|
+ M2 \& t9 J' N
* C9 c5 ?7 M3 t* p; a' t
6 d7 u" u4 f! N8 s9 k& f, F- ^* H d+ \( ?+ { ?
1、弱口令扫描提权进服务器 ( \) M0 c7 C5 H8 w% n- j
$ d* y: @3 S0 b( s4 `7 p" R& A
* d' K7 l4 O+ B8 s) {: @' [0 ?: l 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
$ ^6 o N( @" G% v7 r# m 4 T7 s* u& D: i. |4 L) N
6 N8 }1 M" m" [* u2 u
3 b1 E3 x9 X8 F$ V0 x
( \% K% |" w$ E7 N + A9 C3 E$ a4 [3 O
, A8 t" b$ Q! G: ~9 M
, ? y/ r" S! Y( I  $ E N3 X( h O" [
2 x) N6 a) Z3 L# K2 W3 ^
1 P: H+ b4 u) |9 H5 M' e
( W2 K. l3 e. p 4 _, l/ M: J& c6 u. S
8 g: o! l) w& }1 c5 n0 T
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
T* X! L( O5 ?0 z4 V7 D
6 d' V. Q# r0 a+ f5 q# f( x' U: r/ M3 v; z* K6 B _
执行一下命令看看
5 p O% F' i5 E+ e8 [% ~# w! p$ Q: y* H
. c! j# U# g2 @2 K9 F* d3 }' X
. K/ W1 [( W& g1 x; H9 a5 s$ p 
) p+ C, Y- _: n- [ ) w$ [3 f: q1 W4 t, j
+ u. d, K! F& t4 Y, l; O" b* L 3 c& l5 b7 F* D( I* z. T
6 u; p* \# m5 A$ b# `& V% ^) E 1 A% o2 s2 T0 p) c8 H+ y( o+ H
" v* b( [7 B! x6 Q5 @$ R
& V2 M& D; l- y1 U$ f+ c: a! D+ U: t
开了3389 ,直接加账号进去 . V$ {9 Y4 M7 m( i! t6 d
: {9 @ R) f' l9 O& ]: U6 Z
: _3 Y- a- i( h$ {( C' w
0 K" o+ D+ |* g$ u# b
. C7 L! {3 O5 B
" J- S; n3 y! j- [9 o5 ] 1 `& l5 z) h2 H1 o. }
; e9 w0 P8 _- a' ~  : Q, p$ f! x/ q
4 g0 |, T- U _, Q7 P* w
9 z# N% I4 t0 {3 D1 Y, k9 G 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 0 R; g7 q* | O! |# P% R
1 T; v3 c& q+ [( ^! t% F5 J' s. `2 d+ ]- I/ B/ H
/ `1 ^( f! N& Z5 q" R- Z4 U
; X, n/ l4 h0 a: ], Y+ q/ I
* u. `4 Q6 u. l1 o- d6 G4 r" j* @, Q
1 y% m) p# y2 p, s# y' S' ]8 f& b' X, G+ n7 y7 m$ t6 J; S
4 E# {$ Y( F/ O8 s% t' h/ L . B2 c5 G T- V# }" }, z0 ]
' H8 r6 h: ^& H9 |# y0 b 直接加个后门, $ l& w2 O5 Q7 B5 s8 B
7 G% y- D4 O+ _
( O' d7 J+ ~+ p5 e, \$ B8 k3 a
 7 t8 J' C% I. r a/ W5 X
/ B! k6 m, k! \1 I O
, F; N0 c$ U9 | 4 k9 I2 c: G+ ?: B' K3 E$ [
9 C$ m* h" ]8 o& \* ]/ i + f$ R X" i7 ^
' s$ w+ n' o7 c- o7 ~2 X/ V( ~& u% e2 |& p. b" O: G
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 - k1 g, T- R5 u7 L2 L# O
! E* X# B* ?0 P
1 C% c t* g& w L$ k
2 、域环境下渗透搞定域内全部机器
/ d) J: m6 { P2 _ / _: O( Q' S2 j- d6 C
$ l9 ]6 |1 ~' c, {( x/ |
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / N" c' ]2 `+ s* g; Y! a/ a/ ]
) L( T0 H! q+ ] h- L
9 k& M5 X# z5 `
+ C* B# e8 t1 ~: p: A0 {! y! o) v
* S' r. D# R1 p
, |- o# b9 ~, Y! {# }3 G
% o* b$ I) r5 O5 V+ |
, V) ^, g% W8 e, s1 l! D 
5 C% V v0 Z- d, }; Q& @$ W
0 G5 |/ L: ^! V* U! z" J- [( m7 B2 Y- v o( X; b& t
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
' z, n0 H( L. ~% E0 j* n$ y0 b' R
! E1 ]; K, W7 c6 v! E- P% M7 g
& }& I. f) ?4 g/ x - g- P. |* D$ M& ~3 _# ^
6 j' @* m3 }) I 7 J- i( P6 X- c/ h0 @
$ h0 b( y$ e- A2 \/ Z& L
# q O! ]3 ]7 r9 C
# g5 g, D! n8 a# m: ?
3 Q- @# ^, ~+ ?* H" Q
$ O3 n$ j0 |5 _; }+ d6 o/ L/ ? 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
3 z F. U6 L3 C! x, e4 V5 @ 3 t' o5 `, R3 G2 K
7 a, S( D* f+ v9 P/ E8 ?
5 \ t/ t5 U/ W, l1 b
/ {6 ?7 h/ h) G$ V- E2 Q
" ^+ p0 O. d0 z
e% Z; O. J4 M. |' l. r! [3 O( B7 G5 s; y
% @% S# J, o; s% E% K ( {( `5 |4 }2 c: c
8 ?6 J0 @! L. u" x* B' T
利用cluster 这个用户我们远程登录一下域服务器如图: $ y$ W) o+ ?0 X! q$ k
% A- b; w: b* z5 {, U: H. R7 X
1 R' ?, M- w } 9 ?- f' j1 b w9 f) g7 Y
- ?) s6 d4 F7 X' |, C/ B
( d/ `) ]. J2 w8 s) Z; G
( c _0 K" M: b6 B" M
* N7 j9 M* o0 R  4 w; u p. M* {! b, k: ?' j$ R( S
* J, D$ e" k* |. p$ P% o
- ]' t6 o+ }3 W5 `8 | 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
; [, l/ n# k L) m. C P* Q
; n6 }3 U) |0 C8 x& ]4 x- p2 \/ M
' Z/ v: C" Z" K+ f% Y
# D. n5 z! B- A+ Z [6 P
) |1 k: V; o) J) v0 N0 R/ U4 {* j9 l " T4 ^, C+ f8 ] {
6 k L6 S8 q+ h+ V: z; {# L  2 T& s( W H. O: a, b
- H0 q' ~) g4 ~" u3 g& H D% D: G4 g% e2 r" }/ z& }
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
! t* w* x1 j" s5 j; A* }' m
+ S$ z) e' m% l; C1 e/ }: @; Z$ {3 I$ X$ L# H. V* t' ?) A) A
# X. Q) {" U7 j
7 _+ D3 C8 n! x( P, S5 o+ x1 t
1 E# n7 p6 f# M% W5 v% z4 x 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
6 J8 P8 l" B* V9 G, o5 g8 Z
* g0 l$ l, m. w0 P' |& n8 u P6 d& T8 Z% F9 g1 v F( k& u
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 H/ S$ A0 u* M5 ~4 r: x, y
7 s6 J/ S! V1 v( l; ]5 G' ^: V" R( I! P" a) E
! _9 E7 ~$ w: I4 A
; W" W# D- @6 O* X5 Z: ?: D
5 y" w+ s. p9 g4 [
7 M$ m: m0 r1 L4 J* Y6 t0 d- U* ?0 i6 }; q
; s. Q$ Y% m+ y( D2 h
! v9 e5 X0 K& Y. S
/ ?/ `- \ t- @1 O 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
9 k9 s# U% @/ f 2 N8 _9 C% ]4 f) W* L6 p9 @
! g4 N# u, X- B' T* P! X: z. X
+ I( d: y* S: q( H+ A% A, }
m" m8 m$ v \' j- I! D" l) Y
6 Q5 i/ {- W7 h+ c5 n' ?( } H
" d+ o T% X# `1 Y, X- _9 v. H4 Q% o
$ w$ r& a7 U2 A5 l- }; D & E% ]3 [* T# L- F8 m" S' X3 M
- d. {$ Z3 `. }$ z5 j4 Y" z I
利用ms08067 成功溢出服务器,成功登录服务器 ! [ s8 U; q ]7 s) \! [
6 Q6 O1 d9 N9 _; ?3 v
1 F% o: J5 \* T: T( [" { } ! g+ G* L. N( W& a; L
0 Y. _ ?3 o' V, `: I
7 G$ x1 F1 O9 K; Z
5 P- e8 @* {; [( l$ M6 A% `3 @
! H' D1 l( V% r w7 j( I; D 
& U# K0 D0 t" f, a6 h5 S
$ G! c+ `) I2 j. ?$ J
6 U& G2 E, U, [4 T! m 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
1 z( u) L- j+ ^; \8 E$ o8 Y! c
. ^- _1 S$ r' t' O
. H% K0 H8 _/ X 这样两个域我们就全部拿下了。
1 y3 Z7 U1 E2 ?( p' l 3 f) T& M3 H6 G8 t \4 j
+ c; G. g1 b7 \4 @& Y' ? 3 、通过oa 系统入侵进服务器
; x3 @- N/ i3 G' F
& T1 x {) D: I$ X2 a6 T
4 o& u; J& T5 W2 a) d8 F0 Z Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 . @6 _) q9 A- m1 l
6 H. s; C% B4 M+ j/ ~
! [; T3 n- q$ C9 i2 R: a
9 w& M, j6 R1 J* G8 }' H
% L$ l) I* B+ \1 j0 D; | $ L) o5 M, O9 V8 p" m, c
1 o+ h: v: j9 U
2 Z3 N' `7 B v 
[% l; {2 L- ~# c# F* A& z. n& a z6 A* |: G. Q- A0 U- t
7 U9 i. h) u5 Y7 n' `. T2 o% ]7 w 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
+ t+ x, [: q' W! r2 X+ ]# v
8 n9 l9 B; _# I
$ u6 L' |, {# B; a# H3 [1 c. b 8 }: [: Z; @; g
% W O# E1 h; g8 L" n# y / U% D4 j, ?6 n" D8 p4 m$ L5 `
. C/ j4 q7 V+ Q% M: g: T
5 ^9 {0 V9 f( U4 n  2 K- h, a) l. {8 Q% N
" W, U( O( d3 x# I# a! U: i5 e7 H9 r$ o* D; S! N
填写错误标记开扫结果如下
2 G0 V' g7 N# R% g! B$ x, h( ^6 R " z; r. F' U7 _7 {
6 [) I# b. y0 l( A3 N
/ H% D& m% I5 F- `5 y% T8 k
* X1 j2 D. K# M/ R( h! C+ `! M
, D2 y5 @4 U* ]% l5 R4 M" {
' c' ~: ^: w% p$ U
3 I2 h" B( |: \( L- x% [- s: m 
% P% [/ D; z) G! ]
. Z$ R6 ?) g* k6 a! s, m, d% {! i: B1 T. \: g( n' r
下面我们进OA
7 Z& l# k! g0 p. I5 c7 i6 @ : K7 `' S8 v0 a: [
4 z: k$ M( c- a% Q3 z
' I4 @) J! e8 Z$ T
+ S0 W5 {; p/ q
4 [% y. x6 d1 F 6 q) w4 D. b1 H8 Z9 Z" R. ~
" D: w$ `% Q: y9 m* n 
1 y$ r* k) r# e
8 G1 m$ M, @6 H7 R& a0 f
1 Y. H2 }6 y! i/ f( B, I 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
6 o6 V& ]8 u# M& F# g! E9 X ( I1 B8 D& k y8 o
1 |, d8 x; O k' n9 K" T4 H
. g# s. M8 y. @8 b3 a9 d8 d5 B9 ?/ j
! f# d7 C0 X3 ]; w
1 _& G# ^) E/ D! E& b ' i1 i0 N7 _9 Q) r% p% Q
( B- ~; u; G, B e K+ ?
, R I. Y, \/ t4 _& i
( L; G* C* S0 B9 U* R& n0 ~/ Y0 s3 I% g v
8 t" q" V% ^; f! W5 `0 }1 l3 H
2 l8 H! |' D5 O" e% c5 H: Z7 o: K7 \% a G8 ^: d1 V" z8 J
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 d+ l, X M) s0 q: o( w' B) p
9 h, G$ i8 I# H ]) q
) O7 H8 r3 U U2 A
4 、利用tomcat 提权进服务器 6 _ x. n o# N& B6 `# E& p2 p
1 l! _ z: U0 {7 C/ R- \% U
& c/ x- `) D/ b: B1 R! u 用nessus 扫描目标ip 发现如图 * Q. D/ w) k& a5 J) ]5 D
' s: Q! H0 Z, l* y: ?- g8 T, N8 h, j3 k* `4 J6 L
$ g/ S Z+ _, x
( ?8 {5 {7 e+ O1 ?5 O& E
~7 Y1 ^6 E4 ~, n 6 \! Y: d0 d5 u& {' u: y
, E: |5 Q0 c# y" A/ \; i  6 D2 J6 w. k" u4 u
6 K! L+ f! `( I* H- w
: I! l8 `6 W( e5 P- q( z
登录如图: - M7 {0 ~% x# ]. ]1 U4 G! v+ Q
) }7 u6 N! g& o* ^6 r5 l( U
. P; y! D P: u8 h1 y" x0 R
% ~, [! L: ~+ U2 A7 q* Z
# t9 f1 _7 Z0 {0 y- a
" c$ j( `/ B2 N+ h
* C0 d% c. ? ?
( \- l& @0 L7 J9 d& D7 C0 { 
# }; w' C# d% x; Q 8 w1 D6 N* {( T/ ~ F
" H% W& {1 j! e. S4 F; o: h
找个上传的地方上传如图:
: K2 j) m" u( x7 R. X% } N , | @. e4 c5 F& j: H, r1 Q
3 N7 U2 q" v2 _2 Q
q$ [' n0 [& u& _4 f/ c
. Q9 E( S& `- w" T; U' w) r7 } B . k6 J" H2 Z# W+ n0 P5 K- C
% N6 g3 ^" A. a6 ?+ q! j* s, K% ]5 y& i
$ z7 u1 w: k- z' h, k) H2 y % i# B N6 Y# w$ O) y6 L. k1 v2 h
5 J$ j! f* }. K* B. a1 ~ 然后就是同样执行命令提权,过程不在写了 , ^) {+ ^; w% T. o, q) v
" E+ m/ f/ x' i' z' K' U6 n5 `# ^4 l9 z) q9 R) `. Z9 C0 ]* M- e
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 7 i2 {5 L) d$ P- n3 ]# W y
' f: m' F5 z: m9 R1 s, \7 W$ F) V
0 B* v$ f' [; V3 r& ?% g) C) n$ T
首先测试ARP 嗅探如图
- p( k4 E0 @. t7 F! z% D! f ; z0 k* o+ Q3 o2 D& {- z8 l
4 x% ]8 I: w/ o , H$ m4 a% O4 _% O
5 b# i( r9 `# O& e2 k
: }9 x+ B# G# }: Q 4 W `* ~6 e+ c; ^5 P
" } N# m6 I; n" b 
0 j' x- F! h: g, |( }
2 \1 g9 W8 K! W" _( o/ H( Z; S c+ Z
测试结果如下图:
$ x8 q7 B3 A$ L1 U- m# R
& E& z" [' y: R' ^! A" b
9 m) V% ^7 n: A; m3 v+ y8 q3 V ; _0 k2 B/ N& f7 O4 N
$ b& |' g" t& D e
; X3 o3 R; f- Y2 Y* L. V: c
: R3 L! r+ V0 p7 q) V& o- ?
) v/ q( J+ |1 |3 h a  , }# [3 \( f5 w( M3 }
* G. f% Q8 I* N4 y1 N4 G- Y3 _3 `/ C; k7 @$ K
哈哈嗅探到的东西少是因为这个域下才有几台机器
" ^1 c: G2 t6 n1 `
& \, A/ e3 _+ w8 S- U" I! b5 s2 h; t8 n' a7 h
下面我们测试DNS欺骗,如图:
' L3 \) D. S% S) f; z: z2 ? 6 M( W v: f0 o( I
9 N e8 d, u. ?- M2 a. E
! `% _3 J Y) s( S- H6 U0 v( V8 s. x
; }4 f2 v; w% p2 s8 G
, L( ~: \- |7 d- C) C
7 u) D( W4 X- z( ], r% j( E( \$ F2 W8 W6 `7 F9 t) t
5 p( I" a* t9 e4 r 5 W8 [# o5 ~3 T+ |) f
& I# ?6 d# L& z9 y. z" N& x- j5 ^
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 4 s7 l' n* R% i$ ]
8 M; {1 x; ]6 t7 R' {
; T( f' Z/ f+ i! k3 x9 {
6 e3 j7 K! F5 h* T" [9 V" S1 Y
g" I- i/ P, y& ~, v
7 e7 h5 A+ k$ d
8 o1 @7 ^, I$ s. E
+ }0 z1 M, l, j9 ?) a 
2 b' R9 {' V2 M( C
" ^1 C! O" C- n4 ]9 X' B6 {, e+ v0 [3 d) X; w6 J3 d
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ' @8 R7 P1 l) r8 P p
/ o4 |( D3 J" \* R! r u3 t1 m7 j3 V6 O
6 、成功入侵交换机
: U3 n3 \7 y/ x9 n$ w+ D5 }
& g, O% ]8 P/ j8 d6 W! W$ a. o# H8 B$ W: Z2 J) l* u
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ! V$ e/ D5 K9 j& m$ d) `* P
$ x+ ^1 ~% ~3 v: b& H( @' G% V
. {+ a: G) `# K2 ~* s% l2 m, Y 我们进服务器看看,插有福吧看着面熟吧
" f/ h. y1 t3 p! Q - o, u, @! w+ _6 J. q8 p
/ l8 ]' G3 ^4 K+ V! b0 _1 O 5 ?- ]3 j# _( c& O. P6 p" e6 G
: [% i; k2 i6 o % b! n7 _! t% e
8 d U1 u7 L' O
. a" T6 _4 l8 [ t
0 ^( c. E I6 c% ^/ U- l 8 [4 o9 G+ B; \6 |
+ A0 K' s. J/ B8 Y& A3 w: J3 { 装了思科交换机管理系统,我们继续看,有两个 管理员
' O4 I4 o* w8 E1 k- J8 n1 o
* d8 Z. c7 C) I, q2 ~5 Y& r1 A2 m. _+ K; u6 d! V
& }+ ?; u5 p/ U0 |( j- @
- y% {- u' h% Y7 A/ X
& k' Q8 N1 L0 o- m ) g( ]8 k9 D4 R0 [% j4 \" d
- z5 l7 ?! f, _8 p# `2 Q
% Z$ ^* z: _ L% V0 q2 [. W
" e2 A/ W& ]( F8 N2 W M( Q$ l8 K3 |! K; t. J; q- w, G; K9 {
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 + C! T7 j9 \0 W4 K+ H
4 q I: Y3 X2 y$ B: G. y
0 K+ @: V, o5 @$ l
- Q( |( N; b E* ?4 s' c0 ^. t3 j
8 J& a+ V, V) w6 Y0 ]
8 j; Y* J& m6 g9 h' k# y
- C& A' W6 G' `. B2 `- W/ v
2 w4 O5 Q; O, S O$ K: j$ j( X: Y  2 g! R# D; U5 Z
! _( e' ?5 a) Y+ C% R) R4 t6 y# L- L& F( U4 y4 q0 U
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: . u2 }- j5 U) P& n' f
# ^6 W: y/ p7 l% Q; |+ T/ C, W3 Q
5 U$ P& W& ~9 ?: }
0 c) R- k, ~ x9 n8 c( C5 R/ k" }" N8 ] 5 C0 z) m9 t# K# B. ~3 Q; q
% F$ i' g8 z' g B- G: u/ a/ _5 O! R- t C" i$ e6 u
 ) M* b5 ~: y4 H, D1 u, T8 R4 Y( `
5 s9 F! I1 ]( ~( N9 p# X
+ o; V! N4 Q! S( @: p3 l" } 点config ,必须写好对应的communuity string 值,如图: & S2 Q& W* C) }; ^3 M
$ a3 d6 J9 h% I
, Q6 l m$ }$ \4 `$ [: ^3 L 6 H/ S* A% |1 q
" O3 K0 K! F" \ % L9 T* s `: m4 ^; f1 ^9 _
( N6 c* ~3 I1 Y0 w
' V* z. D+ v/ j% o" a* H7 }. C 
- }# z* U' m6 W5 t2 H$ M1 t
* A# W3 r, w4 E" k Y# r# d
9 x: a; [* J9 U# X* k 远程登录看看,如图: 2 o0 t, ?3 h* X4 S& o+ D
! l t, N) d+ p5 G: }- m
) U; h$ f) _6 M5 I/ n 9 o0 p9 ^( u. \1 J5 Q! x
5 c R1 a2 S( q' u( V. x4 R
- z( d: ~9 K# v7 U B( S
' D# _7 N; Q1 @5 }1 s/ P" G6 {' ?5 i% \* V
 8 A: |5 M) Q' O7 D8 f+ O
- k) k- r1 T6 p& ^
8 [3 i& K0 J0 g+ E( P/ e 直接进入特权模式,以此类推搞了将近70 台交换机如图:
- @0 ]3 h0 O, v
- @; p. i. L6 }4 I C# F/ C! S9 P. e* u" |0 [
$ O( b6 i4 d% [, B$ g
# o. I( Y/ L/ H% k* |0 r
9 j6 R4 w( X1 V; r; j
8 K K9 D4 x9 L& @
7 L7 B0 I @( @" q- S  ' I& ?) y! ?4 h" ~% d. ?( u* R7 a
! y9 V8 n. [$ t6 |7 M. |# z1 U7 w U
- e, q2 F! l9 O4 K* O. N1 Y1 d; \
7 T/ N# V" N/ b. a) E/ I: A
. e; v( s; N$ O9 A# |, }! f 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 6 J1 i/ t) c* u6 s3 C* b- A
, Q0 B3 B2 \# n/ x0 M, M
4 \0 V5 [+ ^& {& G$ C/ H9 b
% t& |8 r" P( {( D
2 B' H$ }2 L( Y9 D
E! c- ^* B9 |! [- x5 {' x# r
. k, `7 Q# R# A
7 j, z! Z3 k' y8 F2 d' x7 }  - f$ v/ }6 ^5 g
8 G; \( h5 ^+ ~1 A/ u: y
7 V" ~$ d! c- t% \% r. ` 确实可以读取配置文件的。
- P2 s" h; y; M$ E * ^7 }( d# d4 x: D5 {% u7 f5 M
6 C: K8 l7 E F7 f8 b# E! t 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
7 y& s+ c# f: M9 Q5 p
6 v" a7 P- W$ y0 D2 B$ H) t& m
! A+ M4 H& j3 U' N+ _! L
4 e$ Y% s( M+ M
# s* i! n) ?& N0 B8 @1 \
1 v1 `6 m, X2 f " n, }! e" a: }# a% H
' S, a/ B O0 W. v8 }2 a/ G2 b
/ ^# C" [# b7 w8 |! F. v+ S
* U# z+ i4 _' u% z- g% e- U
( }+ M7 ^" ]1 u* F1 R  ; f z$ D f' W. P8 n
: z6 E: h# g: K7 w$ I* w* n; {; D- ~) _
, n8 ]$ G9 k/ A: o+ l
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
9 @; _& Z, ]! N+ t* \6 {& N- m1 Z , r3 @+ U! V5 r! j1 n
1 v9 ]- T7 C; q) N, H 9 c. X1 h ]6 G+ _ X
* g9 {* M: B+ @/ R5 g/ g8 F
% \7 E' k) g. C F6 m' ~
- U% I* Z# c1 j- E6 Z" Z
- {( F" _& p/ N3 s- l, G1 n9 V' i  $ v# @% l) V3 h- u2 z- ^
( C: E+ I* p3 D$ \2 J/ B. ~
0 W) M1 q0 M$ j2 [* U x9 F" c A 上图千兆交换机管理系统。
) }0 P3 b4 h- S4 ]2 q
9 r: b& O/ s" r0 V# K( E" D
8 B9 s! E; o3 G7 s; }4 R' U* C 7 、入侵山石网关防火墙
; U3 W7 C) } B- t2 W. l U2 ^' i7 K1 @' d* U
- t4 B: P2 n; V3 _' H
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
4 V. r5 t7 x* l, K/ A : `) z! E5 H v; M# _
3 ]8 S) z1 z0 g6 o1 ^: f- p/ [* i0 k / z7 ]! I/ r: s- o# ]* f8 m8 p. ?
! W/ o+ V3 m- U
4 N3 U& S a5 y
8 ~+ ~% ?6 w# W! O) q8 z# d
! {! A: O4 i8 j  & H8 P- J- m9 b9 \4 I7 g; ?. s
7 q V: W. E B8 F/ k9 J9 U* F% j+ e# b
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: " f5 O& @% x% J* Q# O& V
- J+ C7 C3 f! W2 n8 g* s. e
3 E+ a4 t- X. h' U: P2 E 9 H: `, [8 X( \6 a
4 T8 r+ b9 C+ V0 D- w! G. b
' e" f) s* T5 @) i% P
* G- o; y! Z& H8 v
! l, a3 Y' A( L$ Q  $ m" M( T9 o9 Z- }) w1 ]
, e( G3 H2 y x* }. J; }2 t7 j# `+ X3 y) [
然后登陆网关如图:**
, r& }' H5 }+ M. I% A G% e
5 k* K) `* D$ e+ @+ }8 `
3 _% m9 [5 j. z: B9 {$ k
. U) a$ C7 m( Z
0 v) V: |8 \/ _# r% L2 Y
4 x8 S( D1 X% B2 \! A- V
- y5 N# f$ E( u& W8 ^9 I
2 ?% j; t( u5 Q) p. K% w
 r) I$ {0 [' C9 p) e) I0 x
- g$ P+ I" Y; Y9 x' k6 }4 |4 s" M$ _. S! h0 Q/ A5 T$ a
6 I% L2 b5 m4 k; g2 l
8 J) w8 p& Y: p. Q+ _* G% A
+ p8 e. @8 ^( K$ Y# X L
% G" W5 Q( G4 ]' S/ I, m% `
6 \& ]% k# A) T. X 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
6 u! f0 E0 L8 Q0 C1 ^4 `
* i2 T7 k) k* |7 O) P' p3 n2 F; @
6 J4 t6 U l; b, \) Z 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 7 W2 s6 U5 k3 p; T: `
& w7 w; F' I& M+ v, U4 w
3 o3 p/ G) m! |- _ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
; G* C5 ?8 S( [) t9 z3 a2 T9 d / ?* M B6 }& y, w0 n# p
' R" }1 h* O$ U: y5 g . ` n- t" Q; G( H2 P. [
4 Y4 N, a* U, d7 Y 2 x+ w2 k# W7 m+ S
# I$ Y/ K6 C+ ]2 n
6 A6 V- n0 Q; _% r0 e/ X# L
 4 D9 I! o" l* S7 S% T9 J
e4 H0 A" |* u, x+ T% E9 V+ Q
3 g8 M8 `* U5 i0 A0 I3 G& S 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 8 Y9 i- e2 m/ x) m
`3 u; i. P6 F0 d2 g5 F
- r" X$ B" l+ r% C1 s$ C 9 X6 s9 w9 m: i3 E( [. I
% S; t; r/ M, o1 d9 N
& o* e# C* q& x+ q, g6 Z0 z
; I9 }$ k8 Z5 B1 h, C
3 J Q5 z% x' [* w' H* Y
8 _) ^$ q4 X/ X4 Q7 p+ E
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对