- A6 q! @/ U8 |8 r# E4 X" ]
3 L4 ~" v6 l# w. Z) G
: R! R4 a+ p6 n6 ~ # S- a) d6 T1 @5 R/ K; Y( L
1 、弱口令扫描提权进服务器 % E; f& s1 v' R- ~( N* j# j. X
4 ?" O" @- V( A+ \% J* H
! T/ [7 R, T( x8 X- V 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
9 r6 Q2 V6 H* U. z! }7 g8 g% |: E
( e. _; [9 a- k! T6 V
7 w) v5 C' |1 g7 r! |8 Q) H
% J) ] V C/ P/ J3 W
; p3 C$ r5 r* V: j& m
5 A; r) `( V; j5 s# m+ i% Q' V
+ I+ {# F) O" x) b' u% |' v
' ~3 {0 |, I! T+ ]3 v& ? 9 o, `1 u! G8 f3 [& ?
" v9 S# S' s, V/ |: m c
: }% I" N1 q* Y8 O
9 ?, X1 Z( p/ t$ ]
2 h. o1 o0 ]! m 3 _' r; w0 N: s4 ~8 p
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 # c" W f0 S* M' j$ a. }; c4 n" T
( w" u1 ]! L7 @4 { ~8 l
+ j1 U3 E& i8 |! z7 v* F7 E 执行一下命令看看 & j* ]- n) D1 }( t7 z
% u2 D0 p7 r% S/ A) e6 `" {
1 D' P4 r: _" Q' L4 w2 f , r% I) p: F, r. C- e1 M
- C% ]* B3 ^: o9 j( E
+ R4 }+ [ _* W/ S& \1 ^
# v: o3 n! ~& j5 k7 F6 M% ^- S . W1 m6 D; d5 C; v8 S 2 g) k/ e2 q7 i! R1 c4 T
, z( Q$ [+ S( ~3 c5 `$ F, b
5 _ W; }6 i7 A/ v
开了 3389 ,直接加账号进去 " a/ ^: W; k( C2 ~: O
9 \& Q4 A' _9 ]& z
8 x% {9 `8 H x( d: i$ I7 C2 h
/ K5 m: M9 `: J4 |- J , k0 c1 ?4 ~- r$ }3 I5 ` ) O0 O0 U9 l# M5 K
! a; D) y9 W9 m/ K. I' `' ?) x
: w* K4 O) l' k; R6 H# { & f2 T( C8 ~! Q* v( K E% u1 z
: S0 w% u; d* b9 s8 R
# l V5 N' `6 A3 D
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ! J' y. L: D* Q4 m9 b C& B% i
0 d- p! X( C6 q6 _
! T6 E: s. g% U. O; b 7 g, R) @$ |6 }+ _) r
$ C u+ R! T( ~5 @ u
2 l& \+ c' t. n5 e. w$ s, }
) F, l. h6 m5 V* V( H- l " X8 j( v5 A+ K% l* P/ [
4 C2 G, Z* m7 x# B
4 K+ F" Y% b @
) M1 M% A! x' j! q
直接加个后门, $ q6 K. ~; d/ t1 U
& L" d2 A! R) M7 m
& p) y2 D- E$ z, f0 U! n' ?+ E : V. B$ c. |$ X& B
d! M0 [5 L1 q% S" a* `
0 ~0 v( a" ~: X; \! |5 |8 V / Q3 s! C. w: I& U6 K
& C8 t5 O$ J- ^7 ~. B
5 M9 M7 m6 q" J" h+ z
( P/ n; y& [# V! F- z- f# ]
: ?8 _( I- i# l* U% z) p& h" `. C 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ' l: S: m1 z; e7 B) ~: N; y4 c
X& h1 Z% i& j9 n, Z2 R, u& B 9 K" Q- D0 G: d/ p9 n6 o
2 、域环境下渗透 搞定域内全部机器 + v4 Z% ~0 ^/ o1 v# _$ B
/ Y- C8 _4 H, S( l; B1 @$ J0 C$ R( \
( X0 B# N( g) `+ J6 T 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 0 j( t; d/ V. N G8 y4 ]
( H" V. r- Y! ?. C8 t! ]
. u4 @5 M, u3 H( H: s7 [
9 k6 a1 U0 Y# I% P/ v * B5 S% ]! Q. O
- P1 U, b5 M( d' k: d: A2 m/ `
6 g/ i& P& ?1 C1 d # Z) T/ {8 g* J, ]9 h! V
( z! V- u3 X4 q( K- k( ?9 Z# H
" q8 ~7 B E2 H
P) X- y- R7 s, {1 p6 O
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 6 ]+ B1 m7 l2 O- u- N/ b# m+ w
5 f3 Z+ _& Y N; D: u4 b, a D2 F 2 D: V3 { s# C* h" B
' h1 s9 b! M% e* k. x $ z% n! Y9 _+ p7 g) M6 s; C+ F7 Y8 ~7 N
* X" b5 U B# R. {$ v
6 {- Z$ d b/ n" B4 g ; _2 m) Z: t8 y) \$ Q5 f
5 H4 }7 @% m3 X. H/ w) q: x0 q: R
' g6 P( m# r- |& X/ r ; H4 u# Q$ X2 D
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: # A H4 ~0 y) y: Z4 C8 E8 _- v
X# y% G9 e; T/ Y, Z @5 h: M
% V# j+ ?- C' G1 Q, r
0 `9 ?' \1 y% `; R' k5 x . C9 F V* b9 F' i) w/ c+ q0 B* Q ( f' `9 P8 k% n5 z, n- W
! z: b' ~0 Y6 I: ^7 _8 W + w& D1 v$ z+ d! N3 W$ @* H) F
* p- r$ W( L0 y
# f9 H6 C. v) H* D9 [! Y% @2 z& E % y* }' V- o8 R/ t
利用 cluster 这个用户我们远程登录一下域服务器如图: 6 `9 a0 p3 X/ S. M
3 k& F y. W; Z! V* b$ W/ r. G3 ~
' ^! o( D/ Q, n( Y. F# L/ ` 4 j1 T8 ]) V- [8 l" i
5 M% K i: O1 Q6 W 0 V, H6 ]) E' {; x* C: W( M# n ^
" Y1 M( `/ P N9 N & C0 q0 I+ r2 B4 ]1 V6 O
1 ~, k8 M& v7 N4 k' ?
9 W6 I$ M$ W$ R) c1 ]& ]; f7 [
5 n( p6 X2 |- x$ p
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: + J" {8 b4 U$ U' w6 O
% D6 V; S/ m. k2 U3 ]! I7 z
$ |$ t7 ?8 P8 T2 }1 W4 e3 W . S. @& T* X3 Z+ b
( T5 o+ Q; `$ l" S ) J- Z8 Y/ m, J# _/ a
6 E; Y- Q( Z2 w0 J$ |% Q6 }% ^ + ^/ t7 U- ]3 C3 V: q: l
; ~, B8 \* c, a
3 b/ p/ F2 f5 c) M9 f5 s
4 ?7 Q7 }% v# l( p+ P$ j% ? 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 [ t$ m! E. r# n2 G( v4 ^( y8 D
$ n: \% {! y8 d5 i8 y% U 1 S8 t, O- N1 F6 x
/ N, e) @+ W' M+ {2 ~1 v- l& R
. W7 D& X. t/ f. [' @8 {0 |
. n/ u$ u0 }$ R1 c 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 6 l$ ~9 R- N6 S; V
: s- A# `+ w2 }7 A- `
3 y6 l- S2 d" P) W4 U) N6 c blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: : n3 c" p7 t. N
, U6 Q7 J+ @; c- R& F3 e' A
( g7 E, F& I! G" q. y# N5 P
' A3 q8 M/ |; [ , {. h4 r7 ]8 G# [
) V% h. j, Y R4 M0 T( g7 Y2 {" f6 i
% p6 S x9 ` z' q* @" S & P* e+ ]. W$ k m Y2 V" R; P
0 ?' S2 ?" ^& A7 V( Q- T
8 Q/ W6 w3 f) j7 v
+ _. i6 [& J* `" n% m& G 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 7 _; t3 e2 N4 F4 l3 F$ X; C
3 u1 `+ W7 i* t* c; [
, H( r6 E$ `1 L, z1 X # b, Y9 k: _' X, Z) H# O
1 h0 U, }8 f9 O, I6 H6 o) u4 H
! s: ?" ]7 L4 y4 m- G
7 w3 d7 E) R, n; G" f
/ {1 [6 m6 @& _8 p' A1 b $ J- [: E) H! d# h* j" |8 \
( d/ X) x, u0 h. C. T- C$ N 2 J( ?. P3 @7 a, @! ~9 E
利用 ms08067 成功溢出服务器,成功登录服务器 & S/ r; q: b- T; g, p' z
4 [; W) ?5 l; G/ s
3 }: F" l" B3 T1 l 1 U3 ~9 Y0 q/ H( g0 `
$ |; O. K9 R4 n3 h) ]
3 |' a- u Z1 _
# s6 \, R C) |1 U+ y- | & q9 a; e& W! [# `4 u; @
" a) U8 F; ]& @. h" x, `& M+ n
& Q( `" C6 I" h' J5 @
8 m7 M$ D i' e8 B. s1 u 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 9 O9 \. q6 w$ K4 w/ r) Y" C
- e5 l+ y( E z) q+ p9 H . t/ Y; }; U$ S4 i) M3 b6 t
这样两个域我们就全部拿下了。 * g0 Y6 J* G& r2 s7 z# _3 m
_: P* _ Q# u Y; v% n3 X# C! B5 p
; O5 W. O6 |! i! ~ 3 、通过 oa 系统入侵 进服务器 5 M, D# G m" V* \5 a `6 I' c
6 r2 g/ b& s: k. w3 o) T! f
, m8 p; y) y. C* s& I) U! _ Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 1 C8 j W* V' Z! W7 X/ N! L' [
2 W& ]0 Y% {( |! i" h
: w$ M& ]: q& U
( a7 s) t# \+ \, s/ i 8 R- y2 c$ z3 ] ( r* F6 D$ M' T V7 j2 q
2 c* T- R" z7 y9 l% W0 Y) X9 U. o' {
* W1 j! |& `4 Q# r 3 k& `9 G1 d; w
( B, B/ r/ t" {% h
+ o$ }. d$ T g( o/ M4 }" }6 E. \' y 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 " l- R) [6 s- b: R$ R
0 o4 L+ k) z5 z+ U; e
4 j( U8 w1 Z4 b/ n/ h2 C$ M' I
( J9 x5 C$ M$ \" b: M8 v * i- J4 U. E& m# L
7 n6 v& n# K% V" ^+ w
0 V' t/ H% D! ~' H
' y' t4 X) |/ d t! J2 J$ l( r0 n
, N/ T* K2 g1 q- a
7 R; O( L# O4 w! {. V' Q
8 \$ `2 C) A2 Q- m- `$ y+ k; T% Z 填写错误标记开扫结果如下 * M# z0 U7 B9 P' e
0 r' y9 `1 _+ b. Y* F, a
0 M1 d4 \+ _3 M' C7 c0 h/ ~$ S ' o C0 `+ U# L0 M5 a* d
$ e* h+ Q* e2 z ) D8 g5 M: d7 k6 Q* h! i9 A
# {& o# P7 o5 t9 M1 z7 h# S9 e
! e# u1 C! V% Q2 q6 L' H4 f) O3 p F! V( x5 ?3 `4 L0 P) u
* a1 I. h+ w% I3 M( r* R+ |
* c0 m* n C- I/ U+ ^ 下面我们进 OA / W+ V I L+ o- q; K# t% X
2 \0 Y4 m' W8 g4 ~) H f + a1 X& c4 S2 c) t5 \" S) U
% H# K6 H+ j! q3 T$ C: U
% g$ l$ T* z/ I5 B' K2 N! i2 ]/ \
, o; t" N3 [$ @. N" S4 a8 |5 j. m
) v, o& r& w% T' K
7 l, j# i% J( y( K. f4 e2 d! i
- N6 x7 Q9 J3 \4 B) P7 y) ]
9 j, I* ^* v8 z- x
" K7 z$ m; t8 I# j; X; [; b1 k0 B 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 2 Q5 x$ _) s3 q- q
2 |0 L% X. p5 i m' L : y$ G* d, R& H. ~/ ^3 G' _2 l
2 ]2 H6 R( { ~1 m- X! O
9 @3 U/ F0 k' A0 U; ^
. R( Y; x K/ L! n5 k
& e$ Y% F& F' z) r7 O
# W* o$ u+ j) b' f5 W+ v; z4 \6 J
D3 u9 g$ G, j9 D* v
6 x. z, e" d' m4 P
4 k/ v% O( i$ Y! |+ K- j; [ & {% i( e3 o2 S* ^5 q
- R" ?( X/ ~- G& j p
7 f/ Z; a4 U# r+ h' |- k
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 & C# o7 F1 S3 U0 X& y9 o5 I8 s6 ^
) ?. `, p1 e8 t6 d1 m7 ^8 ~" p
1 |' Q2 J+ C. S3 a( z7 ~2 I 4 、利用 tomcat 提权进服务器 + ^3 {# D6 T, M1 U/ X9 b5 Q' Q
: N5 l2 j8 [. y1 t2 v! O1 a
# D) H) h* n8 D1 u/ A) Q* _6 |4 V; |" N 用 nessus 扫描目标 ip 发现如图 - Z }3 q# y3 O! Q' ]! i; _2 N3 {8 g
3 z- s$ ?1 G4 `. ] ) n. B' g7 M9 R4 _+ M, |; |
& M0 i, C; s- P: P8 N8 H
/ I6 F9 H8 M0 y
) P- v7 H, S* R5 N/ a% [
) F3 E N a5 x # s' T- a9 e" ^# g0 y8 h5 g; C1 ~
6 |: e' c0 _! R/ Z4 ] D4 T: x2 b
5 y5 b/ t: Y+ N+ S5 F
, ?+ E0 @* v7 l4 ]% m% z
登录如图: 4 `' ?9 }( Y! R( o+ q
8 A3 a$ ]5 w+ V
% E" \' D* R$ E6 @% v1 x
) C0 V2 A, o. { ) L4 j7 U7 q: S
2 e3 v+ m b- b& z7 _: m; y& |# [
2 r" B: O" c8 c: N6 X; N
; m7 g9 l/ }, k8 ^: G6 c
- C* X* N) I3 M' E2 S! ~# Z9 i
3 A7 |/ N$ S, ?) X1 x0 A2 n
4 r( a1 L3 K/ ~ G6 l. l# f# ? 找个上传的地方上传如图: ' `8 R7 b2 k6 w7 W% S+ |8 v& r
, v# A' b% W- j' s5 ^* H" Z1 P " W$ a7 N5 v) T! r- |2 |1 O
* d* l S' F! V) y; m1 C
3 S7 j J5 A$ E2 c5 E- j7 e
, ^% \" j7 R/ M! x$ g, `1 ^
: S+ S7 m( I' {( g4 j" T# ]4 `
3 O. N$ f; P, O% \+ h
! i/ O/ e; u' c. n1 ~. b b7 f9 C" q; f
/ _4 @, r3 i8 f6 I! ~+ {* y
6 {+ R' R( m3 H& o- y9 `! n1 k
然后就是同样执行命令提权,过程不在写了 * @2 M8 V. N2 w$ {2 e1 z
( S& t. [1 ]9 x) Z. b/ M
9 Y6 a/ Q) |+ G; k
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 + ~. b8 [3 Z" {. R: B; |
& `. Q( ^7 N+ Y9 q6 K $ E( O p7 ^( A4 l: W
首先测试 ARP 嗅探如图 8 T! ?' w' @6 |) y
. O5 Y. b- A- ^8 ^( \
+ [- Z' c3 N# Z U
: Q! ^( V9 o, E# @ * ?# S3 a9 n+ U6 s; T; X9 K$ O
3 R6 ?& Z7 U% i$ K
+ e m+ x+ b ]: y% M8 J* A
3 q- a$ w! C5 L9 H
8 N* s4 |7 S( l0 Z6 v4 r
' v# F' @# G4 n" @: @4 ^7 ^2 t8 n' l
# U# q0 T- X1 X% k8 j4 t8 g! T 测试结果如下图: 6 W9 g5 d0 S' D* t4 I' S7 K( I: W
) K: {8 u# r1 j8 o) |9 x
1 y) {3 L7 e! N& _/ h3 Z 5 l. a) o" E4 E: l
( l( ^6 m: C# H$ ]. L, g+ W
" D. E/ N! S3 p/ ?; S) |0 E
! X3 Q9 P) X" v/ O' e) k, `
0 d N( g- ]; L* o 3 p/ r4 h& r& ]
8 D! \. B3 L* D4 |# |+ Y$ F * ?5 a. ^: E9 e' D; C6 ]: i
哈哈嗅探到的东西少是因为这个域下才有几台机器 2 V% f" ~- C5 m; c, t W
4 H; o4 f( N j* M, s
& e; l6 |4 g* H$ @7 ^ 下面我们测试 DNS 欺骗,如图: / H A9 U5 _* _4 m0 m
1 u& B( v2 t7 {+ s' t5 N
) X" K2 B* \$ x6 U7 B+ o+ p7 i9 [) D
) v& | k9 T# _( m : P" t8 Y5 _" k) a9 w# A( _$ v; C
5 l; r& b" U9 t) ^
( |- v; N) X% S' ]' K
; `7 @3 c- `8 r/ }) @
: ]0 P# h/ e* t" O
! V2 [- }# m/ Y: T ( ~: F8 S0 m. y- ^0 L( N
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 2 i; W/ t9 s8 H' a, R
; |; O$ S3 @5 C 8 C! B* F( ], ~4 q. Q( m( H8 E
* H z t1 w9 l5 ~5 X; b, m
0 B' f% G. u: r
0 {! M5 a& \! Q1 f8 G, V
* w/ H7 g; b* I
& G# f4 L2 c/ j" w; Y6 F: [ . L- S# Z) o) Q; M w" s# L
, @# W! |$ V) Q" ~# k
- q" E: R* B. D5 e# k" v (注:欺骗这个过程由于我之前录制了教程,截图教程了) - l( E: N' k0 x3 m1 X9 \ m0 v
7 A; V/ H1 I4 @1 K* f }
- b: a( a( p2 [9 R& h' T- P 6 、成功入侵交换机 ! \3 s8 k# _" f
/ d0 _: C) k" }- Z# X& \
5 U! _: p; G( G% y. Q 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' B% ~$ J/ @/ ?' U5 I, n
) m: h3 F1 m, j4 H7 q- @
7 q$ Z/ {: C5 B" j: M: j% E6 N 我们进服务器看看,插有福吧看着面熟吧 # y. l% z; m* h! R
$ b0 y6 k/ R+ @/ M
+ P% {1 N: T6 `
1 s. A7 ^: l( q' H; O, ^ 9 ], F1 w V! `) F" e6 ? y% \
) Q0 l6 j. z4 Y
3 [( K* w7 N4 x, O$ U" K7 K6 ?/ T' P2 w
# O5 Z% a$ H e9 i 6 c7 L( p7 o- a- C2 U
Y5 L# `6 e( ]
: K! i' G) v7 f3 R( g 装了思科交换机管理系统,我们继续看,有两个 管理员 6 D8 t! {7 a, t
8 s+ f7 o. v1 a: u: z : q. y# }5 k! P/ \7 r
: B1 ?- o1 b+ \9 @. }' N' o, C
" x* \5 Y- m4 v/ r. F: Z0 s
2 t/ [5 ]& p4 a1 x+ ^* ^
5 f& _# V9 E$ u# o2 G, A/ z% ^2 w8 h
, H- E# }$ a7 c, E 3 L& J9 J2 h* V' U% x# ?
d0 _& T$ w' Q' Z . g1 b: w, k, e% t
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 5 ]4 q1 M: K* Y* |
* e$ P9 k5 ?. T
0 U4 p8 i6 D" D _# b; i" P
' s8 e% e6 K9 |* \& I+ H( F0 V1 N , c; V6 |- n1 _ 8 R c: [. ~. Z
& |* j1 X) @% |0 ^8 a2 Y
4 R% a3 p2 K$ ~+ I# n
/ t0 F1 S2 O* K
. m6 K9 {) b1 M: K- q; C% \2 b3 E- Y
& e( ^( D9 h- A 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: ; {- n6 D' ^+ J9 g$ g4 ~' t
3 p& C3 B" h& {! `
+ k) s1 ] E- o8 e9 y
- Z Q }9 Z$ p( |4 T1 @! t ! Q2 x) U1 y, z) r
4 `' t. A, o; _3 t# T3 Q
; }/ Z4 E& O0 P4 n# D: s
, a* k0 F( _% F) @! B6 d , S' n: U' {0 i. F& w8 q
7 P: [$ Z' q5 ~0 @ ( m _ x6 i1 d
点 config ,必须写好对应的 communuity string 值,如图: % Q2 ?+ z+ Y5 L/ ^5 L
3 V* B# |; ]. \% n; g% I& T' |/ t; A
- G2 c" |( O; `# n1 j$ i
& k2 @/ C7 `; e2 k 0 t. M8 U( F9 z5 w( I! v
3 E! c; c& O7 [6 O' T
$ H; t& \4 C7 ` i6 Y& }% z6 U
6 k" s4 D! r B5 q. X V$ f7 `' ?; J) O
& M" x4 d$ a+ a I0 b. W 0 k* \. b' K* L H' |0 Q
远程登录看看,如图: # t! |) g" G! {# O3 J W
- N S# }& J3 ?* h& k8 e
( @. g, y: Y, V ?/ K
j4 `6 J! x5 {0 a1 _6 K + ^4 v5 h. A5 [1 M
8 m" a+ V* c9 a
6 J9 Z9 z, t( h5 C# _
6 m* B3 b, x: h 3 `1 [0 G* H/ O& k$ d
8 |7 A6 H7 p4 K/ ?+ F2 Q
6 ^2 ]% s; n/ Z: I9 d2 @
直接进入特权模式,以此类推搞了将近 70 台交换机如图: % d+ w' t5 ?3 U4 F4 ^- F6 F/ ?
/ {3 x8 Y' X6 M7 a1 |+ z @
9 w* W; {$ x. q; o
6 s$ P& \ A2 w a . n/ F0 p l$ n9 m9 X* `4 v
& x9 E1 t( S6 g, ^) _9 q; n) a7 R
6 h/ c# W( U; i1 ^2 M; K8 k * Z1 ^! R; ?3 }) `0 f+ r Z
! D; _( ~$ ^1 O
) y! c3 B$ r1 v8 f/ H
; [5 v0 s+ @. [: U1 V5 j
i# M: E2 j+ o9 Z0 d5 z8 L
: p4 m7 P3 ~+ r
5 S) g1 q* L/ ]
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** 3 s& `& p- `9 w2 F$ ^, R# i9 b
% P: S0 g) n$ M& m
E0 T9 Y4 q2 K J2 G
X1 l& s+ }; z- O * S7 K( Y5 K8 w/ I; a9 z
/ ~3 ^0 V8 Z8 r, n- g
5 D( `" H7 j) }# P$ F4 B % S* E0 W3 h; a: G$ n+ K
9 L4 I* k+ ?7 u& Z; d$ b7 r5 l
( E& G: Z/ R+ [! z5 N- N z
4 R' T1 V# }; Y* [. U 确实可以读取配置文件的。 5 F8 E; v$ r4 g% t' _& B+ t2 A
+ k" O! Z0 _& t. P9 H8 r 2 N& X( g* M2 i( t: T( `
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 : y) i* ?5 [9 o8 S+ O, w
. ~4 ] E7 u( N1 q % B2 V1 ]0 M" L; g+ E
( A4 i5 p. y, z' {6 o) k7 `3 S& x' w 2 ~& H. C4 k5 D" P4 f, z 1 J! ]% D/ M: A4 e1 R4 O1 s
! B2 \6 i* P( n
" S$ p- h4 M: P6 Z
, `$ b8 J* v! f% J
f- w0 h6 [$ j: h
7 ^& t5 Q3 m6 M" Z% I: T3 d6 h6 T
4 g3 Q( Y' a7 [; d6 Z
) p$ Y# [" s" y$ c, I
+ ^2 u4 @. Q* ] L# K# D 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 : P% d& M9 u* T( S, ^4 z. y
8 Z# Z$ J! y, {! w$ n3 V
6 \1 O" |- K/ ?! o
" ~5 C7 K K+ t# } 0 s* a+ f0 |% R* H6 F/ j: s3 c6 h
! ]7 B; T! j5 M7 n& u
: [/ z8 E* d, t3 N3 _. T/ X
: P% K6 N& |9 S
& o; b# k1 ]* a, I, x5 [6 p% [
; q$ O% w3 ]" o: V) \( \0 F ( L/ S3 F4 {4 H, [2 J
上图千兆交换机管理系统。 ( a/ \% |( }2 w5 J) B' D# T4 Z( K7 H
/ M! _. L" N) [) t% E6 z; z1 G
) h- X' u3 C8 R9 { H 7 、入侵山石网关防火墙 ' o' N! d) W9 X9 ?' v* H3 ?" d. @
6 B/ k9 ~$ L( v0 ~+ M- _
5 p5 @5 B5 H9 d# A* {6 \1 ^0 e 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: + v0 c3 F* {$ J2 a
$ ^! V4 B9 p1 T% I( `; i, h
; G6 r. Z/ p: A- Y/ I$ y
8 ?1 e6 k4 T/ k, k $ e( X* K& |5 t' F2 @
+ {* w5 f( K h5 q1 z" |
$ Z2 J# F. `! ` g' I3 x , L" n4 ~0 z8 O2 {! ^
' U# y% L( ~7 O% [
3 `, A6 P' M7 |6 O 1 v- M, e5 A% A# ~
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 S5 j- p# \- q5 y4 m9 W
0 m: R4 \3 l" F& Q
y6 r8 y8 o9 z8 p- k7 v8 P) a: b
9 r z+ a& m# n5 A
3 B& Q, p$ ~* D" [2 X: M, H
" |9 d4 e+ X5 h: c5 i% R5 e
8 c/ h5 d9 h/ F! B8 V+ b
$ @( |, O/ z9 Y0 M' y7 u ( t# `$ s2 E7 L6 v2 E6 S
% m6 D' r. c1 ` N8 j
+ Z% H+ _( F0 p2 a0 X# Z 然后登陆网关如图: ** " v# v7 W( c; d Q2 ~, E- v$ A, {6 m
" B7 z G H+ {- u c+ X, f
) I* [- E& h/ ~6 A' @4 S0 z* [
9 _9 r0 ~8 T' O* D/ R, W% i ! b- K: Q9 F5 |" R; J7 Q
0 {4 `) }5 s! N( ?! Z
* Z1 p8 o8 R- D* ^ z: z; J
1 s3 M' K# O; m1 L4 w 0 P4 M0 w5 b1 c% ^* _; c& S* _4 d# `
) e0 A+ V7 |0 |% k/ X' w" O8 s
% e4 ~8 e1 S- ]. s" Q7 P6 x ; X; W, ?8 H) s- J7 N% _
@5 l8 I0 F6 O8 l* y& |9 L
( x/ ]7 q" [2 Q6 i: D% z
- ?0 W; c) b+ d8 V7 B! V
" V- o* r o% y9 w8 i2 } 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 3 u2 H Z( i3 K
: N" _, d* P3 m) q
& t; D0 @. t H! H7 J 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 3 c* W( p/ T( J* U$ z( N' }5 D+ R
! J7 A; R- _3 Y) I N. ?7 q( ?$ h% z7 Q
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** - v: ~' C) f2 G [) _) k% L' y! {
9 E9 Z( c6 t0 l& }/ a 2 o0 B: t( d3 w5 M/ I- @+ k
& R. U4 q, W( ^0 [5 V
1 J: h6 f7 S/ T& | % @9 T8 R3 ? ?; N" C$ G$ O0 C6 S: O
5 F1 h( R5 D. e
9 S/ v8 w" U, o: B5 q+ x2 \7 C4 N- o
6 Q+ E3 t5 z+ N! ~9 }
8 _& |7 A0 |, g" C# d) W% T 3 z; k+ P/ Q- ?, R( s' }3 _
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 $ T; G' H* f. ^! M3 v
- W- E! Z0 c! T$ v x2 J
; r: G1 B0 T; S8 a7 o
( `' u% }0 U2 L! ]
5 r: t f4 e" Z7 }4 g1 p
2 v0 m! ?/ d K) [) ? , z* r0 H! Q. L- X# x" W
" o8 g& m. |: U
F! Q# k9 B. E# v, Z+ Z; K0 h6 E 
发表于 2018-10-20 20:19:10
收藏
支持
反对