3 p! i \ c+ m8 ]4 l
: R5 ?+ P! z! b! f' @9 g: M X- @* c9 s% q! ?5 G
1 C& ? e- c1 e, S1 ~" `* c 1、弱口令扫描提权进服务器 : @$ S5 Z1 d# O
8 h" H8 ]0 A% }1 n3 p, H! k6 q* p; d8 x U! F
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
/ `; @# y6 s* N, u8 Y! U" t6 B' F4 A ' I: `$ p% c: k, K) F7 P
1 S7 d" t- R a+ N, ?* V6 {8 ?( O
# G* p9 j0 f* `* F * A/ @9 c i# ?: J( G: E4 B n& \
+ w3 `2 w! ^5 T# ?- p
& n9 [$ I% ]1 `2 o$ {5 W( c, R( m+ x1 M2 T+ H* F7 T) w
! A) d, X/ W x% G& V
' w; N3 E9 @& ]; Q& {, _6 u% C$ i g3 p
* Z& N& Q+ K! f2 M3 m; e
7 V' z+ Y0 ?8 C+ r% _3 g0 m
% I% V2 R, z3 `* e% p, w ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 . S7 F3 W& ^7 B1 W7 X
9 P' J9 M/ }: [( l y
: }4 [+ z7 H4 z+ {2 u
执行一下命令看看
* T4 x( P) z- t; Y! n/ N+ W1 X ) V+ [9 Y% }9 a# R. d( j
+ @/ Y" F! P( i- u1 z
$ e+ x" c& r- j/ J 2 `: S% l: I$ M8 J" {0 N! T" `
+ C5 u1 \( B2 v$ F* Y& U E
2 l; M. V) i: A9 m 4 E( @+ ^' N- M& Y1 z3 K2 l# d
) Q( g y0 V9 f# W ) n& ?5 U( ]! S+ _4 R; u$ S( C/ E
$ a8 t6 ?+ A8 K$ g2 @
开了3389 ,直接加账号进去
" n5 a! R/ S# ~( O" W/ ~5 J$ ]- O . ]6 h* V4 p4 ?; g3 P% V6 h
3 v! L8 `& | F9 x" `4 W6 _5 c" E
8 i( {! N& D# } 9 x- i% C3 Q2 g
' S+ k( T8 Y7 C/ f7 f; c x $ K. Z5 h/ i' F! n
$ w: M; j/ _, e; D( u
" e4 v# y i6 w: e* [ @1 i' |+ d0 p' x- U: g" I1 \! u
, J2 _8 I% o; ?# B7 K
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ @3 [9 s W7 [9 f& g$ W) V
1 G5 k+ C& \5 E$ o0 B
- b& f! k3 ^) ~4 j0 C7 g2 X1 y
: Q2 G, i' y: Z/ L3 G3 x% M
8 d9 _- l" D- N( ]% b
& p+ x- T7 j" k0 v * f* I5 K u6 R& d
( x( {; W0 Y: V, f1 }" ?! B * q' Y& X" B0 w# x1 k2 c
8 a: J1 n. M1 l% Z, A+ F; p$ w! M
8 W! s! X( \+ o0 k9 s- K- J5 G 直接加个后门, ( e9 [+ _/ Y' }2 N
3 S' g2 O h i8 g+ A) b8 [( J1 H4 T, Z) Y1 {/ I3 B
h3 a2 `' j* W* `& T
; q4 y" |) |, e- Y1 ^1 n6 Z# i3 g
7 U' C+ F% {' g6 k
* H- g5 I7 B0 ~1 u, M! ` 6 u/ s% Z. E g6 w' M! d! R
3 n& U* f1 s; S Y3 c% c
+ D4 C$ L# | v$ f! ?- Y) [# h( s3 n1 o" t5 `8 h: k- U7 S' l5 N( `
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
! g2 J2 b3 Y8 X+ @" ~, R . x5 v% k7 K+ f, A h" `# M6 m1 s
# D; e0 d& M- b& s! \5 s0 e% B1 V' ~ 2 、域环境下渗透搞定域内全部机器
9 p& H$ S7 M' B# c" l/ s
+ q }2 w: ~4 s7 ~. @5 U8 F, n6 q4 l W
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 8 a3 d7 d0 J6 Z; R3 V2 }4 y: G
# C6 M/ W5 z' K8 j- w4 g
! f' [6 W3 v9 k. w1 x3 E+ l
3 P$ P u) }* i ~& P
9 F4 _9 o) M, p( x * M+ w+ {2 Q. [+ g! h
& `/ C- N( L. [/ ?. f
8 p5 Z$ d5 M5 w; ]7 l
+ s% _" s3 f1 x3 |* G" N
; w2 p6 X% ]+ Y j4 f+ Y& N& Q
) ]$ Y" R' P( z" \( K 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
* i% u7 z3 I' A& n3 }# y) K( X: ~
: n3 a1 u- M3 }/ p" z/ J I) I8 T: x# [" C$ F: `2 E7 \' ~
1 X, Y# s. G! M- }) P
7 n! {4 `3 Q2 p5 A$ A! o- a0 ^ " W+ J9 `+ T# Z3 H4 n" l
3 D% t3 Q9 Y2 i. Z. S# a1 Q
. f, u% m7 f6 `+ ~1 `" P9 R6 V- T
0 k6 H3 \8 M8 j0 ]4 \
3 l s6 o; I4 Y) n
% s6 j8 Z$ G4 C S0 s+ ]! B2 Y$ O 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
% v; E3 v- u% j
( d. Z( e5 i- q! q5 }' c
& k7 b- g" q6 n! } ! a& F1 c0 X# [% }+ V* P* a, I
; L3 H2 T6 O. n: _
4 W* X1 ~3 h5 G; M; v3 {
" I! h+ @, n5 D
& R- a8 a+ K. f& O+ i/ H6 _
/ U; V' _6 N1 P0 D$ ]# p1 H 9 X+ U1 J) _( C+ M# H+ M. ~
$ F: h/ ]. p3 K4 u' q' c8 f
利用cluster 这个用户我们远程登录一下域服务器如图: , V0 c: l; Z8 y9 z
* y2 ? n) Y- f' _
1 E, W% a0 @: `) ~9 J8 `9 ~4 q ; \* o; L/ l% a7 n6 p4 l$ g
& m6 @3 n) O4 `
: P( R$ I5 _! }. S1 r: E9 h
4 ]0 Q% I4 O- B8 M2 B: `
; X) z9 P& `- L. }) l
6 v7 i& h! h. x
7 k4 O9 `) j" Z; a
7 u; ^+ f. y3 \1 D- C) q 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
8 h7 n5 k7 y# p 2 b/ U2 F9 A- T ~7 a
# M; F* w3 U( Q+ {; E; |' U- T
. a. Y1 k, L& o& | Q / Z. P K1 M6 }: H
$ r# |1 z) P+ k
6 @/ V5 R }9 X) Z
2 |1 \# S* |" J1 @: A' y
J. l- ]$ D. d6 R0 t
/ m( t1 d. C: t/ I- E. A; I7 Y, t' D% V( A5 K3 h
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 4 d7 \1 n8 F# {$ Q/ M" f, o, S
5 u( v1 b7 h9 R( m2 I& ~
0 V2 A+ N# z- u P2 S9 Z3 A7 E - T3 J% F0 a5 A( x! E0 y
4 F) P; t2 x' `/ ?# w }) p5 l* I5 }
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 5 F S1 Z; [; v9 X
) R4 @9 `* e, p1 F
1 b; X) [ T9 ], w* k8 `7 Y7 p blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: % W7 }! E8 ^+ T+ h
! \) ]) D5 N8 G! f' l& d l: `
; d# w! @7 S( C9 }( @$ p* E/ K) K
+ U1 L# Y/ s# ?* I6 Z4 n # D3 v8 O: c- V! [
, R5 J7 G8 L. x8 M: Y& |! t
2 t7 B4 I. u- w# X: b( I# y' r
8 |2 s) R n) p- j- ^. C) [0 {
- `4 Z6 Y+ o, E
* `: f9 Q% t; e 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 8 m9 `% b0 V4 _. b- _& _# B
; v& d8 S! D v5 O
|6 H I1 [( K& r1 Y E. z
, b8 \6 I( E! R/ ^( G; J" ?. L
* E7 A8 I+ X- E+ p$ }$ G& B7 b
" T& b8 Z( Q0 x. z; X+ k. ?
. S$ L9 i: U7 H5 j `9 I
- j0 N4 X8 A+ `
- e! C5 q: g4 V6 ~4 ] , S% I, K! C/ Q- H$ @$ I
, X) o4 L8 i2 l: J0 L 利用ms08067 成功溢出服务器,成功登录服务器 4 ~+ M6 c+ T2 Z
( n: N3 [* z% A& P/ B+ A1 }
4 ~) D( G/ x3 z! I! }3 K
0 s& q; U; A q$ U3 z8 [
: I- ?) `3 f- @ A7 C5 F2 i ; @+ @7 f; [ r) v3 {) G) F9 ?
- j" h2 y# M s ]5 E! I! s0 k5 p( c* y0 ^, U% M
1 e4 v# I* x2 X5 ? }' I 1 \ U- }/ b) f% Y- r
# G7 [4 }5 Q, \( O 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen - u) ^8 \# L3 ^2 T& W; T
+ R$ d% ]' H N8 m
1 `! R0 k9 _9 ~& g, o6 ]3 s6 C8 E: U
这样两个域我们就全部拿下了。
$ p# [/ A' b$ R6 ~3 y+ h 1 B+ ]9 A1 E9 _& |3 ]* v0 J
) D) v/ W' a1 s' d7 N) v1 _+ Y 3 、通过oa 系统入侵进服务器
/ L$ t/ t* c5 n! k; G+ |* h$ f ' H6 d# z8 M; _3 {3 j
9 E' M/ ]/ P$ s+ q" g( l6 r1 a
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
; M+ w" K% T) G - a+ ~) s) y: h9 P2 w# t
}1 a6 S% L2 j- i " B# ?* D; V0 |3 d5 x6 `( B
$ L l$ W K! i) Y5 m2 h. H. c
2 s8 Q0 |7 }, m, Q: R " N1 x1 x, m- |: b. @
- Q7 T4 q {, b8 k6 H' O + B% V0 W2 ]: }9 I$ Y5 x& ^
1 I: K2 Q2 N8 c4 S) u0 f
" S* {+ z* x' {# J0 {% P
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 4 J; ~$ X5 ?1 k* S' W
1 y4 j4 C) p- z; m4 t
M! v5 d5 _. ]2 d I* W2 _. h% ^$ M! M
8 g" ?; a* y( K + D8 {# j4 A3 P7 {# g+ |
* G j$ J+ e4 V5 }/ X4 f
- p+ j% D' h& @9 q5 @5 X) i1 W' G' B0 \
0 a3 y1 V8 M9 ]& }+ _2 s$ w2 b ( H- O; O' @9 W, d% N& }1 y. A: f
$ \, P9 g( g) e! L( A 填写错误标记开扫结果如下
4 Q- e$ a3 i0 Q! H * J" r9 S+ J Y% a/ z5 r! P
8 R) B0 n g6 ^5 X+ c+ Z* Y2 L ^ % L3 F# S/ k; v( s w' W4 o" F" A
# l. b: X, ~8 C Q8 s
4 ]& Q, o0 r: b0 k
/ ^% F% X. D0 p: i _- F4 t$ H
5 ? K, J% s; J( `& g8 a
S8 Z, ]6 j. W. D/ L" y) @
" a w, o! F* P2 c$ e% T1 z; o: c
7 T6 g" ]) J9 j9 Y) l' R3 Y/ Z 下面我们进OA
6 ~+ U5 d; [: ~
' }/ Y$ O& Y3 l. t) m/ ~3 W
4 i8 r$ T( V- H) R+ F0 `) @: |. x 8 |4 Z. k; i, Z
4 }: w) k- B, h8 N0 C3 Q
; g% Y. `5 B; r7 }; @
3 Y- w" F" Q0 K& k0 Q. p# T5 E7 X
/ I8 i1 b4 V1 b- n+ h
* g7 a$ K8 D ~1 Y4 u) e- L
# q, _1 i, m8 \% }1 k! ^ f2 V; R
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 9 u* z& Z- d% \" P
7 i% N7 W8 m$ E$ u$ p0 K9 o9 A) J3 |" r2 L$ @' }# l
8 X( G5 ~7 K" a( M4 { ?2 S" W8 }
K1 |* R& \7 z 5 P$ n- x9 G' M( D3 |* @1 T" N
, h5 y z4 k* i
+ A2 w- q C P) {8 U- h
8 _5 J6 ]8 h& W* Z5 P# }
4 ]% L7 \* H4 M( R
& o( `* n1 _. l, H) V - y& a6 n9 g9 }
+ [5 e% y- B4 R2 ~5 v' D0 C7 i6 |% }; n
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
) P8 e) k6 x9 _7 j 2 S# a5 t1 y8 i: ^/ E/ K, e4 E
* c* k2 Q' H7 D% y# o
4 、利用tomcat 提权进服务器 0 Z3 |- C& a/ W2 {/ l; V {# y
" L. O9 q& }) \! M4 ?$ L
9 |: R+ U% T' F 用nessus 扫描目标ip 发现如图 ( G; n( B/ K: ^3 \5 {; n
8 Q9 ~; ]& P" _% J0 N/ A: Z: A D8 y
! W9 s3 V# x5 w+ o2 f9 y
; W& ~8 _; A9 C/ E5 Z- u) I0 c
! u# s+ Z) d3 G2 [9 l" M
r7 z1 l' D# C& [
+ w7 s9 w) e. T# }) b( Z7 T0 I) c& h. ~" ~% x# C8 R* i
: m8 l, Z7 o$ j2 \+ U
9 l P$ \7 L$ Q* o2 H1 r8 X+ l) B
登录如图:
: I7 Y; X" ?0 N5 X2 s. I) ^ ( D3 j9 k0 D0 D+ }
3 |+ E" Y3 x, [% d$ S& a
- M5 Q! v4 W& G) V" j5 L- d4 g 2 ^6 j# P. E8 s8 u! v1 Z4 ~( G
* G: ?) V( \3 a% M2 `$ R5 p
& o8 u. O" W' M
# ]6 @ z, ~' j8 @ 0 @6 J# h3 k+ d1 q) [
% c% ^$ [9 o% p7 B9 h' c7 s
$ ~9 t, w* o4 q 找个上传的地方上传如图: 5 [7 u5 p, f7 s1 m3 u* Q
1 T$ u7 ?+ u+ m0 j' b
4 d. K- t1 ^2 [! f0 b+ P
0 g( j: L8 N1 d6 f* O2 X
- A9 o; \$ [ c& |+ H
! H& o! r/ D. c. X' _4 X) y
9 o" O O9 g2 C6 Y6 q% V6 |7 X# r1 O; B5 Z- C
* \/ ]# c, W* u8 w 0 z' P+ n- x: b
( D; r' q Q1 t$ _0 @2 ` 然后就是同样执行命令提权,过程不在写了
0 B$ y3 C( s) d4 C8 q l: J " { e! X3 n) ?6 ^
* c5 C3 ?- E" r4 u
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
) i5 {/ g3 Z( e
3 l1 r. P1 n8 ]- L; D. f, y
, S, }( c5 l) G! d* I. k1 h 首先测试ARP 嗅探如图 0 w* f* T3 q. ^) i
9 c- T/ n. p8 c/ G+ N. a7 Y
9 d$ B0 o( [& |, R9 V+ \9 M2 Y 6 i5 \. L; E. z9 d
& H p! Q2 ]; o5 h- S' F2 i ( l1 B4 v& ], R
# c2 k& G% Z0 I6 G+ D
- s+ v7 g& H+ t ) I3 Q5 P8 o6 \8 X4 P
" {+ T7 s& a- A3 w. z1 f
6 ~( l. E4 e- s) N) f4 Q% }9 T 测试结果如下图:
3 W" N' d- `& Q( y ) K* Z0 S' x4 a8 m( g
' u' w8 ~! y& H4 ~( E
( H4 N5 N& i Z0 E; f3 S9 f: D
$ _% r+ R# C Y9 U9 p3 J 5 ^3 l+ w2 r$ v* I
) r2 `! _/ Q, S) o9 _
8 R8 q' e& f1 h) z E
; s- v2 u' d/ d* [/ x
6 P) A* g; H3 ]: d( [# V4 T$ a
3 Y( B7 B) K# j3 e5 E 哈哈嗅探到的东西少是因为这个域下才有几台机器 ; w1 D0 f) K' I8 N
8 R | d0 z s, L" L3 ^% W2 z: m/ A4 S0 d. i4 [( g3 ]0 m
下面我们测试DNS欺骗,如图: ' @2 W9 a$ F& V* [/ t
2 n. m, E* M2 n; ^# ]5 n/ _7 |" K. Z; | T2 P" `3 _
( d0 V, J* D/ Y- M2 X
: _& j6 U$ I8 l 1 q4 Z9 [; \$ K& B$ [
2 A: n; |+ D" _2 A' e3 A
- y9 W+ p7 W/ q8 S2 h6 \" ]& W 0 ^3 ~7 X( s; g1 K
7 a- K8 ]) S) f; R9 D& }' b% `9 Y* }) i$ W) H: r
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 5 N$ U, f# e+ c% G# z
1 @ w: O9 N. E) x$ [& I
3 h* C. f+ E2 c5 K8 j; O
+ f# X( p" i! x# s
$ R+ Y$ S9 H5 n1 }' m5 N # t! R5 [) s) M: ~
0 X8 Z" T- N# C6 q4 k
- _! [' r* m4 c; ^) @- r
+ n( N8 N8 g) z3 z- Q, k3 h
3 l. R" ]' d4 K# \ k+ Z/ X, E. W, B& O& m3 z: z
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
2 t9 c- q0 J4 y; [1 P/ ^ " T, N, c1 {) x6 `8 o+ ^
9 U- M n" X6 D1 w; x( q+ P5 L 6 、成功入侵交换机 & _# k/ z! P0 ~4 O
0 a- h! `5 w' l$ @* ]2 K; F
# o0 Y+ X& i8 }$ z% x8 E
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
! P8 \: P* u# p 1 C% E7 x, W1 ^7 O$ J% p
1 F; O% r( \* j" p 我们进服务器看看,插有福吧看着面熟吧 0 g* |* _* |4 o1 c U# ~5 z6 c# ~
/ \& Y3 A. {2 E- k" f
( o8 S& a: ^. Z# F& c) a
6 y: F5 X: K4 k/ }2 X
' A# Y" h6 {1 X, i4 X5 [5 A 8 z$ q$ J: G& [, @
6 d" o; m0 e4 ~: @: z: _/ N( ^
; o. N1 i' S) J, k3 C" B/ f q
8 X8 C" v; D! f$ v6 Z$ V& E / R/ V9 \+ s- U* {
# q# h3 |# t* D( v" a6 P# @
装了思科交换机管理系统,我们继续看,有两个 管理员 4 \! B; h% O7 H8 L, x* D
0 \* m9 I% H2 N a/ C3 M/ |
$ v5 W6 w$ |! o: F2 h _/ p# l$ u + [( ]: k7 G. i @
f. i H. q7 n# _
; i- A2 D' ?' U, Y/ v
% b1 e7 x' z/ ^( g( z: h" a% o7 \+ `+ _2 ~) j0 b
$ p, T; W6 N* T. o2 O/ ^" j
" q' T1 x8 c' ^
6 Q4 t6 H C6 i, `
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
' b9 c! J+ ]" x; `' y% j# p
( x7 `" [4 u% Q
3 a1 S0 Q- q: Y' C/ y; f : _/ W6 c' h0 Z5 j j
3 |% _: d* o6 d$ Z. z# W. X1 [5 x
, `9 K3 C: _& O( N# q0 [
w/ Z9 f. ]2 j9 G8 [
8 y2 \4 S7 H M0 p' Z0 `5 j2 z
# p# c6 n7 A9 I2 g$ t( G, K
. |7 c4 u0 X( Y: v" B9 W9 |% x5 g. Z
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
7 p& e8 y0 j) G) k( ]; }
1 p! N# O- G' i4 v/ ] y+ n& E" n( y7 j+ q2 H1 B8 {
8 ~0 M* q! T6 j; p
$ k! h. F" u& f2 a ! k& Q) x# ^- ^! z% K
- I6 z6 h! ?/ t0 U( e5 {+ ?* ~7 x* k. H: _+ y, m& b
/ B( E; N- z& K& j+ g5 g
7 q. x# O& a% P: E; e
% V! p( k: Q4 L1 ] 点config ,必须写好对应的communuity string 值,如图: 8 ]+ w0 x, I x( W
$ l# Z8 [# ?+ k( x- @; f2 L
: U) [; N3 \2 |) H- X' r
: V p$ i9 w, Y, N H
( ^6 }. _9 `- K ; t4 {, z& K0 C' ]9 \. }
! G, F3 w1 n% T) ~4 R& B" d( J
/ {% h: A( Q7 J4 X9 \
. L+ E! A* I9 G$ R: V
Y- V* p, z6 b0 y6 T# f* ^/ s+ q" \& t2 P) E
远程登录看看,如图: 3 L8 R$ [7 r5 b8 M2 o4 `3 I G
' P' x0 T R% ^" |6 R3 P- Q9 ~
# u' s, i! [- u7 w( L: t# @
3 h/ N) B j e* H& d) H+ f5 E
$ C/ Y0 m% }2 P: P. L, G; X
4 v! Q/ b x$ L: H3 l" w; f4 V
$ x3 V2 K* i5 l
4 d H, _% u4 o/ o/ A& Y
2 q. }: W& V/ j; V, M4 V0 p
* D# r% E( {, Z1 o
5 n5 F! N m7 y& S0 ~4 f7 V 直接进入特权模式,以此类推搞了将近70 台交换机如图:
) v8 |9 |. c, i
l* f1 ~! Q- K8 Y& f6 I- s# h2 ?# m- T# \4 J; r
5 } V! }8 p9 N# T e! H- E
- G: o' [% _8 \3 m l- _
; b7 c3 B4 g+ K* T. Z- F0 J* X
- V% J/ {' q& W3 ?' }2 R- r- T. @2 W' [ }; y) _
1 [6 R# q0 z% Q% |& E: W5 |
1 |9 W& ]$ E1 \9 W7 H" D' f3 C& ~
, f8 U/ h, n# W9 i0 A
" L2 a% G( o. n% {6 ?. D8 b6 @
. X, a' {6 i; w& Y( E" l% ^, k
6 n4 [' A3 U7 C$ S5 q/ H8 y( o$ f 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
! l. G, ?% H0 t% P/ T, ~) S; f$ B ' ~" l0 d3 P% u$ \
, u1 C5 y# f3 o
! z) V: T3 K( j4 h
2 o: B9 T3 q' B3 R- e! N $ M2 ?6 _2 C! d8 p
$ W! {6 I: n6 V) _1 B) h& M* e8 h+ T- X+ `* ]' _' P" z9 J
+ _$ g7 S* Y- C! o3 E- S
0 N2 B1 C O: M% M( Z
/ U4 a5 k/ M( {, R* ?9 m% J- ^
确实可以读取配置文件的。 * T( C9 h7 {6 i6 E O) K3 c
) [# q, g' t) E4 ?( P& G. o' e0 v6 y+ j, A1 e2 F
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 6 X0 m4 L( i3 `% J
1 c# E8 g# _& O$ E, `
2 ?+ q c/ M2 R
9 q: \& l3 ]6 f L- t$ f. p
9 i1 o0 R) |/ E, C* _ ) U! y9 X% {/ _1 R+ H8 o
) X+ a! R* |- H# P
& R% F# [, \3 [/ c0 G
7 H% Z3 s5 E$ s2 T3 ]# G * D7 u: I, i, w3 z! t: S" ?2 O4 l
" w: x z3 Q" Z. C% s5 ~6 B# t
6 s* V( A8 P9 W5 P4 T7 ] P
, q# e6 o3 {. f7 X5 N N: H
. i3 j6 X/ X+ q) {7 w+ W# X 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
2 D4 T" F- w: r0 v
0 m4 q) m7 R' r. j( b- s% {) z+ }! ^* w
7 E1 _* n8 v9 r/ C
: d) f# `/ D& c; {3 M
. L1 _6 [* W' c& G+ C" P8 p% p
9 H, z. _6 J, k5 C' V# {& }: f
9 e Q6 l( W7 S: b 7 T5 w0 k G6 U
. T! A/ z7 G o8 O$ g4 j* O1 s V2 M3 J& T9 m9 { f9 u
上图千兆交换机管理系统。 0 ` @1 e f; m( v0 W4 f
1 V- r k$ C( ]& W
: l5 F9 e# o5 m2 y
7 、入侵山石网关防火墙
; I, q8 T# r/ A! f% j1 j6 W5 Z
+ {' Z) w# j8 ?1 n) ^, w/ B/ F
8 p! ]( q) v" T 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
" F# E- N, Z- a# y4 {0 D
* ]8 n6 I' v9 M0 C; j* ? ]5 W& w1 D7 ?6 z" ?+ ?
( R! v% k+ I/ p5 v6 p C
( [: D+ t" u0 G. Y l4 h
# U. _* l" Z! R4 `" w0 M - Y2 [0 X; w$ M) b5 K0 z$ k
8 [! P8 v$ L; o+ S! o5 q 6 G! o5 s2 T2 r% q7 v
% y: S% B' v* ?8 u5 t
1 d7 i9 M3 {( \; I; N: c 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: % }4 X7 E# R# G4 `1 C
4 O0 W2 U7 [& G, h' C( I7 V# j+ c5 `. n+ E
" m7 f" G; W1 R$ M & b6 n, H6 J2 E4 R" Q
/ `; _% M/ Y: Z! q
+ |5 L* @( d4 ?" ?
, _5 Q* [* g( ]+ M& U/ F! C# d
1 g% a" |. n* t1 g! B 8 H% O) y5 e0 f
* T% |& w( R, @) J8 B! O
5 G( s; C! I; S/ R 然后登陆网关如图:**
# N4 B, h# k! W" f$ O% Q" k( o ; C2 f) A: y$ p k0 J U& q6 `
/ `4 p6 u$ n" S, e0 m) [
3 `! I! x6 T: K% g0 _5 C
" }& [# f' |4 i8 D+ q0 m3 [ 6 T' i1 o9 s& \0 k( u$ Y1 g
. \( h# M: N5 A& |1 c/ K9 v9 \8 H- _% D4 A
; m$ `8 g o4 e" d; s
. N8 o% ]$ Z3 d- S1 ~( n" C
) o1 c4 L( @) e5 a% e
3 W; ^* }4 |% W- l
: ?. b# X# I/ n
, @0 Y% U3 l4 {+ ~% x4 w
$ F7 [' X- u6 S" Z. B r" O
0 f" L3 |7 m( ^7 o 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
. `4 C& t1 k( p$ B ! B+ I7 x8 R8 d
- F8 `1 S( N4 G0 G8 D 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 6 v7 o7 R9 H; A
5 f' ~$ c6 V4 e/ Q
) }: X; ]6 S" U; x: O$ P. b 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ) G) H. O; D |7 P9 V
' _: }. F& P; Y4 H( G+ x" d
0 [; t* S3 B3 ], X/ K% U3 B : w+ a+ ~2 T4 _ r
3 ?. }0 D# k! R) [6 [) ^
7 B, i1 G2 c! A3 M% E u$ v* q9 Z" d1 k8 E* y
& H1 F7 V8 P( H: ?" t
, k) N8 O8 b- ?' @) ~7 [# { 1 @5 l+ e: o+ {+ o1 h
7 q! c; U! N2 O
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
' v H+ ^. J* Z' n2 A , s( T9 {& T2 F1 c3 k3 n
8 Q4 M+ h% h: F. Y 0 K; k4 O+ m- }8 E
& y* @2 p# }( c& X4 w! B$ ^# A9 _
0 X1 E7 F: l" m/ J: n0 \ ) g: q `3 U7 G: S5 s7 H1 V
8 g& E1 ^$ d+ X: @7 V8 |, A. S$ G; [
|