|
1 h3 ?. a7 I) Q4 L) Q
+ F! u' [3 U# Q F& v- t 5 h1 ?: z1 a7 p9 a3 m8 L. n0 D
8 T# D/ o. K, D9 w& w 1、弱口令扫描提权进服务器 5 D1 w6 b2 J+ x( U
6 D' N. N" _7 v1 L
9 H. y, S4 r1 r$ N$ H6 U4 e1 c 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
% E5 g1 P3 k- x( K! r' |
$ S! u# A) E2 ~7 P6 ]0 s6 A
) w6 H' H5 R0 G/ R
+ s- a% c% e# }% b" x, [: o 1 N6 x; v9 n9 q: l2 ~. z( \! R
, R& |, q0 @8 j3 e
% L1 \. e& @, X
. H5 {$ x# y& A- g1 n% {
- P. b' d- a; y" e
6 g5 K5 G% j4 [
) k# u" i' S, F6 ?! D( x ' Z# S: @& k: h- x5 J
, Q- A3 d% ]( h8 ^2 f4 _" S; a
& M" l. I, ~7 X9 y* O3 ~; D
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
) d1 C1 B4 T+ Y! G q( t1 E; U/ s
6 A6 l- a; `8 f, B$ p. t5 o
6 W5 {% }' W$ |6 S 执行一下命令看看 B+ s4 E3 v2 _1 S, R
# s5 F5 S; H( X/ j) e
8 k) h' C+ p: y j; I: K
# @, w5 R( L8 k 8 x6 f, c/ M7 Q4 e
, [& L6 E- T' \) \5 D/ h+ w# }
) z- T ^' l( d- p3 Y+ w; f
' X; A! {7 Y" _
4 L3 w |& ^! U: W2 j3 q7 M7 g; d5 d
9 G+ E& q7 `# [% e* i$ [7 ~- |3 p5 w8 g. R, l
开了3389 ,直接加账号进去
% T% c: e, P% Z# \
" u8 ]$ w7 d4 x* V. W$ B1 m
B) L% Q ?0 \' U, T3 S, \, Y& N 1 u! y3 k' m% Y; r; e9 [/ H& B0 O
1 G& j& X! G. J
3 m: i# V* J) s* B: m* W
6 R1 i9 M: N( C5 B7 }7 Q2 l4 ` ]7 n/ G0 A$ X
" i; a" r9 N- {3 C4 p6 q; z/ l
! ~1 m$ U; ?* F
- E6 @3 A* g' j$ T 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 + Y" Q. q$ H7 v" D6 r. t! L
" e4 F, U& A% r! M* S" G3 z6 ]: s% I7 ~. w: j. g
3 M9 j( d7 z; t1 a* q; y. ^/ d
. `! k1 i" m0 h7 \; p/ `9 u 8 {0 u5 T. ]# Q$ B$ g6 _) G
& t8 B. b. \; n* U! r
& a" c' r r+ _$ f$ m & P: Q- D/ E6 R
: c5 Q8 y4 Q% L& x$ |/ S6 d: K) g4 E3 L
直接加个后门, 4 M" @ {& @- r3 S
, r* C1 D$ [2 l( K3 L( m n/ y0 _8 W- h; Z$ F, s4 ^ v
# Y8 E' b1 I2 j
+ Z9 i8 E6 h/ K" {* K
) d# @3 j" R/ _8 v. Z: O
: [; q6 a% [0 S# q
- S- e# V3 _+ ^ : ~ C9 A9 p/ s6 ^% |1 [
, x3 X4 L7 |, f' @
# o+ e4 u% j& E4 G9 y, { 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
! H( c( Y( Q8 Z' B2 F
: P8 E( T* h* f! }& `8 G0 `- P( Q8 S% y: B; y- g' D
2 、域环境下渗透搞定域内全部机器
2 v" D- n. u- G, v$ F ) f2 G, d# r/ L# L5 M8 X% A
5 i4 ^% n2 I- T" s2 P* s
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
T, H: `; M4 G" u 7 D9 n$ y7 o) F" \' v
' g1 C5 D) `0 N& C K$ |# F9 ? 2 P9 {4 k9 V4 ~( {. }
3 H8 ?. p2 z. h9 X( ]9 b" i/ t 9 r m" J, ?; E. f1 P/ P
& _6 E9 u! f" c2 n2 c( X8 h8 z8 H; n& \6 Y- q c2 ~6 W
* N% Q7 \: O) C! n3 Z $ l e `, J3 o: N
+ ~* A8 m. l- N
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 % S: Z! k1 e! I4 e
% K% b2 r! `4 w/ z2 b+ W0 s+ q4 c. ~- \2 ^- a F: S
2 L% j" r$ k1 L- O1 v
/ O, z/ m$ }- U% f1 m( Q
9 T& {% T9 Q3 p" z. R5 D 1 y' I) P1 `6 A3 k, q% N) B8 i# S1 z
! A9 n6 C6 U: g3 W
+ h" d: V; ?/ ], ~1 L
7 H4 J: d- }4 c' m
/ @& f6 C6 Z9 _5 D: B( D 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
) P/ ~8 i: t/ v) Q/ s # F* c4 e. q" V: r4 g! U% d' ^
! Y# U: K0 F7 u# I / p% C7 N3 S8 g) ?0 M8 _0 _; t
* s( ?- K( ?* s" k* H2 \
1 w2 g. u8 r8 S/ w9 Y
6 r: o/ ~4 I8 V" E, M
^7 i5 t- ]. d& N$ g
; T# \' o' B$ w0 Z6 s: r" E o 4 A4 W- r" Y5 ?
9 p2 B0 i* I9 F8 ~% }2 ]# Y
利用cluster 这个用户我们远程登录一下域服务器如图:
" ^$ ~' l, V* X/ @2 C$ G6 X
: i$ }# ?: B! Z* W8 m1 Z
$ U& Q3 v, X Q2 ^) V
# S) P( I' l+ p8 ^. Y 9 m: L0 m; A) m$ Y
/ d e ~. ~# [. A* y6 @! l2 i
2 U& B( Y: u* o% G! A' Y. |
d- i: c. ~1 t, x9 u8 R5 p% W
p# D) N6 {1 G& j9 r0 X
4 N- J" P2 u+ `# U% ^9 S
, I/ ]# b5 x5 V- y2 v 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
& @$ P t' I8 M& y5 e
( {) x8 o% y& D7 h0 r* S. A
+ B* }* A; h% x) } 3 K8 I7 o) K! }6 {& N% B+ T; \& z% e
9 n& U. R( |# E' l v/ ^$ \8 A8 @' { 6 |0 s- p, i; U" J1 \+ N% ?% u4 a
/ l6 u( n! M( l5 z; V* \% f. m+ n/ b* d
6 Q) N5 X; ? L% T4 N6 `
8 |( l) N z! a, x0 E
2 D) _, _/ A" v K4 X 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
7 q: K/ v7 d! [* j9 c! H. j . R- ~9 W/ P! Z0 X+ C
3 l' }8 d, ?3 m' @: `
8 r8 H3 B l6 U Y9 L
& L% C9 G% o' S2 D/ D0 v8 u' s- i
Y/ \" J' q2 R3 |! m 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 8 B7 U0 J) [2 L8 W$ [( q3 b
& G5 C, d& [2 A
, [2 r7 O9 r( y blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
3 s" Q; M0 |, ]5 Z% [# O+ ? 2 r) H: \3 ]4 J \* ]* S6 j4 t
( h O5 f2 M$ |5 y9 c
- K( c0 U0 o3 \9 I
+ w1 B6 I& K }5 ^5 { 2 Y3 H# q2 i% }6 @
+ J+ Y) K2 H! w4 p
+ g) a7 g- x U/ g7 ] + a. G# Y$ \1 U z' [
5 E7 [( o$ |+ S+ j" Y1 k x3 y$ n8 m* r, k, z# R' C. I* y2 D
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 & g' h* G8 s9 W8 r) F) Z! T# t
3 ]: T8 w7 G* D, A! z( R
' i! N) {/ v1 y4 f3 v" p( J. n
4 y# ^( }1 ^: z' ~% G 5 U6 ~3 M% h/ x% ^/ ]# }
4 I, I8 ]: g: x
& ?. Y9 @: ~7 N8 N
3 j: p# N! J7 F" `1 @0 ], s6 F
7 G* h% S" |, @% T3 `( j- K , z+ @! L& }9 l) k8 j
' }0 v; G! q9 C r 利用ms08067 成功溢出服务器,成功登录服务器 5 b% F! u1 V& U: Y2 Z. \1 t
- _8 ^! X6 b3 n! a% J- R$ k+ Z3 c$ _# X1 I5 l* m, [' j4 i
6 Q* B. E& |( e' x2 R
. ~0 R8 E- Y; T1 N/ k' e( v4 Z ; T& C( q! ~/ L+ `5 x& `6 y
+ O9 |0 b) J/ S
& X0 L5 a0 F" v6 C7 ?) v 9 u! h- `3 G. Y' }4 l
: `; p" r. C2 g& c& A
R3 u. H W" ^; Y! N( a 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
2 F S) G5 O' q0 `# j - m% J: B7 u# D, G3 b& b0 E
9 M3 a1 Y* D* l 这样两个域我们就全部拿下了。 * U; B; \! q8 S# K' @. I
* o" X) v$ z" J0 x
8 e3 r! M# _: k0 p r s* T6 n 3 、通过oa 系统入侵进服务器
- s( w, C. T- r) L
& ?! @6 m' e" a/ d: u2 u1 }) g. ]; m0 r
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 [; Q- ?: h' c- W _" t _* P8 Z3 t
# M! _4 k' I8 S' K: e+ ~0 c* m
8 K( s# n8 P& ]7 H: l! D* y6 E
: d9 D3 }) t% j- t0 {/ l% P& P# n% `
5 R ^6 W k+ P- w& o) v; C
0 w& _1 g% q/ }
, D* R: N. `- h
9 g6 y; Y) J. E" N2 _! B
2 q5 l3 e# I# E
# Z8 {& z; u9 E0 [3 G; K 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
% ^5 z, T8 T" U( b( y+ f% j ; a" H- L7 a$ d7 r
; b" Y0 M. c3 \( O. W9 w/ k
* K. X, o( ~5 j9 G ?% C5 P& |
8 {# w, Y3 t% y. F7 v 4 J! z. i( i( {0 O# y
0 R' y( ^% ^6 L9 \, H: A4 @# Y- F# o9 U, H
8 O6 {* [$ @, N8 r% R
/ Y$ N; N0 o+ O
1 `. r5 E# i. |0 X+ w7 N 填写错误标记开扫结果如下 / {' t5 Y, i$ `8 R2 c! Z. g7 p, v
/ A% N1 X! c$ e. v6 _/ o
' n7 h+ L9 C( {* P
% i: s% v2 v. s) q: Z
4 j. _5 r. v6 x+ P6 \
5 ^: K8 R! X& P/ z) J9 i2 s
- j9 k( f& Z% a" r$ ?0 f6 z3 ]
0 h* A$ u9 C6 D4 ?1 U( b# J # O& u) X; [% S: U) [/ V: |
/ Y* G# K# ], M+ Z% }: z7 d
6 i2 g' N) t4 ?& H w4 ^9 O! U6 t. A
下面我们进OA + P3 E" o3 q, X* T& ~+ R
5 H" w: s) p( |/ \, E
4 `/ v: }- x( b" @: Y* V& q0 u/ [' b# J % }# U2 u, K) n9 Z/ P: x& [ E
( O$ [3 @5 r, a. w" T7 R $ m2 b: |+ u! O+ _- t
, a2 t, [+ P" v1 S) j
: b. k! f p+ A" v9 [ 1 A$ h E; ?9 T% z* W3 r, t
, r7 r1 K/ C- a$ c/ O
" O7 g8 o/ @7 R4 u( q
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
6 I7 o+ Z, V9 ~3 \
% _9 E# M. h+ H' ^9 R2 \' K. o( m/ i, \& j& d
* b7 v$ K0 L# ?( }* ^ 3 a/ w4 R$ U% \; V {: Q
9 H1 M6 Y- U2 L
( t- ` |! y& u! g) _
* m! B. b. _1 Q; l& E! H
$ I* I1 I. s' x B
) S- P" z. g* r% z/ {; i) k, \1 m" j0 w
* y: G. x" X+ k& Y$ P8 T! w
; h# D0 d' K" N( p- W8 d' C- S+ J) B: B7 i# A) D
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
3 y8 e: O7 R6 V
% Q A5 a4 ?2 U; q9 w7 b' T+ E& z9 Z0 I" J: {
4 、利用tomcat 提权进服务器 0 [# N I, i1 M3 y0 h
% M8 T& c( K9 u
1 d' K O2 i* v$ n$ f 用nessus 扫描目标ip 发现如图 % H U$ f5 T- \* P$ C
, E5 U8 o8 }" s0 \
; S6 E9 v. @: w/ R5 ?0 i. ? & J# k' x6 o9 D1 q* c- c
" n. @+ F) v4 |* A" k& w
) t- X9 O4 ~& `. F# N7 J" x: \ 2 _$ P: X; h1 @( J" p b
% s) d' M5 t4 M3 Q* w+ S
7 ]; f6 y N; Z1 Y1 i& {
4 I+ `- @7 q1 p2 e+ f' _. e
8 s5 u; s l5 u9 h9 R# E 登录如图:
; ^! C) T' X S+ x % I ~) d) ~6 G7 ]% S# B
; K2 z! B8 F- N2 J. O: x) o
7 j* l9 a$ u, j. Q
" l8 V) B. [! N/ E
, I! A- z6 h+ y) w& |+ U0 o7 \$ j5 u
' ?6 P: _7 i4 ]6 w' |7 T9 p
, G$ M8 j8 H N3 o4 a; S. S# G
& A4 z' g+ y: D4 o
3 ?6 w& D `+ [. @1 K+ i
6 t" ]3 f" F/ m. f5 V 找个上传的地方上传如图: ' @* T! m: ~1 O8 i: z6 }, X h
" Q& K2 z7 E& c$ v& f( a9 w# x+ v; {
$ g5 c& l: v4 I' J& [' d
- \% ]- j$ c/ ]+ |7 H6 d# w
' B% ^) e! V& f( ~' l6 e
. R3 O! w$ k1 e2 h, A' G( K1 n) w- u
( W0 M& J, i6 h1 x, r
+ V2 e$ f; o! ~2 \5 h& K
1 b( y2 S* e- J5 H! Q 7 H/ y' E0 {$ l2 M
6 p- \9 }/ u7 d4 {2 F- b V1 {, `
然后就是同样执行命令提权,过程不在写了
0 \( n5 U O3 E: E& ~ * b* K4 \ X. [' ~' B+ J0 K B
0 {" t$ a& o5 S
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
/ j( d' B, H& A " t) l7 h& k% z8 _
9 C. g" K7 Z0 v' d; c9 M: r" z 首先测试ARP 嗅探如图
5 c) w6 }; r7 W! g) t- \ 2 j% @( x$ @+ l9 |. K2 Q* a7 {9 b
1 u( e/ \4 F+ z# ~ 2 t2 |/ U* Q v- S, G1 q% V
0 X7 X! i* C5 H0 M, d6 ]
B' t; F* F- \. G2 u# D* Z8 j
# D2 {" m2 o& F
^, M2 m7 w% J3 l# Z 5 ^$ J4 r: v5 |
( l/ x4 }: D# h9 _2 @% a
1 n+ b9 {) K. a- p/ c' g1 X8 g
测试结果如下图:
2 f) y7 j; r- k, V1 k Q& h
8 Z/ i% d# Z" \# w& O# |. ]+ h* p; L$ P0 k7 D2 N
; g& n5 s+ ~! i+ C
7 T+ X/ J+ ?; P3 Q* ]& z1 \5 M5 o3 s w1 d9 `& a& A% X5 B
# P( \3 k; Q( P1 V+ [( {$ f% t
R; M: W' V" t4 ` ) X0 y1 k" ]; X' o7 B8 W2 F8 K6 V
) `" @ g+ Q- k9 d6 k
8 F1 c* l% F4 o1 q3 F* u8 R6 G" T 哈哈嗅探到的东西少是因为这个域下才有几台机器 , i1 s! {5 t+ x9 V$ u$ R
8 P' f$ ^- J7 M1 F% O9 _
% o4 x% ~3 t8 U
下面我们测试DNS欺骗,如图: # [: e: O! O9 m2 v9 \; m7 ^
' d' O! `& _3 c' ^ Z2 X
( N# h# G4 t Z3 } 0 Z; ~2 q% ^, F. U
3 z! J+ K9 ^! }0 s
, G) R. ^1 u6 h5 @/ q j6 K7 j 1 l; F* e) ?7 ~$ ]6 u$ J4 y; d
# l( R# U& @' {, \' f
1 y: u* q. u- W4 r% \
7 G! Z# |8 D% L5 @8 Y% l3 n) P/ P, y5 \' F T6 W( q' F+ c8 }& q
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
( u7 g R) V# @* Y
# Z1 s" S( K3 |* _0 U, Y
, ^2 @( q7 o- Q I; {# g7 H " O* F7 l5 X- A( L: M# J
+ F% k$ m7 r. k
8 G/ k* P# L0 ~. D. p3 m
+ h: `: o; t8 w' N* t, J# m
2 O4 E$ a. w6 }+ T0 @% X
8 I9 d) v6 G q: l. R- {6 L 8 B, e# I- P& e l% |
0 b, I0 q A; l- b' A5 v3 e- h (注:欺骗这个过程由于我之前录制了教程,截图教程了) ( C. Q, j% |2 G; E# v
. X; k: D/ S) {& w1 o, h" B+ j# P, b4 R
6 、成功入侵交换机
" @0 l1 `, |1 q9 k( y* L ) a* n' [( s+ X5 L; ^7 x! M
* v7 c# _5 H( \- W1 X 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
' p& C7 V6 J& T9 L9 N
5 _' m+ A0 a# |; q9 U, W
7 C+ L& E$ r% }9 I9 C6 O* ~' t 我们进服务器看看,插有福吧看着面熟吧
) u$ k( o/ G6 r. W
) f6 ?2 u: x2 h1 w I
( K4 P2 K8 y+ e# t5 B 8 @' B- H( _; P' a
2 c- C6 s( |0 D) V2 L- p
, E. G* \$ ~7 b% Y! z
$ b! {5 @! E/ k* ^9 ~9 q% ~2 ?" Y6 d
5 V% ]) g& l4 e$ O) w
& h7 O t; O9 H8 J1 H1 {9 _
" K' T3 r3 O9 \2 |; W" _0 C 装了思科交换机管理系统,我们继续看,有两个 管理员
+ X3 Q; @. q/ P: `
* i: C7 e$ j/ H4 ?9 H6 M, ^* Q4 e
- T1 l! \& f; d! e8 O& @( f9 T
8 G8 }2 @8 b: k( n/ F* [& J
) p o, p2 r0 _, e! d % H5 u1 p/ T# m- T
) m1 \/ |- E: ~( E1 |. B C7 _9 O: r: {! E4 l+ D
( S( @1 c( L: x) k# h" n) K4 |: ?
) u! X0 k) m/ H7 S+ x1 v7 g% `5 i$ X6 D9 j
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
) f' R3 U- t. t" b3 a3 |
5 P; _+ K6 d# e8 @* q9 W; [: K. [$ j+ _; L# v2 w+ x) Y3 b7 K
# [) ]4 I6 Z8 T: Q U" b
- p$ ` Z" w6 y, ?+ t8 @ , ?) a e) R* q6 ^. O
- N5 }- W2 }$ b' A2 Z7 j) B
$ p& h0 Z+ p3 C& [' R& v
' X9 P b9 n. u
8 @% F" w: d A7 v/ H3 D' D7 B
4 d$ [9 K: R* f; P+ J' D$ g2 D 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
$ ?' b0 D+ h+ a+ ?8 I 9 _! z1 `* @0 N3 w
0 o" r' R1 h4 j) ]0 H' W
3 e2 a9 Z# H( t9 J5 Z" n2 `% K( f
4 Q/ t b6 I' D5 [) f6 h! c! p2 Z - m7 J2 B0 `1 [& I7 r# D# e: K) d
7 R7 u0 |+ f. W- M
% \# _$ q- O* `8 C6 ?0 P% y. C
$ S6 X$ g3 ]/ S: q
, p% ?& A3 x3 J8 [; t" u; a% _5 _: E' W5 e
点config ,必须写好对应的communuity string 值,如图: 5 A& s( P4 W `
, G) j+ e$ H0 h0 D. ^9 E# y) {* _/ O
$ o- X5 l. s2 `
& I( o6 B+ ?9 G% V6 k & w3 y& I. P7 y. |+ T8 o
T" e9 h3 R0 ]) v* M+ U( F6 a6 S) o: j: l. r
% V" B+ Q/ L! v8 \ Y : h/ B$ b* L: ~% v# k% S
) a- _* o: _( U
远程登录看看,如图: z4 Y" `' N+ K( D, A( C/ N! f: c
8 ]( A) Z1 \" ^# D' Y3 b$ o- E) D2 v" {. j G
& k) w& C m5 N/ [* m+ q: }
% [3 F/ i# e9 @: f) k& y 5 x/ V& e+ L, D* h4 L+ j
/ d# d: M |0 m9 ]8 r
4 k" C9 p3 d& `! ] / ]* ?/ u2 j( z; N" H
8 _. j$ h& ?% w
. {, A! G: v$ i 直接进入特权模式,以此类推搞了将近70 台交换机如图:
% ] X) T7 s) k, U! B 8 A$ Q6 f" l* G+ m9 m0 U e
8 i( @0 L6 ~2 z7 I7 t& C/ H
+ R4 `0 Z7 k6 c# s9 v4 ~
~% ~* c0 d8 V& m8 r9 P3 S7 U% x4 e9 P
8 d$ A% R% p0 f# e7 \
_1 n4 w6 [) v9 @ |! O
. a9 G. P7 `& v0 `! B 0 Z& a2 x& A$ B6 \5 B4 ]$ y
& M+ K3 S0 z; }6 Z
1 ` j& y" I% F6 J, h S0 S7 L
- N c; G/ v' W 9 B( e7 V5 b6 ~" d/ r U" s0 e+ r0 R
. E2 z! i; v# X: z% |, Q
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
5 L4 |* A: ?9 Q
7 w+ R5 m, s' u3 r \
9 |5 F; m1 V# Y( { 7 q4 s" \9 Y8 |9 t$ D
; J+ a7 `4 C9 b/ {# b
+ i4 ?0 R' l# W, C
' v& K* L" g* A) S( E7 }
6 {3 N9 R6 ?# ?8 |$ D' E# | f
# M3 J$ T; C* k/ V& O% P 9 T" k" G( d* e! b
: z# C/ u5 }7 s) ]+ }
确实可以读取配置文件的。
$ `9 {. T- O( f a# B3 }5 X) u# ~' A
# I3 a/ m& h8 ?+ i0 ]& H! D. T 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
4 E. i8 k- ]5 o) V2 }
* d6 t! S0 z3 V( n) {' j7 K: K
$ l3 m& Y0 I' t$ T* T9 A
" y' m' b) l' Y ^) d
1 Q: g* p' V" }. e6 ?* |
# Y; u; _/ z* v) Y n8 f z8 o2 F0 y0 z+ K6 p
( J* C4 s o. ?7 g
- a/ ~1 S- W5 n8 P: z* e; Y
" _# D, W: s$ Z5 S8 _0 h) x" t1 ?. t1 I2 w" \6 x: O
, V" W5 p9 f+ Z5 g* \
( B# Q$ t/ q4 L; e) n, w9 O" h! z
: K& E% }1 O9 g, T4 m3 _! } 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
2 A2 F: b7 W) ?8 H" O6 N* K% F ( U7 a. l0 `: K5 `9 W
/ Z9 U- B# Y* b' N0 e
* y1 Q& c* ]: S0 W 7 m1 ~% u2 Q$ j5 l7 M* p T7 t
$ L3 e4 i/ e6 N: G4 o. l( F
K, f9 I5 j, \* c* o H+ V p, F
) y, `/ g! w) k+ b' h
: h& n! _3 w5 k* e2 D) _ 4 E! r! A* X( b* {" l
5 B0 X% Q w) K7 j- s 上图千兆交换机管理系统。 * T: C1 b2 c6 H" F: ~+ E% Y
% R% P/ T- T: l# I7 B' S& A
# }/ U4 {% d' {- k" y 7 、入侵山石网关防火墙
9 p* a" ^; P7 Y/ z4 W2 ] 2 w3 G# c( z7 M$ M- i; w. h" _
; y/ _. a, V& q( v' m! }" ^
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: " h/ O/ y2 n: g1 y
, {6 M) e% ^. ]( l( h0 `. O! e t! ]% e
2 I" W: E' [( @6 K, a
( ]' s7 G$ y9 t s; K5 p
; e" A; \0 r- |% O6 L ; T% `( Z, J) \6 _1 _0 S- O
7 m% _. y; n: h0 r3 w4 L7 p9 q/ S
) D: m1 q$ {' a4 T' s# m
9 D! k, s) a8 Q" G" D1 r
0 d! `1 P7 x0 g' o 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
. s5 f3 h% `+ K: T" _: N 9 y1 A, Q5 a5 W9 O! Q2 n0 M
8 N5 u8 K; F d7 f) M' e7 J 8 o& a5 ~4 a, @
( p* l; m) [5 n/ \8 ~
: P% E$ i" \" i) ~& l
/ X f. C' ~0 ^* \# o
- n# l* R$ l3 D; B- N
) B+ g# K5 v; B2 T( ?& u3 W* m
6 J$ Y7 M& M5 y3 U* r: Q8 E/ G- l0 ]' i+ T2 Y+ l5 W/ K" h
然后登陆网关如图:** 2 t% y5 H& T2 P3 V! w8 r3 u
+ K: A# K( Q2 O S
" a8 x. C% e) V- o1 B
& u8 g: v0 N- G' _
3 j: L7 J4 ^0 q$ z! I/ E: v% O: r
: U' X r) A0 T2 D; J 8 i8 R- P* V9 b+ Y
5 W6 G( A2 r+ u l( T' C- V
' q( C" c) Q L1 }* N1 d( }8 U
4 x* c% U+ ^: k* ^* e5 E3 \5 d7 T9 L8 e, _2 j
- ~1 ?# ~! u; V* n# u4 h
: Z$ F/ E; J7 O7 y- v. l
1 }/ Q0 ?( R6 ^9 y# @' ~
6 W: k" H1 r4 e1 o- f9 q+ J
! Y1 N! R K- Q0 x* ^ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 5 y9 ?6 j' m( j& o! c$ ^
- \* ]7 x8 ~3 C+ W$ O
U8 y- Z- ^% ]7 g8 |6 y- T" v 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
7 I& d: a0 Z7 x6 O4 ~0 d0 Z) U
A- P: `5 e2 T+ D7 \% r; y( D( I* \$ p$ l9 \5 N% f
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** . R7 F: z# n1 L9 e$ U3 q+ _( r
$ H% q" Q) ]7 m
# w) P$ e/ d" S
+ j! G2 v1 r* o; M! u1 c$ p
2 K" G1 S: w1 u' l6 Q. x
8 G1 z% O) x, i; P5 c5 L 7 n& \9 ]5 E. _7 ~& i! |# F
" _) n- q" c9 g: a6 A& o
5 q" a/ H+ i: F9 g1 M# ^
0 b9 y. d' \2 k0 c7 j/ @
- l' o8 |3 r; Z! N4 B) J+ I5 E4 e+ K 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & `9 {% V$ n# H" Y5 @9 U& A# u
% @1 S: d, K/ P- Q
3 l$ k: _: D$ P' r+ i& W" D
% B4 r* |1 C/ e; z3 m' }5 \. t6 C
6 Q0 H1 X& G' ^+ I
( p# `; m0 n) e: [( Y7 d
9 h8 O0 ~: w* m: x ]
) Z; D& \4 D& B/ h
* ?5 y4 h% I& a |