/ f$ O# y- i$ Q$ M$ X: L- ]
& k% I& X+ ]6 b# N
& @& Y6 s( ]0 I0 E4 }* A p) e
+ Q$ s; _% @4 c J2 Z* v" K 1 、弱口令扫描提权进服务器 $ S9 V5 Q4 d( Q4 x, j3 x0 s
% Y' V* S; ?1 |$ [, H1 ~ 0 \; O! ~; Z( S- D( D; M
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
, c2 a5 ^4 q- Y/ P6 Z) A8 `
1 z' m' d" C6 ?/ `" ^/ o0 K
, m0 w4 ` |3 @4 p# H ; @# o& H- S( x& N6 v- t5 [7 A
( H9 t- g3 ~1 S' N
. l" s; j# n* v2 Z( x) R. b2 }
. o. C8 i: }& w3 F; k/ [4 D
# r& I/ W- o7 k
- q0 @9 d v4 I* I/ H9 o# I/ V
5 j1 z1 m! A @: R3 v + j( H& S6 q, s, T( S1 y
/ l" a5 j5 O+ R7 c \6 h. a d
9 v. {6 {! F' B' l5 k4 C4 Q" q4 e
% I& x+ h8 M \. Q6 n ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 ( W7 s) ~: \$ S3 J& k8 w
3 v5 T' u( E5 ?' O0 e) I W
/ T- ` [) \: _% W; ]7 f% C 执行一下命令看看 + f/ T) e% L* X& j6 H. i2 l
) U) Z6 C% P; ]
; W1 P9 s: n$ @5 M0 g# g8 i
. M( a1 W7 T/ q. _9 d3 A7 n
5 r' D, i$ c+ a
4 \- B. F' u& o& o
" C& F' I2 p0 J! n9 T
+ ]( X; W0 J9 K; A
7 `6 u6 ~1 w l- F' E/ Y: f
: a: _" h- ?- @6 h' F$ ^2 E/ b# n
0 A( |; z: Q! o/ G. b 开了 3389 ,直接加账号进去 $ J. z- w# Y- a/ F3 U
, y( a! b5 t/ t& w - r& V5 _- X! l8 z- a8 M
8 G+ Y g8 R" p
0 N: f# l% q0 H* R % f7 d6 I- N; B5 A9 ^; |
5 K8 j M. n& d7 l$ u. H( D. k
6 y! N+ s5 v2 C+ {2 N ~2 k" H) m $ _+ x$ J9 T: q
% P9 j- s+ |- y" g7 l# X# j
}0 m# Z1 s$ r$ z 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 7 V2 l7 d! |/ ^$ x* g
* E$ c/ C' i s+ p
% F# q: D+ k! y1 T, J. x7 ?( i 1 H% a: F+ t5 c6 n1 L
) j% j. [% z2 P i% v) w * g4 J7 f- y( u' K) X! P
/ a; Y4 e; e+ a3 o3 `# Q 3 ~1 x" N' ~3 b: _5 p8 c
* ?2 R' h N* ]; ^
: X# V; g. Y+ Z 7 R) o: M* Q6 u9 y+ \ T! I
直接加个后门, 4 U) M" ?: M T8 l# P
9 t7 Z h. u, w" y $ {7 B- M; n1 B$ `. M
; Z" \* z3 C5 N( s: x7 p ~
5 z9 h; b! w7 f1 l% y! [& _
" ]) @9 L- R$ A3 ^, p. y! E x, y% N& L% Y" x, ~- n' g
! Y: J# l% o5 v! }! [# o5 {
; c0 d* s: F. h3 [# y$ a
0 o* L G) @- U* n0 R$ s
% s2 [: I' W, @$ X1 Y 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 : E0 L+ f# h0 @9 r, [* u5 a
* W9 N6 i* p# D1 O8 W
: I* s9 G9 \: J( h6 ]: J; B8 p) A
2 、域环境下渗透 搞定域内全部机器 6 g: H9 R) l" N& v
/ i4 h* m' I+ B1 y 1 ~& P& N/ c. I0 l; S. K
经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 2 ]8 E- [" s# J* Y4 s: ~
2 s# I' _# i8 U% {5 W+ D: c
2 d' I# P: D! @7 M
" S* }0 |5 k+ c3 @: W/ `+ t+ | 8 ` C C. _1 I( [
" T# u R) B- A6 } N
/ a! _0 A; z0 s- a, Q- R
7 ]+ `( ^" }3 c8 L8 ~8 S. c4 P
4 ?) n* k) P* t6 q" K) [
* q' |- F! q) P( q
/ }: A8 S1 t* u9 F/ u! U
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 " @3 H/ S6 ?, I7 r; I
" ~" f3 g5 S9 [; s# w0 j( ?
6 c0 h' Y& b$ o {5 }
* k8 B; `9 y4 |/ m% j, E$ d 6 v" K ~* s7 V* V" b N
o" g8 u3 `+ r0 I9 n
" ~- |2 R0 z( w- C8 |* m
4 ~; G8 H7 L( h8 R. x8 M" ~# Z
, i' e8 C( I+ E: {/ ?' t6 @
' z& V0 M \" H9 ^ T6 f m1 i% K8 G" q/ E! I) j6 O$ N5 c
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图: 8 u3 N7 `3 t7 B6 `$ K+ R: \, p
' V5 w% L: S3 n9 q
8 g8 W& E2 @$ I1 B4 e E9 }
& W. m5 {/ }" P E3 R; [ " i& V$ u5 c+ V6 a$ y( X* E
Q( h3 O/ z2 c4 h8 ]
8 G b7 O* ` a# y
* s8 f8 L& ^ r }6 S; Y: x% v 0 y- v; i& y6 n% R& C) b# F
! {" f' q' k$ x' b3 d4 O 2 o5 T- K& f- J- k( t* H0 @
利用 cluster 这个用户我们远程登录一下域服务器如图: + S- F. O5 q8 Y7 l$ S
3 M9 O& z5 g/ N/ i$ H6 B" y
$ U1 h7 q. _, e0 [1 ^
& [" L# B1 \' x/ L : t* K$ j: a0 X+ X# F/ f 3 C T: \% D1 G
* G& O' _' O* J+ \6 I
! q: r b+ o( g: Y
, }4 \- B# x5 v e1 y8 I) I! D% J
+ E7 S! |* V- I6 C0 ~7 q+ S d6 s
1 }; `5 s9 q( i: c" i 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图: ( g# K- B* N* v2 U# J+ ?, Q$ e0 [
) v) R. H) g) r! ^% R6 C
6 D: W3 ^2 M& ^7 M
. k6 `1 U( a0 X- A1 `5 v, H # l# B7 N/ }- ]7 d7 O 7 h- Z1 ?* W" \: D( \
, ^0 X1 K# z/ v' g) d* x8 g$ V
) r3 U3 c" F1 s/ S3 P8 _$ f
$ x8 T* ^& Z. R0 p; _- C
& s1 [) I) G% f: D0 O
: ~' A9 V$ l+ v 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ( L( m+ y4 ]4 ]4 z* J
m2 N* y3 ^0 B5 |+ c
) A/ `* e' i2 t6 _- _6 g, ^ & f! ]" q+ N# \5 c, Q
3 M# Q* ?$ P8 A* z 2 S, q7 |: K8 b/ A
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping # s3 J& \; f1 k/ f/ A7 o0 n
6 {: G$ j4 m% v2 T* I& y6 s
1 k% g" Y$ J9 i5 z. s blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 |* u: S" n& e
" H% i+ J1 Y. T) r* e' j/ V& O- Y
: c9 U ^! u& F 7 `3 k% L5 q" N' J
( E1 ~/ m' s2 }
1 q1 l. F9 M. |% ^; _" h3 ]
! [& B- L) }7 J( \
; R$ ?, O7 W$ D
7 ~4 ] ?5 E7 Q/ [+ n. v; I
$ z/ d! g, @% u) P* N & G' R3 b6 A3 D% l
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 c! B0 N, t) C
8 w/ I& h) b6 h# q! Y R% F
! ^8 D/ d" ]/ {- g% v- R " r ^/ w i- J& e& [
) M2 _! N( E3 ?" ~
) G8 f# R5 L5 X. b- `) k7 A
8 P3 x+ v) }! w# p
/ R; \: S& X7 M: R
, t4 N1 u) @) d4 c% ]
/ v& A# H- q; `* @5 ^$ O# k/ h
6 |0 s" J( i3 t* W& a 利用 ms08067 成功溢出服务器,成功登录服务器 % ?+ r, R3 A6 i* H9 Y' ]' Q
5 I/ ?8 p2 L2 z2 n & p3 d# K. I* m E
* ^( m5 h: i! F2 T2 Z8 F 9 G4 _5 A+ z/ @. i* l9 V) h
E. R5 K1 H; Y' p
/ e2 V7 C* T3 |( P6 ~
- V0 i0 i4 p# B: N& N6 l0 p* N
! P0 j6 t) U1 n+ U: x6 C& ?6 t
; m: g5 I- p x# ^5 Y2 M6 Z
% _, n* u5 \6 A- C
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen + k( u6 D* Q( t3 X$ K
' u- T+ u% U" r, N
' R1 w; _" i; ^3 V 这样两个域我们就全部拿下了。 . h* d3 Q1 m( M& a) Y, [, V
; n7 l) C* G* W
- w6 Q |6 W! q, S" R) h5 V/ C 3 、通过 oa 系统入侵 进服务器 8 d7 s7 j& \1 s
' }2 i& p( y% k+ e, _3 |* F E ' i q% h, w% L2 `# X0 \
Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图 ( ]- r& m7 B* j; |
' k2 E W* u# ^. B* F3 A, \7 B
- }- L+ p ~# I " P" [/ c' i' U6 ~
2 C. [" C1 E# X1 _
8 K; B; [! t' N/ k( I2 q4 n& C1 x
5 J0 ?& t& D* @, C, r$ F ; m. G' c5 ~' E9 K# T* m
1 K% s6 F) B: |, k
- I5 P8 b% u0 q5 Q# l * G7 ]! F" f# T9 `/ d" X: ?" T
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 $ k0 Q! M* r* Y9 s/ k
$ x+ f: f X& x# n# k) D$ \$ `
" A- w: U& }* p4 y
3 o, U6 x8 B4 A! C ! [' Y i) B3 X4 i
- q* D# p; P) V4 `
" h' ?8 _: c2 A5 A7 p6 N9 T
, q! s$ e6 r) N2 y 5 k3 {' u% X) \
# O" { r' a9 z& b' i1 _( k9 X3 d4 j
* y8 V& {: [2 v; t$ y
填写错误标记开扫结果如下 6 t% G, B( i$ U4 f9 h F; T
4 c; l) w0 k8 D4 M7 |# ^
6 Z0 f6 c# F* X7 @; x5 f, v2 |
, Z$ c/ b% e* v3 d
* Z; Y: f- W Y2 j , H- H T0 q0 ?. U/ F/ ?
; ], M0 _" [) P9 r w6 @ v# k* n c 7 [5 Z* q2 ~* O3 J$ i7 u2 C3 j
" P) N- ]- ]. _+ x" `. K8 y
7 @0 H- @8 F- c0 e5 m; m, k; Q
# i/ H. V! B% y. o, t( S9 E' E 下面我们进 OA ( }# H I j; p! l$ `
3 w% ^# V% n0 @( C + g( J& s# ]6 G, R. u. i
, ]$ g* t1 ^# X6 m e
/ C! s+ B9 y/ S9 T0 ~4 J
' c3 L+ S7 V, s9 N& } O
0 V7 A+ f" _& C& f9 p* E. w4 | # [4 k9 f: H6 b
9 H; y4 T3 }/ z9 [9 G% ]
1 {/ b) u' A. c( s) n$ i& G
# H# I* r5 m/ x5 h& u
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 , M! s: `# x5 B$ s2 I
/ r! N5 \! v4 D( S
( W- c/ b! w0 J" T8 D; ?
7 n6 r+ N9 ?2 }6 ]( P) W8 M . z Y/ D4 w: ]; |0 E9 e - s8 c* S1 Z/ I$ B3 H" W
% y4 v" o# n; j1 n+ K' {. l
/ J/ r0 f$ N2 u: j$ s) u 7 G7 u0 ^' w a# [! h- _( f w
6 ]/ v4 B" q j4 T' \ ! c3 Y3 b( r8 f& |
6 _: `' F$ A( T8 ?+ V* f `4 i+ s
0 W2 U2 g: H" ^) D" N+ H+ j $ v Y; H- \& R
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了 2 \0 j4 j4 S8 i; A7 ?3 S
$ L* f' u3 Q. J $ r' V3 E/ o, R& i- \
4 、利用 tomcat 提权进服务器 2 L: e8 h. z- _( H3 Z
n1 L% U4 R! d8 M6 b
; n4 L1 b3 t! X) Z
用 nessus 扫描目标 ip 发现如图 7 c U1 T* c4 z" W
- S* H0 q. e) B- n2 v/ [
& t8 k, a$ K7 K8 R1 ?! w( P- W( i. o/ _ 4 X* [5 ~2 ]" u, C# q3 `% y' E& e- l( z
7 c0 ?9 J4 c! j3 C1 f/ I5 }4 y/ H# m
( m/ S& ^( D0 S' ^( P6 K4 T
! t9 Z/ r: g9 V5 P3 i+ i3 Z0 m
) ?3 ]$ P9 A7 `3 J) } * p1 j1 L% P4 A k5 x# @
! a1 w+ ~$ b: D! o4 f - e; T# S4 O+ j
登录如图: % @5 x! S. x( O' t* \
! W3 e2 s1 U3 Y6 a4 \- P; m! z
( v) F: ?! l: Y* I. I [6 Q 2 `$ [2 i! k) B
* U: y; M0 W U% y/ ~
% p8 T8 K* y" a# ?9 h' r9 L3 T& ?
# t0 F: m8 L* f8 F ^' ?; h
- q1 X5 O$ E0 y& V- M
) l8 a+ @7 V* @! p( A
; v7 E: s% r' O) C5 Y( b: |/ t/ |
- i9 X0 [# L9 p 找个上传的地方上传如图: 5 p1 a }' N8 Z% x
+ r! l" |8 g+ B7 b" J& s( k
: F- x/ ?0 o' N6 D) g9 v3 u
1 \$ K Y j0 |5 F& [ * \; S8 B, p/ Z+ X
/ J0 C+ }* x7 K2 i$ O; z
# m$ y* ?, M2 K1 b6 h
6 m+ ^$ {8 B9 u- ?: ~$ [
( R; h& v, k2 @- M
& q4 i" i3 q# I* c, A+ B4 @' p
+ Q, N/ N" F _ 然后就是同样执行命令提权,过程不在写了 & i) V8 p- T! p+ S! W I
& Q* ^3 l" p* D$ | " w" A% ~, x2 ^8 [( C2 U% ~# c5 O
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗 : e4 k( K' S, W( R; o5 ~' J: T I' X+ T3 k
|3 B( ?& g; b" J3 [) ]2 h
4 C8 g2 q6 x( s% l0 i
首先测试 ARP 嗅探如图 2 n" u1 w2 p0 W% P" }
2 C7 ^3 o4 q4 {- ]0 P
& V8 @* p/ y& I( O/ Y! q
9 ?: d0 F2 r: I. H! [8 Y( a 4 V& m% M: b& l1 I4 y. M0 V( g 5 ~/ P! U; t0 Z! U4 u R) S) [' [
. I$ s& i ]- U- r9 x# c
+ m! j! c' w( J# d/ A2 @8 S 8 c" ] c5 n2 c. ]) e! N
: { Y# N2 O: r* ~. R5 X4 S' Q
' f1 E9 F: U5 z9 ?5 g0 ^
测试结果如下图: 4 s& x+ {: Y7 z( |- q( n
+ f/ S$ m x4 s% s: E# B( B
6 r% V( B4 @% ]# U5 h9 h- X
_& n" |* U. R8 M; U1 _! I ' e! B5 y- l1 R, O$ f 5 k" B! ?. w5 u. a6 b& a# ]- i
: Z n! w7 G# s+ o
& ~* W; g* z0 Z+ L0 F & J% U+ |+ R4 q0 ^ B
2 E- b; h' Y% Y2 }7 s, m# B ! v0 n' e" d4 P3 P' G H
哈哈嗅探到的东西少是因为这个域下才有几台机器 3 R: Z8 z9 F9 ~7 F
' F$ i6 |3 k4 ?3 ^ 1 g1 z+ l! |' R( b G' p" m
下面我们测试 DNS 欺骗,如图: , N; z0 m& H& C7 ~5 v
A+ I A3 g3 _0 S. o- r # Y J$ } M0 n. [) n! _. H
+ j: z v% Z" V1 q: r: H' R% L
2 h7 c( N' _% }4 }
/ `; `) f1 ~3 ]4 Q. s9 w% c* L
, D4 f! k7 F5 ?) O% ^
: B. \) B* \6 s 3 I! e+ `( ~5 n; S8 e& x
* j) n0 A6 V3 _1 ^$ O * Z, ]% \3 G- \) Q
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 8 H% G6 d, r, t6 s! ?0 t
- Z' V4 o$ _* u: y5 ^% s* j
) ]: h2 q0 O1 r% N, ^9 l
- c6 z# [1 o" q2 ^5 C 6 h$ q& k5 E4 f1 @% J7 _: i # [: Z0 k* O5 J+ m$ T- p! G3 ~# {
) E/ n8 P9 s& a: J- o- q- E
; v: w2 p- P, ~) Y0 m; |7 ~3 V O4 h 5 B4 e/ T# n0 |! Z5 y# z
! D/ T% d3 ~( g0 f! u
' h/ h2 E/ R7 F1 H4 E
(注:欺骗这个过程由于我之前录制了教程,截图教程了) / r' i* A0 Q( S* z1 z
+ g/ r% O- i6 j5 v* F
$ [; d% a S( b$ F: R3 R
6 、成功入侵交换机 / v2 D. R0 i* t( j% u
& y! n6 v8 O/ ?* Z9 j/ u# F& k
+ ]% s2 t7 r, t& w: u& r8 H 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 3 S' m ?( b8 F& p. f9 E
9 ~; z8 z, s) t. ^. r$ F0 G* \9 e2 X8 f
; O( U# E3 o* y' e4 R; L" Z 我们进服务器看看,插有福吧看着面熟吧 ' p% U% ?" O1 |9 q, j& b3 ?/ ?
. C5 o3 c" v% J+ u% `! W
+ A6 ]/ O( t1 Z
1 P8 O7 k) j% k9 k
5 y) Y2 S9 }2 g% z
, p% M3 u) ~1 T' z6 X) u
7 _4 i8 S; k3 l5 f" ?. j - ]3 s; E* q# w0 S& ^) Q
: p0 e e2 k1 [* T. u3 ` V: C
( R2 D' H! ^, a' i5 z7 g / ~$ @% V+ W& w7 F. s" U$ Z8 M3 S
装了思科交换机管理系统,我们继续看,有两个 管理员 5 t& P4 R: g2 X- i. d3 d: k, [
1 X* e4 e4 w( {3 L# k ' w: a& r: Y+ g! ~
3 o& D+ O# Y! o. ` , ]' q* N+ f+ }8 Y 5 f5 S) c" a6 W# V. x" l
6 I( x. Z& o( Z4 {
' \2 |( u( a6 j% P
* d. H) e# S# `6 g7 Y
! i6 Y8 L" k' c: ~4 F( p! B, f
$ ~4 c0 R2 u3 o3 g7 B; y# z 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; O+ O2 H. ?6 [
' N2 r3 E+ {4 B* U, C3 d( C% ^
0 E; \/ O3 q6 g4 |6 t
' }: I, N- |' ~8 S6 C9 E) b" b b% O4 g( H. c }: e2 @3 R
9 x# X9 q U! y0 F# L
% W/ J7 L9 e# ~, k, [2 b: Z
& Y# X9 \" S3 _, S$ @ C , V; x- e) K9 K0 B [7 d0 [
Y) s0 L1 K+ J7 s$ w
1 y: Z2 Q9 w+ n, l! O* F2 N
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 9 K' H# u9 `8 c; G5 I( [5 Z
5 i6 P$ C6 `! z
3 |2 q$ B( J+ F. C* {% Z/ p % s# \+ a: ~. M2 f* b
; M% |+ N+ @! B/ s# c
& t( R, S1 _8 S# }
' H5 s9 d: j8 u0 Z; {- B
4 v' I3 ?3 n* H( P # b" d( u# z/ p' l0 Y
j3 g3 `" n. n% D; e- \9 T: m H' D; ^% ?5 V
点 config ,必须写好对应的 communuity string 值,如图: & e2 J# s& `0 k( u3 X, Q! \+ Q
, y \. o R4 l2 y
% N1 ~! V8 J9 P" R , [0 K2 x6 K& v: X' ]6 \1 N0 G
6 P. s9 e' a6 g0 K+ V$ n& N
0 S# r/ j. t1 y% M% T' g
( Z/ r$ w& R4 }" v. H / _9 e8 z, t f4 ?0 E' y( \8 U
+ _( A& \/ [/ }) P
4 H2 N$ O7 X+ X' n1 [/ x! n
; L7 i& B2 n7 b9 t 远程登录看看,如图: ) t0 G! X" t$ f. m
. k4 M' h1 J, w+ c+ Q0 d0 ] + ~6 j* t# h7 L1 o ]) F
! G" n! j$ W$ e8 Y, m- l. H1 h
) e- R6 @+ b+ M, h2 W
( j3 g' V8 ?0 b4 a- V1 S% Q
. U' S7 |* X) x" w& {
1 _5 m: o% H+ x6 g2 w" B . }# e" C4 `* R6 H6 t: R( U
3 n8 I1 D/ e1 J4 d8 F- y% ~ b. ` / @2 n h; {- g" V) c Z+ a
直接进入特权模式,以此类推搞了将近 70 台交换机如图: 1 ^2 }; B, E6 S; E$ z
2 i( v/ m, _& D K. _- _4 T
% w0 r" }5 o0 T 0 K" J; E/ K3 i* u: X' u9 k
+ `4 Y; y: |* |" e
7 Z% g! g2 D) \* Y3 b3 e) p
2 h3 a' t! w2 ]2 ^
2 i! r* |8 ?8 H3 p 9 X2 X8 p+ I( g- A* M
8 l5 u L2 Z: I5 s" w
3 e* R8 z4 n5 s! n1 @ ( J, {! B# ]: l* y9 n) m6 }
3 C" R9 W# u, D4 }
4 t5 I W% }5 M1 s1 j% e% l 总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
8 S f" T, L z
' t0 U. h$ {' c* h. l: B! z
; C! o) A6 W) N
5 G: o6 v8 j" P, V7 f, M 1 v- F- C2 K0 Q% H
! J. J' B) s" _% j" b' Q: G% Q
$ }1 M& e% j' ?" V1 F : m$ p/ N$ m7 ], e J7 _$ {; ]
* ?- Y1 K9 i( e+ v3 j
1 r% H& t. O' e K
2 z F; B; I- |4 F: q0 @; T
确实可以读取配置文件的。 7 M X2 V' N% R3 |! @- a; w& V
X' E/ L6 y2 v2 F0 A3 t ! p$ W2 k" H2 E" q! E& x0 k; {
除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 ' V7 @% G3 L" }+ y4 W( {
* _/ A0 O0 b3 s* ]' a3 { / v w/ P! m4 L; j
3 ~$ f" S; q: k, p! p
3 J$ C& E. N! m1 G# j6 X$ J
! J+ I7 I# m5 I' v: N% a r8 w
: D' C6 t3 l7 j4 L
. C$ _ R( l# S6 d5 A 5 s% f! B& L6 ?' w0 k* g( P9 b
7 w4 N9 Q+ F1 Y; K5 `9 o6 G ) s7 L t( `2 q& a! a% F! G$ t* K/ x
8 {6 d, ]- q' D7 H' p
# j e+ t0 C+ u( E+ A
9 v ~! f4 c5 k, P
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 - A) c0 m; A8 j+ p6 a
* L9 h6 ^6 H( N% j& ?. O) s 1 ~0 d% E6 j. u+ a8 ^2 C9 @# k
3 h; V3 T0 q2 @& m6 ~ 6 h5 K+ O1 d+ s/ ~3 b' k
B5 G* |* ?/ s, X
* D* P. f' \! g& j5 j; N' |
+ ^: u. b( p7 r( O$ o+ E9 s 6 l8 a/ H* s* _: t
" a( |" r! B, N5 O: w- N% R
1 `5 {0 {7 v( @
上图千兆交换机管理系统。 ' @3 w" J' d- R. m+ n% n7 G
4 B* r) b, {* \- Y r ' D. ~6 X: _! b; i" l
7 、入侵山石网关防火墙 1 E) n3 J8 \" \ ^7 }
9 L& D q% b* n; L$ l
4 }) w9 n3 q3 h1 d2 i) k4 K$ s 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; |0 V- l/ O% X' U7 @3 K: W' L
/ W! A; a/ m' C0 L( k, i
! T3 z4 j r5 N$ q* @9 \! J) m - K# V! h' |$ w& I+ D
: G% ?+ O+ [1 l0 i$ V 8 ~) q6 D; }7 v* b& c% V7 ~) @2 F
7 ^+ [% i m' P: u9 S8 C4 Q 1 |0 N' R' L' G2 X" `' e6 I7 I1 z
. _0 H$ N. J1 a5 t9 i6 E; W
. w' _) ^! z C9 W - _& L6 K" n7 m% D! x7 R
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , J( v8 l" @7 r3 x; l& q N
6 |. k( Y0 {7 Q: N5 ^$ j' B
9 n0 [; a& m$ y+ K0 j6 m. U, B7 p' j
9 L8 ~# D+ I" T0 @7 l- [ 1 K% O! _5 F4 s1 G2 ~9 n
/ ~9 l- v( ]* J. f4 \, {
" R" }6 }( ?. F: ?( X6 ^
6 k$ Q3 O" \4 g# E2 [7 A / T4 W' ?- x) v5 m) W
! ~1 d: s2 x* j/ R4 Y
?; |% s6 M& }2 A 然后登陆网关如图: ** 5 }$ f; l5 O) D$ E/ q
2 b, k* l) r. K: [
4 a# Q+ z7 @* d+ q
; W1 y. b( U1 ^$ Q) t , d0 G9 Z* s9 v
3 L! z* C- n9 A! r+ R8 z
7 q" @6 {# y8 l
9 C/ w, q7 r6 e6 A& ]7 o& t3 ?; Q M, b; |, o* V$ X
* R. Z) ?1 L+ _9 {; N* h% K9 k
, ?& U9 B F3 @( E9 _% M$ A$ S
! x% x+ }: J1 V7 q( o 9 l# u! \* b% R+ N
, _8 s% `$ q) f5 h4 d9 Y. H
% C U8 r2 ]( p: w9 C
1 i p# w& d' z! c2 i% _! B
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** / t. N' j+ p( |, P
" M7 _. ] O) e1 D* r" { ) _" W: E" c7 G, r; c( o% A4 u
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。 2 o) J- e) s5 j( \
2 m; x( [+ D ?. |% Z
1 p7 A. f3 E6 ]2 I/ a
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
- p; V* I9 d6 b$ k4 l ?6 ~; m
+ a+ R- G, r9 t5 z! O
B" M4 y" H g: }7 {* G: k& O
$ L& h' o9 Q( |; y
3 L& b4 c, o" x* L/ h* y8 m
8 h) f: g$ J3 V* b! [" x8 b' N0 E
9 Z6 V& S3 ]! ?- ~
/ b, K, g t, S) I % v: w/ N' l7 g
: E: N+ x" f j* x 1 A* c# g A/ Q8 @) t! \
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ' O9 ~, [. R+ G. `' p
% r" v+ Z6 M. L- d5 p8 U4 ~
6 t# c% }" {' S2 T/ M9 @ ; l! [% o! i) ?0 e" [1 v$ Z% d
4 a( N+ g7 m. b% z+ d$ z1 H. E
, P9 M, }0 @& K" S$ E' P9 J ' S) e4 w W: V, m
% q* a. }+ n% q$ M- g1 }; W : {/ b% }; V& u" F" D
发表于 2018-10-20 20:19:10
收藏
支持
反对