3 @. e* v: K, r8 U# l9 x
3 u# X& v a) V9 `9 F/ b
' M$ g( G# v: e, U% n# N3 s$ p$ j 4 m9 }6 P, H! V0 e5 d
1 、弱口令扫描提权进服务器 , A: ^- N: e. P
) V& E: n$ _5 f! C8 _ 9 Y1 m" ]6 e, G' i7 ]9 }" W! e
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
9 W) y# ]# ?9 E+ q+ J
; { ?! n( r1 n0 V. D$ n
0 O! [( E( E; a4 f1 i! m" F / ~3 d& u; l3 L
/ }, j# k0 \3 S* [8 n" n% _) |! G
. G `: N& i1 q; b1 e& K4 X* w
- z& X0 I$ z: v* e) q, B# ` H * S) |8 L, O0 _
) D/ H, W6 P& y2 |' r E4 p
. y9 p" a: o! f! o3 Q+ M2 f
% f. J q! B3 j# a l0 Z' D 0 a; }, g# w# M
; f6 ?- }+ T0 g7 b
& f+ G0 t. @/ c: T, B
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 0 o T R1 @9 b9 u2 O
6 z/ |# H" c- b- ^' @
0 W7 T; U. @4 T# A1 j
执行一下命令看看 ! ], P0 {- P* b/ w, F9 K
) `( ^, S# g z; g
* X9 [6 j: y0 J; E& j3 I9 M + Z. p. g4 \* @- g
) E5 U2 I! a& {% ]+ R ' m C2 M8 B# F; A& v0 T
" }. a+ ]% g( v * M" P3 W* y8 | R3 d) T
: p- u7 [3 ]" P) e' O: n
! W8 E+ f1 h5 u1 e$ z
3 T$ N% d8 s3 c7 F
开了 3389 ,直接加账号进去 " a6 X6 y3 s9 m" l: Q8 {: E ^
. H. e5 n$ k3 ?" v
" H" I: [, r. T 2 K/ v+ a3 L* s8 @* h* n3 A; i1 f6 k
$ G7 f; z6 g4 J" T) e + s1 w& f& }$ W% J
( w: G7 \1 _& o; W/ C2 ?
& h5 V, Z0 E! K3 f- C 6 Q) q% j; m+ K+ l3 q
* w7 T; I& r( X' T# |" Y1 | ' F5 T2 N% N, z
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 W4 W p7 n; E& ~8 H0 A
, o* T7 E/ Q' r: w8 F6 G, u - ^6 @- T) |( u/ U3 X) {, A2 ~
, A% l! S' D( i( z
6 U) n& F9 [$ g' s- m S 5 x- {4 m" u, [! c$ X
- s) t3 v+ w& q1 V/ T* F
6 ~ k, i4 i5 r0 L$ G* V' g/ T
/ f) e# k$ e! N/ E% ]+ x+ e
; T1 y* j: S% y6 F1 c% G
4 c4 t' q0 e- K2 y
直接加个后门, 5 {" q% @1 k! j% }3 i
1 T( J+ g, G9 e7 W( R- ^
& k+ j& K, o* Y 7 q1 P) h( f; p; a
) u, C0 m4 R0 D8 P* Y- o; q 3 D( n# o# g+ E
6 `8 ^6 ?- C: `* o8 ` ' v. ~& `* B: b' ^" J! l
! N, w% E1 x/ w7 `$ L% |% v
; X/ s+ g/ A. J/ t! ^& W9 b. R
# Z" @- T( j% M- I5 } 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 9 }* A* V J8 x* t# h! v
+ Y- D8 b7 {- V# l
. I3 b, p. g5 ~ 2 、域环境下渗透 搞定域内全部机器 4 `' x" n* E6 I" L7 g+ H
9 Z5 U8 k0 v( S& ` ! [5 E( H0 \) \# @
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 2 U5 v6 Y. j* r- A6 L3 I* ^
1 A+ k U8 _6 s2 o* m. {
/ c5 o) V) }+ j
+ ]3 M: Z+ C: c) ?% U3 i ) P* O# D* L# S' H # O& Q3 D' P L1 H/ R" b7 G9 E
, s% m7 H# v; I- M$ Q1 V
! K' N3 _3 r9 h7 n
3 m; l% m$ a3 [0 D j& H
; g: n# e1 E* a
+ [$ T: A, d6 h2 r* t
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 L3 c' v: Z; o$ m5 z& w0 V
# ? d* _: B# U; y
4 x U1 u7 R/ K& @3 R% z' Y8 e
8 C3 u% ]; e8 N% r$ A. U
) Z O8 |% z4 R. Y- ^: e% r* U
4 E7 W' M2 ?& b. ^
6 Y* B0 `6 x& O1 {
# _- z6 k9 ~. l % }9 I+ C0 y4 z/ Z' C* G
: ]' _& X$ B, J1 m- S
! g5 s) q" a" a 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: ) ~+ I+ X5 m. O( k0 D* b5 H
0 x. [4 _# f3 L8 V& }/ u9 V: P+ Z : Q L$ m# t. z# m6 @2 |' i
3 m! ?' Q K5 L0 ]
5 H4 r1 T& d5 g. D8 m: e* f
. h# b7 }8 p, l1 m- G/ t' q
+ C: b# H& B7 a( W% t8 g# q- H4 H
' n% x9 _5 p( B4 C$ W5 ?/ C' d; J - d. q* |' t2 g. X2 ?9 t' E( ^
]% e0 u% g8 J% D9 V
! h+ l) r A% m9 f
利用 cluster 这个用户我们远程登录一下域服务器如图: ) V7 G C) e) g4 |& d% Y
2 m7 | A& C& ~: ?" ~1 H
7 Y' M9 s, g. Q4 t" D ! P& v6 e+ g1 R, r
, S M: Q$ C/ N, a$ p
- S# X6 i2 J- w& L. \
0 ]6 i4 \; \) L- B( h. U
5 R4 P/ }' v7 s 9 f4 O: d6 A3 l* X0 O( |2 t, _
& E: ]/ \! q5 Z8 E
" w# J3 l: Y8 }$ [
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: 7 m2 [ C( n0 u. E2 G
: c9 P! E5 _. @1 O( R5 c! A
/ }$ @* x/ q3 w% p" J) ` R 0 ?# e0 j7 Q/ O- p* s1 E
* o( P, B, D3 [
2 G* \$ m/ X6 l, o
3 o' a0 C4 e6 r4 r# @0 ]
( x8 e5 F3 y+ I . ~! ~2 P# \. O- l& g6 m9 L
- H8 L2 I& m# P
" e2 k1 \& f: ?- Z7 {! S, I 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ) Q0 x6 n, M. A& `' N
6 ?4 T( k: d8 z; ^, s
- f0 Y) I, I; M! O + p3 D& d* ~; [/ v
+ \( |1 A) J, @% G 3 U2 f1 J$ A% A9 A
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping 7 y' L7 L& v8 _3 K# o8 q. f# v
5 A2 m7 R& J$ z 2 m2 ^1 U& N2 D8 k/ j
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 5 T* l' s0 a2 j% f0 S' x# O
) u: W) t' J2 V; L9 D" ?# `# D( g
; k9 f& P. z/ E. j6 o6 I 7 @4 F/ Y7 g7 W" T$ Q: l
" j7 Y& j% C9 e* ] ; [& K; h" \& ^2 l
- e# }. E6 a4 `1 a% w
: U8 S# H5 T- i3 L8 z * j0 J1 y+ \6 X1 P6 y
- P, T. w) a6 q. l4 q- L
" I D! Q3 I& o 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 ' z+ p( K( ]8 W E' v
( X3 J: d. j+ s" j
# W; W: b0 H' H4 _7 M# T
; J X* @* @( ~) \7 Z7 t 3 r, Q: G1 y- U* w% T, U) t
4 _: P2 P- |1 e o3 H8 C
9 N) ?( Z) f B; t6 N* j
8 v! v0 {* E1 A
4 I S4 j1 d5 e1 G
: O+ `7 v" w0 B" e d. [ . {5 I) ?) o5 E4 j' m0 ?
利用 ms08067 成功溢出服务器,成功登录服务器 $ r& u$ m3 p6 L2 W: P! o
8 ~" C% c7 V s( ?. I* `
' l2 B! N8 s) Z5 O7 q+ Q) I1 t
& g# o4 o% M- |" h/ D, U 3 j$ W* Q, m% ^7 \4 p0 x2 ] ) S2 `* F8 R3 o7 Y$ r
7 C: A# {1 V: A+ ^ $ R, j1 }5 G9 ?$ j/ F
8 @9 W! C2 J3 m9 P! U4 q# s
9 `2 J7 v$ y q% r8 h+ {0 Q" H# L5 Y0 S8 J
/ n% Q6 s2 a& E0 t# _6 p 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen 2 L' s# }) o. i |- ~% g
& n" p1 s" T) l |( d; Y6 g
% U& o+ h( o I 这样两个域我们就全部拿下了。 , a0 E' b+ e9 K
$ E" L/ U# e5 e; J& O
/ H' f! {; C, P( T1 b 3 、通过 oa 系统入侵 进服务器 " {8 G1 J1 x0 ~1 a7 K+ @
$ C% H$ P9 H) ]4 `, b8 @7 A 8 ]3 c$ p, p/ t! G j2 x" f d$ N" |
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 : h! m! F6 Q( n+ r0 y+ g
/ e0 ~8 j/ ` g
, d( V8 A: ^4 D9 L - t( h" L3 Z% }
0 {( h/ m. |$ v' N ; d! k- r7 a4 b0 J/ [# c# X E
5 k C7 ^/ a4 W8 T! n/ M) s
5 Y$ q2 x# e' V# }+ | ! x$ X. H) w( Q0 ^! W: J7 k
+ Q( C" \- M+ K- j
7 q: T: R% y* p( F" Z. R9 H
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , k) r6 l+ N6 e6 R4 \4 L9 j
! a0 M+ d4 h" ]! s( x
0 ?5 G6 n# w6 Q/ `
3 R3 G! |$ f! I" H5 i 7 U( B3 j8 @' ?' a. P, D \6 [0 j# z. v; m1 Z3 y
% G/ U- o9 _3 T * C( u3 i) n, g, t- }
8 ~' P7 |7 d; g; J! _
B9 r4 s# P6 D8 r7 w: R
9 h+ Z: |/ P5 t$ Y 填写错误标记开扫结果如下 9 n n0 p5 z1 u& Z
1 r1 q, a$ ?8 v" d. u) L, ~1 Y4 {7 A
7 F s0 O( p$ q
6 U% n. `( Z: s: a9 j- x% L2 R
0 H, [- H# [8 \& S 0 w3 y' v! C0 H4 j
1 B" o3 Z0 ?, L' X
0 Q# u8 Q, ?3 a% x3 ?, Z; m% a + _) U A% ~7 L8 q. e2 n
2 Y- ]' Q( y }
" \ _. g( b" z3 p/ S; ? x
下面我们进 OA 3 C0 B& v0 `# M7 G
, x, C4 J) q. ^5 k* T
% N" L6 X- ]$ g: Y2 v% N
2 Q) X8 u2 s0 _ 1 s8 C) H3 [2 `- E1 v( J0 w
4 U6 F3 E' G, x
: P; J9 `5 X! e( g
, i! A4 _, l' \' U* l: O * w- c$ O% ]1 V+ l$ d
# F+ t) X% P( Z# J8 N' i2 A 7 {, m2 {2 Z/ t3 t$ [. u
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 ; P: }2 J8 a; Q) s: h3 v
; V6 ]! }" j4 r2 H; o$ d4 t* H- S
, b4 I/ E' x1 {) U2 @2 \
( q, ?# R: ^3 L% c/ ~) E) y) _& O
1 u" s4 D# A2 o# y3 y j( b" M
9 T9 r! P; V* O8 [8 e
+ ]" L" A9 t+ i: Z- M6 N8 p T) o' O
9 d+ p/ j5 Q, O, E+ }, h- F( Q
% q- {% s8 y) i( o1 r3 a8 g
/ n; i8 M6 v8 W* w" h, X2 Q4 _6 G
6 V) U2 v; o4 y 2 U4 Y4 c: \6 W% B
& v0 ^9 `3 t `4 N
$ f' i0 Y( ^! Z/ H/ _ B! v 利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 7 H7 q1 p& u0 m2 \& X$ {' p# D
+ x1 A: m$ q% N; m9 v3 @
) Y- P8 |% p. M- X) W ^ 4 、利用 tomcat 提权进服务器 ! U/ Y% X' y8 b6 ^/ y3 o
+ I" X+ H: d& c. M+ |9 x" u# R
. g2 h2 J% T/ A6 E$ |+ \9 l7 O 用 nessus 扫描目标 ip 发现如图 % o- I$ c% h' x( `0 T0 ~
& w& O+ I0 j/ _2 }' O8 O6 A* m( a2 N
+ {' I4 A, Z; H/ z0 `8 w! v5 A
. B2 f( D" i' o0 t7 V6 R$ ]+ | 6 B+ z1 ]$ i ^2 L* k$ ? 2 ~- @! ]7 ]% N# X
9 V9 _- B9 t, d) ] P
: v/ s' e9 r D0 s / m& K; c7 G4 r, e9 c
+ \" n. n: `7 \, s# M " y7 v x. E d9 p8 c* q5 l
登录如图: , ~6 N- p8 ?" P" P/ y) t0 [% S) k
4 }7 D6 }7 C. ?
; n) S) P, w8 j/ I3 q% [
5 j1 P$ p' v9 m1 y1 D+ _( j( e7 { " n. l& ` E4 c* p# E
+ W P! ?; \- ]8 K& |0 t/ R
) U! f( a) P# ^2 ?3 Y: p: G
7 I( R1 {* C8 t' ]4 O 1 a! ^: P! r1 E5 U
& h5 O3 u# I0 Z! i! | & o. G8 w; Z+ |; M3 C5 p
找个上传的地方上传如图: - Y: A4 i: @0 v \$ ~ j
7 z. i: A" A2 c- {5 z- E
( ]2 {9 h8 a7 }* _$ b
: E7 Y: D4 Q, L$ Z 5 e& O+ ?7 k7 \+ f 4 C2 N0 R2 G0 J: x. i1 Q9 r
+ d4 D2 _# ~& @* |" C! W3 @4 O; e 5 U$ t2 r6 I6 J u5 c
8 |( H1 B* b- E! b3 J
, l( I6 N8 q3 ?9 D5 P7 v
" G1 y+ t0 j- M1 F$ _ 然后就是同样执行命令提权,过程不在写了 ( e( C7 E5 o1 [- ^" ^* I, i
( U: p6 k. c" g# F$ V, n ) `5 B0 L. N* O3 k) A+ l8 t o9 O
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 ! U0 T1 G' R: ?" s, u) E% [ c. [
- Y( w+ [) v5 s- V& d
: a" r# g/ k2 v6 c& T/ t 首先测试 ARP 嗅探如图 ^( t( |# C- a1 u3 x7 H
# P! A, @1 q( [6 A7 T8 s$ Q7 J n
& @6 |2 J, k. r0 U9 K
$ i. n' H- |- _7 P; K
4 [5 p2 f4 Z$ N- \, @# _ O( i ) e$ u$ I' z) Z' H
6 s! |# ^" f$ J1 }8 ~ , x* |3 B+ ]* y
- X, P5 i1 s& E0 p/ T$ T: _
/ ?# _+ g2 k9 N4 ^! c
& N0 Y _. E9 c6 e+ Q( |" L
测试结果如下图: - t2 K& k o* z: [2 X2 g% I
; d0 }2 @, L3 {. u
- S! u9 |; A( E ^9 k
2 X: \2 u6 \( ` 6 c, |" l: _4 p; A
" M# @0 K1 }" d$ R
) T2 V, O( k$ _+ h& p* v, f0 ~. \
3 q+ ~; t1 H6 F5 l0 B+ D
, q1 y+ z/ O6 Z
, H; f# P& A( f3 f5 F# G p
- \, s6 B: ^) }6 Y. ?7 x8 A 哈哈嗅探到的东西少是因为这个域下才有几台机器 + n" f& W- ^' U4 o
$ z- u& `; Y) O" D% f- D& q
: I3 b0 i/ p) [; m) I( v( x5 n 下面我们测试 DNS 欺骗,如图: ) a h6 [; |3 O/ U: w9 g+ b2 L
1 `" V) p2 C( ]
3 [5 u% m4 n) f% E: I. ^3 E
8 S |/ |- x2 } S4 I' ` 1 g9 j5 {+ F3 P0 d# X
; i O% j5 [3 u9 j1 i
5 s" k' H6 o, n+ d" |$ ]: s3 E) q
/ {1 m1 |6 V# Y# s9 W
( o3 v0 r& d' g( ^2 y5 |
, a1 t" {2 T' Y$ Y
* ?: u' F+ h% D; T3 ? 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 9 d# l7 t) G, @9 t0 W
7 C6 Y7 k8 k n# b/ [0 T) s 5 V" r: o2 g2 T @
; r% v2 m0 y" o# s E, N
7 J& @& u8 C) W% _$ Y
9 w% l# y$ D S4 M, z! r# _( R- O
/ D _8 q' R6 w2 i
6 C5 t. Z% t* @+ J) t6 _: G
0 q8 k$ v: w$ U& n3 G- S
/ r8 P0 ~$ h( W6 @ $ s5 g$ n- d/ G2 F" Y- a2 w
(注:欺骗这个过程由于我之前录制了教程,截图教程了) , H# d" _! s/ G7 { m8 e
5 j, O4 T, ]6 g4 V! R
# m! U$ z3 t1 J 6 、成功入侵交换机 - M T% j% P( q* _" y- a& N- F( P
* Q, w( x8 X" `) Z) ^ 4 G) B% ^8 x+ ^8 e& b- w- k o
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 E: @* W% @1 \
: V5 [0 P7 V b! v' `$ E
' `. i7 o6 \7 w 我们进服务器看看,插有福吧看着面熟吧 ! }3 @' E# }. @: H' k" u. ?8 S
6 D7 M" J7 ^8 {. i* \
0 g+ y% ~, m5 b/ V- K. C ! h* z9 G2 y: D+ H
" }, {, k& T$ X }% a: ~6 |
: ^. J. O2 M) d3 V9 c3 ~
' J. M+ G" f7 M: u! W
& _" \% ?# a2 `; F+ s* f: c" V' H) O ; } E% Z8 M5 V: g1 |
% u3 |' p, i) ] ~, b " U7 m& w9 @2 |2 F3 m
装了思科交换机管理系统,我们继续看,有两个 管理员 & a; I, b9 O# F+ t* V% S
* g2 f: }2 ~" Y. K
/ m0 |( P+ x* a$ m9 P( ^, V- R * e _- E' w5 N! E! J
9 U1 `$ ?( Z) z7 G' [* J- `
. h. W3 _& |1 L ?* @
1 G, V& f- Q, L( x
; h7 ~ f( @! r M0 \# _ ; z- [6 a. d6 J$ G
5 q" \% B) O; {; T
1 v+ ~: s5 Q9 Q
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 $ S0 A4 _* O+ ~) Q6 w
: T, i, o3 e; r3 L # s& j c3 y# ]9 Y! x- _, |
# b5 e* [' n3 q ) S, t# z) w( B7 t+ ?$ I
1 m( m+ x- n# h- `
* \4 z: ^- H: c+ y: x1 Y/ o! B) X
g8 d- ~: C- E8 f! T5 b / `7 W+ B5 P g( w
; S$ S# z( c: x5 }: F
E2 [4 y; O/ s# y6 ` 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 4 y( C2 o2 A$ q6 k9 y
* H' l) v, ]- L' S0 a0 v f6 n
( G$ u k8 a3 X! q: C8 Z$ m1 W
$ c' D7 ^" z8 V: Z" [. Y 8 T. A$ }9 i$ r/ X+ e4 ^2 Q+ ?
% M. Q5 M2 a; @' @2 Y3 V, v/ |
: B: I- {) A/ }
0 n7 C, R. u! A- _. a' M5 P % x: B, }6 p# ]& R
2 b3 P! [% `. h2 k
H b: c- h& l; N 点 config ,必须写好对应的 communuity string 值,如图: ( I7 |% r- V. X" y2 }7 C& b; T
4 _6 `, l! Q* F8 [% @8 ]
a" _- v0 I7 U) w9 f
7 q9 p& Q Y- N4 n a$ x - t; H6 @# n; }8 ?( q# | $ t P; t8 a- `' |( s
# G3 T+ L( O7 i3 K) b1 ?3 u: c9 Q8 P
8 W" ?, b/ k0 L2 A% o2 I + c$ C! U' U* u
! Z p9 z( Z; H/ T
; N1 _1 E5 [7 K) t- K 远程登录看看,如图: 6 m* ^- b3 o0 a# i4 ^! r
5 v2 ^5 ]* B9 @# `3 ^* Z1 j
( {5 k/ I1 ]' m& r( s$ U3 h / Q4 ]& v9 p& ^ M; _0 A
2 O" s2 g8 |# q3 @+ x: s
) Q: J4 f+ A* ?+ e# r
! J$ U5 T1 R* l, R& |5 x( m6 G 6 ^% R5 c) q3 P/ S3 o
) r2 ` a* O3 b# F9 H% D
% c8 e5 A, o4 I9 E# J- v
, s8 {; p' u' e. ] 直接进入特权模式,以此类推搞了将近 70 台交换机如图: & f; G- H8 U/ f( b- O6 r6 U! G" P
9 l1 D# n8 p2 J K) \4 b$ y
% H$ D' v$ {+ ]; x# l 3 |6 C% l* ^' Q& \
- v8 \7 ]3 P' i7 x8 T: p# _9 c
3 d8 T1 u- U; K2 u
# q) v# ]& I; U* }( x; ^+ j" I: C, R) }
3 w" J. f" `7 n7 m- B' V - K& L' }, ]/ C( k+ D, b
+ W8 j" x/ G8 Z- t+ w+ Q
: V) x8 d1 {4 N$ i/ a' \9 B& { + D) q7 ?: V) E. U8 Y' _! ~
/ u C4 m$ [; t1 ^
6 {0 N; d7 C/ p3 d- w/ Z- @ 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
# d, N" h. b4 q/ W. V" M
- u N1 y0 }: K( n {
, }% v. f8 S0 S
5 O7 K' S, ^! Y! s/ U! Z$ d 2 ^- v1 R6 I- Q7 h; m3 f7 ?0 C
2 | z1 s: U+ u- ^
+ i- j& L% s0 t1 ?' B5 w3 R
" T: s9 r( S5 w - A3 {5 |& N. T% X
4 Y3 A3 _* Q+ ~3 S4 i, Q
6 e4 W; x9 x2 y3 m5 m! @& p 确实可以读取配置文件的。 " \; G# U& J7 F6 x( D- m
$ x, E4 Q- w8 O- u
; H) R c, r1 Y6 F/ H: [* R 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 C9 Q6 q: W7 N- e
$ A+ L- c/ _+ G , a; Q i0 Y; Y6 ~
8 r: \& U2 c1 f1 a ]
5 n% j8 E2 x0 I! g! n7 d7 S5 `) f
+ Z @. o+ w/ f1 U, a; Y
7 f. A% ^ ~# z( n
! [/ ], F6 W( V3 K! e$ p- l, n: W 7 x+ }$ p% x- a; w0 I. d! g+ r
& B2 y6 C9 R- r( P) J I! ]. C
! ?3 R7 B' Y( M/ _
; k1 a; R: A" g4 ]& @: f7 X3 k
; n+ H2 e# o# Q O# a
8 T }3 h" t8 i3 |" `7 N 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 6 E8 x: e- m; V+ c: S$ V
W1 U+ F }- A9 C2 [; j
2 n6 \) I8 W) o0 T9 V
: g+ o# |# ]4 ~7 _+ m1 `3 H7 g ; H# H: n2 N' G4 F* l; ^/ H* _
% V8 B! k. c( i9 ]! f) @
8 u- R$ i$ `- e0 I. Q+ J
1 V3 R$ X2 N1 | ) I; ]! E8 g% s* T+ A" @' ~
5 B/ {) Z8 Z- R
& |9 ]2 u3 T- P* T$ c8 r2 _ 上图千兆交换机管理系统。 * C- n. y2 q$ x t6 x
% I& C- N! G+ |, f1 S
) g) r: F! x4 m( x/ B4 \
7 、入侵山石网关防火墙 ( u7 b* o$ w) j. O: g' e
5 H2 | _1 |* J( u" a2 F; i+ i
+ ^/ X! d% d) R. O5 y: | 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 T% \3 k. g3 ]
% C0 E; k0 B3 V! [: h4 k' M0 Y2 F
8 Z8 p5 u3 i8 G/ _* I 2 d4 X) ]% H( w
# L$ M+ Z0 q$ h5 a . [4 i& g+ {. X. r8 B
& f8 c1 o/ C& i, B7 }% @ $ a2 S/ Q4 _! O' |
$ O" G/ I/ ?9 d# t# c$ z
( H+ l+ K0 @0 Q; ~
% Y; H: b4 v; P9 `" r8 _ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 w/ u4 R) k7 T( }$ Q+ d: N
5 y; n5 L. v: u% [% { 0 |, T. M$ o, W. T+ S5 I6 s' r
, ^8 T, j- L; n8 d6 j7 ] y Q% P* s/ z* [" X1 O , c% [, m& B' m/ v6 S7 P8 ^
4 j- [: D t0 U+ U0 C2 H- ]
9 _: v+ y% N* G: c6 G - _7 q- `" Y: v7 a" X: ^
5 s+ n' b* ]+ q, c$ W8 u" o
2 A7 P$ ?2 ^" G9 C 然后登陆网关如图: ** * ?; j; }$ n) ?& l
- p+ @. c2 L( X9 [8 a* _! ~3 [% x
4 n- e4 R! C6 J; F8 k5 z! g
+ z1 C5 m. A/ U# j& Z$ ^4 L
3 ^) E) g( d" g7 [2 }# x( N
9 J; R; m% F! `; c( ~" T7 o6 e. b4 Q
0 r+ Y" x4 d3 b
3 B: \' h, j t- _4 q( F
& \2 j" M3 y c8 A9 f
8 ?1 Z2 c" \: t; Z
+ k# F7 F1 H7 O; x
* j3 b* A* p- j, A% r1 H
" N5 Z5 O, U2 K3 ]
& ^( R! x2 x7 J9 i" ?! H- |6 y
- d# V: i+ R# k/ o$ O8 c: l9 ]
! H3 s$ y4 |0 O( C% \8 w- m* F 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** ) f/ x \$ j0 p$ L! R, N6 F
. b! I: T! [+ u4 W5 q
/ i* R. d! @7 T/ p4 z' l- ` 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 f. g: Y% E5 w) G# w9 }
3 I+ A+ u# M6 M. D& z- |
6 I) a& C1 J" b' t: m/ w 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** , x- x( P- [( L0 s: g
U7 f0 `6 j1 x8 d* p
7 B0 E1 [7 k( P( G) R7 z9 s4 K7 ]; U' E( d
" Z/ V4 w5 O# i- J2 l / Z9 Z* X6 O: N$ {) o5 k
3 M6 y& z! b, A* {
% j4 j1 e: z' X1 N; J9 c% h, P3 ] % D8 |/ b0 @2 ?; z" h2 P! H
4 }+ b, l5 a: d0 ~+ x v" t
1 `/ y8 [$ t8 D7 {! |- m H, s* |' u' x2 D& J# [, b
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 , i/ `! ~6 l2 a/ @# A% s3 R
& o/ w8 ?7 @ [6 @9 G0 h 2 N, T! t% N0 P+ m
; @$ ?+ `5 X1 M; P- {, e; ~2 \9 P7 ~; n
' U5 h0 M' v, Z1 Z
, F5 b2 `: \2 \: ]% F
! m0 G5 j2 v) {; E& X
6 I5 k% ]+ p. s% h) ]5 R# F5 [ ; I" ?( b- J. w) J+ B 
发表于 2018-10-20 20:19:10
收藏
支持
反对