|
# K& k; I% E$ p. n1 `" L4 i
5 u# `0 U) u" Z/ ^% v
& W3 f: y: E* k4 Q
2 A a- m w3 M/ a
1、弱口令扫描提权进服务器
; C0 R- b6 q7 u/ i
( p. ^9 t+ m( D2 B2 m6 M$ N- i; r6 G0 d, \
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: " c0 k( Q" w% z8 V! [ m/ a) d
. A& ^5 ?/ V' F0 u) n. q/ x j* H. |
- r# t6 N% Y. H1 I5 o, C6 O 3 c9 R$ Q4 E3 g) n
( X& C! ^3 @: l: c' F' l) B1 {/ y
9 N1 k* q% u& [, S0 B
& T) _" s8 e$ f3 z& ?7 e8 B" U8 ~ l5 v
1 l/ b2 w! h/ `) L* a D 
! B# Z7 ]' t- M) a. _
& O& V) ~8 d3 p, l3 ?% E. s* D
+ @% V3 e* |0 P5 c5 }# L R1 M  / S2 F9 B' F9 x; N
: I) c6 i6 [$ m5 P" U" a: r
x' _' `9 x1 A2 |! m5 W' |2 d ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 # b' l. j0 h% K- Y
' _; T3 R1 ?3 z! [$ l( n# X) b
; P. F8 U, K' D, I1 q4 H6 ~ 执行一下命令看看
8 K% L# ?; W5 ?+ n
3 v6 X4 P5 e4 r1 j7 E3 i% P/ N. i. u6 o7 K
 8 R- {; t3 `0 K5 L
$ v7 E: u( [3 i v7 n. x
" r. T+ P* |; b7 n
9 U3 G7 t8 v8 y% p* H8 j
3 m/ G, w. Z$ F( ]4 j
8 D3 H' S: b/ z1 d q, r$ n
: A- P: E/ w' w* R/ g, w
6 L& s. Z: ~# a 开了3389 ,直接加账号进去
* s, N2 i9 ?5 ~ ! c! q$ V- h% t) L, R+ c4 w
( Q1 e Y# X( h, V& e' s& c 1 I" l. g1 P9 h" @: p' I* t; ^7 C8 z
7 k5 L4 j0 Z& z' E& P1 h3 V: l7 v
' z2 w! t2 {8 Z1 L7 V/ F
- W. I4 j( H9 r6 f8 h2 K3 X8 \; _5 ^* e/ f; f1 S
9 W' C* s6 J1 ]. [+ [
% j/ f. g: G6 M6 P( C" Z; _. a( }1 M! Q$ Z/ T
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( |2 a' _5 [6 X n+ D
, l6 A" Z0 Q" o& f# Y: P# D' O3 _; Y; Z2 R' m& n
, a) ?* G; _7 h3 M! O
$ E6 e3 S6 R( u. g; Q/ d5 N
' G4 `0 B5 Y( u7 R/ m* X, J
8 d E) ^9 Y. c5 m- I5 R
: T; m& A# L$ l0 g8 W& s8 t8 H) I4 i  & R8 i+ n7 q6 b; M) a+ i
- d1 a0 w4 I+ f. R L4 b* O- R- B3 O! @7 w
直接加个后门, w) X2 ^1 P& F) N. c
% r9 ~" r1 {0 _# h; ~
! m6 \+ X& ^- L' _+ f$ g4 ~
 * P2 g P: |# x
- O0 J/ v) O, j0 Y. n* I1 z
1 ]9 |9 h3 ~' W6 B+ L; {7 i; T; P { " y2 f4 U$ H4 A) t7 f
/ E z1 y7 v, T* @: m
, N* h* R g/ O! Z' X
1 S0 u+ i3 Y" Y0 w, K( b' R. i4 K* ^) R0 H. c6 H7 K
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) N: `2 m0 z4 y& D. T% ?$ }
6 I5 f. U! a q3 K* @9 ?9 A4 N9 g" o* y: I/ S
2 、域环境下渗透搞定域内全部机器 : [" E1 X' c& o7 r5 [
0 m2 r0 G, f) t. R- P3 K# f: S# ~* U6 B" {/ b. s
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 0 X( x' e3 x+ @0 E! F# G7 q D
. `2 q+ T' a6 k; r8 B5 x2 C! ?. x. T
, b" e9 x2 F" e" P9 p
3 J; w6 F& [: ^- l: K2 P
, X5 B0 R% y3 Z$ R3 T: p) N" l+ t3 Q9 f
, N" L- `7 N1 I& x; Q
/ T0 U( Z& j1 I9 c9 X" q9 O+ `: k
 9 f" W9 N$ J, ^6 x- q4 W
+ P8 y. v" }1 n* @
: T$ o9 d5 Q3 E& F
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
7 _, N6 e# t D& @$ h / U( b$ E9 o3 n5 @2 o
( T# g; z) Q g' I3 y" |
; _9 ]* A; k# }, n: H9 _- [
5 ^& L1 l. j- m8 p; U: l( ~3 L0 T 8 f$ M2 @! |7 a2 |
9 z! b$ W- o% J5 Q& Y
0 x; W: _7 V* A. @4 P9 Y2 p 
9 f$ o0 ~& b2 N6 p2 |" T6 r
& Y! T* I( G( r0 U- Z" z6 t" \& |4 F. R6 K0 l* M$ W# J( [
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 4 \' r3 w: f' G9 q8 l# M. f
+ B! P7 c6 e* ]; S3 f6 d' K6 u# R; T; G# K; j8 B
2 c/ z. N) Q2 _
5 X! i9 d" r9 d6 E. D, m
6 W* E# k" |$ `4 N/ u; C( z* b% z
5 p i6 ^9 w1 M/ R& I) [( u0 q0 B9 W3 t! s" z# l: k
4 j( `% g1 w7 U) z) L( G& D - w5 R, X: W. Z) U4 |' ~
% t' Q; \' ~8 y) C9 p8 c5 o 利用cluster 这个用户我们远程登录一下域服务器如图: ; }' E& t0 i1 e! X2 B5 L. |
4 d$ s0 v( U; t$ R3 C/ y) b: h4 L! y/ ~! Y5 \% D" |. C% S
) ~- h: \* i3 @# y J
, o" F* e B, J0 w
0 G8 u0 g- T0 T% g2 B7 G. V4 i- j 5 c! b. Q# r' A8 M, V
' Q7 c- R+ I+ @9 o, n3 y
# v2 U s6 y% G2 |; Q: Z( M5 f # B& ?* ^6 Z' Y, Z) ]. w$ b
# C4 E7 g$ T7 `' M. H
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
- |: i( n5 |+ T" d* T
! T1 A, q4 c, ~4 w. I6 |7 `. ?: O3 j. Z2 ^
# Z( Y6 |7 @! e6 c
9 }4 O. J! j' q+ }1 } : [4 C, v2 g; k4 u3 Q
! x* z! v( D5 V& J" z
" U8 _0 C+ w" h9 l8 p 
+ T2 V: B* E. X( [! o
( C$ \8 C B' ]- c5 s* x) M- ]0 }9 @( v, l; L6 J6 P# X
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ! r8 \, L5 c% P k4 g& m+ ?
" r1 r' N, |) ^7 U
5 G$ ]' K$ Z8 e# }, d! K  + q4 Y! S2 c3 V z7 q
/ ~* |% W% Y1 C# ?
. u( f' v6 C# ~- r% r
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 3 }; ]6 b j8 W" e' M0 C! [, X
; F/ _/ }! c$ k2 d" X& M8 b' N4 K1 m) i$ E
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
' z- g& q+ e: W$ Y) Y
! d" S. z) ^0 F9 N) X- E/ {( a4 [
/ H! P& X) x* {
0 Y/ `! L7 J$ m* t9 ]1 s
& a3 h( T- T& s
5 h+ }2 [. w7 O6 [) {; B0 S! p8 Q9 R& z
& R! l% O D i5 A3 j2 w, ~7 c: S & I" ?, I3 T9 i4 f; V8 o; w
6 u$ x3 ~: C/ g& _$ p 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
/ E; F8 P+ ]+ N
, C3 h7 z% ^7 Q6 ]' i7 k. F: v# M. O& n
( ]; Y( |7 p4 e4 V, Y! S5 j, @5 Y- V
Q$ U2 n; d+ e( d0 \
/ m9 q, Q3 i0 ~. H: B1 |) ^+ }0 S% ~ $ O0 C# x9 x3 ^9 H3 k" c+ @
% g5 b) Y) p4 ?" Y
N. U, W$ J* W# V; F , [/ l: I" k _7 `& F
{/ E9 D0 D* E7 ^2 [- e* u9 n 利用ms08067 成功溢出服务器,成功登录服务器
% `% w* U/ W0 v4 Q) i) X; O2 } 0 K. I) `5 F- J* n6 C
9 G' K3 i4 |: o, |$ d6 n ) o* l$ |# t" P# `) B! Y( S5 Z2 ?
. i/ @* i# f$ W
+ H2 A) M/ ]/ i* ]( j2 W
5 d' W6 o+ L) W2 Z/ |, H+ P( I
9 @* m) E# r' P: j 
; n/ T9 C4 O0 ]. F* r4 X
N4 b: _9 G3 K; P) s
+ V$ O* J; u( Z0 k) J5 a! U 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen # v. |% `. z6 B. S( \) _! q
1 p1 `* |2 k" ^. o
+ D- ]4 l/ z- s. G4 i2 x: I, I# M8 J2 `
这样两个域我们就全部拿下了。
" U$ |1 s1 `+ p; O/ C3 i$ ` 4 |. C" }- p6 E' s: J* U* {
' U4 y; Y7 T) w
3 、通过oa 系统入侵进服务器
) W+ K) }" x7 t3 y, n' `4 b/ N 0 `" N# Y; M( n% K! u; Z
; O$ m+ P, O0 ^7 t# P# Q
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 * C3 M! m- ?' M/ ]+ p; g4 d
- v6 L+ Y9 ~- t( a6 C5 D1 I5 c
" X( E/ C- I8 c$ K: a % P. c% c: T# E8 E& B
( V9 r$ Y& e7 z0 w+ X. q- W
, P# n2 C6 X( y- g M( e2 W, U* P: ]* J
0 |% J1 l1 ^; _+ f3 ?1 ?# u7 r8 s
X" a7 J* M/ @6 P  9 \: } V9 T. ~9 B7 J6 z% b/ h: s
x9 t% b' d2 w I# r
) P9 r1 ^' {' w# i4 @
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
7 P) @7 ~: q, ]2 f8 _ 6 C; Z& ?! Q. i
# t9 e( i4 a5 w! V, [
% ~# J0 I4 [3 l
) Q0 {9 n# e9 @ I* x 9 `5 N9 ?; e1 v) V1 f8 Y
- `0 ^4 u6 _3 g4 O; M- w
0 H4 H9 m/ {' z7 A& j4 U9 `  % u' A* [8 n% `
; V& l8 f Q% u7 g1 G' A% q& g. \* z5 w5 Q9 N0 j: {% q
填写错误标记开扫结果如下
1 }' f, m7 z/ p0 E* j, p: U" G 5 p$ l; P4 D$ B7 j: ?
/ H7 _) P4 N- c3 O( n1 r8 F8 g* a) f5 C
0 ~8 u( W+ ]* ]0 y* ?5 G
) v- H8 s0 Z7 [; Y* k3 Y g3 B3 t
' [5 A k& f; S0 g6 a d$ v$ d& c : [! Z/ ]: y+ n. \. H8 `9 F
+ }& z7 W! k4 H6 @- F9 y, k. g
/ _( Q7 l- O: W( d" m7 t
& ^3 @! L" v H7 C, l
! z d' n# V; U, n1 d/ j 下面我们进OA " Z0 R. n9 s, z( u3 `, |9 k- y
% Q8 g2 c/ ~$ h4 E5 g9 p( [
4 {2 t5 J' P& {/ f0 D: I+ o# I
% k! z0 |& F+ e e
, G- T: p4 ?# j7 E
3 H5 b% _; e% b' I. k
6 H0 {2 S0 b3 c5 b$ P D$ U0 t# _; s: e4 K' h9 o% {
& {! {8 [2 U$ p+ m3 V! \# w ) }, a! h U$ w
* ~+ ^ {+ ]4 j; W* m/ [
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
' W# m8 r M. q: m$ Y1 S " G( u/ e3 F! R3 W2 [
6 k* d+ ^+ s: W/ H4 Q& s- j % u* @1 d" i2 m2 b: p
: U2 w2 Y- O* w4 |9 |" q3 e v p5 J4 e
4 Z+ ]" E( F. C& s. ~$ U1 W* D 7 ]& U% Q* H- t% h2 N& |1 `9 r
) A, f7 _7 S- ]4 E1 x6 e" X, }  ; e, p( r0 Y8 @5 o; {) g
4 b; \& Z1 L+ C0 t- p
# ^3 M% K+ h \# F 
$ |8 X' O5 D7 z0 S
. A" m) x8 J4 O; U0 l% V. }
4 l* k1 V, f9 n9 X$ j* V 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 1 }/ T2 y) W" r. r! i
+ j* S4 Q6 Y$ T' T5 k
& C# ?" L8 R9 V' \
4 、利用tomcat 提权进服务器
5 O# m8 Z+ T& X/ U
5 [7 n2 v2 w( S, \1 g' W2 D5 J
( j# C- F0 j2 h2 `0 z6 l4 s 用nessus 扫描目标ip 发现如图
- W0 T! B: t D! X2 z& E. E2 S$ Z% \ 6 Y5 J& m* ?% f
. F% R$ H' G% a5 ?$ X( Z g J0 j
! Q# T$ R( z* u2 L: L. L' B
* z) ?1 H# b* g2 M5 x$ N W1 M
, r+ S& U" p( ` R& K3 z0 H% O
; e4 \' A6 F @- C
" Q, x- S" u, ~+ c! k  , ?! O; f' f1 ^1 M
, W' _& v; ?1 c2 }) P y8 q
' K: W, d9 V, t% t/ p 登录如图: R2 b1 H8 J) x r6 Y' Q
, x& E% R5 U, w0 Y, g" w
) ^" e9 |( w1 y6 g, C$ ?. L, E 4 l2 B$ Y. n0 }3 Z$ @/ x
7 c7 S3 S9 R5 T4 Y# t9 z( s# H* \ S1 B
) o7 ~7 w) F1 d: R( n0 H' P( a, x) o
, I) K$ d/ H/ G1 J" P3 L, \7 `" D$ C9 Q2 ? [6 j
 2 Y% G7 T$ Z0 f9 @3 W& |+ b
) k4 F5 |( t2 b8 d6 l! ^2 Z
4 I; F- b6 `" q: C- R6 C8 Z6 q 找个上传的地方上传如图:
5 j( A1 J s i L
+ Z$ K3 ]+ W. Y, t
- `7 T: B! H( v# O' j4 O * ~, Q" Z4 m" I \
1 B! i: h* _( [7 s" S
3 R6 {) N/ j* d) Z7 ]# }+ W9 j
( o. L9 l4 f) M0 P' y" _' k9 M
+ s4 \2 |) w2 c I# X, j6 S/ `5 k  8 N. E0 \0 k9 z6 T
* Z7 R6 a* @( n! v, i1 D
$ ?1 H* u, V# V; N& Q
然后就是同样执行命令提权,过程不在写了 " @9 w9 Z) b8 I3 V; e0 z
+ N9 `' ?$ a! E7 g+ V; Q5 T2 O7 H! h8 P
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 ; Z' t, l$ s7 i1 E; {% X
0 K( \. [1 ^7 U" s7 @) ]8 X0 W% F8 H# H# Y9 Z. X7 ` ^2 ?, R. [+ ~
首先测试ARP 嗅探如图 * `; K, F" ?6 p6 m
3 m! d0 z( L6 w% Z4 K* S j$ g( O, i1 r4 @" O# K. K$ a: d
* h9 V, n8 f6 B# z0 f& |
) l. R3 N6 `% g' o4 S 8 L! U0 M: ?* a0 m
& I/ a: j% o6 S4 v9 {$ |( s0 A
. K1 K' S$ Q+ Z& J. _ ; v3 V0 P: T& @- e( E5 z- g7 A: R
. G" F; Z ]: T2 ^ 测试结果如下图: 9 a! A1 t* F1 L
- Q" d7 G8 P# ^& t5 k) {- q+ \: h. p
' l& V6 Q d8 Z+ G( y5 P( ~9 ~: T
) _3 \6 ~$ z. Z- [6 h1 j
" d1 J: N8 G3 H% O! L ! v" D8 V9 ^0 q; p8 Y
/ d8 p9 ^7 L- q- T- e" @2 \4 z
' V% F1 F$ C2 b" q8 ?  ; u O, ~+ e/ z, D# K% N
0 q% n+ P$ q- N% f
% j8 D! \( @ Z 哈哈嗅探到的东西少是因为这个域下才有几台机器 6 s; W* I b2 F4 y& w4 n
" N1 l& f, D' X* v' M% _ \8 e$ h6 B) k; r/ z4 n; G+ |6 H
下面我们测试DNS欺骗,如图: 5 \4 J$ R2 ^# p# ~
. h, _4 z0 p: m! J1 z) h& X4 z7 B% |( c: k% t: \' B
) Z* G5 z) q$ r$ M
' [ K1 p6 M1 T
' X+ S! O0 K% A1 C+ v- r9 T/ n % @# V( ~: ~ T0 ?3 s! }
, P3 v) f2 v7 E1 U# N9 ?
( `8 D8 J' v7 r! D + I0 F/ d" D j+ x: P9 G/ ~
; G/ ?# I: v& b* i! ?3 a u 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
6 r6 L4 Z2 ^6 E7 B, V5 B
7 ^0 Y+ j1 Z, v# e o
( x ^( D" B7 r9 u A4 o5 C% Z* W : s% |1 T* o& \' d; d
* t# {9 k! {; v3 c- V1 k$ ]
5 j) ^4 n7 H1 e2 U7 t. R
! r2 L( Q: Z; L% O1 ?
0 P' I) r& e6 u" C  9 m4 o7 E% g% N* c7 X
1 Q7 v/ j0 k- Z& {$ H
3 }' d; ?+ @- q& \( m2 L
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ) J C3 i0 ^6 h" D0 K4 q+ o
+ q* S8 W8 l- t; M7 N+ Z
; q# B; {% T* |- \6 O# o+ Q" x, w7 }4 Q
6 、成功入侵交换机 0 ^& r; B5 u+ M( |9 W2 Y& ]$ k9 P) y
# V1 K7 l! b& t. e3 z& |) `8 J; D4 g
% `! a0 I; ?% [7 M- d 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' v9 j7 M& ^) s" o% Z+ A3 T
" F: w& @+ f! Y( H* F/ W: A' D& ?( ?; h1 ^
我们进服务器看看,插有福吧看着面熟吧
' @1 _9 o: s% \$ L5 H8 O' e+ j0 G
* y; R+ H' e5 o! Y- Y( c+ ]
$ H6 X* E4 C% R" ?$ T! x( t* ?" k
: P' l% ]2 T3 I2 ~
9 s- }, c! v8 F# |5 P3 _. m( l
# v1 B; ` I+ B
8 Y. V( j8 }4 K
4 k' d, M$ D" ~4 @) L6 r7 e3 f  ) o: S' r8 o5 R& T, ]* k5 `/ n
( r; a K. n! R6 `: D
" |5 G0 L9 E1 s z1 J3 Q: C1 f& M 装了思科交换机管理系统,我们继续看,有两个 管理员
( F" [" r) X+ H. G- x9 b1 ^: e " R {3 u. d9 t9 ~+ [! R, M: x
! ]( {& a. Y' r: b% b6 S u$ _: o
3 L% s8 z, T6 [9 T# U6 D2 g0 f
+ r7 s" Q7 u8 H( b2 _
; O' D8 x- q8 i1 D
5 E/ m3 E3 L9 K: R4 U# O+ F* b' j; \6 ^$ U% Q2 C0 d6 w @. y
+ y/ b, O1 p0 k' w% e0 @- P2 v : B) h2 i* u- _9 y) N3 W6 v9 d; x
8 l+ X8 W% A" i# Z8 c- [6 W* S8 y
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
0 {# u- C# u. _
7 n' U$ y: o! F, g% g4 p+ O3 f$ V7 Z+ v; Y- v
8 \8 P- }4 p ]! y* \) J n
3 L7 a& Y# N" `( U7 a5 N 7 w. Q' p6 [' [* n+ B4 U
/ \9 q V# L1 ]. L, D0 G, Y3 ?. Z- t; b# I4 I) p1 z
 , i2 x2 [: T. A. j9 O2 y8 B
+ g$ e# {6 G1 [. h4 w0 D* S
; j$ G) E8 n+ l7 L8 y0 s
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: % u, S( e" b$ F% y& M
. h0 Y8 o, W2 I7 d5 S/ b5 v* ~
, d) f" B `- s( C1 s
- `& f0 m( ~6 s4 Q* n
) _" {* ]+ z; a {
5 i" w3 \" k! K
7 d5 d7 x8 H4 T4 F: D- x
- d! G/ b( X6 W& Q! j9 y, J4 U 
0 n- {9 a) U3 v* i% G 0 Q8 A% }; H! L: S# o
5 ?) \/ Q$ D) c2 R) a7 e' N
点config ,必须写好对应的communuity string 值,如图:
% e$ l( Y# T! j3 ]0 c; U
, o: S8 C& f& \# }+ Z% N- {9 p* W( o% s4 a2 [. G3 U
/ M. T1 w1 Q& {! K/ G
0 v7 q8 y& \# Y * Y! I: f* ?; _: f: @; X3 u F8 H
& D; v4 _% @6 m: m8 l# ^
% ]& @! i4 ?' P1 M p$ }  7 |6 i9 Q% ~0 Y9 q0 e2 C
$ K, k9 Y( x0 G7 d: F
& k2 Y5 |+ Z; W9 q6 U% \ 远程登录看看,如图: . c6 Q* u! d/ d& U( U
. F6 @0 _; G# {# P- }+ k9 n7 ~. S( Q$ v$ b/ D* d3 Y; d
: ^9 k+ T; h, c
" f# o- R! g" h5 J( P
: x( d6 S( l+ o1 V
q) z0 w; Y! _5 h! [7 a' R1 n6 I- A, ~+ F
 , n' g/ B- v( [ e+ Z
' a. V4 b M' t6 t( \- m
9 e& X+ S! S6 C
直接进入特权模式,以此类推搞了将近70 台交换机如图: * q9 T+ s" t6 s/ `
/ L m) ^- C! r! g7 c; x
) N0 C* v. I* c n7 q; u4 `
, j" a8 ^1 ~: ^. U. W: N
' } {- F% ^2 A! k1 k& L& j6 G e) T/ s$ v4 L% a. c- T4 ]$ i
% N0 X, k( R1 K" @" G
9 S7 y& T, S+ f. h
 0 D2 H* H# K3 r$ U
( x, f' E$ [ @. e E
% ]% G F0 b1 B* }9 w+ l  7 i) Q6 Y9 O: p" N1 E4 c+ S
. A. x) y3 X( r- J( u) [3 w: I4 F! h+ `* C& W* H
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** ' I" W/ ]( r6 b4 u& l7 Q' r
( d$ k7 G. n7 S, U. l2 b
& f8 A% F V' i1 S5 y* x6 ~
( i. ?. o; m5 \0 c/ H
d" {$ p) M! ] I+ p 9 P9 P* M' M9 ? |
# E; N. C4 C S. P7 x N; Z
/ f+ P% e# }* M. K5 [ 
g0 D* w9 \, H: j7 `1 ^. w/ T ) @: N* Z6 I2 [) e0 `. J* v3 J
3 w( T* x& M9 [+ Q
确实可以读取配置文件的。
7 y% W+ {: n/ R- ~/ n- m7 D5 N
0 E7 m: i2 l" n5 g# X& _; L$ Q8 p6 _1 P7 w6 [1 j- D: e, b
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ! y* C. X0 h( E
" ^; B( f& Z0 T: \( b
k- `+ q% k: _3 y , U6 N, T3 O$ o+ B/ G7 r2 j
& e7 x/ h$ x6 G; b, l" I$ m4 g
3 w6 I) U4 p. Z/ d4 K 8 K) l H) k+ U6 W( d6 X: ^$ x
6 ?* s% C7 M; g6 _- B! j2 }  " B1 @5 u+ {2 X: q( |$ h
* T, k% O" ~' @. Q5 [! Z$ ^* X9 d' G+ |
 6 R5 v: b- k5 J
9 L, P! g4 `" O5 P
9 u' h9 K2 S4 u6 i5 R3 w
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
0 T' I7 V+ }' e2 }- ]; u0 G1 e3 U - k4 W) }" [) \" |# t
. V( l* t- \2 q2 S+ r 2 c1 `/ P6 c% H3 i9 t% ?7 R
0 b% T5 `6 j7 U; E, u" W
- t; \& U- E7 e. f, d/ O" G' z
# h0 h$ @) }3 ^1 W; I7 r* ?* ~: L6 x) i2 U
6 A% n5 d6 s" o+ N6 A8 K; C& h5 I
! l# X0 S7 O* ?5 H4 K! K8 g% s9 s* i: x2 W8 R
上图千兆交换机管理系统。 % g7 b7 p$ |% a+ Q3 u4 v
; V3 J. o5 l3 b% t4 h! L! D; o7 i' T
2 Z( r8 ]) h* u; v! j 7 、入侵山石网关防火墙 % v+ j0 w3 [( Z! v; y
% p* @( M1 R4 e- V* A8 T) n4 B( S9 U2 h3 m9 |
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: * F# C5 j! W8 @8 c9 i( o% Q
1 P8 r ]. s4 o5 W
4 ~: {' ^$ [" k6 z0 s2 t6 ^. d
0 z- M2 r% E# f5 w% v' k8 Z: ^
6 s$ ]" u5 k% @$ l1 s. H6 O1 h
3 _: l0 k8 C- a
0 P* w8 Y3 v1 K$ d* V& L
, j0 |/ C! @# B  ; Y3 d z/ w o
( P% l) e. j! T5 x! ^
; z! V8 |0 h$ j) Z* p
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
& h7 @( F8 H- A & v/ d* b7 q$ v
7 i0 g" ?) {/ W) Z
, n7 C7 X% y* w, t' H- {# [7 i
1 i1 j% F1 i; l2 l) n
7 k3 z7 \& u I2 X
* H4 r& u4 G8 G' w) j
8 R% z5 q2 q, E  ! k) o7 `4 a2 r3 f$ j, j
) J' Q) J: ^1 ?' p
. U+ x; E/ r% A! \5 Q+ e% \, u 然后登陆网关如图:**
$ E: P U- @6 E* F # n/ J4 {' l$ {+ v! @' _
: z& x/ {$ m# v) z3 @5 f0 q
( T( k3 U& w2 M
* y$ `* I' u a 3 T/ M/ B: e& b; j+ n$ g) [7 i
1 I. h8 Q6 H* i( x8 e
P5 ]! H( s% b* b% q
' X) t. R: y9 Y2 u, K, q/ V+ | ) p& t. M8 ^* B6 t* _8 w8 `4 g
0 `! ]0 Q, f, J
, A* V0 ~* i& O% }
# d6 H6 {* y8 U& G: T, B
. n/ U7 X- C7 h, s# w
& L9 S5 ]* s) J# [
. e% S4 [6 _' _# J- ~# {' j
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** - v8 b4 i: O" D. Z' {$ ^) q
i- d+ N0 u1 d. d
9 d- s7 [) I7 ^& m, s 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
% J3 D+ }9 c* x3 f
( `6 P! ?8 A% t! w- Z/ s2 s! L% W/ g& M& I4 B" ^0 L% M+ m3 @( W
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
; [; G- {' | p: t: E0 X* R, w6 e ! A/ A6 ?2 Y( W0 F
, h* v3 ~0 D+ [- A$ k
0 I, i5 Y4 v& q) K* i: Q
) I8 k# F4 J* D3 R6 m% b) \0 S 6 \* a8 ]6 I6 E# C2 F- H
! R0 Q2 F; v: R' J3 D
$ F" y- L' n0 z7 u" U- p0 v
 9 u8 A! J& n1 i" ~# m5 P
+ Y4 X* d7 q' ^3 |) o* T0 P! e% c; L
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 7 c* l! G$ [/ Z
( _% L4 n. U6 C' f1 W2 O3 a
+ t3 A4 i' B$ T : F4 D6 g1 Q9 n. w. V
4 L0 `2 ?8 n& u8 H1 H' l
, L# b9 M7 I* Q; S3 k& U6 T
' Q) Z) t4 s: L1 k
! j1 N/ [/ l: j9 r. e$ u! c# p5 h# _: Z: a( [
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对