|
6 a1 b" I! a5 c2 r( W
$ U& _ ~5 Z; z4 T( l3 V 7 {/ a/ z# O6 U" F* G
1 t, P: }5 p1 _4 Y4 y o 1、弱口令扫描提权进服务器 4 K& j* W: Z% Z6 `+ \1 ^8 p
5 P" B6 A# H* e& H
9 Q# M1 L8 N/ j1 Y$ J2 T 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: - N) S9 P; m8 Q" ~
( o% P0 p. @' V b1 R
/ t: N L5 Q2 _3 P * I/ p) c# D! X
/ X% ~! h! ?2 ?$ A3 n$ C' E
: H2 [ Y% E" k& K6 H+ I+ o+ ~
: M' f0 y$ j Y% c
$ F- T" y8 g& p- h  * u# ?/ K, e# V) X4 g; A) C: N
) ?) y1 _2 m5 r) i* [# n
1 ]1 {4 [8 ]1 ]# b9 K
 . O2 W. S: [& F! f% H7 T
6 o, F3 p, r) c% s1 v
' w$ j6 _( s& v6 i2 X. x J% S1 s
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 # `- x8 z/ A) ]- `' O* b' `
1 f( D5 z* h8 K2 L1 q s* N: z8 i. i& S
执行一下命令看看
4 }4 H. M2 j! s, k3 \; L8 e* I& \1 i0 Q
% v: `' l+ L. M4 F& \1 C
6 V- X: W3 k8 ^* B0 g1 ~( p 
8 s/ E8 r1 ?; [6 z. F0 I! O
3 H# P: Y( L# b$ H7 {! N$ p8 Z8 s; j5 u
+ s3 w1 s9 y: k: [" _ Y5 s
$ A% a" Z4 c8 o2 A0 ~% ~/ i. o" j
- F j0 Y9 {( Z' Y% S3 ^
; ? G+ U% U0 j9 a3 C
3 r0 }. q2 z h1 |+ r5 _9 y& k I. T
开了3389 ,直接加账号进去 $ Q& |1 Q" U7 S: w5 a+ A
5 `' J! F& l: P8 X0 F% ]$ o
" G" `6 V' @2 J; Z
. B% v: d2 G0 v/ V' N5 \& a
) i# I4 ^8 b2 j" N
2 R G0 W8 C) P$ p2 e7 q
. I ~: b& r+ g' b: l8 H
]/ F6 i0 J3 S9 _3 f; O# R 
: G% n; N& y/ B2 K* d
% U* i2 G( X! O
& |: X8 Y8 x O' R5 b/ B i1 b 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
' Z" H |9 v# O5 R, m v" H- ]% Y7 z
, y/ O, p3 @* q' Q, o" O
4 d! d- C7 X. y" T5 `& V
6 a' a1 |6 `7 F6 F8 W/ p
8 W6 Z! @5 [+ [3 E+ g
, @* L7 S- w0 G: A
: R' W. K5 K, N |) v$ k
 2 W& |6 [* L2 @1 a
# L5 y% L# M. D% e3 q- k$ n0 H' ^; S7 }1 w; M" D
直接加个后门,
* z* S7 Z7 f7 I e 2 _. P/ k9 S) [* M
# r! b- e6 w6 {! w* c3 h T 
, b1 `+ }; [. x( Q
% d( z/ g# |0 n( M* Z G
% B! B( c( [0 z8 w$ D
3 x- b8 U% Y9 Z @, j
2 K4 \( ^ c- A" ` . I' P9 t: a! O+ D. c4 k, d
( u( |4 o. h( L. L) l: M( h ]0 v! X9 f4 E) G& L4 ?- }8 f
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
) {$ ?' |8 ~7 ?( i1 U& w; @
' K6 j6 b5 N& j2 N6 b+ g4 G; x
% n' M' G+ I1 {( w3 V; E) x, y9 J4 R7 W" U 2 、域环境下渗透搞定域内全部机器 ( R' o2 w6 [7 T6 \- m
! M/ q! C! x% | w* e& i* s
; ^3 q# C* W, M4 G: K- m 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 6 d! {: n& b! y$ R a3 W7 l {. _& B
5 `% D. J0 B2 Q# _- E/ @! ]4 c9 m5 ~" k
# {! r6 g! B8 ?4 i1 t2 e
" J+ M2 y' z: I9 x ! a. H4 V/ a% y4 l: s) w, u' \% l
! i: n) A; T% Z2 g3 @" t6 t5 w7 j
9 {) d5 p' O% e. Q2 _# H- t 
( w- Q9 m: m7 ~# N/ t & p$ l# U& Y8 s5 P
/ d0 S# ~1 K0 ?* `6 } 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 , r' }9 s5 J, B+ v! o
T- `9 N8 o3 Y h' z" i8 G
, `; P2 C8 Y& F! T$ M6 p
% `/ G { T- q9 h
# p" W- |3 c) J" k1 V & P7 R2 C4 c8 o! e& e
$ X& S9 T6 Y$ a5 k5 x0 f: t
7 V) P/ N# c% {3 x; _  7 ^+ B" G& R. j4 [7 u9 r, K
0 L( F7 q2 t1 a7 ]4 q5 s
i4 d; r7 {! U 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: / H6 n9 a% s$ A% i
, U0 X5 p5 ^. t _! F3 _
6 J1 n# M4 R$ z ; h: T+ o1 K( \3 K# e/ q0 \
7 I* U6 W. L" [, }& `
- o1 X5 ?9 l, ]
2 H4 M* r; }4 Z$ v4 p4 p# K
# ?0 D' O$ K8 o' H3 ^ U1 ` o! F  * K4 G* d& ^* P% I1 G0 N
/ K8 J5 q' \% j# K$ n# N+ ?7 u. R( n) ^1 n' n6 D' j
利用cluster 这个用户我们远程登录一下域服务器如图: " u( Z' S! r! {# k6 j* P
$ G3 p" ~6 E1 B5 T. f
7 n0 C# ~, o6 \, y4 [' N& j! | 5 G; E! |9 s+ C% ?" m( Q( |% s
, `# V9 @+ c4 l' L7 G b, V9 s
M, j7 i4 E3 @# u- |- g# _, Z
' p! i+ ?; A& s8 B) j; G6 n% F' B
1 G- {: c9 C T6 c6 Q+ @% X2 K4 m
 ' Y/ Y- d2 T8 ^, S# E
$ r S! v% h* i* [) e0 u. F2 i5 n; |5 x- i3 p- @
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: + }! _7 g7 n4 ^3 A
h N* }, F7 {& D: n U
- c2 l8 A7 O! _ ! i$ o* U, F4 s7 {3 |7 h! _
8 [: K5 u: [+ Y0 P% U
$ E5 y1 ^" U6 t; Q5 ^7 [: `
- ` p9 p, b1 X* {3 z/ S
) M8 g; U9 I/ U5 F4 _ 
% N. I A% @8 E& O$ @* \" ~, u" N9 @ ' ]% y2 @9 b! L q
2 `$ u8 m2 B( I y& K 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 4 _4 W# p" n3 d
( T7 E# e1 s& f, v( F+ Q
( w5 L. w" e1 ^; O/ T8 y
 8 d9 J4 k2 R2 s, c
% h. }) J7 G) l# r* F# Q) P$ K1 h$ k( |% @3 O
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping # O( c1 s9 ^4 _
- W3 E6 \8 F( }6 S4 h0 z: |5 A% t
9 f/ n9 p$ D7 M/ ~2 F% @ blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
0 z3 A4 k9 G- G& G ' `$ e" A ]9 \: K* E& r$ |
6 f! X3 G& c0 u2 a. h6 T( u) D8 J/ {
: m& B8 g/ f/ }* R' U! `
, ~+ ?' `1 H$ A& A
h! i* S$ B# g& d, Q4 n
8 ?( A$ \0 [, {( |. y2 N1 b8 R6 ]4 g+ Y3 g
3 E0 B' j( a! w
/ Y3 y+ A. D6 F: y. T, `8 p0 z9 B
3 l7 ^( P+ [9 y2 h% B 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
4 N9 e2 l2 h3 x) n4 ` 6 f4 l" H- z: S% f
$ K/ W+ |; b2 C8 B; E, A D. e( ~% @0 H8 Z
0 l( z+ x: [0 X/ M/ A5 j" Y
, k' `/ h0 U) l / N9 n% ]3 }8 c! f+ L
* R% H7 \% v" R) O1 P
, {$ m1 {& O, a! c! W) G
" x, a# d- Z' o, ?' a& I' O7 t; Z7 i l
利用ms08067 成功溢出服务器,成功登录服务器 / {1 s1 ?5 W$ N& ~" m1 ?
% b7 H O3 l& [* O" Z
5 |' p3 N6 v/ A, I( B- Y3 B / P5 u" E) { L: O4 x3 k, l, E
' ] |8 ?( k" N4 |
0 K3 Z* E+ l& a- F! R6 l a; E
6 V& F6 c$ j5 Y
: d, Y* J0 N+ v r. h) \, @) N 
( \7 _3 H9 C2 X9 \9 o7 O3 b
" W1 i K9 E4 T. w& u* p
# U8 U4 _: H l9 Y7 D 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ; J! ?; Y$ C+ |9 `& g4 R# _* e* K4 N
+ M7 p8 z# a+ y
8 ?$ B7 }! F t* D3 a
这样两个域我们就全部拿下了。 + `! G( _8 ~ t3 C7 U N% L/ ~7 o
4 C$ |! R, `. B& f- _) a6 I/ e
, }: R: I7 x# a' f+ j9 d 3 、通过oa 系统入侵进服务器
: b& b" q x3 n9 H& ?0 ^& k% p
% f( {: S% v- h! P+ }7 J$ e
, T/ |- E/ L0 l: x) W5 \ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
- _; E$ F& S* |# o
7 P0 P5 n; B/ b1 {! j
9 @, m( b. P2 {0 M% b9 T; t0 c: l$ y
$ w8 w: Q: t. G- a. q" e
' i6 G6 d1 ^- Q- M
) I) G& L, I; d! s. R \; {& I
6 |9 C/ T+ d+ @$ H- L5 W& ~; V+ s4 ]: j. s2 O5 d" y8 X2 C
; ~* V/ c! H0 Q/ o: v, g$ E/ P
+ o; }& O. A: |9 k- ~* X) I! x* a( L% K1 d" ?* E7 S
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
& I( n9 n6 T4 A- ^9 k: s 4 P% ~# x& i0 [
+ d, J" Z3 [3 q
7 }6 G6 `6 X( a# p: v; c
- q f& Z" Z0 K( n5 c 6 R9 n$ j# ~, ? Z
3 B; E4 j- X0 ?5 @" N; b+ U0 I4 s( h8 w
* G- q' \% F- ^; ? `" ^- o8 D
$ T4 [ a7 N) }% R# r: `) a
; r% e5 Y8 s8 [! j9 a 填写错误标记开扫结果如下 A ~; z! Z: W7 b5 X' f! _ {
: S9 \7 k w% A' q, ]5 _, [1 U
& C; {& G6 s- f. J4 e! K8 ` H2 [
) I0 y; X3 s- G
( o8 U. U$ ?8 @. t \( m9 P
0 d( J1 d: \: Z) K- j6 C
. m) k7 p. D. G' {6 f: ]
7 b: L2 X: a$ T: ?
( I) ]8 K q+ d1 Y, L / Q! @9 [4 J; a6 B
" c7 O. p3 c# K) T% w$ L9 u
下面我们进OA
, ?, S% n$ e- L6 w9 p/ t; k * z! M* B- ^! l7 m) M6 Q# X6 [
8 n* e: l8 b: a! ?. F3 t; ^" g- }
# f7 u, _. J7 z$ Q- B8 V4 O' p
) w" \9 _3 c" F/ Y2 H2 {5 L
8 w J) a1 ^8 I# K% I6 E0 l7 \* V
# u- k( l* d' e& y: I. b$ _3 g! X: o, t: F" o
 : C; }' b4 T C- Y& c9 Q
/ V7 g6 ~& T) Z$ Y) g4 w
0 p! g$ y9 p. i# s! e1 d
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 / c7 X8 u/ ~9 I; P3 K4 L b2 q
2 K# d+ k! t! V5 I" b$ ]/ A2 A
3 t0 x; y) F" Y: n4 G 3 Y9 B7 a. [5 ?1 e; H, q
$ z& y/ j4 W G
' \$ T" ?! i X7 }7 J, W
* y" k& e; ]3 E1 A5 V4 S% r9 _' d$ `
( q H+ B/ K0 \  4 A% i9 i" B3 o' l# k9 S% G/ J- t
% y# ?9 @- J, p4 S2 O, { ?* M. I6 k( h8 y; I0 @
, p# Z9 W/ V |5 h" \1 y 0 d/ w; E) y$ I9 z, n/ l; K" Y; B
1 X5 \3 s- |: v. g0 e 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 0 _2 k9 W. X P9 O
9 M9 k' w4 O1 o* b j
7 \* }/ S$ B: }) b4 T 4 、利用tomcat 提权进服务器
5 T1 @6 Q& F$ S6 Z0 K 0 V* ^+ F l" w
0 l; x+ B7 ?* Z# F, @
用nessus 扫描目标ip 发现如图
8 w% u3 w% H" f6 j. `1 o9 t) M 7 y" f0 g. C2 n5 y( N2 Z
1 k- r4 M' }& D , o6 L; q/ [. \. m0 V/ M
8 o$ M4 U q7 x" {6 \% I8 M
* v) }* B; K. H3 [1 A ) n. d& v, `& L& m6 u
S9 R4 m$ ^: d: T0 f! R  ; r8 |% z9 |: S. n
/ Q& o* F! ~5 X$ I, d- U/ h, v2 h* b6 r
* j, T7 O; {6 U' c; D+ S
登录如图:
, {8 |+ R# M7 W. p# \ x
4 P! [' e( f |0 e0 \& Y7 P
5 s. p! j3 q" Q6 V! c; k) I. Q
( F0 C: a5 t8 }7 t
0 S O7 z" F. H* i" E% G( w" V$ D & T; a: @6 E2 P3 E
# V( R: }( E d
% @7 M; k) w7 Y' H* h0 | 
3 K. H3 ^5 s' G0 d4 l
; q7 ^/ C5 n$ H9 b& ~
/ _, T3 l. q1 a; B. y/ E 找个上传的地方上传如图:
# k1 K" ~' S7 W
% P7 s+ B0 X, ~* E/ e. Z; L
: v" f/ P# P7 G3 _. r7 Z- D
3 Y6 n1 X( K1 v0 Z: |+ ? M5 k1 k
i! w" W- x% u, }' G% U: ^
+ \! S+ R( d* a' F6 o. u# |
. g' r" r! d# o2 w1 o& A' ~/ y' c
( y7 q$ B9 m/ N- g: S; f0 ]+ y $ J' b; u! f4 H0 n
+ v6 s# P) e' Z5 v+ c 然后就是同样执行命令提权,过程不在写了 - A+ h- ?8 m2 y4 i; T
& z0 I3 b7 X; ~2 }3 f( N+ f- i
* K/ W" @0 Y7 F! c' A8 P
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 " @' q* s# ], w2 N. ~5 `
6 ?0 R: s1 F) X# Y3 u0 z* h8 [
. o' r9 ?6 g* K! G/ w* B
首先测试ARP 嗅探如图 / o% k& S9 g% A$ i1 D* s, a
; j! u. n0 C8 J+ t
, j3 ] h$ S4 \ Z4 E5 H % `( s0 J( y# Y. m
$ q; {9 O7 Q6 ?6 B4 R
$ B( L: Q! I; s9 _+ f6 P! G k
3 B9 e# g8 L; W; c, z) m1 i4 y( S' O3 c9 ]
 + N7 {+ P- s) ^0 e+ M2 n
# w9 T- N2 G1 b, b1 q8 r, t, N% v) f t- w! y
测试结果如下图:
% A7 z2 G0 a( F0 e, g
4 T, G) W) }6 i
# o9 N6 G( d/ y4 W" a+ Z; n
2 r+ C+ D( ?0 D: {0 r& P
6 T2 B' y' s4 z7 E8 ?
/ {1 M; e/ q2 V
0 P2 M3 a- r1 E M: g8 m0 s9 I9 a, f5 B2 z8 ?! M
2 s8 `2 \8 F* e% z) { 8 w& t$ Z0 y# V. u* P3 d8 W! \# I0 F
# ^( L! @& c9 y# i+ k, l4 X 哈哈嗅探到的东西少是因为这个域下才有几台机器 6 Z0 o/ h( b* {. o o0 }0 g/ }
5 Y3 L5 X: q: I* S
7 D4 P% H7 e1 _2 U5 Z* u 下面我们测试DNS欺骗,如图:
4 Q$ A5 p5 X5 A; }$ U+ F7 p
8 M, S7 K0 I& M; n/ b2 r' t. p! J* U8 U
+ b$ N8 X0 d7 e
4 k8 }" }& D4 o: B. F
3 ]1 |9 u: v" l, y7 ^
- g# [( m$ U3 t s" h
. s" I# i: B" U' a
 ! }- O2 G2 T, y
! e t% }6 y* [3 J0 w+ I% b# S
( Y( @% o2 U _5 p 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
" j/ j1 S8 w3 Y
1 h" B) ?" v$ p- t( q3 f" I3 f, F D+ w& S$ T- r
( A* N3 B* m+ S
" K8 r( ?' m* x! e
, o& y" C, ~: P; c8 ^8 Y
' g$ c" h9 b7 [6 k6 ]$ b% t" g; V3 Q* r( a
- |' @# C6 g0 _ |- k7 X! b L) I) [7 \0 a3 Y9 b* h5 b& D: [5 N# R
( ]3 b4 H8 N9 u' f! F) N: t+ S7 T1 ` (注:欺骗这个过程由于我之前录制了教程,截图教程了) $ o' c e* \7 K7 s6 e
7 N8 } A, e1 \8 n N5 `) F! @4 ?
! r' R* z5 E! t5 K, a! w 6 、成功入侵交换机
; d! B/ }. G& A/ U. k9 W& Q+ E8 `
% g: P# j. @; Y! N( K8 j r: G7 l" o! N, a1 z! C
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
/ Z$ c% h" ^ r. v
3 A( ^# J" a, U0 ^
, Q0 \) U: A) j/ @2 c' d$ M4 a 我们进服务器看看,插有福吧看着面熟吧
( ^% S' _7 I+ A
( d7 Y$ E- y, J0 R0 T8 E
/ Q& ]- p1 ^ J+ U2 u# A " @- Z( b P) \9 B# W J: V2 B
" N$ v* ?$ g: }; r
: |/ l* r9 [0 w
$ L- @0 ~% |" n) W, O! E; k& R' K& q6 h' [( x7 @- G4 x+ m* h# ?
 9 o& H1 Y- n/ ]( d( v. M
d- |# S% X, Z1 o1 V8 t, u7 f/ `5 s3 C2 w- o. g. _1 x( @ v
装了思科交换机管理系统,我们继续看,有两个 管理员
, p' G- F, [' P6 }7 K/ w 3 f6 L* l$ ^% y6 R% W- a
/ O* Z9 {& i: w7 L 4 W5 c! t0 C5 ~6 g* Y. j- B. _, E# W
5 _0 p K U1 P* A6 w
7 W/ y7 g# z* U : V$ a5 d7 V% g
6 I. v& X: L, t4 S: E 
, v) k$ R9 K5 h: D. S1 c1 G) G( p
4 J$ @& g1 N& o. O8 P j' D# m
; e+ G' l+ \/ }: E3 u g 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 , a0 m- L- Y, K; x( q$ G
# }- _& K7 O9 _- l, w6 N9 M& D0 ?
. a+ N$ c- e" w( q7 d8 _) D ) ^4 F9 a, F# G) ?. q; o' S/ |
2 H% i7 T9 N3 n4 J
- r5 J- s/ ~4 Y8 _5 _# ? % L! m' _: ?2 V8 X4 b1 V1 z
) [ K* ~1 G- t9 V* g
$ R- k5 q/ d! @4 w. L& K
) A. a5 P# x. ?3 u% B( q9 r: T" B* M9 c& \/ M
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ; z" Z7 D9 r4 r8 O
- c- }0 `9 }" _$ S2 v; d8 y0 c9 @& t( x& Q8 _/ N7 G
- ~; H- F/ j4 t* `
$ Z, r5 H; A6 b/ K9 f# K " P; S8 b2 h& L. \" f5 H+ n
# ~2 L3 L! H" k) @0 |" y4 }
2 U% W9 Y5 N& {& o% {9 [( K$ e0 L% Q
 . s' U3 R9 Y: O) z6 H6 R
) i+ N) b: i; Y! `: Q& N0 ]
0 s+ Q# G4 ?5 D- z8 y- T% f1 B
点config ,必须写好对应的communuity string 值,如图: % O$ W. k0 g+ V) X I3 l t
1 `% X9 Y( K: _) z9 y* A
* z' q# t% S* l) D7 U' e
4 l0 c+ `: Q, p' c1 P j8 J
+ _- ~- X: ?( b0 b" a ( L0 [6 Z5 G7 a
$ T/ s5 e. S y; J# v4 i5 W. z$ h, ]6 y: q: f$ I4 u: i0 C
 ; B$ y z; a# t: ]5 O9 }
$ U- Y% ]1 |6 D' l% v/ i6 r
- @7 W2 K W1 Q; J! S. z1 w8 Y: y
远程登录看看,如图: 6 g& I4 @0 x7 X; @
0 |3 f0 y( I7 Q6 l, r5 _2 `; L% C
1 h5 D# c6 T4 S 4 s) V1 v+ n& M0 n6 v
- \7 R* R/ W* R( C# B 2 V3 ?+ c* n6 J Z, K6 B. c
, a/ f+ M5 B+ P# Y+ o- F2 c7 S& V5 S; N* D2 a, @
9 x7 k6 V# c% u6 j% B
/ y/ x4 }1 d3 S
" s9 y% g, h& p& v, y1 S 直接进入特权模式,以此类推搞了将近70 台交换机如图:
# X0 Y; g/ z! c( o* `+ y: i! O; _ m
# f% J, N! o! Q3 k# q0 U2 ~# W/ ]
1 D! r- V5 a5 N0 H; u
+ I' }6 R: t5 D4 C
2 w7 \; U/ R a+ A7 S: g
9 U) M* ]& `! c- ]4 h. }, _
5 e7 U4 W8 W) `/ c9 k2 W6 z- Y- q( V 
- r8 {/ d" y# ?1 y2 E
E7 ?6 \; t5 U. {" M: g9 d: c* A2 E8 W$ x T6 d1 A3 h' C* P0 p$ [
 7 I d* P3 M9 b3 g. R0 a
4 L: h# g$ N0 D, V* \
% b1 ~8 @2 v" Y* s) J- Z; L 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** ! g4 @. O6 T% Y
) x: S' C8 a: a4 R0 l" x
4 X2 [% m) T; K" f
) C B+ |3 A+ n& ~
7 e$ t0 f+ t6 k3 I: j9 C, v 3 D/ S5 `( t. H9 J5 _2 M
8 |+ i* {+ @# }4 q* i) D/ K" k& g2 m
4 k ]6 D/ R% I W3 J 
- X$ \, ?0 [% L; d# [* g 7 |. M9 C8 V! ]5 F
; z- D! F+ Z+ d0 ]& _, H+ e
确实可以读取配置文件的。 + T% V+ O+ O+ u; C- a7 ^; c
5 X: G$ g9 G& O/ |9 N. J# d* w6 `6 L' Y% r
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ) J" E8 ^. r$ b \, h
- O, i& t! o8 K
% e) H3 d) E: d: f ) ^3 t- ?+ a5 D) \$ `, U0 M5 u
. C9 x+ h/ a7 j7 ~! u. x
6 a( W! L P' g 8 e4 J) n6 w5 e( q: M! W% E
, T: a y" G% O
 ; s+ o8 ~# V J1 \, p: P
+ a: N- o8 P7 X
P8 ], K( l5 J3 E- n  3 M$ k% W3 n# Q. ?
! p6 q: ?$ @6 n7 S/ p- Y- Z+ L3 s
5 P. O8 V, [$ }* p0 I 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
& I0 T* U- T6 {/ [3 [8 l% u2 q6 N: ^
& ^; |/ }" P$ j/ s0 s
$ ~7 V/ C7 L* d. q
, q. z+ } e! Q0 Y& ~
& w3 x n. ?; l$ q2 U
1 ~5 E' Z) O' z9 |) X ) S2 i+ Z5 c) J8 s5 |4 v
4 h% @ m6 n6 a4 t6 s- u2 k  3 d8 u3 i; Z6 F, @6 l3 V
. ~: d/ V6 w+ Y; q
% t. G/ k% a+ W 上图千兆交换机管理系统。
2 B: ?0 b: e$ E$ q, m: g( c2 r
; n3 l! d! {* a7 D/ d6 c }( J2 j2 Y0 Q7 Y5 f# `
7 、入侵山石网关防火墙 & Y `/ l- P( P( j+ x
( P' ^" D9 b) }, y+ Z
) d1 b J& |) ]6 _8 L/ `5 @4 ^6 |
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
! H+ j; n5 {) b c0 F + P0 W' B( r* X( h; g; n# d
6 K ?1 T$ X. x: o
2 n' x6 d% S5 n& i3 ~" d
# \4 K, x+ x: i# z5 m+ J
' u" b# n# |1 H( z1 _- L0 l" S
! }* q0 e$ V& O' C" d% f+ `" r7 B+ n9 s+ E5 H2 |' P# b
$ _' x8 `2 b2 q$ s3 S# s, `/ @
" k4 N3 q& v3 S; u% U' I& B
- l& Z& e) T! V9 C& | l 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
( o8 W c( D3 O: s0 ^) T6 t
3 l/ L( i9 [) C4 Q( s) ?, `' k5 Q, X: f3 S
4 F+ ]$ ` ] ~1 _
4 r0 L2 h9 X) |/ H 1 G/ A" Q; q/ Y2 z
6 d; w' s( o' ]% c
9 c% J& D+ G$ [) f4 E, [3 { 
. L/ V$ x8 F k2 p0 Q7 T7 ^0 Z) t
* L" e$ ^, D1 l* J
1 _4 c) f$ K* _3 R1 m- t# q0 Q$ E' O 然后登陆网关如图:**
; i" x1 H7 d( {( i M 5 I' C( {0 K1 M9 ^2 [% D6 i
' }$ ~& E5 B# @" Q, m* T; g
( ?/ ` ]0 E4 W3 R; n7 [
0 Y8 B" H+ B$ ~' ?) {5 G
, o# P4 b. R1 e! C" a 4 Q) I/ _6 M+ H
: N, V5 o, o$ g [8 [: v; \ 
7 R; q8 z$ w2 T; p ; H' p) x7 e' C. }) ]8 \
* \/ N! U- X Q
: s l5 g' b8 j! ~6 m
7 G1 \7 a# ]/ E! j9 M( N
# z- e G6 ~2 E
* n' n) i& D; z" v8 r) r" N$ ~8 ^/ W
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 3 [! A4 `1 P* [8 V5 G% A
% p* }( | f. f1 A
3 ]0 @1 n! N2 z( ^
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ! m- j. e5 P* |1 |
: F5 B+ O! S1 Q! M2 I1 |
+ h9 L. b* i3 d; P" W 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
5 ]- o8 `: ~- h6 q' V( d
8 W0 S4 ^% T- t% R4 e2 J7 J$ R* n$ E" s/ o8 G- A
9 H' l, x2 X( T2 \
5 k! n4 B, O* E; N2 `0 X % v6 F* H* X) V( w% O: `' t& k
& n e, P: c3 p, W
& L% O4 ^& A8 t  & |+ G3 E: S r: Z
9 x' j, [: O) D# c8 x4 C
1 H) b; \0 p/ ]+ Q8 P7 w6 f l
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 u8 I7 L- h; a: t1 q2 U7 Q
" {1 E* B9 e- o+ A6 c5 a4 X
) O9 y3 `& {# p( Y
% o6 H8 u, H$ z% m7 [
$ ~( R- F7 P3 ^5 A+ O
. d& J- O( y+ S/ ~5 e; _/ H$ z; t9 W
( b' T6 O3 \4 |" o# l
' w7 ^6 \6 t. i* H9 N
- G3 W2 g( ~# M
| 
发表于 2018-10-20 20:19:10
收藏
分享
支持
反对