|
) ?7 Q! s) V$ @
3 v- L/ L1 R! }3 R: A) v, C 3 u: E. O9 m" c( g4 I; K
3 ]3 R6 c& a! P0 a6 D) I 1、弱口令扫描提权进服务器
% N( u @; K; Y' I+ C+ p . N+ I) S4 W) R$ c5 c- A
+ I! L* ~+ ]% Z5 p 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
% q6 h7 X; G4 c( W7 l
* |8 K3 a# W" ], S M, r+ j2 @+ d4 V# o- R+ g' p8 j& W0 K
% ^, l+ H* r" s, @1 k- M- [# }
8 m0 [& r# q, [* e( o. m0 `+ s- ?3 I
- ? {: v" p* M6 _9 h, w) w! _6 @ % V3 K d4 j- t" w
% N; `8 L" ^$ X- v- B% l0 q* n6 U: | ' a# t! [1 `1 Q" E: l
$ @* }# M9 G, g: |8 M8 v
+ x- b" I; r$ e & X/ `- D+ |# q+ s% ]* O3 B( G% ?
" b) K3 L7 x; |4 s5 o( E7 c* t3 t+ C
3 ?/ K) \$ M3 v7 N6 Y# H6 u0 m ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 & |9 {$ S& S# {4 k( a- v
( n- G: ~) @" ^
7 u, m# j" j! V$ _ 执行一下命令看看 + N: k9 r9 P2 T) P! h, R
' _! t( G5 ~! s' u
5 ^3 f3 G* E1 ^+ o
. ^ x3 g, j% i v8 w5 O2 @4 b2 o 3 x. J% m" E; ^, y8 I$ L l# \
; {8 u4 _6 Y+ Q6 D" c
4 n1 X# M& \. i3 Z+ _
) D# a& t1 q5 }. E( t1 ]
2 v9 s4 L1 d5 Q+ X( y3 R ) B% k' E. r. ?( i+ K ~: w. s: Z
* \5 h; [" m% E. P+ W1 U6 v
开了3389 ,直接加账号进去
3 @) b. U5 H% ?7 b5 G( K
- x3 m5 O1 ]- v: ]2 l9 g/ F: Q) {- r/ R# Z; R
8 D& [( o5 f% y# ~ , j8 o0 I+ T3 I
4 i, N& x' O0 P0 _0 ]' b* E
& T( A! a0 g1 n$ M4 c; i/ e0 c3 l/ g4 X N, Q$ w
0 |* `( Q f. E# p+ \5 z
: K* t3 u' \9 J! o+ S) v7 p( A( ~( ?% Y
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
: S0 s p0 c3 T
6 `( Y% x: c6 o+ Y, |/ U& |
- r+ U q4 ~2 y/ Y3 V* c
8 v# K. x/ B/ y& `0 E ! U" N+ T! o! c, O- A7 H4 H
1 `2 g- o! E; u* L
0 s3 `" n) g2 R1 r0 j9 v# K; z4 W4 M% L
6 {7 }; f/ v7 {9 ~
$ F% A% G# M1 G6 B+ |& ]" Z8 I N
直接加个后门, 1 X6 [0 {9 h3 {. `
& w' K" `; Z* h% ^& I1 }) C% j% G& P' O5 K( p( ^2 [
* q6 f5 b. S/ v0 \% k0 s3 ]
( \" X# `1 |9 c+ t/ B* w, z& c0 ]" d9 e% b
! y$ f5 n* W0 U6 o$ p
" j' v, y' ^1 V @0 y
- ?' \9 Y7 a4 b3 p6 C* R ' S2 x- f1 y+ [, w3 p3 R& H8 l
$ [% y% y X# I* n! n
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 5 v8 b( i c6 S. m# P
" W0 A/ A3 c0 [
; p/ a" M" x, r! z) v 2 、域环境下渗透搞定域内全部机器 * [, s+ E2 c! b" N
# a, T2 ]! y& o( `
2 }& s) q5 T, j) K& l 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 3 d4 ~" \5 O T, H; _/ U
/ Z3 s: i* k7 C3 V- X, k n# I% i: p( e' K. g# t
& {) T9 L/ q$ \2 b
8 T* \: h5 O D3 ~2 V" @/ {' @7 V I8 P* N1 B r/ }
+ _, r" T- Z: I6 T& Q; X) F! _; D/ M7 R0 q' S
! B( V: C$ V1 q6 t3 z6 Z* z. n
- c* ?$ p% Y4 I
% l! E: M/ F/ f( B4 T7 _
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 5 S& ~ {1 s) p% q+ p# M
0 H( A/ `! x, t5 H- B
; f, u2 x+ R$ v: t5 K0 j, i6 S* A
: ]% j6 H, f- F/ ]5 j* ^
; c9 l0 c& D9 [ e; C
5 s) }2 l+ y/ ?2 e
/ B! y3 e' ?6 j3 J# ~
- ~& p! c$ V' I3 f
6 m1 ]! S- v4 H) J( q+ i6 ~" }1 R7 R
" a, k' a6 O* e# X& F. m4 `
5 w* r5 G# ]4 s
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 7 t' S7 m) S. S7 I8 R' {1 t7 O- i& O" [" x
" U/ ]. o6 q# H
) d8 }' D: W4 n; t2 M% {
- A9 A: n9 W( ?+ r
f7 L5 \" D8 V' i, H* v$ b 3 Y3 g+ t6 a+ x- |& ~) g
9 Z7 k3 t' U3 ^: X% K* e; q! B, K# N) N
; \ F: |6 U9 [6 C " C. T( `0 }' @9 T: O! }
6 W& _9 R9 Q: T
利用cluster 这个用户我们远程登录一下域服务器如图:
5 a0 K; S: o: d, ^ ) {7 g6 {5 o5 V7 ?) _3 z6 ?5 j0 r; m
) M4 \3 U, i( U2 S6 s
; z% D7 M* }! o7 ? f
# I) h. i& p' x; m( z
9 Z' W: s' y: @( j! u0 s - K0 f- o4 x" ]6 n9 ~( |
( L* h1 d2 n) t5 g! z Y$ O
_, D" {: Q5 u( R ! o& F3 e" l, c$ {! S/ i& E
& D- P% }( [) D! T; A. {4 K 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ( f9 g- ]4 N5 n7 O# |
& x; X7 y a( I* F
V/ G( T7 z6 T" @. F( N
: p- l* _5 S& Q% ]
L1 ?8 |' a+ U3 e1 y
( p9 L8 m8 O, d: T9 D* b" \! |2 m. L& W" n
' E: l" _) b0 c; L6 n/ H/ h! w, ~% j \7 Q% G- c2 }+ r
4 x2 \+ @ `: A* Q, `7 T
3 i$ b4 Y% t9 A: e& L
: G+ H3 y9 D" W1 I# V( ] D
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
# f3 K! t6 Q8 U5 `5 S
1 y. I" P. M, O8 A
" Z2 H! u- ?; R# \5 n- W , r. l! k1 Q+ k- U* U. \7 Z
9 c+ c& k3 a0 |- k, [3 J
. g1 C! g; O) I6 L% q& M
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
3 x; y# x6 g0 ^
* U# |! o0 _/ F$ x: M0 {$ U" Q$ |. H' l
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: t1 Y$ {+ Y- p( k1 ]- l8 h
7 K- A' }/ C$ j& e, K6 k) e
' ^( U; \( \1 ]7 d5 c! h2 o
3 d( k" L( V; w, e2 M2 Y: ` . i* f- t% v& b+ w, |! y0 L1 ^+ J% r
0 _* |; l5 v( K. K' k! c5 C4 _
' f: l9 d, {' ?) Q$ {+ ^
" T: E9 k- W: @3 l7 h) m) q7 K: m
" n1 l7 g' I2 s$ z 9 u; e+ E: o& \! P5 U
) k0 v% j4 [# ~- g3 T; t
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 5 s2 r5 `3 o8 G4 N
# N0 ^+ q" ]2 J+ u+ M# R* N
* t$ ^$ u; I; }9 l5 z- ]9 g& z
$ o# s8 o1 q, m 3 V% v2 \3 [/ }2 c0 B
2 Y' i# r+ G( v
1 j/ _ [% y- A9 M0 w; s# i5 w; E
/ E6 _% _$ ^3 j \# j$ z( q
% c/ ?! x4 k- |& m7 j7 V0 o, E$ \3 C ! }9 O$ D3 c3 V$ n$ ^% T
9 h# r$ h& T( k2 e! }. K3 |- d
利用ms08067 成功溢出服务器,成功登录服务器
7 D$ Y2 u6 T. k9 i0 N
1 [* G& s1 F+ p( c5 A4 D& X* {) \4 G+ `8 a8 m$ a+ s
# {8 K4 `* W; d# m+ _4 M / {, H* M* h% t8 \6 V
# f# K- D. E3 d: c; d, j
" t# z+ ~4 A" ?, X$ ^. a
* j5 B2 [1 @* Y( b3 A
* y4 Y5 ~3 [$ M/ {1 U" J6 ? N
1 A" ?! B, i/ [
U. S" B/ A; _9 j: e. L ]3 y7 e6 W 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ' h2 K3 J$ T3 f/ A! F* i" F( Y1 p. S
X( l9 x" |# {' U
- S: Q" r! X" p" \6 ]
这样两个域我们就全部拿下了。 ) q: ?8 F$ t. Y" A4 W$ J7 J
% p- ?0 i4 f- e0 \$ n! i- n
& g2 F, L) N2 W U9 k8 j0 p% t! c 3 、通过oa 系统入侵进服务器
& U7 [( ~5 a W# a3 @1 `* V . B; ~8 p7 M' @$ s( c7 R: }
7 f2 R# b# C8 X2 z2 b5 {
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 9 `0 J$ Z* D5 D4 ]% z4 F2 I7 f; A/ q
. E6 n* e" N8 q. @8 f% ]4 q6 n7 M
0 G" `4 O8 _2 }4 c2 J, {# H1 p
' y8 Z! R |2 f5 ^/ w. T
u& d/ d9 K9 ^: s) ?
6 t: D+ D! V6 U; {3 ?* Y
/ Q! o& l( R# Z1 f1 }. `0 ^3 L% x) D3 v
. `, c7 j5 ` m$ e+ L
! N: r9 @- q! ]; H ~
: o6 L/ ^ B. P- @/ ? 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
& i& ? ~- |( i" A5 [$ R 7 A8 x; G7 e$ |8 C& P3 L% ]
6 j9 P/ Y, \! U6 y! V
* Q! \$ p, k4 X7 }
0 q3 |5 ?' K9 I/ h" s' Y
: c+ \/ `) s. N' ~! N8 I9 }8 @; R
; ?0 a+ P! k9 Q1 d+ r( v+ Y
. u6 {& K0 H+ i/ G2 J, w7 \, o 7 ~3 g7 g. H& L7 c5 r7 ?; o
* j* P$ Z6 F* a! ?% Q
0 L- l$ j# [6 q7 z, T4 S4 D 填写错误标记开扫结果如下 $ v/ H* Z2 T% R3 W2 ?
! t7 l" [6 C; z0 F9 j
5 z& I6 Y8 C/ y ( D F d/ m* z* |1 S
& s S, g# q- s
; C( k5 n5 |6 G7 ?) z+ z $ c2 q9 {: i8 z3 i) C
, B7 e) k* R: V, x6 @
' w) {0 P1 @% }; W
: m# B- m4 {" q9 R" E" }: a2 V' P, E7 A3 d
下面我们进OA
u0 N w( Q2 I- D- _1 Z ( \% h% o+ e+ u$ K8 u; ^
: J1 M4 H7 G" S2 C+ ^; F) `
* i3 ]8 c! [* m/ u4 w+ m
, b1 O9 s% R* R& ~' ]7 o7 s! A# f 8 x8 K5 {( f1 [( r) O7 I
9 Z# e1 a X6 c* N( [
0 u" `$ g4 f3 h4 H; P
+ W8 q7 Z2 R2 `: r- C2 b7 I
$ T/ d* a5 F6 E2 g# Y/ E
2 k$ p6 Z. v" L. T" _ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
) j9 l- u9 L( U; R
4 c F# y, C7 b! X! W, [
9 l: B9 `) s3 `( g% y% | 6 A6 [% B( d( v5 I: m+ n, o
$ G { @7 A" T$ X, w6 u 3 }) |# p d: G9 v: ^ f5 D
, o- B" e0 |7 w5 m3 C
. e7 R# W0 a# \9 y; ?3 @ * k% f4 K) e+ I: g5 l# M2 }9 E% P
R8 s7 @/ Q6 d& I" c4 j7 Q
) R2 R4 L9 {0 b, N5 f
' A5 K3 @/ v+ } 0 W4 Q! U3 e) l6 ^7 {' o( O3 c! I
9 W- q. p# K4 v/ l2 }9 [9 S
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
3 P7 l* N) ^' W/ q# {& X9 |4 j # X& ^( d( ]9 X. }: ?! n
" I! L8 E x4 B; a0 _4 d 4 、利用tomcat 提权进服务器 9 F/ T1 q3 F( e$ H0 T2 T) S/ w! X
7 v& {3 }. f1 L! E6 | c
, b. B0 C: u: m4 l
用nessus 扫描目标ip 发现如图
) ^6 K1 c5 X& |9 B
# k2 y% X$ |& `" I
/ e; N6 Z# |7 K4 D6 W/ L; O# q
" U* R: R6 `9 y- J# R+ O! L: y3 Z! o' g
6 E) E H3 ^7 T . z2 O+ N5 q) j* ~# f" A6 ]
0 W/ ~/ h1 Q1 S' R9 v
' S/ M. `. {4 N: X2 K
8 b4 W" m9 @3 o! Q& ?; K9 \
5 ]2 m1 J7 E* ~. D* ^6 m+ [( H
! } q! v1 ~) t% v0 v 登录如图:
5 g1 x7 F! T# ~) J$ g+ v ; M# s5 L; l9 ]( |
9 |8 T8 u; H' k" Z& W6 g# K# S
9 z. d4 }8 A0 b3 z5 `! N 7 h% s5 Z# s/ f1 @/ }6 c, y
+ T9 Y9 C% ^% d
% y% d4 o8 [0 l2 F' C$ _& M+ \! v9 r7 M1 j# C8 y. C6 b% F
* _9 i2 s% }3 N2 s( M0 W* g+ o) ~
8 h5 @3 H( E( j* [: a Q8 N" r- ^. B, ]1 r
找个上传的地方上传如图: $ R7 Z# F" {2 D# T! U
% C# h) t: ?7 W# D" f" F
+ [" f/ {6 Y# p4 R5 x" ^
4 a5 H% @1 _5 x3 F 6 u0 U2 u" V3 j
" p9 P9 Z* D$ ]8 J: M# ~ . ~7 s1 Z! W5 i. P7 F ]0 {
) @. z2 Y2 m' x. }3 t9 u* m
: B* ^0 W5 Y4 ^ 7 Z! E( @* R' R, ?6 K; u8 |
6 l* Q5 d; N3 B. N& ?- S 然后就是同样执行命令提权,过程不在写了
1 N' S' F% {6 e7 B6 E; i' d ; ^1 H. a9 `( n' x1 A, J5 ~# U; ~
* i I2 x: B, O; Q; J9 U4 b 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 : } f& z* Q2 K5 N
1 P9 q3 _' `: Y/ D) g
( M* J. ^# ~8 {/ Q! L* e# r* S
首先测试ARP 嗅探如图
' }& S- ]% H/ B; a
; h+ l3 X& X7 d0 ?
, [4 E$ R1 S- }4 C
/ ]$ \, R( p( p) s. i ' z. K. E9 H4 S: u% _
7 i; {; r" j! D# L
5 |4 f3 ~9 ^, B, w* t, [
, A1 F6 M3 A( @ 9 g, S& d8 o, \+ I
g( B4 `, M9 j% O$ ~$ h
, g' t+ g6 r4 v k1 P 测试结果如下图: 6 Z' \- x: x/ f, V8 t! V
4 u! g8 S! C/ V( B+ ]
" e0 v3 {; Z1 X$ Q6 h* L
9 N& a2 a" Z! ?+ _1 s- H
a- I+ D6 }: j$ ^. V
% d U' A9 V1 ~0 F
9 O }. }0 w% I
2 F( o, E) y# S5 U: v
9 u" b2 }. k2 q& F6 b + `; T9 D( o$ U: e: q1 g
. ]9 K$ b! A+ X' \) }5 E; J/ X
哈哈嗅探到的东西少是因为这个域下才有几台机器 ! M( [- d) F- }( ~7 L7 \& q
/ x: O! Y* c1 e9 G; ]9 l/ i, V* _' W# e$ k4 I0 Y% ?/ ?& J/ t
下面我们测试DNS欺骗,如图: & q' @( g4 h4 g1 h8 w; h$ }* W7 C
9 v! ^. w* G+ h: ]( _0 H1 k
, N1 P9 l8 k4 Q
$ z; p" p+ z) L" d2 Z7 V
0 f7 @1 H7 S( x + S, ~8 C3 D" }" ]4 e) P6 M
, }9 D- A: J. f" N6 `: x) P; m* N5 y
' w- O/ u# @% ~ 5 n3 }1 v. p, R( p4 j4 W% Z, G
& j G: U, U" c2 B2 S- F" m4 T4 X& b4 X
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
, w" D) @8 R- N% Q
1 [$ r" ^9 g% `& z# U
: | v. F: D% V3 m. ? + B. Z _" t9 e" T' d: {
: p- [" H6 O, g# `* E ' P2 w' ~6 b+ j: Q, \% D
6 H& Y/ M' z9 y1 p5 L; a
9 ^3 _2 w1 c6 T# T h! t* R - [8 | K8 {, K# I( z0 s
$ y6 H/ m& b' w3 C J. A; r7 S/ H, P; @) I
(注:欺骗这个过程由于我之前录制了教程,截图教程了) $ r3 \( \) p+ l: c) A, [) `3 {
; }5 ^$ l* w% h/ i6 _5 |* t
( H1 J( l* {- h i0 }4 ~1 m6 P P
6 、成功入侵交换机
" N3 s5 z3 i& ? ! o) F2 i# D- e5 V- ^. L3 e
( U. N2 x+ h* p" i4 w0 L
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 4 J9 L/ Q8 Y0 E& K' l/ c
. x& `5 T: Q$ E. n
; d: ]4 w: L- V8 Z 我们进服务器看看,插有福吧看着面熟吧 " v, a8 X' r8 N$ x2 e9 q
4 Y. K& [5 ?1 x8 X" o2 o, m% ~* V4 w
( K1 `, F, I8 Q& @' o* P& R
Q( I) _% U5 }
+ Z% {! v% ]& }
& x/ y9 Q5 K/ S; n f3 ]! D: ~8 _* r% ~. J+ E, n
7 O1 h3 D4 V G6 I; c3 A 2 r I$ C+ q7 p. D9 l7 l* ^6 p+ J
. d+ B) h3 I. Z2 H) g
装了思科交换机管理系统,我们继续看,有两个 管理员
1 H. P& v: {7 Z; y 1 s- a' q; s' F. ~' W: _; k: ?! ]
+ S0 p; {+ h3 L" H
8 K& v/ o7 B$ F' y 4 H/ f) \- d. g8 }: x
9 |6 a( x. o y
( |3 Y" y2 ^ C! f
. W0 o7 U2 A' l& y3 M $ {6 E: t! O a, F
5 k( X* s: N; F: s d
6 D2 q& f7 R7 Z( N, Q: { 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 " F/ a; O, ?! o8 C6 H* }& N# O! ~
- h9 D5 o# r1 O1 ]' C
, z' b6 a; }* [7 K% u
1 }; O& S1 A w' j% x$ A " q0 a. Z) a' X# ], `
( T) R3 @. e; `! ]& n4 x6 u
% Z! H% F- d( P/ ~" F! a/ Z) G0 s( z: A* {
. O: G" D& M; K8 O# H6 y
! y7 t9 s5 P, X$ N0 C3 m# d+ p5 y' B
1 C5 z5 q- v n 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: # I) b( q4 v) R
% G u$ a) ]+ u# E
% ?: s! g. c" A; O/ |- ^
, l; d- p, `2 @( D/ I 1 c7 x8 h# k, ]- R! s0 q; u+ t; o
, I9 }' p2 z. }* o+ a0 O/ A, ?
* [* ]3 |; l( p) A& F1 C
' Q; \1 ]( n; B' v: k7 [+ L
) o# s3 b& E F2 D( L8 ~" C& X
2 j% Q. c: X7 O& `8 f
3 b7 G' q6 y; |8 j% K% [/ \0 X! f9 g 点config ,必须写好对应的communuity string 值,如图: ; k. h) P3 {$ a) @' e# K X% m
! H# H7 J2 x) @) G1 [( I
/ W& }# C8 ~ u$ y8 \
. N) O) G/ @' k/ x. i
7 G( N( C0 E8 N$ c0 m& q
; P3 f! |- I9 M. D9 u5 \+ h5 j
. ~& a2 R9 p9 ~$ u8 c: T' R9 ]4 Q& n3 _
3 J' J: {' J* E9 |8 R7 K- Z2 T " l) n: t# M) e* F7 O$ \
% w* Q4 v: w* r7 ^ ]
" D# \3 d$ _/ g 远程登录看看,如图:
\1 u3 u- {; {" G# Q$ r2 l , v7 V% o2 ]7 Z/ z) c7 ]
! p A" T1 R, t
. t6 a# @% v( C2 V) m1 M
. Q. l+ b8 E4 Q+ a! S
: D, T& l/ k {9 I3 u' f
6 m! @0 }6 E) }/ A: Z! M4 m& C5 ?! ?# v; p4 g9 v/ J
& F0 ?/ h1 l& ]7 C. c& K) }/ g
; u7 w n; ^8 r9 ?, y# X# S
- A. U. d6 F, b1 \
直接进入特权模式,以此类推搞了将近70 台交换机如图:
7 L. x- i1 t1 K( G7 O/ ]% G - W& o! R+ {" A7 p$ S8 C
1 O o- V4 ?# r$ V2 e% |
. Y: J6 g$ L" z3 }5 @
9 T- S6 |& {5 K5 T
! x, G2 n( k6 O6 L1 ^$ ]
; k) v0 H# m1 C" F& {
! ]7 n* r" I, T; k1 c- t" `
' `) j- s, J8 w' L- R N& P; ^5 W# J4 J
' i% {) A' R- L; ~- o9 X& A/ l& \! y0 O/ `9 ~2 j
- l6 ]1 s! d* I4 e9 X7 n; N2 m7 ]% [( n ( a# @5 b) M9 p/ k: h0 J& X
% |# r5 A+ @( p$ x) A 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
9 W! s: r$ q) \% e7 y2 ]. G/ o/ y 6 C" O' |; r* g1 Y. D
4 P' s. U$ K$ c0 U& d4 ?2 A
3 u( z8 y- w/ D7 |
9 V b1 |; c7 z/ \
' P& V1 B* P0 R" e l1 M! N7 { 1 _: }; _/ ?: s( ?
" g0 ~5 u$ N$ L6 T* B
3 V# x. |4 {# R; z! b" Q8 H: l2 E
1 }% v# w9 P5 `
2 H& K5 z+ Z" u1 ^ 确实可以读取配置文件的。 * e* b# n$ q) G7 v( F, w
2 s+ o- V w& y2 F/ J1 A# I: G! p! F, }! P8 T1 p) T& [
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
) R8 h$ j# q/ m s
1 D8 U5 Z; D4 t. X J+ z8 u3 ]
' b+ X2 ]+ u7 W
/ v, p+ }3 d& p; v# _ k- F ! K5 F# [5 s; N! F
# d0 F2 O4 k2 j, R3 V$ ?, v
7 J! M. s$ G) N( q9 M- K4 {% G7 h+ L, O5 }) X; n
5 P* Q. g5 j; O( z& e
, L% w& t; W J9 Q
& Y% v- L4 C0 D5 H4 r8 x1 i + i7 ~# D8 Q& x0 A v8 t2 x
- n% H, k" t; Q* f6 Q: M3 h Z9 b
, d" p* w' L: G! ^$ L7 a$ h- X4 p& j 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
4 y% \/ N. `0 p3 ?$ K& n
T7 S% \) F: Z( I$ @
8 g3 ]5 V* d7 Q. o2 }2 w7 `& C
" Z" m9 N$ z& r
( c$ f/ d5 N2 \! i5 a) T
. \( l' v6 x d, E2 g
1 X0 I8 r6 R) m" G0 c9 I9 ?' f7 [) x5 u6 v" Y+ p! [9 z
$ z( [5 u$ V# `! Q4 D$ `# w, C2 X
7 J0 |# q$ f* Q6 l
+ u! I8 @+ |) {& m, R% I 上图千兆交换机管理系统。 " |% x" R% R/ V# X2 U# Q9 z
" k4 b! r+ n6 f, w1 `2 t8 e. a* m4 k4 f. l
7 、入侵山石网关防火墙 0 @3 M: m- R1 I7 }) [% }
" |" ]5 X; \. S% t
- w/ B4 K5 B' f7 s9 _2 ?
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 4 g& r+ C- L9 l' q" ^# [' L
, \: S1 e; v# ]0 o- p1 |) O' P
4 K" c7 T6 F1 V9 P; Z* Q9 a
; {# G1 Y! M9 O- o2 i) t 3 Z1 M6 B( v7 o* {4 v
5 T r/ l' R t( e9 j( Q4 s
$ x9 b2 `+ X; e9 `. x8 |: l( P7 O0 _
+ `" S! h1 n$ `! t % F& c* V; M4 R& b" k P1 C8 q
/ T/ \3 B$ y# U" F3 B; N' U: ^5 L8 I! ~ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
# P* G8 ]# i3 A, q5 Q1 @ 7 O8 M. P1 w" v* ^
: T2 j! I8 ?. i ( p+ @+ f6 Q; h) e C9 P
! J6 C: [; Z$ N4 Y " Y& F! L/ E! e3 O7 W4 v" W
) m4 \+ R Z. s. w
3 t+ L ~& r) ~0 _ E# K: R # o; K4 u' f8 W
B5 A; O; C4 F5 e+ ?$ D, t; B: C: a/ k% @
然后登陆网关如图:** ) J6 a$ r* b7 o3 f0 Z' ~% g
; B }2 ^& q* f- g& _
8 W# x& h0 j( P, r' z2 A5 a
4 J1 g8 N6 M; \4 B9 v( u8 N3 K 9 i, G+ Q" J/ g v" v9 ~! R/ k
. o( y" {& ?- F' b3 }
. X, m' {% _$ j
# R! q4 K C5 L# s- g* X: i
9 Y7 \- P8 o' T- Q- k
& g* E$ ^6 |/ u7 y* _5 g7 r
7 j: W" L' S& z8 m
3 O, s1 C L4 D$ k# G . h' F% C1 p7 j' K m* G/ d2 K
+ K( m3 d- j/ |. ~3 O g
- y! m1 Z5 f H' e; M' s' s( e7 {- e$ V9 G
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
7 l% U! E8 U& A4 T4 F {* y) U& S " f1 G" C/ ?; S* `( I! Q
: Z$ y P6 Q/ x0 K+ S
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ' \9 `6 _3 s3 |2 @4 A" f5 ~
4 S1 l9 s7 N) ?: i& t: f$ c, o# {7 V0 N2 Y+ h% T& X2 @; F
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** * w9 M$ c3 Q& [& t/ l5 X
/ W# Y- U2 Q, O% z6 x4 U- O- k
+ Y$ D4 L4 _8 I6 C
, R6 c) H/ B2 ?2 r
* ?; G' i4 H/ t5 C; {3 p
0 Y% x/ V3 D4 O8 Z q' [
7 n# U1 a1 t" `7 r6 r8 w
$ `2 {" k1 H2 x* U* p) F9 m . ]% o% f& T: Z9 \' N# L+ }& `
- r' q& n I% L! Z, J7 q
" k& \( q5 ?& Q- M. @% \5 F 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 v2 G4 b7 F# \ V/ _
) F9 o. `2 Q T) ~7 o- k
9 b2 J) V8 ~, W. a / \* C7 W2 ~8 |$ q9 |; v
: V( @$ C o: |# a# s7 _
7 Q' @0 s2 Y" D* p
, D2 i3 G2 m7 F ; F1 I8 m* P# c! }9 b8 g1 ^% R$ V
9 u2 j1 W9 X: c) N! W& C- q* t |