8 r9 l1 @8 o7 W& X5 a) { ; |+ G' y' K( F. y, n
5 D, Z: Z* h1 @/ y5 S# ? ; ]5 B' j: P+ `# v
1 、弱口令扫描提权进服务器 ; S6 D9 ?( ^, C8 `; I6 D3 F6 ]5 \
. x5 d/ g+ o1 Y5 H
( k% [1 G9 u5 ]1 p- o
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
6 D+ b2 G' |3 C7 ?/ a
9 H, m/ r$ t3 p' R
+ a& G ^ j, F* N: Q. E) E& w+ G & Q1 j# J. O% U1 F& A2 y7 T
0 u0 p) P: r# p; B; R3 Y
5 y( S9 P" |- R3 Q" H
9 X0 s; p. m5 q* H& E$ Z3 a: t! X & G# G U9 a5 n+ F. m3 |) f1 Y
2 J& d) `& k( D
% a* f, v' m, P+ ^5 r- ?( G9 Y
/ X- Z- q3 p! k7 I( @ 0 t$ K6 h1 _& K
; `: Y% y6 K0 u
' d- P- I7 R8 L% @. M+ R
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 , N( ^% ~/ ?5 s/ Y7 g
/ l$ I) j9 R: U+ g" W) J
7 `6 m) \) Q2 ^3 E 执行一下命令看看 - d: N5 C5 Z5 [% O! i% K
; X- h2 _! d% z4 N" T
5 g# P1 S, m: b2 L- k : ]6 ^. P* }8 w8 m7 b
3 ~1 C/ L2 I+ d! L$ X! t
: u! L) |# f4 l# P7 ] k; v B2 Y
! s. n- S" f# b4 N8 _ * M0 H( r- H& W! @+ d/ D% d
7 ^) w& ?! C* T3 \+ K* j
& H r2 v# g/ C2 a; y
+ J' S! z% \/ @, g 开了 3389 ,直接加账号进去 5 r* M4 z4 s$ ~5 r
! [9 B% e! [3 W& t
4 Z) m* z* b- H, h6 R6 {
; V, I& d+ o( |4 y# P* `. M j : _& c0 P3 L X' \# L
h/ u7 E$ q" q4 f+ y/ o' y
0 J X$ T) T" n* u) i2 O8 A! ~* v
* t6 V; M- `1 x% Q! T' B/ w 4 o: v H6 n5 C1 g3 n0 h
j; G4 Y+ X0 B. H* M
, R8 [; R: C7 d# { ^
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 1 ^- ?" k1 ~4 T2 ^) o6 j
: K% w0 N' T+ o6 a
) b/ J: @) x6 o; @6 H/ X * S0 o& O5 t' F
4 n9 k0 E: n Z* P, [' Y $ p' ~- G8 Q3 g# t' k6 ?5 r
" x; Q9 ?: @1 B$ ]) C K 0 v- ]7 R4 }# @# ^5 p& J& N3 l) Q
# l7 L! A% P1 a
: j' v9 R8 q3 B! a5 {; C* N
0 U3 _9 A2 o7 @" m; K" A 直接加个后门, 4 B4 ^9 O$ s" r! R
$ s5 E8 i& s; J3 ^, e
* `7 k! p6 p( M4 q6 d! t! f
& M2 {# V! d9 i
- V/ n# i3 ?! Q! b- k, ?
- @4 o: j& G+ ?5 F
7 t7 i9 V r1 I1 o 2 s1 s& ^9 I- Y7 f; r6 L8 V# Q% K
8 x& s' u G; z5 D5 U/ g1 v1 {" t6 L
9 N* a5 L6 u" P5 X$ A
. u: W6 [, ?- M G6 N+ {) _5 T 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . Y: |9 U4 n9 w- @8 J) e5 O
# D. F, Y9 c8 X7 ~
" w8 q" {! c: _. j6 J1 S 2 、域环境下渗透 搞定域内全部机器 ; ?* q5 v( h& y {7 }& j
2 G3 J( k% c+ W4 X) x
2 a+ P% @! l2 g3 b 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 * u- D* D% B5 F* _" t
/ ]( L* j- Q2 U. s6 N% u2 Z + \" x( U- g' n9 `& U% {
) v' P( J8 ]; k
( U) L! z8 c0 P a
2 d5 X8 \& W0 u3 ~8 |7 H+ E
9 M, Y7 Z# ^8 v8 U" A
# q, }6 M. P7 w- M7 ?3 o7 M) k- f6 Y
; b0 W; p$ |+ C9 T% D
# l) {- F7 `: z: \ / k$ e& e- w6 v8 Y
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 E1 x% X! [& M
2 b T- O) h. Q" A: T; e 5 P u4 }" S5 P3 v* `
6 M1 k; `7 Z" X. ~; w4 E
. _- i, B+ d/ p1 o) Q4 ^
! r2 k& X$ X# J0 t
& a: I9 Y9 _, \8 q7 h3 H n9 T( ]
0 O n& x' E- k. J$ {! E 1 k, G; W. e) U2 }1 f9 d
$ }5 e$ B# X% E) D# t% _! v , Q, G' g6 Z8 e a
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: ! q4 H. Y- c; P& L% r
1 O& U: o2 x! O; Z8 H
. [ {% h. Z' _4 i! X1 E( Z
4 ^8 s2 q% K" U$ F- n+ Q) q 8 b M% C0 p2 `
" U( x7 ]8 u1 Y V
! G; B4 y% |+ B! V) J. E* ?% w
( m! Z% e' o! D+ G: j/ Z& l7 g. y3 j
1 Y8 o% j& n2 e7 }6 b* ]
: K& T' c2 |2 v+ G/ K) P; `- ^
6 ~( a6 `2 D( l" @: e2 g$ A
利用 cluster 这个用户我们远程登录一下域服务器如图: 2 i) q% ~7 j' u ^
7 }3 G' Y" I) Z4 N
+ ]6 o. V9 g3 z* w- K2 [9 v! ` 0 `4 f2 l! T% K9 m, |
) W! {' ~0 u7 q0 T: {
- f, U, y: B' ~5 e! y# Z, S/ X
* F' p# S& W8 I# g
5 U; h% m0 }" Z9 U& b% Q
$ i* K5 D! N; r& h
$ A; L( W8 U1 K5 @. H) w' D
( [/ Y3 r* }: M `1 L
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 6 K B3 w$ o5 i7 Z: c! y( k2 X- A7 ]
6 a5 C. h! i' e
, H! n5 j5 N9 U P: }9 g3 [$ C 9 ~2 l; y; M9 F
3 M! M( R$ a* l7 t# ^ ) W2 h; R% r# i6 U# @6 r* e' _
/ z' j' O% v' r% u) u 1 A9 |' \. a7 {0 |
) U) S6 `# Z# u R# k) D
- |" j, F% l9 ~1 o 5 \2 [. I% }; V6 B/ r' m9 N
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ) R! E; C1 n$ _
, B* @1 y# v. q: b, r( g0 Q% ]5 q " Q% B; J2 t6 o$ Q' J
. ]; X2 ~/ s- }- b @$ L4 ^; j# A
3 b! _$ l' e$ i+ ^/ Y
" i j' c/ z8 K9 @) } 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping + Y. X7 f+ o2 m5 l& P' P
" T( n6 f$ j' {; A$ l* j) T
: E+ z. y: i, c2 e2 ~/ o blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' x# Y6 @/ X- z
1 X$ T! j n3 I; U; R( o" x
1 u9 F' h; ~5 f# I " b+ Z: g1 j, r' I* l3 s
2 I, G% t6 H3 R- `" [/ m3 Q" z
2 n* Q8 k* \+ O8 ]. g5 t6 T
' x; c: I# J. E) J, k$ U6 K3 \( c$ [* r
4 ?4 b5 U( V0 q9 N% D1 Z" b. k8 ? ) g& m, l( |9 i/ R* a' t2 m! p
( A! o2 ^1 r7 D* o
( @6 Y2 @# H. J0 A7 D6 t 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 ' d7 r% A) T1 y, g' [7 a8 Z
$ X3 }9 h ?$ z. t7 Y7 b
# }5 m4 X, {9 ]0 k# {% ]! s, y* ]
. ~4 i/ U* N" W; X, e' \ 1 h4 |! f6 W X+ K
$ r3 S0 B/ S* K. J: \7 y
9 b; p. O. q. g6 K1 a5 U5 i* ^
* M! D- b2 A( m Y9 h: R# e& x# W % r: v5 r* u* {! _
* b+ [1 B* y. ]0 U# P' d
# [; g, E/ [, ^* g+ a 利用 ms08067 成功溢出服务器,成功登录服务器 " E5 ^4 Z: r9 x
& M: u% R/ z1 g5 g0 [2 O
0 |- X' f8 ~) _* J/ }; ^ ( w7 ^2 x8 h/ i/ E& V
6 M6 [- R0 A8 M: L; `- ]7 T8 o$ L$ k
5 Y: M. G! k' s( s+ y8 z7 A
3 F" ~9 w2 I4 d( L
& h8 W7 Z/ }, v [: O * L, y' `2 V' a! b ?
! I/ G6 v) a* x- C2 T4 e1 e/ b % Y* X4 J# M4 b+ Y) g' G2 c
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 4 t3 f" Q- Y- e2 [$ l$ g/ E
. v9 E1 W& T3 _( q: x! w
. T7 M" a3 n$ U" h- _0 U 这样两个域我们就全部拿下了。 . |+ d' b8 _. l& J6 B/ f+ x0 x6 e9 F
& O$ w- c" w# ]1 g
& [8 a! a; m* o- A( I 3 、通过 oa 系统入侵 进服务器 k7 N& l! [; ]% e: G: A0 y/ b
c) Y* q6 V/ }& v* |1 m) R! Q) N $ r" T- w0 y) T; ?: s3 G) q) f8 J8 T
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 + R2 a( U6 V3 \
( o3 o8 h3 r4 ]( \* X' ]" u $ e5 @ J0 r; ^
$ F7 C" H: V' Z' T " V C) `5 J# g9 l, R
! |' n9 `" Q" b) P% i. D2 X) e
, x% p/ z4 G& L0 [4 V
5 A$ `5 D& } \& N# {( d/ W; x. t , L( h/ u m& f K
! A8 a$ d, X7 i# I* `4 S
# _+ n7 h. v% R 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , R+ e3 x% `! F2 [
' |( p& U3 f! e! ]+ O
1 P+ ^' W1 q" R) I1 U+ K , ~1 V6 x# T5 O0 ]4 Y. A; D7 K! `7 g
+ t& @! z, ~4 Z+ h8 E; c1 `0 F
: E; o T$ |- m2 X- }
6 ]1 Y7 Z$ G: m4 L3 {
8 p" ?6 \* `0 S0 n ' y" T7 e& {4 C& n2 B8 o7 _
7 `" Q8 @, u! Y5 N$ p! @" D
* A: y6 k; S+ h
填写错误标记开扫结果如下 + D* t6 e# g' N. L0 y, ^ m
* c2 x6 W: {% B7 I+ [8 x
6 [0 u k) \: e( x
1 y% f. ]% p7 H* i7 j2 B9 a& h
y% a# H1 f5 e( S+ U1 n
0 c' x4 J U9 S F# t/ |
Y; c3 f6 b# v, r& D, c
& j# q8 u1 y5 y5 W" B: s; N - U8 y; K. t8 M* ]: _
& x p6 {' k% E5 J
6 Y1 ^3 X2 m/ V$ P/ O5 G S7 g 下面我们进 OA ! _; n( f4 X$ Y" @& e
) @- C( H! ]' p' j3 k0 o
! b5 g; A0 W2 {* Z/ \$ ]
2 Z- d8 ^: S! Z& `- @: n1 W/ R+ s " r7 D4 o4 c, R+ A% o3 p
; V' p# s+ a% z% L5 P
! H# Z% q: L9 e8 k7 D) [
6 n% g. T. F1 \& ?& h " J* c8 Z& a3 f* a+ [6 b! H
9 c6 u( A0 D$ h" y
6 E; ~/ J. [/ T; U1 b' A 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 ! d& o; Y. Y+ n4 v+ ]3 d' |
3 X2 i0 A' l% q; a: D+ O: h
& M4 W- l6 h! W3 e ( x; |. ]. `& u/ C$ z& ]/ A
7 b5 ` E/ E4 X/ P1 B4 L! v4 i * {! h% c) m* u! U
! b. \; L7 P4 Y6 y
: _1 m5 X0 ~, [1 Y. \ 6 N: w) Q/ V# t7 I
" z6 K) t" H" z5 T
8 I, J: J& W0 z( H5 q- Q
# Y+ b2 J$ E+ d1 D c; ?
; [4 \( ~3 P' h% U3 M, r
2 |' v' `( u& } N+ U 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 / v+ m2 i2 r4 _9 d. h. X9 t
) d/ F3 a& p0 J9 b% [) u0 q , }3 `+ j0 d/ E' W5 Y# B# y& I
4 、利用 tomcat 提权进服务器 * W/ O2 y! f6 h/ |! [& x! P
' d, h/ X: J1 b2 L* K2 [4 [' M
: A8 K: v! Z) K! c7 N, s* w! v$ b 用 nessus 扫描目标 ip 发现如图 ; `7 n/ V3 n7 f2 O0 f0 }: M. e$ `
. J7 ~) ~' h9 }' a5 V
/ @ x" p5 G: `: M
t6 \4 I a& w
5 W* ^8 d; @9 w
1 X$ O) y3 m2 V7 K. @7 v
/ l# c* Z! p) k1 Q* R9 l6 a , k0 S' Z8 s; l# J4 \+ r
6 p4 x% h$ V( ^% d: d* M$ n) c1 i
" I+ M2 s# b, l
$ o9 f) Z( E7 h7 f 登录如图: , y" o6 a8 G! o
; ]& Z3 P! V! p5 \2 E, X8 \2 D
2 P* x+ `2 T0 I- c9 a4 ~* z* H ; V: D5 \+ `2 S
6 R9 C. R& K4 `: S- ]8 O2 A
9 B2 ~# T5 ~5 u2 h6 G3 t* A
) F* H0 `0 x; q: _4 @$ K/ U
" k: K# K# @4 T9 F' s ' y2 a: O+ O n! m
& x3 W3 u( M1 K
3 u1 Z" ]8 H |6 [9 |2 y- \ 找个上传的地方上传如图: + @* }7 d& r5 B: b
, o8 D9 X* _- e2 o8 A, j
6 ~' j% F, V! W* V* X
5 Y2 D+ [( H [8 j6 t* v9 t , o7 K! n _ {- b/ V: i& T+ B3 \
$ X. e7 Q& O# i. |0 `0 @: |4 A" U
$ y5 }5 F+ q. R. q' D9 V2 D
7 Z4 d1 q, l9 R0 K 9 F% N9 [( A* {
. ?1 t. h- M& K2 Q& a6 X
1 G- ~5 J; S4 `/ l 然后就是同样执行命令提权,过程不在写了 " }; z+ b9 \$ v7 M! F7 P
n0 z. X1 e, P( u9 D
2 d. c! h. [8 T% m9 K+ s3 R 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 , D! G y4 ]1 |, S3 z7 A M
- i- D. S1 P( ~8 a2 o. \ j
* S0 t7 d |5 @0 |0 v8 B7 Y 首先测试 ARP 嗅探如图 ! K" q4 s) f' ~4 ?
7 }8 c: |" B2 z4 G 7 C# Z/ t2 I1 `+ V1 {1 t( _
; S+ ?+ L' Y0 K; b8 h, g V
! v7 A; Y$ i, x/ X4 S6 k6 O
" f0 ~% l$ J0 j8 U0 v
& i" u* z1 Z; K6 W
7 c0 j! o9 Y6 j+ ` " R- H% u. A7 w& u3 ?
8 ~7 L8 j( k5 S2 t
! ]+ b: |2 s$ U# n. R+ \9 v 测试结果如下图: ! ^ D7 c% ] h1 Y' O
" y1 m4 W* t% h5 C
& j3 e- s, P$ L) i: N. I A
" q& x5 _8 J& U% B4 P( r; Q! Q- ] . q) k/ Q0 C9 s$ Y$ N6 P; h+ @ / L7 E% g( K5 u. _' c
' A/ p# Z( i N6 n, Z- h
3 J1 s) d% V5 x2 L8 c o- r. A8 X3 r, z# G
" _" H5 v8 [* ~! Q6 t
' H' O4 V1 ?9 P
哈哈嗅探到的东西少是因为这个域下才有几台机器 + a n/ X/ ]' x3 Z
4 O2 ~+ y2 V, z P0 b ' q; y8 h+ Z7 S
下面我们测试 DNS 欺骗,如图: 4 K5 c6 G e s0 T# S3 W
1 B! L# k8 m' W- q9 Z
: j$ u: S, ~: x , b+ l3 O1 A9 Y# X, \
& ~$ h% b) T- a
9 M" K, f4 G0 P: {
: \/ M* m4 a9 y1 s1 C
- b% e* Y9 {, f0 v+ s+ ` / Z2 n0 n; ~4 E) n# e- d- `- f+ i
$ y7 g8 T, ?! L ^
5 J& G* x5 j: C2 C Y! d' x3 n
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: _9 d3 x/ c" o) i! f4 v
+ v2 f, {, {- B9 ]# u
0 h2 j% H1 |# E9 b3 u+ a ; u, d3 e0 P( W& B0 k. d/ Y1 {8 F3 g
5 z* X" Z5 [2 c- |; D8 Q6 i. T * s" L4 S4 T$ g# M7 u! y
* ?. a- X' f& W! |+ Q' f' Z9 w. p
; M ]8 d0 |3 n 5 }+ k6 a# z3 q1 p9 U
% u( I% I+ q& c" s: u
- j0 F5 I9 \; U$ O/ g& t/ D
(注:欺骗这个过程由于我之前录制了教程,截图教程了) % R* \% A8 x* M
2 T9 E" P7 [& W' @0 w# W
2 O' v8 r1 Y% G
6 、成功入侵交换机 4 [. K" d( W1 N; Z9 Q8 x3 n
& [0 T% D+ B" W4 j; [
7 q* {8 z9 L+ p6 C& D/ B 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 & W/ M; @- Z L& @! A5 K, J
# h s7 D9 n5 p1 a c# [$ C$ d; g$ {' C2 h
我们进服务器看看,插有福吧看着面熟吧 ( v+ j# w7 A: W W9 }$ C
% o2 E# a! v3 b U2 V% V9 z
* N4 J# k' V& w 1 `" X* [1 o0 e( L" c
3 ?3 e4 T8 d h# n2 R
7 U5 K+ f3 @- Y/ U
w7 H: g" Z% l" Q, G# P- f+ ^ 5 r: c) `( G" i; R' Q2 K" {
) j0 w$ h/ R! o# x' f7 j
* S. D9 g% m3 t4 y0 @6 j+ s
8 k! K& L7 ~. t( p# s" J 装了思科交换机管理系统,我们继续看,有两个 管理员 ' W% H- o! r; q' Z f
0 k3 Z! A; A: U3 w, U
6 Z B9 l3 f% V- Q. Y
: E* r2 n H# k3 e3 Q7 p 0 z% d- v1 F# V6 w4 d! ~( s
% d0 ] A' T% k4 e2 h4 z# w
3 d5 x$ q$ ?2 e; G; d1 x
7 ~6 u- U7 U; k, @0 P+ g / |3 @& }, v! p- D2 h& e& d' q
' W4 B- t# L2 W- A
: @, S3 y. s, V$ R( H% T3 f( @ 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 $ l% H- r1 N, `" R6 p8 _4 Y- J
' v5 F' y* b, N2 F) p7 a
7 [8 y2 i" W# ]- _8 l
4 m* p( V9 T% M) c
. B; V: o- C, G9 t" F8 W) U 6 l& Q4 ?3 l7 \0 y! x5 p
* g: i1 y1 ], o0 t; [4 z 0 q0 h+ O( D4 @3 A' W3 }( V
J0 e1 `6 d e& _
8 _6 B9 X R; s. \* C+ ^0 Y
: H7 ^ k9 ^. y7 Y 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 3 U- P+ G1 R, Z# l0 Y
/ ~: C0 c2 S" e. j 8 G" L$ S3 f, ]2 a) v1 Z( d. r
+ G5 L& H/ i# k
8 ^1 w F& N0 k( f: b' O! B8 @ $ Y7 d5 k* W# ^5 d" L, g" `# b
/ i. [( J4 F2 Z$ i7 K) T$ K
# E; D- ] c {' c7 T 0 H) C" @, ] P: _3 \
! w) ^2 [- P% `: R& B8 J' }/ X- ^& @
' b9 ~' q; g+ j+ u- t5 o$ [ 点 config ,必须写好对应的 communuity string 值,如图: $ N6 E/ U6 V& Z+ S* v
o6 q2 x! E. l2 w2 D6 T4 m 8 N* g) h* ?' K
& e% D; N, G4 k& [& a" ]
8 `4 e+ |- v1 f- R1 O
# J' h; ]; w, Q5 Z
. C5 e9 a, }; x1 ~! x' j% O . N" Y/ e* M$ i( x+ \! x# L
! E# A' T! _6 c3 @8 A; h9 v
7 v) g5 J5 ]5 I1 Z5 R1 }" p
1 f6 E4 o. i1 f% f+ b 远程登录看看,如图: 1 r# e9 j/ }4 W
% \8 X' E+ W! R) K
: E6 }! H% }9 u; T ! B9 x+ o" Z4 N+ q9 I- A) t5 W& z! ~6 @
0 B6 r3 R4 ]* w" f0 e; ] 4 W5 \/ A2 S- K; }' ~) F: z
8 v2 L/ s) D5 a" O$ |: N" I, c' ~6 H $ \4 ^; U; V* Y" f2 g n
+ c/ E, C0 ]& u
3 @& E' e6 ]* `# h( d
0 P! q! l; u9 y$ ? u' m 直接进入特权模式,以此类推搞了将近 70 台交换机如图: " e9 P% z" o+ v/ Y
7 v; c/ a6 ?; C
: L, e+ {& a2 U& P+ e
$ A+ l8 G7 z* K! ^+ j L8 |4 V G/ x
+ Y/ `$ b5 U/ B5 ?
/ h9 W! j$ v3 x. ]1 \ * ?( N. y3 V. {" L m
1 L! g: w, v, a5 p, D
2 @0 }! M$ c O5 v, d) I
+ \( d; j. p* |+ O7 T ! l7 S( H, W- A
r4 q5 O0 m. x: r: ]+ X0 E
, \3 l! q* ^! w 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** % ]5 O" x9 I$ m
9 a9 l6 G; e1 ^7 D5 ^ 8 S% \! G& g; P6 x& M) l' C; |
q0 G& h6 h& I# D( K
; w0 X7 p/ e3 \- S
% ~& `' d$ X7 A c
: g7 Z9 l) ^& t: z * p' b4 H+ i; H) W! j3 w
+ ?+ b; r: P' ^% z
5 s) @& Z( J7 a+ r. q4 z" k" S ( I" w2 y$ s; K; e( S- B
确实可以读取配置文件的。 8 X) o7 D0 _" n1 O& n }
. o! x J- c! k6 b+ \9 ~
8 L1 C6 u0 p! Y7 ?- { s3 z+ N 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 7 C' E E4 `. f E
% I! S* ^+ s9 {
6 `( e1 _4 v7 q1 c8 j% i ' w0 D2 w) l( c2 ?0 r
9 h+ u! H' H9 N1 `& i # Q( R' y* ]# B' w: G8 k
( K. L q2 k, A* L; b
) z4 y$ v, L. r 7 @4 ], q S0 G3 e$ {+ m; x+ i' c
1 J) q- m- ^% U
" N3 \: B/ e& a6 W9 R# c; a 8 w g1 u5 F' A
: L9 b3 v: i' H; b" Q4 Z" W
3 k; h; r% B+ d 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 & O& E2 a$ W g$ Y1 G0 b
, j. b8 i% [& b4 `
/ O+ T. [, ~% t f) ]
' ~" s6 X+ C a, O ! G; j+ {( q4 B" w
" T# t" H( ]9 c$ B+ g& P, N, x
4 a4 E1 U6 S" y. }' A& y
* f5 t; J. t, L4 O: @
8 J: H$ P9 I4 N' s% P& _' ~
( |9 U* J3 `9 l' S/ A 9 a+ [; M L6 R" z* I9 y3 w. S
上图千兆交换机管理系统。 - B M; Q$ ?7 r: w3 U* J/ ?
" }! |5 ]& c, S3 D' C5 L- H+ s" t
: \9 j9 z+ B4 v5 ?- C7 R7 E 7 、入侵山石网关防火墙 0 c4 O: p4 N, j' w$ A0 R0 ~' m" L, C
9 F4 p! c. w( G4 H: F ) x7 t& p, X. D7 U
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: , k9 m& S/ D) `* S2 \5 I
1 t: N" ^" d% e. g# N9 G
7 n: G' |) P/ c8 B& v# I; W$ o
9 H+ M( D: ?1 a. u . |5 I; f3 j4 J: j! q, e1 x. e
3 ?1 s0 w2 z1 }6 }8 N& _- x# @* D
2 l2 v8 ^- K4 @) V
$ B3 F8 H1 x9 n) p0 {9 v ( q0 v, k9 o3 s) J2 z' d
/ R; S z( D- z, i% A7 \
* `6 C* l: H3 o 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 3 G+ z5 A+ C0 I0 s
. r* n$ {7 n/ ]
, @8 \8 W/ i/ {; |
5 l; Y& ]: G$ \: c# y' H ' S; {$ ~+ m( [; X- R
. x ~, f5 P( n1 M1 v0 t
. k# Z0 z5 D% z) Y1 ^* l' t: y/ M6 l
/ T7 B2 Y" F, L3 w8 R9 n2 v 9 G# ]" [$ e% f. k k/ u" E
# f9 t, s; ]; o
c9 i6 _+ y" `' C9 V* M' H
然后登陆网关如图: ** 0 f! G! ?( j) {0 J6 x% X! l
: P; }. H5 s5 n- h
) w* f! i; W6 o; X! d
% c* J3 t# ]3 z. m 7 Q8 W9 C5 F3 ?/ Y2 ^1 o ! @" S( U2 O( }, W" R9 H1 o2 ]
5 ^" ^. f6 N/ I& R
/ o$ F T+ T( U
' W1 ]( e+ o" j7 u2 G5 M L
s- d: q; @2 Y& ]; j
8 e5 i3 A& ]2 e9 A P: T6 x# C0 U
8 j7 F; c* y+ k7 T 3 q4 z& d" E9 {$ G( n/ L& v
3 ?/ v: u% l) n, [' Z1 F
2 J5 H2 z; R6 A; R/ w
' h- P5 F- M0 G5 y4 h. J
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** , U$ K- _# x9 q' D1 P5 Q
2 a! H" {8 J' f+ b, E( J
% L0 X+ Q" u6 F6 F: @5 G9 h0 K2 ~
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 - b+ b' r, [. C
2 `8 T v9 ]1 ^- O% s3 x
6 K+ W) x5 e9 f! T0 [& R; O% g 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
, }, s2 Q) Q" C! a2 ^
$ L# Q5 I* y" X% h& y) x L: Z' k
q- h. k% M. z% {0 o ; k% T/ R g6 n! ?% y# M
3 t2 e q1 L0 i3 x/ K# D
1 U9 j9 M4 i- r
( B& @1 p& E' h 0 x5 H5 ]' c9 B
5 c( E5 Q9 m9 ?: w
$ S% H) _% ?! D0 z8 b9 p
, J' X5 q$ |' ]1 D. E+ B# k 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 x% y9 d& N1 O" y- D
' I' m# R' _% T, v, J o ' V9 ~9 a- u. m6 I% [- a" W% w* J8 b
8 ?3 Q6 o$ y3 I* ]# C4 c2 I; N
5 j2 v7 O5 N9 K; \% _. z
1 n( \- {9 O" {* H7 a2 C
- n* \% Z# |* ?/ U; x& T% r
% q3 @. i& }! v( Y0 E
3 Q' F Q q0 a/ w$ h3 p; \. G: P
发表于 2018-10-20 20:19:10
收藏
支持
反对