|
+ T, E: q9 G& r. v3 Q4 i
+ E: L4 x: ^! Y
( T2 O2 C, I+ G2 k6 \7 x s/ H
6 H' w1 p {$ }
1、弱口令扫描提权进服务器 # [1 s; Y: V/ j! x8 X6 H
2 f4 @- N( K1 |$ p
5 u4 a5 i7 {. i: C 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 5 j8 e0 c4 X8 r% |# a+ V/ _& ?+ u& v
5 a3 I: `7 G1 a$ O' C
3 \+ Z' c; W0 O6 | ) `0 A5 T. M( D
" D9 O+ N9 w' x' C
, v! A) o; R" z G# q T
+ k' S% T/ y2 {9 r! P3 G! |
; l# z- h! V8 m$ f0 y
 + b1 g3 L0 W2 f# v( ?" W
$ V$ j& Q+ `" f' O& |
5 ^, P+ t& m& U! f! O 
0 l" Z" h+ G5 S$ ~" S5 b2 u
8 s) G7 l6 y2 H/ k
# ^1 Z" d5 d2 {' q1 M: K0 g8 E ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 % L8 B4 t/ G" i
4 O/ o+ O; @; y% r$ p+ K
! d/ S- d& _7 D; I5 u# y) O 执行一下命令看看
+ f) G; c5 \" D* {" y
; `& k) M3 a3 c
: `" a, n/ i% k  $ R9 X+ g% B9 d# R7 O. Z
2 T& x: r4 Z' P4 _ g' U; l, _# P) U
1 z! C% I1 i4 [
, V, H- @) U; w9 w
" Q: f( x4 }8 |8 `: _
( I% ~/ C# N+ v* u% I
) N7 \7 `+ V0 y- b2 H
2 w' J& W+ _ r9 W 开了3389 ,直接加账号进去 : O! e; N& B9 m2 H8 ?0 k3 h5 w( V
9 {) [$ A% t3 G+ {5 K
4 G5 B! X" d* k' W9 B" m' ~5 H 7 p/ ]6 m8 r4 n$ c4 W
9 J- d+ `$ d2 n# S 3 z- z* e* G6 r5 r
! ?- q: a' m& z0 ?6 o! \& a
/ J3 v4 u8 c: w! r! f8 K8 g" L 
D/ `/ k1 `8 ^% R9 z7 a8 W
$ R' U5 v9 a+ j! X5 H9 s4 D1 d' f( @8 `" K& w0 R+ y
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
- G n1 v# p- d" z; E* S* Z
! B' `: o4 i. L2 w8 a/ a- h/ k& _* ]' B
+ E9 ?$ n% M3 i
' q6 \, ]( O8 }$ _
( f" \9 d* F C4 e3 f
( Z8 _* V1 E$ V$ q
7 ~( i* g V+ Z; K' G 
- ], c9 X; ?0 n: u+ j. @
6 N/ K' z4 \/ \4 w5 d" P
2 A o; F; p) f: `6 a5 Z 直接加个后门, ; J% B$ D1 L/ b7 |/ q! j
3 a5 n, l* A" N1 P! q" c+ n$ R& n) P& e/ z* J2 a8 }
 4 I( G9 a% b' \, ~
! G) _0 n' `: Z* r
4 R" \* v" L, h2 c . ^) r: R- V1 u9 `( u
K/ M/ w6 G" G
+ H( W+ y3 i* t/ x/ c" | ( b* R7 I% I1 M# I9 N5 }
' ~5 ]- C' j1 e8 I9 T
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 * D' c! n! Y0 }% X; t$ }' i
3 ?, |: S% r1 L* O) \+ u
8 _7 A" P4 }2 H# v9 V 2 、域环境下渗透搞定域内全部机器
9 n0 x* _1 j4 g$ g! h + h% o# d; g H! y6 b2 m" T
) V0 ]( S3 f: D' d' t7 r6 F
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / z- y5 i1 t; V- n$ ]+ u/ D) ]
, i5 q4 a. @* e/ S2 `. m$ R) w' c U& ~
8 V1 g6 c V, O( N5 |' q
/ z, e6 P, y& d: ?
% V4 q$ H/ Q: E5 {% ~
3 R$ q u) l. g( l' S3 L
- O5 A y% N3 j3 j+ O  - I2 ?* Q* H$ W! M6 f4 g
, J! }/ y# n( v: m! Y) G
, B! W4 ? |+ A8 ]
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 9 C1 j* f& F V4 a: m8 H
. g# ?2 ]3 s/ ~" m
! R4 z d) |. m4 M# J- S$ f ! ]: Q- t# d! ` C
' }7 m z, {" e/ p
% ~% z0 s3 E0 \" ?
1 m3 u k$ x1 g$ i& Z- p2 s
5 }" g n: _. g1 T 
/ q( F5 g5 c- w! l" b1 g
; q m. T" j6 }7 P; ^1 F. y: |$ [# J4 H! O: p7 x7 x9 `! i
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 9 P% I* }; A6 q. p
" _+ X% A/ Z9 M3 l. w- N
: {* R9 A5 C3 q$ g8 |+ k' V6 [' { 9 e, k3 s* m# @6 F1 V
3 j3 A) O" t8 d' Y9 r
+ ^3 Z/ Y, A, ]7 {9 o9 s( K V
. r$ L+ l4 W' H, w0 c4 ?
; q: u8 N6 c/ G% b. p  ' b7 H+ _4 ]& P8 r$ R
7 n5 G& k4 A8 T! m7 m
- l- S, j+ D/ a- k3 I/ R8 [, E 利用cluster 这个用户我们远程登录一下域服务器如图:
, k, ~8 c! @# Z+ n2 m
; J8 t4 w1 M+ h7 l% j/ K+ ~- e1 _' Q0 v2 \2 R" k% I
5 Q( u8 x) Z: ]! s `4 h' C
) k2 w: a1 U6 `3 Z 7 E7 \/ ?/ X, m* @; E, S- E9 r
! U+ }4 C O: K' {6 t" c3 f. Z' j8 K/ H
+ i5 ~/ T2 U1 q9 \ 
" G/ {8 O! L" l5 ~ U, }& s# H
% A- K4 q" n! }. [, r' J G* }" A) c. f7 {( R! K. }3 r2 S
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
# H0 r% s# I5 k. V
0 C$ f# O- b7 a3 Q
: `* a: Q0 @* g+ M9 t& B " S0 l- n' u- o4 ~! H* W
( k5 G) ?" A6 P. I/ F# L" c
! H( H/ [ p [0 X / e( j7 d" f- g( d4 f
* k9 F# H' E; ~2 D5 c" N
 . ^ I8 w; i3 M
3 z+ A5 _5 {2 }, R1 _2 n5 }
5 C% q. \/ B; T- j! d
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
2 Q2 W1 e; t. ^( ~' u& j % q+ M9 L" W3 j, |$ C3 \0 x+ H
5 u A$ ~' `/ e* i: g. Q" n+ z  ) ]4 S$ z/ ~ B" a) X/ r
0 U0 u# Y- w5 v1 g5 S" p1 J! h% a, d1 {; o/ K
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping ; `# h% |6 i; ~+ G. @% V
/ j- L. L; u" m. W$ ^6 g0 R8 I' I
( @, `, T3 v* v( S+ _
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
; i. }7 `1 o* O! \ 3 M; n. y3 A5 D7 g1 u0 h
5 [* X9 r0 p+ M2 X, C% y% }( B
9 ?( z7 ~ \: V+ t) C( ]
0 R$ Q9 R7 \5 A* A1 B9 ^& {* T1 T
& p3 |. ]( S* G
! u: O. A9 {: W* |* \. F
2 s/ ?$ [) i. O9 s1 c: e, i3 q c/ ~
 ' N+ F! w( a! ?) F; X9 d
/ y: g6 y5 e8 \" a
7 L# Q9 c$ M8 N+ _! Z7 r 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 & R) y2 s3 i2 C
9 }. z/ _- P8 a; m( s- O
! M6 y* J3 o e , P, c- H! [' S
0 ]2 I% W5 i- e' U4 [, B, Q; ?
3 O( ~* P8 a( y9 l/ h & o% K) j, z1 _7 w+ o& x
: F( o' e; K; }; t! T, [ 
( g& j) }3 K; ]% Z, W+ G
1 q. e, j% y/ i; p: @" E0 E) ], Y5 P" c; @# c
利用ms08067 成功溢出服务器,成功登录服务器 9 c u# e8 q x4 y+ ~' c
2 R. g( K+ ~$ z/ c$ x0 L2 C; F9 g& G5 Z" C3 x @
* ?! v* J* b6 P4 t
: z, k" O* w- Q" e* T& H* y2 U# c
3 h% @* W5 v( o# x
0 S. ?6 z+ @1 G5 L1 Q
" s7 Q) N& p6 x& @, [3 x 
& Z& I5 e @8 w& J# B& |- t 1 e N6 ^; ~/ G, l
3 c' e+ T: r' [. z
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen $ e/ L; j, V. [& n @/ c! E
6 m; b- S' M& G7 W1 Q. G
' f- h2 l9 {/ Y+ a& \# A
这样两个域我们就全部拿下了。 # I. d8 a$ Q) {7 G0 }- F9 |
) Z- v: B/ r( P. }2 f/ z5 e. k
. q( g' v' D4 q' ^3 u; |
3 、通过oa 系统入侵进服务器 # O: w R; \+ D0 i, r8 K. K
$ |% D6 p* g: a) R3 {9 D: y
- y- r0 Y7 O" _+ g# U& X# \ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 + s! `+ d* w' j9 h9 p2 Z
8 r% \6 Q: [# s. N N0 `0 p+ T
( o! ]8 {; S- E$ s( ]2 s6 c3 k * F5 H, u; P! s2 S/ Q7 _
) s0 _; [3 J: J& P, C- U 8 d' _9 i9 l' D. w) `7 z
+ T% h# ?: f1 U6 L c R
+ S3 j) d/ F4 @# D" u/ d
 * k/ ?, G$ i7 c5 V) M/ T
8 v$ W. w2 [1 y) E. n. h
& n6 y2 d& G! L8 `4 ?( W. h# ` 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
6 H5 e# a& o6 U. R3 |
, w% w7 [$ R0 p. r% I1 p/ a6 _/ H
' y/ {* e" @2 p# G5 u- Q$ `
, d; P- F; t9 N( ?$ u9 j1 I
8 u9 [3 ~% E7 A$ c
& @' r$ b9 J8 l" r/ j3 c2 n9 H. W3 s8 Y' \
& J" r/ q0 ?" N, u# O9 v' O 
3 ^# W1 }" k* j6 D5 ?9 M
' g% r% f8 T) p A1 U& _; K
: u1 O. g7 G, w z, g8 G+ }+ I+ r1 | 填写错误标记开扫结果如下
- N! P- L, J+ L
$ M# ^0 U+ s( r# b/ G3 |8 |% \6 P! e* t/ C
* K% P, l! ], C& j% L& g5 s
3 X8 s5 {, M7 G) J. h
, r. s- ~6 X- d: V, S! P8 W
5 r2 B5 R# T" p( _- E# \ H1 |* c; L
 2 X; ?9 I% q' Y" Y
9 H1 I2 W3 t9 O4 L2 ~# H j! T
! H8 t/ I+ o+ V' h! ^- m 下面我们进OA % `, F6 r0 p' x& q: B* X
5 v$ ]3 O0 w% s, L/ a$ B
# P& p: W1 P/ e, |( G6 U
+ F b) c' a. j8 G1 G4 t# p8 Z- m
) {1 I' N2 i$ {7 x o5 c
" Q2 ]5 I8 T6 H& R8 d
$ d+ i7 Y+ P7 `$ s
2 I: J. ~: z% \! }2 x0 j9 r  6 q3 | q% D% p: B% R
$ y% Y( b- C& {4 V+ {
- }% h+ l6 x! k1 U
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 5 q% `4 @. \' a5 [
. {& e4 z; A2 M3 m" h& Q( E
2 T' M9 s* j$ b* e( \' Z ; H; P5 U4 U+ u+ Q+ ^0 C, e1 t" i
6 I4 D X& O" N# m/ Z" L
! K4 T7 c6 a1 c5 \% G( P - f4 g/ B/ K. D; [" ^! Y4 P
# i- o e% \8 H. g- r
 " j: J2 ` C# @- e8 |$ M
" N {: h4 p! S' w3 d L- m# D
K: L% ]/ n q7 @# ]5 h+ Y  $ m) i7 |5 O- c0 o. Y' h" P+ t
9 Z% w& ~2 l0 X
) `- M! J0 u6 V0 G7 _. y( p! H 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
8 N1 N+ [0 V- z& c/ F% \) w ) q9 d* M$ d! X4 H% {
2 C2 [1 v- _% E! V7 i! e5 p 4 、利用tomcat 提权进服务器 ! D& U3 E5 R p, S& y5 x' O9 L
. n& Q7 H0 u# x
O& `& L% F% ^2 f0 ~9 t: A, q9 e8 B 用nessus 扫描目标ip 发现如图 5 F: [! R& V3 w7 z
5 ~: E; k: X/ D
& c, H( W7 r& V3 ?7 e
& `, `( d* Y/ _" `
) G8 W; m: g& Z/ ~& t# y; g
' F' c% [$ ` P- t; p . C, ?: d1 L/ h1 _$ P
. w# h, ~; b* w4 ?& }4 m+ v
 ( p! g9 `, x$ x# r+ v; J. Q( K
9 e7 {7 d A+ l _
( Z0 [6 P- ?8 E 登录如图: " @3 F8 p* o. x2 R% @' B4 }
3 z0 T) R+ B! Y) r, ~/ t
4 R* r0 U% o; k) A* X
$ E+ e( z3 l+ f- ]5 k
1 K* L! D9 S6 W- {7 l! y 0 }( O' A+ H0 H) r! v
- L9 P- ~, |2 d5 o6 c: o* ~
; q# h/ }7 W6 S) g; a  & V( T. X7 l% |, |! b
e# V4 f+ o$ g c! M' J6 x8 Y T
5 N; [" v4 y: r6 V. b7 g) O 找个上传的地方上传如图: : [( \3 @, J( ^% {
+ M( q" o1 `4 q" _% V
" i" q, y2 K' y E) E
7 r; l1 r0 {5 Y* v1 Z, }# ]
9 s3 N/ p4 ~" W8 ?* }
3 S4 h' m1 C# r, p% y; b
1 q( K$ ~; p1 k7 W$ b, e2 A
: f/ G6 k* d) d2 n  + h3 f4 Y( D3 s4 M3 N
4 q$ X$ U! }8 _) f! U
' Q0 m% Y" T. h* n! j4 b 然后就是同样执行命令提权,过程不在写了
8 t* V2 h* N3 @ ) y# V2 v4 {( I) C5 N$ i9 l
3 h! h$ N; K5 p# O. p# b 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
9 h* V; R. y2 d% r
2 p' q6 P1 o& g/ _; R. M8 n, Z/ _% y$ {) B: U' _
首先测试ARP 嗅探如图
! `6 d/ P" j- k3 O# F6 x 8 h: y+ z- W0 J* j) l+ W/ V& l, S
% F2 J( y$ ^) g2 \/ Z, ?* S
8 C, o2 ^7 R- Y: ~; X
I- \6 R5 X1 U( k
- u$ J+ P8 v4 W( t
/ t7 w! q, ^; @2 ?% S
# W6 U* |% v9 L3 k  4 h$ O J/ v1 r
1 s& i5 y7 p: E2 R" q0 f$ y2 U S+ l2 s8 H5 e2 N* y9 |
测试结果如下图: . w e7 ]2 ]- q8 c
d+ u! H* B! J6 ~; S. B
( q) t4 r* B6 l) g. C & }" p! u) e. N
* s4 P% R! g. E4 P
( D+ w& u) P" \( ]) _2 x7 |& e
H$ C4 D" m: l( x2 a4 j! V4 Q* e9 J; ^
- T2 o/ Y5 D3 h9 L; t! T# L
R- [4 L: ]& W" V6 e/ v
, B* x$ n7 f% J4 k, d 哈哈嗅探到的东西少是因为这个域下才有几台机器
; G V2 I0 w; F0 k: A
' m! X9 l: z" @( G# r1 F1 ]- S. z. d5 X( ?
下面我们测试DNS欺骗,如图: & {9 M0 ^1 G1 V
( V) G4 D# V0 z* `5 H3 u
- l' t7 a5 C3 G! q8 u- z) V/ S; \% } ; y9 r" [/ ?$ [. M! B5 E* j
0 A6 I: f# _ q2 B
2 J# d" H5 l9 T3 R1 Z( ? - T6 _4 h8 R9 r6 x" u+ o* l
# J/ T; Q( }- ]! D3 ?" \& J7 `0 J
. f' w5 _; I' s" \. g6 L. Q4 n0 \
% g/ W: n! n- B) M' R
2 {2 K( R* E; N6 v* D# ]$ }. x6 E5 a 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: # A7 g7 t9 \' g/ m& h
3 D" f% l1 J: C, p* W) O% L
! E$ Y) J e) N
8 S8 S5 A! I9 i1 Z% o0 Y
- }. S4 p$ g8 V! ~
) K) X+ ]# p9 h y# _% l( \
# m0 h8 h0 z& \0 K' u. H1 [5 O, Z, X7 A0 E6 _) ^
 , U6 L4 O3 r# o) [1 f, _
2 ]: y, o! N5 A" Q1 N5 v; @& D8 n, F) O3 Q4 N# W0 ^4 V# l" O
(注:欺骗这个过程由于我之前录制了教程,截图教程了) . m3 T8 ]% J# ~9 t8 c
. m1 S2 u- Z3 {7 W6 A. G
- T$ d, T/ Y% u- W4 L" T. _* B3 h 6 、成功入侵交换机 - Z; U. I' j' q; a% k. q; _
9 D) M/ A6 B) T/ S: a I+ E8 F B
- `0 w3 w+ l1 M& R5 @ 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
: M4 U& H* P; V6 Q; w c; F) H 9 M2 ^" h/ G* f" y5 u% e
+ ?- n [; w2 O& M) V8 w9 y0 \- z
我们进服务器看看,插有福吧看着面熟吧 ) C, v) l$ N( Z5 L5 Y- U
4 R. c7 l3 H. L0 I. S2 T8 R0 t
) Q3 S* J$ W/ [
$ p7 d$ ~0 `3 W! [
; z* E% r- Q+ q" i
; c8 A& X) Q( e$ i7 V' r 4 C6 O' K) M s2 O3 [, J
& X7 X" @8 z7 ~9 M4 r 
2 J1 s' H0 L: y
3 T4 E) F8 a" b: y; n g3 d: t5 t8 ]7 \% U2 B3 B
装了思科交换机管理系统,我们继续看,有两个 管理员
4 P$ X8 Y) \( t& f. R& ~+ V* u
6 I3 k! C5 `" `7 U0 q+ P0 K* }& n" y8 o% E: l
% k' n R. w0 a! c( L
7 o' k Y- G# b2 r/ m
! U$ [# t( B3 w- W3 N
* M! P! l, y0 N6 W+ g: J& t9 Z6 M+ k/ ^; ]
 : b4 Q% B. f; G
9 o% g8 j" w+ _+ `# v$ P2 g+ k$ j+ s
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
- _* G# h9 W1 w5 B0 i+ b$ d+ b$ @
& [# `/ }$ g! o+ n% {+ A
. [, I# p. F) p . q8 i9 D' C, O# U5 \4 \0 ?) Q
+ S) B" s: P+ i- W! X: _& U
$ J8 |1 y7 f4 U' d( L
: s" P( Q" n. f) s- B/ n* A) Z8 z3 g! k+ ~$ m
5 u2 U m0 k' E$ Q* b$ }
6 x( a" k/ v- t7 ^9 g8 N/ u7 h" u0 N* q2 W9 m" e$ W9 M
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: - o1 i' }$ x( ^. [
, u1 j, l9 o+ S* x% B' H8 M
0 {9 s( J2 t2 ^. R& X
" I9 M7 K& ^* _) |+ y1 F; }( ^
6 L* E; @& t* }, o
+ p7 }, t; v' ?& D% ?9 B6 Y
5 C$ G8 A) b6 J4 C# g
" ~. s9 R3 g) y# K$ F& q
( _9 V7 x" F+ w z: I0 `% V2 ^) @
2 _+ L3 ?0 z, X2 J! l2 p% _, z. ~$ l 点config ,必须写好对应的communuity string 值,如图: : J3 @* k" O2 u5 J3 I% P
V0 M2 y: f, k' }8 l# }0 Q J
( G, P9 o4 ?6 P. }. G: X+ r
( R. q) @: L6 N3 g% V0 c) w1 t
- X% D# f( s2 V/ U ?+ \
/ J5 l4 @* w" I* p# \6 ~: p 0 t9 [ y% W- t; }$ _0 E, T+ h
& h v) C. y# {' L( l 
1 K' ]! H" T6 e; C& L& V, i T( E
1 w; t& @& v/ u
H5 n5 K, N2 s9 r6 e- b8 E 远程登录看看,如图: & `4 c, c/ _. U' t+ @
$ Z" B# q* H. |1 l
2 |5 D: h: V8 Q
~0 c( y8 H$ O: j- J& Q( U
. K; C0 W1 [" o/ `% l
6 U* K/ l, i3 ^" K6 ]" q- B 8 S% I- R# u) x* j5 O
. C1 q( l' ?! z' Q0 x9 g6 u8 y7 |& w0 y 
+ i" y+ ~8 |0 n7 _0 z3 s1 u 9 o0 F( E; W6 t" B
( d T. E7 ^. l& M+ f7 }
直接进入特权模式,以此类推搞了将近70 台交换机如图:
3 a0 w3 a }" f3 P) n
+ \$ x; h' u* F7 R& b1 }: G* X6 F/ K2 f
3 N8 A. O; I2 G8 ~9 ~
5 `# l/ S# g( X! \
( b# j% l% X7 ]' ~( I/ O" {1 R. d% ^
, L% ^# u- ?9 V5 H7 c2 b- V
: @# l; V9 p& ?! j; v# A
b! h2 T) _/ } M1 v 
) j1 k" D6 s2 x) t5 M& M: x- d , t% E+ }6 F% m; X. r" _4 i
6 \3 a( _! o9 r. A: b& M& z
T0 |$ ]! G) T, A1 P2 P
& @% c7 h! n8 S" @- W8 |0 x3 Y% ?6 u' R# k& `
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
9 A* r5 n& X+ o4 [& R1 J: u& C
$ e+ ~- k Y: @
/ p/ i! V$ o) N/ L- S + C* M6 h% M H% V
+ ]/ k6 o; z0 O
% N, O& x. y; k$ e& L" E
3 W. z3 N$ A9 v) \# v" t% |) u( ]' M V0 B# s. T. I! ?/ w7 ^
 1 w/ w7 \: o+ j+ j' q& ]8 Q/ q T
/ c/ K% m: ^. i! J, w% r" x
$ ^, S( v6 g: p+ L: a* S 确实可以读取配置文件的。
3 e0 U# e0 e( p9 f% C
: Y9 U$ P7 q; |6 p6 W4 _
9 U% h* R4 i4 _* |5 \# O 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 : {) J# \% y' y# s; S: _
( b8 c+ j' h: S+ m9 H1 [( d7 M! ^+ Z H0 q( L2 R) ]3 `
A1 w9 F# f% v
1 H- C6 D/ S D0 z6 D& x
) N5 h, J* P) e3 j( c
# F9 m: B% I4 k1 @( V4 ~
4 o9 Z8 b6 ~% C7 z 
" h0 a" y+ G h
; M. i3 [. _: \6 _% h+ I. Y
: [- t/ x7 T4 W' B 
" g, v- `2 R" {! J! j+ E1 ~
; N$ F% v' z0 h. c7 j% j' T7 Q8 g3 [/ {/ ]1 g% K- p5 J
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
. S0 k1 q. u" j1 B, j+ ?2 g$ W7 Z
$ p) q! Q7 C1 |/ e" d+ ^, K4 o% t, F1 \5 b( Y& C& j) N
# v! t( ~! W' d4 B
7 F9 y& P# R' S1 ?5 W$ {
; C/ ^6 ] c+ g6 N" a4 S/ `
( B# h" Y/ \% S, R+ Y! U2 f
! T3 s2 D8 A/ Z6 G J1 E" |6 j  0 B1 e% Y; F6 f" n; E5 {( B
1 d& w G# i( u% c
# F4 X& \, s7 @/ o% J 上图千兆交换机管理系统。 8 ~) x7 q9 P3 z4 f) h
" Y) P1 i- s" t' m3 o
- x' r1 r! g9 ^1 O 7 、入侵山石网关防火墙 ; \: |: N- E- Q+ h4 b
6 M- \ w5 n; G. k
% M A6 u' ?% y1 L6 V3 R 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; Q+ t6 ^" L1 ~" P1 ~' U+ N# ]
' j/ D- ^% I4 l2 ]. z) @
4 f; X( l8 m7 _0 P! X: J3 v - y0 u; _; m$ W Z; y) I. N P
. m1 A" ~) j& D5 f) y- y; s* C
) } r$ L$ b' `8 k J6 B
2 S2 Y9 b% @: }, A4 K1 r8 g
& l9 j; n/ r1 s E E) [9 F  % m* V6 o* M+ c$ t+ {& g; t
0 E. l( q. e5 [$ c; _# L
: W2 I! l# f3 V# Y9 ^- \# L# D. k" ? 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
& B: B* e, [5 b3 r6 I- |/ y
$ p) j) `4 ~; q8 n8 P) s5 l9 t" c3 h: o" Z. }5 F7 L7 \! r
! P6 x, h- C* h4 i& h1 j
( K6 A7 ^- a6 z9 P' _3 H ' |) k. p! k6 [# J; `
6 O; L1 s+ a% z- O- X
1 o* o+ X5 {0 V5 X$ G 
t+ R/ ]7 Q% o4 L; i
, ]6 F+ n. T, W( B" [ c* d! H6 u7 O
然后登陆网关如图:** p& }: j; S# s% \. i$ i, E4 K
4 l+ Z1 ]" x: m- m3 W, K
) F0 ~' |3 a- v2 r. @
0 ]6 Y" j" m5 n( i( x
; s# {/ F& D4 ?5 {
8 b0 s- T* N$ J; Z" v
) D+ Y6 \% c5 j, ` f* v5 m8 s2 F' {- w6 m7 a
 3 A: ^* V# @& A9 ]& R
1 k& F5 d6 X% p; T8 @' Q0 K s3 A# K2 I* s
N/ ~2 B$ m {. [- v' H/ |4 G0 r
) @. t B9 O6 C" W0 C7 I2 B
f; Z4 Q; o. b# ^! S
7 f1 n8 N! `# Y9 c1 u; L" [
: u% K7 p* Y( G' N3 u 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
$ W8 O- S# D1 r4 ?- D ! X; e9 M/ Y) W2 C, ~
6 _/ }( f0 i3 ?( Z* n+ Z
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
6 k8 L& J+ H' X8 h6 N z2 z0 e
x( D* Z- o! {
6 H4 n" Y6 ~" v7 J7 A 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
: i' [: \+ r; }; c; K! ]- j - r2 M" c& N v8 n0 q" o) ^( d
6 V6 B+ T Z1 L0 J
# f! e% t4 _4 k$ j! q( U( T* x
! g2 [- |7 v8 v9 i: }8 r ' N* j" d, `8 c Y S+ A1 d
- `3 a1 U: I1 q3 D f' G
4 C& o3 z1 k& V9 u 
* V! H9 X1 b1 I& e5 ~
4 F# m2 ]( f( @: B5 n% \( n% H* Y3 y3 C3 H' {+ M; t8 g
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 " t v W) h& f& x# E( \( ` N* u
( ]+ ]2 r8 ~- M6 \8 ~( L- Z( P; |
2 n# G+ H: p( S
# J! @9 B, q" Z3 S8 }( f) T
$ u1 c, X, p6 [, d+ j d" E {3 V w
1 ^" S6 ?' g! W, n2 y! `! y5 i
4 ]6 F2 V1 m( ^+ E4 M) c) k" R/ w1 G. C( i) s( u, H, A
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对