) r+ f5 M" z( k% C
( m$ e1 n5 P4 d
8 U. U. e% ]/ S; L+ _6 M# w/ c
; | p$ u/ N& C; ]6 q) `* `4 [ 1、弱口令扫描提权进服务器
. U# s( K4 w7 G% {. x' E% E$ y; @ 2 Z, a$ D4 ^( _5 d& [
9 R/ @5 J7 _2 G! ]- r }' V4 }
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
8 O! l4 ^1 H1 J9 i ' B9 t5 g# O, C0 C4 y; N1 Y6 J
, G' b3 ^. {% k1 q
- R2 D$ E2 }( \" j & K7 p/ r+ f9 o: a2 b8 h3 b/ [- S
0 N1 f% _; F% T0 c. i
' I# V3 W5 H6 M6 R5 F" m& I/ w% B, R! U* V' p
: z# m, K( w4 v/ q
, c3 G, {% `) A% `7 p( C; x3 @6 d' n+ l# |, k! T, c* L* ^
3 ^9 S6 f& i# D, K! x9 V& b- j, f
& M' c1 ], r! g
& t5 I& G" K% {9 @ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 - B( \4 z9 w& C+ K
2 x. U1 ?# l4 k* P
' C/ v; w+ g2 Y 执行一下命令看看
, h( R |5 e5 Q, w2 v ' v, Y+ k- ]: w9 X( _
) R) \# N6 W! W
' S; ]' q' C; m: q3 \* |: b0 p
D! s( Y X8 T* N9 [8 y4 Q) D* s+ X! D, y" g
" q. E" P7 {7 C, o; H
2 m0 x% D0 w0 @, N4 F ( f4 l( q! P# G
' O' D7 W& c/ y. J8 a1 K$ _( [
! w) q2 p2 |2 \: S2 D; }5 [ 开了3389 ,直接加账号进去 / D* Q2 U" W' ~. K
' ^$ l0 g9 t: n7 ?0 y8 x* L/ y
" q; s2 R" I0 F8 m' L / |" ?3 G7 u- t' y4 y
- w* J, v: L4 N/ N. Y5 J
`" C: _0 q- i
; W4 @2 z( \+ m% `9 k9 p6 x* Q5 w; x3 F; f2 |9 o
0 q. Y0 j' k. y3 v1 @ X
+ o( V2 [( ?' w5 v% [/ u) g6 m) J4 J
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
|% T2 d- G6 `. J8 p& ?) c1 u, T / I0 B: h4 C- i6 p4 J
3 [- v& D1 ^ u& c1 w3 |& i
8 ^0 K! ~: n7 J. k9 z2 F! I! d
" S8 J$ t9 ^% N6 l) n& H0 r
5 W5 K& c; d' {% @9 r * N0 k, ~! s8 j1 D) Q
8 H: @' Z8 P* F
, n# e$ C J! _2 | 8 ~$ N/ |' w. D; ]
2 X' J" n( y q, E9 W, n" @ 直接加个后门,
+ r! z8 B2 B+ H3 Q0 p" V
% A% Y% J/ G; }+ l9 M9 Z# A- J" b/ o( J
/ t% I- F4 e; Q
6 ]7 }( w9 G" S; y% Y8 [0 }
" }$ `3 k% N! y8 k I8 l3 C
6 _5 d- y1 \. x0 o 9 {1 N2 e/ G# \; Y
0 [, `' L1 c: ~' B* `
" _/ X/ Q3 L ]9 L& [/ L$ J' g; V
3 a0 R B. m% u( e) c
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ( H; q. A8 q( Y# j
( q: {7 s# `$ O/ e) n
1 ^3 |! }4 r U p/ s: W& W2 Z. T 2 、域环境下渗透搞定域内全部机器
. {: ^3 S" D, W& W
. T0 N' i8 A* v; ~, ?3 F" ]$ K" g" B! k# D
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 # Q, Y6 [# Z/ x- G6 ]2 R$ }
1 D; [3 n- d3 s: P6 {
3 G v' |5 w; a/ M8 R 2 ~5 D- O; r; O- W3 ^9 d
) t" K! e& E) y5 A) `4 [2 |7 u
: A2 p5 N- p( x. q% t+ [* R, g 7 P! H0 j1 r% r+ F k+ ]
8 _6 K$ O1 W6 I7 f & ^! p& ^4 M# W6 p3 N
9 y7 X& y2 v) b! `: L$ ?7 n$ V+ ^
! ~/ G1 N( G" E# f i3 Z
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 & v# f. @* ~ @2 V* `5 i5 \* d5 v! W
1 L$ D7 }* [" {" I
& P* i8 `* Q% i* B; r* I7 ]/ {
i8 w5 t+ r6 H7 t) b, l8 X
* W( a1 R- ~; w" C9 V
" h/ c* `2 |0 l7 R; k
' X, v- E' e5 c; z9 p' x& i
$ E" o3 f! N. i/ n 4 R5 {. Z% [* X3 h8 P2 u! ~
$ M- c) H% N1 |3 e: j1 u! ^! a+ Q2 v6 I3 V/ B2 ]! t7 C- y
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
) \& T! }; O2 f / b( X: P7 ^9 t! v( d
5 r) j6 f1 z' Y4 c6 V" g
- ?* g4 z% l; D2 J, c( z
2 E# A) m- t% Z: i2 W& o0 B& P; f
+ P/ l9 B) l; f
* v& k' D* h+ T$ B
2 _, U3 [9 N( o. d 6 \7 j" K1 e3 P! ^. a+ p
. o" h# _: Z2 v6 U6 A5 O2 p/ V8 f; y9 A5 p9 \5 \
利用cluster 这个用户我们远程登录一下域服务器如图: 0 i8 ~7 Q) h6 p h* o2 o& f
0 ^0 A& |( v8 V
1 [( d/ H, i* C0 Y ' W) i Z) e+ `1 [5 h6 n! ~
& z$ _0 F; r, ~6 h2 a: _, K
n9 [, ]- d# X0 R, ?* B
/ U% v; G! {3 m9 Y# e1 L" f- P1 _# D$ r# a% U
; r' i! c- ^; N- G
0 @" G1 A& p9 ?0 `( t
0 e4 t* g% `. j2 }1 e9 Z' Y 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
) h& ]# E# Z6 y! _0 d e9 V x8 A6 r5 y% o+ {
' v" q8 l; `3 b: {' }
& f# a7 g4 M, m# o6 _% z
- h& t' y4 Q6 j% k5 N# j/ z7 X, O& F
; H7 s! z3 c6 W0 _4 w ' k* g) F- A0 q n$ k
Z1 n% h& }8 m: F" E Y. C9 [; r
+ J! R8 }0 X$ L9 @) d2 ^
; W& @3 D; Y( G( A% v2 w2 o' k& ]" z- [5 |* Y: q' ~3 H
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
% K7 x n% O, U9 S; V " p: \( j. ?2 p! h
u6 }- C& w, Q; U% S& f
( I3 x( B; _/ d
( L- B- R( G3 V. {% p
& J% d5 [& B) Q: x 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 4 j* [# z1 C( |$ r' U/ K
% \ ^' p3 [) {/ N
+ b8 f @" w# n, Z
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 @! X! j5 H& t# t, c( V# \6 [- Y
' W4 J* T1 C, Q6 G7 d5 H
+ j7 Z5 Q; Y7 {) F) }( ] 9 V+ B5 M( P. _7 J
. [" c2 [/ w2 `! i3 Q
2 H; C5 u3 z: ^# P) u( D& c: V
% M0 _% V2 @$ N$ [+ R# S/ N. W4 [6 t# g* t. ^4 P& I/ g% I
; `, C& a% X2 x: m2 [
0 b* l8 e( C/ i- r: j
" q9 X, `, q; i; I9 X 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
' O3 Q" Q# X5 v2 z6 F# @
3 ~4 d- W3 h/ f; H2 f3 d. o: b1 s& o1 J, U7 X+ Z4 \1 t" V9 f
( l2 L5 g K/ K 6 E# }+ a' e# V0 m3 j, v
3 m! {4 `8 g- |" O: V* c
6 a1 ?+ \8 T6 [. j% a
: N# o/ H7 C% n) A- u3 w! [* `5 h
) Y) B4 R# h j) g1 d6 ^6 j# }
. p( C' x" I) M+ N! l; Q5 p9 M
! {9 o4 C7 U, e$ V% I 利用ms08067 成功溢出服务器,成功登录服务器 ' Z/ @' O+ ^, `) E ]+ e8 E
0 L+ o8 C; M; h) t: [
' S' K: m0 D# O% Z+ q! F0 z5 r+ Q
: c+ [6 {. h! B7 z; t, }0 Z1 I* ~! ~ ) \: E1 M% I# v1 S
( k$ ~ Z% X; z* \6 v " J( o7 l0 J7 J4 r
4 t0 t( k% Y2 h% P0 U
5 H y& A9 L; @/ d' G1 L1 {
: M2 e! a. {- Z) y. {5 W; ~' T! H+ E
* w7 B/ U6 Y/ [- I1 F6 V 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen * }" l7 o! j0 K6 \: `' |( c
3 t' z( n- }5 i9 |. U$ I
1 k; o" {- a0 j( g7 w 这样两个域我们就全部拿下了。 9 u; z8 R8 x4 X: i) [5 D6 r9 |
4 [: [/ p0 d1 s9 g% t% [! X6 d1 _& z$ g' C
3 、通过oa 系统入侵进服务器 * i3 J# q# M9 q$ t- Q
* F# i4 [2 B0 S S$ W* q
; `% y% ?8 Y( x( l% Q* c: s# [ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
' p5 _8 T7 {2 Y, _7 s, o- o' E9 B b$ ] 9 q( j/ `& p. K1 m" p" D
1 O% z( s% K+ e, a
. s9 H" G5 m- \' m9 H, o
* k( g2 P! I2 e; X v2 W8 @
8 t/ Q, }/ n8 o- h0 f( o * N! F, C& v: A9 M' T$ i
7 T& X1 c/ o* P6 ~, T$ q6 m 8 b8 _ Z7 M* W' l+ q# k. ~
" S4 H+ o8 O+ G0 x/ p; I+ @- Y/ H- H: b
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ! R7 \1 d$ U2 m @$ Z/ C
! |+ @ P# H, n
* b% p- y9 ]! ]9 W7 H0 ~( a! B/ h
1 T7 v0 _" F! F, m% u . D! I# E+ T8 \* Y7 q- C3 ~7 M2 N* `) g
0 ^2 n2 D7 w; i# \, l
0 S9 l5 N6 t: D# ^( t7 J# j/ V! S2 [. n( q/ K8 h
0 v3 I C& S& v: E6 `, t* f
! v& @5 b" l5 o7 J
- m+ ~: k' B4 q, k" e" n+ p 填写错误标记开扫结果如下 & D0 r. f3 U4 q0 U$ n
* |$ s: S3 Z$ A; q9 x
7 S5 Y* \& L) `
, ]9 m: b& W% g1 R
4 m, r4 s1 w4 U! _$ H( z$ T 8 p. z' o3 V. A5 `/ _" y
" o7 f' l8 X) {+ e$ B
5 M4 p/ b& C: i1 f! q
. ?; b1 [5 P- H/ N4 ?1 q
" c. y5 g3 Z. C; h& I6 e/ P5 S4 O
! m. N8 W- I8 [! e6 D3 c 下面我们进OA
8 H0 x* k K4 t, l/ p6 s5 O1 S & _; }" d* Y. j& S% b/ \
0 q4 v0 R7 u k' Y2 g& W3 F
( |5 Y4 n, d K3 T5 y
+ R) @( k1 V a% Z
, w" o- L* d3 Q2 ~4 [( E, H 3 T. Y1 N8 A2 x
4 W2 \* j5 g7 V m/ ?
* k6 u+ r) a3 |9 B1 Q
. [, |) d/ o2 ]: E3 ^" U8 C6 Q4 o
我们想办法拿webshell ,在一处上传地方上传jsp 马如图 3 M& b/ t6 @& ~+ k" Y5 {
% o' U/ c1 \! d6 G2 x1 a7 A! f
- N9 k9 V( }) C x$ B+ }
. S- o: V0 D( f# }9 V. ]+ s
+ T. C, i$ I/ m# \1 N" i4 V / q; B2 |, i5 Q7 R% Y* g
: L4 _: Y! s( j) G8 L. v6 \6 b* m/ Z; n
6 O- A$ j4 X6 l! S/ j
6 R+ A% D3 V1 v! r* k5 Y, u
8 B# i& q3 B1 F$ V! P5 b0 A" N 5 c6 J% T, ` p
1 ]% p3 t; c9 g0 c* C
. T) n. J- m8 ]) x5 l- y' V1 W$ B2 h# u 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 7 m1 }! ]' t$ m. h$ q
5 H1 a q2 y: n2 d
O& p0 k2 Q% G% t5 ` 4 、利用tomcat 提权进服务器 9 l3 i) ?1 u. _8 N
9 U2 _3 o6 \; s4 t& e6 U) S) |1 F; W$ Z2 X C
用nessus 扫描目标ip 发现如图
- T7 K7 Y5 t* t+ E
$ u% p) e; F$ A% N8 N- \2 ]3 p. j) J9 U. C p: k* b" {6 R
* f# E) [. X+ A0 h" z 4 f5 F. U! }1 D# Q2 B
! w! r. ~, |& o+ t( N" ]) k" p4 T
1 _7 Q- d1 `2 P4 O% l- F2 S/ w9 O' k4 {& O- T( U) ?' l( q# U2 h( h
) `7 _7 M. G3 C7 E
# x1 w) Z+ L1 C. T( h; t I, [$ _* w7 C! r) S5 }
登录如图: 4 R. p- o7 n/ p! l A
- y1 V& v r' d- U' ?! V
. C) F9 v; J! v5 m5 }; h8 N
9 w$ z1 F8 P9 P, J- C% M) N6 M 7 M1 s; \7 U5 I2 w" Y3 P
+ Q1 K3 C) H5 a4 C7 W5 a7 b7 T$ O! L : _' o' u( v$ x! w; ?: l
6 A, W: s* N/ x- |' E e
2 X9 N* e1 T/ s" M
) c" u, [0 b- q7 a/ E* z- T# s9 d) z5 r* k: @1 o0 u, q2 Q( H
找个上传的地方上传如图:
; _$ z( x* P+ X$ O 7 N8 X2 S2 w# i5 B$ K) o
8 x& j+ u1 h3 j; [* v
2 G' t* x, l9 S. q2 N. d2 [: ~
0 p+ F# u ^ f( \
4 ]& O3 D# ]4 E " r, @3 z" K0 j2 `: F- l
( h: ~4 u$ J# k
" D {: ^/ p) u( d# g
3 c2 A8 Z! D% v+ t3 i% f4 p1 ~) ]) j. I
然后就是同样执行命令提权,过程不在写了
" u! o w4 W( n/ }; T }# i " q7 e# d" e3 w" N2 E* o) ^
) g6 T) `0 ^: `# r* J9 K" A 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
' p$ c0 Z, `' o* H, J- Q/ v; } & J; z9 i2 z9 H) l: Z
' ]/ N- O( g2 O
首先测试ARP 嗅探如图 ?& Q; @' ]6 p" W& M1 v$ ]
. ~; c. n2 A8 I4 }; m
6 p Y Y( N7 Q/ s6 Y1 s
6 c7 M1 l1 a8 j. Y) ] 1 f/ U* j4 o! o' y4 ]
4 T! x1 V& t; A) @) g* s \
! f. u5 c: S5 w4 \
, G: x) c1 n* \& T B
, |7 h* |% P% @% r # R f ~6 t; U' P
) n' Q9 q* J- x; p& W 测试结果如下图: : U- P5 D7 Z; U4 F
4 }. w( z# D9 X* q
! ] q' b, [+ p* l3 l2 `+ Y+ L 1 [* L. w9 s! P3 W/ {) F6 Y
0 G$ q5 {' j# d t7 S3 | ; U( ^8 e, z2 n% f
0 S) I4 G! d) S4 U3 b0 t1 ^; O) G4 J o
+ j* c" F% X; K) ?; x+ @ 6 K; T5 Z, U. j8 I* i
e9 k. |5 O1 D3 y' u8 a 哈哈嗅探到的东西少是因为这个域下才有几台机器
6 i' a5 }0 r- ]- F 5 f& }- N0 ]4 K e0 @2 I; E
* v! e1 g1 m( \# B: t 下面我们测试DNS欺骗,如图:
9 G: C% b5 G# c2 Y$ R
2 |% h# y) g+ s) q3 W4 Z# ?6 u; R0 E) A6 A/ m
! M* u ]; H1 g; |! B" K ) U! h; A) t Z: ^: O6 a: d
V2 t# K) s3 F/ b" z
1 V% w! z$ W6 ?5 L; R# z& `2 J" K9 S0 y$ g
- J, ]6 B3 D6 u . Q) j( E- D( g; l( B1 p, o
4 Q3 c, L1 ?" r0 z& x
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
3 C! a% H% o/ X# i3 n ' ^( n P, E. Y
7 Y G6 ~' `! |- z. j* W, J
2 e+ k& T. q) `+ y) W( h0 V* I % q- ? b0 c0 O! Z
8 l. N: T& X- y- {
# K/ P: a. S$ d$ K* o5 k$ l
y' D, ^ K7 M' ~; g
9 g' r' s: F' t# }) T
, d' Z7 \; z8 r8 B
( y* W7 S1 L2 n9 F( v. f (注:欺骗这个过程由于我之前录制了教程,截图教程了)
+ }$ z7 t: |; U: `" q n , B) H1 i+ B* Z( Q5 ?, t
! Y" M( N, j* \# o 6 、成功入侵交换机 3 f" J6 V. ?) z- l, V
' |% i3 P& K- W, x. w
7 N. a7 A0 q* C& B3 J1 ~ F i; I 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 9 g. j( S5 B# g
& Q S+ ]3 A) v/ T- ^& b2 _
) m- v( Z; _) I* X0 e 我们进服务器看看,插有福吧看着面熟吧 k) g% {) J7 X6 M! @; E! a$ N4 B I
" ^& Y7 b6 ?3 w' ^
/ W: f8 j! O5 R7 T! n6 s- ` # Y F( l) A1 D0 {$ ?
+ m6 K( O9 h; R2 g- W
$ }$ G. P2 C. T
" B4 v: N/ K5 V
7 S& _; a4 B1 f. |4 g+ C4 h
7 e) H2 y9 i+ i2 U7 o" l , A0 V5 Y9 @' J V1 f
6 V( ]) Q5 w4 L9 w# |' j 装了思科交换机管理系统,我们继续看,有两个 管理员 $ {5 K7 Q: ~% Q
& Y( z) n8 X5 Y( t
7 K" s9 X& b: _6 H
: v$ v F* n3 e
$ F. K0 a5 K ]/ X
7 J2 `. d5 z+ p& `; q# t+ k
" O/ A% y& F6 q9 ~# E% r/ u1 [' B
! t4 J0 j% @6 x) H/ i- g' t
' S9 H5 j- v3 z+ G9 o* Q% b2 D8 Y& Y8 G# H% {0 Q0 o% w$ f3 x
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ( Y: J+ F* m+ p6 g/ ]% M/ D
s* v+ m9 m5 e; y' k
" w, _- |0 s" k p
# Z6 L# a9 W3 _8 V" [& C
" O& C ?6 U0 O. _$ C6 z0 V
+ ]& e+ k$ ~, X0 j ! F) w2 Q# F' X4 E. `8 g/ M0 h
& o) D( f0 Z" O- {1 ~
5 p6 U; J k+ w( X
: U2 b5 ?: H7 Q4 ~ W
: c' ?( c Z$ m1 X) z/ a2 B 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ) T/ q$ ]/ s$ r M% L9 y
8 s6 d7 O+ P$ |4 @" d' e
W8 {+ o' W- ?7 B7 D0 D* k
+ K4 r A& E. z" y% R( i
5 ^7 w$ a" n: S/ ~! v
8 B0 q8 ^+ y5 i; u; I
2 \ K% J- r$ `( r9 B0 G
# z: \! v- u! L# i" W: i
% k% z t. E" J | n, X$ r* k, S' W! Q/ B
; ~) s3 c' b- T$ F* { U6 Q X 点config ,必须写好对应的communuity string 值,如图: 5 l2 q, E7 v S: ~, f2 u) T
3 c, j4 `5 C7 ~& U9 a- L. C1 c4 ^/ k/ ]/ N7 s" L, w
" f% w5 t- ~% r0 L ; I$ e: h/ Z/ m( p6 m8 z
& I7 P$ p5 L% ^$ s5 k- ?$ V2 Y9 G5 x 0 J: U6 M/ S( D, n2 O* i
6 c% b! V6 R. y( L
% a, o% h E$ }" }: C! S* o 4 |% V, a4 W& w# p! \ Y8 W
, ]6 {. L# I* x& z% g: r2 r
远程登录看看,如图: , `$ G) e& d* v" f$ E4 j1 d9 G0 n
. ^5 O5 {) j, T
! |: H$ U- N# V+ N# i
# @% @3 u: l* t- C- U ) O, \' p8 d+ U& l+ ]0 z) M' V( z
, `: I+ a9 j4 N" V
% W. H4 n6 j! U6 v0 t' x! o, W) m' {9 z2 |6 [: X% c
+ |$ ?2 f+ X8 w# p8 i& X) s
* h! T# }# A: \5 a! P X6 k* U& ^
5 C) Y4 n" j; R$ W6 L 直接进入特权模式,以此类推搞了将近70 台交换机如图: 6 U9 W" p7 A/ f1 _
! Z0 H, d8 x; F+ e# h1 ~' k' S7 n( ]7 C2 a0 J4 o# B
+ d: ^" ]! S: M6 C. m
( E$ U7 }+ D4 W7 i0 f- b. R 2 J; j' E' T1 i7 M$ S& A
# Q6 l: f- E+ c% v$ S; s5 s, B3 |
I' M0 W& ~- K$ z$ l# }8 w
# D8 [% d$ K, p2 ^$ N( \
1 @: v& f; D0 v5 p' F- h6 a6 L ! @; ?6 u8 h V+ I$ Y/ I: }9 \$ J
& p6 s5 b$ o3 ?; F# ]& u, [' E4 \! y
$ [: M1 ~( e% J" o# F8 o: e
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
" ?! t* }' D0 I% a' g4 J R
; ?: ~* r, S7 ^' k. a9 N: { K# p# c% P' \ z* w
+ X2 G2 `+ e7 S* Z$ I$ d k# S
# L# J" {$ w6 Z - n7 z5 T B( F, R- g/ j
! r4 k: l: g5 t8 `- |7 `
3 e7 ~% p6 {- C, H
# O) u, N8 V4 G5 ~
. |, V4 @: E+ h* k& H/ H, ]% A4 q) n
确实可以读取配置文件的。 + V* E" ]% p, h& w) d: w7 o
+ \. |8 ~$ \0 X3 \- U+ q
' G4 P* N" a! u0 ] 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
% d m7 M( O, w" u0 V( }8 P. E2 @. M ; Q+ E* F f- x+ \7 _8 \/ f- B1 L( O8 w
( U/ C; M0 u7 ~- r8 X6 Z
8 @/ I2 U+ T& E P+ M' O' c
" I; a* g& s; H W' \* V/ Y! n
5 {5 p: m9 Z% ^- ~2 K) j
3 h3 |$ [* S0 n
1 Z1 {; ~+ G( p, M1 {* P
, ~& z+ y' a5 W3 x* T0 L { & [3 m2 k. [2 @3 p4 t9 ]
7 z' t+ w' w+ q 3 r( O% }3 K/ G' ^
4 |& w1 L! H1 q6 `7 K/ _4 R
0 X m C- N/ t5 Q
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 & X! b1 H% f9 t7 f: C3 ]; i( R9 f
: c- t: y, W* y9 E0 ]
0 f- l* N) Q! t; C* D + ~7 Y" O+ {, [& x. Y1 ]
) }5 c! X& F% f+ k5 h
2 t# P1 E% |, R0 z: ~( D 9 j1 V' y H* u2 ?6 o: C
1 E0 |" D4 B+ X- r$ a" Z, d: ^, ?
4 Z y, k" [3 [
2 Y3 R0 V0 W0 }2 ?2 d
# e3 a* B0 c) e. {* U& ~, j2 W1 H 上图千兆交换机管理系统。 0 G# j: j! V- g
- @& l6 i; b4 P$ j4 b3 s
3 `) p# [* d$ S# W" ~" v: r+ ^4 s 7 、入侵山石网关防火墙
. G: p; ], v( Y: b! ^; B ( R7 D+ D) B8 o0 a6 x6 t2 ]& s) x
4 ]3 Y" X8 `) X+ @
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: # z* |) d& w3 y' \. Y1 w+ K3 C8 i
* ]+ F: Y/ L. S8 o8 }& {0 k
& k1 q @3 s0 j : O! j( Z1 d5 ?" J5 Q
7 F$ {% X2 O$ ~) x
9 g9 S8 h+ L' h" i8 a2 M
8 L3 ~& K. [. ~2 a! x6 w
/ T/ _0 m+ ?4 `( S
1 c9 g) W' `. G! ~# V. Z
5 w# ?4 \5 d' v' C$ ]
( R2 o* i1 i" P- T 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ; J) c9 j8 }8 Y. f% O* N
! m& O0 d$ u, E0 n, y) k5 `) X x2 p5 _. u: ~2 s
# d& w3 l( B K$ u( g% a3 ]
% N, s2 h7 l, D+ d; s, l9 c, `
3 q2 V" v8 j( }7 |# I, y, r7 o
# h9 n# E0 U% J1 e k6 c
- S/ ~- F' V/ O0 P$ u
( O0 m' _$ P! \' z0 }( J, c
* R4 t: {. |7 z4 g5 p- Q" X" I, K
# X5 h4 h+ T9 u+ d 然后登陆网关如图:**
0 ?9 x( Y6 y. S% O% C- s 0 k$ O6 p" x" r3 t: Z
. w2 g) N& u% u; n
5 c: n$ a V( S' d: ~: y
4 S; \, T9 T7 x
2 E+ i. ]. Z: E/ Y! }
# f) l8 ^: {4 K8 D# @$ ~4 ?- i9 Q3 U2 R7 x: u
7 L$ V, c1 D. O/ S7 y
6 s; p* S7 H9 S; j" B- d7 w1 _2 H
5 {) n! e9 w, Z0 G : ]4 R* r3 r2 M+ J/ d
2 d& T# s6 t4 }- N' l* s, W7 M6 H
2 T1 {0 z: p' Y1 t9 E! M
8 D* V1 M1 L0 @8 o7 M0 R, I1 } N3 C2 i- Q2 {3 D
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** " `6 H" T1 y. _& T# d3 B
$ y# Q% ^* |' |7 j3 q! E: m- ]+ M% K1 s% z
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
' q: Y& L* a% \- O t$ ]) E/ H
7 x/ G& V7 J1 H! e* V4 a
. @6 F+ ?+ Z0 d3 i2 R7 Y 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** - d& e6 u b W( F
& \8 F- k. G! Z( @7 n
, j, A1 c& Y V- j 8 W: c+ w2 v! c3 @* m& S7 a0 \
5 w! o. z0 R0 B" g. C
# l6 e- _, J7 T& t) |+ D
6 e- o- Q( H; k; H: {* \ F6 U+ M6 v2 c
% d& Y- V' b* ]
& ]4 V7 [) `: F9 [) K; e
) d' `2 L8 J4 r1 { a4 X1 t6 v 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 8 T# h$ E, g1 E1 P. m- ^9 n( c9 J
2 Q7 a6 F7 `) C. J
* l k2 N* J% r0 q0 @& A
. E! _1 C* C9 {# n0 i2 G) r% } / c+ z! J$ ~( v0 v7 N
0 ]# B! \+ w N0 c! C# b+ y
) M- C7 z) B7 o+ J: Z" U/ w5 J
$ ?& Z8 T, X( g5 T/ `) f, \, h
' I6 H; R. U" A4 W# s7 a |