|
/ Z/ i. I% s9 r f. ?3 N- V1 u
$ _0 D! q* Q% P8 {) b0 O
' |+ v) }# ~% H; F& I
7 }; @: m5 }- p Y 1、弱口令扫描提权进服务器 & ]) Q, _0 n0 [$ T$ p
( E, p0 D. X5 V% Y3 R7 V
1 _" x$ ?9 E1 \7 t 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 1 I4 O+ Y8 p! w7 U
- T N f% |8 Y$ n$ Z3 f
C* L O$ x/ j4 A6 Z ' N' }8 l; E# Q( y) F
3 T% P J* P- W2 H9 [+ q) j 6 _8 F% v* a0 a u" {0 e/ I' r
( | V" ]. X8 v' v& `0 E
/ N) P! b# A5 w4 G1 F' @ 
. {! L$ R1 F3 u, H% ], K5 H % m$ D% H# i/ O! k5 X# V& f
) i# B( D: f! B: b1 X! b/ N  " x) {5 E6 G$ T( }* @. b
+ R6 S/ {* V5 U E
# H6 H/ m7 y! [6 D T( j) c
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
" g/ J( F/ m, ~ . b! X6 A% k( G3 o% M
1 n6 U& e* y, m) o
执行一下命令看看
( t/ O& N$ w. _- d7 F7 u # W5 E W6 Y) v3 v' @1 J: h" _: R! j
9 i' I$ U& w8 B( D7 V# U8 F% ? 
- u/ N+ p# R# ?5 d7 R" y
% k. W" @8 q% O- r6 D0 N
5 O2 y% f$ Q/ W- M9 y & k( ?2 ^" o. ~. C5 e* J" h5 z
6 q, I" ]# A2 L, \# p E: `
B# J- P+ ?$ i' X& j) ] % G Y' P0 t3 h/ C
$ I0 Z) M7 j; Z7 A# |8 m
开了3389 ,直接加账号进去 ; Z* v7 q- G8 J
) x# I" R3 v. d9 \4 }, F
! h) x2 j2 P9 E* F4 h" P3 t' |
! x2 W1 @& {/ ]) `. \- `( h* ^
' q) D4 T$ H2 {
8 p# A1 ?- k5 d+ w: }* \- O
1 c$ {; \4 p ^
8 ?/ R% {; @, h# A$ L 
& \: m0 y& x1 C+ o+ D; |$ H4 y9 w
! g0 H p# W/ O; m$ V3 G1 C* d% ^7 }
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
3 g7 ?& H& J J% v: _2 ]
\/ u) Q2 E8 r6 H3 R8 O' ^+ P( F, q6 E/ F
6 k; m/ U; A8 g
5 j" z, E+ c* K % P4 A7 f+ o' T- Y
1 X- F# G' r1 b7 M) t4 s
5 e/ j7 V" w7 d8 s8 c# ^ l
 6 q1 S! G f4 J3 q- Q8 P! {" e" h
9 d- L) X8 L ^/ [+ y4 G7 {, G5 S! D7 x- I/ {
直接加个后门, , E% @ l0 c+ t2 z6 x
& Y& Q+ l, L6 a) @; @
" M! k5 v; O9 T" \8 ]- n' a
. p( B+ `. ]' o, Y0 v
, T. x4 @+ [1 @/ u
: _. J. X' @+ `0 |8 q9 F
5 B2 ]% D! D! P2 C
$ ^) y' B3 }, i, L ) [8 [9 t2 A' _. i- h
6 U! j5 v* r# |1 `7 q3 y7 O2 z
7 z. k9 `# i6 f* n k3 c 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
2 _" f' ^3 c/ f$ p# x / D/ w4 o% c/ ~ X
. ]" I1 c4 C$ H3 o$ {9 x" \ 2 、域环境下渗透搞定域内全部机器 6 z- b' y z! w) [4 N
* a! j; u! v0 d6 g
+ I3 g! D& A7 D2 ~. x 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
. r( o6 @ F* ~' `4 j
* {$ A5 h9 e* `% u+ \
& B/ `) z2 b1 i" I* s: I1 r* l ' B' D: `6 o2 z- H
/ i* B. |, i9 P. v 3 y, {* J( F4 ?: V, [
" b8 B2 A+ i- {0 S
9 _& y6 G* K+ ]- H" ? 
6 V( ^8 d; L6 j" Y/ y 9 w4 o8 {2 f; D
& ]- Y4 e* W* J5 b9 r 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 6 r+ V1 y! U+ Y! P+ m( p
) @* C" v& H6 k0 Q% b
6 k1 W5 V$ i% F0 F$ W 4 b8 L6 x; R& U2 y7 t
( H& ]( s& e2 U( |6 |6 l
7 K, s1 g+ I* t: M% x
: S% R7 Y6 r8 v/ j8 A( B2 k
) v* ]. h0 l0 |# ^7 f; T0 q 
8 n T6 P5 I+ p# n: y
B- _ [5 @8 I6 ^; }' C' D% ^
6 t4 J4 q7 Z- \) \3 n7 h) f' T 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
0 G# I: a3 ~) e9 q6 K2 p ! ?3 o. k9 D7 | l
/ z4 v) M$ i2 n; O5 y0 Z. _" Q: |
. e- V1 a7 ^! c" r4 M
% q7 S% ]0 \9 |! o& e 9 c/ C' \# G) d; H
! g8 X$ W* y7 o D: ^' V* a( G# w* [( g1 {8 S
0 G a, Q7 [4 Z; l
6 D1 r$ z6 ^+ D* y4 e$ B6 z* }. Z/ ^& f
利用cluster 这个用户我们远程登录一下域服务器如图:
- s- R( u9 c( g) {' E
( Q; J" D/ |/ D3 b
, s( A7 h( j7 i J+ P9 O W8 B3 f5 [2 _+ Z; I0 t# V
5 |( s( g$ e$ h7 }( a3 K; H
4 f5 o0 H# g# u" x
& ?5 H; l4 n( O7 R) Q
2 ?, Z/ X0 ?8 R; X# G$ y3 D0 m  7 f0 v; A) U0 H( g8 v4 o
) @$ ? D/ T+ r: O/ I" K* ]6 U4 P5 @$ A2 `. D" k* |! a( P
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ' _" u$ I/ m% M( |+ N1 d
; @" b& ?8 }& a6 t3 ~, J
8 J) s/ d& i; Q) `
7 u- a4 i0 G8 P; n8 Z% n. L' S
( x' d! g8 T1 g+ }9 i/ o
: \9 b; G% c/ }! R/ ?3 ]5 D
' S. o4 U; |$ g- V2 A& K' j3 q8 c; F4 g4 Y' c
5 I( l0 J) g% ]' i. r/ I! S 8 }' b$ T3 b- h, R% w+ A, T/ R
& b/ v- t3 o# a+ @% d- s: I 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ( U+ s' G% u3 e- k/ ]. _) S7 s
' P7 n0 B; d: A3 |2 P% c
% _: F9 O" @2 R
( o6 b9 S! T! a# r % j1 z R4 c5 T8 t, u9 z) W9 d
W4 w4 `: B, K. C, F ^ 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping : N m0 Y0 t# M* J. ?3 X* K
" K9 h% n, O( x6 q2 ] y. K
( \5 m2 [& ^! E blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , w; P* R; y* S
/ @( I! _$ a8 d: D
0 g# g3 A; {3 c: L7 W I; e
$ s! x* f$ G! \6 {
5 @8 w4 }9 g* s' u# z8 T& A( l
7 _! d/ ~ v2 G, ?* }
/ c O! j& u9 X' g, l4 K
+ c5 A% j: v. U2 o) N! C; D 
: Q; E$ z$ ?8 m8 c
7 g1 a6 W& }, T, b8 t1 ^0 }! l
O* V! {' s \& o 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
3 M. w+ J: a3 b, n . u( f( L, i7 M5 j( w. u. @
. O% Y4 Q- X. d* |3 @% c8 `2 s
5 j: |* h# ^1 m6 b
1 C/ Z6 U4 N m+ p- L$ H/ o
' C' r! g: R& U8 J' i n4 a5 H
R4 h7 T3 F9 z
7 l0 x, x& C! e2 A0 w+ t8 b( Y 
. A: z B* L2 H( N L8 M
2 T- |( M* C) W, m$ y0 }6 q$ M4 ~# z
& Y6 v* y% ~8 ?4 r9 E: c' O% m 利用ms08067 成功溢出服务器,成功登录服务器 f; f+ N8 q+ s3 }5 i2 o( J: S# \
6 {4 t1 h9 `3 ^) m& _& `; T. L: A0 t X0 {6 Q
$ X; o0 }% t# H
: w/ [% a6 ]! o$ p 7 @( R B ^. C" R, @) T
$ j) g- Y% v# F$ S; D& p/ ], d3 G* S
D- E# [8 _+ ]7 A% n& J( } 
, N4 p# b |' r$ A. K( Y" W) g5 q5 d
6 C: y/ Q6 N' [3 O) i" @0 }' }
A# \4 w1 l; [' D 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen . N. E% m( t) y- ]4 y
' i# w2 v1 z* M, C% Q8 _* ^1 Q y' I7 g' Q* C0 q" p
这样两个域我们就全部拿下了。 0 k5 Y1 z8 x2 ^0 k, P% |$ q
, Z8 S! A8 u( k) \3 n4 s# c4 B/ r' V4 @, Z! I
3 、通过oa 系统入侵进服务器 - c* |! ^" @. B9 f8 t5 B' K
4 n6 J9 \3 s9 N2 U
H3 S6 E5 I: Y4 I ] Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ' p; }# S% ^& ?, F* J2 o+ r2 @9 \+ I
& E! S6 d8 Z3 a2 W0 D
2 }1 i; L" }' ^0 p$ _9 K
8 x1 v! v7 a% C/ n
N4 x" S) B5 V
( p' S0 Y7 K. \: o w5 R+ E# d
1 B% P/ R2 V2 Y* k
% x( r( k% A3 `- k- u2 i+ f, ^ 
5 }) z. D( _! u3 o: R- E, t ) Z0 P9 e5 Z2 v3 x" Z
' s% e% h% g0 U" ~2 S 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 1 D6 u; ]1 u) K2 K' k5 A: t
7 x2 k2 N/ m# Z2 i" K. e
* H3 S# H; I \$ J% L5 O3 r: @ 1 ^9 l5 N H# v) O( ^
0 l9 j# ~. ^8 ]& i* a
" f& ~& d, J- V% _7 B2 q
2 N A3 a2 G, |+ j* O
/ [8 O+ g* j& J2 \) x4 F* s
" c5 M9 N2 r3 J5 o% @; R5 ] " @! @4 Z! }1 b1 z: r7 o
+ C: U: \% @. D9 K0 i& Z* A 填写错误标记开扫结果如下 * c7 G. {0 C; }! r5 C8 u5 N# {! ?
' Q# P1 O9 U2 O" |5 I9 X
8 j% D# @8 r, P; i" ~
# A3 p3 @! H8 s1 F# ~9 Q% t
/ Y) b7 F( j; {
3 l6 K J# \4 a( Z; q$ K
+ ]) e! N/ J# A2 @5 _: j
, v( ]: w8 ]" I$ r! j  7 c2 r0 ~+ ?# R7 \( E5 m. C
5 n% H# W; N+ {" A/ {' W! n/ }
# w4 c7 R/ s9 p9 o, ]3 m) }. W
下面我们进OA
: X2 Z6 k( c" \( r5 t$ C. z
, p' h! [/ t9 n m! Z
! v" Q* G' T: k( ~8 W7 H
# t( v! B! ?2 c* r. m& _
/ A3 c+ _& E) B# e: y/ E, l; S) |, h
, o( G' q: n' t! r3 K( E( {
6 p' v) Z2 A& Q q
! E( ]! z; t/ q9 o- Y% Y
. ]0 f( o4 J! v6 | + H. ]: q) ?7 f& T& w
$ H. r! i! ?7 @+ ?' R$ T# q
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 2 e# O8 R: I X
8 t% t( @. }4 U0 [
% Z5 L5 ^5 f7 K2 C7 y2 K
& d2 h6 j' A& ^! B
) k/ y8 I7 l) d
# W) p6 N' o% g3 Q) J' j* ^* P; n
2 i( u" x* t( z
# G2 A+ j( M; [/ e& Q  ! b7 l8 V( D0 I* s. n$ m
$ K; i+ o& E- g+ f1 @, k
2 K/ L+ D$ W* c' V% k8 T0 _ 
1 a; x- E* m1 S t0 G" n/ o& U
. m7 F: d5 @7 g' F2 a& X: e
b) O! J! h. t/ D- Q 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 " B6 q, |* S' O2 b( Q3 x
, Z. H2 x! D, Y' @) \. J7 L" L
" |0 o1 r5 h* p( X% N( \, W7 X/ j 4 、利用tomcat 提权进服务器
* K7 q' O+ m( l" v) z; B
- u, c. Y" \9 G$ \! `& E& I1 ^& g2 r& a
用nessus 扫描目标ip 发现如图
$ n- {( P3 I1 ^- u6 i5 B4 j
1 W4 b$ _" {+ P9 F+ F6 m; {0 O5 s/ N- x9 D1 }( v1 i
4 f8 K! E/ J1 c" v0 Z! U& D
, `! F1 Z3 b. s2 v
6 x3 \2 q% F5 O' i( G* a0 Y0 S8 N
, }: x9 T0 O4 w, [
" [ ~* v( E: k7 L5 S 
2 x; _( Z. R" {2 x8 `7 L
" [* v) j+ n0 @' ]. ^. {% e% M: ?3 }4 [3 _' D
登录如图: 6 I; ]' v% @; g- b
5 O$ y4 v. `1 j8 A& m1 O
# l+ W. {# ~ x; ^
" f- ?6 Q( g. N* h8 k4 `
0 e7 D+ V9 X4 c& k" U
; R5 b! e/ ?' \0 r5 M( O4 D
2 R" {$ Q, A. j/ D+ Y. X4 Y# D, y4 s ]$ Q, H( y8 `( E
 2 f6 t9 X$ ]8 N" s
( q) N0 C7 s2 h
1 Q, w9 e. @( f/ g7 q 找个上传的地方上传如图: 6 |( |; d- D% ` o
+ P- H1 y* b% X: N1 R5 p7 U: v
$ {& N" ]+ {* i4 k4 P1 G
. o: Z" S6 W; c' c- l* S/ t
/ H P/ R# u" T; i2 f- [, p+ @
5 y* O7 ]% c3 E8 w! o. I- { : Z' G w( }& u& u2 y( R7 R
3 H% b: b- P+ T" m, z! { 
0 u1 ?9 Q; p, n3 Q1 o4 n( S4 l + Y: ?3 G+ {7 l, W% E( }
( U* ~8 C4 T: m j( U! c" @ 然后就是同样执行命令提权,过程不在写了
- d( R) l" J1 @ @9 ~, V
O- W# a' }! s# a) D% `, s( ], I! _9 M- l
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
% j$ {/ ~" {0 Y! {) Q
4 }5 a6 ^0 w, U* U% W* ^1 E2 G4 ]7 N6 Q
首先测试ARP 嗅探如图 - Q/ b9 }1 Z2 Y1 I. A
% Q1 S* D/ m ~1 e+ Z6 I" ~3 b
4 A ]7 R# f2 R. o7 G/ n
: {- T# U4 l3 v! ~ H# c) G
* y2 K9 ]& l+ b- v. v 5 y; D1 t. A# `$ ?
& p# g8 n7 h u* q& ?7 H/ r: j7 C- d# c6 s! N r7 X! A& Y
- m: f5 S! p1 Z% {7 |
! y$ ]2 B- I h% u: o9 {- f
5 Z; \) `2 O* ]# }! _; I 测试结果如下图: ; a: P/ o1 k2 Q/ D) v4 t
+ a5 h g6 }8 V/ o- Z. r' G. V
3 _7 n) |$ ]# ?. \
" }+ i9 h) s% S
8 B( b( w3 @' L/ k! p. l
7 K* r, s q8 J+ @ ! \1 |* p( ^) }! i1 Z X
8 I, \' P& I- |$ ?0 }  % f5 `! u6 {' ?% [2 Y. [$ Q D0 t
! c( G. g, U+ Q0 T, h5 `# E
1 P. o2 y3 ?- N, g" W4 M* l 哈哈嗅探到的东西少是因为这个域下才有几台机器 " [ ~3 S7 \, Z+ _) a, f
Z/ o2 W9 [7 C# E+ D& U* F+ Q& C& l9 }" m1 A2 o: m
下面我们测试DNS欺骗,如图:
6 `0 s1 E- U3 N. e7 l
3 Q, E0 U+ M- ^7 y9 }) H1 t* ?) V" v3 C6 r
% }/ j* O# j5 b! Z* v' }
) L! }7 w. u" R" }8 Y' h + K* d+ M7 Q5 l, z, S% M
# K v J1 m9 a; B; f, j8 A; O& z
% s" `% f, z: r  5 `0 b" ^7 e' w, A; P: G
$ ?) S, ^: L5 A' {' Y( P, f( L$ u( Q7 V3 W6 a& t0 T5 _7 p- k
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: / L- \! x7 G5 {1 T
- ~" y6 i' [2 _! Y% C' w
1 r, S4 I( q+ | 7 g* a% Y- g9 I0 {1 ?
5 D2 x3 O3 W" l0 \* {. v8 M+ p# I: |
/ Y9 g. {3 a0 w# y$ x8 E' {* K
1 g8 H& Y1 Y# O' _& j4 s& Y; R- O. w1 z6 `' j2 }6 d
* Y* V, |& Q" Y
* S/ s% c7 g( X4 R5 R8 L/ _8 h! }6 | y$ t" v: ^
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
7 P( M2 L5 U) X- o& G " I5 ~+ N, U- K1 q# i; q6 ]/ }2 ~
) `2 x' [. b- e 6 、成功入侵交换机
: g! W4 m+ _4 }* N , Z; D$ m/ m3 ^" s# U3 c
; p& M) q! v& d, }* Z
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
/ q- s2 }* [7 @7 }' N 6 r) d! C% y9 L, j
% l/ ^. d* M" x( l+ u$ y
我们进服务器看看,插有福吧看着面熟吧
8 {9 b# I7 t* A
. D5 O& L8 C* l. q) D4 q( E: W& |; y' j4 B) Q
+ k8 F! y, H" L6 b% i+ j
9 {6 v/ ^ E2 V) Y3 v, r
" U0 o4 ^$ @, e! h( }# p
* @$ M* t! M4 I# ^
5 n! n$ e* `# @' s 
0 O7 W% X3 p+ W* d1 p. S
1 E$ Y0 W* o! [
0 Z* b1 h. Z2 B" ?' ` 装了思科交换机管理系统,我们继续看,有两个 管理员
' X. ?! h6 ~8 F
/ s( ]7 b& a4 h4 S. N' v# j' H) C/ G' f) ]# `; J' d$ A6 q
6 j9 t4 \7 V0 k" d! ^2 ^6 {1 L
4 W" g) s% u3 v9 C/ d
1 Y, X1 Q3 T, k e" W 2 V9 E$ e" ], L5 T X
7 U9 o* n! d2 X# E2 i" e5 c/ A
! S& A/ Y% ^! A- v. @ 1 O5 m" o. t0 i1 C
- I |7 f! a7 n3 N A$ K
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
( F' j- w! R J, g& m ' d( T% ~ J5 {2 Z0 ^$ ?$ b
' X* v% e: _4 Q# d, q2 f/ _ . r6 a7 z$ r& b% o2 T Y. a
6 S4 s+ P! r, C& s# j
7 @9 _% W- k6 s/ @
: R; V0 S# \" H" _2 z" Y; Y! [! \
 4 ]9 g1 _( c s. \
/ {# I% w& f/ L3 i2 c2 B4 N& r
$ O3 o* P; A1 D 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ) }; k, t! C3 S, G1 Y/ {
& J x% f) y! I& v" O# Y" t5 Y! q
2 K, p; [: n" B. ]4 L
2 ^& }- x) M; s: z) i" a
- N @; S' o, k. _6 u. _' h3 d
- [0 U2 U- }4 D1 |
: U0 h6 i1 @* ]' A7 t9 }
' H3 _, \5 A3 u7 r: U. ~+ p$ L
- u' u$ C3 z Z* v' K
' M8 g/ {0 d7 ?/ p9 S$ d/ V) o. y0 \ c0 ?
点config ,必须写好对应的communuity string 值,如图: , w4 I5 x- F+ i1 c: x7 u
2 y! t% p# \$ T8 Q. c# `$ V) h1 ?+ j1 F/ C, ?
; z3 \) D7 C- O8 W$ y ^$ q
/ d+ t2 b8 h( e# G
' {. C9 j% @% F( {& n1 o2 \& Z ) n- C1 ^7 Y5 ]' R# a
7 H/ o# s, }5 Q$ _ 
5 ]: m9 V+ l B1 s/ H4 q3 b 7 {" B" Y4 h1 g' Z) Q+ N
7 a# _% | k' l( ~3 r 远程登录看看,如图:
+ @, @+ {0 E6 ~
0 F+ u* @% f, w# O. c7 K% `* l9 R5 a
7 h0 \8 s. d. V; v6 L- u, V: y
5 b) Y) n3 s: ]4 V! K$ L
. o& O3 w: Y, Q; ] ( z' s$ L6 b( z4 `) K' ~( \% L% ?
) E7 ^2 a2 e2 m  0 Y2 i/ s C- ~% i
5 y7 d& K D! H8 C$ l. l5 B/ Z9 C
直接进入特权模式,以此类推搞了将近70 台交换机如图:
8 w5 y7 K, _4 c' X* Y: z
4 A! t0 l7 Y/ g. O6 J5 G3 I( R5 E7 U4 e. T
3 j0 }# [& |; J* U" `/ H
1 M5 H( W5 y5 n. _& s: A3 U , J& D# X; ]) d+ w6 x; N
! ^, E: X' C) _) h4 D; W' \, P; x& S0 e. x2 f; p5 U0 d, H* p# _3 K
: w' F" p) L; N9 M: ?3 U6 `
6 r- i2 x+ c5 V9 o
0 f: o& ?! A- F% W. G* G& e  $ c' x0 ?4 A, t$ M6 c
0 p2 ~; h- } e- g6 z1 [
6 U1 K( L7 @/ v6 E1 S% \9 g 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
" i! V# i2 f3 m/ M0 D" w' ?
8 l" ~/ h' \% L7 g5 G; t# g. K
! y; Z( _4 R6 ] `, @! T4 a& U 7 E+ I' e; f9 T3 e# N' x
5 t" P0 h2 g: [& z4 u/ v3 Y
0 ^3 D2 C/ N/ g" _1 A
$ r, D* ]5 e& A1 v: @$ Q4 V9 b1 c' G8 s$ I$ w
 ( z2 ]1 t4 B: m5 x$ u. j8 O
8 ]( a* [7 D0 n0 z- n( _' E0 @
) U0 r, E1 X" A- U$ p 确实可以读取配置文件的。
9 P$ y% A0 N, x9 Q M8 E2 T$ j: ~( k& o3 {
9 s$ M8 ^* \0 d9 l. S 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 N0 W% k- f+ c" Y6 } H" ?
' F7 ^3 a7 S8 @3 s3 W3 A# K& D1 C, G# a
) q! v+ M" u+ x1 H
5 Y8 [* h- g, k
# Z9 Y2 C4 o) L, J' ~$ ~6 Y" B( c0 L* k
5 H9 l+ N$ A* j+ U( |5 P; Z u0 Z( h5 ?
 0 R- V2 a1 \! A$ s- E8 _
8 U- X+ R8 [% \& j. i4 D8 T M. G3 }6 ]" G
1 J0 `+ ?. A9 K. [+ w# o3 a 1 S* D( L! q2 A9 H- M/ ^
* H5 T- h4 J* w
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 ( [& H5 V) a. p4 z: [. J# ?8 B
$ D, T6 i' h( j! I
8 J& B( Z: `- A" C- u
2 n8 C, |- a4 i: q, e3 {
' x- t2 B% ?+ v/ ] {: @9 s + S; j9 W# |; a b v* {
; j+ G' P, W3 C2 B. _0 H% k) A3 ^
& E$ n- ^' h3 | c 
& v0 y, o6 `6 W4 @- Q 0 t1 f- }! G7 A- |2 G D2 \! ~, w- j
+ D1 a: Z2 j% ~$ n, R 上图千兆交换机管理系统。
" J9 W4 V" H, l- p N1 M: q/ d 6 F* v# z" R7 Y
% j a! j4 N$ V. b% n 7 、入侵山石网关防火墙 ' a# n v4 O# Q8 L, T) k8 |
8 ^2 @- J0 q' ~' L9 \3 I
C, v( K0 H2 f( p 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
7 t% c& H, {8 U/ g3 [, Y! R- i $ o0 ?" ^! L# K% N! |+ S! n) \6 u2 }
) n2 V x3 m( q4 |& b
6 _; r; N" [ @6 g" b5 n7 {( _
. |3 R1 Y7 u d! B9 u9 K
( B$ Q G3 }) v; ^$ _5 j \- Z3 w0 q" S1 z
$ J; _. u d3 Z: }5 s! _  : ]9 N* ?; a y! l2 i
# `, M1 o# I* {3 Q2 O
1 c" }; D. P+ I
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , F/ C. m2 L- G: p( @% p
4 }+ R2 P+ K, V7 G- S2 p. t, R
, Y+ Z% A9 l" X j; J
$ e- r8 Y% H, X Z# x: y4 u
- P: r8 Z% b5 Z: R. ?" w" m( T, R
7 L1 N9 u; A& T+ n& s: C
* z, Q x$ z. N3 o3 c3 X, W, ?7 a/ d& u0 w+ C2 P% T
 ( j& [* b, I# w& d; M
* }5 C5 L$ r0 ?' s# F
' ]# O, o( d' S. z' i, b5 e2 U( q) U 然后登陆网关如图:** * e4 E. s- [) f/ _9 T+ g
$ r, L' `' ]; Y8 O. C1 d' J
' S0 b0 X1 {. Y. F
X7 y( T! M s/ H0 D
- z; y/ @: G6 Y( i) [
8 T0 M# a2 c; Q9 M( `, `# s
! N Q+ {( g' _' Y. @9 F6 ?" ]6 c! X8 S/ d1 K; ?+ H" r8 A5 k+ C: k
2 j) M' c) e. i9 E) v G5 ] 3 Z4 z' {0 X0 d- N, H
1 F M4 E3 F# X+ K& G" S7 C $ @# r; f q& X- J! o* _
; C6 n. o2 a, x, j) E; |
$ m1 a2 O( m/ J, E1 A/ B; z1 g2 O * E; |5 v/ L+ b" q) w. P
+ k5 c+ Y# D2 E 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
3 \/ C! T1 P' {5 s" i" t
. u6 @! k z% Y @+ u
* N% \- a* Q6 v4 \: q& v 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
* [: n; `0 E% t
8 Z, d |0 ?& V; o* L4 ^5 n
8 [3 S8 C* [: d+ l 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** # f8 s8 J5 }5 R3 H
" l; s, ]' H. p2 C0 m8 [
( |' c# E# F5 t$ A5 d
! f# G4 V5 ]. d
5 a' ?9 l) V2 M. o9 l! F$ Q- j2 m ) ~" c* {9 h- y
! Y. G9 L1 k7 C, u4 t% q
# v7 J# r+ T r  0 Z8 h% y& q( M8 ?
# w, ^+ E% q% Y4 Y* g$ |( ?3 a
# u: K* c1 M% U1 x2 R; t; S- u 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
, K0 H# R: \" d) R# c" k 6 J8 E; e; ?0 j; l! T6 {& ?" a
- c' A/ Z4 F: x+ |, S( i, J5 I' n ( W0 M- s( S3 [% n
, i {& V0 W! ~% ]( j6 [$ b
" t/ n! Z# V2 U. R- r. n2 N$ g# p
3 @+ _1 e) D' M4 O/ |
7 n/ a# h, n/ i' Q4 Y) Y# v0 l
" K; ]8 V* I3 O( Y2 w | 
发表于 2018-10-20 20:19:10
收藏
支持
反对