|
( Z1 }2 T1 k2 b) j9 r# h7 M1 O0 B
% y, O) {. a4 s6 t# }: E4 ~1 X) J- s2 ~ 7 L3 Y! ]* s$ _+ w( X* Y
7 P6 D. ^2 b: _6 u
1、弱口令扫描提权进服务器
& X- b4 Z/ S& B# k- j* |5 C 9 ^+ d5 ~3 G- Y, i3 T1 {+ w
, _3 o! p: b* i
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
# V8 }* n+ r4 P6 C; n - z5 ~; s. `- R2 H1 `2 e
6 [& x$ ^2 |, @) O
' j8 n. @% g- N& O0 p1 P' s* z
% {6 S7 T/ O0 M! X
6 Y: S# N' P/ I* } , K1 n5 i1 c, p) B0 Y
9 ]+ r* @: ?5 J7 D/ V( g G$ \) S- d
# O8 A: K/ ]& V3 |2 T- ^( N % d" N- }4 J- V' w0 X4 z
1 [% Z/ \& b& u8 j' [1 q R
" ?, d( v% q2 [# `- k
Q" C( i, D5 O8 [3 e. x$ J, _) d- [/ E
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
8 Z) q: v# V3 q4 f3 J5 `; Y4 F
6 @2 s3 Z- Y- o7 P" O, L9 m0 d- e6 @8 c' m. a% J- ?/ j
执行一下命令看看
9 P# T. y, y K/ F( f
" z0 r. A: P5 c' t! M! D. ]' [8 B2 k' `% r% L. y* b( _+ C
b6 }) m3 [7 S
3 t1 w3 y" ]5 \
+ P1 `3 H" o; l6 r- w( J% I2 W
3 \/ H) v: T& v) g' z" A5 P, z
) O% S# _; U% J 6 x, Y# J- v9 \- T, P9 ?9 v
3 ^' u5 Z5 V7 J
^; P/ u4 M0 o9 h0 P% n 开了3389 ,直接加账号进去
, r# M- K3 r5 |. b2 ?
% B( Y/ V1 J' _( r, u c$ p! J3 z# k
- [: F( i, }+ Z p# ]7 X) D* o ` - Q4 H' v! N" H' B9 a" ^
7 s) u* C" S3 L0 n/ N( Q
+ n. W# N* k* P, p4 P * c0 S8 s0 J2 @
% P5 t! A9 ?3 N' Q( p; ~" G / |* i* r. C# r& }0 ^% v4 Y4 B1 R
! G6 s3 j4 Y" {3 Z& P6 }9 L9 x0 t6 @% | p. n+ a" E5 A
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ! n; k3 `, l4 X) I
- Z7 I& W. F# i( c$ J" ^& v3 J0 J9 x. s* j1 _6 g6 h; D& g- Y
0 j4 u3 d" K" A* `( [+ K
# y3 Q" }/ q- ^" e5 y" f9 B y
3 O. X0 a0 n; A ( |8 \6 m. o: o2 I' j |
& P: t. b" t" V M
" b% X" A y' ?. T9 ~ 1 r. y& ^5 I4 X. w$ q- t7 d
7 @, B% A" M Y- {. i4 _8 {
直接加个后门, * a" G+ O& w7 I& g0 ]
) G+ V/ ]' a$ a! R- R. E3 c/ u/ S# R: @% G- {
4 c" @+ H9 u' V3 D
; T" v) p$ x. b/ |' C
' m3 d* S# J. X! l' o$ ? 6 h) c; V. e5 A) o0 Q- F9 K# ]
! i6 `+ k W- J. @ / O7 Q! z1 ?8 u
. A1 ?+ J, `" I0 Y6 ~( A& }
% g/ B. U+ W9 V: R
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ' ?/ j5 O) k! X6 A1 [" C7 j
/ i3 M3 M) |, _% j+ U4 M# l
+ H" ]2 _ G5 F0 n4 ` 2 、域环境下渗透搞定域内全部机器 9 J4 Z7 G: U/ H! `
4 g E4 |: Y, C$ S. x& {7 m0 ^& y) d* z5 F. D+ r# Y, o7 t
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
$ z3 [2 ~3 X' F% x1 I" v4 c+ t j# ^
' G! j7 o1 r2 }7 T4 k( y! E8 ]/ h5 c9 R; D p6 x
% @! I5 L" B( Q& r8 |' Z7 V
: ]/ E+ O1 d$ K7 q0 \/ g" o
7 ?1 g, W' r: N9 z. @ / E: l3 i( {7 D0 z
3 H2 `4 I7 ~' z* ?' @
5 b) h" }. F' R5 n: b! N- J' P
) e' {1 e+ z5 D/ r9 V5 J4 c, S2 C% x4 P/ W
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
: t9 m0 z4 R8 ~- j$ R( ~+ W 5 h* L% C: ?, S; i! S, J
+ M: {. }& r. r* X
+ G) a* m2 }7 [2 l. ?! d
. {$ T3 q% B3 r; [ 9 @; b$ C8 u) q. \, b
% i: Y! v$ b4 t) U
6 D9 b3 I8 u6 `
% x/ R4 l8 D( r! O3 n5 c
3 j: ^7 h7 @( r' B' M0 g, y
; z8 C# G* c& W 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 8 l( n8 [% L1 ?% W0 U1 F- U
* m H: r) W5 G9 N8 p& j- ?& i! K
* }# o& g( b# u
0 K) Z) I7 E4 S( |" j! I
2 e5 D1 Y& Q1 R! O# J; W5 S( a
$ q2 X6 M0 Z' M% O+ `
7 h$ e. `' u) g3 P" B5 x+ V% M E# ^4 Q
0 j- J* ~6 m6 e9 d5 |
7 ?: k0 b* J: L
& @% C$ q1 f$ L+ H 利用cluster 这个用户我们远程登录一下域服务器如图: 0 j% h4 F8 m9 V# g' \
4 e* d( o1 i3 c0 c, z) f6 r. z8 w# ?, F* b! o
1 R! N: m7 s; Y% K4 T3 x2 x B
: L( `- `# r1 j: J, c$ ?& Z
7 O1 y+ r9 x2 v( C7 ^
& v+ u, P$ m! g; P1 }
# S( `2 h; Z, ~' m2 ?0 k
# e; k* {7 q3 ~+ h( Q4 X# E 8 `/ ?$ L6 n. H% P9 Y$ k, H
9 d# r% Q4 r6 Q% x 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: * ]9 y" ~3 h$ S6 H- D' S, I
1 ~1 r7 g2 k# k! A8 V7 r9 C
" ]# P3 l& ]7 H6 y
+ R! Z* R- `3 X' K. [( d
5 L. Z+ V- C% [' X$ J, r4 [
8 z" e* z( d/ m+ W% E) \9 M! c% U
% E: z' Y: b7 E1 l/ h4 H% V& O
* g6 x" U3 ~( @" P0 X3 q
! d1 k( T# c6 Z* s' k
. t$ i6 ]2 x' U" s1 s! Y$ `# y; R$ ~! @
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: # c$ Y# p0 l8 M& s" m
: c- i" B& T- D( k& g% `5 L5 {/ m( F, d ~
# j! P4 A+ B9 o8 t& O$ u2 V, b
1 j% B; r! [. @6 y7 [, Q: q& C0 Y) b
0 o* p" N% q& g' c$ F1 q 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
* g5 p7 u) S) z2 s0 @ ) g3 X1 y* s. |* m" m2 k
1 ?7 D1 M; G& w4 ]; J& r6 I% l3 ?4 l blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 \1 v+ j/ T) W- _% J
: D5 b/ |8 b: h& G- S; p( K! t* A% V2 R7 i7 q8 z+ T' N4 F* _
5 _: |1 L) b# d; B8 p* U/ |0 x0 J 2 F6 h9 G; d# E$ {" o$ {
+ x) T x0 B% ?" I$ l
9 K' A v7 a5 z @: p z( e
! x4 I2 `2 T& Q, C% K
y8 R+ s; F8 ^9 g; k1 S
6 L% M' I+ d( q7 O& Q: r) ~2 ^6 K, s2 j6 o# b: E& D* c& H1 ~; N# h+ v
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
d) C* o8 F" S2 O& a / X" p! r+ T1 {$ u$ S( E% B7 Y! a e
8 s( ^' s4 b: W5 u' N 7 N* R/ H# v# a* ]
1 U# a$ w2 m; K4 w8 C9 Q 5 W( Q7 U# O) [# Q- T
, `8 c9 O7 s# j' ^0 I
6 Z3 v) ]1 o& P5 t7 N. B( D % _* u# _2 ~/ O$ [4 f+ ]# o
6 t9 N/ N: d! a. D& x, j$ m
3 P ~! I3 m3 A( ^
利用ms08067 成功溢出服务器,成功登录服务器
& {. f, Q+ ]/ ?$ T0 a" U- J
( ?0 q9 b% g! a5 |- u
# g7 ~: b2 x, h3 s) P: X* U9 R & h/ C3 x0 E5 L+ U6 y, A
% l- Y: K1 T+ n1 d- G/ o6 u
& q. W6 R' n6 y 1 o3 i; D, a1 {# r
6 Y9 d( \# \: U
! M- P: P& h' q9 n# h+ ^ 0 J7 r: B' y$ T
* |) _7 t' h4 ~4 o* P
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
& b, r2 Y) m: G) `0 e; C2 S ( }7 B- s' t$ t# i p9 L
, u; N+ L! o7 Q1 ?0 V0 s/ x 这样两个域我们就全部拿下了。 1 n+ c2 _9 j; Y: H
1 c J0 t4 c Y8 U
% @' I4 k4 c( z2 ? n( M$ I- h- i x 3 、通过oa 系统入侵进服务器 ) A# p( T0 X( l2 l: g# N* J5 H
$ u8 B9 ]) X* X/ V7 n
& s8 s9 m9 r' z1 q- j% F4 ~7 @
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
5 n$ }% ^: Z8 o% e9 l
2 @* I! S. S9 K3 P( u0 d6 j6 q' o8 N4 l9 W
1 g/ t8 B9 X+ W5 k % h0 g+ K, P+ ?! s/ _
$ K/ C0 b' N0 q$ ^/ C) `% E7 A0 [
! ~0 x: `1 I3 g" e+ O1 o+ c+ O! \; I5 e' }& V, h
* p* M: c* u, T6 V1 s
4 h! V5 i" y- o v* K% l
0 @* v- Z) W/ S 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 # V" h! ?1 M+ \4 p! G2 [
6 B! v0 q0 Z, a/ x& N
5 H# {' `& ^$ t2 O/ e( z# k" |% c ( o/ b, i' h+ y( O
+ I; g, M; y0 m& {
# x" k( v4 W; K1 N" |
8 C- r+ ?% ?/ ]9 r n7 B% e% v2 r- l D) ^7 E! O
' F! ^4 z* Z) A( j7 B# U" J
$ U( g) r4 q8 B5 S+ d2 ~/ s
1 L0 m' N1 `& C8 a: g3 s 填写错误标记开扫结果如下
- I( z. j5 k& o) }# ^; y 4 o. @+ j x. a0 T# X
( B# j% p! X5 ?6 a, ^, j: @
* z% n: E/ N. c+ z1 \2 N. n% K) [( J
: f2 C/ w p# {, w! W2 V+ Z # B' l0 b; a3 T9 P" `3 I3 s) c
" G, X8 [3 K0 O5 j u
& K1 C( O' f8 P3 z" }2 w8 `9 n
) Q8 J8 I4 F9 u( s2 G) e
; X) o) K5 r' q4 l1 [
N! G: t5 |$ }2 z( m* O1 Y 下面我们进OA 4 Q6 q3 ~ d5 {" l) z
+ X3 H# E1 S5 D. W( m
: H: t9 M0 o' \+ x3 `
# G1 C! P; T5 h) V9 F. n w' A( F * c( a2 m- a- P3 t7 E* ]
- ?; t) d/ [+ q# v
% l9 U2 e3 X5 p, Z3 Z" j: o' t! V* g" c# }! ^/ M' S# R
! j+ U3 q! ?+ R/ {0 B" r+ x* W
, B+ I+ y) n9 |1 r! M
' p" d) {' e9 v$ R: P0 _# R" T1 I: B9 M% ~ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 1 K8 U) S, z k( x4 z$ v4 P4 r0 M' B
2 {0 g" j6 v+ T3 G7 I- S
" Z) Q* A3 Z* B% E9 j 8 t; }- U! l0 u* e0 e, c, z
# d1 A, c8 n+ d0 d; q
% s T9 W( b2 O2 G2 f! u1 M( e% r
! t9 p9 I, A1 k; K+ X: L
B2 C) k* c! W5 H- a
0 Y' _% o# Q; C$ C
n/ ~ j6 w$ O" L! v q" O2 w$ P
) e: F. @6 X( i! H3 N. |3 y
7 {7 Y, Z2 S X1 L* H& X/ n% j8 t, G* j" {* z
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 . J/ ]3 |+ u1 [! w3 n
/ u/ W @$ }" D) S: s
) E" o G! \9 G6 U 4 、利用tomcat 提权进服务器 * j( k5 ~1 z' ~2 A1 ~
% I8 r4 a K& |# \
. y0 _* ^0 }7 Y: s2 l9 G 用nessus 扫描目标ip 发现如图
0 Q; b2 t2 g/ R* p, P$ d: b 1 E& k$ k; ]6 L' o1 t, ~3 j2 Y! ]
) ^4 X$ W6 N6 g3 |! d& R- ^' T 6 d* z3 B+ ^; ~" B/ E" F
; H- f# j) ~. m+ N+ \
; y4 X& R* K }% E0 }: @
) v" E; k6 r1 R8 X) ^4 ?, j
+ Y( e j) R- R% k+ m
! @% H* u' ?9 Q7 E2 c. I, j, y* l + @; B; M# b7 V: N2 B
2 Y n9 W1 {( V; W 登录如图: 6 r9 n3 _* T) k, E* e8 c f6 i5 E
& B" W3 @' Y# T/ e( V
6 V3 Q7 r5 [$ t# f
: |" ?- A) H; w* n% c3 r7 H$ h
- i: ~1 T/ G: i. F7 y; P
0 \$ @/ r# K& r) E0 o! R / w( q; Y8 t8 \' P
9 }2 i% V6 P& i3 r+ a/ U4 t$ `+ u8 g
\0 w. Q3 N2 r) |8 c7 _% Q$ t8 Z
% R H2 l' o5 `' M/ u2 G$ d, ]# F: z7 l
找个上传的地方上传如图:
% _( ]. p7 v1 a; M Z2 L; ]
3 p \& V" j9 h) I8 R. g3 p8 Z: @* j
* e l2 ~- x2 M
& T' \% L3 b5 }3 s' K& w
( v: z2 k; r7 ~+ j" ~
3 s- R- _( V; @- T
$ I0 [7 ~2 v. ]/ `5 w/ i) P $ e7 b2 V, N2 g* X
6 X" u3 _1 C; `/ p$ f) F) ?
$ j+ `7 Z% j5 y 然后就是同样执行命令提权,过程不在写了 - i; S9 ]9 G/ T* \: f
) U2 [# @% y% h0 \/ L/ T1 O
( K$ a4 I6 E$ n$ { f 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
2 r1 l% @2 n% Q7 G# |9 F ! f3 C4 d; _2 ~- C0 V& z" q9 i3 o
4 _9 G9 |1 @$ } 首先测试ARP 嗅探如图 2 D0 O# `% j q |$ Y+ f* o' G: o
; b5 A* a9 T- x. g( A, S
/ s4 ]( ~& O, Z) G4 Y 0 C8 p/ n$ V" S- V
+ U" J' Z" a, P- i- g) t
) X2 Z: I) k; d- U* t' c1 T
, O. z7 A9 @& `: V, p$ _" @3 C2 N2 J+ u
0 F0 d* u- Q7 W2 W
- P9 `% s) N* e- \0 D5 X2 B2 M- R9 B8 Y
测试结果如下图: # ]$ B+ a0 N- \. X0 ]
& W; t' w, G2 ]! H' n# z
/ N& y1 p3 f. y( b( Z ! g! v% c' V* ~0 g5 e
/ h1 T" O! ?7 A, V7 i
4 Z, o8 E; ~ J0 x! D; [
M5 h4 p" M' s h' t6 n8 W; B) g( P0 h$ `9 H
# {4 |( N& X- w, S7 C
) V* A4 B: a4 g; b/ s
9 ~8 P2 t7 d; X" u: N: C 哈哈嗅探到的东西少是因为这个域下才有几台机器 ) T- D x& K1 m) P" W. q- |* \
1 P) R0 Y' _/ G4 N! }7 W, P) }
" U% N/ J# N* e# s. u( T
下面我们测试DNS欺骗,如图: 0 }, G& G* H% B6 m
* B1 z5 L B. `: s! Z$ l5 J: m
8 l) W. u7 U& p4 H% S8 f * ^8 b$ J% H! P* `
& ^9 Y( B, \/ H! i$ T& R
8 [. l# P1 x0 ]1 Q. F v$ r! ]- I ^" {; n- q
' \$ \$ r6 V8 p
3 E* A, ~9 T" z* D - _% Y$ B+ [2 z$ K7 U8 M
1 y/ ^% n: C9 C( _ O' ^7 F, A
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 2 p" u+ [9 S/ j. ~+ P X# o" G
& a9 a2 T& o3 [1 I0 c D) E% B
( L* E9 I" t3 D9 M; d$ z 8 i$ K, Z& M% F# Q/ H. [4 [
6 `+ H0 D6 U; }! v7 {
8 }- p& A$ G. Q8 R' o4 f2 C - X0 ^, w3 x1 R% o7 b. D
1 t, J& |+ V$ ~* s. o* {+ Q
# l3 `6 f1 N4 ?1 w3 n% Z
+ h% ] V; V6 h p6 r
+ y5 w v( t. f( F( X$ [' ] (注:欺骗这个过程由于我之前录制了教程,截图教程了)
4 |3 R! d: e* \- F. }1 H 7 Z6 r* S. z6 C1 {+ `8 N( G! S
3 e& \ S9 N. n! I2 v 6 、成功入侵交换机
% P$ T6 J3 ?9 q6 M* Q : M9 B/ q8 W" w$ O6 b* r; G
- @: l& H1 k1 B, j1 Z+ J6 b 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' O; J' T0 A6 P8 D6 d0 A) L
7 o! A8 i/ `4 o# j; ^
! B: \! G+ ^3 r) } 我们进服务器看看,插有福吧看着面熟吧
# u h C; m# w5 |7 s, ~( [ Y
) c4 K d. F5 X# v8 C: U8 L
0 @) Q9 w# W" k; K * t8 O4 I/ B$ O+ s: y
9 W* {1 ]2 e7 Y+ F8 X7 m 8 E: p" { W! P; ?4 T8 I- R
+ M, H- E) t3 m+ o, S1 g7 D
* R- F: _) S" V9 g
* P0 o8 e2 c X
3 D" n- v& @$ ^* Z8 S& F4 L" Q. c w3 `+ _! d z8 S
装了思科交换机管理系统,我们继续看,有两个 管理员
) V. P6 l( Y7 m+ H8 B 2 \; V! `- O: J8 R; [$ I, _& ]
& K' b1 ]* x6 f8 h+ H2 p
$ J( c% U5 g' j+ M
. H" g- Q/ t. j% M! d& a5 I y% z9 h2 @
$ L- ^) O; K$ v+ v
8 J u2 H2 L# f
! l5 w2 N/ }, D6 U A/ y& O$ p. X
4 E/ m4 I$ ]8 U* h* o; R
7 V7 ?) q9 \% V, ~5 E) ?! T
0 y2 C R) ?3 S 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
! ^, M& A# U0 e6 S6 @% ~# L ' M Y2 p& t! n* \/ f( a+ w) K
) N2 u2 y9 K6 M% T8 t( E
0 P T# b+ Y& @5 n) H8 {
8 d- O1 e" c" Y- g# ]
: h. h4 h6 ?) b, W
3 Y) Y1 a8 P8 V' t9 ^5 s! R( g# ^/ ?+ `+ O
8 m3 |3 }/ b8 p
) t* ^' l+ K7 T5 T6 c( G3 s" |- e0 n
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: # b! }/ E# A2 X( l$ l, P* p1 R5 S. S
8 G# b8 M5 d% Q7 V( i, Q6 H) G( e: e1 L4 t9 O R( R3 r5 @( Q2 U+ c
( O! _; _$ V j4 d" {) D9 Z
1 ]( X0 c3 L3 ^3 ]9 O& d" m
: [% L" }% K" x. v
' x. \* m- i" \! r4 v6 N) S* F1 t5 r: J
, |5 i4 ?7 ]' L c5 F / Z- g$ w: n/ T1 i
( l7 h( b# K% N9 m. Z; ~
& @% N. P4 M6 r/ Y* c6 Q 点config ,必须写好对应的communuity string 值,如图: 5 x. r8 u4 ~; v: f8 V! A* e
9 m( D' w: i) \, \6 d. p& r, U9 ]: z5 n
: P4 r: g- d0 `9 y7 |
5 b" Y4 \$ e: f) o8 g
- P2 X$ R0 l6 M) k- a5 E 2 K3 k& Z, W$ m, ^! K
$ z3 v. A" \' k2 N6 V5 F/ n ! d& w; r) }! d% e
& K; e; v8 W8 { A
' U5 N9 ]- S: ?* T2 r/ x! {; @ 远程登录看看,如图: " t1 Q2 J, _1 t K1 u; V* l
8 Q h- s! ]0 e9 p+ s3 P9 \% ^% k( E) w
$ R7 N) ^' q- w# k# `2 _5 B2 S5 b 3 F* M" v" |$ C+ P/ c
6 P' ?7 l' s' f$ J/ Y8 W
4 d; d. T) @# b* {* ]2 l/ T# G
6 b a% i; o5 u1 X1 f6 ~' o, c/ j- |! P. I# }& P# h2 u
7 l3 s8 ?7 f' U* X5 a' B/ H' ]
2 [/ L2 B' F! Q6 j* F5 l, v( {4 W' d6 ` l1 w3 S! R7 w% f3 X( O: W
直接进入特权模式,以此类推搞了将近70 台交换机如图: ' t) W2 W! f2 o. c" m% s
7 @" P+ c7 ?# I' V# `' D U* Y
' O" \) j, ` f # d! k: t0 O) |0 J U- h' n& D
- c9 r) b# W$ p6 m8 x: K O( b: Z% C1 h
0 `/ {( @1 K0 J4 _ w& R ( f3 E1 |" i( c5 `
, p- Z- z9 q E ( ^' F" l, v; |! P) b
# A: F, V6 m9 ]# s' V, l1 O' `+ L5 S, h
0 D4 I) z( W7 M9 V
! U' F% b, o% o4 w% g% V% \
: b0 H ?6 t- b8 T' q 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 1 a- n1 M4 H% p# U$ i6 }3 y$ _
8 t8 K- w( M( Z. V7 J" V; l
2 M6 W) ?; O3 T' _# C1 K8 @
2 [5 y2 c7 s4 }4 r! `) U
" }, i3 P/ n! b; a) ~
" z( Y" ?+ W; E1 ^ 5 d7 o) T' n2 V- j' I( C$ z8 M
: C7 A( k6 O1 |6 Z6 L, A
: G# N1 n1 c( z$ t3 x+ m/ O- Q
) l$ ^7 t/ m o0 n T' A1 D6 Y6 y! W& t' p! W8 r$ n8 A
确实可以读取配置文件的。 - v! b4 i* x3 [: Q6 S7 @0 A
. P+ Z* l/ [7 j) z
# J* L0 y' e! l8 `' F! j/ n
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
6 H( @2 E9 Z$ o8 ^5 v/ G: ]9 ?
$ o" A: g$ g/ c4 {& o7 l; D& h0 {
" T8 U2 G ^# x7 m* l$ ^4 o # q- w" M- a( f8 }, v$ w5 c
& R9 v# w! {3 `/ N
) n4 d/ z& o( Q) d# L , K+ y" U0 B7 C6 q& Q$ K: e2 ^/ O
8 B/ ^# \7 M$ |% q0 n8 F$ @
1 Z7 s4 X4 N# [: r& W" C
5 J6 O6 N" Z$ v0 i/ y5 k6 K! V- u( _7 k5 g7 z
$ u6 D8 T. } u! g
w7 l& m+ x" w* r4 |6 v: L k& T( s
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 , _: l. b4 H$ d# f$ H, |8 Z! J+ L
0 Q! H& H) {5 A" _" j9 L$ R
# O9 s7 j2 C0 G T* U: Y' X8 v5 { + b) e2 E, e& o: ^ X( O7 x
- @; A! r1 s7 ^. w$ @, s 3 n$ m/ r. M+ x0 c% m% l( [
/ E' {! A' L3 \ B( [: Y' F: |4 d* u# |0 C5 I' {; s
+ W" L0 V" J' V! I; `
' i' ~$ m. C3 w" |0 N
" u, u% w/ c! |& b/ K. Y0 m) m
上图千兆交换机管理系统。
$ e+ R7 X6 Z+ |" ]" o; g$ | / G# r; n" R% A" i$ f, I! y/ h* B
( g6 f6 j- z% q
7 、入侵山石网关防火墙
; Q/ L7 J/ m+ P% U( M
; Y5 c# G2 ?2 B6 W9 h, C( j
, z8 T6 r1 Q$ N% z z F 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
% g$ T' r. x# u/ v; g1 b* t : d* ?* a- b( b$ o9 G/ n1 C
( h/ L) e! s( x% Y0 ?
5 | t) P: o+ B. ]
. P! [4 R9 _( A0 B 4 q9 d: v7 e2 m* F
- |# U9 D5 _3 _2 P! W; C
; O( l& `4 d- ]% l( s0 U3 B
( B3 ^+ C9 S+ X) y& o& }( k6 A' i
, `2 N% {) x d+ l8 u$ D/ l$ b
! ~3 ~/ k( A# Y- l" \9 q 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 Z" H! x# {3 F. i j8 \# ]' ]% }
9 n( ~7 `9 U3 @, e. T: K3 m1 y6 f' [6 I! t
7 `% a- ^1 s4 s1 N7 P. G3 G
* V/ S: I8 y; o8 f 8 d3 J8 q$ t& {1 a9 q
& R3 f; s( c$ s
3 u% r# ^, B7 Z
) |- f3 O9 i1 n' E 1 N& h9 ^# x! B
6 |' Z* h& ]$ C7 N* D5 H
然后登陆网关如图:** 5 u; e3 f1 f3 u- A
! A# q% j" B! c% e) y9 @9 q& O5 L3 }8 w
) f$ M" L' j" S; B! s9 C \
2 D$ z0 t3 g( v; g) Y
: j1 {! U7 u2 }, ]9 R
/ @/ f4 v6 N$ ^- t' {
8 L! L% T! r" k4 ~
* f' s, @+ t/ ?# y$ r 5 `8 [( S8 p6 ]" V
/ x$ l1 q/ n( S 8 c# M9 y% U/ _/ ^ C
# v; x: B9 O9 _0 S- C
1 V; o! A5 f8 u* ^
- ^) q8 [7 B9 O7 w4 x4 h6 q( [! u" f: d0 A
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
( e+ u; L, }" [
" x/ L; j1 C2 c
+ E" f6 K9 d' Z5 B/ t$ A 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 * a3 \6 {0 a* Y
' t x" p# v* G z
8 K: k; ]9 H* s. { ]! Z 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
% T r" _2 C( F/ e 9 E' l# K4 A) [6 C3 s) v
5 K. L; d! e/ i! H" ?
D; c6 C7 ]: | 9 c0 `. p* p$ y0 \
A+ S$ p, t# ]5 Y: n A# P2 b( @- F
( m2 {" i. _, N8 Q8 ] C u
5 d" @* B! b" O7 g e ( i% y1 d9 n% \8 d( x. p0 W
$ V, z8 J: L4 F/ V. }1 F1 }
# {2 P* E2 ^- F# } 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ! e. L- _- @+ B; P. d
5 m: {" ^- e6 `! Z! E; L q8 _
7 L5 v( x- d, J5 }
+ b- y% F6 `- W# v/ h( \
7 f d* Y& z' a3 L2 T- l2 q1 l$ B
6 T0 n7 w1 K& d O
6 U. m e% h1 R6 V
* \: M+ o3 |/ Z
4 W1 H$ e1 h! R$ x2 D" |! m |