, X6 @9 X) Z" B 4 ]; I9 u* Z4 o' O; q* a
. ]( U3 B( O: V I& C6 i
1 p- Z; I9 j0 N8 _
1 、弱口令扫描提权进服务器 ! l8 W7 z: J8 e; I6 G6 i$ b4 y9 M
* O1 O* |5 }! F5 s/ \6 Z
" B1 v9 I+ I0 Q D 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
8 Z) b4 R. q8 }( I& L* S( W/ W' z8 H
. e! Y+ q8 U2 Y/ e
7 x: l7 \& w9 ~
" l3 a' ]' m! ]1 ]% |& n+ `- j) I
, S1 c5 x/ F) t6 |; s& z$ x# ?" u, V
( E3 ~6 @* F1 ~" N% k
! f- n- Y6 j; B Y3 j( B6 |/ U# d
% w; i, ~) s/ u9 L
: Z2 r m# P, f8 {
9 c* f% a3 r; U f
, P$ a/ }6 j6 P
7 g8 J/ S! c# V$ J2 V+ [1 }
3 ^8 p Z6 P7 f3 r8 a' y: s
; S5 R- I- n% V: G. A6 G
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行
! S( a- y0 z, J1 a
+ W: x" d+ P2 i( G' _2 s$ ^ l
1 e w- S! K7 B1 a ~
执行一下命令看看 ( m7 f' m( [ R
9 ?4 J& m( l& P$ s8 A0 r
, e9 R- G6 ~& T5 `0 |/ y5 j" K
3 D/ ?% s# W7 n
! _- ^9 p* w( I2 V. {9 q
: Q. u8 p: t1 G* a. k) n
1 ?/ }) h4 l& T
* P) O$ s- d8 i b, u
, U0 A6 ?3 S4 T ? N
. y: d# O" k0 r1 i
; b' g, Q$ P& p3 R% K 开了 3389 ,直接加账号进去 ) b: z6 p2 V" t( @! U: G6 M
2 p _4 t% ?# c1 K
- E4 w6 C4 s% _4 ^6 }. P% t x) C
, r+ J' V6 R J! U- I/ d$ c J
# L5 Z# i7 ]+ r$ ?4 ^% p; I/ x2 l ( B* M2 t# T7 I0 H9 B, B
# e3 O! I8 H# i, q' p4 _
, D% O% y! y3 C7 N; p; O $ ~$ `: ~6 S# ~
; l& D- B4 W( R5 r2 Q
/ J. L% a: A- ~7 @% D
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
6 P) d2 L- w( \5 ~5 d, _; \
$ N" K2 M C: b) J % Z! \1 W: n' K: N
7 b3 ?4 b/ o: Y( o* A$ z+ @) F6 q d% F/ j4 S" G' @0 Q
/ f" D8 }! x& M) z2 z
0 u4 W! d% @8 V) R3 J1 \- S1 c
! F+ U( a: R) z! [& Y' T
1 y/ V6 i. r, z1 d% f& [3 D
: G3 g5 D2 `7 q
+ B' j( H2 g% W# v 直接加个后门, 4 F( T0 q/ H- H7 d4 m% v- O- e
$ G2 M n5 j6 a6 _. V 0 G# T8 {, D" x5 c% K% g8 Q8 U4 |! K
7 A* O$ g- J! G2 f
2 k& t+ D, ~- ~# y9 l9 ]. B
. A. S# n7 J# H5 Q8 ?
4 w. x9 Y( h* g5 }! Q: I: }( {0 \
9 l4 k% U2 H% s5 M; @
% x5 H k$ z( E' K0 b
8 v4 B+ M d6 S2 D4 n C
6 M$ s c" e }- ^. @2 o" d" @
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
! F+ \4 a6 G/ y4 o
) [* z: Q- S6 w ! d- L1 m, Q. p) S% b- U3 w% @
2 、域环境下渗透 搞定域内全部机器 ' n% P+ M: S4 m: e( }
+ } q5 d/ z2 A2 j) B
& R% [' U# C: S 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
0 e/ ^2 s7 b- p; \1 G
8 C# x" ^" O6 C R' P# |
' ~' z3 _. J# H3 B' ]1 N! m
+ j) T# J1 o' ^: b. h. r7 ]" {4 m% T3 z. m 2 Q6 u5 A9 N: J. v2 ?& J/ i
* m; s. e+ ~# H3 ]0 Q9 o
/ {' m; y7 ~9 v: g2 } 4 z }. W! S( z2 K j
, M, A' v- u$ X/ E2 Y& f
7 x. G3 T& l5 i: t d& q- O
& c; |6 R/ q: k$ t$ E+ n' U/ q
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
' N3 l1 H' `0 @% l7 C
# g) m6 w1 v! { x
" r1 N$ M- m8 s, N, m. ]5 f 5 Y! r5 |6 O# x5 g! V; ?
! e$ ~0 l1 f2 n( q& j) E) A( Q5 Q. Z0 f % o- K- y/ s" x: ^8 Q$ A; Z
. X( T* [- H0 [+ g
2 y) a" p5 R4 i; n) h6 J# J
+ q% C& G& _9 O3 h
7 G) G0 J, l5 `. ~2 _ * M: d$ O: X0 N
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 6 [1 ^# ^% D- x% V+ `. C
: g5 e# q0 d: M7 c: j1 {
. N' s2 A# x0 O$ V5 r$ ]' w
2 E7 H+ I& ~9 [( k. |0 `
% \' B. x* @( t5 F- R' y% t p
1 j5 U* C Y* y, _9 a
_' P, h% t& y. K
8 F6 d. A; Z( c/ d9 t" p- f, e & c" t3 O" H7 h3 r0 C0 ]
' E' }- V, Z9 y
+ }: F5 Q' z+ s: D2 y
利用 cluster 这个用户我们远程登录一下域服务器如图:
* w9 T/ i _' }/ T% _
: _% F, k* E' ?5 ^0 n& O3 S
/ h0 e4 v9 A1 F) p7 a2 e $ u, M# z& n" f" D4 W- Q% P
: K. x3 V: i/ m
+ Z7 Y% l3 k# N1 R% w
! D3 p4 L- e3 H- ?3 n* e0 t
+ }+ t7 h6 A- M6 R4 p+ E) S% {+ ] ' E% {: B# G# i6 n
& g) a2 }, {1 G0 S. ]4 p1 ^
% x% r* K4 M1 n# ^# x 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: - \. d% ?. J; |7 u4 _
v; c7 }- X9 q5 h6 r) m% e# | 8 J c0 a9 b. ]$ O7 Q3 x' R# D
2 t* e0 b7 Z8 D8 ~% \0 V% y; E, E 3 b: E' _5 ^" K
( Q" Y$ `. w/ L1 j$ E( s/ C
0 c* t5 ]) B4 b0 X X; d7 I . r* m9 K( h1 M+ ?: b1 ]" e+ e
; m7 j) ?, e& [. U) Z4 V
! L1 z- P' |; W% s9 W& }$ Y6 q+ b
8 A+ R1 i( V. A 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: $ M6 F+ `' O" z* z j
, k/ }0 \) A; u4 R, \
5 h* w/ o2 o; j1 G0 c) y6 N + X2 g" w4 d9 f1 B5 z( t Q" B
/ W' M0 H( p+ o8 A& n/ [ $ p# p$ p& l+ u+ |6 c& r0 k9 M3 b
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
; n5 k/ x/ T) [7 x
0 {0 y# N* |9 Y
3 _1 g+ t: K# P* c, m" y1 ^) Q9 s blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 3 W% ? d9 l) Z) [3 I
3 X2 C: ]3 m! `! c
- l0 P7 A3 e" ]+ H 4 ^+ A! v* e6 A' ]7 c
' @6 g) k! e1 L# E+ s2 `! s( P) {) |
4 ^* s. u& h% [0 [6 W
& }- y; T: N3 p5 N7 f
5 s8 b0 R6 j* t2 o2 x; z
O" Q( ?+ X, t H+ I0 X
/ m. ?+ x W6 N6 [ 6 g, g7 j: W" O% w
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
3 J C; y; T; l" B) t# w+ r9 \" b
4 g9 F/ ~4 ^' h2 e: [: m- G9 R8 }
+ l0 j1 |0 L7 X8 C/ d1 f
0 V7 w% _( e. ^+ _$ X _
$ M6 K/ o% g1 V- M2 S
8 V' A6 f7 m: e" M) G# g7 y& ?
# b0 K: Y& ]' L9 r
8 V7 I' m3 ?$ M8 F3 V9 ] & G/ N) u& X. l5 r8 f1 ^
( C2 Z( B# R" p/ E" l W4 K
! v5 o' Y( Z, C6 C2 m+ e; h
利用 ms08067 成功溢出服务器,成功登录服务器 ' N8 ~: z) j! n& I- ?. C
4 T! |0 u O5 J8 k8 {
# X2 {9 N/ n; F9 B8 o% r, K) X " y+ N$ s3 n) T; m5 A
5 h L8 y: P6 y+ N% T- Q 4 o6 s. K& f' t7 K; ?
+ j% @1 M, o2 O, p3 K+ ~
9 i5 u9 q/ R* g' }, M3 b9 G
" G. h" F8 v* f
1 j! A' g# k: ]" _7 g
: f9 i! r, A" b ~ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen ( v* x3 \$ i6 f# M& @- s
5 q" G+ V$ c8 S1 r
+ x! j7 A' S# `) Z. r% p" j# G3 I 这样两个域我们就全部拿下了。 ' }* g$ D8 v/ N& V! i( h, `
1 h: I4 \0 e% b, N/ S8 R
6 u) F& \4 W0 n0 v/ m 3 、通过 oa 系统入侵 进服务器 6 [0 l6 o" t0 _5 f. o
* M5 N0 f; h8 X
6 K& }3 a5 U% Q* t Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 ! A5 _3 f2 L5 x6 h. C
; Q0 O! ?- ~' I9 m $ K1 i) g- e) S |, B
% M, u# f6 a F2 U . u1 Y: W1 `" z
4 {- a8 T& L) u2 s. n
+ Q# R* v" q& W" Y0 F
/ T" `. j% e/ e i
$ r% c+ e' ?2 |
/ U. f/ _% f( P7 Z9 D9 w# h
+ |- E& y6 d9 i% C. O 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , B% }$ x! X" l( ~* b" A
d7 i8 @( t1 u
( T' b' b U) l. ?) Z+ ~7 X! { / u2 E9 W7 M: N, h4 H
& u2 p% P4 ]0 i& c1 w' {7 ^* S8 W
" t; |" f) T- i# }" t' k+ U
% u8 J/ ?) T- F1 u3 e: W% [" K9 [ % L g p3 c6 ?* T
) j$ Q& V6 R& E+ x! u) Z
( p7 j1 Q! o8 T
% j3 w! p" C; h% i4 a. ^& o* j 填写错误标记开扫结果如下
6 y4 Z$ R! W: @0 B+ z
; B4 ^0 m9 r1 ~! f$ ~* U# I
4 {6 o# k% X' Y4 _8 d2 Q# }
" t F- v1 R( a: p" x9 s+ l. ~ ; F" L: Q) O# U8 U& b( n
& m9 |5 y( U7 J7 }5 `* O3 J
1 v9 K7 `# | ?$ [% |$ ~8 P6 c% t
* p" H3 X& {; |0 D# o
" w. N V; E# i/ x; X
* Z& [- |. n0 Y5 l+ n5 B
3 K8 w B( ]; z! G9 { 下面我们进 OA
- `: p5 W" Y1 b' h6 G& A+ S. A
+ ~" ~$ q5 H1 |
: _# t& f0 R% S
; O/ R0 ]* A, r% V6 H0 f/ T % u* T! ^0 x O; P/ `0 w7 s2 G1 q4 a
- e" p( Y% c/ L1 `
- @1 j7 _8 s4 ]! V0 `
5 q2 l5 B! }4 z$ e/ [- d
$ n; k& Q( |3 q
% P( n# _, D1 {5 Y v7 j$ W 3 o. A, f0 U+ G, f
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
; o' T2 x/ O. N8 ~) F. Y
# t# p" h" |. g( O
3 w( h0 G; y( a
$ i" r% u; }$ N: \ * i O& G' o w Q4 R! W9 x
, `# E) _' e- _6 l+ j8 ?3 T m
1 L' y" A) |6 X5 W! p % Q7 E2 e# h$ I; e
$ I R7 F) J, R6 Z
9 a3 U0 R$ Z4 }/ B4 Q: V
" o( n, v7 p% o# H$ a
) r O: U/ f+ T: Z; W' ?
+ r0 h# o7 F3 c4 A! z. t
, ~7 |1 p3 p' |% b5 W 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
4 n/ U2 R; k2 j$ |6 @: h
4 s' w( k: T# X9 q- J
" Q- K) d! S8 }' d1 `9 u 4 、利用 tomcat 提权进服务器 : {" E$ F* [; d3 G5 R1 Q
: u$ X' O0 o2 T
$ M$ W6 N: U. I 用 nessus 扫描目标 ip 发现如图 2 b# g+ q! G3 y4 W% w, _
: P0 ~; \' a) J8 i7 w' l) P
( U( ?, a% j; @" p/ e
, J; ]6 G, r; k# T+ |0 y4 U5 z 6 d, U- ~/ t" c2 }$ k2 ~) {9 u0 }9 v
: o3 M9 }+ k. l& D; E! X
0 B8 ~) E% I% D' G
: e8 t' O: ~7 v- H$ H3 |4 b + B6 W6 M# Y, q
& ~+ w$ c- [2 X& o" z- W 1 a8 T1 ~& M2 K7 [/ g% b3 x
登录如图:
- i+ O$ A1 \: R; N! n D/ k
) G6 N8 Y, a5 ]. z4 V! {
9 W4 F8 _) U1 i! ^7 }; N
/ d5 \; B- [, ~: _/ T, L
% _3 R# W6 U, F8 s 6 I3 {; h; E( t) w$ y7 l: M& S
# t& c+ a8 y) t7 ` q2 H, X t, P5 h2 `
: B8 I! M/ b% ~, E) H6 b# E3 I
; P4 w; y9 S p+ ^ : U9 D6 |; k5 R' m5 m7 I V
找个上传的地方上传如图:
" \1 t) w( |- I2 q' M. d g- T4 u. f
# s% V3 Z4 e* d$ i3 T* b. A) D6 d
3 f. B7 i: M; z4 V5 Y! u, q( F$ n + R' |% O2 b2 R7 i
8 N# o( h! D! ~; | }0 M - d* r/ y$ I. Y: @4 c, d. ?
( m1 W/ q# _0 Z/ v0 A
1 Z6 O! K' p* H4 o) D
6 P& f, {( M, ^2 S4 x
7 [& `# U1 `, S: I$ [; F( T' `( X
6 b0 `5 k0 w" Z& ]( }1 w 然后就是同样执行命令提权,过程不在写了
$ o$ d/ f# x0 @/ n& k) i
8 y# U# }9 @6 @) l& e6 Q
+ X# O3 t `# j" g& I4 u1 M. _ 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 ! h( v3 b& D& k7 I: G" ]0 T+ t* T
- l! _0 Q, O0 k1 o5 \- b0 }: Z) m9 N
0 P+ T) y7 u: t5 C& C" Q
首先测试 ARP 嗅探如图 5 R" _# Q5 t5 h3 K. l! g2 D
3 V. Z; j) D$ C, G* {
- @9 n% u7 H5 c& B" x. W & K3 _4 b$ t4 e+ X7 F' |* e
+ i3 a" ^1 C0 _# ~4 M/ s' G
( ]* K, E& k& G; R. S' i; y, ?
5 |1 n }& ]' F2 G, }0 @" x- b6 Y$ P % N) D, s: [5 d7 d C, B
/ j: I9 D, H D; A
7 Q7 L$ _. o. P: ` h
2 e. S! X; @! k4 ~* W4 u0 P
测试结果如下图:
) r" W6 h9 x3 |) O3 q6 y
+ \7 G& G8 c+ z& q' @* u
5 o! z4 } z% t8 t3 g$ j' s/ h* w/ W' M
4 `' D9 r) }- I N. D& i( S ]
* K7 f& j! b: e( f: v
T1 @/ p' @5 V1 v9 n7 y' b7 u
' i) Y- |9 z3 O
, B# H& \0 p2 m# Z- m w% p s2 L* F* R% n9 [/ z1 E& B
4 K9 j; p" j" a5 a
! y, @4 a# K9 j! V
哈哈嗅探到的东西少是因为这个域下才有几台机器 + j% @# C9 L" y: X
( v7 J* J9 t5 |/ p1 k
* Z' U" u( P3 B8 q' ^4 J
下面我们测试 DNS 欺骗,如图: 4 @% ?& V$ I/ R; @; V) @. k
( L$ p B& Y% w$ ?/ v' L + U: e) U W5 \/ A
7 Z, S( a# ?) F6 u- J
L# {& f/ N7 n ]% n9 S
( f1 E u6 Z8 y( T' G4 j
: h: S1 W$ L5 ? . T7 b9 [( T$ B6 w
: L4 ^0 R: K) G+ c. F
6 [' S% t; Q( B; x
+ C/ `1 F; `- c* ?% t* {" T 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
' k! p! g6 N7 [6 |$ I" b
6 ]4 F5 |9 _+ l* t$ {
8 A d8 H a* B) K9 }4 S2 Y' `
- B' r9 c: y) A3 M 9 A$ S; S5 v: \0 y3 y. I- N4 W
8 D; A* n9 E6 \+ Q
) {/ c. v- r/ R8 N ) q* h; Z- ~! p
$ e8 o1 V0 s; h) _/ G1 k" G
4 D. Z* H2 z2 h# R
i/ m. I) \# |0 h0 N( D
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
+ f# g$ \7 m2 O. ]6 l
! m$ ]$ p6 }! d8 \5 x# S3 U9 S, o
9 l; {9 Q" F5 v, G# E# [3 g) x$ R 6 、成功入侵交换机
" u' c5 j% ?5 z, H
! E4 Y" H P3 {) ~/ I& p8 C2 e
# x% z* b0 V& k 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
8 G" m; r+ V* P! ]8 i( g* T+ L
, E% d6 F0 W! x. q1 t: H0 B8 c
. G8 H) G, @, @ 我们进服务器看看,插有福吧看着面熟吧
% A+ X) {0 z% p8 @4 d) R6 w- ?2 K3 F
$ r8 H' ?9 v S( t1 S: N
/ I7 y3 d: W7 o9 |, E! x/ v ' K% [- X, W) l |
6 X# u8 S2 O9 f7 W
0 X) m1 F/ o& m T: h
* M' k) N% c; O F- z9 ]9 V# f 2 b$ |. ?& B6 N$ r
: ^+ M- C$ B% ]; c9 w
3 }/ E$ F) M3 Q3 Y# d- ^7 P
. X; `, x- e# a' y! ~ 装了思科交换机管理系统,我们继续看,有两个 管理员 7 n, `% k, b% @0 a4 b) J
9 j$ D. B, j& E" r) J+ [! g ) a8 D" v X' g5 ^6 C; W- h1 S# g9 q
# r& k% o" j3 |) }: X
2 Z7 Y! O+ Z8 k0 _! o
: b" M( r' i* Y1 `6 B ]
" S' [$ @- H1 J3 L: ` 9 S% B4 X8 S6 {
4 i$ _% D7 }; `3 }% W1 C
: S6 f0 C$ |7 O( c5 m4 c4 s
2 h9 V; ?6 n4 r: b* a; n 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; |% S- b+ [! w0 [9 J
: n1 M8 M$ E$ m" `
0 G1 g X; u3 `+ Z" z 4 X$ f1 ~( z- R. b1 N
( |0 O2 @" ?) [4 n+ X5 `6 b" }5 w1 M
; S) J% j- B9 P6 K
/ C0 r; U( m4 c1 K
9 F, j, v, h6 J4 t7 @3 r - k* X& @8 h- u! T0 \ ?( q
3 d1 e7 ?' `0 c
, u |) V) j4 P/ f1 q 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: : k6 p" y' L3 Q- M3 s
@7 }9 d% y6 \# c5 B# Y# l$ L
0 f! f* j, m8 L$ @
' O) [% ?5 N( a J
( U! w+ m5 i0 f$ n n 8 C9 L5 u C0 J! P! F
( N* _! F+ w& C% E3 y ' V1 ^1 ^3 o3 R% T; |. e% l R
/ ^. i: o) M& q# g) M1 b
W: @+ ^4 P4 @) S+ A6 ]3 `
0 z# {+ G' m% I* t 点 config ,必须写好对应的 communuity string 值,如图:
2 y! w9 J/ b5 R$ U7 X7 w' X [
8 N* ~) R7 u: v
7 N1 U3 r: E, s5 ~8 w v7 v 5 N& ?7 z0 {. T" n
8 v2 N8 k2 n9 i2 r; f* B( ^
- ?, u4 X2 P) i3 L$ H
c6 T* r: W9 w8 S- ~ . Q6 C# x0 x, o8 `3 t: Z( X
' j# h, b; h7 X9 k3 ]: G9 J( i
8 O3 {0 H" ~$ V! ?2 e
, ^2 O- \* o$ q4 Z) d4 V 远程登录看看,如图:
& o6 L. q# V- U/ g" p
& D/ z- s* R% P4 Z/ h; ?5 W; f' }4 `
j" q3 P8 V. g5 Q# N % v% X W2 j& Q
% R9 I6 Y! o4 }+ p, n! r
b8 R/ I, i7 F0 I9 S N! l
; [7 y! ?( ]9 d2 r/ _* q
' u. a8 y- U t- k; X- I! k x ( m( F# _2 C+ O6 d9 [" K( o! r, f
5 @1 E: y8 E/ E4 Z" M: Q; @
U/ @3 C( U7 S- E3 H j0 S 直接进入特权模式,以此类推搞了将近 70 台交换机如图: ! W+ Z* N2 \; `1 S
3 n! G5 Z( l3 q; F" y" w( Z& ] ) A/ Z8 L7 E0 D6 M4 V& J
# Q0 N# L o1 k- H% B 9 h2 F$ z' [' f/ k4 `
& V) Y" T- `5 R. d$ k, V; l% q
& C/ r @+ Z. T7 P- C! ^* d+ h6 \ $ o* A5 _1 e+ j- \3 x% R* L
! C* o7 i$ \+ q6 H5 T6 `' L, d0 b
8 u7 X- b% G, s/ z/ y5 }0 b) m
Z/ Y+ u& p6 ^, u; f/ z, G- c$ A
) G2 p- z0 K; y
% L- w9 v7 f, H2 h9 E2 b( E: f* o % m X7 h j7 k# @+ b s( x5 Y
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
$ v# z" I' `6 x! J6 G
2 T* o% {# m, t. _( c2 ~7 y3 h4 m" {
! t1 ~# P9 X1 T8 x/ z3 x1 o 6 m' o6 m, I# {5 d, i8 {( u6 f
& W9 s# a+ y6 C8 _5 y: j" J1 Y
+ {/ p% l, E, X, ~* m$ ~
$ I6 i# { ?' M! V2 S( f { & J% Q% H# i% a6 t: }: L0 D
! F' L/ F8 V* v2 z8 u, v
) ~& h( h0 T' C7 a4 f. I# ]- }# b
& ^& [3 V" Y8 a 确实可以读取配置文件的。 4 E) `- l7 D4 @* N5 Z0 Z( D" }
6 e3 v8 V7 o( ?5 h7 J, a 7 U) @4 O& G, A+ @6 s
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
# X( o$ C+ C7 k- g& N ]0 T
3 ^9 O8 E, z8 c# V; J4 a% r
6 r$ F+ I# n+ H
$ s' Y8 {+ B! B& T" T 0 c+ T& B% x( n# @; M2 k1 U% Z
" N1 A7 O, y) d+ p, p
6 }; ?$ E+ }7 U4 o 9 r' R5 d5 _3 Y0 k/ m: k. |
" c3 U- c F9 @& x/ b g! Q
9 n( M# ^/ L! J6 m) y9 s
7 V$ o- w; S6 M" x# B+ u
6 V. g; i6 z5 d
: K8 R, _3 r; b5 v
6 B0 j t0 V$ p2 h9 m, \. V. h 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
p7 f8 Z& }" g/ f: M0 e
9 P+ Z6 H4 R5 `- q/ K3 N' ?
/ k$ v; p! s( h( P' s8 N
+ g* M) E/ k; I+ C9 y3 q- E
- ~( p3 X7 W4 M
, d; J; v! z y' I9 Z l& G
1 a0 y: b5 k0 x$ G. ]5 b+ m
2 G/ M& P' F4 O" ~& e9 g , O2 M: F5 b @3 m/ I0 t
) k) I) W7 @# a: n2 g7 I3 P 3 Q; U9 N" N4 L/ h
上图千兆交换机管理系统。 5 _, @8 T/ w( D% j( y) j2 ^
# \. ^7 e0 X: G4 [$ s& t. p* b
q$ W2 \( R' J' s4 z+ y8 Q+ s 7 、入侵山石网关防火墙
1 ~0 `( r; j: b: \+ n
; S7 B. ^0 o; F2 C- |: W' c8 d 7 m. S$ _+ o) ]- z2 U
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
6 Y; {1 }# l$ x/ e" g9 z4 R
( a: b) ?/ |/ \& W, d9 X: L" y, b
( X4 F6 }6 E7 s) M: J, D
" J0 K6 M: N* v4 _. v6 I ; c2 m$ t; i" j! C
( v* D. v/ h ?1 T% K9 W8 A
0 B+ I7 B& b6 E: Y8 V% g
; `, @# y2 N1 g* ?
2 T8 ]/ M0 w+ q" N9 n" m i
7 {* b. D+ A$ ]+ [
0 D7 u+ R" z! R# _& K- `
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 W3 T8 ~2 |8 e3 X: ?2 \3 J
2 p/ @! f9 [ {
# c# z, f4 b, L7 ~1 Q# o0 ^& V6 p
. m5 q+ O2 t8 w4 d% P9 z
+ |( c) L5 J, p4 k% p
5 G8 m% S) Y5 ?0 K. M9 s2 s
* t. F& h1 |! W" P
h2 ?3 } f9 y; q1 v
. V+ s3 L' O' ] ?
9 i* q; Z8 T' {) _
2 y- q( |' F) {) Z/ A 然后登陆网关如图: **
# N& L( f8 [ M8 S" g4 k
1 d. x! a e; N
" X; i# t, q9 w0 Y1 { ) H: c6 V0 i5 k6 i6 N/ m! ^8 u
+ ~. M# l. n S. r
1 \- ~& P/ ^1 W' ], q3 g5 v
7 \9 C+ Q4 |( j& p( b
6 c# f( t- E% @+ h2 @9 w; E 0 m3 o. [+ e% Z& i# N# X
& H2 q7 Z8 F* F+ V- Z
6 f4 ~3 R- ~ L5 [# N6 v 9 ^+ J, o. a( n! I/ V/ i
9 M' F( l$ B4 C% c" S 2 @* x. ]& T8 E
6 o+ Z6 m. |3 y/ ^& a * k7 j, S; F" @, H
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 2 ?- F1 c* B, b5 g! m
6 J: U/ J# T3 ^9 o
% i$ x0 C2 ]3 C. l, X6 z
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 - \, D4 Y1 S! s5 ?( e' e
' C% M6 A5 q( H N: _8 y
r& F; S, C) P- K) Y" [
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** t. x0 [. P. U% G
9 h/ M7 j9 m! y3 w% B' M* v, w
' e6 Q! L" N. g5 n0 h T, ]8 G0 {- c9 h+ P9 R5 b
" ?; r2 c; i- A' Z* e $ D( z: G# n9 {4 E4 ^* N6 Q3 B0 f* U( C
" @1 W: n0 A. Y& Y: z3 p4 P- W2 y' p
" x* w: h8 M' Y" A6 D
2 l1 Z4 g, A! U+ x9 ]4 g' u
* j! [9 H8 N! Z5 M B/ e5 a2 `) N4 @: ]
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 6 E9 E& M* H3 X
! @3 N5 t1 {- }' ` r6 S8 w( `
9 B Q5 \, p: s% }" z9 [ S
- m4 w5 L# v2 q+ u) E
i3 r9 Q" f6 h; y
& `6 v- R* ?, H$ J7 Y9 Y- l% L; E9 m ( {: }" }2 Q/ |' r6 n2 }% W! }( u
& w2 ?# d1 S* \% | , H9 s0 K: E; m