|
. \0 ^" T% q! p- m1 {) \8 [
3 y; I- ^! }! _8 q
* \- M' [5 H, ~- r2 ^( M0 v
\; V4 N$ B6 H2 T( D) K 1、弱口令扫描提权进服务器
. O/ ^ }# W$ S$ v- |) J 3 P3 n! \" M% ~ m6 r) N% j7 b
/ e, M0 i2 e5 ] 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
R8 s/ C* c! P0 _/ B 4 C* `; n$ K& l& M/ m
x' s7 _ L+ A% q9 B \! r8 r% H) v
6 b" q8 {. m8 r
" D/ n5 A& G6 u }/ i 0 Y* Y4 ?( J, R+ `; z
1 h- l+ \8 X$ i8 v H3 p) j( E J5 O
 & E" j( s. ` S( _ M( ~- A0 H |
/ L( j1 v' D7 s3 f
; F- M# Y. i1 i6 ?% ~: {
 6 D- d1 G* f- s" j, ^
2 y) D7 i7 y4 N4 L
5 ?/ W4 @+ i0 n: m ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
: T7 s) ]. D. J, T
H2 ?$ I* |+ ?$ ^8 P- f4 X8 p8 t, x7 _! J' o
执行一下命令看看
; {" `/ A) ~6 a# ~7 b
o& n5 \# l' m f5 A3 N, C, ^' F2 l" ]
2 V9 i& O2 M5 ^6 v8 N" S . ?4 F- k4 `+ G1 a
$ H7 o% f1 P! g8 S5 V0 S |
: B/ z6 N$ A; a% w5 Q) } |
+ y6 @0 Q$ `$ f2 ]7 `7 a " T8 ~' Z9 J. w: R' ^# l3 }- N- m
. G! C, _$ ~# r5 q* k6 G9 F' |# R! g0 a1 D
开了3389 ,直接加账号进去
+ Z! F" n' b$ v& z8 f. r$ a
0 C8 q7 O1 P8 z# t9 M7 @
# z6 b+ }3 }$ D; |- j/ b1 r
" ~2 V1 r0 F9 M# j. H
8 ^( A7 b5 z6 P6 s
% U/ J# S; C- K7 h& |
+ H! G: |$ Q8 C8 I& u+ E5 ]
# D" P0 N4 o3 Y' R! }) G 
8 p& H! n! q* ^5 e5 q* h , |$ b0 y- C8 g) p$ C a7 R
% ^# k7 z, I. P
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
+ q# w! a/ ^+ S9 f! H3 W: ^ 8 \& o; X* K( R1 [! `; X
8 F% ~* k8 @' L/ S/ Z
& G* s, d0 V0 ^" L" X `
7 ?( Q+ [& n7 }4 @2 I0 W$ f6 | , \' @4 Y* Y5 ]. o2 u- ^
3 u$ Y: s7 H: N+ b5 L9 S! [+ j r8 z
# l* J) @2 W! d. [( [6 o* D. c 
3 ?" t: `! w4 ~5 C! t B ! f( j+ l9 \ _" U$ x; o
" S; j0 Y% h5 s1 k2 I
直接加个后门,
h: E2 d. O, q- a
3 T% z- h5 l& m
5 A$ w+ C& C% z1 s* O! z 
0 }4 |. w+ f: g( ~ 4 f' z8 [7 x9 d& b
" ?' a1 U& K) a: e' P3 ~
$ \* O& K. U2 D. G' F
4 q( s: A ?6 W1 E
8 K; M& V* }+ Z$ a
* X9 o, D" R' Q) z8 k# F. G) C# s
3 g3 T1 u% z( a4 q$ T: Y" G( m 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
0 V; A l# _6 {. Q, H, w * P2 ~- y' a& p$ V, @6 `
/ Q- a7 e' J2 o7 z 2 、域环境下渗透搞定域内全部机器
- u+ B- z/ j+ n ~7 ]7 K* l: s W* u 9 a) R% [2 H6 N0 m2 R
c( H+ [ D8 y9 L# I! y7 y* c 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
4 e1 S3 f5 v M9 g1 |0 n: ~
% ]$ ]* h; P+ O9 K
* b* e5 O+ l7 \8 Y! D * L U. I9 U' N1 _% Y5 @
! M9 Z" O/ E4 {+ g4 b1 o
) m, r6 b- G1 e4 ^/ n q1 `
+ g: \' m6 m4 D( a) I7 }$ ~+ R- c H3 s4 F# F: j/ P5 {4 m
 . E5 ~. ]2 N7 k X& Y' i# H3 G2 V- d
' F. |0 R) {3 f3 r+ o# n" V# O
0 {+ ]+ [: z2 |$ g5 j0 X3 Y3 d @
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 / {) N8 r% R6 y) \; r/ _, {
2 F, B' O* X1 b& z7 p* g$ G
4 Q+ O. F4 }0 f% a
/ y& h M, s9 b2 D$ E7 C4 E
. A7 q) s% K; v! ]1 I 3 l( Q S3 u' ^
. U' z' {* o2 Z/ z
) [/ N& g& T# u* K
& I4 s! n5 _6 J1 r, @ * k4 S0 i6 I1 Q0 p6 _8 ~
- n2 d% h! O3 c2 t
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
+ z$ H& G+ ^% G , R4 r! |2 A: ]+ k8 S* ]
2 b) r! t8 @" Y7 A
0 ?2 y- d. W/ t
. q- N5 F/ a7 l, l: j0 d/ ^2 u
4 z8 ~* q% N: N7 F7 B2 g
5 I/ s1 C: `; M8 f2 i* \
0 G1 v. ~, h0 |' a 
2 k) ?1 \& b5 N" ^" f5 k* R
' t/ `# M/ p2 W9 M( B0 |' B5 x
. C/ D4 W9 i2 r6 Q 利用cluster 这个用户我们远程登录一下域服务器如图:
8 F8 }# p3 X+ i l- o, O) ^, D + n2 w4 p, @* V# `
9 a6 u6 ~1 L7 a0 _/ c" d
% q6 u4 v& `5 B- K& v
. ^* f ~0 A* |% q" Y! V0 h) c
+ ~7 j7 a3 w+ \, d# e
; o7 p5 [+ ]. s/ W: v5 ^5 Q
! V% U- p9 b8 n. n- T  " t! W% A& j# [3 X2 H7 \
; B/ y1 g! T/ G% s( q$ t
) {, Z+ m }1 q5 m
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
6 }# f8 z1 ~" k
% g6 m4 n; e. J0 E
5 [( S- {2 S7 x# Q. A 8 ~. o' p, I, @) c; S
7 n$ G, ?/ |2 _
! X2 i! r8 h a5 i" C3 k
: M# K* g7 t1 w; n6 n
. C+ V3 b4 b6 f( x- {! b/ S  6 Z3 C+ J& Z7 k6 E/ p5 u1 l) m+ j
7 y* j- y3 l3 T, H9 {
5 @; K1 n' g) m- F0 m" v( V
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
2 n2 F. v! {( I! T b$ O
i* A4 S6 T+ M7 W. P# K7 i% }' x. d, V+ Y. R0 u- W6 Z
6 a o, v: v) v4 i. y5 D5 l
+ X" Z. Y6 v& V9 n. y6 |5 M. f/ k% H* f& @
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping : a3 L5 d0 O- m6 s+ t
" O8 K0 `7 F5 r3 Q) f' j `: T5 S( W7 Y
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
/ M6 y4 R# U+ H2 K, X8 `& y ' t8 _7 J' t* N, z2 k
4 R) `1 N/ P/ F4 ]+ s7 u
, l% l( T1 L/ B, {
& }2 p5 ?5 I: I& t5 N) b, A
% ]3 d1 Y- u7 S( Z: Z; e; b7 D , Q7 N5 ~4 u \! ]# q
- T, L" n# }) V& ?6 a: P! f* S
- X. D5 ?4 D- g0 M( t9 i
! a0 z; Z2 R1 @7 X \, P" j+ r- i
0 A. u6 ~ d5 D! M 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
. b5 P9 Y8 Y( `6 s/ N4 |8 R
5 t; i P8 d6 }# Q0 p
9 y- n! D8 K9 s3 \3 U) W) P, M 9 n4 v+ U$ \. O( J
/ x# h' W7 Q8 ]2 W
5 D" B( z; o2 S7 y# E) a0 f; N
# X) w/ Z5 `# q8 \8 H% _
! l O. D# O/ k( d8 r  / t; ~& t% N% ?) L M" T2 x* v- S
- J3 X) i. N" l* `* x3 b9 Q" E, b' c& L
利用ms08067 成功溢出服务器,成功登录服务器 1 x5 o3 ]& c- l$ D# |
( R+ e/ p+ U( d3 W
8 g* j0 v1 a" Z8 w @: ~; K
) z y+ \7 G }
& a( F7 \1 x" w/ w* C
! {) y4 [; K3 S1 M$ i% S
2 x0 D. n2 H' A
3 M" N$ |6 l9 Z' w+ l) a 
1 l3 V4 R7 r( F, S4 H" V! i6 g" j
6 h t7 ?4 }& S
. Z8 X" t5 x; [+ d4 u 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 3 `( G6 K1 {* U9 D% e( A; f
9 |$ X9 g0 D: d9 t- \' |7 P
7 ]; d# ~' j& E+ w
这样两个域我们就全部拿下了。 , L% u8 ^/ Q/ G( Q8 Z& X
. A: J+ W E/ [
5 F5 t5 h8 J# ?4 p0 _) Q 3 、通过oa 系统入侵进服务器
, J( \9 p5 F9 w% M" N
# u% t/ U" g1 A! b% B# g' J; @% q" P& O- m
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ! ~$ x* o: _( r+ s8 N# P B7 E8 O
7 z; C# G! i5 i( ]6 u
* C4 e; b, X0 D$ j. `( c, v7 n ( Z8 J U/ {" |& Z6 \ W
# P) _) h8 M" l! z
1 D% { L/ h* ^4 T% F. s# |' v
+ t8 \3 c3 S8 C$ a; e. x' H8 R! o$ e5 W& F# d
 # {4 l! w6 Z& }: } \
( S- ^; H9 \$ s8 \& E2 e8 M0 o- V2 x5 ]5 h6 Y5 m
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
+ C5 j3 \" {9 v
+ ?7 O2 C, Z+ l- y _* o3 h: V0 |0 W3 ]
9 W7 x: k" s, a/ N+ A& C* B
6 J' P; D- L: }/ o7 E$ @. x 1 S. |2 Z& W9 X" W! z( ?6 j) b3 b
. |3 \! n" }1 J0 \5 Y! [$ C) X6 }+ I9 V4 J9 Q5 g P6 b% P
 8 [3 ?$ I) D1 s a) I+ a$ m
/ E3 F$ {" Z+ U7 c% N1 w
6 r* k; N `7 q$ h# s3 d" n! o" Y( E
填写错误标记开扫结果如下 % w } Z. J7 a7 p* X2 x/ y. G
- h* i" Z- U! U7 K2 U
% Z# A9 s/ {+ N$ T3 F # C/ f8 O* G1 q- j
* `# s1 P6 J0 q # V4 R, J) \4 M1 w7 b/ l9 p
- k) J/ e3 N$ E; g& T
. f' c6 D' g* L( R) ?" q' S 
( Z4 X% _1 l; N" h$ q * S: ~* x* p3 m" l3 [5 K3 l6 p
, i! u' R2 @5 b/ s# Z" E4 p
下面我们进OA / Y( w% d+ E; Q
# m# }. |4 e5 a' s# }8 J- V7 f& v ~) p4 {5 m' I" U6 E O
) D0 C4 j e2 d/ m2 ^
{& I' ^0 P: I0 a( n7 f
) U2 ]- f( s W- }& Z: @; q$ w 2 G9 r0 d2 g6 ^2 Y" t/ e* ^
4 {/ y9 L+ g7 q4 {8 o5 i& I  " W0 U# f9 x3 o0 F& ~+ V
2 \ C0 W( j! f+ g8 ^7 F
4 C- S7 ^& H2 `; } 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 : u1 u) z" C+ J. a% I' v
1 L0 a P! I' H
8 c: {" V, R2 B, _2 S; j- C+ f1 H
' p- M* [) G5 j" r5 N
2 `9 z6 Y G4 O- q. s + P" p3 u0 E t6 r. a5 B& [
; {; v) G2 O* L) G3 T
! p/ o; G! M3 ?  2 i3 U& R/ ^* c0 d
9 W% `' h2 C7 P* v1 ~6 C: J4 [7 R- }
 * Z( L& t: m- P0 R
% Y1 h2 X/ h7 k) H2 m! Y' f# ]4 \4 {" e7 u' {
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 7 d/ C0 f4 w# l- k0 D3 t6 h
" t/ e4 K% J. t# B+ L; x+ |
; q' D+ U4 n. N3 P7 Z6 A4 O/ l: \ 4 、利用tomcat 提权进服务器
0 l2 ?" i' k: J; g) X # u2 |2 l& i3 K6 G' `) }) E
, n% [: V3 }# A4 A3 x8 m
用nessus 扫描目标ip 发现如图
/ n4 r8 X" P7 u$ A! G$ \
4 P) F. U0 f- J4 Q' r( M
' j7 B5 u2 z% s! z9 K* y
+ u3 M8 K5 N% S, W, u
; z% Z& x, g+ k5 Y1 b+ n1 Y 1 d/ i0 _$ o& b! B9 ?
5 {' R- S" j: N9 y; D ~9 l
5 O+ e; u. n0 |! `3 ]  ) [* j6 H1 g0 F- [
. V- h% c' c- ]! p9 U* I# {
2 K. v, F+ d2 L$ V( }$ v 登录如图: 2 ?0 Q! F" U: G
6 S; P0 W, G, {8 Y: ~; m: \& s1 M
: x7 o$ a8 j6 p
: y, {0 U' Q/ }8 v2 Y& ]4 F
( I; A0 m6 Q+ o: C
( D0 Z4 q4 w U4 f8 y5 ^0 w
! u% ~( e8 R$ p( a1 ]1 d3 Z- c* ?) W8 s0 m7 M3 o' w( o) k J
" S4 L7 }" U( D! q0 ?$ x* z7 { * t! \8 h2 W# P" l
* O5 y q$ U6 M' U- w 找个上传的地方上传如图:
3 {) X) {" Q7 Y' A4 N) b, X7 C " u K5 R2 ?3 m# h
7 }1 v* c* r4 n/ r
2 s+ K; E; e+ }! c H$ U
O* F# p3 V3 b2 ?% s/ v# t
: D+ ]- H. f* q% ~8 [0 A
( r/ v5 E: X9 x F' I! A3 c
, z; M. G1 l; ?  $ {- s- ?' ^) {5 ^6 r0 z
G. u$ A; @. O4 f8 \. S4 t
1 d( j3 [. ^+ f& ]: W% y5 ]% B 然后就是同样执行命令提权,过程不在写了 3 E. b# t' M6 V$ d' h
9 f$ i8 Y0 o% g% A. {6 V9 x+ U+ S. L" Q, G& \& `/ p9 k
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
: g5 q/ B9 m, f! }/ L
3 u- {1 a# R# F; i: x/ d: K! Y( s
. w- Z9 K+ F0 L! F 首先测试ARP 嗅探如图
) i. k5 {& O1 z0 {3 p : x( M/ {6 p% e4 [& g
* q4 Q) v3 ~' P& T6 S0 _0 ~
8 C& z0 E8 ` R* r
; Y& r' Y9 y! \6 H: h& |/ i 1 @6 x! u( T& y( D/ Y; O ]
4 Q7 O1 g. Z n L6 L
2 r3 q7 n3 n; _, k% Q7 H  " D' J# l' R& O0 J# t& m
# Y$ z% ^0 e& D
3 V1 R" h: Y- I 测试结果如下图: $ K4 n3 v: P7 ^9 y9 i
# d( `% d7 @! ^; R" d7 K$ b0 n5 \$ n- Y
5 s7 L$ n( H6 W& D
% }8 K! o& R# R# f) Y# k0 M8 ?
7 P$ t8 U& K, o( R 8 `3 h0 N1 N5 N$ u; Y5 v3 }, ]
8 ~0 n: |" G4 j0 E 
6 c, g$ T9 j3 o2 x4 Q/ U9 j' n6 ` % T: z g, u$ p4 }# n
4 E! B3 _. u% F1 [9 c3 O, z: v* y 哈哈嗅探到的东西少是因为这个域下才有几台机器 ) N8 U! f- B6 L U0 p% w
* t+ Q, C# S+ ^- Z/ [, z" ?. M- u. z* @- Q5 b) \. M
下面我们测试DNS欺骗,如图: # T8 L+ r# }. x5 X- Z& M" B
) H4 \: ^+ x- `; K3 V- [- i0 ]) \
- e4 t: X; K( d+ ?% X
0 p% g! L. m" z5 [! A) H
' C/ G; T* W' J/ ]
z ]. K! \6 V: v) J) ^ 1 n% Z% {4 r- Q) l, N7 @+ ^
& s+ u0 H' {/ K2 l. X  - n$ _+ b) p% n8 ?2 U
6 k- L: {+ t# u/ m
3 E$ @* U) n+ l. y8 S 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 2 Y; O8 M1 a# o$ Q0 s0 X! s
8 l6 E! C, W! h( b9 t3 }
2 r3 f( T9 N) W9 r* G9 m7 h) L) x
4 D1 t: D, Z7 w6 E" e' U$ @+ |# L
& q% J. {6 q5 ]* ^4 r! _
& @! B, I: @0 i
- `6 p/ G- o4 I( y- e4 p5 ]
9 u9 w( k7 B0 l7 ?0 Q, J! Z- w  1 h+ L1 c, \7 d/ C/ K
4 Y M6 u5 e s* a- z. |
1 [1 \1 t, Q5 Y (注:欺骗这个过程由于我之前录制了教程,截图教程了)
5 P3 w+ g) H! w1 O ! ~( m3 ~6 C6 H6 l: p6 j
7 m4 ]- j% b, t+ K 6 、成功入侵交换机 ( a9 d+ W' r2 r8 O
; k: {% @% W0 Q7 v6 Y6 G( o
7 N* q& P5 x1 p
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 / F$ H. O4 L$ q! V6 [5 E! Z4 ^3 j
8 y- g7 v3 B3 A9 G; |1 i
. t% I' X1 W9 b/ O
我们进服务器看看,插有福吧看着面熟吧 , r7 l9 t4 u S# h1 R1 g
6 P' i0 \) V0 ^% Y% u& s2 Q! G! D% b
5 w4 z. c, G5 { + I% C `/ w8 q; s/ [& `
* Z6 m) C/ Y7 {7 w( u; c( j' p2 T
4 U6 M* h: D, [
/ ]$ Z" T7 M, @4 B% H* d, e( h( b0 [, f' I6 c. w$ U; p; e
 4 Z+ e; Y/ W* b% o/ m6 {* `$ [
8 ?* H( I5 J; p8 @7 v- h
+ q- {' p q1 L& \
装了思科交换机管理系统,我们继续看,有两个 管理员 ; K4 B( `2 y: Z- a
2 f, s4 e8 W' i
{7 J, m( @$ O" u* h , T2 T6 s- h7 t& }0 h
, X i! R b- z( f) m
* ~1 w* [* r$ `- ? 1 x) {6 V" p. h3 {7 y
$ i( @9 O. ?& m2 p* H1 g
 * G$ i2 e. p4 Q5 @: \4 q( A
& o, u2 J1 q+ J2 x4 e v V( _" \2 W5 Q7 A+ B* C' _
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
9 I9 b- s$ x* v/ p
[8 R" ~0 z' Y& ^( e* i; }
, g4 Z. E# G6 \# ? 1 c' r; J1 i/ [, {4 f$ I: g
7 m/ R& G" T1 D8 L& G$ V
& Q3 `5 g6 `+ Y3 q* n( d" t0 V
( t0 T, W- V) {9 T0 l8 S/ O0 n' U. q$ r; I, U+ \
" t9 {; l6 s- Y* q! H% u & T9 \, l6 P9 y# x4 j0 G) a
: Y0 v8 \# {* T9 p0 d 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: : y7 f9 ?2 B% \7 x4 s! h7 ^
' G4 {. R! c! \, N+ U& ?
3 ]" o" t7 b& k' b
$ i5 f$ U: q* b2 S# x( r# b$ c; P3 N
7 M! a6 D; Q' U& f! x
7 C6 c. q% o H, \" k8 {
8 u# \- o* A! N+ p# E$ v; |. c9 a) s5 b
 - W, O. r9 B* ?6 d* k0 M4 G" B" z
8 r0 X- [ F5 ?- x. ]9 w" k$ Z2 A
9 H* E) z/ W ? W6 e( a/ X 点config ,必须写好对应的communuity string 值,如图: " L+ _* y3 J" l' V* c
1 {# O; `6 m# b- K
! i& D+ n9 n7 ?! P$ [6 o9 c $ V7 ]* m r0 n5 R3 Z
/ h! A, F& n* u- b' f2 d 9 J. K% W- n5 Q% `- N
9 h* f% \' W# o' n/ J+ F9 {
, t, U" N0 ?$ K7 _5 c' l0 Y
 5 q7 g% m) Z. V8 U8 v
; `6 Z/ X) r6 X" }% [/ {
5 E, q! R$ }, n* r5 b 远程登录看看,如图:
7 q3 u5 o) H. R& _2 }. K A" {7 }
$ h2 k3 \/ A. q( ~8 Y5 b% q2 \1 J f, r) W- {
! J6 Y% Y8 n% q' n3 q8 w! q% y" n
7 E x/ X1 }9 U$ t' h: _/ i
& L0 l7 x& I2 [6 X
" c# Z; G7 O5 |
- ^# K8 u" x* `& W
; L7 v/ z7 }0 f2 [1 h2 R* W; u2 Y % j) l1 P( _& E7 \; A( r" z
+ ], E( _. X. l, m% _; u* L
直接进入特权模式,以此类推搞了将近70 台交换机如图:
+ Q2 z, Q5 O# L* \7 O* j. I1 n4 X
, r' h9 c b& |1 l0 I3 i0 \2 J; ]8 ^
' i5 B( e) v* ?
& e/ p- b$ g' {
( E' s* o( a4 M6 E4 r/ G* a7 b i/ M- @
( v& U! h( V& e/ Q! x" Z# q
/ c- K) ]5 f7 B' \6 R 
( c, j3 N0 Z2 W6 d7 H7 a/ m j* a6 ~, J1 q0 s% v- j
+ F2 b$ `* \6 }0 s# w
& q4 b) z X- z5 Q * o0 m2 g' c! U, _* h+ \
3 u5 K1 e x0 v7 w: j F 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** , @# `! ~* [ q$ M* z
" f( e0 Z6 l, p9 q0 Y
0 Y! o( U3 o7 H+ V8 f8 O/ y2 ^$ V / ~& E# Y3 L" S- D
% o2 b C% m2 a! h$ y# I1 ?
' T4 e! p3 k0 M0 [" H
2 w. X# c$ d: r0 m: o2 J4 `9 Q5 X: k, ~4 H
3 @* O" L" C* e, ?* V( }
x1 z3 e' }3 \8 Z: r& p) A" N5 v4 j: o+ Z% L8 X9 D
确实可以读取配置文件的。 , ]1 w# k- q, B
- D! r2 m3 F. e: `- F; a; T" M5 l0 d; U# |& z5 w# u" ^
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
: Y/ K$ C* t2 W
" V! |! }! R) c! _3 e- u {$ J) a% V6 `3 o' L
, L7 q( M4 m( u- P1 A
& q4 o8 N' y* v$ w
w. \4 q- j# a6 | ; e5 a9 @ }; d* e6 P" u$ _& O% d
* p' D6 }* J* W1 b8 f 
& E6 J. |! Y. j) @! [; W3 [
( Y3 @8 L# v. D6 i% B/ |
7 q8 b) v/ f7 P( _2 b3 Q, \) l2 ? 
. s- @5 M) [* o- X+ z% {' N) h $ P3 {" X3 n" O5 B! w$ c- u. t
% g! A* E* R' W& P- p$ B 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
/ i/ E Y3 u- R - d' ?1 m- V$ S( l
& o- F- L: h( M# P
L2 g. x% J9 a
4 [9 x3 G+ K7 R/ ^1 Y
7 h4 o: G, j0 k d% z5 J / V& f* P( P3 W/ Z! ~7 a0 Y
- q9 _) n6 ^4 Y' _ 
6 k1 Y: P/ |6 J ( k% N. L+ k5 F, R" _0 T7 s3 L0 C$ n9 ^
5 s/ C* `2 R9 | 上图千兆交换机管理系统。 ( J& w2 M- c( v1 j
% z/ W1 {7 s3 K5 z+ e
q' y7 o' A8 W6 x$ y2 A4 }6 I# e
7 、入侵山石网关防火墙
5 [. f3 `( @* W$ H" j4 w1 m 9 B# z! H) k: i. r. a2 G
3 H: r8 \6 \' O ? 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ( o6 |$ N1 X7 `. X/ X+ F; u
% y: z" V* E3 j2 v
4 q# N$ o+ l. h6 E
; _ Y6 ]+ @$ D* l" D6 \
7 t' z! D) b8 l9 X$ ~- }/ @% d( D
, G1 @/ B3 t, i. H9 i* n
* q/ ^* {: D- L) }! t: \9 u/ m, C h2 b; I$ N' \
6 P9 V) E" g, Q m' o# y- |
# B7 m. O0 g7 K ]3 b, k/ K
* p3 B0 m5 i0 a 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 3 T3 M |. S4 | R; j' H3 y" O! R
# g2 _6 s. H& w$ K7 E4 G+ j9 @2 `; |. [" H
% G: p% t; m: [' w7 D4 }9 m/ Y2 `
& p, Q3 l# G7 u" m. T0 J
$ { h6 A/ }# D4 ?% r+ N; h% {' ` 0 [, D1 i1 A- b$ o, H8 A
5 G) I; t1 N. m: G% _5 M 
/ d* I- e- {+ ^' U# j _
2 z: \* U0 r2 O" j/ C9 |" V( _; r: h1 s. X" ~# c
然后登陆网关如图:** ' j E, d1 ~9 P
9 ~% \9 u+ P' |; J1 s
0 s: K7 r: n: I* D- I% m
6 l9 t+ j7 Y% M3 F- H! [3 a5 V s1 m
/ U" H! j/ [; c6 ?
: M, j1 g8 c7 Y: l/ P 9 V$ a+ P1 f ^! P
5 X$ n% O/ V- B5 h- O0 T% d 
e4 Z3 U& U# S, X
, I4 P1 d+ M& N" h6 N, h' u; U
0 [, D; h; }0 E0 `0 }+ w
2 z, U5 C% [: u8 @
" n) _; X1 O8 q# J . Y* B5 a: M; j1 S8 I' f! y( c( v$ C
% G+ [# B0 P, t4 {3 ]
V4 A' A( l& m9 D6 L! P* h 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 8 y/ q* K5 W- U
6 i; ~: N) R# }5 N; W0 j- c
9 R% m3 j( M7 n( H3 ~; g; F" I: ~
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
) h% I7 r- q/ P6 ~$ }/ ]0 N, W
( n/ o6 V8 p9 l' _1 U9 t7 t) t' E$ _0 i* u( \
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 6 x9 K- h/ U, s
: ^& N1 h5 {( w1 w% w2 @5 E m9 K) }3 f0 l g* x
% y) e, b* D' S9 X4 X( o
( |: ~! |* B' G/ P$ [0 V- L2 {
; S& z: Y$ L& O
- H9 J( L+ m0 S. R' G2 b% A7 p4 G+ m: W+ r9 r/ R* A% [; w
 % Z# `9 V0 _7 W1 q& Q3 B
- F" Z" M& H! r0 R: O! R0 }' o$ w" h; U! S* J6 I
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
: w" m# @9 K$ }5 r, b0 q: u$ S 8 _7 B- f; z! a6 }
2 q/ X/ L3 S6 v5 X- C6 O
1 v l: l+ D0 g4 N* T, T! a" W
3 A( `: R) E6 |2 }) N
1 r8 t( X3 } _# H* s/ n8 @
1 C3 p( \5 A& y1 h* z2 c
; |; f: l5 Q! T& K* ~* D0 ~; D7 y5 S5 h/ ^) R: q
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对