) |- Y) N i* Q. k: O. L( a ; C, j1 [- z ~% l5 z
& D# H1 b+ `: S8 D " u; }4 q, J0 }, \) M6 i7 W1 E1 l
1 、弱口令扫描提权进服务器 8 c2 G$ u6 p6 ^+ V \+ W7 X4 A, a
( V: q* F. M+ W" u; \" J1 c
5 o) c9 U' I, K7 t9 |8 N( q) D 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
& Z4 g; f0 j& |) c% M/ s
. f7 q, H: P9 S- v- l$ ~ / d/ p1 M4 d$ V+ u6 Y1 j8 r
D" _; d( N! H& h
: g# r5 L/ n- C0 g+ v4 l! n6 c7 F* E! J
% f( C5 I, a% }9 c, |
! i& F3 Y# K. o4 A) A& f / O o4 J! z& v4 Z0 ]& A1 J- j3 }
7 k- u* r# L. y% q r& I4 F2 c
, w! X: `! M+ T 0 Y) y3 ?% N+ a7 {& B
# K, V6 u3 s H* A! N
6 n" z/ F; I6 ?% P7 `: {
$ o3 }# a6 s' z# E/ m ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 ( G/ C! ]) U9 g2 M |
* x# V9 K- L6 i4 ?7 {
. ~' x- P$ @% ]2 X7 Q 执行一下命令看看 4 n. m( u1 H. _( s
6 f" v. D0 t$ t9 S2 `8 H ' m% j4 X* \1 V1 B6 \
: _3 ` V# l( Y0 l# f* c* j
: x+ o* F+ S" p; C" R
/ h1 I: v# \0 N* Z9 t; s; o
0 w0 |- r- u9 X. n4 h6 j& g' v
?5 r V4 p5 m( b: r3 A _2 I# J a
' L. c4 G, V0 G* c z
" }9 q. i1 l; W9 w: V0 h
7 W4 M0 B7 d2 z4 }" @7 h$ N3 ?) R 开了 3389 ,直接加账号进去 0 ~, ~- H$ b7 ?# e+ A
& x) V4 t8 z2 l! Q
5 A# V0 i; Y5 a8 v0 r
% A4 u& o$ E8 q* C: z3 { % c0 q: ^ y. Y- K
: @. ? E# P T- X" Y) A4 |
/ \! [/ O4 N, {5 \( X* Y* s
' [# Y. W6 m. z0 y' p
) A/ B4 v W5 w( B
8 E# r8 @0 O/ M- E. Z
" g% k* e. {- k4 @3 ]4 X 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 " V3 U& w& q% t4 \, m' Q* L
% Y% J" @3 E( Z
# x4 S3 T: v9 i! ` 7 b% |! H1 ^/ a: k/ E' R, G9 C% X
; P! R$ u9 |% g
d9 e* Z: \5 {6 U: w" [% z& b
& X- p0 A# w' I: n
# E% A& V! @4 i( s" H+ e) j2 K+ W $ |$ j1 z0 Y& w+ m9 v. |4 w+ l
4 u0 w6 X, ~- j* `& R# |
' H G. u% I7 [- o) x4 M 直接加个后门, 2 h: b4 F- ~9 G; a5 b
F9 p% U0 d) {/ |
, N9 p1 B) W* n0 B : z0 |3 T5 c, z5 \" o2 T4 ^
& Y* d" Y* b! k3 R: D1 B
4 X" U$ c- H. v9 x2 v7 E# T
# a& H0 F) V. m( ^) k/ ?; x $ ?9 ]5 X' X3 K( A1 J5 Y
- D/ O! V+ C& p; b s
; h f* f3 C2 L6 Y$ M- v$ p 2 I) w2 V1 ?( T+ a$ r" F& Z
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 - C/ g4 _7 ^& n) S
& U5 k$ a. l0 s
5 A- _. O2 [; D1 u% c1 U
2 、域环境下渗透 搞定域内全部机器 . m% V$ E7 \9 i, j) W
6 S; V/ h2 a! `# n o& r' L
+ ]( h3 G3 s, U 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 & W. E' o% ]8 U5 h0 X2 [
* ~. E) f% d; f; L1 M" Q( r
, d4 E0 E$ n. g: @5 V! T4 D
: J% ?! t1 Y; [4 c
; d2 K: M2 q8 v4 z9 j
" k) `! P+ M( u/ k5 n
: g3 I: O- L/ i7 V8 r
: z( B: _! W9 W% n2 B: W. R8 y$ y# u
0 L! g t' ~' F& w- ]5 ]
5 Y% a& t" D9 C; S$ s 4 v s- A6 S8 m ~8 u6 K: u$ m
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 2 I" s8 v' W; U, I4 B+ B6 X
1 ^+ K x4 r. W' A" c/ {
3 u1 l$ A1 o) I6 F
1 o3 N9 ]; L( L0 U9 G& N& R5 [ ! a5 n$ _7 R: d3 ?$ i, k/ }
" `( d! v2 ~6 V' `* m; i
: a1 ^5 s P. E7 a) H! I2 e * e( K! Z% L7 S3 d: s, _# z
& V) {1 f4 }' w8 Y
1 n# \# A1 @$ }, k# N7 P
& l' v6 g) z! A, n4 x6 @2 r6 J) k
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: # b6 H1 F g _
8 r' s9 J1 E$ l- M: z
6 ~, Q( R2 U% X
E& ]$ q9 Y; K4 \# A8 f1 X3 Q 6 R4 G/ _! z$ M, n1 r# [. ]
! f! Q' {3 }* w9 _2 d
+ @5 T/ N- A) E& g& n( Z% ?$ R, ^
0 w9 S+ r, m8 c , v: {; I' E" A+ P2 @$ a$ Z( R3 K
1 I& j" g8 P5 w3 c. E) J
" k6 \ d4 C0 p% a& R8 p' b8 s 利用 cluster 这个用户我们远程登录一下域服务器如图: 9 d7 M9 A, H$ R0 V+ R7 ?+ k
& t/ U- m1 ?: N2 }
% E' K1 v8 m0 b7 v
7 U4 ?% Q) `2 N8 o' b
1 o0 Z6 A- d' ?3 H& d6 @ . }! g3 V4 m+ o) \4 ^* b4 f( k
. H( x* S; W9 h- T& Y: s( o
" A0 y/ `. W. l. M$ d1 r8 q 7 t1 Y& ~; b% N! u# @
( M) f1 B) `6 ^8 b
+ m( K; d; d7 g# o! p# ^9 `% L" i 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 6 V! w8 f z. D }( ^) j$ q* I6 Y
, e' z$ s6 g. G
' y/ X2 I: V. X0 \
- G# | q; P" j) j5 z2 t" S4 p ) h7 m2 Z! q: n
$ t2 m2 y9 |+ _" {
* E" c; u; }/ T. o. q
5 U6 ~3 l# m" Z6 F r ; w% _- O0 g; Z# e$ B+ N
# p" \9 _. P- c2 a* U. P; s- {; V
# M9 x9 ?' L% C' P0 F* W J
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: / {" m9 n) C$ S% J
$ w. h( q4 m% A$ k2 ^
4 q5 ]& B2 y$ [0 G- ~0 W 2 ?' A$ K' [3 P# P/ ?
* g2 M* B2 S6 T( r. F- e
8 [' @% u/ F7 U5 b l
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping ^3 G1 ?! K3 N4 X* O
: N6 x1 {7 r" A |
' Q3 g4 z; h. I5 I6 T% ]" F blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: $ q3 q; O5 Q$ O
+ h/ s5 M B3 D& h1 b
- \3 }7 h" X R0 D; D3 L( `3 f
7 X% w# E) q$ M, ?; C5 i/ u % z8 _ z! L0 @) \6 E6 C6 D
5 Z7 Z4 H, E; t& d3 o S6 z
3 ~: b# D, K( j$ l 9 R1 ?$ e- d' T0 w
7 k ]3 E% [0 `; f/ _$ b
, h% O. M# P3 K- C4 ^
+ w5 j+ v9 I W6 y) K" P0 P+ n 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 1 w: M- E3 ^5 R0 W7 R. g
0 q3 u7 v4 |; d( t L
9 o" g3 `4 P" n: @7 C( [ + X3 A# z, z# F
- s! B* {1 A1 Y8 R3 _$ Z
/ P3 {" y, T; v5 E$ e" l
1 V* z, o* F& d: T3 j& Z
" u- D* b: V, Z* y; _ q 0 ~2 @) K( E, i8 `
[) {3 e* \8 D$ b3 E
4 Q2 j( K" V. s+ C' t2 w0 B5 v' O 利用 ms08067 成功溢出服务器,成功登录服务器 0 [! @, g" @. f; }: `
- E& V% M& H8 H
) I7 r' {, t2 m; n : D( x) e1 { [! x! {
9 k& @$ N& w( b$ I
6 D) z! [! t4 Q+ q5 T# R8 @, P% d
" ~( K& q5 ` q3 O9 I6 y 9 o; M2 D- o% j
4 {9 w7 ]4 w9 G( i: h( @2 f
2 }0 w6 q; n/ T$ p3 s& g! ^( y
( H9 _# a, K- a
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ! {' [0 i' u; J: b
( K6 h7 K/ {8 l3 T; k$ R
2 F5 |' r/ z$ @% r 这样两个域我们就全部拿下了。 6 G- @. a+ O- s
! t9 }4 s A/ b7 u
% z- G/ r7 R0 A; A 3 、通过 oa 系统入侵 进服务器 : B+ |9 o& ]# M, L' o
/ p e* p7 v. S8 D+ S6 a5 u" L
2 m4 g8 w6 J7 I. K0 L+ C5 U+ j Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 0 w# [8 M! |. k) D9 G
+ Z3 ^/ }- r# E+ \( M
- t4 N6 P2 a* m/ N5 L; _( p z) k
8 ^9 ~. }% \. q! B1 S$ d1 e
- q* P/ m: M B) U
5 ]& u& t+ c* d
) X% @" k* {# ?5 V' ~- B9 o2 {: X+ Q # u- Y" Z' I( B; s8 v
C# s+ r2 ~% X
0 p: [* W2 A6 X4 c+ P, |6 z1 [
. R! f: i2 y7 ^
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 - H6 \+ B! S0 N! k4 T# I; a8 I- i
9 e9 t4 j, B8 W+ Y p; H
# p. H! l9 {+ z1 q8 K7 i+ G
7 `* S5 Z0 V) H+ Q7 O ; `( m* f" }. d, S* ~ ' u8 x. ^: O$ u
0 y; d4 |4 g4 f 6 ~2 _4 v1 k) k( g4 {
" r6 K' C3 x, }: C. {, d
# N1 h: r# \& k' O! X$ ~
6 ]# t. |, |5 p9 I( h 填写错误标记开扫结果如下 1 Q5 H4 \; X" J6 k! A% [* O* `" u
7 g+ K2 B5 L, v: a2 K& h) E1 t s2 h) C* U+ @* O' B; s" }2 N
f0 V# `; n- `# c( v. V+ ^& U5 t3 V ) t- x1 K; O# H" d. W
/ Z+ N4 y- C+ f) {; f2 F- u
. d3 \' j0 \7 Z7 P
" D; Z* |. U2 F ~, `* a# \ 4 N1 k8 i5 K+ V* j, y# R+ C! L/ f9 n
6 w. s- M. o& p
# A0 B0 K6 e% @. J! U2 P4 v9 H
下面我们进 OA ) b% m& H' F- I
- ], s/ G! U1 s$ R) T+ e1 S
- |4 d9 \* Z! A1 s) \; l
9 _' \# Z% K; W! Q 5 c) I |* g% k! R+ \% J' R; x [
4 W7 m& b& W+ \. q7 a& j3 c
: Z; W3 [' A1 k- ~: v4 L. j, [
- L1 F1 ]0 x: Z( K. L. l9 D ) P+ F! g4 C- ^$ j
) L. v, g- f f' Q j, r # N% _3 W% ]1 m8 z5 E% d
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 * y5 {, }5 r1 h& C9 j
) j1 k3 [. y5 B' M
0 R/ X) S: Y* B' d% W- Y% B) N
# R j, X) z7 b5 ?9 q( [6 |
, ? f% d- ^) m5 P" O% G8 t7 Z
! r+ `! L: [# z# F0 `7 E. j' U
4 X$ s' q$ y4 w7 r# b! X: n* a) R' q
6 h- d, b8 g8 E2 r% h 5 {! {/ p1 U2 _+ g3 M
6 [ e: n* j: C1 X6 s$ P# j 1 ~! w& a9 x% \) T1 ~- H6 Z: n# ~* E9 h
( d7 ^6 k# U0 M% u8 H
0 {0 j; G2 g. v$ @' ~
$ B6 Z5 ]$ A- {: X" c 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 ! }4 V( b9 T) y; [& I
! o, Z" W6 C) a- n. g& M) l7 e% |1 P
) Q7 M. W/ M7 p& G! n 4 、利用 tomcat 提权进服务器 - |0 ~1 }& A: `6 F/ _
+ [/ |! y. m2 l3 E2 f
7 I7 X, |; F& a* Y& B. _
用 nessus 扫描目标 ip 发现如图 * m& O7 ?5 J4 E
" A ~& h0 J# s, i! u. H
9 {- K2 T1 e) |5 t0 A/ Y& Z7 z# @ 6 p1 ?/ r. H3 {# q5 a1 p% ~# \. t
" s/ B- G4 H5 c% B" h1 k
7 ?: @# ^( t" z% v' N
- f8 k6 K& r/ q, [5 j/ e: _8 W
0 E( p& R5 O" d
0 H7 s3 g8 p1 W# M* r4 z
- ]) v' g- n4 [8 }! c- L* b* K
7 y0 _/ D) y# c% m# t5 p 登录如图: 5 G" H* Q+ s) |" z3 P
4 a0 J" `4 _! A) E, l ! H0 p0 h/ {% g! K4 S% v% Z
/ \$ p* d" F& E5 ?: }1 u ( o0 ^3 C \2 G- @/ t1 S9 D
" K# S, v P# F0 x7 B7 L
$ z* w6 m# }2 T% V, g3 H. R
( v, c0 @1 K5 m1 r4 Z & l: c% ^7 [- q7 U
" k6 `3 W' u! Z# J' }
3 L% L) B) _; s- O9 A# D 找个上传的地方上传如图: , `3 U2 \5 a* K+ ]1 ~# J
4 `' q2 M: h9 A% j% h4 W
* `, f2 N9 T8 R% F7 U
& v# Q+ u5 l5 J' {1 W) k: E- O4 o , s9 R t" i F; A; I( w& E& L
/ O& h) ^$ @, o4 `! e3 ?
9 @+ _& O8 G3 ? o- u; m3 f1 u
1 r: y" N8 p: s+ }" ~1 j5 \ 0 i# P' x$ _4 M) H. e
7 C# E% a+ i& a ; }' |% L9 u+ V
然后就是同样执行命令提权,过程不在写了 5 B6 }+ ?3 I+ U/ t" z; K$ u) Z! e+ k
7 l) d5 V! k3 A3 ]; C6 A
( K7 ~% {* }6 |9 i6 E 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 8 O: ]- W' ]* C S2 B9 S, K; w$ l
3 |- F0 m! n6 X+ M% q1 O0 ]9 X
3 \, z$ a1 {4 L! @ A2 I2 U
首先测试 ARP 嗅探如图 1 `8 C2 I' l: g& ^9 h H! i, z
# s9 I) L1 W9 o
& A' r, q/ e3 u, F& `/ r' c& O% n ( |( T: H a: L/ @! t( P0 }
+ C/ _/ p, E; z+ T& b8 p4 N
" {$ @" J* z- K/ Z, m, @# R
$ V2 H) E6 r: g h
& I3 j. g8 `6 `2 r3 |$ ` & T; S0 c7 x4 k* N4 |
) w H, X2 G# a j% n8 C1 s8 [$ | # e3 e$ `0 V! |0 g
测试结果如下图: 4 K7 W' o' i1 m% | u1 J: Z5 |0 T0 M
' v1 L) F# l4 ?' P8 \' ? . g( E+ z( r6 J) a4 V( r" Y
0 L4 N. G4 l4 b. _8 C
3 z& E9 Q& g, R5 {' x- f
. G# ^4 Z; X! F/ u9 H1 t- j) V r
9 j* R( l; |9 q3 O7 ?, v9 [
5 C/ B- s) i) ] * r+ s% F3 z# j1 h
S3 z8 n- X% t9 S2 T
" S6 t8 c2 l I+ U( G7 l' G
哈哈嗅探到的东西少是因为这个域下才有几台机器 3 ~ B1 c( h2 N: V
' P3 a* ~3 E' b9 {2 }4 z) Q! `
) ]: t! |8 H5 e# D% W: u! }9 u 下面我们测试 DNS 欺骗,如图: 3 [' M/ `% s8 J* i7 D; ~7 ^( O" p
" i( y g0 ~0 {$ N' _
, {1 D$ h6 D+ H( D' G/ ^9 H , X$ B0 r0 b) E$ V( T2 Q8 }5 [' e
$ g8 q- _: U: s; T( }/ k
( Y, B6 m% r: ~1 s3 H9 w
$ F) o) m7 A) m+ i4 x0 n; K
3 k7 u& j* ]! B$ D! {7 y 2 L( Y7 S' \# H; f( m/ o
5 s! m- c/ D% J- U& j% ]+ F; M
$ H6 k$ H9 T$ D& i9 u
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: / l4 h2 f8 X& l8 T: ^2 P
/ E8 D# g' E- C6 t0 a& i
0 c+ w& M) A( N+ D8 L
" J/ x/ C) J& S2 A/ W/ @. y6 @9 {- ` ' X, l' |8 ^0 [! H6 Z
) m+ n6 f8 v+ P" t7 s! I
. T1 r" Q1 K6 F: R1 L z- F, ^
( l# }* t& T2 c( }9 d ( H! _0 s) q4 }# Z7 x% P
! _7 l- ^ r7 |7 o
% @+ N- m% C2 |$ q
(注:欺骗这个过程由于我之前录制了教程,截图教程了) % Z3 W& }/ N u4 h+ U) r) X9 h0 ^
* P% @( F. c q ' N* S; x+ m3 C* T
6 、成功入侵交换机 $ W5 {8 [3 p. b. Z9 S/ U
( o2 I8 D9 C" U$ q; B
# o; L, S6 N! C. d; U* k* f 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 7 W' S1 H- ~1 Y
4 e; d9 H" ^% G3 h' ]- i! L
! |: b; p$ Y. | 我们进服务器看看,插有福吧看着面熟吧 5 P" l$ E, k' u6 s
* e; S/ L/ `( L A ( a4 E- N, H, H5 i* h+ |4 e
; [9 Q- C+ ~, I5 p
4 N: p( T( P: i- V $ O! J# ]$ ^2 V( h# J* U
p& X3 X* M. y, @
$ S3 A' D2 Z9 I 3 l, N/ [# |' i0 T" k N
5 |8 A8 w" L2 l3 x* ?
7 [/ J+ \7 \1 N- I' \ 装了思科交换机管理系统,我们继续看,有两个 管理员 9 ^3 K% W8 D3 K% I! S1 J- Q
O/ G: U' i+ ^5 V7 A, Y/ m$ y" |1 `9 ]
% M6 h8 g9 [& f; e1 z6 k9 v1 F
& z5 ~+ z7 ?0 _ ?6 g' p / f1 A2 M" d! N. Y7 H
0 r$ ]- ^ X9 J" N2 \3 U
" j0 A$ O8 _, |. z8 z* f# d7 D: ~ 1 N |( \* C: D) _/ _% `. q& u
2 d# A, v1 q! M0 b5 |2 J
p$ i E) L( ]
" F. D _0 i. K- |; @
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ( ]- v2 k0 S+ S& m# d5 p6 _2 d
$ T. z& {0 W/ P f' W$ v9 u" _
- A. |2 T- r/ |3 _
7 W) L0 p3 x/ x + p5 L/ \. D' H5 O/ A, _ . O& P8 i5 X' f5 m3 ?4 [$ A
- r. l, w6 v3 U: t
) ^! K- E6 l, d. d ) C. ?6 C0 [& x& g
* L, j7 E Y8 ]( ~6 d t+ n
, e; j# W& d$ L: G7 M 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 3 O6 A; x" l4 }2 C+ i" l/ ?
+ o5 v Y* `4 G6 T+ @2 g: R
- B2 J5 u/ j% Z, C- V; p* s
$ s @. Z- P: w9 M' i/ g 1 T+ F; J1 `; x# e1 }: N1 ?
4 E% w7 e# M1 v' e4 p6 e
( q+ \- z( j' M: D* @, F: S* ?( _6 W7 g
! H2 l8 I& P" C9 ^
) ^6 n/ A! V8 w$ W3 X n1 j7 R1 E
; C+ X, H i, o" L- v ' N0 }2 d8 `& W7 h+ F2 L8 f4 q
点 config ,必须写好对应的 communuity string 值,如图: , m- L( t$ \1 P7 d
6 x& a3 ?) H% u- C% i
2 N0 s5 u+ Y* G2 s) u% C# Y
: k" w- k* V* m- J
, z* W: s4 z: s* r+ p- |* }* C $ G9 z( S, a( c1 N
) S. F+ y+ M3 ?
; V8 S0 s2 X( }# k; w6 }. o8 y0 y
# e( F" Q! M1 g* x5 c
6 r- l5 ^& D6 ~3 B: C+ m
* W0 n+ P5 R& @' R) g, ^! w, L
远程登录看看,如图: $ s' C8 u3 @, B0 B
$ m2 E X- T3 _% B d9 G; Y
7 b- V, A, z7 Z7 c$ } 2 e6 c/ z; v( ^
" N! N2 t" y9 W$ M
" l" ^4 W1 x+ s
d& ]& s, p" H0 `" F
, V. a c. c4 k ) O9 m2 h; m0 Y1 b. G7 e
& ?' S6 ~% _( F4 Z2 E+ [7 n$ g
5 C8 b: ]# @- E) ~2 G2 v D
直接进入特权模式,以此类推搞了将近 70 台交换机如图: 4 N; Y0 T; _, X6 l4 Z' d; E
+ S1 E w- F4 v4 B8 _4 @7 I
# s8 X8 v; U; m9 n: w; I
) A4 Q1 D4 D% V8 t9 @* A ( f* W9 w+ h5 I/ h Q- d4 C' W6 ` r. I
3 y: |1 R' y. x/ ~. |# ]) @
2 u* @" V* s- ^8 ^ & Z$ | S& W1 p2 h5 |
. u0 o* O5 ]5 \" f. Q
$ P$ X ^ \* t9 a3 H. @5 l 9 {4 O1 C( A6 L
! _1 [2 k& D6 ?
$ j9 n% T+ o8 }( z# W* j; [ 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, ** $ \ `: @% S) Z( n
) C! u4 J; L- b- _
6 V6 H% _! T. l! Y8 a( H5 m8 |: F/ b
+ q! ^; I+ c6 e* o) S; a9 A! w4 [5 o
- u& P3 ^3 }2 ^3 d
7 T# i Y' [& W9 M9 y
/ r5 h4 p0 n3 a( O) `) F7 C 8 W# L" s& ?$ N4 u+ @( j
9 H6 q% }4 s9 N" T- ^* @
( M7 K- [) L1 R1 q! t5 i
- t: I a% F0 B. u$ Z 确实可以读取配置文件的。 8 i6 r" p9 J+ I! T4 R& f
4 ~: D( | X5 \
8 l) Y* H. j w; i 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 4 G: g0 v: s/ ^( q5 ~ F- p
. K2 x) X( _. {* o7 _' p ' U! Y( Q. O0 i' q
' d+ Q3 h) f" ^
* V- J2 X0 Y9 i3 J7 B
" h5 u, M ]6 O: N( N0 E7 o
( K1 x! P9 s5 t; J0 S h; [6 ~1 M8 M
; U% s( R: y) Q 5 _, C9 p* a) O
& `' _! w0 w, Y
# O$ [) I) X, S$ y% R6 D5 Q1 ? + w5 u/ ^! u+ Z* G
* G j- E5 r' e8 |, V' E
- P) u8 L% p; ?1 h1 W 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 % J4 a; |% H! A4 x5 {. w& H* l
8 t' n# \% I8 o0 b' u$ ]+ B
6 U( \8 g" a0 ~& s: Q. G' r7 _& ]
8 v# P: X3 |- R ) {# n7 r2 _) C/ g- F0 T) M, g
( Q" ?! W" D5 y, c( C5 ?( ?
) r8 S/ j8 o2 [6 D2 S% |" G
1 P- N7 p# N; w4 u5 t ! d+ T: C6 ?7 M7 Y' w+ Y! m6 v4 ?: _. K
+ \" P, m, {9 [" R
# e9 I7 I7 l! Q: B2 t 上图千兆交换机管理系统。 & Q c, m! i+ H R2 l! F
; O& A" _3 v; X, {* b# Q) v
3 q; i! W+ u) Q
7 、入侵山石网关防火墙 : k* l9 `* P+ T2 C7 O% D
5 A0 K- O" b/ j
" k+ L$ Z3 q: }. ~( t; N 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 3 k$ a& K3 ~" s
3 Q3 X1 ?+ d& c- V- q$ i, U
4 s, O' W1 m' Z7 ~) ?
/ d! E T$ h2 T # S3 w4 ~3 q0 x" b# l
) G5 S# {, X( J0 E9 T! a' `, [
1 ~( g% W7 u' }1 u, O/ ~
2 C1 ?) {' \' u$ j' \9 T
1 |) T5 P* W5 F1 V; `$ `8 h0 @: K
7 a/ T8 K6 L2 R# S7 G' N! Z $ y$ ^2 ]/ E: w/ c
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , p( {3 y" ?4 S/ m# b
0 |/ s) K1 q' r- S( i) q
) f; U7 k8 S- T. u/ }, m% k& w/ Y
, m% k4 ~( f$ @: s3 }3 e0 M % t9 v* s C( |+ U4 v: _
0 F& N4 C+ G4 Z
" k% y' Z9 H& N/ D2 q
% x9 e7 Q. q, T E$ R @. [( c0 ~8 e ' |# O; i6 ~, J% ^. x. e9 b
4 j1 G2 g9 X1 \' i" j0 O
, c; t$ k* n5 D 然后登陆网关如图: ** 5 o- a5 \# g) U' E* {
5 O% ^" q- i$ d; ~. j) q H0 _# C/ K" z$ N3 V: J
0 {6 o$ `( n$ S( `1 c! J$ u9 Z 6 P j% u$ X V( [( H" f! A $ O% ]% j0 ?6 [- l! S! w
, V/ O/ n, {# v4 A% [' f3 X8 R3 k/ C
7 T4 n2 }; j% K1 U
; u: y6 [+ x1 M1 D1 l( s4 E& P0 W
, ` E5 D' u! t% w* P8 v- R8 s* h
* ?& a# x! y: ]1 C9 _ 2 b/ m' m# P* l8 k* G/ ?
0 H5 w$ L2 D, s- d- z' e6 \. M i1 V2 F6 ^" k; V! M
2 g+ x0 ]; f- I1 m
6 ?& b3 K3 d' i 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 5 s& R( U) Q" @# `/ R3 v
6 L3 h) @/ d- x5 d }2 w
4 J* z6 x( M) i Z# j* F" X 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 ; ^2 g) f0 d8 _- m6 u J0 x
9 z# C" w, S) }& j8 a1 \7 S
# ?2 Z }* j7 ?. N5 r- r 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** 5 Y5 N% Y' @/ w' M) e
! b$ g3 [- F& q+ v* H% f
0 B, Y" d) ?3 B5 G
7 a4 C% R% f9 p" h. x
u6 ]7 S, D2 E/ ]
V' F/ k, a9 `
8 `, [6 C1 t2 ?" H! J+ l , F3 l' c4 r' L: O0 X* b) f7 n
0 U$ D$ r: G! U1 y
1 `9 X' Z' o5 U- i( v$ U4 x1 U
8 f2 `. B, [8 ~$ g; L2 @; }
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & @; E7 O& v" ]- m
, f' ]# l' L# `, d- n+ f
3 k0 `+ R' j6 [' N8 _
7 o' o7 e* G! X* Z/ R9 A
0 ]" d+ K R* i* C" X) M; T1 p
( O' Y' h1 {3 p( ~: P / t6 m2 W) q! h0 O( V8 ^9 e n
$ g j9 n% D* i' y8 {: w 8 V1 U# g& g% u) i. V! M
发表于 2018-10-20 20:19:10
收藏
支持
反对