|
6 x3 R; P& L1 _6 }
4 E1 v7 R. o8 u5 B% l# V
4 g8 l( z7 l& p+ Y
- |8 X' T. `. j6 Y. I
1、弱口令扫描提权进服务器 6 B5 C- U9 l& l6 |& i% @2 X
5 w( r/ D4 r/ D6 `; h b( d( f" P* Q) s- F
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: . L# [! o% ?# f7 `7 E
, \2 |" t$ r1 r9 y
) q$ [9 |3 W t1 _) s7 r) t $ e6 X% ~) A p( f
, Z+ [- H+ y/ g7 E( `6 d Q
9 {- f8 n' g- T, p
. H' z& k' {4 f/ Q: v7 r3 z8 `6 R P U( N( W
 " x' m9 |! N: c# X* i5 }9 t% j
: v, G* }1 Q$ d! o( B' U
2 l/ ?. O ^; p2 N( L4 h5 w$ a 
' a5 u& O$ m& u' b1 w 6 v- S1 u" n( _5 p/ B, j- N* @
' \, g, [/ i7 Q ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
4 V( O6 [/ Y5 K# i! s6 V8 p
8 s" \* d# Q8 n- Z: ?' X
5 @' l! g- x+ |; s: g/ U4 ^ D 执行一下命令看看
: A$ k% Z7 G' t* w
1 B1 g5 p2 S7 E9 l& ^$ n9 B1 Q! _
4 x6 Q7 u e( {; r 
' _ H" J1 f* @7 m6 W+ g/ s
6 S' K& m1 t [& H6 @: ]/ r+ E2 l( e! `/ ~1 a
+ D) o$ `/ `2 d5 U+ j# i; P- Q, A* a$ {( R9 ]
% z2 v5 A$ p R1 J0 G. B N
* V( E# X1 u/ @: l
/ T% Q# j3 w2 l# R! L5 X V2 f9 |, q) s$ [
开了3389 ,直接加账号进去
' j' r# j6 O( k: n$ o 8 `3 [0 h* d% f& v6 u1 [2 ~
8 i8 ?* z6 _6 F) R4 i( G) H
( ?' f% W! \) v+ p
0 ~4 N' a, x# @2 X, `7 e
$ I x$ K9 X5 P3 [0 e+ Y3 [
0 i; f0 w# X5 L- D$ ]
/ f8 G/ v1 ?" B, }6 y$ } 
; E; c- X( {7 A) N7 X0 p * F# K* `4 C7 U4 T9 j
8 S0 ^ n* ^* X6 k ~- L0 F
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
4 f1 o7 E& E* |$ O z " C' J6 M$ [* f! R/ B% j
( F- C- b4 x! r* q2 `" z2 J
+ n; C/ W/ N# Q" k2 B2 y/ U9 @9 ~
1 M* i8 k0 @: F& k: M8 f
7 p. Q7 i& x7 _* m2 d! f& T6 C/ Y / W' Y9 X% B5 s4 s; `! a7 q
+ g$ }: ]1 L2 F  6 l, Y, M' e, b5 ?/ ^1 O2 j
) @0 b0 S" J; `2 e! g, B& k
8 Z6 h$ k) h: Q7 }4 L
直接加个后门,
# C6 U0 L, R+ ^% a6 l G' d0 D% P3 W5 O- X6 }0 ]% E9 A
, a2 x) h0 E" z2 P: P# o: k' Z( e' \
2 A: G4 ?* B& C3 `; Y # K* i1 Q. n! g ?0 q9 \
( ?: Q6 k( P/ n8 t$ f; W$ _2 z
" N) H7 G3 s) P" `/ ~$ T" C2 k( q
" U6 J f! q& C# s 2 t- W4 L: ]7 Q. `
- H* `, n1 p: f" e
7 T% |: v3 U1 `+ H 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
. B4 i8 F+ _7 o: r4 U5 J
3 y' f9 ]1 ^; S; l) C, y- a
) O& S, |) ^" t8 n5 T. O 2 、域环境下渗透搞定域内全部机器 * h) O" F' k. j9 n: F L9 L: {+ y! T
9 Q6 C; ?/ ` r- r) ]; U( k* m; I
8 O1 p) S) N4 {1 N
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ( { k6 D: i, e& \9 @( Y
% `% F/ C- S3 [6 O" N
: M6 m- M$ Q7 `4 P5 t
% U: i. U& Y( k: |5 [4 r
1 W3 f5 Q/ w+ x* S* ~. ` / ~. F$ s. x0 D) A6 d* ?/ z
" r5 w1 G0 P; B7 Y' Z
4 h& x5 E! _+ C& D. o  " @% ^4 J$ ~5 D/ q! B+ A+ F3 Z
2 V" q3 S7 D% y; j9 y! b. u; H
1 ~$ i' k1 v5 K" V. |
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
5 r& w% J, s1 j: S* ^$ I 1 U. R. n( O7 C' y
6 N& i }: K8 N2 e' h! n4 d ' C" P& W! w$ f. i- c
. I4 Y& c+ {) o, j! J Q
, G$ W+ i3 H1 a& J8 @4 p7 V
. Q; a! U3 K# J9 l1 f+ c8 m8 W+ q9 ^" b8 `7 _
 - O# n) C- h( _2 I7 J( u$ U% O
& @( z }' k5 u/ L
( Z5 X9 V2 {; z8 {
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: ! H) S0 @- A5 w! v% P% L
! d& ^ j* d! \4 I1 f6 G. R+ X
) i7 h: J+ { s* [3 S4 Z1 U & c# H4 L+ e) @* y- `
. G3 j5 W( C, S$ l; M
& q# A5 n+ M" y" [1 _
2 S' d3 }4 q' J+ ]/ T% T; Q# Y4 r5 ?# j! G( @8 k# i" `% h
 % y8 R o' h O6 X' ^9 P0 J( Q- U
+ P Z5 |4 x5 a5 F2 D$ o) I
1 T3 I; Q1 B% W [. [- B 利用cluster 这个用户我们远程登录一下域服务器如图: * Z& e! _+ K/ {2 f4 z
2 r. p% ^- G3 @/ o6 g8 U% C* S, W3 L) v: D& S
- t9 d4 C8 B0 w% p9 N1 s5 m" E% x
! i! e4 P$ u4 F+ i) m3 m
6 A* H k: Z# ~& V3 m( ` . `! j. j. _- e6 C. F% y& D2 X
& u0 H$ {1 @" b* d( ] 
$ i, _3 z2 W, v8 H0 g, I # t, l! |/ j/ g! l8 Z
8 B5 l# D8 s! S+ K; { 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ; p; { G: S$ X5 O: L/ h, I2 O
/ E+ s3 ?- i* I# D4 q: E, W* W) m# E! t0 S6 }( e1 Z
2 ^! D7 Z* e' r9 q/ R; j# ?- }
9 R) E/ H! Q% t" Q4 Y( W5 [" a
1 z' f/ b* ^9 N; Z2 }. i1 p8 p& h& A
& \/ x# ]/ v! U R
6 L6 T ^2 n7 q7 I% h9 x 
2 [/ @, G) g8 y, T
+ l, p; I4 {2 q$ n$ `8 g
" y- W- a$ o. z5 x. p 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
, F0 t3 C$ x0 W* t
w- B L# X9 y, q5 d# |4 k! h+ o) Y" M4 {
5 e8 U7 }+ X) u/ n6 ?) \+ Q/ v" C " R5 C- i+ |- v5 v7 v2 U+ v: {
1 [) R8 J* X7 |& q9 J" y( n 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 6 r9 @, s6 @6 W/ x3 {
0 X* I3 ]& H. ]& b
- l, [4 u( Y! L+ O blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: + o( n! L! Y: e2 K, M* R
. K- t- |( G5 Z4 t4 }+ E( H
3 Y& B0 j" j% L1 [, o2 y/ C3 t
1 V* M/ ^) v. @1 p6 M) y
/ l& t; h: J+ }* o2 R ! n j5 \7 H. s- `+ J6 m6 M
2 x; c: I% J! P( K! S. T) T3 H
$ f5 w1 j1 S2 t6 R, Z- @1 b1 O  * Q' o: X# ?6 p$ C% p; d
+ r, v! O F/ P5 F
5 w% b* w, R/ I' H" w, b
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
! S' a, P/ q1 |2 [
- g& p: X5 b% t; n
* e) D) c/ U: @ 6 K. b. _8 @ S! e+ J8 d$ w/ @
; U/ M$ W; r- a/ u7 ]
" o) ?( H) `; z D8 X5 D) v
& t( P5 e7 r9 i! e/ c: E8 f% U; c8 z) z7 X y, `
 9 R n2 A3 s) K% i) R% S' ]: V
# Z1 T, L& [$ c: K7 K" d
8 E1 w$ n8 X7 O8 Q' ^: B* X 利用ms08067 成功溢出服务器,成功登录服务器
# T( A2 c8 c8 F8 w @5 m/ s/ s
4 H8 J# M9 [5 Y, |: b% E; n- t5 }3 T
$ Y( q# q% C* \$ }9 F4 H6 m" r: d5 h
( A! t# G$ i' s- S2 K
/ }+ ]6 G( l* B0 [2 }0 F T. g2 V 0 I9 O. h, s( U. x/ P5 Z1 n4 E
" i5 R/ N. d6 L8 s/ w
h) d8 E9 \( b( {8 y 
' K/ M* E$ Y. k8 ?7 R. f2 D * c1 G0 t2 }. U7 J l. V6 q8 z
( b; d0 Q5 |5 U8 W3 }# O* d
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
+ a2 U% q6 f3 _( s1 |
! d, ^; Z8 s$ M; j3 ~; F3 W+ J R$ y1 v' {3 A n8 i& y
这样两个域我们就全部拿下了。 9 p6 ?/ M7 ]8 J0 l% k
, p# z! \- {# q: c5 u( X
- y' \$ W {' X9 O5 |4 p
3 、通过oa 系统入侵进服务器 % u- ]9 K+ ^) l9 }$ L9 b
9 Z; t/ u# ]; M( E) ]) a# y, d
4 p# H4 D: Q5 P% H: y Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 & h$ ~; i5 Z7 Z
6 b" @. D, w! h B r2 |
1 W& R+ p$ U6 x. z/ f" |; [
/ N* q6 A" m3 \0 u) u2 a5 R/ d8 u
# \& U8 _( C9 T# }+ v2 B
1 z5 G% Z6 |- J8 \) n9 U- ^4 {2 [
- C8 j6 P4 [% R# k& D
% L) u( Q0 K: ?7 k# g0 d! s* ~ 
+ y) [! C+ Q; _6 t' R" N9 N5 _5 _
2 j6 d) j* f; H7 _2 _+ A, _3 I( m- }$ h n, E; X2 `1 k/ x& Q
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 \. b/ v0 ^4 D3 n
^/ @2 z' p0 v( L' h" b
. D! p3 v, N# l9 [& @' ` 6 t) y: V5 e; K+ n
! V4 ^" A" W- V; N. X) M9 @
& q# p+ D6 u; z4 _& T: }0 D - g" C) ~+ `' A% `8 i
0 n6 Y0 L9 h: H. a# | 
- C6 }7 A o6 Z5 S* Y& l$ ] 4 h. Y5 c% Z, ]+ E) P# f
3 S& x( B+ ^, j T 填写错误标记开扫结果如下 / O) |" h0 Y& t; k& R0 E
6 l" s0 s+ n3 x& e! t6 ]3 ~. o( i/ w
) B* S5 w/ k% b+ q
! |: o1 w' R) S9 Z* k
) Z2 ]$ X. H9 D/ l
$ d: C, x0 [# X
8 w8 Y5 r1 ]- X3 M2 l: A( C5 g2 ^4 L1 q# l+ N7 q' k [4 Z8 {
 9 V$ ^4 D5 a/ V l, u9 k
( W0 z9 J' R7 J% k4 ?7 H
# Q, }! p% i0 f, P1 {5 f2 Q 下面我们进OA * g m5 w( j1 w9 M3 \# C
, j! h% D5 Q# Z
/ K) M/ {; s: B2 y, J; v
|# _/ w/ h3 C& k
0 j; U% ?7 {- V! T( ]
* S5 o2 |- S# h3 [+ {/ F& O$ Q / G9 p# `5 }0 `6 ^, i
0 w# a* H% b3 C9 k
B8 U/ T- i, I. W& @' B: } 9 c% ~' N* }2 l; Q3 F, P; E5 @
! [5 B' P! k: X$ H& z' c. A 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
5 r' V3 ]4 h; d & U6 J1 Y8 \$ O; D/ X d# {
: c% l- j+ k" Z# u* N7 H, |
2 c* u1 f& O) i5 C
# u2 z5 {; B# G, `: j
2 _; g3 _/ P* A! E. @: _& ^) X \1 S
/ N! I" E& r/ h5 F
7 g5 @* i% D2 }( u% @' ]& Z 
$ x- v3 H# a+ M8 n8 r) x) ? w$ z5 I# D% ]( ~' {. \6 b
. B \8 z. H; t2 s' b
' u3 ?( G: p4 u0 c' B' J & A+ p1 N. c* H0 I2 _- n$ A
/ L* o+ p& Y, F8 }% l 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
: o; Z6 W4 {+ C+ J' t
, |" R- H7 m) s- d( e; `4 |- h/ h
7 e3 z! Y2 W/ Q 4 、利用tomcat 提权进服务器 8 v! x8 F, w. I8 S6 h" `7 T
3 K8 [& z4 F$ O/ v7 K5 U
/ N, R9 h' Y! ^9 c! g! c* ?% u 用nessus 扫描目标ip 发现如图 9 \; y1 e; l, r4 J3 f, z$ I
' n5 U6 [& a2 L8 S( N" V. w5 D9 Y0 z5 R
# _' B* c: o- Y3 _6 K4 }
6 Q6 q6 ^2 d( ]$ \
6 X6 R8 B3 y- M2 k, p+ k % h; _( J% Q$ Y" i! W7 |4 e
" x) K; b: ` @3 q3 t+ A
" M/ z8 W+ y- m" F/ l , F( ]( t: }% y/ a4 d7 n
8 [: b- ^# b; X
登录如图: 8 S# ]9 k6 k3 ]+ b6 Z4 Q
# Z3 K' F/ @; s7 h d
6 b) K" e9 S2 T1 }6 V. z5 G, h0 i. X8 _
6 N5 M8 z9 }' ~! E! ?: `5 N$ h
( \4 d; J( v7 N& w- L' }
6 }& ^/ f+ y* _7 k: ~; I2 {4 z* L
1 o. H. E9 f; \/ y4 D a
3 A$ A% m' X0 i7 o 
# `% v( j# k0 J% ~4 }' J
! }# c8 h3 d% K( l) A- Y3 r& D: }8 D* @
找个上传的地方上传如图:
/ M, o& z4 J$ O4 I* N. |. \ 6 M" g$ r$ u; `1 u* m8 x
. I6 I+ }7 i$ ~# L7 T8 B
" F* U4 E/ W, G# W) R. a) T
: p! x* Z+ P0 c
z& }; V8 }( m$ l% ^3 `2 h' Q/ G0 t 2 P+ z& ^ w+ g7 X
; C) R) X4 k7 H, \  - x$ |' r( Q9 e/ x0 X
" r h: A" [" ~6 F' j
/ }2 F' }$ R: ^2 x* K' z9 X* i& Q 然后就是同样执行命令提权,过程不在写了
& M! g+ ]5 D9 S0 `* O9 `: U# T $ J: B' f7 h5 m7 A4 ]5 \
q$ `( S% a4 j0 \, s3 p( K% p 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 # j2 `$ x" u( E0 L
0 q; z2 D9 Q; n
7 L' _' b+ u2 P% I2 `6 u6 b 首先测试ARP 嗅探如图
) ?( X5 \" s$ X) g6 J( d/ d, B4 i
( D4 E3 J" F% e0 }& h
' v$ e( g$ h$ |( N, e# T. R
' [7 j1 b% V% a* s ?
, [) H' ^; ^' Y
# L8 a/ y8 s3 Q0 _' q6 f4 M
& p7 d- z0 ~3 _6 F* p0 c" a' m
1 e+ G5 P: \9 B6 P$ s# j  % x8 E' f# v! p( k# Q& j% U
2 W0 E" V& a8 G3 a! A
" v6 e* p& Y# k( v 测试结果如下图: ; [& V+ B* [* I, R3 T/ c3 ~/ n
4 k6 e) T0 L. n& T' I
' u* U( w0 V$ }9 _ 7 ^; G: ?$ J8 l% c
. t- v/ D2 G9 I4 ]2 p$ B
1 }0 U/ _% g3 p2 W8 j" `+ R% a2 V* v
( G$ s) D" Z5 G+ E- C* e+ j7 O6 g8 l4 b
 % p7 p7 o. x% I0 ?! L+ r' p
0 D. A5 ~- g. r& L5 S+ B$ X1 S5 ] J ?" H) U$ l0 F
哈哈嗅探到的东西少是因为这个域下才有几台机器
$ [+ p4 i$ v p1 G( l: r% e# O 0 ^7 M# r# _3 N8 Y( [) `
) A/ c l! L' P6 e2 O% z 下面我们测试DNS欺骗,如图:
- o4 c- I) L2 o 6 A# S" d4 ]7 b4 ~8 J
+ i/ A% v; A# B" s; X+ \* p# O0 F
4 K. `. W& N9 A0 }1 ^
& A$ j- b6 |/ z0 [* M( Z/ T
$ V5 j% e4 e5 O" k3 |. M 4 }0 L& V g- C2 e
5 X2 t. b0 u3 c2 u 
8 {# E- E3 E' r- ]6 Y$ M0 {# Q
7 |# q) S3 _8 O2 `, S! c1 n a
, P. {+ [, u* a! d$ g 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
6 H* Q0 m. Y3 x G$ T, | 3 F% h; C# h6 N
5 b% `/ q: ^6 P9 e( d! t- u3 c
' s% h* `4 Q: N8 [9 n
8 Y6 U- n+ w: g6 K
7 y m" X: U6 T- F6 @4 b
7 m7 U! \' H, D2 R- a# N4 `' ^$ x
& I v" O* \/ a# S6 F3 N : ?" Y' \- z2 D% y2 N) A0 C
+ v+ e/ u& J( P( q9 @$ u (注:欺骗这个过程由于我之前录制了教程,截图教程了)
3 S2 v# j$ |+ Y( | 6 i7 ]2 M1 L3 A4 \1 { N+ Y3 e
$ F3 p2 c) r# ^
6 、成功入侵交换机
, w4 C: Y/ u/ a- A . Y% T }8 d+ `4 c8 f/ V$ r
* p0 C0 F# z; C% \) c8 ~9 `! e 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
5 O4 r6 h' {+ M i5 K R
6 _ k( L/ p b3 o" f3 _% Y
8 h) l- z+ }( g 我们进服务器看看,插有福吧看着面熟吧 1 R0 A1 {, Q( _: [# U0 n
* c9 V3 u, R6 ^. V
- E# n7 H, j! s
- K$ }; R- K( }! H( {
: E) y3 V& Q3 Z6 q2 `$ j7 ~
9 o: _, \ z! f& ?9 e% y! O
, a7 ~% }( W3 f" M' |/ t
2 T5 u6 @/ s' `& a4 m o# m 
: \$ f5 ^- k. { 1 [7 _3 m4 n" G8 P0 a. I* t" F7 w
# } d# g; \8 `4 q; j6 w4 |& S) M
装了思科交换机管理系统,我们继续看,有两个 管理员 & l, Y0 _+ K8 _" K9 i3 X
4 a% b7 B. p* v" z. z2 i( Q- _7 }( f/ q$ M9 e- N2 ~
8 u! ? |7 e* y `' D ~
6 u; c: o4 e5 x( N% o& m% l % E% z. H0 N8 a! |1 K
- y! P) ~) Y; p0 F
. E) ?$ W+ s f7 S4 r 
( Y, m \' I% Q0 P# |: u& H) x
5 @( U6 V8 _- j% K" b5 I- y! m* U. G( e e
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 3 h( y1 Q0 U+ f6 O- c+ d! z
& S: V& z0 n. K
3 ^% p: W, ]3 Z
. s! t! e+ T" e! e& @/ X# B
3 I7 a! t4 L9 H8 V0 i
! Y/ n4 V" ]% H3 f) t7 F% Y6 m
1 _1 u* ^4 ^# M+ D: ~2 U
, f Y7 G+ l6 s+ z  5 X: m) m5 ~/ |8 n7 k
' Z- y9 o2 t! k$ r9 Y/ s
( Z" ]# w8 I0 M/ u 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 5 \/ Y9 q+ [, M, }( z5 J1 ^
1 n' C7 I3 s4 g6 |$ {! M" C. J" k% U4 t% ]+ q; ~: R! |
9 N R; y6 S( ~. m' X$ R- W( o
* |, q& p, Z3 [8 s8 C
& T+ t& M/ w3 l/ p4 T% s' B# c g 5 E% A9 U6 z4 B8 Z% D
3 Y; u9 [6 _# a( Z# k
) _* y( Y2 T0 s; S! c1 a; F
# z- ~0 ]& S# l7 w
# m( Q$ p9 z: f4 w- c/ O 点config ,必须写好对应的communuity string 值,如图: 3 h8 f" c: d7 ~
% X. e1 f9 z( }! M) Q
2 a) `8 o! k* W
K& K) G# n' \& `" x
* `% @" D0 r. f+ p& k1 n
- G8 t/ V$ q5 Z5 ?1 v" \' R
+ T: W- D- D: U- h& |+ v9 J
; n" W7 N) C! A% y1 U' Y  ! a1 V; r) S+ H1 u
1 R `* ?* S/ O6 n4 l x
+ y1 W% u' G; [5 P( }3 w5 \ 远程登录看看,如图:
9 M, n1 a( I& @
5 d8 S3 v' ^/ q# c4 K- X4 N; T. A
. s8 f" B. _4 K- W/ H' q$ r
! [+ D: {" {! F+ k4 c/ q8 t$ W6 H
0 O# x4 i0 y$ t+ j0 A2 I
1 M, j% |; o. U
( W& d+ Q* q1 T/ M
5 q- r. k" q% I" u0 m* F0 C' F
# T: J }/ `* S0 R2 v9 Y ' ^" r( ~# v* M! ^/ }6 T# U
- c- l7 m' }# `' ^) T$ k
直接进入特权模式,以此类推搞了将近70 台交换机如图:
4 ^. X# `6 Y; }" S$ d " N& A+ d* o" }
x! h. I( U( F# q- b# Z2 B
U" L6 w9 d4 K" o# _# E, v' V
" @0 r6 r. C7 f: E: V. ]
+ K8 P" x$ n9 ?+ n2 X: w6 b) S J! B6 h
) A+ e0 M* @7 n/ f& b7 d
/ n; Q' t: d8 d% d. h 
! d. Q- `1 V: y( ^ : \& y) P1 {3 H1 x
9 r9 ^$ ^$ ]/ Z. U5 T9 G, e, ^ 
: a5 Y# x- ?& ^
7 k5 U8 z3 Y2 R @
5 ~/ e: O% A* q; N% F' n' D 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 2 K! ?7 C) i8 W
. y/ y2 X) Y- P$ h$ D2 k4 J
: k% c; P s6 P2 W% _* Y4 T ) b% }# } ?* |7 H/ t
1 x8 r# x' Z8 i) B 2 g. E7 a) d( I0 ?0 [
6 e! G$ M. F) k0 l
: x. J# p$ I& J0 a, _. C2 ?; H  / k) G9 ~% X& ^/ w
+ u# c" E3 O4 J' r2 ]# B5 D& J, R! q( P- v7 [- q, W2 Z
确实可以读取配置文件的。 ' e1 G) t7 D' J0 `1 B4 F2 x) t
4 B* W! ` l) |( z
4 e8 c. H3 H, b; [# l- y
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ' B' m g3 I( J, J$ Q
* G2 B, [6 ?' L
" ~7 U) z: Q$ x8 o
) D j% E( u N4 k( O" @
& E) }; `- V5 {1 U5 f
# C. x$ l! t% h6 P; }1 y' W5 n/ A8 F; B: P - r' j3 g) G; \* r) c1 s5 O
) t' @' v5 m; p- o$ d 
' w4 a9 O' Z3 o4 D/ Q6 p ' C X0 z, ]( m6 i5 Z, K1 s* h
# {% ?1 n6 t0 g  , `6 a& |! |/ A. P) `9 u
+ z0 f; c7 \ |9 c& I8 Q
% W9 T7 j$ v7 Z2 C: @+ f6 ~$ G 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
5 e: [1 z" l$ {0 \0 m& B' b: d ) M# e9 _/ E2 t) R# L
! D" L y9 g4 \8 j
, {- d; f. [: l/ P
5 i# |6 m, F7 V
@' }) t/ h0 C
& v6 P2 E6 Y( f. i# }
+ I: L' _3 H8 e' S& _6 D 
! ?1 T# R% R, R6 e! Z; w8 I
6 s# z8 F0 z i- _) z' B2 A7 Q& o7 j+ c. D2 `1 K" y
上图千兆交换机管理系统。 & S, H" C* ?' ~) a* O9 y" j
: X2 J! b7 o& Y5 K: ?8 ^& ]
1 o& {5 Z# o# V* ^4 N 7 、入侵山石网关防火墙 4 S8 O& X1 }! c6 y4 q
4 q3 ^, u( I- v2 [
) }; a5 E9 P: v: d4 j! N$ _" P1 { 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
3 Z. i. L) e' g0 H 1 D/ R$ I# p8 P0 M; f# U" x. E
( {- T% r% }3 ~5 m
3 Y, {/ T4 B0 ]6 U
l% W7 a; i( u/ F$ t& g# j: B: g . ]- C; u2 V. d# t9 \
4 D4 a% m' w! Y4 D" P3 E! O( Y: S6 r6 V4 P. r; f0 e3 j
 " [1 q0 I- \% i' S: T
9 b- a! `! T$ @# I
s+ S7 k0 F7 [' R3 [
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
: i n! z* a" \- u3 A! O2 e ( E3 }( C& Y- H: g% x
4 u& P d A) t! E6 Z) A+ m/ }
& ]) a2 \) S7 [$ l
2 f# o9 ]6 t2 k
( l+ \' O; Y1 _6 ?* z: p" z2 e. w0 \
" c5 x7 \! U: Q: s; Q6 {8 o. g2 E: b' e* u
 / [5 b, S1 k, d
% c5 B5 T1 ]- i& z
0 V' ~: L( n( W2 P 然后登陆网关如图:** ' E, ]* t7 t% ]; }4 D
% l; C* o8 p, S
) `9 S# t+ t3 ^! R2 ? 7 @3 H, o+ R/ T+ ?. n
5 p# G7 g- T! a- c
4 E$ [ a& v8 e9 M
6 W7 q( R4 [! n) h) @
/ G0 O: O$ ]) V5 B) z  3 ?1 U8 W: O0 i% R* t
2 J7 Y3 B9 V. U/ Y4 B: r6 B) |2 a
* i c4 g- a* w. p
2 \1 N( w) D$ o5 r2 |. ^6 ^
) g$ c8 C% m. r/ h, C) n
- ]$ a; I8 e& w1 G+ G9 V
8 T# _! Z- ?* m; k
: ]7 s1 a* a! A% D0 I/ y 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 2 @' @6 B c, \0 ^: L/ F" S# l
3 f0 v5 F. u( F: K; W! R/ L1 }
" F- [) L7 n5 h& C* j 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ! `% w) Z- l6 W
^/ Y( X; L9 L) D
/ G5 `0 S8 H2 M7 ]) k
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 8 F* |& d6 F/ ~" W. [ m' O2 k
5 _# ~* z1 U% [0 h) _6 \2 y
' n8 E$ M/ ?. \+ C/ U& x% x! i ' k- u" ^ A& @; n! ?: b! }
' p" E& U4 m% p3 f. j/ E: ]
8 U2 H3 `8 c: [+ P/ z
2 S! k( E6 L5 t6 y, _# }* d. @) p. |, @" g
5 U9 I( k) Y( k0 N 0 Y" Q! Q9 O& O% H
: E+ K; \3 @8 q, A0 q 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
5 M$ k" N# W$ J! R" h. ^9 k ; A6 c) y$ w: y* C- I
$ L: E& m6 H' e' Q( r. t3 ]$ f' R4 \ 2 e6 x" @2 U, p M }- ^+ [) n
* l" Y- v1 k* G6 N) [" R5 N6 r
6 k- L7 J! [$ ^9 [1 v
/ l' }& ?' R' ^; I* R
5 Y9 x4 T8 @; q
) F9 X/ b2 Y8 t | 
发表于 2018-10-20 20:19:10
收藏
支持
反对