~, @$ v3 h' A) f" p4 F5 F5 G: i
远程登录看看,如图:
8 {) h+ g( j4 z! k! q# w
$ l2 A+ q# o4 P9 B# d0 m
# d3 \2 n& v, y6 p- L
# [) \* y6 ?, E9 a
+ |9 G- q( G& r' K, F7 R2 f
8 q8 j4 i* |% c5 |9 d8 w # d" [+ I8 F! _) ~8 w- a
/ X2 X$ M, t$ @! t6 _1 f6 G- N  $ y s6 A, L8 d2 K6 r
0 K: V8 a7 y( l# P/ X" Z% \
9 V9 q9 ~' p: B: `
直接进入特权模式,以此类推搞了将近70 台交换机如图: - B/ u0 G' k- J
5 \6 Q: d4 P! I' S2 @2 n4 ?
" o: F2 U( ?" a
: Z5 p! y) |+ U
, ~5 d( h0 a$ [$ f" N 5 U1 \( u% B7 r
) L2 z/ w* l5 O# A
# g1 H( g: I8 B4 d 
U6 c, g4 t2 y0 J- M: S
& n- }# `* m% J8 E u) t
2 d/ }, a: I2 p 
! d1 z8 v% _0 p0 B- u
- P& l) f% [' Q" G+ I$ t' P
: W f$ M7 p3 F/ [/ Y 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** - Z4 c s5 |% \' Q; k
/ q% C6 M9 | P' {( T
! Z& }! x3 n, M# G * N4 F9 s4 _& m2 O
0 Y# b! B5 y) |2 A: E 6 j7 E7 I; c/ l- N2 j# j# |9 |0 z
; \7 ^+ ?2 O- E5 T6 ]. }6 o3 ~3 `) x) J/ K& f
3 X4 |! Y! `* D% C/ S t: j5 Q N" ?) K& j+ b" R& h! w9 ?$ C8 n
+ R( v; i4 q& a
确实可以读取配置文件的。
" c4 N9 [( z- t+ ~
" F) w* D) G8 O6 W, j1 @/ x
) A* L! E$ m' P& T8 w* S 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
, \( k- g5 z# e, }) [
4 n/ N& c) L: j+ u: s7 `: ?0 E" g) t
2 g, h6 e" a/ ?1 f6 G j) N s ) C) Q. T/ M* y" b7 r
7 O8 u# D* [- L0 q! {" s( a5 U
( g R) R* ^$ \* t4 D
) ^6 n$ G+ `5 y1 \8 T4 \- }0 a
+ T7 a w* O7 V  H0 ]; l6 H$ d; i0 A
7 x7 E1 E5 X5 L7 e- M( m6 | g1 u; Z8 O
 2 u* Q: p. A1 b+ x- ?* N7 }9 O0 k
3 c0 s; x: a1 r6 k+ X7 O$ G
- N, ~3 m& ~* T 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 9 j- v1 I" D% h1 e
" j; }# q- Z* f' t5 U
6 O+ j+ u! K* b& ]
1 ~6 g: f- A' L3 n8 ~3 D: }
% f6 L, G5 ]" r) ]( W
; V/ l R) A/ L* \2 v* x- q
" o7 Z: A7 a! A/ Z( }. d+ m+ Q: A2 Y: L; Y; P
+ z( ]+ X" v! c, T$ ]9 S/ b9 p6 [
. w- g: L+ @' H) r$ y2 L# X8 B# s0 _" @& o% O1 \4 O6 ^% ?2 n
上图千兆交换机管理系统。 * i7 m6 Y; W7 @) d
" W9 w! s7 W. L5 O+ s) C" ]# c6 K) e! T E: S2 x+ T! Y
7 、入侵山石网关防火墙
6 m- J1 a" T' i7 R4 e8 P3 F , d% T( A$ V) c* [1 d7 {7 B
: ~2 _. d* O/ M8 _% H 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: O" A5 @ b# @. I5 i' s N
J J4 c u) w
$ u$ W1 R9 x7 r1 k- M0 E; q8 _
# f% j; D5 h2 n0 O
% |# y/ ^6 t$ O/ C7 J
# A4 o# Z- ]7 r/ ~" x9 |
. |0 |4 l! E7 G( z- _
; ~+ K6 T6 G* ]- @ y0 N8 G" h* l' R! u 
: g3 `2 r8 c. m5 P3 K
, J" F2 ~5 I& P t" u4 o
" c d5 I% o/ j0 [6 B1 W 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
* ^! P7 x- ?, J' [6 @/ ` + j/ j& m P" n' _; j
6 L7 F( N0 } ^6 B' |: j
2 R _% }' \: Y8 y$ P1 \7 d; M
* D* j9 |! ?, _0 H& ~: i
+ ?: ]* e+ z0 S2 r. E5 }* X
; g o$ i- j0 V& L* G. Q
5 Q! R; L) G- n ^6 v 
) L! X( v1 P+ L/ p7 Q
% J9 ] h: l5 K9 h( R% t( x
0 @0 l2 |0 G' ?& T8 Y& w 然后登陆网关如图:**
. h& G, Z3 h6 r5 ^" J, t( E 9 K q1 Q4 _+ ~$ C
7 t/ l- Q% I, x9 s6 H 1 j% j0 n9 w) F" ~
- g. h- [ q8 J% N# I: V
7 x' @/ m) \+ s5 f V) W1 D
7 r; J3 k" ?% G" Z8 k4 I: b/ G, M( B, G6 m2 P4 D$ g5 l: j! _4 F
4 s7 F4 C6 r* x4 g3 ]* c
7 I& x7 d. S, p$ |0 P
+ w8 F7 O( j2 g y6 V0 R: {; v T 1 X- t% I% w+ T+ e
9 F- X8 I6 k1 ?5 y+ Q( e" c# v. t
: H2 n2 c! [- m% r 2 r# Q* r9 q, H8 q5 l' i2 X4 }
6 S& n* M" E5 I8 Y 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
0 h, r. Q' D5 Z/ |' r" e( d- S) T ) O0 W. z0 |* Y- h! |# v& R
, S( n7 j4 q1 R$ B' n5 ?0 p2 Z 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
- _$ S# E5 V5 O. t5 U0 @ , O% L# M7 [8 P
6 Q* y: w) z/ {
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** & r( U8 n1 l/ l- z
- R; U# P" J, n6 g: S- V1 x6 B) C4 k
" e- C! c- `6 S7 d% _: A. |5 R* z
! A0 `. V4 C- t: g9 B1 v2 Q
% t& Y" L* \- O( V" l8 T4 @7 R
% [, d n" B! c$ \8 l- p
! \" ]2 q. g: o  ; Z) @; N( T1 B9 }% \4 C& W) t
3 [7 a7 N9 G* X; U* M0 i/ X) ?" j0 C* J( x
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
7 h6 \8 d5 Y# x- m7 _
0 |: q+ Y* }0 ^3 Z7 I6 q5 `
3 v) ]( @5 W' N/ H/ L
% I' o5 B/ C- _8 }0 i 8 R; ^! x* n$ l9 _5 M
$ d6 e$ M! |; A, s/ y! @2 ]5 c
5 G+ F8 X! E& ~; `( M* b4 ^
1 m' G0 {" _ v- {6 J; J
$ S J6 \6 O2 t; O& Y5 A" p | 
发表于 2018-10-20 20:19:10
收藏
支持
反对