t- Q7 N4 M/ i: ~
6 J; ^2 p. w6 x" _+ C4 Y/ F 3 Z+ [: _( a* `7 n
2 h8 T, ~% m! [1 y9 n" K" b i: ?2 F 1、弱口令扫描提权进服务器
8 S! D! `6 [% B5 \$ G* F! T ! x7 M7 s4 e, V: {+ j! |; O# w% u
o' W" G% o7 Q A
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 0 {# K1 Q W, E9 s
7 J" ^2 r9 F4 c9 e$ u/ _* w
' I; D# p% g7 g; ]; U/ V
/ z. g1 `1 v! h/ l# `0 Z
2 _9 U# z4 a5 `1 U9 M5 o- S: O$ h5 h
1 J* m/ L E; e" ]
* X. s5 w- R1 u; F4 X h( y! ?6 y4 J3 h) l' R8 q' A' S* d
" \. h# ^2 M4 N2 |6 i/ f
- s: v& p( g( B% J K( R- g; W& w2 u% {- S
. F8 w0 G/ ^2 ^. J0 c0 m! I
% C2 `1 \* s. S7 B& y, A' L( U
3 Z. O* m* v p ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
& C) Y; c2 X; S' x8 d* |# g0 K ' C" @9 k: J f8 c9 Y$ g8 o% {
! G3 J) i0 f: ]& H* [1 c, [& D
执行一下命令看看
& N) D" v+ E9 x0 I) w
2 y7 O. |( \0 l2 C- n& B& |/ c0 e' u: P; A; h3 J
( q/ R- e; l2 [( o
; a e; M& o4 m( b9 E4 P* w$ I' h! [( }2 O) ?6 n6 d! w. D! X
# `: U0 L! S! T( Y! W' l
* G$ Q8 f" U) n7 V( K4 y' Q% L2 Q" m+ B5 _ 2 P8 D# L: ]. ?$ b& F
) x- A ^0 _' _: r- e# f) O; _6 g% _; e0 M3 x7 w1 r/ v! H$ a7 N- s' K2 n
开了3389 ,直接加账号进去
0 b+ D9 n5 o: b& Y4 n
" U% B: a- e' g; j/ g7 z# M
" H/ N: b. S7 m H- Y d" X8 h $ f4 y4 W- j. t* m
- K! s3 D6 U5 A5 Z; H
! z0 x+ ~- E# M) ]" c
8 v( Y& f# s# a) a/ ^" f
9 W% U3 s, _ _' s: V( D" N' ? 3 w4 D9 X8 B1 v
z i& J! V4 ]
N- `" I' q8 G& e E* F/ a 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 3 s, r' ?7 z, I* ^/ q
5 Q) C: R. \, H; E" H0 O6 p# o: _% S& T+ R7 g7 v/ y7 E; s4 ]9 s
) p- x# V( q8 [ & Y! h: q$ H2 d, t8 K% \3 `
- J2 \) z& w0 x' G2 E; D
, ]/ W0 V2 s0 o& E! M; w+ H, f3 r4 t7 o
Z/ m/ R' g6 i1 K7 T* B
% X% j H- B( v5 V# S; @. U. c0 B: f) ~( `; K5 D6 x) @
直接加个后门,
+ u3 R" l+ x1 i! V* Q
7 a9 K+ Q+ N1 Y0 N7 n( c5 F2 `2 R" m2 C8 Y2 g" G' b
. b) f+ h1 ~- E$ m; Q. ~
( Q4 Y: q8 @4 |9 _5 l' b/ I" C5 c
9 S( Q, J" I; ^2 w9 H
) y3 i0 K4 u7 |2 }/ P + v+ }8 T$ ~7 N2 P
7 N* a) X9 E" Q% _& T- B) } $ d) ]% X; Y3 I* q
3 J' q, E6 {) ~ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 0 m3 M2 h! X' |3 n) N: V' t" [- m
* k# ^- k |# h! G$ N6 ^
U+ H9 g- n; R
2 、域环境下渗透搞定域内全部机器
* i3 d/ C2 ?& x' c. ?9 T+ v' Y
# ]; U) B# W' M5 h/ V1 Y- {0 Y$ _, R- M- J4 U) {
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 - w; v* w5 E' }/ R4 J; C6 t7 Q
?, X4 L+ P) z# `3 \: v* z$ w
3 b5 U, o6 Q* Q) h6 E+ t
" {5 L/ W6 P% H: R" F1 b7 y
3 X3 {, b u* X B5 e
7 o8 E) h) H+ N! b! L 7 G% ^: c) x0 g! G7 [. ~" m9 H' v. a
2 M/ k+ B, d' w( X; b
8 f$ }* o* W" n5 Q) }0 x
A/ _6 r( l- `- `5 @( o
! v) ^1 t v! f 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
- j% a8 v! k, q1 q1 X* s/ k 7 s5 f! K# i$ H6 b) z
# J: r3 ^7 L+ S! U
! p, [$ t5 [0 @8 q. H
2 U6 \- h& |' x( {/ A6 V
3 b5 L9 V7 I) y
( h7 I% [' V% M; J) Z" D2 c1 [ v
& ~# q' s: \! x1 b 7 p2 x8 E2 F$ u5 g5 J$ s+ ^2 E1 B( y
3 b4 ~+ v: _5 `2 d* j) T. Z5 K" E) Q' l
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
& Y# z9 ~4 A3 b8 n# m " S% ?3 c$ b$ w5 d
e( M1 w+ y2 x8 W( J: R e ! S5 c; U# _+ s, m# f! i2 u; ~
* w) q1 B& M$ m$ l& t& T) h
7 J" h4 @' `7 @" t
, p# s) r9 |; N% [+ x* N; @* {* N. X2 a+ x
% y9 Y: ]5 O+ M/ R. y; a# u/ F
, }. v" L; N, E) J3 o
- j- \% z! _. f* `9 V! W$ v 利用cluster 这个用户我们远程登录一下域服务器如图: ! Z: U' V8 \2 N4 Y
2 M/ P8 l* h. s, h3 i* [) r
! [/ N: U$ J5 Y3 h5 E - Q. D i% L! ], G# ~
7 Z* |' D8 S R4 K0 c8 t
" F6 P& Z8 K) v; T4 h" m) S" U
J. R0 ~' R* [9 F7 r8 T( c
0 v0 E) j. e6 `4 ?8 p' D
; o2 d) K3 U* B! _* x3 P # [. [8 s& b5 n& k* a1 w1 g
: x& Q: ?) p2 ` 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 0 ?* p% y3 k4 n R6 P! x7 I
/ }, j8 J1 J; Y L3 }+ R a: i2 S8 ]+ Q0 Y- Z' M/ M! _
/ V* k% C* k2 {7 w* b
' L6 i' j/ v$ H
) s6 i# G/ }& [4 C4 N
, i# m% J/ l' R: M# Y! T4 ~4 B1 d
5 Q* a8 v9 V, T' \' s8 \! k3 O9 ]
3 S: p" _9 |; a; H. A3 X ! h5 s) Z# z9 R P# H$ E$ Q* Y
2 I; \# J" e W5 o7 `4 f) T& B- q 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ! |' X: r b( c! Z" {3 J9 I# }
3 w p5 b; \% [ b3 b
9 a' P" f# `* S6 V6 B: p
0 c# j4 x: W0 P, ?( L( J
, s$ L6 ^( |3 p# J5 Q& W
/ ~6 b& M, H8 ]; } 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
7 d/ z. S8 z1 k# X6 h; ]* K
. W' e( t8 p; u
e, ^7 t. `3 |: M% y% I: u! V# y blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
" N' l4 x3 q% M* K1 a& h+ B" {
& P9 E9 S% O2 u3 n; R2 g5 _" J! s5 b7 y0 i" T' G) ^, t8 g) J
* _9 H! m' q4 N9 l: D
1 @" b1 E1 l) G! ~; q( ^
, L$ E9 I, P: V
# I7 k0 \( r. w# j( q l; h z' t) L& l! t
& K2 g, z8 s' i* V6 M
. S {/ D% W/ ]! f8 {; Y% J) q& I4 r: Z G" w* y
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
. U8 H' `4 J b. K8 r( w& P . J: T; ~# Y N _
/ Y1 C5 a% k+ [! o6 F8 \5 W6 x0 {# h
3 c. O; w. I" v2 Q) M9 G( y" r ! W( m$ y" z6 m% O- Q7 F+ I0 K, Z
! i4 c( N# t# q" o' p
6 Q9 \( U- Z" ^5 \
: i X# h) J; S2 ? 5 S3 K# B/ |2 [5 `
" Z( \! c/ r. \1 G/ H: u! T
[' o+ _! z- C4 w
利用ms08067 成功溢出服务器,成功登录服务器 2 o- k. g. A- }: V6 g6 U7 t
7 H/ A& ^; j D9 J# o! i1 X! v8 u) t7 s& j4 j: W! H4 D
1 H# M2 Z! ], k7 u6 l
. D H6 b, W+ S4 o' h+ W
5 w& p$ U% Q* k: r/ Z, S. i7 ~
* [0 K# `' s4 J+ y
6 I' Y3 w6 u) E # X# t) n1 J$ ~( M1 ~7 l& M
* z9 _) S9 m$ j$ ]9 p( T' h8 d& a* O( G9 {& N9 k$ J
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen % C" w' y; v) P/ f
: ~+ N- `" M, b; K/ u/ \
" I4 t+ q- k$ B' r/ I4 m8 S% F8 c
这样两个域我们就全部拿下了。
+ ^9 _" Y7 e7 u% l8 s , E' c: d2 g' y& @ F
0 L) c6 Y l, ~9 ?3 @+ N, J
3 、通过oa 系统入侵进服务器
; j7 S, W1 s/ k: g3 @ 0 ?7 L6 j+ u2 Q# r# N0 n( H* u7 A- i
; G$ o9 T/ _* k9 W- A( Q Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 / a6 a% c) _( J, h
5 y4 e: N7 c a2 T* U- F
) Z$ k8 [6 y9 e9 M. R" H: M0 n
, s% P% A7 @% C ! P7 \% i* c6 s$ d* n" n
/ l9 T* W J( J# d
- x( D6 J8 v' C: @1 v4 t: x! r5 a
: _3 `; f% k* i. L* W
& B/ @8 @$ H1 O; e9 \ - E. q& N \* @; y' D d n
1 o( d" d* U: X, f8 f! m
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
+ f- M" \* v, \ u1 Z% W4 \
7 J. l2 r( A2 S9 V
, ~% [4 x7 k z8 N
& w% O+ H4 d( @: X+ o! n+ m 4 A+ Z2 N" w8 E) `0 g
9 ]5 r7 T( i5 w/ {/ v , a/ T7 k( B. _5 a
' ]' }% R4 Y! I1 }6 b' B. o
: A! y! q/ t; j0 ?; d* e6 S
/ s. t: R; R) F. h y* f. ?5 R3 X
9 i' r8 O- U, q8 j- G# g 填写错误标记开扫结果如下 3 ]+ I) G0 c- j: i, b) `
M T( h" A/ k! @7 k) s6 ^ n: Y1 `# |8 S1 R) u
! E' l* R5 F/ D$ {+ n; x: D, N) T
! k& g" p) Q' s( C( D 5 H0 ^- b; k/ J4 W1 n6 {; u4 ]
6 x8 T3 C+ j1 P1 J: B9 s$ _1 Z4 c' R% ?# o# g! |* L4 a
$ D; H5 j, c+ q) E# D . F t& {) M' V2 ^' H# ]8 Y
: N$ V- q+ \: o R/ T2 n8 S 下面我们进OA 0 {, F2 v+ Z7 x. |. r
$ \% v5 e( }. E8 ~5 ^
+ q) r( _& N. q( E- s2 S0 y7 }
+ Z$ d$ R" y! i/ ^/ L" L
6 a( s% X: |3 p; X1 K 0 y+ T" G! h, p1 S' }# ` [
# H! t+ y# Q% W5 J" X9 Y
2 u% u- L: |, Z( v
9 E4 u2 I# |% M9 B, o: T
d6 c* }6 t( D" K
, O' K" \! }, q; M8 L, y/ R 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
P6 }; U% B( r. S " ?: n v) c" K
- b: K. `2 g7 ?7 f& @% `
( A4 B8 s3 F0 Z: o% A. `
- p1 t1 `* v# j
. A9 {6 e. H' |& X l1 H, e 4 c Z# r3 U* u m# p s
0 k9 t$ X9 b5 a3 P. g+ N1 h
& r3 J# G0 i- K6 _) _
2 }4 V. {4 y1 ]7 ^0 |; F8 ~7 Q
7 Y5 T% m( j3 P5 n
) V. r' Z' o! }" a* Z: g! ~- r1 l
$ g5 d4 r5 h, k8 b' G5 k( ~1 X7 Z/ {; y' J
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , G& ]6 ?) }! H, v: e
* z7 }1 E- g4 ~
. n' F4 O: ^, l2 N. O
4 、利用tomcat 提权进服务器 % D5 y' G- B6 W- l& |" u
, _$ d5 d* V8 h1 A
0 x0 u8 p1 D; y$ x( j/ h
用nessus 扫描目标ip 发现如图 $ h4 i7 }( y3 n1 d6 r
" {8 j& X: O7 X3 _& N1 ~. u1 m% k+ a( a, M
9 R- R5 u4 k( r/ W" A
- I1 M% m2 a/ m) ~" d+ ] ' c! u" V9 O2 Z& w' A- j
$ J' I7 C; w/ O$ Q' i7 _' ?
T; u+ Y8 `4 Z7 |7 e& E8 D3 M1 I
% q y" D5 X/ j # K3 k% c7 g K- R# x' b3 {5 w
6 w5 s4 S& p b. S 登录如图: ) w" ?: P. ^& [; g
5 W% e* h% N# u, R k4 O0 H/ q) ]' y! x
" S1 w/ \3 R9 |5 B, F9 }
4 j0 y) v- a0 ~% |: u
/ X/ R0 R0 g3 `8 a) R$ S ( W( X* y8 b- k: }5 T* p
( g5 n- X( ]- N4 a1 k
& s0 O, g, I) B5 H( m
. M9 w9 D6 R+ l6 e7 a W* B
. e2 k- y1 `" D 找个上传的地方上传如图: ! V X! w. g h: m3 ~
9 Q' l0 G$ X) w9 g" s) }3 J
8 |' t& c0 l0 K! h7 K7 K
3 |1 `7 K+ B8 O0 h
; F2 ]/ B! y- z, R/ T. n
: s u2 S% ~6 p3 x8 T5 V6 t" n( | - D: s9 z: r8 h8 b. f
+ h) p' o, j. u* C: \3 `
! _- O. u; h e3 F
/ ~2 ^, X9 L& Z
* k6 d- ~9 H- g* D7 d- \ 然后就是同样执行命令提权,过程不在写了 + w" S) x$ l9 x7 Y7 w3 ^' D
4 [. r9 o% n1 X" D0 I5 P; v
2 Q f; {( \: U9 C. N 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
7 Z$ ]6 J. D& O. @" S& C c. Y/ R% s% \8 {$ B. T! H
0 m0 o* M4 n9 o5 I6 {% V) Z! O
首先测试ARP 嗅探如图
& e1 f$ Z( m) B( \% j u' B+ V3 G
% W- w4 w% i/ y8 s! T: Q/ ^& m; K8 D" ^1 I
/ i! |5 \+ o; o4 h& ] t . j9 K# G. |' Y/ J; S. m
3 k* d- K) u! L2 l/ [& p
, s/ e, {' }2 \4 a: A4 q3 n4 Z- D8 g# ]2 W- }- V9 w* g
4 \. v" _$ D6 }1 d, i0 K
, @% Y4 c: A# u4 ^" z, B. i9 S( E/ B! z% p
测试结果如下图:
7 P) V2 `# d5 s( m q
7 b2 J$ K6 w" p+ m" ?+ N5 v
& Y' o* }/ |% U/ d# Z+ x / q5 {: J5 {4 G5 w" l; j
9 X- r! u0 w3 t4 g! h
0 O h7 A- K' L9 l* v9 j B) k; K. V
) ]7 ]+ E! k& P N/ O) p; Q5 k5 H# _8 e% r) v: }
' K! B! }& V! N( k % ?: Y$ c' I! {4 J4 c% Y# G
' c* [$ t0 b0 c6 p/ z: j 哈哈嗅探到的东西少是因为这个域下才有几台机器 & O: I% y6 j/ y& w
, U1 g( H. a" c4 X x/ }+ v( M& p( R, [) l1 w/ T3 X
下面我们测试DNS欺骗,如图:
# U( j- z: C8 k7 `3 H/ n+ Y ! r8 M9 o3 R% c, h% f; P; s! |: _
f7 x# {, M& R0 X$ I. a
% `1 ^3 W6 m! b6 u8 \7 b9 m
i2 i1 @. t% i3 S" E1 u0 s, a
, D# b: v5 u. o6 C- ?) k
! b0 M7 ~# X' W; e
$ y; g$ {. A. A . L" B$ }3 n7 d8 Y
9 J/ c, C+ s- }" [7 l
& E4 }2 d# n. F; V5 D' N 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: h3 g! ^. N" [
# M! w# _+ r$ T. U( u5 l8 c. l
1 ^7 j, b' G9 Q5 J
6 l. F' E( G7 O+ i3 k- {. S% N 5 b( W' i9 O# ], @
8 g8 u6 h: Z' s+ b0 _0 p& x
; a! d4 \& j* y. D1 _. L0 y, N/ y+ A5 U" Y! E4 L
0 U& z( X) h5 b: J. U 5 p& N* B* O" T
E1 M. _- u+ A' S (注:欺骗这个过程由于我之前录制了教程,截图教程了) 4 i& r; f3 k' B( i7 f
3 [. U$ T9 Q, i
. V3 Q8 D* X4 P$ [+ h& |, H/ _2 t 6 、成功入侵交换机 1 Z. D# C2 S" a% F2 ?- ]# g9 K
8 q b5 F( d8 h3 T6 l
3 y% j2 H6 g* P
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' D/ w6 U8 h% p0 o% G
2 q7 K! b& Y6 h' g6 H
$ @* G+ a! e3 Q
我们进服务器看看,插有福吧看着面熟吧
1 t& O2 \! v | ) K5 o% j, ]) q, L# B: Q0 t
) S% j+ G( L) ~) N( g2 B( H1 B/ s0 c+ S , r% o. @8 [. D0 x
- m2 @0 H7 b$ n' ? ! Y2 v# a3 X& @1 Z
# ]/ Z5 b2 w# ]) ]" ?9 Q
9 _- S9 @4 n! U, z, J 8 _/ M f' q! _) Q3 _, S4 {
0 k& f! ]* j. d* b9 L: m" h5 t
2 h6 T J& T7 u$ w 装了思科交换机管理系统,我们继续看,有两个 管理员 0 ?8 }& u) w: ]: o* I6 q- Q0 T
0 d5 M- J& Y7 u7 t! ~3 B
2 F. ]$ {# _0 H4 o% H
* v# Z8 a e/ ]4 a7 Q
; U6 ~% m: T [/ [ D; B0 y
2 O: H% j2 p5 M) r; o) } 6 R" C+ [* f& r1 ]& N
* _0 Y5 L3 ~' s" k b
" R6 Z) M3 ~. Y) | - k8 _& V- y- v7 z6 Y; d
6 Z0 B1 ]* V A 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ) R v9 {$ D/ A* {+ @
: t1 \( S1 ^1 }3 p8 a
) | w2 w/ _: U( g, V5 B( X9 h
" k7 K1 j# l) k4 _$ F
6 K* e; c0 }+ W. F" t3 b! ^ / p7 X# w, }; h' v! k5 e% |" W
8 @. B0 m) y$ @! ?* b- @
0 }9 f% i3 r: e$ |2 [: C: C
/ `% u2 S7 Z, M& E
) [5 r3 o6 ]/ \& X6 M0 C
9 d: [9 t7 j) U 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 1 D6 R: G! |6 i4 Z" x
$ M; h1 b% O v; i; @+ F
+ ~- x) ^+ s8 F
2 k" K: S6 \0 e3 D 9 f& |. H2 g7 c* @) X
' P; O5 k6 K8 T( x+ {$ B% ]
( b' Z5 W% a1 [0 B
; u( v' z$ _ ]/ ^
5 ]$ f' r! P, P ) \$ ?% Z1 C" X! u
/ S) B ]2 k5 [
点config ,必须写好对应的communuity string 值,如图: 5 N0 p+ O: M' w- }9 p
! E' }* @0 g# S. N
, W/ T% m( { t) S; A
1 ^7 d- W) }, M- M' g# c . B, S$ A ?4 s% a
& O7 W' I. V1 c) }% V
; L* M/ K+ L2 c8 K+ }
' c$ _# q0 i Z9 t; V+ H 6 X' q' A" c- Z( Q; b# k
& x7 L( ~- q, U: p( D8 x7 N- d, q" ?+ @: x$ J; C! V
远程登录看看,如图: 9 E( U0 ]" f, z) h+ W
# f+ w1 |) ]$ q( L& A6 p
$ }# u# p) \9 E) Z8 E% h
. e4 L( s: Y7 I% \6 `" n( U. ~ 8 m8 K( g7 T6 R0 l+ g u. ~- ~5 H
6 Z4 P8 n7 w' v
V, _, y0 e0 |0 T; |0 W7 P( G2 D% h. \) f7 d
2 S1 }7 U# U/ U6 r" U
4 ^3 n- H# F6 T9 H H" ~9 X. \
& r# f: c8 B0 c, u
直接进入特权模式,以此类推搞了将近70 台交换机如图:
" o- k) _+ y$ ]& u
) T2 h& Q U: L. s( ]* u, _9 y# t8 Q# r4 u/ @+ E5 [; ~
' s2 B7 Z8 x- n0 s+ X( B6 f( Y
% U' x9 I# K. ]. I, n3 c
) W0 i" M1 d$ x" q 5 |7 K1 g! b; \8 A, s
0 @9 G, q/ X+ J' i9 q @( B
* v! j& w% ]8 Z2 [: j8 x+ I
+ T5 w; S4 q/ N: N0 J( x- n
1 u7 j* E9 X' ~" ^9 A ) u9 _# j, o3 u N& |
0 u' y& s) m0 {: P3 U; p$ {$ K# _
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
! W e- U8 ]' K# ^! a0 q8 l( [) C % B/ ~8 Z7 d( c! Q* M) O
$ h; C/ a) l6 X7 s: A; A6 G $ A; M1 Q Q5 T+ ]9 _: [8 K
0 h( A6 [; t$ ~$ c3 e8 ^
1 T6 s j$ E3 L9 b( G. D$ w9 O
& k( O# U- h+ g9 |0 A b
. O3 Q7 ^# i/ a' ^
( u5 a- z1 k; [( |6 W( K/ h ! y$ }8 t: I* R- d; N
* o& C2 O. J5 Z+ _ 确实可以读取配置文件的。
6 T6 s5 d& k! L! a2 P, j
' b( y* v" s+ ^6 o& Y4 ^# m5 M8 e8 O
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
4 L1 ?' J0 [8 x0 E3 ?& K
2 G/ u9 a6 A3 o3 v
& y$ L- ?+ u; L% { " J2 I2 S& i1 ]9 n$ |" f
; k& D: y% X3 ?% y) K) H8 V( U 1 m9 Q% r5 F6 e- {/ }* ?' {
9 w: J. ~7 Q6 {5 h, V/ b3 x. A% |
/ s; D! ]4 J8 F! @3 v
/ e9 ~( Y' q, }8 G
2 r; c/ }) x7 T. n9 A5 s1 z . t7 {, N9 f9 c3 w1 c! [
% h. z- L$ u7 U- P, ^2 m5 Q. N
- b+ m/ H2 U; w, z+ u 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
5 X! s1 K Z% K! v' U+ T' j4 k ; K8 s8 E8 h7 x8 [
5 W \$ J3 M4 l9 ^8 t0 P & X+ J* u6 u. R$ J* |1 H
7 _/ h4 a7 ?$ D8 N+ X4 c8 F5 _
5 a$ a$ f5 z/ S" f: ~7 N ( B, g' b W0 t% M3 L
! ?' B, X. n8 u9 }
3 @8 Q" C- [* Z: \3 S6 ~
8 { E0 R3 h1 y. C# y1 v7 n1 S* U6 i. F* ]2 k4 t
上图千兆交换机管理系统。
: ] x! r- A/ z G2 Q
2 s" T+ t2 s) E& a% ]7 R
1 m' c6 N$ y) U9 f6 e1 J 7 、入侵山石网关防火墙
# Y! }3 u W s4 @& R Y- i% S- w
& `2 `: i$ x% H8 _ n9 p5 b! N' n6 u ~+ o
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ( v. |9 W& h/ e7 z: ]3 `7 P8 k `
& X0 x8 h" M! r+ ~! I
, _# }1 K# S8 [- q
2 [9 P% i3 t, v( a% c* y3 n+ y8 I & e. X: U5 ^4 Z+ j: Z1 j \9 J0 @
) W' U% x- y, K5 z2 }. u: j
# p' _: N+ r- C5 b2 L9 P
6 a" e" g9 W1 z& P; w% H+ m ) e, K: f5 N) {4 r# U
; q3 L' m. A6 ^' W) k" N! P
: \1 B! S/ K; k5 B
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
# Q1 v @+ O: e6 d - c+ F9 J; ~! U0 |9 V6 o
( e+ s* }+ _4 @- f0 c/ x m5 W( r* `# ~* J5 e
2 t, V, e, d" p9 I
* n6 z: R4 d+ W' h' U8 P
6 h/ b7 y# G7 q' c# ]
: q8 {# O% M$ X6 g + p! ?% b' g+ @: `. A+ ]
* u V2 `5 M3 _" |. m3 E9 A
5 N8 P# U% Z8 {- u 然后登陆网关如图:**
5 n1 I$ \3 s& q8 L. }
0 E, V$ q9 e9 n# L; k. h# a
g& O Q) J( i8 w" x' c
' u) y; p% Y% W4 V! u 4 Z# B; ?3 @ {
- R3 N, g7 O$ d8 J$ H+ B. I3 w; G) u
! [! S, l; ]9 \& s; u8 V: p- K; R7 K& j1 W7 }& n+ R" E
$ A; v$ T# V* x# X
/ q X. v* \6 z, k q, }
% ]/ [) U# W& m8 { * r, z3 T" r O2 b! q I( t
1 h3 ^+ ?, q3 p* \+ z$ L$ \ , `' u% _9 D e! x
. R. r) _' [. h }6 `' _/ l, T
$ `% \" {" C+ I4 y 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
$ u. S$ i& l1 p / W% i% t! Z h- z* d+ r0 g" f
; O7 p# S7 K9 x2 W2 G$ P% D( f
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ; B4 |# O! F& D+ C2 o
8 B% X( |7 b7 C. x, e' `. h4 }8 M5 d: s9 z# P5 R* _
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 7 G. y$ g/ D3 |7 w4 G( `" U
# a" a5 m) @8 v( O) ^: S, j) J! @
. A+ }: m3 Z/ Q
! I9 `' M# ~; C % y+ C$ m# u7 j4 |
# o. Q/ G6 f, z* o
- I# r) s7 e$ U9 {# d+ Z# c# s& }" Q% m! N& \+ D5 `
& _& z& ], ^3 B: p: N; C- k, `
! F5 h+ @. I. V, T8 {
5 g) p( G. o% s6 k. [, j5 k1 t3 w 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ; E* J5 n6 k, k3 S1 E$ u( n* U
1 r f5 } Z7 g( B3 {2 Z6 H. O% Y' T* b# O" S2 ^& Y
* x- h: @7 [' E7 P' l ' J( f7 j' R9 E, u
% j7 |7 E& J) H9 Z* Z
* P( f2 f, X, L& g
1 w8 l: ^- x: u7 n5 e/ b% [$ J9 Q3 P; @- H7 N+ [
|