3 ]/ z2 u6 _8 P2 W$ {- J
) D: N3 A) X; S! ^5 t. J/ s7 L
- d. y+ l1 x) `; E" s+ G
4 j: x5 `8 c8 {* d8 u8 C4 H 1、弱口令扫描提权进服务器
" X z5 ^) \* M0 |2 d* \9 N 7 }2 }& Q3 m0 V& Y& S0 f! u$ v* U
$ [% }5 g2 H4 A# }+ }) D
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
2 V9 z2 ?0 |/ p2 \7 W( U ) ^' r: ~- w& h
( s9 k5 e7 k3 S/ P
3 V2 x$ K; s/ _+ x5 ]: r: F5 T- f : u) I" u; f! y
r( q* K" `' V3 d/ q% k" ^
1 B& ?( i5 y7 y u0 D. [2 |5 E/ z
8 [1 A5 q" d# U' E
8 x( L% j# E7 \: H
6 z: [9 j& y( A
# N8 |6 ^7 {3 s9 }# S6 x7 U. H/ Q1 ? 4 @0 e# O1 O, c2 P' \% U [9 r- D
. g- i6 {0 ^( \" A2 i5 p
4 H+ \5 J# S' J$ A ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
+ Q1 E$ {( h# x- F' K, ` # l A9 ] l5 h) f Y- {
! M' v8 L Y6 W8 k! J5 h 执行一下命令看看 7 b) S8 b9 j: K: B5 w) I
6 P+ Q4 d( A. X; [7 O' x
9 C& A: G f7 W3 u
7 }# T" `" I9 L* r6 o ; M& T/ n/ h/ ]+ v. f/ N; K" c4 m" h
& d1 C0 J0 y& B4 a" E+ n6 \
% O3 _6 A% J7 i! F3 N* R2 L5 i9 c4 ~
' b2 n" X( k. K6 T
; \9 o3 Q" v& {5 ?! Z" ?3 O( h
2 T' c9 u% W& h# z5 g5 i, {
5 i/ Q. q6 T9 r. X6 u4 x
开了3389 ,直接加账号进去 ) `: @5 p( ]& [$ a; Q
& S7 V/ e5 J7 t: W( Z
7 h. Z* o: ]; ^4 o- ?3 _ ' D ~* \( c) z( A
+ A6 Y* i; ]1 K8 P) o! K
. Q; `) `9 T; O# E' d 3 B' G& k: I C/ a) j& Y4 ?5 T
$ G. Q# ^ W/ d4 l5 t6 }
6 E& f f7 S+ x2 {# h8 }
" i# o4 [3 y. x# V
, S) B) P' R' Y1 D; O
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
$ N6 `! b% ~- X a8 I
! H( X3 ^4 I* i& y' E
6 Y- g, p" B ]2 w" t# t % W4 g0 k9 C# I: @6 P- E
8 I3 b. P) p, Q, v& y. c , N: r5 Q) v7 y- J
, _) K( P8 I% M
3 [" W+ \: s. N M- h& f% Y4 ~/ f
3 C$ @) H4 j6 K- R$ I8 v9 I$ G- N* J
! o4 P: r& t, T9 H5 O1 n: ]1 |8 x, Q: B2 I* y3 Z8 [
直接加个后门,
_8 s0 f% i1 u+ @, v: o% x+ }
3 E9 z8 `* N/ x L7 f9 l% q6 H) X$ m7 N( ^7 Q* s, c4 t
& d2 s1 I. I/ a
8 F3 W9 Y% K# j o9 s+ c4 ]5 }7 q5 V- {. ]; d" @
- k7 F' {; J5 f- v# | _ G 1 h" F; z" l. W: N
, f9 o) J. k1 U, k7 R' u% n' j
: R9 n3 V9 }' w2 Q* ~; S# @% r: L% h! g5 X- h2 ~
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
) N- x9 Q! \+ B& P% @& \ - |6 f1 g# C( e* {
! F( p1 @9 ~0 Z' \6 n& i+ J 2 、域环境下渗透搞定域内全部机器
! k+ V2 Z0 B0 ? " D7 h0 A. p: H9 I+ p$ @* U" k
H2 e0 x+ n5 j% Y k! t 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 & i+ X0 v; Z) ?- \4 h
8 ]1 o0 X2 d1 V4 D7 ]# `8 o y! z$ }, z6 _$ C& a1 z
$ N6 `! C9 e- ~& c. J+ I0 C1 b
" T3 w5 R# A. [8 I% b! n t% \ 7 N" R& D; b3 \: J8 E
1 ~. i% ^+ `( f% `2 c0 g
! v. M1 Z# B1 B: l " h& u. S* C4 H. v4 _: C
1 n' T: ]8 [6 j/ S4 k
, b' }' t# }4 I4 s% x" m! S' g6 F 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 2 ]8 ^, G4 u7 z* g
# B4 O2 m' a5 F7 z
! H4 W4 _8 B1 N8 n* s
. ~/ u! z$ @7 w2 K' A
- U, y, t; E/ x6 A2 V
1 C( Y( V$ \5 b: n
6 b7 ]) h4 M6 |' w1 u" a! k N& L: v, T7 h# i* J
2 m1 A2 R) a+ `3 q4 K 2 e2 }: n$ V& i& T; Y0 i
+ ?/ w$ l; t: _. B8 d
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: + j4 \0 I, B$ z6 H
; w* [, ?; ]% k } Q" }3 h% L- w
- T# {& }4 D/ b, C3 H, ?
2 A' o7 K# f1 t! l
4 h/ J ~* }& l2 j; \ * e6 O9 p/ @! d: W4 q" s- w
% F# b1 I4 q; \$ W
q7 \0 n) l# U+ v5 R6 v$ _# y, Q - c+ k4 ?# v! B. c2 O4 R
9 }8 H( K$ d! P% G9 E* e
, S# L7 f0 U c7 R& |' M, l 利用cluster 这个用户我们远程登录一下域服务器如图: + M7 d7 P. p9 e7 N8 Z0 w" x
0 |- F A1 U6 E" a2 s& B7 z4 o) j5 W
! Y6 Y% a Y! X5 k1 g, ?; {3 D. w/ _
8 r8 |8 {) j h5 N6 i& \: h
) C+ ]) X9 ?7 n( a4 l
* j& E( D: M- r. u 1 ? s# P0 w7 o2 W; d8 R: A
. J6 I c* q" V9 a- _3 I5 q0 W
# F- v7 a1 h3 e
1 O; D$ c3 g# R- T
4 K- A% P4 T" Q& ?
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
- z+ }4 O1 K# ? : D: _; x. k& |3 k7 h- Q& F
6 R0 k7 y0 H+ V8 A, l& Z ! H; U! r! v; r0 y
! w$ s+ L0 y" Q1 ?6 W6 q
$ R! v. E# k" ]7 E4 q
8 `. G2 s/ V6 r7 E2 _ O- r- E: |' T
% B! z% W2 b6 w - X0 B% B0 o& o& N$ @: I
0 q- t) l! h- v$ d& R% p 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
0 Y; x. i8 D! y; P0 g7 x
) T! d6 i- [5 ?; r( c$ \: j5 m$ |
; N9 |( Q( L$ [/ {$ D% z* h Z
( X, O, ]9 F# B O0 h
2 u% I4 Q* ?; t( t2 i0 Y8 R7 Q0 r! x% M. y/ o3 B1 X) F
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
7 }0 i6 x- m7 c0 P% M. A& y : n) Z* ?2 @2 e# z) j
1 G! d+ u5 ^6 @* U
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
* P2 w' L1 [' h! B
% T- B( n- Q( a
* \- w5 ]- q' v7 e. [
9 r8 D* b9 b; K" z9 U' Z4 i8 c 5 q$ n2 t5 I2 a# D
6 D3 @' l" V, I
@, d5 @" j( n, z6 j0 U7 j9 M5 w4 g( u6 k! N
& t. u2 x8 T1 I% n) `$ O5 `7 O
2 Y x6 J3 i; V" R/ d
J# f) Y5 o8 k 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
" D, ?, Z& q+ g I: u3 w2 @
- O, { ^' z+ s
9 E- J1 ^9 H: X& v. `
5 R# m( i! S) }, V! i( k ) F8 X% _; S |
! v% q1 w; W$ v* H9 T2 V. Z! G" P
$ f0 c$ }) Q, {7 y+ L) @) R
1 R6 h1 J# d2 Z5 f
# ?! O+ a8 n- s$ o
7 q/ y8 g& C' g R8 P6 {
; ~! b6 g6 K8 k0 d+ S' Y+ S 利用ms08067 成功溢出服务器,成功登录服务器 4 A m: D4 }4 g: D9 W& [" o! K
2 G, n+ X4 [8 e3 F4 \+ H
; W3 q8 [ O; X3 K" U& q
5 S' q; B5 t3 b+ B2 O! Y4 C. K
, X' G5 ?5 x# o [ $ X; o$ S D( d" I1 D3 ~8 ~0 x
4 W8 L3 l1 T+ ?9 s7 a& c7 o% G% [% X) J. d$ |4 X! B' @8 _
, u9 s* I/ `, Z
) o: {9 B W/ X. K9 \1 F* g8 g( E# [0 K
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ! w8 ~; Z. D8 G* |, j: k( o
1 {2 @# w) x# N
# R, U! L5 Q3 o, Q9 @, l3 @5 Q 这样两个域我们就全部拿下了。 ' G; w F) X7 U2 J
) X/ A7 f$ z& E" S8 U+ d
6 M" R6 @$ {; f 3 、通过oa 系统入侵进服务器
]4 C6 \- E8 \' Q & F4 G5 L5 u3 i' M
' L( B. K# P( R6 k1 C2 [ h% R/ p Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 3 f0 H% b& q/ d0 H6 K8 v
' ]& T# ]7 W- X& N
2 F: t* M! A6 M$ z + l% y+ N- Y, G( m0 T- n
& L% _6 P# T/ x9 M# q
* y8 o0 }$ ?* l' D: B 4 }& n; v( _ x7 K" R o
. o- ~) i2 e, M; f2 v- L8 P
- H4 E- |4 ~- ]1 `$ m- B 1 A+ ~# d }+ k6 T; ^1 u
- {4 D2 E& G, s 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
: [% K+ C) g3 Z ; d( D0 z6 e8 D# G) n) D
! R0 [6 h' ?. D6 q+ I t0 E5 m6 y2 g
# h# L% x4 i; S- c* S, Z1 B- ?
! {- K' \. F" S8 E! J/ m
# J! ^5 m$ e c, t6 C1 l+ l* e/ R! ?, [8 n5 O/ _; l: \7 O8 `( x3 I9 n
: b: |- a) ?" X
6 e: K! m8 Q& o8 w! b& ^# _1 z. ~
' \4 m& H- {/ T8 h
填写错误标记开扫结果如下 8 W0 v6 t4 [, P+ F4 u9 q6 p. H
0 y7 t8 s& R, b# [7 u3 H$ x; T! y8 m. n$ [ C ~! T4 j
( Q# T* i$ P& Z7 ~; H2 S: ~
: }6 a" d& ~/ f+ S2 G ! B* E0 K2 _) D8 o- a0 n
, u1 ?9 G; C4 I2 L L# a& _
9 H) R7 v, V% g) X 6 \- D7 Y/ N% s6 R, G5 e% e# ?
" w0 h+ ~& h& z% E( ~6 Q0 s% w
7 V' Z' C; y( H 下面我们进OA : V0 q; \6 m1 f. N/ g9 s
3 q( w6 g4 y+ f/ V
5 X! Z' J' |) ~- T& X
: X W7 r( u; y: p; M4 @ 4 I2 J& Y1 ?& w2 r4 Y+ g7 O6 n0 a/ {
0 N9 |; l$ |- H5 D- y
2 y8 c D( G4 U! H/ }+ i* o
, h9 C* ]6 t$ t9 t0 C/ t. X5 G
$ X% N/ n. j4 C6 q2 [) ]4 u
' u* M0 Q4 y! G7 f( C7 l& d4 B
" O6 } _+ l! H5 o" N# F 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
/ C5 [0 I3 N0 y1 I, @; ^/ {
% q# x H3 ^, Y2 O3 n2 a" D
2 G3 J) f, u# T# c" C) B+ b
% n: Q0 Q; h6 y1 I& e5 p0 |. X * h7 F6 i9 }6 r0 P
Q- Z1 g( S6 N0 P' r/ s/ Y ' I( h% m; t6 d5 v. h3 e( V0 l& v8 S
$ y: R/ Z, F1 R; L( M: ?2 C
% r9 x- s0 i9 E* a9 X8 q
0 V% `1 z/ }$ N" z9 q. c8 s
' G1 [' u _" @% _& z9 \# C: a m
' } }- F& @6 W4 Z( F$ w9 G: s) Y
# M; u- V+ P0 @" _$ P3 G! `. _3 l- P2 H: s4 Z8 j% R6 L2 ]# f
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ( N, n" d) J, S/ o
( b7 U* z i) g# H0 b" z( t7 r* m
/ j' T* N: _$ J9 H 4 、利用tomcat 提权进服务器 $ D& H) M C2 _9 m6 J5 b0 b1 `
) G1 B. z( q. n# [1 A
$ o+ @1 r: }5 [" l; e2 |% a 用nessus 扫描目标ip 发现如图 1 c; ]) ^% e, U! H
; v, J' G0 e$ t5 ~; }1 ]2 g$ _ y* c/ z
" j( F2 Y% t6 g$ F( ?" I. i
_8 G* j# Z# t' ]; B / ~6 j( l+ W; |2 N* B
& ~) R3 _1 Y3 q" [6 u/ x* E! c
4 t9 g i5 c7 Z8 A" @
$ _9 T! h( p* p# g9 @3 a
6 d# e& H: ]& S& X: }( }) N1 ~$ M9 [& W6 B3 k1 \9 l9 e0 h
登录如图: 4 w' B# p7 S: s; f3 S7 `4 X
" P1 R( [- k) Y) q q
5 j: K( f5 v( G
0 z& [8 y/ w! i2 r 8 x2 w$ G; L0 T( Q8 B* @" I; u
3 O" b* j5 Z$ |: m; M* K$ p( R 0 m9 k% G# p" ]) x* `4 H5 _
- R0 {" S b S
b. x' y) ]" M3 N; e: U1 A+ c+ f
' |0 t6 k9 L4 h. p5 Z" Q* n
) z* y: I# Y: ^' U 找个上传的地方上传如图: 6 z& w. f2 w6 f2 w# G6 [% ]
/ a1 J @- u4 M) A; I5 s8 p6 N9 s! O o5 _& k) u: N8 A0 l. l9 [
# q* G7 V2 K( n
" n# G# C9 u7 R5 R$ L
0 w( `3 A: Q4 ?" Y t9 S( X: q: U- K ' y7 E' _! S1 M5 R/ B. P3 m% V! C
- n6 I) ~# ~; l4 n. l: X, W+ y 6 u. X1 p: Y* c, D( b
: ^/ B) D! d# c2 i9 O* r8 L
# W+ y8 _" {% \- ?8 U1 u 然后就是同样执行命令提权,过程不在写了
9 f& [$ T0 d( e; i" d. H( K/ c
0 c2 j4 A8 w e/ a
# g1 H! ]- @7 Y, d/ D7 O2 ]* a( v 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
3 a T7 E# r' u0 g
( H8 G+ h0 I+ ^6 K; m. R2 I) V5 R) ~7 [. J- \
首先测试ARP 嗅探如图 K4 z$ }, I# m
& k1 ]* m, J6 n( L+ t; M8 i" [( a
5 X5 p9 C4 N! l3 K+ I) X$ S$ q# [
9 ^' B8 s3 {7 l- i1 }0 w& T8 @7 t
H; H( `% n, u: V: Q* W- b
7 z( O' ?0 ], M9 I9 h5 J
4 V4 r3 d0 x, ^1 j6 t/ l3 l! d% _/ O7 z, L8 Z/ D
% a! X6 Y/ U+ w8 ^9 c
: ] B2 C0 w: ]- v H6 Z/ U
9 D8 t! |# G4 n- v
测试结果如下图:
3 q0 N7 T$ u6 ?, `7 ? ( b6 u( I+ x( k. L
* k! W9 Z. x( ?% _
7 R2 i8 N* \6 e; M" Y# K: Z
% U7 g$ w6 B8 [* P0 ~ M
Q8 v" _& W( b & y" G/ C0 s4 Z
) f% E/ W- \ i4 a, V& c
8 n" W0 G' u( D1 |, S, t 1 a1 z2 {( a7 l- B" {& }9 J! U/ E
, ~( b; {, ^# C. U+ m 哈哈嗅探到的东西少是因为这个域下才有几台机器
: y1 V5 q( H$ Y4 g; ]' u
9 ?* V3 @; }9 d9 E2 N3 J4 }3 j4 \2 Y( A- r
下面我们测试DNS欺骗,如图:
; O) \, ?# h f- l, M
" `6 R; \; u$ c! f0 o \( d, @* O3 P0 Q9 u# E7 \
" `, w% ]. U7 E5 L- ?8 b
3 Q. X" w- l7 ?6 k
E+ c, r" r+ q# O6 P- A
" i6 f# N t6 O7 v. J" C. j" d: O
+ Q$ t4 Z$ ]6 Y4 I6 ` + i9 T( G: o$ M T
, o' a; N% B& {* P, T
0 n! i1 @- g l8 {/ G: v 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 N% I' A+ ^4 Y
( U8 V. \6 a3 }& t6 j1 p, x" z* T( W- g- O- O: p4 p
- Q; D+ X' W# M- p$ H u
' P' T4 y6 z0 K5 z+ A/ V % K* q2 _2 ~# ?0 {' Q
+ v2 U0 m: v1 B* Y0 \
2 N4 d/ }) N4 ?& m' d, \" o9 A8 o ' {3 o+ O* r* C- A; q* o" i+ G
( J4 t' V3 F% T! |! Q
# ^' P% `2 ?( {9 C2 c
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 0 M3 w& T" s: `$ E/ `, g9 L7 ~' f& M
4 k/ _* e- ~9 Y& ?; i+ m
R d' `: U% R 6 、成功入侵交换机
; B0 |3 `+ f3 S: i0 z- z 0 u! \2 L( ~- y" Z
, a/ D0 d1 }' y" J
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 Z( i! o @- A: k4 I, C
$ b0 I% [; Y: T- T7 Z$ O
9 k; Y' M- e2 Q5 j5 ]7 v$ K 我们进服务器看看,插有福吧看着面熟吧
7 t$ ~6 c! {- j3 {
' E# ]& p# N$ d% u
9 E- z, h( ~9 Y d2 s5 H$ q5 O
( O* {: [$ j% M
( X2 o' ^, d" c- L+ d2 A # W, I; g0 ~7 G/ C( w) i( c2 q
. c! G S' M5 ^+ `! G; N/ V
( |* K4 {; @8 D1 V1 ^; a
S ?5 b( t: c& ^
. o" i# f$ F8 }
% x8 I" [6 J2 z# w1 ?( j 装了思科交换机管理系统,我们继续看,有两个 管理员
6 a# c3 g( l" b0 r) b- B3 U5 g 0 P" y1 k: b3 L
. Q5 e+ R6 x% Z1 W* ^2 Z
; ~5 b/ c. B, h+ i; W" L8 Q ( w- T/ {$ \& e; l: `
; H% L+ a" ?" ^8 d
7 g2 @# F" x) u+ v
) `4 E$ p; R' R8 P
; F: B6 o, L( j! ?' t5 M6 o+ @4 t- R$ f
/ c. Z" X! j: _# O, T( c( c* M6 T5 p; D* n9 r
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 - }4 ^7 M! R0 V6 F* ?- e2 b
+ A1 o8 Y, J( ^3 J8 J- @
' ]7 k7 w' |; u& g% R. L7 w" s + |0 R9 x8 ^$ V* Y Y5 G; P
E: H$ X" F/ i6 C& A% g& G j
; U7 ~, j$ K0 K7 ~! e3 r0 m( |
( _' E" w7 ~. o- r8 Z e9 v) \" z. i
. w2 A% p: C! H: T
9 W8 v7 ~6 P$ X/ J
3 t3 ]4 x5 _3 _6 x) V8 D" W+ b2 J 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 1 m- U2 q0 B4 v8 T M' {
# v1 {# _! o/ l0 ]6 Q% \7 Z1 r) c" j+ C" j( X9 K/ |
1 X: n% N1 e) o) H/ ~% b; l
; s4 ^2 ]4 m. G8 T- h" P
o7 a g& J% N) `: M* U
& Q; B9 J+ u% w w
, Q( ]& m9 K/ W) a% Q8 b
6 M$ V. l' @' p$ w% \5 P: t; D/ }
+ G. U5 K/ ~6 Q' r5 U$ {& g2 D( J0 u
点config ,必须写好对应的communuity string 值,如图:
- S8 c% d$ K- T& |" J; @1 } 6 b+ P- e% ]+ g4 _; T$ L
) d" O9 _$ L. n1 ? t
9 p0 R0 Q! z1 n! P( H : Z! C+ b! W/ @( \; l) z8 R
5 S) p& Q1 L+ t' P : ^9 {; ^6 ~$ e( b* }1 D9 i
1 t, p. R% r. I" J T4 K
0 }# |& A, G2 o0 @( K
7 a, y, `4 k; p* u. q# i* w H' B8 X5 S/ n/ w+ T4 c
远程登录看看,如图:
6 e0 J1 R* a" i' d# }
, ?1 I8 S a( ~! |) F
. c' U% D$ V m. _6 g* m 8 G* ~- Y' N6 V8 M% o5 L
" i) } X# u; e/ T, p, m U; `" I" N
! C* l% Y5 B3 y
5 l# \/ D- R3 c* N
. Z, y) j& `# B9 \! N% U$ D& N
& F8 l$ |, B2 K
9 A# \) x7 A/ W- ^6 P. v0 @8 r$ a9 }6 Z8 L
直接进入特权模式,以此类推搞了将近70 台交换机如图: 8 x7 p" r/ Y5 P, u0 @) s* p+ b; n# S
( R7 c* U3 t g& |! `) s% A# \
9 S o; e; Q$ e+ g7 U7 x$ X8 K% }. ] 2 X8 H' W& W" m$ L3 L
- M$ W5 _, d4 O+ |
8 Q2 T1 n5 p6 @4 v9 Q: z ( W2 _: A s0 J/ }
7 G8 D7 J5 Y0 L. \/ b' D7 O
' _# K h+ B! k* y$ P
* R1 ]1 P* k& Y( L( r) H3 v$ H2 d
i% I% |- q$ d0 W: b; c ) U4 H1 F( P1 U3 D/ n" s/ A
' N% J( F# p& t! Z5 v: @+ g! r
j$ u% E, M0 H) [. F' i 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
% j% U0 m/ E) F, s9 J
$ G& ] a5 G6 f3 Z- o7 Z3 Q M2 X( J
/ l' |9 L o* m
6 G1 E! b4 R* u5 T; g) f9 N, d% A
, y/ W" i; B6 ^+ [3 t* U
( u f, [) S' }' c8 |9 E1 N: A5 e$ G! p6 T$ C- R. |6 L8 ]
. D6 [' Z* m4 p6 r
6 r9 P# o/ h# x0 y- ^
# m& x9 f- e4 k6 V% d
确实可以读取配置文件的。 5 e# m' s! A- s0 v- @& b
( F, S* p, `8 K' e
& o& i y" C# D: g1 d 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ' M3 [( b) {/ R" D$ q/ l" b+ h
' N* p; E. C$ T
% k9 L6 O, x3 _: G7 d) R( L
: I5 g6 C: Y2 s
0 y! p; h2 B9 n3 Z! q. G0 y 2 C7 W& r b4 }
I0 O9 v! n5 o- k% {- Z- }
2 b& C8 `$ X* w' v& l4 K
. r8 o. u7 E- U9 m* D - P" f$ \3 f5 |
* X3 N# m8 @" ^1 c" r; X
! C7 f a$ S# O( L* F
; i! G- A. ^* p& G
1 ]" N' S3 g }5 E1 l! _$ N( E 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 1 X# e# D6 p+ v$ b6 {6 ` o, |% \
* R W& r( x' z2 H' O
7 ?& |4 |$ A! X8 f; `' D. h5 `
5 K' Z% H/ A$ w( f ) ?3 ~% Y L D& W
, ]/ x8 _8 P6 W ! s, K J6 X& I
2 O5 l3 \) W/ C w& h" m; s) G & f6 s `4 T0 ~6 P' P+ W. h
% D) S |1 N0 L. }) u1 P
3 y4 {1 u8 F% V' ]# w" k2 X+ h3 ` 上图千兆交换机管理系统。 , p1 e# x9 }$ `8 F! l5 U
* K; u) k$ w2 A, @, w8 d
4 u3 r- N5 i3 I' K6 Y' F9 [. q$ W 7 、入侵山石网关防火墙 " d$ r6 o6 J* n4 p* V! `
3 Y* O( Q; g1 ~4 U: g) `% T1 K
" X" z4 p/ X) o: U7 T: k 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
* F. x1 P" Q5 M: K$ c
( n1 g; K, q- u$ t, z4 b
$ t; J& x; J. P, D; s
. P) g- m0 K$ w! E4 D$ N9 o/ o ' T) E8 c- T; C. e2 z
! ^3 ]7 J+ f" q; w2 k1 i- I
2 o8 f9 l" k* x! r! R; ~
5 b2 Q0 h4 e6 t6 {
7 n( L1 f- d0 R) C" @ * a, \: c5 r& ]" |0 h( m
0 e. c; q# h: L" r* } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
( ^/ q- p$ `! }3 l
1 U" f9 q b# w0 [7 U' i( h7 V; T+ B5 L% P
& y% g! k9 v+ ~5 N+ ~ w5 a, D9 Y, O
0 d0 S- P, Q% X
% f8 |; D& |' F/ G6 h . C9 K. V. [3 Y6 `0 {1 x
0 F1 P+ F; z. e K1 \
: x: `! E. \% ~* W6 @8 D5 }1 M5 L . a. p2 f0 \8 K V- Z
1 K+ ^4 \ q7 g/ z 然后登陆网关如图:**
) h$ j+ I U# X* K# K, {( h" P( U
& H4 c" d3 d2 S5 X% k
! u% ] }3 l" c( w8 T- c
1 S; a+ l* B8 _+ g. ?2 E " a- h+ l; Y# v1 Q% ~$ p
: h) Y1 y& {' K/ D * J) F, n: n! U+ S# v2 r% e
1 s, M! x: R2 R1 I 7 H1 _- ~5 u; r6 M7 ]
- j1 N4 X( j/ M. Q$ A+ V
$ B2 z& m. k- H9 @ x / {2 e' y: o d [) W
. A9 d7 z* m" P, f
4 Q T' p# _! U' V1 q . Q. _9 t; a1 h' I$ L
, t+ {& G" f1 u
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 8 ~ j/ j1 W4 ~9 ~; V1 `8 J
5 l+ F4 {) ~7 w' ~: a
/ u$ D$ t6 X+ j, _ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 & |) r+ K" ~/ {4 S% Y
' S! u0 K! q" o+ e d9 d- r
6 T8 d2 t6 M( ^9 ^- u* N
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 n: y8 n/ h4 U$ q6 V
, E; o4 j7 G2 F* g" g$ J" @
. W: e4 @2 E/ `5 }. v8 b3 s4 y( y
6 r: n2 O g$ i
, h$ E! }5 f# X V& n5 d+ e + Z0 T1 m1 i3 H
% s, A0 F' n( d7 ]* Y/ O( l5 e' c, m4 w
7 Z* l" E8 }4 j* e3 T# N* l; w
y% |1 E+ p/ U
9 F( \5 {8 f' S0 t9 W( S 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
q5 b) I0 r" r2 B8 d1 f
/ D3 j. X c" d9 C% X0 K! B8 y& m" W/ o9 n
" Q$ {6 g( s. H1 T# Z9 d/ d
) b( \+ ]% m: W* o, x. z4 H. ^' K
, q7 v0 W5 t" L1 P ) k0 a/ [) F( h: F' @
$ s' r% _2 M* [) C) X1 }
* L. m' r7 P0 q0 M6 v' ?7 y |