|
% K$ f4 W. P+ ~! w" t$ x
0 P7 p* r5 R6 {3 u2 y" o( x
+ |$ t$ T8 e0 F8 f- o8 b) G/ e
7 D$ G J) z, O; X, |: n 1、弱口令扫描提权进服务器 ( z! q0 ~: G/ g
9 O b8 v/ D% w X) O
& q+ z+ G% |( g# a9 n! ?+ J# | 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: $ {4 O8 r1 z& h3 o- ~
: a9 \7 N6 Q2 m% ]: r, O m. [3 ?! y1 Y& a Z/ L
* X& m; f+ t9 x' g: L6 L# Y _
6 E# e" j4 ?4 v( }" o8 w
& c1 N7 d* b) S9 P- X * I( x7 j" T5 u' W# b
. K$ }, v+ \! M, l5 _
 ) N6 `* a! e. r8 e) x
; W0 @* q. H) }- a( g4 a4 i+ M w6 A* z, F8 J, f
% { l+ ~5 m0 \
, _$ l; I/ K: l) x! T+ N5 p* q
$ W4 ]4 r/ }+ N- o$ o* i ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 ; X9 u Z2 D2 t& p3 Z" h4 l. Y
% p0 y# |6 x0 a& T& ]$ T6 C
g0 s) ?4 c6 d, \9 m; l
执行一下命令看看
N7 L/ W2 X- E& i* P* @) ]
- F: c) c4 l* p- w
! [0 R# y- D, D" {8 Y9 y& r. p% ]* [  & N: {( Y h2 U% Y. q
1 y% c! V' N; _6 X: E1 P3 i7 F7 M% X3 y0 [1 x
4 K, ?) W0 v" l, S; U
8 ] D+ n, U9 i* H; m' q% [7 V 1 `* K% q& Z/ c" _6 Q- q
& O6 a) ~0 Z4 M3 V( d
5 ^1 ]$ M6 C) Q9 E+ e9 d; R 开了3389 ,直接加账号进去
& E0 o8 ~/ g1 p: F" m/ w4 J
% K( ^$ M V D: K+ J5 ?- n3 Y0 ^- g3 R! |, h
8 n: W" S, D3 d! M& u9 `) j2 |0 k6 }4 @
; y) X8 b: v- b2 R6 o& _ ; @, L% H; {0 M8 ?, f0 q
7 {4 L+ U8 O+ I- X! X" ^
; d) P- k3 y- [. ~ 
) j6 v# Q4 w9 `4 }2 v, K# Q6 n
9 Q. {+ \( l, S& o2 x+ c _1 d
) |( E1 ]* f! @5 o. ^ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
1 D# k- _, ~2 A1 v7 G# L( y 4 W1 }/ q* t6 O
( ]+ D! r! ]1 l8 N8 T% b ^ 6 x+ I+ e7 y( M1 a+ x
5 i# v- @* E z0 {7 B+ B/ w
6 t, ]" Y2 Y7 d* Q
1 X! o$ u% H0 J* V/ M" U
1 ?; H8 f- W! b. V' N  * o" W4 Q& H u1 U/ f6 r, S
0 T6 @$ O' q: t
9 `" r" X" ?! D/ }# Q 直接加个后门,
?1 s# @+ E+ U0 M) H `* i( t/ v( |. i" y# R& f
/ e- a% x' z" u2 r; B! ?; d
( g0 |! U2 s; w" m
) G J9 i) i! ^& P3 ?) j9 Q/ q# D9 ]1 D8 u) D; Y/ L
: n5 N" S& p0 L, V- T# A) Y: ~
6 k, F4 V; Y( r: [
1 S* I1 v9 E" ] " |' o# K2 b6 Z
7 _. R+ a4 O+ i
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
* ]/ o- R! j7 q
; y- T" E$ K1 `: D! i6 ?$ K7 O1 t" c2 ]
2 、域环境下渗透搞定域内全部机器 1 m% q, `9 u% \: A2 H. H6 f
3 c6 { ?' `8 u( r( {* e+ T+ ^3 }' a( }! c
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
3 j7 K; J" k- @% ^1 }7 E " r! e6 S1 _+ g% B$ u: g
% F" u1 A6 H2 u5 M/ B: d/ X
, A: v+ G% M, x' _- z! Q
0 z) m6 v2 s/ J2 y5 A+ k# Z
6 ~7 Q* _/ Q) P9 H: @
3 ~) ?+ t6 A4 R( K$ H- s+ s& f! C
5 S& P" ?" \4 E/ }1 T0 z  ! b1 L7 c' g4 V
% f# j: S7 w5 @) _7 S% w# u* H" z
: i3 ~2 h8 S$ X2 `- k3 e) `5 {6 u
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
2 Z' j, c3 f- H" f8 y: E
c q- n6 b# t4 ?( o
* g5 ?3 T4 q% _/ j) J
' c' w; V: F# ` D9 ~
& c) r- a9 I1 W& \! |2 s
) n: U/ x( @) @9 Y # G3 w; ^% A {$ J
4 K1 f7 ~, q3 \* m. Z* ~ x8 i
4 q6 { `& n8 o+ \6 o6 m8 A5 |/ T: [ + _! s7 y' R' `# D. ]' n+ a: Z
0 w- @/ y% A5 V+ C5 y7 V4 K; ~ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: ( P# L* `; A! L% x: w: `
( R/ X8 U- C$ D; e% W& J
+ B. k5 o, B/ \ V# V
5 W8 B, W2 R2 f A5 X
' ^# D4 N1 ?: W0 W3 S
W1 J2 i) `6 c Q3 `+ `, d
4 n( y# i! G7 l
) o+ E* S% x+ {. Z  % \" Y2 H5 N. P
% W, n: G, R0 B' A0 a
, n% }) u% F6 ?% ?6 @
利用cluster 这个用户我们远程登录一下域服务器如图: 9 E( |+ P4 F1 w1 R) h& S$ h
( S, ~ r+ b5 z6 M* F$ q+ ^
6 W3 t- G0 l1 A ( `0 \% C: m: j4 Y% d& C
* R4 { B3 t: l
" f+ V9 {" m- `3 `# ]4 t; o. U2 p ( Y& ^- k5 Z( X& z
, B( x; |; }: j1 V- L8 S y
 1 j- x* S( j4 X9 J: C
& d: n9 j& N f% j9 u/ |
5 R* \6 U1 b* J. P2 M0 d
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: " R, H) b9 G# E5 v- V0 Q7 v
+ g% Z8 U7 L. e9 I2 o7 o! x
% W9 i2 K+ ]+ M% z 2 A* i( C0 S( V/ }. @
! E! \0 T, h7 H 7 @; K, u* ?4 b8 K3 X' M+ ~
/ t/ D) E- _* p. v
; y' g! X7 U9 X- @: H, h& F  ' G0 f( I. k* r$ e K M5 ?
: Q+ Y" `5 n* _
' }6 P1 G3 U5 u 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
6 F7 x+ e ^; K" T + m' \! k* U" O; s
3 a5 J7 ?; P; \+ c$ r5 T
, p) _- }) C% T4 Z$ g ; c& |, g3 X, t, u7 Z
5 P" B. ?9 H2 b, E8 F
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
# C, ~% E4 @2 o) U' d" G
# O8 i+ Z* L+ f. ^/ W
+ x& y, S2 _; s" |3 M- n blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 0 ~. d* g r- d i" ^
: I4 ?* Z9 x: c O( s
/ a7 G7 |+ j/ y$ p; F& l
, D( q# `. j+ l' T+ R- H7 U
, w M6 t$ u3 p6 H3 x
! P: ~% F) R0 G g( S( S
5 B0 D% Y/ p' y) g' H) K, D$ ^% m) n" o! V. w2 j% [
2 a3 G O/ ^. L7 C ) T" W$ J) m$ C9 r
& X5 K8 _, z1 W
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
$ Z( ?3 s3 f8 U& o% R + w7 g3 U' J& J) c2 g
5 O+ _) A: r1 U; f
' a/ V8 Y" O! k# G4 ~
* G: i+ g0 {: E* @. K" G6 H$ @/ b 2 H- U# l' C6 D1 H% i/ Z+ ]
7 Z7 _ t* w- A- }6 Y }0 p9 H3 Z! ]1 S9 ^1 d! G
 9 y3 I3 ^3 y8 e
* F: g: ^# I0 a7 N" L, v
& b, M( r* a' j4 z4 d
利用ms08067 成功溢出服务器,成功登录服务器 , j( v, C0 A/ o" c
5 n: u! D5 t+ n5 r; N) i2 f# N
/ r, r7 V" y/ @
; [( H) h0 C: k' I# S8 `/ s* J
; }+ {8 A( I3 k m+ Y# l1 t( B& \+ ^" Z, {
4 [2 ~& R* A( }2 s1 \
- e7 G. Z$ x, i" W7 p+ Y6 a1 b' O' {+ g
3 ^( g' u6 F2 W+ J3 n - k1 K6 R3 x0 H; G! Y; s7 o' e8 K
4 b8 K, @ |7 D& `7 X0 V
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 9 D4 _0 b' a( x
5 t* M6 c- ?5 w- w0 b# _
3 k* f. {0 g" W. z3 R
这样两个域我们就全部拿下了。 , i! d% e* U, k+ `* |4 |& q
5 `9 `9 X+ Y! M9 e, h. z$ r- E- n* O7 o. x9 h0 V: q5 V
3 、通过oa 系统入侵进服务器 " P1 M5 z% E) y+ H1 _6 @
+ d4 S7 W# p# H0 l6 ~4 x5 J
' x+ m z3 D5 J. ^5 }; j: Q" z9 _; X* C
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 Y. k! V$ F" a) Q: C0 ^) U
' o9 i1 z* q* {1 R8 z
+ R8 o6 O. c6 t$ q8 E: |. T% {
& G! y4 C, [3 U5 H: a$ t K
- J5 `7 w$ `/ O% s/ z: Z, D" m: w
, ?% V2 E5 u& t/ S; Y
9 ^0 i) i% a% x( u
! E) g0 B* M" _$ U+ N+ O; P 
& b9 E. N K3 }# l6 k, ~
1 ?% ~2 Q3 ^) F( z( U, Q
' d8 c- y9 ?, K9 y, C4 J3 `! ^ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ' z9 a# J4 g/ F: J: n# _
8 O) p' \" i, }6 ?# Z
! G/ F @; L8 \/ x. Q. f
" B5 v# D7 j3 p" a& ~$ L
- P& M h& r% y$ O I- N5 L2 {1 S6 b) G# w; }
0 q2 f$ A `/ E# _. u8 d# G2 l
& D+ K6 G# w& Z! ^1 z3 j 
% {7 h9 c8 O2 l- P7 t& _7 o0 @
; e ~9 a& {5 G; v6 z
6 V7 I1 D# O$ R& p- Y9 i 填写错误标记开扫结果如下 1 o/ s; Z( z; F
0 A% \* i% f- G
) o0 Z: X7 B$ F7 h3 `; Z
% j+ N6 @/ v2 L2 z' D" y
; o H! M/ L5 E; n. P + z3 p) v* p# a9 `8 F+ h
, H: ?6 Y9 d* d) f* i3 S5 K% L
- U* J: B h$ {9 d/ p" {* g  $ h; U, R# l% m7 \! H F) Z
9 e% S7 t, q. Y3 t% Z& Y6 J* L7 ~. I" T7 F& y- A# I) k6 o
下面我们进OA
6 K' C8 K2 |. x& J
( H# o& G) a$ q1 w9 r6 i/ r7 ^' m' B' l; I9 k! x
; O- ~0 M# B# {2 p5 ?; |
! O) P3 ?$ `8 X/ u
9 j, |) H6 X' \6 H$ R, \
: m; J2 z0 w8 m# G8 j" |" L
3 _% J/ h9 v8 H, T  1 x$ t7 R& J) Q' S
! x% P( p. Q, K5 Y7 l1 _$ w# |: d* D* D- R
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
$ y7 P% f) ^, [# k) e
, T9 F8 {2 c) h. Q6 o/ x; o% N
0 M# m' x3 Z, q; J ! s1 Z' w: R( U/ N4 M2 w; O
$ u# R: N% d u" q t, t5 l
* V- T. r7 F5 u9 _4 U
: T6 }- H1 ~. S
n! D$ o4 Y$ i5 `2 v# I  - X, M6 W2 F& O- B- n% |
5 [; q8 c# w3 n. W
9 f% K% k% L: s4 d: r3 e  ' j5 v6 Z0 j5 d0 x
* Q1 F6 V! ]+ O6 v: H. A/ l
( `3 _& Q8 `( P, O& I 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , H% J" ~' |7 z; x% T/ e
+ c) r8 W9 u8 z; R2 f/ r7 `2 a" [4 B" j3 U) P0 F% _; j9 l
4 、利用tomcat 提权进服务器
- a# k% x1 ?. {) J9 x0 z8 c( }' H
7 s3 ?* A$ y$ S$ X1 |& x% V* C+ t, N# V! _+ L( Q% |
用nessus 扫描目标ip 发现如图 % K+ [' x: Q& h P
# G1 h0 {+ A9 k3 _( K" I
3 U/ J; K; F/ t4 E. y7 ]; p# `
; X1 m! Y" u. s& n0 f
R& S1 i% V" G' X, \* ]1 C3 | , w- R/ l2 ` a
X! ]* d2 a; |+ H- h5 `2 Z
8 Z. i; Z' E3 d" C7 S8 r" W  7 _8 [6 m( F" I0 l5 T8 b
) L% r* A' f# k6 d! G q1 I
3 _* c( Q/ d2 N9 Z( u( j0 [ 登录如图:
/ Q! i" {# G7 B5 z# U+ I5 D $ H; X! `5 S: S7 P8 q
1 f) ]& Z3 Q4 J5 U9 V
1 {8 d0 Y: X: b& Q1 F2 H- M
, y% B( H7 z; Y0 R' n
% M! t+ T6 w0 ]/ h7 j' E
/ |' f! T# ]5 ^; k$ X0 s9 \$ x: b3 z- p9 `
# a) u! l/ K2 n' X3 `1 L6 ]5 n
, z. T% P; _) I2 a& T9 z* o1 H% Y* ~% @5 o$ r8 S' ~
找个上传的地方上传如图:
' t; G1 B6 T/ o+ N& g# E; I. P 3 i7 }8 G8 a4 ]- N6 E" t( d0 O
$ h5 W% m/ Z$ C! o3 f
6 G) t! Z& b* v( M. q
& j6 Z' O, N' T2 p+ J; U 4 ^ }7 u3 j, x0 ~4 I
+ b+ I; X! ]9 C& x* s4 _- ^" |" z5 ?' X" s0 C0 s
 ( ]3 @: [4 O. ]$ l
2 K3 k9 h* A+ P9 z7 Z; P+ U+ w( t' S
然后就是同样执行命令提权,过程不在写了
3 S# M5 c- Z* f/ _+ J
, P3 L! }' P. h E- q5 b- K
! H. v7 Q# ?/ W 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 . \: c+ Z+ L3 d% W8 E
8 N* x/ N4 S; u8 W9 V4 j9 c! P; T' F7 s# {2 i7 ?, w& ]
首先测试ARP 嗅探如图
: f' E. F) B2 b 8 l+ ~: m& `8 l8 N( K" G) A
8 ^. O* C7 T! J7 z # t2 v& |: W8 b3 O
& u C9 a% W, O6 o7 B- f
- U3 o) E' b) W0 v0 P$ j
T4 ^6 I9 L# U& A+ r1 O M
) j; C2 ^+ y( b& \3 o: T  N. i4 \% G' i8 U- ~7 }
. I9 J/ e# p4 p6 ~ ^0 `0 p6 p
' P& W. q# W6 b6 n; F7 ~
测试结果如下图: ! `- o5 y8 b* K0 U# B/ _
% v5 t& e/ [9 E6 p/ K' j- S3 W
2 h1 s# ~4 m( p: p# H! p+ u
# l% C3 @0 M1 m; D3 C# i: {, w - m7 n7 o5 n7 i$ k* K
4 B" M4 o- z1 m: V% H. f
' @7 L* o8 C h5 M+ B) F' o9 K  ; V9 @6 G8 n" A. d" ^# L
* B' O' \9 q+ B+ w, `4 |, z7 I1 h7 [. ~: l1 V, {
哈哈嗅探到的东西少是因为这个域下才有几台机器
. s9 C- I* Y7 h 7 e8 c M; n2 e( A8 j
& d9 ` [/ ]5 p
下面我们测试DNS欺骗,如图:
`4 ]( d5 X) C! c* j
: _1 F y2 j# \) P- h+ S& N5 L
k, N- R0 n$ L( W t) a9 U/ w3 k
+ g0 F) \, z4 L* z- q
$ p, J R" D) r7 S( G 0 t9 _9 g9 c! |% \7 ?2 A
, v) F _% k. G- Z1 h3 G: L) ]0 V4 u2 C) E
 ! l9 d* C/ x B+ |3 C# J: o' ?
( V2 ]3 y# [5 S7 r7 S' }) I- `8 S% l p9 _. {" U
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
7 h9 ?' c+ V4 Z$ ?5 b
' d0 [& M( b; m# d6 O1 c! n# I7 A9 N% r
1 U! z, o8 n/ _8 A, c8 ~% k( C8 Y# E
4 ^ q) b3 n. `* I' r
8 M* z+ x$ S3 W( H5 l1 w, x$ T6 M! W$ V
! i6 G4 ? I+ a. X1 w* n7 u- j6 v/ U* Y, B6 [; j
9 d( \8 o6 ~# W' T7 h. g& L6 N , g2 g( y, l7 p' J
9 ^6 Z$ \& s5 X& C3 F3 {3 z
(注:欺骗这个过程由于我之前录制了教程,截图教程了) / N3 k d$ D& y, b8 O6 v. I4 @
5 W0 b! J$ X1 M5 b
9 F$ f- x, Z+ b$ L9 J 6 、成功入侵交换机
& v) @+ R. k) g5 u O9 V& F
- D Y: |1 d5 F" a. }* H8 i3 l; z' J( q9 M& ]
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
/ _5 h! m1 S) {( `, O, W( Q 4 z# g# U' X0 q+ O/ V
8 u8 _) W0 [# @/ _
我们进服务器看看,插有福吧看着面熟吧
8 a- i$ V9 S3 l, ], ] r 6 {( I# C2 B4 D8 V" ?
" W3 x7 _- Z3 j6 ^
) }; e- w% b. {2 w& g+ J2 {5 d; ^) D
, k* S$ k$ m1 u/ {. s4 Q
" R D& D& ^! M( F" r o; Y, M
) [) f4 m# e" S3 Z5 I6 t2 \/ q5 L- |( q9 u
 ) B$ B, X/ B4 Q) e4 F+ V
* e9 V* n9 S/ p& s( @6 o
+ a& g* O+ L5 M* }8 p' ~ 装了思科交换机管理系统,我们继续看,有两个 管理员 - O0 U. x3 q( u4 }2 {4 C2 p
9 B1 X& }+ ?0 [: B |
7 X& }# ]' D. ~) B8 E
: `1 I& }0 e$ H
0 V j' n8 Z' T3 Y9 L
6 K8 U: i% P+ m/ f$ [/ F
* [+ H4 u" e f) \* b1 G
. ?% K8 d6 Q8 }4 I: A; H8 ]  ; j% f5 M$ f# D) t
* I) q' A2 x" n
5 b4 n9 W6 z9 L' O2 E/ M: G" [
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; T) |* r d5 O% w, s% z& ]7 _
: @: _" P5 ~& B$ y4 D
) a& c1 H- \7 K5 y1 g
- \, Z, {0 t) l9 ^0 R9 j q
: ~- k% y7 I5 B) S; y# p
4 \- m, K: N y2 A' V0 t/ q) o! D- O% [
5 S* ?; }( H& l- F" [1 V/ {
% q4 R0 a# w/ _" g- X7 {* N) ? 
# D* n- h3 M' G. L; p" R& c" s
( ]+ ~3 E+ }: I4 g- U m& g( {9 Y
( \# K! Z; ~# s& y& u% D% W: D 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
/ {- ~- e+ [ p/ T' q- B
4 H& O& U. R6 }$ Y& U X/ p% Q: f
- @) D# w$ \7 Z
8 h# _% H& e' | [- m& o$ V
$ }5 ^" o- ?0 n3 a; N3 G+ w- C ) H1 t+ z9 ^1 _1 N9 p; [
5 _! W3 u7 P1 y5 S
( h/ ~$ G' @3 y1 r) i/ ]# B: \7 R" [ 4 A9 q0 |# G* b1 F4 }, Q" w# I
' F6 S7 n6 g* a+ K* ` 点config ,必须写好对应的communuity string 值,如图:
w3 L. K# w" e' t1 | ! w' V& Z$ R: b1 a0 X* O0 v" u% x3 w
! Z( A, R2 v) M b) a5 B G
7 B! w8 k- Y: \$ t4 m
7 P+ |! C/ Z1 O
/ w2 g' n4 W6 H% u9 o7 M
+ c4 m. ?: _6 [+ |2 U, ^7 C2 D4 j
! T. f; A" a2 Q6 n3 K7 s) q# ~ 
3 ^, ?' f) ^4 F1 [( N) \$ v
b |3 ]3 k, y. V! ]
a- x; N! A$ |' w ?. ^* z5 S 远程登录看看,如图: " {( j' a Y- E- k T$ I
( C5 B2 k# X$ _; A* p9 C
" P2 e( v+ m2 B4 t o( r
2 E: K: u% p# N: W8 E% u
& f* j: _0 t* }0 M2 W. K. O
* q* ]0 A7 Q- P# g. @1 m" }7 A # H* q, e" P: b1 q8 q
. D/ S8 G" N, |4 p* \
 1 U1 M" ]# |% X
% J+ U4 |6 T. G1 Z: e, E4 M# d! f6 M
直接进入特权模式,以此类推搞了将近70 台交换机如图: 4 f7 p4 C5 T! I
3 @/ V c% S# X6 _( |3 C" R& l; E8 I% Z( F V7 p7 w4 [
+ `6 k5 w& N6 T6 w
2 c+ J- g, t8 O
; k' ]) k' i8 Z% X& P" ~- C ) |: U# O5 d: Z. D& L: w3 F, @; @) C
# C( N8 a/ X2 j
 * i+ k& P( O0 H9 J' g
( Z. ?: n& a# [: {! \
& }/ Z* E$ w$ C2 h 
. y R$ S( U" j! K
5 C/ H4 b9 ~+ P9 t9 A) z7 _) `/ [. p* @* K+ R7 [0 U8 Y: v
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** + V% o: l9 `( {3 B
: ?% ^5 @" N& [' _" ~
7 R, Y; ]0 E8 z" y4 A
" t# v2 I- \1 C
0 e7 t* u: V3 v0 e/ W( h * [4 {3 K) \, l
, @6 n7 |4 @# V. g1 `3 { W
/ \* I/ t- B2 F4 |* @( t: H 
6 O( {& C& A* D# K5 e" E) @ . B9 e; f! C! [8 s
i- w6 N3 Q& C. M: ]" z3 k, n
确实可以读取配置文件的。
/ P. b3 }$ G5 _1 ^) W3 }7 | R
- @3 K0 s7 v& U% P; J, X [ `+ `# ^" i- {1 J( v- G R r+ w
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
/ E6 Y9 e! C8 L) F , i7 z+ L7 p1 H- o
/ U* I* S& I; m* v# Y" D
! G7 n. z8 G2 B
: f6 I5 Y$ {8 z! r: ^2 k0 y5 w/ r
6 f4 I% v) s4 \
! `! w2 i' I9 @9 v' o
8 o, \. p* {6 u; [) ]& G
( R# U3 U# Y+ s d8 u# D
6 j- O' |* {* Y% s8 S" G
7 E- [. W& D+ D$ g1 @/ Y8 v 
: m+ K. k9 F5 [. L) D
* p7 r8 z% m& ^' K3 K# K
. l) q1 O( |3 ], ]+ Y 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
! P: H! h9 q- i0 Z1 ^1 X) e 3 J% C3 F" h; z' A8 u/ h' r2 Q
k; s5 i0 Z5 ~7 c- H" K( v- p
! a0 @4 r/ i" X* X' ?5 B/ P
* e( z5 V8 c) C8 o( e7 t
; d$ F7 Z R, h; @) {0 v
( @" Y3 K; b9 ~$ X* v0 `, c) ~' c% r2 ` ^3 f! }
5 S1 Q+ S5 D, Y" h
; o/ K" \; o) s% e% f* ?
. a! T- N+ _/ V- A+ E 上图千兆交换机管理系统。 9 Z1 K2 F+ G9 v5 B2 A
: n8 k8 C5 q# t0 }" i
- s- W: Q# k8 u7 U- l 7 、入侵山石网关防火墙 2 V2 V& O3 ]7 b/ ?5 E9 t. P
4 B* U! a- p3 g( w0 e
' S2 [" H* q( G& ^/ G! K 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 k5 N5 S; W2 V$ s2 X. d5 _
$ k& d! F. G- L" t) X
( J! {9 ~5 l5 w; X5 |6 J# J
8 ?* l8 B" q/ C0 L
$ o) {* W2 L* v. ~7 [6 f
' v7 ]2 _" |6 L% S, r & t% V3 |9 W; U, R' A2 D* E7 c% a5 f
5 H: j& Z% A/ V5 z& l! s* b+ ?9 Q$ ]1 t  : b8 d0 y9 c# e8 |
' p' p. q; v# t- d1 F$ W- C
" B* _( V) l$ Q 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , }" b5 p2 w/ f2 T+ v$ v$ |
( ]/ }! S* g4 O. ~' X
( s; E- O! U- z6 K$ q, ]0 s
6 e# B4 o- l0 w- m4 c# H
" w) L7 E6 e3 Z# p0 P. _' ?2 j) }
1 k$ d) k$ w0 S& i, u) a1 H 7 _7 { i+ F8 M2 A% Q$ o6 Y& Q* D
. e, J" Q: E1 a) W" y4 Y  + y" A! H5 o4 f8 |! R/ s+ ^. r
; p- P0 n8 F# c: ?* G0 {1 o2 a: \ N" {; x: H& c' m5 X
然后登陆网关如图:** 2 W2 N: D$ N' G% p! Y5 J) g
; I) V7 Z: q% Q* s1 a6 m
; r6 }5 Q% y0 j4 u" B$ Z
' L9 I* D1 Q9 C1 A
* c9 p" j4 `2 d( c# \+ h/ ?% }
) n+ h% q7 B: T4 b ?1 m ) f) ~. a- c3 V9 `8 l3 g
: T- u/ w. w! w7 E" T2 |
 ( A3 f x, x w9 Q: }, ^$ z
j: b" i; r6 b, y D# y) X A
, \+ P/ y, Z6 Z) M
. Z y p9 x, u, k E
" x1 E/ x" S+ a % A" Z, l: Z0 C6 |! U; E |' b8 i
0 L( h9 G3 [, U9 H5 Z T* q# P
, X" @9 `1 Q2 {- [/ x, ?# L7 ~ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
" d) y7 k% X1 q; r- m; h2 S 7 s4 k: R+ t0 `% a
' E+ C3 ^* s; F3 e- ` 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
3 R7 x2 q8 v5 k 4 I; x/ j1 R) M4 R, w
, @- u8 f; N& b# h' |. U; a
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
, b: Y+ v( h# H$ U3 A0 h1 ~ # n& h1 a% Y* p: w3 v4 D
4 ~4 ?3 o: F6 ?2 K% q5 ?0 X
0 k* R' Y/ Y1 h7 e9 J" Z
/ S9 E/ v6 A+ h* q$ a0 ?
# Q4 |- D! w) |* t
6 ~9 `5 m5 K# @4 C2 Y! I
+ n3 c) b# V+ l- A/ v/ j& b" O1 F) j  3 R# Y" T ]: ~, B; K1 @2 Y
: `+ D2 k2 l" }- @
) b' E1 {! I3 ]+ L- ?, m 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
. u$ G& m8 w2 O" J8 O5 o
, v# C; \ h' z" w/ w# s0 l( B" j, Q7 Y' T/ J
8 d+ p& t" n- N0 p S / _7 i9 N9 j; w
, F# U- H2 U3 q$ |& f
+ c4 L9 I4 C( M
2 C! V6 m' r; K" Q' a4 N1 K# o/ {# r" j" _/ ~' G8 v [
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对