|
0 b- \$ ]6 `4 G+ o- y) ~
9 [ ^. X. s. O* y7 A# @9 y) O
7 v2 B2 |2 u4 Y; c# j3 a- L+ v
& ~, g5 V8 T8 D8 c 1、弱口令扫描提权进服务器
( d4 {+ l M' z( J. }6 d ! B i9 S5 K o+ T- r" c8 ]7 l6 P
/ Q- C- T- P' j2 O* s 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 3 e, p6 s) k8 C& f
V+ o8 Z! v4 E3 ?2 E6 ]
' g0 Z0 Y7 x; [# i4 ? - j4 ~" |, v) e _" @
2 E! f0 }4 V0 F, v- B 1 D* \" C" C9 | T% n2 _/ Q1 _& p
6 B# f: T9 J4 p) M: c# L3 C6 h: r
9 F& z8 Z. J# ? 
: v% A$ J! J% I; l- G O ( U' S% i* m/ A- j& ~
, H, z3 ~9 ~( m! ]: v2 X8 \
 6 i! U' X @$ t5 j9 o r
3 J6 r! ^% Q; M6 I
( J u. x1 y) o! M6 w6 s% t, u ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
5 v7 @% ?) ^ F0 [( l0 ?" o
! h; h% d1 \2 {: D' p4 o
5 e# }/ @, {) ]2 `; i 执行一下命令看看 - p3 w- p7 u) s1 `/ g8 c
1 W& k& ?; p! T6 w0 M
! R; y7 w( ?& _ ]3 ? 
2 r: M0 [# d% z! E1 e' r 0 D; z. b8 }* j
7 z& w' E+ G ]) S, ?) `/ U( D, N
/ G$ z2 P( G' T$ n6 p
' ?/ z, [( @; C0 T
0 c! u A2 r; z1 v& y
* J3 I& a+ B1 k4 D; t
. |) m8 p- q2 g 开了3389 ,直接加账号进去 ! r% }# I$ W* _; V/ J) b
& t9 [. Y! u6 h
9 W s, ]3 L( Y * Y& K- J: ?! M" z
5 H( J' M. l0 N |% |' [, N
% a2 t; t9 g$ W! r5 S/ G
# `, i8 d5 f/ N. c) q. N( t; L2 k2 x0 q6 i8 g+ R: i a
& B$ K: o& T4 N( Z1 N4 L3 ^; i , j# _$ @3 ?5 U3 _
; O$ q8 l6 y* U/ a$ [ V 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ O$ h" g- m5 @; I( l" K
5 I0 k) h6 Z( }) K$ J
; I5 E4 @8 M, T; M6 F1 x* A6 U
9 q8 o6 V, E3 { u+ m7 w
# X7 S* H: ]" Z' u; O+ V
0 A% z' q$ B2 b: Z& ]
# x$ b" I0 i$ {5 r% Q6 |0 [" S
; t3 P0 y7 v+ t! W4 r 
' L1 Y* E" X+ D
+ D$ j, S/ ~* n8 F
- q% `# h1 U& c 直接加个后门, - [ I4 C5 f2 f1 d w) K0 v
( h' y9 B y1 _
' R X+ O. Y* f1 X$ F# o/ B
) e* O1 Y: a# h
! p3 l9 o8 c* q; ^: u4 L* A# p5 L
9 `7 I* C/ i; _; D! s5 ]
% P. ~1 H* X# R' Q
! G- {5 |% @0 w% H* d1 R7 D
) m: V2 ?1 |8 K7 a j+ k" r2 V/ q/ U( P+ i
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
; O) X# n8 I% H' v. R ' @8 U& P7 ?6 m8 K4 y* t h7 H
- h$ P6 h* S1 o9 B2 n& { 2 、域环境下渗透搞定域内全部机器 & H, {8 N' Z, B2 E
; M- M; Q* b% r2 w9 a( Z7 b7 d
2 l: g; R* P4 ~% O8 a: T 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 : h5 ~/ N$ g V: F- L( D
# _- R8 ]# R) Y* R8 k0 g# w- |' a& ~
W7 c4 V0 [* l' i. o
- \) l. Z7 p: v, i. C1 T
- b" B, n9 @8 N
( o9 P9 }# `6 g) o. s3 X, r ; X! U* R* `. h& M1 U) c
" n; Z% r' F, i8 E5 H' X9 L1 b
; k! L4 ?- Q; t* B' c4 U
$ P* @' y3 ^( x5 x# z( z0 J& e. g) `* i
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 I. u) B- R; H- o, w. {
- g7 n% M% G; x# i' D! }/ o( S* ~# Y0 u9 i; K9 I5 o d6 G/ g- U+ k
; X' {1 g/ _$ T. Y5 \2 r
* N4 M' L+ g% U3 L$ B+ x
/ e+ F# a3 Y/ [/ ?1 d , i0 j: m3 Y( q5 E! v
. h. T4 W: l& E% j 
: L% Y- A; f* N7 X& h. n
% d% R, e! L5 B; Q9 v% z8 w! j* p1 d) ^, ]6 x
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 9 q0 d7 Z) @: L- p% z
. j, Y% Z" o f: a
2 i1 J) r H; Z% H$ Z4 l
" T! ?$ B2 I3 i1 y
2 Q4 @+ |( n( ] `: Z# o % z- X' D, h0 } ^/ h& w$ @
. S' Z0 v8 `! q) S$ B9 ~
" x t6 `( k- @; d0 y 
( y: ^0 U, }/ `+ M0 ]1 [ $ M+ @6 `$ c! _
' N2 S# J% G- Q, n+ V. b* ? 利用cluster 这个用户我们远程登录一下域服务器如图:
7 G6 G7 B# z% }/ f
/ _" S7 f/ H: Q% C. I
4 k6 p! b8 P5 r+ c0 {7 M* C. r 3 g: I& d9 X3 \/ x
* E# y# z' x7 F- y
+ ^! _3 J# D* ?) ~8 N
7 @/ f" U# r" V- N# S7 T! t
9 P" l& s/ ~, S5 L l5 G  0 o0 x5 X( @# ~4 z. c
' Z5 z$ N$ I; s$ c3 M( }# h- B% B5 Q* k
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: , a8 A. o2 \# f, ?
( b/ a6 p( O7 C$ n X" o
) i/ p9 d2 s6 x( P( ], m; l
: c7 D" q6 Z0 ^% d+ E) G# G
5 W7 b$ y8 m$ b1 ?* L" H& p
; a+ N/ j* {6 J2 i0 l; {: y7 Y' Z
' k7 D7 _) n z$ `# K/ U
6 f: S0 U* O* G. A Y# m8 Z7 p! j/ c  5 `1 j( z' `! M$ Z [' a
6 t4 o. K. x, {6 p1 w9 ^3 k/ J# K
7 f1 k: l4 f( A 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
# Z9 N1 J1 g8 A* C) t8 q
5 t5 M# w0 B3 o$ m: A4 T4 o9 U( T, E
, X4 T. T [/ ~" O 
" u7 P3 ]6 _9 h" I' y. D
( d- g5 |8 o5 k
8 ?" ]7 K/ w; ?* [" ~ 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
/ W9 E8 H' s3 a: G3 F . k/ [ K9 X8 Q
: j7 N3 g$ v+ c' Q Q blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
$ |1 a1 M m, B& D( P6 c. F
- m$ n2 T7 p/ g5 T9 B8 S) g/ y3 C# S9 L8 `
" F1 p2 L9 T% K# Q
3 R: _( @, g$ s* c* l) \
6 f4 k, b, N9 ^
/ K3 F7 z0 T$ Y3 N- D/ h
; v2 p6 Y% M; n. e3 y5 h7 ~  ) O6 ~4 @3 X) \: W7 f8 c0 `
5 P; P5 O; l; u( m3 u L% J
; A9 Y+ H/ Y8 J* ^: X 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 7 R$ S8 N- Q4 C* m
9 q2 v. c5 }: m/ r: O! o
/ A" f+ ?8 \) s% d0 G l
" T- j3 d4 I& U' u( h
& I% L; F# q. ]
" B9 C5 j" G, x3 u3 v/ h
2 A. h1 u9 n8 V) b5 G
2 ^ G0 Y: k. {8 i; ?4 J7 O; h% F  , a0 h2 ~& D0 O: I; I
9 j5 h/ |& s3 r7 Q3 l2 h
7 A# v z3 C3 S& W 利用ms08067 成功溢出服务器,成功登录服务器
0 u _6 m0 t* x& f# r# _- h! ^- M5 c
9 N# Q. \; J1 |* x% g; F3 ~; P( |9 {3 i' z/ Y
6 l# ^3 L- S8 n# }3 J, L' `
1 u% R0 Y; T( x% J- E }$ j1 D $ d2 e" |! ` o) t6 @) ]
7 g: l3 k' P; \3 U7 J: G( I% L) O
4 t$ ^7 i- p# \, q* M  . `! ~) e/ _# V, D+ h! ^
8 B! x7 O* L7 j, E% [
6 _7 N+ t' T3 b 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen $ }0 A, d+ s( H$ ? C. N
5 n7 A, T# G2 F( k1 n
" p* T) `: e# d( o5 w. v
这样两个域我们就全部拿下了。
7 ^5 f) d, o, o9 }9 d. k9 r- q } 4 S/ v1 D, Q% P# l: i: S! r) b# b
# T$ a: _, L& D' `
3 、通过oa 系统入侵进服务器
; M& m$ l, T. k. d( I 4 D5 z* ? s" x5 E+ k
7 P2 \. W$ W! `" Q* i ^3 e: T Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
$ z4 n5 N' Y9 y7 N2 U1 { , a* C" V8 C9 q" n7 @: u
. r% S7 |& ?3 |8 y$ k, X
8 ?4 L1 `. z. c ^9 r
6 p+ p+ O! g6 J& S
" t6 a4 U+ P# @ i " j1 P6 g( x' M7 a0 I* i
3 B+ d1 k, R4 U$ _ 
2 a' z. T- `8 \6 j7 [* D
0 M1 p2 y% {' ^
b: j7 W) h. |- R0 S 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 * j! {8 Q: G! S( b
, w; t2 w' G) w7 D8 _% l5 \9 ~7 M' r( y
- R% I7 x2 s; P
$ [( r4 s, _2 ~" D
. j. N9 z" I l" [- S
5 z& P: b- D: Q/ u& Z& w+ {5 R# |# t# k& E8 J
$ V! z& P3 {; n6 O6 G- |$ Z ( F, l+ L' ~5 c) l+ C
) M# C, h) j) ]6 n 填写错误标记开扫结果如下
4 D, R8 h; ` S6 g 7 I- w0 I9 k5 `+ c
! A4 \$ o9 S; r
) S# c! {2 G2 Q
# C: A, z. Z1 p
) U2 w6 F4 p) v* x5 E' r7 J
2 _6 @! T2 x4 m7 y. |& r0 r) q' M% c/ _6 R4 p
 5 A, H" Y3 n2 j- ^
- {* y6 M8 e7 d- k$ B+ T% q9 n' o0 B# ]4 q2 [7 g0 O) [
下面我们进OA 1 ]& D( V4 Z0 y S5 D3 W
* S0 E0 t& W( h6 z0 k0 r+ c' C% \* y9 O/ x1 X8 u
& E/ U4 ]5 A" c0 K D
1 N& D3 n _9 w. P) j* ~' y
( i& A- S; o5 [% j4 W" m
[- A. V9 [5 u+ |& u
+ C% F$ c4 J4 J" H; E( k# M9 [ 
" S5 O n, `" G8 o g* N
4 \5 Y/ z3 f- T" b$ R4 V! u
' {0 o& H; X; q6 }. v 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 % H& p% R$ \! w% @0 p
. w( S4 r2 ?4 A4 ?' o
; C3 [. M' W- y5 ?( I$ C
. Z B5 K; k% |/ _" T$ w
8 N3 S V' ]% `
! J4 m& }6 ?# s% ^; E2 l# {
/ { X U9 O1 U) C& l7 m+ U# y- r7 b6 u- |8 x9 X9 `7 m- U
 * b# M! U) p+ n1 ^" Z. _
) Q4 O* V# u! y/ A! B; n
% b0 `* k |4 A) S; v7 k 
: H N& d- }# _0 z( d
2 y* O$ \. v4 m7 G. O2 v1 ~$ g7 X2 u6 O
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
- T/ o; H8 v% o
/ }" K5 ~4 M3 |! l9 k; Y1 i5 E% u1 ^/ O
4 、利用tomcat 提权进服务器
/ g( j& @- d4 ?1 h
9 n" D1 {- j: O" F2 j! K. E9 B
' ^8 n8 e: A" S1 l, q 用nessus 扫描目标ip 发现如图 ! d* [& f5 F) h" C# a3 a
6 T/ f% L) [' Q D* P* T
X2 g, l W* Z# a3 U. v
6 t( E( ^' |% A" w
1 J& Q& Z1 ~6 O, w8 P
% o. f6 P: n6 l. V( _, l % l7 R) ]! |0 m
: W4 s- B. U) S6 d5 B
2 I @7 b8 ]0 Z5 k/ i+ z / T: C4 O5 o" J( B& \; Z
* P$ P% W, j" L$ X9 O
登录如图:
7 g6 p6 M% i5 L! e4 @% {8 M
/ F9 y5 H& Z, D3 w( Z, `# [+ ^" z: g
$ [7 G' P* E: D7 r+ b) l* Z
# J# N( y, a+ P
. m- \! s# ^/ K! Q. a# J
; J# ]7 K" _- e4 d. p5 o" q
; E8 j! O6 i# L& U 
$ J5 a9 O5 Y% ]6 H- `
6 M# j# |9 O: _% t+ b9 h2 _3 E
) O% Y1 J1 U, l: { 找个上传的地方上传如图: 3 o; h, f' J/ W9 Q. @! T
0 q6 \2 N1 ?5 p4 J3 O# N6 ^. D8 z, R* ^* w: h+ L
* m' U7 ~; N. I) U$ K
/ a& {6 o9 n- b; ^( b8 a0 t
( ]& o4 c/ R0 F5 \' E# b0 e2 L5 N+ ?
. m0 ^7 m1 E5 ^: N" z+ L
9 q) Y) b c. T0 q3 s; C" l$ h 
% Y% Q/ O: p6 g% @8 Q o2 R1 h8 c" T
& f2 A& D1 v9 ~& G$ z) N X; V' E! J4 b2 o4 e7 {; @
然后就是同样执行命令提权,过程不在写了
% B/ {( R9 G$ C( h" m/ n- ~ 8 v; c/ U: N t7 W @, B! M
3 k, R6 d2 D$ S. m 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 , H! L! B, u$ A! w8 J3 M
' }6 Q" s( p3 R/ u0 `, {9 N% g9 H" \! I3 @/ O( L# u
首先测试ARP 嗅探如图
: n, ~1 Z4 C' I: o$ _; z, d
9 S7 Z8 i# M+ m0 Z- C/ O* D3 \) \
3 S9 G9 z0 l7 h" R2 v; g. Y# X
2 s" S8 g0 `, g3 { H3 p) ~8 H5 J8 z
5 D$ L* u8 ]& o- r) U4 o( ]1 B , s/ F2 P: G' C: x( q2 o' c/ Y, B% `$ z
; w* Y+ i# j; W 
) } b) L- X. F, Q " E7 i! p7 ]5 L: V
+ e8 s' ?+ j* z4 j8 y3 Q
测试结果如下图:
" y3 |0 r5 y0 Z: ] Y4 s
U: {6 w# { ~) N7 ~% {$ q2 O* b
( {! J& K0 P# [/ D % }. q5 m. T7 \7 N. |: a
) |5 i% r& A7 ?- e' l) E$ t/ l" F7 _
" ^3 `2 J/ J) S/ ?: y! V
- c, D( o% Q5 n) D1 D
5 w5 ?* b6 G$ i. e1 B& ~  4 Z6 s2 I1 S: f" s* Z# r4 C
1 j c9 A; G% K) ?* M& h2 ~. w8 M4 e2 L$ O" }" @
哈哈嗅探到的东西少是因为这个域下才有几台机器
4 G5 T& h# Y. G9 f
6 A8 G1 ?* E J' v( c6 H, m7 C, A$ `* J7 O7 u P. L, j# e
下面我们测试DNS欺骗,如图:
+ H; q/ |' v% R! w9 l6 k
! G2 i. `# c& N1 w, ~: I# U0 h! U5 o3 L9 S( z0 n
, F( s/ _: ]* o- z9 {. n
' N( d# _( {7 F4 x2 e
% n9 M% r3 t' `& t $ c. M9 M6 U9 |. o$ c( h
1 a5 j7 x8 V0 j* H' b 
& ?7 _) T9 r" ]1 c ! L5 v" a/ z% t3 [! g
' N4 _+ t0 S, t# O3 b
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
; p6 P3 \ r( y/ \% u( i
' I$ ~5 C( K0 S) g0 `
; k" O( u. ~3 u ; d8 l9 N7 S3 f# U! L
# b* n9 r) D" W; T' w* x$ b& ~, A! q
0 }' l" W0 B( ?% N) h; o+ Q
* A2 y1 C* m* n" ^/ d
; I$ j* {, F9 L0 F
3 `- q3 G' R1 B" X% `- X; Q ( J7 B3 _# O, o/ W+ s
( o8 h, S( k' C1 o9 U (注:欺骗这个过程由于我之前录制了教程,截图教程了) 8 [$ u( J3 S1 C( q3 e
2 {& d- e( F6 q% L! F4 C% C' s% `3 K2 w! N) \# _. L! }/ [
6 、成功入侵交换机 # x: I, Q( o# k g
4 x0 h7 B) z7 b: e1 r
. M" t5 \7 _" B% ?0 |& | 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
7 I* [7 u8 o @: y, X% x# K, X
3 ~! K2 S; z+ ] i2 d# i+ e2 Z6 \1 @4 m( l& k0 b+ A/ w
我们进服务器看看,插有福吧看着面熟吧 X" `8 [1 O- o' c: N6 U
6 u d4 f8 v! X& U6 _2 b1 o A$ [
2 R/ n# m3 ^# s7 ~2 X# h6 c
# L5 I# H3 M8 }# K
i/ R6 d, l+ @' J
4 z+ W) D. Z6 C4 K- |
( h$ J( o2 ~# A  4 o* A- {# n) P' e: \' N6 R+ M7 R
s9 i! c9 M$ T( D1 a. Q
5 e. C$ W! }5 X, w 装了思科交换机管理系统,我们继续看,有两个 管理员
: `4 M: b( |/ X7 r
1 p, W! h% T. W: [8 c, Q5 O9 M. o5 s0 ] a
: N' e9 R- @4 K- S' _4 A4 y
1 [8 H" J( L; \
8 d9 U5 d$ J$ P( q% g: C
0 L4 r; ]0 M# \# \4 }
, b( g" p3 t4 y) `
 - {9 ^! b+ K+ A0 [7 t- S
' ^/ e7 T1 u- J0 L7 W$ |" r# H" j
& ~. _* S$ \ D! j( u
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 - b7 N6 }# U* c* Y' m# g
1 O/ q5 `# b7 W) [/ G+ p! [$ ~3 G1 D' @2 B
- M ~. F z' `# R5 A' W) J
( @3 p5 j) l( @7 e1 E4 f
- y# L- ?4 Z; Q$ Q" n
' O6 B" U2 O; V. S/ d
7 I+ m# r0 t0 G# r$ ~5 A  4 W0 [8 L# C$ h" K9 b+ R7 n
: f- ]7 O& P4 F+ B9 z/ _
' h( Y) u4 U3 f+ D: Q- a. v 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: w/ M6 e* |7 `1 b) I5 o$ i
5 X& C5 p. c1 H7 T! W
( p/ ` h+ D. Z: k# s: s3 {/ P
1 a1 Z i4 q2 r5 d- |: Y% A1 q0 a
, r8 D; G, |5 n6 u
# \. k. [+ \) i0 S$ i
' T( k0 O; h; ^5 ?6 ^, E! M& t( q- P$ t1 o u, Q, ]$ x7 K7 t f
 3 S6 w& I2 }: j! e* Z: @( \, V9 q
! o2 w2 r, G. x0 j" R! Y
/ O R- c, ~* n( H; t 点config ,必须写好对应的communuity string 值,如图:
6 O# V7 f% C: F7 V& U! q! E# } / Q7 k% |* t% Y
, b+ ^- ]2 A8 a" O N( @$ b
1 b) b1 U6 T: O: E
7 Z; @/ h: A4 i/ U3 @+ [/ C
7 R& Y% [1 a% R ' [ w' L& I) s q
) ~7 U7 d: p5 T3 S* j" @  ; Y5 w l" x* p4 H; p5 z/ r$ G
! x' [8 N' p/ N" s/ O0 t" x- L7 v! T* z) e1 y
远程登录看看,如图: 1 J: I% l6 h* T, W& Z$ m) y" E
1 w$ S/ N7 g) M7 A( c
% P0 M& T: I/ j- e5 ] ! \7 J1 _# F) Z* g L x$ w
" N8 f8 B& x0 C3 w4 @ f
8 r! {; `% C; l* S" H& Y : I4 g& _% x9 k; M& O, ^# a
6 n% a0 B, ~+ \6 N" y! {1 B+ f 
3 }2 l8 p+ r% U! N* J1 ~& m. b; Z 7 u4 E6 q9 ^( h/ n- a$ ]! U5 `, m% r
; w3 [) A6 \' C* m! V 直接进入特权模式,以此类推搞了将近70 台交换机如图: % K/ o: Y( I5 t. }- X" Q8 ?( w
, b1 \, _; p& M
$ F! G0 Z% k8 @ @8 ?( L$ g
% Q8 f# M+ Y8 {: a! i- a% M3 C8 Y
" [% P Z. `0 ~ h9 @/ o
7 E T5 j, R1 F! c. a- _$ ]: A
# A4 O' E! O2 { ^+ \8 }! i9 i
/ Q9 U# v: F/ A5 n 
* O8 W' ?4 O* j1 F ! \& h- p" r; v3 x) D# Y' T# o
% z; j0 C+ |) @$ ?9 g
; L1 _. m0 r* _- o9 D , [$ |& i8 u7 k
6 J! H2 {( {" @0 v' s( l4 f9 V 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
7 s F9 l! m" t8 x' X# u0 T% |' X) T) o
" ?; G2 H/ K' r6 R
( R. P# k, ]: Q) r( W0 G' I% f2 D' | , d& a& q# T( Z! E6 U$ X2 b; t
6 X7 P1 r6 j' }' w8 \6 o% i
1 P+ V5 [7 u8 {: ]5 q
* W/ b; `; N$ b' ^1 Y
/ F9 R3 | q% s; l* _: D v* F 
" `3 K/ V" R# Q( Z " d; N5 V/ B: ~7 U# U5 q3 f9 j0 B! q/ L/ w
I- {4 t2 @! \/ `6 G
确实可以读取配置文件的。
$ c' w @% T5 Q* @( w9 O [4 X* [5 b( a+ Q. t! `
0 ]" T! B8 g7 f( [) a/ G* p2 A 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
3 a7 a" Y- j% T' @ l! H- }3 ^2 V - u7 N, v5 _% b% I1 d' z& k
5 q! {+ X# ~) ^% z/ }
: Q0 u% E4 l# [% o5 ]- I4 s: h
) I" D" J9 `6 W9 v) ?( C- P' b
' @1 ^, [/ c" N5 t7 @- U m0 F2 E
- I, q2 B( h; q1 G" h$ T
8 R5 b% {/ E9 f! @; Z% d+ j  6 W7 \, i- a! e7 I8 v K
6 q. m- f8 v, T+ `3 S- k
3 I1 C$ j1 e+ M6 W! |* w: d1 F 
+ E+ V" ^* R" k) c+ |8 B$ _' y
9 U. v0 _9 t0 b0 w# T1 d! { Z9 Y# x# b, p
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 ) c4 }0 X; J# O2 r( s
/ X& n( Z1 V6 }$ z/ e F4 ]% s! N3 m; e3 e% ?6 T7 f
, @) x% l8 K) L/ b# {
% X2 L, W% j2 w
* j; V+ a4 P$ b3 o6 z, o7 ]
# J1 d3 I; b- R9 l- ? k
: c, U' \: O/ q2 C% B
 9 L! B& J6 q' R, _* b
5 D8 S/ L* f4 {) i# @1 k+ l: G7 J& F3 D6 k
上图千兆交换机管理系统。
% v0 @6 K; B9 P1 ^
3 C! z5 h( R2 `; M! F. B) A) I; Z4 s7 n* u2 p# c( N% {
7 、入侵山石网关防火墙
8 k4 D5 R p% f8 |8 {: W
( H7 Y8 }" |5 E( @% a( p8 R8 K) h
; }8 O) e" h" K6 d2 t 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
/ h0 |- E2 g) p& {% w
/ d! V r4 R; \: H: m# W0 l% S
6 [$ x o: _ N+ z2 ]
. \4 P! I1 A ~* S4 V) m4 |
- T6 O) U- y0 p& }3 \ 6 [. [& T \$ i& S2 ]# ?, k
& v3 G; ?9 w7 x( V7 z( |, X0 R
8 M0 r' R3 z! D x5 o/ i' ^
 2 \& u) z$ k- _& v0 Z
0 A8 `, V( q1 p% K
9 j' _+ m4 q+ s2 Z
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: / t# c6 C" M0 A) v+ S& i7 K1 H
1 O m0 A9 L% U3 @7 F- I# ~9 M" _; ~3 O3 |2 J+ @
+ w7 D- m6 J6 ^* h7 @$ U1 i3 |4 s
3 O1 z* o6 i( N! \1 r2 y/ I" K 3 o3 U/ f; R+ `# y0 a6 K
9 H" n) Q9 ]+ |& L: n: r$ R4 \: ]1 f* j! _& C
 7 S& d3 |# B, h& O/ c& S
' M8 X% Z5 t4 Q: e! c* k" n6 Z$ X- _$ Z" d m. @! s
然后登陆网关如图:** F* M1 b: P& N. ?
) P% L8 Z S0 E7 R$ d6 t9 U: A
. x& k0 d+ n$ B. P5 s$ Z
4 Y0 l T: j8 ?0 L9 y( y e
+ }5 A/ q- u5 u, B O8 M" Z) e* C! Y0 w1 h1 z8 E6 u$ G1 e
! t5 G9 g, x" G0 \
* e2 K$ i' c) q  ( y Y# U k. q
* A: _" c# E! t2 E* w; N" {; l8 G' K5 \* a0 o! ?
3 G$ ^4 v. B" P3 @" O3 C
" Q% t$ f; d. j8 q% ?! k7 Y
/ P; X/ p% L& k& F; ?8 ?; h* j) v: J
2 v. L/ i1 E$ P8 b% g* R3 @# O2 c! @3 `! u" Z R$ }
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** % j6 m' H' u) y% x: P
& s" z/ `9 J8 P' q: N( n/ k
9 G" `3 t& K- _2 A; D) Y$ L 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
" ]0 |; ?# @. W' W, Y! U 5 o& E% X5 w, T' N8 x% _: c
' i+ a8 j( u6 W; Z 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 1 P" K; g9 m+ ~) Y6 z
. H$ m6 r6 t9 X# `, A* y/ f
2 _1 t" S6 s8 \2 Y$ g+ N c ; I, |# U7 f& f. L8 Z. \
) u+ ^ B6 m2 H2 Q4 @* Y
* c" _$ J4 ~8 p0 N; l! \) \- b 5 B3 h* P2 y4 H% N
9 c/ q6 J, v6 N y# k 
: T& I/ s9 v. O; n& W# y+ c ( L3 P' d7 P3 ~
# M. Y3 |$ P, R! i+ X' e 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
3 B' v3 U& ^- n 9 `# L/ ?" R4 B0 `; c
% U6 t( A& S5 p" Q
. _! d- z& s) ^1 S, F o6 k 6 m5 E* T4 m0 o" M
; v$ H6 `( h0 V8 _2 ^0 ]2 p& W
& \- G8 f. d" `3 I3 u7 B- G+ v
. g5 l5 i# J) d: T% m( c8 F, l5 h% r5 f1 t Q9 K
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对