1 G" ~- a' A5 t" R2 v" ?7 p 2 [9 P, |% V H) }+ M
]7 ]1 Q% ^: t
. S- z. U: Z1 j4 y, S 1 、弱口令扫描提权进服务器 4 J% n, e4 h1 W3 ]5 j
) K8 S# ~. a, a. C2 |/ a 5 A* q; m3 o( J) _
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 : 2 X0 F" O" q% J+ n$ @
3 l6 J5 ]5 t- B) Z" S
: q2 S0 g. Z( m" c2 l" Z
' N( x2 _8 L2 k+ |& |) M- x 0 Y. C$ N5 S, [) N* M* `1 y
. z6 z, g+ e& ?' i9 i. R
3 ?" J+ I' C& B- c' Z
& F/ P0 }) h! j: ~
" n% d& h' o& ]4 W2 @
7 V x2 U7 G, a; t m) E( o
( |# y5 U. \$ U+ l5 { / B# h* G3 J5 r
) a; ]* z. w& ]7 b& x% `
) T" o/ `( w. E8 J
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 ! W0 {7 f1 l) @, k6 A
: v2 x, `; U; g7 l9 S. \) k: x
/ _+ c2 i" X1 G0 t! k( O 执行一下命令看看 1 [2 G8 e. j9 l+ \" T
: ?- F) y4 E$ m: V9 ^2 R: n
5 d7 q: P7 x0 b! K' Y M8 O0 U' s: B2 W* D
- B* b8 [3 l; U( @ . q* |+ N6 G, y% W$ n0 m. d
0 k$ v9 V. A( S U8 P- K" ^$ n2 a0 r9 K9 H U
* E; b+ z: w3 p: s4 J
+ W: Y- `5 a! Z5 p/ q: T ( G2 T1 X {0 ^, ?3 S7 x W( ?
开了 3389 ,直接加账号进去 - ]& ^, r b+ _. r
( [6 |/ Y* h( ?+ J4 m/ y& m . c7 m6 ~; W. {( R+ g }3 P5 H5 o3 c) ^# j
, t% V% q: f2 c6 _0 T, ?, g
% u/ v/ x4 q9 ]
2 L' u# Z+ w H W* v3 i" T1 U9 O
2 n, r/ p2 a3 M0 O6 B+ ?, l " H( i5 v) z+ b- a" G
/ C3 h$ M- U2 i
6 E9 C9 }" X. o
% i5 L( q+ _8 H" i6 i# Y- u, z 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 # |* p% F: n% Z4 F. J5 g: P, {
3 ~2 j/ j" F+ R( s& ]. Q. Z" Q" ]
- g6 D% M5 f0 v9 {+ q
- \( C4 R1 ~0 k) U. ~* z7 `( {7 o& _ , m8 G$ H# v+ G L! x8 {; ? & x! A9 v8 K) G3 ?- V, w
9 C9 Z+ m1 ~+ C# ?- F
# o( n# L2 h5 Z# [
9 W7 _$ L- j% s
$ @; d4 X, u! P+ q9 J7 d# G
: R# B3 z% V7 J0 m 直接加个后门, : p# l6 v4 b% D
' t1 l7 O/ R3 i9 L' a8 b
0 Z" o/ T6 _! ]8 F : J9 H1 v# W! r0 E( S0 P& R' {
1 [" Q, }* y& y7 D: ~" E
5 }. v! l* N! P
/ q0 \+ I% s- s& _9 k 5 k, \" t( Q% Q' D) d. q
4 h& c4 n4 P. @6 r# _
/ X, I9 Z. _3 f! H- C; Y% c
1 l+ n. ~3 J0 Y6 S' c, ~8 n 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 4 ?- E3 ~, u$ z4 q% k+ ]7 [6 e
7 H1 Y/ b. d+ }8 D7 H d. y / P7 q/ z# g, d$ q' A
2 、域环境下渗透 搞定域内全部机器 . s) {- n% z' X: o1 [+ k
7 @5 m& S& I$ F1 E7 u8 B
) C; z5 D. Y8 l! y5 k$ C- y 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 . g2 R1 G! I7 D& b" K
5 A B' k4 [) n/ A
1 b4 L8 B0 n& U& `% p : S h% J7 L1 H3 X( S+ @
% Q, ?) J; [5 Q( [* C& @- f7 Q- V/ H
. v- G' {' o' ]3 Q1 i" ^0 [$ e# V+ y
1 @$ o$ G* }7 k" f& | & i, y4 b9 V# _8 V5 i- [& o
0 x! s" s) f2 h1 K1 O* t
. j) k, A$ o; W- X) R
0 n8 ^1 U9 p/ c5 o; Y- C 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 3 O. V: ~! f9 u+ J5 V7 ?
0 X/ a! l0 w' j; l% K2 G% [$ l, F8 t
, j, d# Z& K6 m/ ] p
( C4 t* N, C J; U0 z5 Y/ T7 K! i ' h4 `3 x; X& J, v
# r6 [: j# w; R0 L
# Q% v$ l1 B3 a! j; e v6 L& }6 W v" n: P+ ^
( W5 |3 |- U, q% X% j* |
5 _3 L$ I% o3 p! ]
9 K- p* ]- k' w6 B0 o: k! Z5 w4 A6 e 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 2 O% O/ g/ f4 x5 W7 n; b
4 u" H: U9 t0 u8 p% ^, ~& y
9 P, X6 l: L6 i& |+ q% x4 O1 v3 {
1 Y$ ]' t" n; W 8 g" ~: I7 T3 Q4 ^0 _! |
' t, z6 @# ^7 L$ I$ R! G
% z/ q2 F( C; d. q ' U" c [0 ]" ]! N4 V' \2 J
1 `9 K2 V j J8 t/ r% Y3 D
# H3 J- G% d* K! \; N/ [4 j' F
) F" z# M9 @6 P/ Q1 \5 } 利用 cluster 这个用户我们远程登录一下域服务器如图: & z" K$ o6 ^' L$ w
8 O5 V; @3 [, t" M* I2 ?. S
. B: F. U" K9 y" O) |. b
" K- R( j2 b- \/ V) f+ t; z- T / O# N5 m5 N& \2 x0 y' b% N% s$ D" i
: k4 T& k- k9 A" T
: v) |" q5 [ m
6 ?7 a- `0 n5 F6 l# [
) D( Y4 r7 V. k3 l( p7 f7 I
9 K) {5 n$ }& D
' o1 D- a" f3 N# K' u% i; ]! _ 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: : Z* s z7 `7 p3 P* Q2 G. N$ C
7 e0 f% K1 |& d7 k 5 |, x i# E- \4 Z1 a$ D8 Y6 q
" m& J5 \& x7 T6 J {* T + M. F0 r5 y7 i
# G. e& _* d6 P
* i+ Q% c) v' K
/ n& h$ m/ C1 f6 E4 t
+ [( o3 v5 f5 J- i( G: R
# S$ o" m) Z, g' F4 u0 v- @3 v
" e V: e9 q8 n; W1 o 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' H) y. K, m1 m
' `- U2 O# x% f% @( O* w5 C: x: U
0 d% }4 k9 T9 M: z : O. n( @1 o5 K1 h- V7 w
" w' W* b: M- B$ J
H) F1 D' y' j6 J; W N 域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping , K0 J6 s+ S( M6 c8 r
5 o; Y3 O; B: Z( w9 v2 w
1 m1 O! X+ f+ ~ blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ! ?$ p( h1 g* l/ T' R
! @5 m- J( O/ a
I- }! e& {& w6 i/ j! I : _0 a/ {- c! Q g
. E" o- Y9 M( b$ `- Z
; y m- E8 o5 N# j* S3 k
& K, S8 `, ?( _* ~# m: t& E4 Q9 H$ A
: A9 i) t$ H' P7 K" i " \, s) \2 [2 P- ?
$ ~6 }: R1 A, {! k1 t" ?8 i
0 J( f# h5 D, l' E& m 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 7 ?+ Z0 {/ ^, P
( c' ^- v& Q% t6 V4 `7 |4 i
* ]8 T5 c: D" i7 m% Z1 D0 v
w& C2 ~% K9 V" ~" ?) m 5 y {8 y/ ]* ~/ P$ z4 o. e
F# q1 E3 i- O7 N
& b+ s2 f% _0 B7 a: Y, p8 X6 V! h
N5 j* G4 e3 Q" x $ X. V3 [# V& Z9 s# W" C% C3 }* [1 w: Z% O
) G6 }9 G9 h! ^2 l/ Q
, Z2 d5 b0 U5 g+ K( S! L1 l 利用 ms08067 成功溢出服务器,成功登录服务器 + ^/ m" w4 C! U1 H( u
! j% R% k9 k: r( q5 _1 R# I& T, d
- a8 s3 e4 q$ ~7 k/ E H+ U 9 o$ Y5 }% f4 [, ]) P( }6 M: v( x
+ J0 x$ c; @2 k5 ]
( g0 x. U* s! }! \+ g/ m8 i- M; x
* u u" K) H% ?. r/ a0 ]' V
/ G; `7 @ g- b% ?1 f% l# { 3 G5 J& ^; P: |: D
" L' o( F; @) k. y9 [* Q! T
/ _# t- e4 r; q/ z9 ^: K 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ) b- [# n+ u6 ?( a$ [4 C; r% g
4 `- k7 E$ Z' f+ o! X
$ L# N- R! O* Q% n/ t) o4 j 这样两个域我们就全部拿下了。 6 ^& z3 ^/ A) C) I+ x4 B3 ~
/ o* B) z0 M& \) D' c7 l
$ |1 o6 Q; X1 H" V# I4 \! g- g5 R+ } 3 、通过 oa 系统入侵 进服务器 " @" W3 Q- @ U* W: g
8 o- ^7 a) A- B$ x& K e 9 O, g% @2 f9 `$ [2 M
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 5 w& r( W8 N- p( n1 a
. D% N3 V/ N5 ?; E1 v 2 \/ ~) ~! O, N. h4 G, C9 ?
1 q( T9 z3 A' z! _
; L! K% M0 j/ `2 |, j
' p1 R, Y, Q2 J8 R7 \0 l
7 e7 D" K7 _4 Z- U6 R; d" f2 m9 E! X
$ {: q8 o6 S5 k9 w3 e) D
) }$ D/ e- P" `5 N2 V
9 W% C1 X( V1 B9 \% Q
: z! q0 ~- f+ |5 r$ L4 o 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 4 e. ]6 ?/ ?( I* ]2 B& b% I
5 b4 m7 m% A& e* Z( T$ D
! \1 O0 i/ x5 {4 R3 `/ z+ x( k & V- B7 l: a8 h/ I
6 f: q- z D/ R& p
% `' }: l1 h0 i. c! g
3 F+ x# E) p7 q8 {, m# c$ e
( b7 U; p7 d+ e0 i8 ? A9 A) ? ' [0 Q3 E& k& m; u8 H. F) P! b. E' h
' j8 o) T- Z, J9 X/ E
/ j! \7 X v6 e+ r0 K" ]& m
填写错误标记开扫结果如下 ' s, n% }) U/ [! v. d. K& W9 D
6 q ?& y2 Y; g+ |, q& F/ m 7 l( Y& \1 X0 b: Z7 ~* I
; V4 K; G' s& }) L" F
7 f" W8 [+ F# O1 p6 Q
8 O. ~5 u! b$ e. Y8 \$ m% ]" ]' x v
, @1 w1 L6 W1 k/ W' `
2 {* f3 P8 M& Q" o5 ~. G) b
1 c4 K; M: W5 U" h3 Y/ ]% s
4 u# _+ f0 e" n7 |4 @5 f% r7 Z
' ?# l9 G& q e" `: b2 ` 下面我们进 OA & E6 a. C0 I# r% Q3 d8 C
9 p6 f$ ?; r6 O0 \ $ S% F: r: [$ V( T
7 T3 b7 K. E$ j8 ~* M% ?$ B # U! |1 w9 R5 g2 T. z9 Y6 Q
% A# v$ q/ X7 g+ a' M
( M: F7 O0 b/ U Z8 |' G+ r$ U& A: i
) `+ f! W3 j+ Y Y * N4 `. W1 k6 E. T/ G" l+ [
& y$ Q$ C5 H) K$ l
" }9 O/ F; g; _2 b/ u 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 % R# ~- i* U3 \: T/ z
U! O- d5 {: L& W3 @3 K; J* e3 I
8 S1 n4 f; u7 w) Q8 k. h- s: s
) H5 r5 B, b6 G" p5 E 3 p% f# }- q7 \, H
7 i5 O: ] } h& A! p
% n+ f" Y6 I) \: \, a/ X
$ K' X8 U" X% l) f 7 J7 ?! X- _! L3 j
0 n" M, |( C( _( A, ~' W) M 5 l/ p4 M, {) U: t7 E' f7 \
7 C0 G: j' B5 ^- I* | q
8 B$ J5 f) v, _% \5 [* y
: O- o' T0 e& E% G! s/ {# l
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 ' n7 X8 S$ w( e$ |/ `
+ L5 q) |) o8 E; v
4 J, v1 @& g. ~
4 、利用 tomcat 提权进服务器 : {8 ^+ D$ w4 A$ ]
" h' s- w5 o) p- U, f! ~
$ c) t' s; p* I' Z
用 nessus 扫描目标 ip 发现如图 ; J5 Q. C6 q ?( K5 a4 ~
+ A( \6 M0 V; }, Y. n3 F% \) @( l
. e/ k# n8 @9 Q: X3 M
+ r% t0 e. j) l7 R: r* X3 i) ]5 t % X8 t p c, J
) t: F% e0 y, f/ O& r, k; t
& M: ~5 {/ _6 E8 z- p. T4 P 3 L9 [* L6 K9 D1 J" \3 C: n
( U/ j+ f) f1 G+ N1 q ~
( k7 M% b9 d9 R % e" S# u/ H' A3 ~. g K
登录如图: 8 I$ ?. r* ~ I
' C# u% x% Q/ }2 A1 u d
; Y. ?; ?% g6 e0 \& F " N1 x; z3 M8 J, F/ H
1 S4 J3 C% v v$ I, w/ \
' n" Z O) G' a6 _& K$ B# S+ X+ p+ {
0 L2 o: A. g1 v& Y
. Y# u$ M8 W/ M+ W, Y6 } 8 [2 D. w# A' r0 l# {
1 P% K8 j2 D8 n5 A& N
' W7 k. u# t, }0 j* B) X' k 找个上传的地方上传如图: / t( B2 r$ X7 X/ l( p
5 n# K) {$ c( h) r
8 e3 r% \1 J$ E$ s0 V' d
; b! y) a' V$ |0 {5 ?2 v9 d0 r " `* ^) H! N) O. p
& P2 T" g+ d j# G
, J' } V* S ^$ s
- J* X+ F7 S$ ?* R
! \4 W! C" y |3 h
% N) J- E1 i! R9 J
, v" S ]& X5 ~) g- K4 _ 然后就是同样执行命令提权,过程不在写了 . F$ x" n, o( }0 g
9 w3 i* @2 ]8 B+ Q, o
2 t" Q3 G8 m. E1 p* K9 Z' d6 U2 e" W
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 " M8 c+ H3 _# Y. Q; K% c% V
1 Q4 ?3 p, B" U# k: Y
( l4 Q8 l, [- p3 l# F( U 首先测试 ARP 嗅探如图 & [- R* p( }* z. v# T* l
6 b' _4 o' F$ F' e i" ^
/ T0 M0 x$ |6 w% L& ?* l$ r- r
! y, a# X; a4 V 3 _) d+ T B1 c/ V) c! m' }) C& y - Y5 `& w- X1 |, s- X& @5 {: c
) s; ^2 N+ d9 H3 e
0 \; W5 ]) f/ h' \: | 0 T9 l! J) o* l! S+ o+ K
Z) `, f* }# [1 O! G" E; l: W- n
) k; n0 c& D) T! C 测试结果如下图: 7 O4 T- m( Z( e/ K# I+ H$ b
4 k$ V$ Z7 T$ T. ? $ N" U1 m* C5 ]8 n! Q) K& O8 x- N9 P3 D
5 y$ W5 j0 v6 w" i: c3 t ? ( X* @$ y1 d0 o 2 j G9 I1 ^2 m4 R$ ^7 R2 j7 m
! e8 }# V) e1 |0 l/ K8 c z5 O2 Z
3 i$ x8 @: [1 O: _% |9 B+ k + M- Y; U M% t
( v* O0 {9 |. P# G
- r* d! Z6 S* a
哈哈嗅探到的东西少是因为这个域下才有几台机器 9 M" ]% l5 j9 a% i) n1 b
5 W. R! |# z4 p3 c
5 B1 T9 t( H) d( C5 `9 r4 z 下面我们测试 DNS 欺骗,如图: ( g0 M2 H6 c9 }" `0 ~
, i( m- G& h) p. W
6 A2 s g& p' x: W% @
2 N: M) l z' ^/ W, i0 z + B' v0 I1 R/ Q* A$ i) z
7 X& N3 u/ @. w( _# r n8 c" j
5 I( B' s5 d0 c5 G5 h3 f
9 w! ^+ j8 ^% ] " L3 c! P0 d1 e. |9 C* D
- j2 q! \1 F4 e. M+ Z8 ?9 w
' ?6 [6 m$ _) h& G3 [( u8 w
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 7 [8 M2 c0 [" V6 P* M- Q# f3 o" S, y
/ z1 K0 T/ H0 |% I # U0 ]/ r! A* J2 \
( t& t/ N/ V7 z/ s" K3 W: h) f 6 d* A; \7 S4 k7 N
/ c Q* y0 M7 L) Z5 U F
0 ~. ^9 I* E! w5 e, V1 w* Y! }" X
% H: H; q9 Y7 }+ T& M + o( M/ ^# `; U6 b5 a
/ t3 X. W }# r7 _5 T. K3 l
7 P0 m7 h7 N9 {- f" k
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 1 N5 B8 L( B: X% ~
! x) ]$ j4 i- M. u
/ b* M4 k4 R1 S! H, p* q 6 、成功入侵交换机 7 j( p( _) i7 X4 A' ]4 [
4 P; l( [' p" @8 a
! B4 q5 t& s$ u: I7 k! q' d 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 3 l* |( q s- A
6 N1 G0 `& Y* t k3 j9 X
2 u: d1 E0 {2 e7 K
我们进服务器看看,插有福吧看着面熟吧 7 p7 a1 p* o/ |
! P* t3 F8 f4 C5 u c
0 p# H5 p ]2 a( w5 C i 7 _& D4 s A |' N# O$ H) P( ]
8 q8 X, X7 ^4 e % f- ?3 |" `% D# x( T
7 K! h5 {; {. m) P' o, v4 z& q
/ ?- a) D; y$ u/ _
# Y1 u ~/ n& K6 J( ?' O
1 Y/ {& _- o1 X
. T6 q# l) |, h V 装了思科交换机管理系统,我们继续看,有两个 管理员 % Q! ^3 T7 N. y2 A+ W6 @/ V) G
' |) S' i' l+ s4 w4 j; s 5 t! I$ l" z" t+ ?) l& f
2 }" A( S( D0 q 0 J4 ?, Y r2 a" k2 U
5 N. a. s) S/ w9 j/ f) H1 o0 S
( Y% G1 L% A/ [& J- L4 v. ~
5 C) C; L0 ?1 Z5 I
) z7 |, Q9 I, c" W; t
8 I! y0 U6 Q, V4 I' N: y; g: Z/ H# Z
/ }- R# E8 |% b3 @5 {5 w4 k; w, ^ 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 : v# y3 X/ b. [6 y6 |2 u6 `/ G
* e; v0 t# L9 i! b8 c8 h, x
, ?* h5 x( L% l* p+ g& s
4 W; |6 q y) I' q3 P
. [) |7 |: r( M% T3 h
* k; D2 n, @4 [9 h/ k& A7 v0 _
! c- [, H& B: T* u$ @
! `* Z0 R% ?! O2 @+ F % e( f0 r9 K2 D: s- o
6 p. a8 {* J- S6 L8 I
! @; i0 ^9 ?% q 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: & n1 O- }$ ~' d& T0 X0 D. p& U
" h/ p0 |, S# }$ b% v. s
8 l) E0 b* ]1 a8 n7 N+ i
) J3 Y5 O& D1 [' x $ O( i# q5 }% J$ d. f, [" C ( S9 [& a! r% V3 Q; @
0 R Z5 z+ d# I# R$ o. O8 f1 ` - q/ c( I6 o+ P( A! A
# l1 G c+ j9 Z+ v; w) c
+ \" v: ]' Y* R& `( S
( m p1 i9 A- w
点 config ,必须写好对应的 communuity string 值,如图: , K8 ~% [6 R* l1 H% |( f* z
. j- @* d: w, o0 S$ L
; ~+ @, r+ k& i; q# X# H" L
1 `+ Y8 x1 l2 z9 e
4 |( {6 N% I3 L/ \8 ~2 y- W
8 h# x2 R& k0 X
& d* `- m5 O0 L; S/ y* M6 ~
! U6 z" d9 c, F$ h ; G+ Q3 M- Y9 p8 r7 x4 D: ^& U# w
1 f1 z2 |! O& w 0 ]$ x- j9 i4 N3 [% _- h
远程登录看看,如图: 5 r8 z' m2 Q' T! n6 F5 [) A0 E
3 R, n& R G! v' V, P) U8 @
- ?# K/ r8 Y' N8 {1 T3 K2 { ' Q3 i1 Q4 x$ u( [9 P2 f# j
0 c% K4 o# r1 B5 ?
+ y' {) z$ \5 T2 [. H
, v3 I, B X( P8 n7 C ' P w' v: j% t2 k
# {5 j5 I6 r# V/ ~; e
9 \. `4 A; ~3 Z, m 1 S1 s7 n: W$ T' Q% S0 m0 R
直接进入特权模式,以此类推搞了将近 70 台交换机如图: & w9 p R! C( C6 e$ _6 Q! D
8 c" z) T# }3 z" ]5 m
# ~5 U. y3 _. s' D; A
8 `: p3 H& O3 T7 x $ ^* }2 u" P; v& M. Q
0 Q6 s- c& [. @% Q, J8 ?
* v7 _2 C$ o- X- p
; O, ?% u2 x; I ~& h" [
' Q0 G9 J. B2 N4 h$ z; m
: [! A, s' Z, H8 p( q+ ^8 Q
; ]3 H1 N r% E" O3 f 1 g7 q4 r/ }9 W8 K0 [
7 J1 Y3 m. h% t
3 i* V0 v$ X: N/ s, R. J8 n2 U 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
6 N% T* ^" x) T0 z) p2 s
) Z+ B7 q9 [5 g" G9 X0 }
- z- O: ~& a/ k( `5 A5 y& @+ V* a
# l) R! w) v9 q# M( c' v l, p& J5 u$ b) ~8 M1 t
) G# W7 b+ W. G! ?5 H
% @) ~* G6 T3 g7 d' [, h. @
4 [- f k( |( ~( j % _( S+ w/ E. t+ B# f. _
; N# D5 s* p$ L% Z" a# U0 k
0 ^* H4 w6 O6 k% _2 n2 O7 J* o6 b 确实可以读取配置文件的。 T' I* }; m: X, C+ W/ D8 f
+ x3 M, i6 B7 @3 @6 \. g
* E/ _1 j% n u3 d9 h# M 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 - u9 {6 M" q ~3 H2 Z, y
V9 i1 m: D3 W/ y$ V/ P5 k2 m
0 O& A% ~* D3 G% k4 z7 l
) \' S: c' B$ {/ c% f
- g) ?. l6 Z* }3 ^1 N w
8 H: e' [, x$ G2 }/ N
/ E2 I- ?. b5 V' c3 M) V ) F- K/ r. I) A/ x
" d' F7 L4 b) X- q2 o. B
* ]' b* h3 F" u
- G( G* p4 m T6 L5 s5 r 5 ~4 Y) n% X4 t9 J
1 W; }" F; p8 l. `% E' w3 x
# y. ~; ^$ w! Z: \2 Y
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 % s) x. E' \4 P3 Q
/ F. A7 ^( w" y1 e+ x {: w T0 N: k2 ~; A' m$ K; G
1 @" ^0 j6 @$ f* F& ]2 T/ b
- F1 Z5 r$ L+ X6 {! u/ h : f9 E' Y3 x& d4 g8 Y3 g& C
8 R4 K2 X; K. ~+ y
, X' z( ~" R. Q) b # H W$ L' h8 M8 R" P4 E# A
0 g1 v+ s9 I( C: c' i / h- z' ~4 }& G+ R9 n- Z
上图千兆交换机管理系统。 ' ]& }. _8 H0 M9 j! |& x0 H
) F- C% a3 R2 t* s4 @. g/ d! A9 f" V 8 S8 B& ^# s; j! U; r3 |; F
7 、入侵山石网关防火墙 " H+ | W. h q
: X3 ?5 V: A+ |, w$ ~ f
1 X/ k x. b+ }8 F 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: + x4 G) H6 t: D% V5 t. K
" q% Z, j+ E5 a; N" V " N! F) k' h% j& v
! z% K3 T- B O# E2 J5 h$ y
, Z; T3 l2 D% Y/ I. V! S( p G) O j' v9 l' }
7 B, d( r L% F+ k) c4 t' L
7 D- f$ Q' U* v6 X2 D6 ? 4 z) `( S6 J& c$ W6 J$ f
! N+ t! Y# C J1 L( v( l
8 h" n0 m) g* ^* G1 b- |2 t& u
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: & v" y7 _* K8 I" z+ ~7 k5 U
; `% a* C4 l2 b3 u. Z: v
. L: r$ i# J5 r8 |# D
2 ^' m1 b$ n/ @. l& b9 r 9 t7 a2 z5 n5 r0 s) U
8 Q; e. `. b9 ~3 N, e
3 }( A( g7 D) n$ C7 s7 t" c/ Z
% I- G( y' M } {5 R% S . m2 B7 e B0 V2 x3 _
5 D. Y2 J. X+ t; h3 F. B M/ ?9 w ! [1 U1 Q# R% z5 |
然后登陆网关如图: ** & x, r& p% ]" J+ N, t. X! M3 b+ Z
5 ?( |4 P9 |1 `/ l g
$ a, Y, i5 N+ v7 ?! q
) {! h. d2 j0 A* S7 c9 z+ O) ?. s
* ` c" e$ M& m3 S. c; H4 t
0 U7 |( T2 s' Q- c# F- n: j: L
( e' _. I5 y) G! e$ \# @; [: Y A' ^) h. |* {: F" a
6 K, Q" i' n! z* J
6 P5 M) F$ d8 C; M5 w" v$ S3 i4 V2 q - V |; P/ o& g
' K: w& S+ K7 i/ y5 u ; S# k" q$ q2 k0 t* |- E
7 Z7 \8 b8 u' A& Z$ Z, p! m
9 g5 e& [! K6 I9 i+ R , T& M" d4 ^" j, Q4 r1 w; X+ x b
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** # ]2 ?% D. v0 x e M# T% o; W
# Z5 d3 f. h6 V
/ c3 V( e+ ~* K3 s0 s; W
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 6 a3 R8 m, D& d; C2 x, T% W* A
8 g& E, W- A U. z$ n- E6 ]
7 B' q# e) ]: w) o& J0 G
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 5 V# \- J, ?) b! Q6 Q. y+ _
) Q+ B4 w) Y! r$ B% |; Z4 R 0 G0 V9 t! l9 K. a- h
$ w) D; N4 a, o + c: G! S3 S+ d- B; q) B 5 q" K D8 j& U( E/ c) @" i7 [5 t
8 a6 ` y* W# E9 ?( c
9 A/ Z# t6 V b. D5 O z1 n2 l ~" t7 e 0 T6 L- I" o4 o! H, g- I; c0 k
2 j' [7 v3 c9 w0 `
/ o) {" e$ a4 j4 c2 A* T+ U. D
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 2 P& q1 I$ S5 c- T+ _
% Y, m: z! m- s f: W! v: V 5 e! B- w% |. ^
! `; O8 y2 I C( `4 ~
1 S5 _& s3 \! b
+ k5 Q) z) U- V! i# N / A- \; v5 u# z
* M- n/ J; e% T! F* c! m
6 |# |7 r5 S, a5 b& U- q
发表于 2018-10-20 20:19:10
收藏
支持
反对