) j& G& D* S1 U0 T, O0 w& i
4 O$ H. [. q. v7 s
& ?) C6 H/ s6 o* {7 V, Q
* }) t* m3 f" m+ U0 @- g" I 1 、弱口令扫描提权进服务器
8 d7 x4 c3 ?6 i, A
1 k: S3 _0 e. {+ i
, c6 m% v5 f7 Z- C$ g 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
4 c( C5 n4 p) G9 Z2 I" `- u
/ m: R# R" h4 [. V 9 y0 h9 A& O# x0 w3 s
2 {7 w5 C! u5 V# ?
' d) L+ z; k9 I. N2 G0 E8 x
- I8 W/ c6 F& H9 L) V' `+ j5 B
9 o+ _% D1 V# L/ r" ] |% Z) ` 0 G2 B' A- R7 \7 o$ c: K0 q0 y
. w C# L' }2 k3 Q5 ^* t3 W6 P. B* V
# q0 X+ R7 x4 y6 a( k9 h7 v
) [) ^0 D8 Q- Y; B) j& e7 y % m. F3 I- C/ B
! N5 Y4 ~9 x; D2 v
8 L2 ]: e6 q2 Z8 ?+ [0 q, V+ T2 r ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 6 X7 ~; |& e* U) w5 U. ]8 `
9 V1 ^# s1 ]) Y: D) v- I1 } # C9 m6 L. T/ j1 T& Y. R
执行一下命令看看
! H* F4 P3 ^/ F7 y& z2 {
( j6 d$ O8 i6 J1 M1 Y) \: ^ ( M/ _" P% ]; O0 a
7 U3 L: k; L0 }) D2 \+ b" O/ F
# X0 ]% j' W: u" ?' ^
% D, ]" I8 ?' w/ c' B( R. L$ m3 F 9 [0 D& ]' ?2 A+ K
0 L' G. g/ b& s z( {, v
+ \& g% y: x9 V3 p- H N
5 m; \# G. l4 O9 Q) S3 {) [ ; r5 i+ z2 [7 ?
开了 3389 ,直接加账号进去 8 O- S8 z5 W$ _# U5 ~# r1 d
: x# z' `% q2 t1 O+ y G7 o9 W
L/ v1 C' z) \& [2 z$ M
5 [6 Y; m- I! x- }. b& P9 k$ q+ }
3 O; G1 k/ W8 I3 z. ?3 T- t1 W8 h ( q$ G1 C& Q# ~/ M0 i
5 H( i2 p7 j' q' \( a
8 X: g; |, d6 c7 o1 {3 O
% Y# W4 \, _- p' j) q
. l# W; C2 E8 g, H
$ I4 D2 k; u4 Y0 v8 O I5 ^. [ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
S/ r% i# E' A1 O
5 E3 |) x4 y0 {4 w, T5 a" O ) B9 u6 |# \2 w
H3 y# e9 C/ t" y( J* y) H - X$ a. @2 @! z8 V$ W& c. l
' D/ e) W8 }2 D, J
8 \- y: K P9 q: h' |
: u! F0 \' W% ?& l
* ]5 v. w+ j( Q1 S
- A+ W& e, C" o7 ]
; {' k% f* K, E/ e7 B) {* z
直接加个后门,
' ~6 F: v7 z4 E f
8 J/ N" y' x4 n
6 Y9 B5 I9 X3 I7 H1 u7 ~5 I/ ] ) b- Q9 J$ c4 k7 z1 @
" q5 u+ I. Z% @7 z$ ?! m" {8 O% u , |5 ?/ L. J9 T" I0 x; S
; Y% {; r$ V/ x9 J3 Q! O5 h, }. o- B
" z9 B+ |: Z# Z- n1 R! I# W& d + ?' J1 o3 c) F) m5 O' Q% Q
8 ~0 Q) U# Z, i
8 w4 s# U1 c! D* f4 z 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 - v+ J* [) X2 ?* f3 A
3 l& S1 h4 W! r $ `$ @2 A$ f" ^% @
2 、域环境下渗透 搞定域内全部机器
+ ~- [: T! s! F6 Q
+ `6 {! \% r& k) v0 z
* f( B3 X. j8 h2 d6 P! T' j; | 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
8 |6 w [6 C! p
2 L- l6 k7 O$ H4 {4 h8 E
8 q/ j. p* H6 k/ Y
% R" E5 Y5 E4 X9 R# {) U
. a# ~; y2 h+ u9 ?) Z, Q* b
. p i5 h- ~* q* `6 x
) a! U/ H2 \# w Y6 C8 p- b1 _
9 l' v5 ?! c" n' e
( u+ s$ H- B! O `0 E$ E8 N
( a5 ]4 P2 o9 |; r( N , f# c }: W: r# l
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 ; p# a4 Y8 J# n0 n
$ v. a' c/ T- A" f& {
3 _5 _8 H7 j" e0 r 2 \, H/ c3 |* Z6 f2 s) p. m
' `. i* Z! L9 ^ Z2 h ^2 P1 q
" w h- F! x; `# ^2 |
* i6 W0 h) v* M b/ t 1 ~, H* Z& h" u( B& W
0 l) a. c4 K' i# x% l" f E
5 m' l. B7 c5 U% {4 x: H& x
. l V' J o+ l( S) \: T 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 4 ^3 G7 q* t$ b" w7 ]/ V% g/ [2 t
& V1 X- L' o- ~7 p+ Y. X% I+ ~: x& b
7 a: ~: W* R7 y
' r0 P( W1 u D. A
' ^3 R8 c7 L3 ^7 o , m% j, M* u& l
/ V0 {8 u+ H. J/ Q - n( l$ i+ y# `- \/ x
. E/ f" W K1 ?" J/ B3 r
" i- J- U+ R8 I. W6 ~
$ C! U6 R6 i. h5 c. p5 u 利用 cluster 这个用户我们远程登录一下域服务器如图:
# L5 P3 `, L* p' u. O( b. Q
/ @/ y0 f1 m5 e; m' a 2 q9 S5 v4 M+ N5 q1 z3 ^7 r5 T, e
( y, x: Y4 [) Z2 p- y* c' N A
$ I/ F8 K9 r5 `7 X* J s D
+ F* {$ M* o! C) @7 K6 p
% c! J/ i) g# B" F
* E2 d# A, U0 d4 o* H# n
' ~: ^" J) d7 c6 y
; W9 `& d" j: U- N) i
; i: |# t$ N$ Z6 I: I' H1 J
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
6 k4 {4 j' M1 Y, }9 \1 @; t2 |7 D! d
* {' _& |% u& G8 _
1 d5 w( R8 a* s/ q3 a& R& Y% b( o
, ?$ ] G( Y( F
5 z* B( b% }7 U
: G; K# G* M/ d! d/ ^. ?
R- j' ^! y- U1 m % U' T+ J( V6 |! G3 m7 F
0 g4 |) F( s" S& k5 s8 X
2 ^$ I$ E+ u3 x' G, ]
7 @0 X) e3 f1 a1 h 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
9 P6 ]9 O/ k0 E% s0 ]5 o/ A# u: C" B
( `3 `9 ]# ^0 c6 u# M; q; {% B
$ S3 \+ Q$ o8 p4 X) Q, T8 p
|9 A- W, q% p6 X2 [
4 H0 m. G v4 z) _
. j' J, `1 ?, l$ G 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
' p( N" ]/ V$ X0 {
1 u+ r0 x; ~) n9 R, s
9 i! x6 J- Z {% G
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
W0 p: g) E. n' ?3 w: y8 i. u
! \; k$ \$ ? @2 \; c2 y! }- s, g
! Y2 N0 I# Z/ ~* Y9 H
0 Q# t( j# v5 k9 [+ Y) C8 ^ . W9 U( x+ L* [+ e3 i
6 n3 F0 o; ~/ {
: v, F- R- R8 o a- P
; s0 q" M0 S. B9 C' c+ A
. z$ l+ K9 z9 x
$ A3 t2 h( T/ C
* e. P2 O+ z. @0 ]0 c% e
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 . i8 K0 ]& h; W
" l6 i8 A) L7 N6 @ , g" I3 v2 u( c) k
p4 n6 {9 o. A6 {9 u9 |3 ? * i6 _6 S6 g; |' K- N/ G
S4 L+ V4 H+ O4 R* X) W4 w
( O, U4 k, ]' Q& }1 ~ ! V9 U" d: d- O3 D6 v9 n
! i ^' t+ W$ s' o& w, ~, J1 k
$ z: b' B- B$ F5 y2 o4 ~ # L: M& I- t" V. r
利用 ms08067 成功溢出服务器,成功登录服务器 * B) l0 `: g$ V! c
7 j2 A% ~% m5 \! @& T7 O
1 }. s3 {6 k$ l# @. c# A* g* @
2 y1 e$ y7 Z6 _
' e8 z, c ~5 d0 [. T! E, g- D( l , o' `6 B. B! ~; n2 U, ~% v
+ Q! }+ [+ E$ |( h / g1 r% b" R2 L0 e- d
; h4 S$ D& p/ n1 y9 V
6 c6 K' r. G" A* Y9 k
; b: L$ h$ M Z% G1 ~9 t, f! C7 A& Q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen
9 _7 p# U9 {: ~5 D
: `. n5 v7 O: k+ m
! H3 b6 \6 b6 z& k A
这样两个域我们就全部拿下了。 ( X" l' w. K0 ~7 h" R
& d) n- K; R) r! j4 K: p
+ l* n; y% P# Y8 ~9 z 3 、通过 oa 系统入侵 进服务器
, Q! N' s6 R( w6 y0 N+ Z
; P9 \6 V' Z6 i$ G5 R' p- K$ w
9 v6 \; \: z( k
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 $ e/ v; T) o6 x I: n2 {3 u
/ n" s( L/ U' ~9 M, I. c ; H6 E( ^$ E8 m4 M
% r1 N1 ~" r' O/ [
/ {: y1 S3 K+ k0 }5 E% `7 Y0 c
: J2 [6 A& ` D" {" D
% S! F- W, a6 g& s$ S
1 q S0 H4 b, u% C 0 i8 ^" ^% M4 K3 X* v0 s* G, d8 c
8 I% y6 s+ ~. r2 c . C* K: f9 f+ Z
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 " Z9 J: h+ V7 Q
; i; e! W! d) j0 L( p: {+ Z
& m4 W/ A% {- S: o% u; r
, b2 E/ t! g' o( Z" W! r
/ e- p# u( a( o9 S 4 P* p5 Q- S& L6 r
8 |" Z7 t7 T4 J 8 g" n: D" O- ?" Y! b
4 Y7 e d& Y$ S6 x
' W( o- W+ l+ |; \# C3 ?8 @$ G
5 \0 f+ R$ G8 x# R" |, M/ g+ T 填写错误标记开扫结果如下 4 _/ J; s2 q, y( o/ |0 k( n
+ U4 C) F" k4 A% g( `9 J
) T! D# `1 i! T! C8 s0 I9 [; E( a
, u3 P9 ?9 B; Y* @* g" W
' h$ Q0 K$ [) z# d% S2 Z. _+ \
+ r$ [& z. R# P
+ }! p9 G* `* `: C, q3 J/ s
|' B9 u& N* w. l) b; ^
- C9 L! H1 {* H% O2 h+ l \
+ i* C, i: C* d' Z9 G) z6 J7 Y, B/ G
+ r# v0 ~- D" [$ @% u6 V0 m" D 下面我们进 OA
( j, @; z5 g7 w. |, B7 L* K
_& ^! Q" |9 W( L3 }3 e: x; O
$ V. R/ Q( D' K' M
X* R' U* i1 I: m" q+ Y
6 }8 ~" m7 W" @' ], z, a- J
) b6 J, Y: r. O r+ h
8 y: I+ g8 f* J1 ?4 n) C
1 V- Y' U. q$ D+ y" D$ W
7 s- c, D" V. ~$ q; N2 s
0 q7 L( W* v# B- e% v$ e$ c
B J8 Q, c1 Z; a! w8 h7 P 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
5 n6 f% m% y9 x$ M
% ~4 x& R) a2 h, d: K
# ^6 j+ g( k x
: d9 v. J* s) d6 X# H9 i
H0 v6 x0 P8 ^/ B, C
4 h% y& G5 }& V# X
, b, K0 j5 p1 T- S, c
+ Y8 }* i$ b# V+ ?2 \
6 ]. P& ~' G3 _+ l4 Z9 r
$ a D1 O% S$ _6 y. {; G1 O8 j
6 {3 w" K, }' V
: k$ r3 _- K9 A Z+ b' O/ U5 @
6 l: R7 o3 G2 h+ T% ^4 ] % o a) X1 s8 {+ J. v
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
5 F0 s: A) T8 ]- ~0 ^% W
, m! A! a- E% I5 G. |0 T I0 E) M : ?6 Z$ r6 u. g2 h8 O- B* X% @! b
4 、利用 tomcat 提权进服务器 6 ?* Z2 D) f7 w1 E
' ?( j0 l# _% `! |+ ?
_) R9 v' }/ c( n+ X 用 nessus 扫描目标 ip 发现如图
+ P0 a3 w. ?6 h# o' e$ [6 f
0 Y" w; [" s- ^/ Q ( N" e4 E1 D% _; N
" U: y& \" K9 x" q( G, p+ o
' }0 i5 f) j( m8 z* h& c! T4 m
+ y8 \+ z; j; ^# _0 Y3 s
' r( H6 T8 Z C* }; e
% W7 P! c& _; w4 F( \
o& L4 Y, k, d* Z' C
# _ O) t# k+ s0 ]" X9 s
/ }* p T- E& ]" ]% }% {& Q1 o
登录如图:
- j6 W2 g2 {$ d+ ~
+ K5 ]" Q* n0 Y. r: l) I
* _% j7 t& C2 }5 q8 u4 m6 n
6 v: k+ q# R- q
% A% Z3 p. p4 d' B3 @+ ^$ z! ^
* _( S6 y- [/ d; [" R7 e
L1 ]7 x+ f1 e 0 \2 R/ E5 Q. r9 m. m
- m+ ] `. [1 n* q, k s& Z
; } e6 i7 f* n: A5 O8 O/ ?
7 v% A& Q; O( u6 X6 J 找个上传的地方上传如图:
) e! K- n- t( |0 ^" F3 P7 R! [5 ~
3 _/ G3 J" H' {$ |/ e( v
, ]" c: ~! M8 Y3 {* L + `4 u5 ^" v) p5 x0 G
/ T( y* t& i2 b Y. V
& t( f2 @& C% o; z" u% T0 \
; P6 R4 k9 }" k7 y+ W
2 h% J2 k: j* u/ N3 z + R5 A. i; d9 {! V z i9 D
+ Y9 v- e* n, g
0 [3 a# \$ E+ @ t3 j5 B5 N
然后就是同样执行命令提权,过程不在写了
' [4 j( m6 m$ n3 C2 ?2 r5 N
$ y4 n7 _ r3 L0 ~* k7 @4 b
* }( S( ~( d0 c( l
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
7 b; D- d/ X; x
# {. G3 ?( B* N- L* n! d
& \1 t, G- @, T# `; j# `7 Z 首先测试 ARP 嗅探如图
2 \4 L2 E+ q; t: O5 J1 h7 h c1 q
' k8 _- \% z1 l: x0 R* Q
7 n4 f1 [3 @% z1 {
" J+ T0 Z6 C, ^
$ X) r4 m1 k: w& [/ i; m 8 N* Z. f9 f5 R& C; J1 u
. c5 @# n4 c' r
0 P$ n) Z: [, ]; g9 |' ]
, g. Y1 K; f& x2 b5 d) }
/ y! x, p) ~& n' n! C' r& M
+ O! z- E7 d3 ~" p, { 测试结果如下图:
/ q9 w- A: p+ u0 R
9 R3 `5 h7 p% B; b; i0 k8 C8 `) U b: @9 O
0 m; M" K8 ~+ |2 D) y+ k2 [. N 8 d- Y% ?; L! h" X8 u
. R* O+ s: R9 N& D& ?
; H5 u ?7 W% |% G/ N U( v
! \" e& m0 d8 I. Z: i 5 S+ {. U, d! q: S+ u2 g
& N+ \7 S* M! v( e
0 X1 D, z1 r |+ `" F( ?
: o- B' h- l: r7 S 哈哈嗅探到的东西少是因为这个域下才有几台机器
; Q. [' P; Y; e0 L6 G& g
' s9 F8 L1 P3 Q! C) D4 H5 B* n7 b
4 `: E. }7 w- W3 l# m4 C$ a 下面我们测试 DNS 欺骗,如图:
8 w, N% P/ N! \
9 `3 \ M; ^4 L' V; U, p
- V0 A, A- v- H5 E. u+ Y W( [2 ?1 k+ t1 ~& s, f% W
\. T% W) s; [1 Z" B q/ U- F. X% k6 e
0 R4 o5 t5 V- o5 B" g( W6 i
7 Z# ^) ^. |( n; t1 L# d# j , m6 q+ d% c7 h6 u# ~5 h
8 A& \# w4 N8 x* X. o \. L
; o5 Q% G) z' d/ ? e5 p 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 y0 p1 n9 D, d- f" H7 T- @
- M1 P9 B' @ X4 a# S9 Z3 z5 R & P6 W3 e% I, @: F+ q
" M9 f% `1 f2 ~
& l, O* ]' E5 X0 G# ` * x4 [3 {6 E1 y$ l( {
$ c! g" F1 @+ p5 D
: ^6 O7 x7 o3 S 2 h: X% ]0 K2 R& }4 n( U, e$ @+ j% Q
9 V' e" n- {3 a; P" b7 {
1 V' O+ \0 K) h7 A- z* d4 I" A6 @7 U
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 1 Z. |# I" t: U1 d0 C0 l2 G2 c: F
, f% Z* }& F; A- ~
) o w# p/ L+ m! Y/ S- O4 l
6 、成功入侵交换机 . z8 }. d c! i. g) w K
- n( p6 P! @8 G6 T7 u* c; g3 \
2 W+ e9 {, q4 h- Q 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( h0 \8 }- l. _2 J% L
- d' V, L5 V* |4 Y- `/ J9 E# ]
0 B' L4 T% d" b0 i @6 c
我们进服务器看看,插有福吧看着面熟吧
; q) N$ E5 h) l7 O8 r
) T' Y, X4 f! O4 ` + m) U7 Y7 \+ q! o, g, w, W" i
+ n! ~8 m# N& y7 ]" i2 a7 m
) {7 O* w6 \3 ?& `( L
. v% S) w6 e0 i% y) E( O- b; v
8 t5 o. J2 c/ z7 l
! G; r2 L; M; u1 x, p3 c. Y ) P2 S0 n+ R4 O+ p. h9 Y+ B
' u( s# C1 U* Z
7 S. w8 A) z! |* K 装了思科交换机管理系统,我们继续看,有两个 管理员 / T- R9 F: [ V
C$ M( a) S/ m, q
9 T8 F% U3 ^$ q) M
3 k" b0 w) b* [! T
1 {* I2 @4 _7 B % M- g9 k0 X! `5 f( ^) ]5 n
9 W# [/ J5 C% q) c
# ~# E# h s8 c
; K$ I! t$ ^ H& s
" |, Y. ?% H" g+ [$ R8 p
( u1 v1 l! n5 M+ {5 l6 T 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 " Z5 i0 N4 ^9 p ?, q
( v9 o, t$ d- p& h7 u
2 U1 }3 G T8 C, w
( ^3 M: R: J6 l. ?: G
; @" V* O3 C3 l u9 j $ z1 ~0 D, Q! a+ ]' `
! a) y4 n# I9 N: f4 P
; r. G( ~4 \' @) V% M
; E* I/ c2 @" w6 C- r. ]+ j- d6 g0 }
( v0 E0 h6 h0 [8 C) Z$ k2 k
) v) a9 c( k9 B: [
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图:
/ E! O& ~; B0 B M( `& t
4 U& H9 t7 q, i6 l) w
+ Y7 C8 f8 I$ q+ d $ A, m, z8 V7 ?
$ w$ o1 N3 k/ S7 \/ ] 1 _7 Y9 U# T9 w5 m; X* _' F7 p
! S2 J! r9 `# z8 ^6 K
L4 c, k }* v9 ]- o0 s x: i. l " e& _1 k y0 S5 b) S, K' m
/ \+ H3 E+ u6 l" @
3 x X3 a$ \8 Z# S 点 config ,必须写好对应的 communuity string 值,如图:
3 @: K0 v' |- C/ K( u V
, ^2 \& j0 w$ [. a5 o4 g9 R3 }$ H
9 c; {1 D8 E4 U, D# \! i
6 g. t+ ~9 l0 Z/ d3 \
: |+ K7 b. x( d
* v0 H2 E: g+ N2 \
0 h0 J" P0 @/ V) A4 O
& l& b7 ]9 P; C1 h% @8 o8 U
1 n7 V" A2 r2 {% T
0 k* E5 }* u6 j2 Z 8 d: a1 t. V+ F7 u
远程登录看看,如图:
% q9 @' K# p# C6 j) i6 e5 M$ o
1 u. o% q+ T; W2 |2 Q3 f1 b : f& \/ G+ R }4 ^" X; {" ?4 H
! E8 ?! S2 ]5 _2 Q3 X9 k( b7 m/ c
$ B, h6 X( E# u
6 g7 Q, Q |9 @6 B0 w. H
- E: b; b$ m+ K3 C0 f8 G* _
) ?3 p5 ~4 n' h, v
% J' h6 y& J, A6 U* v5 C# k8 c
2 K6 I, Y3 b% B
5 ]. E9 |" \7 {. `7 L 直接进入特权模式,以此类推搞了将近 70 台交换机如图: / `% @0 r- {8 `) C' {/ t2 X
5 f& Q \( e7 i; Y0 `
+ O3 u% u6 J/ D% j" K
" N; D. B, @5 n T0 N. ^' E
# ^) u$ ?! k) ^4 [& V
) S" A* f8 f' b% n: k5 ?
) p, d6 {; e2 G# q+ k1 H 7 k* y5 I* m$ E7 z
2 w0 U8 A+ x, [1 N- m% w, T5 v
! y# W: w: q2 R 5 B* L' i$ P3 _3 q+ {9 P
) H* Q2 y9 L; Z0 W/ e
1 r% R- m" c2 d2 o) G
; `0 \1 V+ Q3 E4 ` 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** [9 _* H; w/ [7 d
9 Z1 V7 T4 O5 `! p( v! q/ ^) ^
3 ?; s0 x7 U5 |' i% h# S7 [
8 h6 n. O' _* \9 a# H' ? " J/ u$ l- Y$ R- i
- K' G+ v) m5 G6 Q4 R9 N
- O" h8 F* T$ ]: A. W
3 \0 y \7 J. l
, Q, n: _1 y9 E
: z0 G( T9 \3 n) h, G
( L$ p. r$ X5 @
确实可以读取配置文件的。 ) W8 ]6 R6 @$ g8 C g$ g6 f* r; M: U
; T, w$ c: V j' j; R/ F: n: ~. I
7 Y# H- l6 J( Q( K: Z
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 ! v8 c! _% G5 c' _ A) j6 S# X
# Q1 O. l' K* S9 \5 d$ t
; _$ f% k5 [ d/ e9 K
3 m5 Q" L. Y7 c! Z; t; l
6 C2 g6 m/ P4 b. u7 j' L8 S
! {& ]2 z& }' ~
, R2 U2 B5 ?9 j$ Q
! }/ ]8 @2 J/ Y3 _. W( n% N3 J; y
6 h8 o( ~8 Q! P# e" S- w
* u/ g3 ]4 x( r! J& d
( y4 z. g" V! v+ q2 `6 [ ' y6 k2 w3 C) ~) g8 y* _5 P( H
9 s _ p9 c5 i9 B
# v- w. u. o+ X: N; Z( V& M4 N 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 4 {) M2 q) C8 @9 S1 ]* N$ m' B# ?
) d( @$ I1 m6 m+ c2 m5 a& r/ h
' y% f: X4 G$ k: Y6 j- D9 q5 x2 L, U. o C
. z& h: n2 {: s9 ] - H& D2 ^6 q: N9 N/ V8 \
* P0 O) ?, A# t' A2 s
! _" Q6 J4 B" B& W
1 ^2 h5 d0 M% [! b3 B
5 \0 y: ~/ x0 N# \1 b2 t
5 v- g! V$ W J7 h+ F7 c6 I
1 `: b% s6 d5 d0 [: _ 上图千兆交换机管理系统。 0 K8 @6 F+ c' N; D9 z. L( ]; e* k
, Q! C$ d5 n; E7 o$ {, K' P f; R 5 r y1 W0 m5 P3 q2 E2 e
7 、入侵山石网关防火墙 - o% i0 |5 [: {$ f: B u
6 J2 Z# g, k6 b/ ~' W ; w% |2 S1 H7 \4 o! f$ ]5 j
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
5 J4 N# m' E9 G+ l- ~: C
( g$ R0 L7 q" s, C9 s+ P: T7 ]
7 W: O4 j; ]/ ^0 U, |( M# [
m3 F2 w, Y6 v! f* C
9 ]- ]2 @* B6 e ! d7 V% x3 O, a `
7 Q& c& g) f& g& w
3 N0 i# ^2 V/ _$ b$ ]& Q
7 `7 |; ~& K* i j Y4 D+ E
- I7 N5 Z0 _: [5 _" C. G
& D. g2 Y: x& d6 b, m& H4 U 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 A8 Y# L( a: Z2 ~1 p0 L4 O) c, b
6 B. z, @6 b' f" @2 t+ ^% h2 E
/ p: W5 E: U. k
) W. ]1 l4 q- W3 t 2 I$ l. W6 h/ @, J2 h
- x& Z* ^9 R1 ~" a& v' q; |+ o% N1 ?
1 z' @5 A9 _" A; ?
6 e. }6 E% Y7 T8 J - J+ Q( t4 {9 C. w
1 R+ C* W n# ^- K
' ? S5 h( D' Q 然后登陆网关如图: **
! K* r' u s9 m( G+ [( Y; K; C$ w3 K2 t1 e
0 @" C2 Y/ Y# T8 G& }
: @4 t7 H' M: Y8 m
' Q4 A% I2 n8 N9 G4 b- ]
, \/ G, R9 T4 i
5 o5 d2 r0 Q+ P
4 U& y# ^' I, |! {5 p3 f0 ~8 a6 k9 L 4 C1 N4 @- h: [* G1 Y7 Y
+ e" n" X/ p" c x9 \/ X, K& o/ Y
$ d( I$ X- h) w0 z% c. e
) w, _6 K/ W3 ~* Y+ T6 E w! e
) n4 n7 n" l* R1 A0 t . c K0 T" j# g3 c4 t
! |$ ?: H: P9 r/ I! j* ^2 Q0 a" V
/ Q7 r( V1 V6 L' `' B n) w, R
' f+ X, q/ S& _* m( X4 Z 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! **
% s% W* q9 R- S0 a1 d9 C) X6 H
. K1 v4 ~8 N# T8 H
# z. |! O. q+ a/ N
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 6 h3 f9 A- B, k' j! h) l" Z
/ b4 u( l2 y ^9 } |+ | 1 s% L. n. P2 V5 ~) {
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** ' u+ f$ H( b& |
, W/ J% }8 |3 H" x( ^3 Y* ?1 G7 a ( {& u" ~$ H* P. Z* e/ q4 t; {
( `- R& C" k; k) `4 Q% n: z . J! H2 X/ n- W3 y: ^& j, i
# c$ C; F& h/ O h4 a. Z+ u
2 d9 w. J! ]; ` M
) `% o" i/ g2 m& ^/ S7 y
; z; G$ [9 \% n0 E: h
+ H I( ?% L5 Y* V6 n' {; i3 Y A
6 {/ @( u1 G3 _, v) B E 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
0 N- h( d9 A* _ D9 e* D$ g$ S7 s3 ^# P
0 U; j, _0 `4 K0 ]7 [' m4 t, n5 S: T
# n6 a5 \% e$ t0 [( k/ u 0 p! e+ O2 e( \
, _5 R; C% ]6 l$ i/ a% i( z
# Q% a! K" n6 D5 ~) h - c- I! |' ?& E8 i
7 j' }) |& g5 M: R0 l7 Q" _$ x \
" u1 b, ]9 p' F1 U% U0 t