|
- c$ k: ]2 n5 t0 o- l
" ]% ^5 w+ b" G7 c$ y. S0 y$ T
7 b" T" I+ m9 p8 a+ X4 N
7 e; j$ A- ^2 u4 Q7 b
1、弱口令扫描提权进服务器 8 J, [+ ?8 Y) Q
] z2 q b3 h0 h; f: i
I/ `5 ]/ e% i! Z& J- ] 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 ?$ _" K1 [/ \1 R2 [, Z
- u* k; X& U# v8 |/ F
( O5 F8 I: P2 h$ d% |8 s! z1 e * s' ?$ S% r5 R1 o* Z$ P u
9 @/ G% z2 D' ` * z* s) S+ _9 U: C: n
$ ^9 z6 e L+ q, `! Z- Z5 Z+ Q
% m" S( J6 t+ [% [8 i
 ' w s* x! r+ M7 I& @0 o# ?
( W+ G8 S. e6 f, t! p. j0 [- f7 p8 F) e& y
# }7 K) m' O* b$ e2 t3 ?4 y5 n # r9 Q9 f2 G4 w x) r, @7 e3 s
+ n3 e7 O# F* p" j. l ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
( }% E! p* `8 |* }. K/ t
" t* Y+ h$ y4 c! \- l1 t. r6 g" E+ G
执行一下命令看看
d: c/ f8 B9 X # f: f- r6 p% ^: C
5 X9 o* K9 E2 p5 D, u% G: J* S* ~ 
+ j( e& P3 ~+ s8 j$ a ( t/ b! R& f# f9 u/ {# l$ a
3 G* Q1 I! G4 W$ q7 _2 m " m2 j% |4 e) x# K
" z- p) j. H3 x! y9 j2 ^. h) p) h
9 y: |& i2 X! C$ C3 a, W, @3 j' T
9 W- `" z" x& _/ x9 O
" b$ s6 ?. k" s" O4 g 开了3389 ,直接加账号进去
\' [! Y$ i2 h, o8 ?+ x
F# ]' p! O/ L. q+ w- d
6 r9 Y* I+ p) j& K
! ~2 `7 s* }) u7 B# T; w
8 M8 E' K7 e2 G% m' H. U4 v$ M& ^5 C% B
, E4 D: A. t3 N1 s
% q: N [, m2 n) t
8 f& S' H. W9 j! S 
( F1 W( x0 Z2 F5 k! S & k q2 h4 U1 p H1 I
( j8 |" D# [. G: b0 ?* C+ E2 |& I 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 * K1 }& c# c; d9 o" N7 W
7 i% b: N5 M# D8 o1 T( C( j& e% R+ D! c& D
6 y0 b' M( X X) `! j" X
9 x, l& U2 P7 I: \0 ^1 r. O
" g# d2 l- v) v# D1 Y2 V
4 @0 p# s, Z, n" K1 L* ~
) i( s1 }- X( F' u$ n% E! T8 D
& r- s& Y; b' i, V f
7 t1 z. z4 |+ c! F# q& r6 R& R; V
* b. T& M: x9 n/ P5 i 直接加个后门, 6 F. d- o& @0 [, [ C' O% N: O4 l
$ F# ^7 C& z; v, I! \; h
8 a/ w( B( w; z: y! T$ h9 n$ k  1 C- X2 I! u3 d" U# B9 x7 q
" s, B6 @ n/ m' C1 G& S6 V$ Q; v
7 x+ }1 W5 O7 O2 f1 M ) q( t5 m7 t, T+ X3 z
# [3 y* i) s: H
* U$ O/ N! i7 b K1 x# U! u" | 5 x) M; n, E6 X% s# I7 r3 }+ h5 S8 H
! H5 N. b) Q/ i8 Q c4 v: r1 A
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 % Q3 g0 M6 K" c% b. B. ~
1 z* g5 D, M. d/ y# @$ |- _
2 F5 h0 ]- E* Z2 z 2 、域环境下渗透搞定域内全部机器 . K7 J( m! m" J% c) k
6 ]7 p0 z. o. O, O0 y* w3 S. c4 B z9 V1 g
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 9 {, A$ k/ ^8 F4 Z1 f7 W
+ h0 ^' o( E7 v
" Q/ K( S1 w! i9 y) M/ J 7 @$ V$ N4 A$ v. h; P |4 k
- R8 ]3 f3 a" j* f3 D0 x) I' F) R
: }2 m, L/ v, @) U8 E % M! Z s* c0 h
( [7 w }# Y0 y( s  " p* m. L1 G0 H) O: A4 M
& q5 a( j4 C% Z
- x. _, X3 l4 v9 T9 T
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 * B, E3 R+ \& Y2 Q$ ?' Y+ U3 p
2 B. r: v7 F0 x. j' s
& e9 u0 w4 c0 F% M( ~
0 i' V# ` t) j" X$ i) d% A
4 U. Q- y5 s" R7 R; J$ p* [! t
& h1 r) q, H/ P5 M7 _9 `
7 ]5 e G% R5 w; `
% [& N. |2 N# e3 F 
% H* e" u- E4 U
3 j9 I# R$ e( `$ t% D/ \
4 W# Q7 Z7 i7 P, s 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: - k+ L; g5 N! _7 q8 u- J2 p
) D* u. k/ U/ U( \. r" O" a. s
' o3 o9 H1 ?2 H7 Z" T) u* W
' I2 c8 [! e: {" i# T
4 X/ l8 C( ?; [; J0 w # ^* X% o `" Z. L" ~
- f9 T( T3 B! R/ G* m
8 k3 b% d6 N T: p1 W  ! ~9 l r; O* E4 y( d. s' ~4 y
2 @: Z- \5 Q5 t. `
1 o1 j' X) O% p. P; S" ~. A( A0 j
利用cluster 这个用户我们远程登录一下域服务器如图:
v. N/ E% I+ `0 s h T0 G. T8 d& i 0 f" }" H8 d! [
, `- d+ \6 e* V! a- Z' W0 \
# ^- @) Q4 | u+ t& ?
( J/ a. X4 w" v& A8 p; k $ u& i z6 g' e3 E# C
$ ^$ g" R: j. L; t* ?* A
' H5 K) I9 g8 g; [, x/ U2 H2 h
0 g5 O3 U: D2 Z, o7 t7 _3 ]6 |1 E 5 Z$ W7 a+ T4 s- V. W/ z
4 W" w6 a" H" `4 B. ]
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
$ C z% R& k: a! h
, `9 r4 z6 M/ h: H6 k) Q! W, q( p. `" h$ `7 H3 R
( {+ m. [+ _8 o6 A; ^# b5 x
3 U$ L: q C* h* K8 K( b/ f/ P' T7 U - O/ S+ l) S8 v3 g. H% |: o1 Q
7 w. o6 l+ a/ }; @
' V, \. E4 L' N2 W9 N
7 B. _2 c: E3 G4 }* G
5 w: x8 R- } w, \5 T5 l; r6 @
" ^( S, g. S8 j* f4 k 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
$ _6 v }1 M/ o( ^( A
/ o# d3 _4 I+ m- {, H) l
* N9 p" |9 K5 ~* T9 h8 l 
# B$ J; j c- T, G & b+ V6 r# ^ k4 `
- T# z9 c9 ^! O& x. M 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 8 g% [0 l! T+ n( t0 [. E5 f9 Z7 X
P! v3 R2 c& a; s4 O j% J
: W2 \7 Y4 Q8 r4 L blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
" v; `- a, Y* p$ W0 W- r2 m2 D. L 9 H/ V/ {( G" N; }7 M- g8 Q2 [' Q
) ?) F- R/ d1 t
/ ~5 @ ?/ G6 {6 g" |
( P9 K) q8 ?$ H8 c
1 _. J$ K$ r+ s: h- l+ j" P* E; k! ~& y . `6 Z2 J7 C+ h
4 G; H8 c" T/ x8 f% C9 J6 X6 s, N  - B+ Y7 V1 L! B5 p
3 S& ~, n! `. @5 q$ H
$ f5 y1 n! n2 F4 @# e# y2 G 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 % j; j0 w3 l' C( L
' g7 |$ s1 |" n+ \8 W! u) G7 \1 m7 h3 y+ t
' {" a3 K% c( p/ F" t/ R1 q2 q0 c
2 y2 a# S' Z6 J& i3 A, `9 h: Q
: e6 P, X4 p2 G5 }" {6 e# \; c
. ^/ T! ~8 x# g$ a: M! i, b% J
% O( H6 W5 B8 C* l9 p  4 Q. }" U! ?% a
' k! q' c2 K" T0 f
8 y7 a: j( v" @9 f- u; ^
利用ms08067 成功溢出服务器,成功登录服务器
% g7 q3 o+ S2 x/ E) {8 }" K* @+ p ' l: W4 V, |# ~1 y b( ~
' o/ Q# {9 I5 z8 I6 @% F3 \
$ X" A3 T v$ x
7 _% }! E8 n' Q5 |. X6 \ s
$ A0 b6 W$ f/ L$ I" l7 U
7 K9 ` ~& J" C7 d0 l% A" p$ a d5 \; y& q& h% a( S+ C
. C! z* T a2 j6 r+ X
, p9 u0 d% B& r: A: B8 K6 R# X2 J8 d6 j# G0 o
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen h6 `) Z2 [! U
# K, {! Z8 j9 T! r) t2 }
% @3 v) H' J2 ^ 这样两个域我们就全部拿下了。 ( F! K! u# H: a% u; t* B
+ \! @. C4 w) {& h1 e" G
" ]3 [3 h" u: R$ b j! G 3 、通过oa 系统入侵进服务器 8 [* b8 W) z3 y, _2 r+ {! e
$ a l, `& _: b: n" F' B t0 F% c! D/ `1 g2 r2 M) e8 D
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
4 B/ O! R0 Y4 A2 e9 i& }/ r
4 F) [: O" j' L; ~, B! L+ P
& C8 _3 C2 f. |+ R9 o/ q @
8 d$ V) G0 n. y1 o T3 G
7 b- q' b, b% w- o4 a9 U+ v
+ R! A o6 c |
& A; G( Q+ v$ V
) l* A! R4 O; m- E: j0 h1 M1 d3 h4 e 
( Q2 Y6 I/ o5 j* g. ]8 c" D: h7 N" R) D 3 A6 z1 F1 J- I2 }9 z
5 m4 o' o7 t3 J$ |3 v# n+ l6 ?
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ; z# i$ ^" c+ t- m
, { s# ~3 O( t3 v
W% \( l! i- ]$ ]
" i6 t" w- J( V. J
F9 ]1 Z: @9 j$ n; @ 0 B/ K5 q- E* J1 R f
3 j9 D- \) f6 Y$ [
4 y' U; S; E& j5 Y$ Z1 z 
( a7 `% j' K% B8 D% g+ h
/ o, G( m8 J1 J( j/ i( C9 B
4 x- S4 H5 H8 j4 X( w8 D* }/ `& d 填写错误标记开扫结果如下 # j7 K4 R7 o% ~, I" y$ b2 w4 ^
. s" l" V$ F: w+ ~5 b8 Y3 n! j1 L. L% {. ~2 N/ {
; [8 ~) c: i5 l! U9 j6 X2 V# ?0 r
' ?7 B U0 U+ v6 {$ H
9 K* G& b; p: _! C
0 O8 J# }4 d5 { P" @- n5 G; D9 @
' U0 Q; {* s! q) }8 j2 X% Y; n 
! z, [- M# L+ R4 X/ O % D1 _% Y9 z" x: d" |
5 I" A* v* D7 l* G. F
下面我们进OA ( U1 R' Z5 w4 m4 u' m
* r& i' X# A5 U( B! Z1 z* Q# E1 ]
1 A( m l3 `+ ]0 z$ ?
- l" b3 R# B5 }' B" C( P! y2 O
; f C2 W5 ?3 Q- X9 r- f ( y( M; H4 F5 ]) Y G6 F
7 F/ C2 p( w5 k7 u9 F6 F
1 Y& b0 I. t% j" Q: J8 C5 K$ V4 q% d  0 ]$ o. O) z3 t4 ~- O n2 q. p
8 E2 ~7 I+ i$ s; p2 b9 S
! I+ ^1 o" a9 F. E5 f 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ) i1 e$ ?( N# X
* E, _4 I7 e8 z9 B; T# X. G2 ] ?( U: m2 n; b9 x/ b6 ~
: d J2 C2 n i' s% \
# O+ t: B: a9 [+ T* A
' A! M c" A3 V! u; Y
. M* ? }. C* _ O: } Y# Z i `6 b3 g/ a4 s0 e$ D! h
- C# t* ^: c2 ~& ]8 A
. q+ H7 b/ w2 Q# x1 o# ~4 L( ~! b, C1 h) A; M/ ]
 ; m5 R) t: s/ {6 T0 w
- f' B9 ]$ }0 k
6 K5 b- @2 z$ g: `8 ` 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
6 A5 p4 S6 w; O. N7 l, g
6 H1 g7 _( }4 m* z- H
2 ~& |7 R( z& G( n7 u+ i, D2 q. J 4 、利用tomcat 提权进服务器
6 k0 E* R( V6 O
4 N) S: O3 Y! H* I+ J- T% Z; t/ J% S! z- K0 `" R. m
用nessus 扫描目标ip 发现如图 3 @4 x$ _; D5 P3 K
2 M5 A4 `6 o1 G
; K- N- q# F' C/ k- \5 S 0 W! D! `5 @. _
8 p% L9 F0 w) d5 A, l
0 q. n1 j( D! C
6 T m1 P* ?" Y0 F) D7 T
( ^6 g& U3 h7 r) ?( q. I% C: f' h& k, Y  + G9 ?1 B# a7 P! I" O
1 ?# W3 z: p: j; M; V$ U
. @' h- t$ s7 H5 b5 o 登录如图: 7 _2 x2 D. @- w7 {
) H. o% d0 m7 f+ ~6 B/ @2 a
8 e% }2 v7 Z$ V/ u
2 L- p. y$ h p
7 O! N- W- _4 n5 w4 R, W + u( z/ e% J/ J7 K& W' d
$ U% J2 |( D- {$ x
8 Y7 p; Y$ m1 H' I/ f% R; ^  0 \0 m' r. H a3 z2 E. d- T7 d
; D* u" U1 |5 x, I2 O0 T: H2 y- u! H* j
找个上传的地方上传如图:
1 q, a9 p9 ~1 y( A6 ~. k
- {4 Q/ Z- L( D* Z2 Y! o
% ^1 m5 Y2 s6 n
8 X/ m1 M, s5 H# m
. L5 W) F3 h& W, I
) w: b* L. C% p) y
0 P: M/ e; B4 m& h. g
# E. L, M3 H! j1 N0 Q" Y! [! k  + M$ ^% X, i8 t$ O' l. U9 u0 v
# [) f+ g5 v$ k3 v7 g
; V: Y% I( w2 I. N" h
然后就是同样执行命令提权,过程不在写了 $ h& B Z' {% H' g
/ l6 Y/ U6 v; n8 ~$ e
8 M6 r" r$ o0 K" f' e! | O
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 1 x, a5 |1 ~7 P9 t9 z( g& j
/ p5 `7 ^, j. ]2 }3 Q+ h5 f0 R, L* d* u+ X$ K) I+ R3 T* I
首先测试ARP 嗅探如图 , \4 x& Y& U8 Y" a
3 H$ a6 c) s" o# r8 e; H$ P3 ]( p8 \5 T. a7 z
$ V: N& c# N- o- X) I& D c5 R
; R% q1 y! B" a0 ]' }8 ?; d: y) V
. ^* k1 T0 U! ?9 u% z* N: F6 n0 e 8 o- W1 j% m% G2 X
4 Z2 i# i/ t; C n" A
 , ?4 B7 T8 [4 s" ^. f
1 X* z' O& _5 \% m
6 Z; P# s; k! K 测试结果如下图:
, B& O- e* S+ W" p8 Q 2 S8 b, b, j1 Z: H1 d% J- G) D) l9 o
/ [1 `# k; Q- A; l( l- a2 ~; u9 W% @- ~
7 g. p8 Q0 L G" d
# \1 @/ R2 g+ g2 }. F* h
' c1 y2 K; j4 j- Y- Q
7 E( ?3 y Z& K8 K0 \! N
! r; `$ i+ j/ e 
) J7 T$ C; D. C, K( {. x9 g ( g u' ]! a7 M7 e
& I4 }6 ^5 s R9 \# [) U3 \
哈哈嗅探到的东西少是因为这个域下才有几台机器
; H0 p! l6 N4 @6 e
% L' Z3 k9 F7 U. I2 f5 Z% ^
2 z4 Z7 {; F2 R9 y& L% ]8 a( ^" G 下面我们测试DNS欺骗,如图: 9 E5 O1 `8 `' Q2 c, a$ L% @4 h
# o9 h% ?) V9 K: n9 m" q( U: c* b8 _/ ]* V# |; L# e$ I; l4 I) g
3 X3 t4 E' `6 O8 I
6 e5 @5 k/ F8 ^/ s3 w9 A 3 `1 a5 u: ^" f4 N/ F
, i ^7 p- X, u4 ~; H z, e3 w% P. ?: z
 / G% U4 e' A5 ~4 _4 T, l
& s+ u% ^( z9 R, p; f& s. P
5 D3 N7 c' h9 }0 W1 Z
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
: {, q8 P. e$ \1 ^# m) `9 H
! s9 x% u m$ D( k' l2 t$ x; m# q2 |( B% ?. q( z/ F: }5 }
$ j) t, ^" @& }$ `$ Z
0 c2 n% S, j: J* ?, d 8 N+ y% p# N" h+ f/ c4 f; [, ^
: q) w) ]3 u; m, Q4 h4 k
2 D. Z5 x3 w( [" F  + ^; q! Y) Z4 d9 w
/ o7 U, H" \+ @
5 \& Q: {+ J& n- T9 R% [ (注:欺骗这个过程由于我之前录制了教程,截图教程了)
! i5 b, Z+ @# L% X, m+ s4 W
( k4 G" } m+ ?; X3 E
& J& T% u i- x$ \; b. R$ C 6 、成功入侵交换机 J# B' J1 x6 a% h
. q; p$ C" c; F: S2 R8 f
' D3 n( I# D6 p# r 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
1 X D$ C0 H8 C& `2 r+ c8 ~
) A1 V" H4 A3 G: ~/ t Q* Z* C& U S& t2 Q G, k8 K
我们进服务器看看,插有福吧看着面熟吧
' m* m% }3 h2 u. {: ^8 d# \ ' k' g2 o6 d( [. @ j* Q6 H/ r+ X
% n1 M! M* V" ~# I( e$ i& U
' z- X# G" y% w! E1 Y) B e3 o# A
; z8 p6 \0 a! k& W$ f
9 p- n) a# P8 C6 h% D$ _
) i! g( g5 s9 i& q
. a3 S* a$ t( W, a9 _ 
' y; X: y- R' ?0 | 0 l3 M* d; O. p
- D: c' d) L+ H/ E2 W' s! U( U/ i 装了思科交换机管理系统,我们继续看,有两个 管理员 : p+ `* H# W5 m# D( D- k" c0 D
4 X, S% q# E# T
; k: p2 e3 _; U8 _+ ?8 `; W& V9 U1 n6 I
4 O( \7 `3 x7 U
; i0 t- v8 K% ~- W ' i( l& K8 \" `$ D
4 {$ k8 R/ J+ }) o& h
3 M- L( j: g' P9 C) P 
% I$ D6 \/ F; b) l
) A5 Z2 v4 c: \0 p3 a( E+ B& t2 w
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 9 o% G0 P2 Z# R2 r9 j$ [+ X, ^, y
0 Y. G1 g8 Q9 S. } S/ s! C: Z
U! h* W. V/ R/ A5 e9 A
2 l" g ~, }; u
6 y: b/ e$ F y9 ]: _% |4 D ! P" N2 K3 B; R6 m, S# ?8 \; `
2 V0 D& A2 C8 T ]8 G$ Q6 [! T) r8 e, s" e/ ?
( H7 p+ N( g. P7 y
% U$ x" X0 \ n. j; X6 X/ O" F
! A5 E# w% Q" h# S, W- S 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
. L: b* Z" ^, t
7 E2 p' Y2 t6 {, ~
4 z* F: [# C7 D2 L+ ^0 O1 `1 Q( g : y1 @6 n" ?: ?; T7 }% T+ N
/ w* K$ w9 O4 i9 J; w) {8 L4 F& |8 c
3 D" \9 c) p0 X& W 0 y$ S! G! i* @: u% w. j7 b
4 q- X: x5 p) c5 G; k6 h
 : J5 U0 ]* G& N1 {$ B; m
- k1 ^& p! }3 }' V, w
2 b+ n# p) \) Y/ p 点config ,必须写好对应的communuity string 值,如图: 9 q8 F: Z$ Z: H: x! R; G) i' N
% Y1 Z8 a( V: a- p w7 s" { \* |
8 [ o# z! Y3 k J3 z& V; Z
$ L6 b: h7 i4 ?( L$ l 1 q3 C! ~) g1 [. E' y; P9 `
7 ]9 J6 ` E& v6 r3 j3 s3 |
& z# F0 f; d9 D; U! ^5 K6 ~9 o- h
 3 n$ t* d; Y( N9 o
2 N0 a7 y/ k; e" V9 [& X$ {% |6 d+ S" l7 Z% R3 J( e
远程登录看看,如图:
3 B) J! [% h# o5 O- {8 S+ ~
2 |4 J7 ~0 ^! A2 \) ^& S5 ?: F, R/ o6 v2 w' B4 Z `- y! m
( a; h, }* q3 u2 k# V$ m# t1 @
2 i% \! o) p6 A! u" ]% \ ' a2 ~9 H4 m0 v5 e2 {, G
" j( x% S: j1 ]" C4 u+ P7 ]
6 }' h6 l* h% u: |
8 z7 g; J8 Z! t+ t$ {" J m$ T6 B$ i# Z: |1 N0 U
S B5 w' [* H" x
直接进入特权模式,以此类推搞了将近70 台交换机如图: 2 v. n9 l* ~. L+ u+ `4 N8 e. Z
* n- f( r. G" X
; ?" U3 r+ ^6 ^6 y1 O, w: R3 L
: X1 u4 Y. R8 ]: V
& }5 l7 G. ~( r
- w3 _4 b; {2 v: d ( @! B% |) X% h) Z
* S2 [/ S# D# c3 ?. @
' W# `) H O+ \& e
' z8 g" j& n5 L& C8 ^9 B+ l
. d7 T( T9 L, W6 }1 l7 I3 t  7 e: X0 s5 o% h& c' l! y
- `/ u* K9 ~) u$ T! L" i
. i' i9 @% z6 c9 ~! S 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
& Z* @8 {+ a" e
|" F5 E( k. U6 C8 k) b2 F- L% t1 t% _# N7 P2 Y) s
# P5 w5 ]. ?& q m( j
) j& M3 W+ D, O" E2 U
) Y1 F. C+ y4 Y- q3 K
" ~, n3 _0 W n3 {' Q+ `+ V* z1 E+ V( M4 G" l' n2 s) B. ]- p
 ( }) E$ {6 j6 ]% r, |. U# Z
@/ v! T- S$ W5 n8 Z. w' |) |, F6 G5 L8 F M
确实可以读取配置文件的。 & [3 g1 l, j! Q0 b1 ]7 ^- D
' ?6 X- R) A( _! _
Y8 R$ `- R5 ^1 `# A 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
$ ~8 Y7 z% k# ]% g- v4 u( \
% G8 ^) p+ S. N$ W! D- \" l1 M% V+ Y+ b
$ s2 R1 J6 V& {" C+ r, ?+ w, Y# }
" u5 x: w' A" w3 w
9 r9 L& _$ M* C9 k1 R6 s$ J + I0 d! U O' Z. T x' J
* B; ~: _, p- S& {7 t- j  ( G, Q- Y2 n$ \" `
* r! l9 S) z% u& y S6 ~
3 O! q6 Z' }1 ^2 e5 m  1 t1 V3 U! l V+ M! V% S4 g$ P
" a8 G r' [( ^' s: X
" g( Z7 B N6 ?6 \0 [9 ]
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 % J. e4 D( \1 Z6 z
9 X9 G H; ^: k
1 ~: v& K- U6 {
6 C' \! J/ B. v, d0 H& t
4 Y1 A6 h8 P, H: R
7 n; M$ H/ y# `
5 j/ v) N: O2 R" u3 _4 ?9 v9 D# M0 D# @) u: J% }) R: F# {3 h
 : |9 @7 o$ R' S1 S8 d: o! |! U, t
7 q! W4 z: N" p. G* k
. A+ s$ S- a7 t8 |' D" m0 x' z 上图千兆交换机管理系统。
- L% U( i5 c6 z |3 a- o. C
; i+ {( ?% L6 t8 t5 o% C0 Q1 K) J0 ^3 U2 }
7 、入侵山石网关防火墙 ! K$ A0 d+ ^/ m( N5 U& d5 E
@+ D1 ~& y I) p
1 r+ O: k+ P d3 T. L$ V! ~7 u8 h; `* l 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
: W+ d8 B: m# U, E4 C* L8 V/ V 6 `3 X% I) b' T. f- p# U
$ |. d- L! }1 z6 r
+ g7 A& X! n& e8 r
`+ Z" r+ a; N5 C
* T, I) z, V+ [3 |, g4 p " r& B: C: r* v) f4 _
( Z* ]/ w/ s2 ^2 h: ^ 
. M2 a; C3 T7 B$ q$ p 9 H2 W" c# Y( b7 O" y8 N3 u
& Y! r$ j4 I: ~* f) R- Z% E 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ! e6 z! Z5 n2 P; u* V8 H$ |) z5 h
# F M- e" o; J C0 G
! H+ I7 u) s5 v- p- m# O
- U3 T, U" O, u& U. q5 T
7 q% V. k, ]. D: u) Y3 s/ v, O7 b
+ }- E* P% u7 r$ R, R! U% v$ N9 U5 n 9 D: H6 `; |( ?
" _% C. \& x6 z5 t1 ?
" o8 @/ F: Z3 y$ v, L9 f6 V) W
' p$ x: _- B$ y6 ` u& s3 q
5 E0 }* T; Y4 d- @+ S5 ] 然后登陆网关如图:**
) L0 w- e$ x" r t7 J# e, F6 w7 T5 J ) H. m: U- c9 ~, {9 w0 T) @7 Y* J
- J3 U9 K- ?' [
4 Z# A+ U0 w2 e2 Z$ a
; E! s- D, d. Y6 k3 A8 h
8 o1 M7 |4 y$ e0 x1 [1 E7 P! C6 N 3 s1 L$ O) N9 ~- E7 [' b
% k2 n( \# U4 {# E8 [! V+ H  7 E- K" t4 r: W. f
. D* L$ W2 V/ j, j: I# t
" R( I! G p/ h B' O5 F2 P. U, [& `
- Z+ P" L/ k7 Z4 [& U8 F! H
3 u& A0 f1 X( `' x5 p, G' ?
0 ~1 \3 T- q* N S
( \$ `/ o: M$ h* b, J 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
7 l: ` |- N9 b0 y) ]
4 `- I4 D9 g. f
. _( v- e" b) `) Y8 H" ~ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
: d( N# d0 @0 N2 T/ ]
^3 V6 d% ]: E' x2 G7 T1 Y8 O5 l$ n' |6 A8 d6 n. o J
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ; x) Q: }: D6 I3 g, O: |7 l6 G
' M8 R6 r# I# V' _) t0 [4 W* W' `+ o' o' [
$ b D/ y# G+ L9 m3 a
0 o, l3 e. q( h1 m. `
) p8 j/ m; X6 s5 F7 m
+ x0 {7 [$ H, L0 q# m! z0 a) j
% a" h1 m' U! _" a
b! f" L1 X- s( c9 M$ ` % ~, C( |: |/ ` W# h5 D, H$ k
( C+ f& Y0 r. d* H4 e
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 : n" I$ s$ u9 v' t+ k
/ A1 ~/ m9 ~1 p. F
5 [. b7 k4 D: ^" `6 g' \& A
, S) \3 P% n$ Q/ m0 j6 w" ~ 6 Q1 K* q* D1 U) x) O( f$ u; u0 Y
0 @. [3 ?. {! \( y( N8 k+ h1 u
" U; M. I( K, p3 G- o: c4 _4 M; G ) E. }$ s9 L6 v+ e6 W, ~+ N1 h8 R
& L0 G& y: A) r
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对