|
; Z A8 K( T+ a
9 E$ N# G4 v; ^! Z- j4 b. U
# J) [6 U9 y, S* v$ M) U% i
* k- u( j& l9 r5 f+ C( W
1、弱口令扫描提权进服务器
+ a9 n( R% V. ~; f$ ^
; g* Z* A2 i2 q
" B9 O l6 J k- B0 r [ 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
6 E. c+ k0 T' Q ~9 L! m8 v 9 `* e" ^0 Q6 _ E' M7 l$ Z
" E0 Q- R3 T3 c
* h5 v* f! W& ~; ]/ L# B9 @
- N0 s: z8 D' ?7 T& P: t
' y% Z3 f, N7 i9 I* j# @1 i! I( V k# R+ b$ x5 C+ D `1 \
p8 b8 q- v- b# ?9 l! w- N
 8 x9 P1 G# [2 y, n: G
' M& W2 l: P- v
- S5 u# r! X5 J; N3 X3 O8 B9 j  ' @0 f4 u9 F1 u& L7 H* X8 B
3 X: h+ k7 f9 w) Y7 F+ V
) I: k1 |) l4 t, y! U; t
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 ! C( ]1 \2 ?2 C4 R
7 r( A) k- [' y: a* m
/ }' C2 @+ u; o# V) w+ c
执行一下命令看看 " I' ?- ~3 X8 @' Z7 T+ R
0 e7 j1 ]7 Z( Z9 J' [2 M
: _ f! R1 m. |# i. n
2 t1 c1 A) ] B/ |' @- g3 T
. _3 N9 y5 N. o
( W4 }) D4 a5 |5 X' H' h1 r! V- n- D & y* H5 F* |' ^9 O9 l
% {! ?0 t( T& _
7 M/ Y: h- N, U0 E) S! y2 Q$ d. o
5 e& H' i1 t: p+ O* z" b4 {) A
0 ^$ y" u- h# _6 }0 }# ^
开了3389 ,直接加账号进去 9 X3 m- P/ m1 c2 ^$ y! ?
) U# [3 A3 r1 a) Y# v
9 ~* C9 l+ |- e% h' l1 f/ n, @ 5 k8 w3 b* P# \2 n' P4 l" l
, R B, V. \7 o- ^% ~1 J
& F( K Q2 z$ k. `8 N; P 8 ~6 a1 M) j8 N6 n, H
* y5 T* S) S1 F7 N5 T$ ^/ L  A4 j5 C2 u$ U4 D. @7 d' G
: g0 M$ ~9 J% _" Z0 {
/ P+ X! `+ @2 {$ X$ `/ Z2 P1 v 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 : ^0 i/ O! S2 { n. h4 K" I
( K! Q" k% q/ f u5 s3 B0 y5 j) }' e
# L, \2 F- L9 b & ]: [) u1 ^3 D& ^; o$ t* t! C
3 D% R- o! K0 }
9 `& `1 i u7 a$ d
3 Y1 [* B4 n" g: d7 k
1 d. Y! E, Y* {2 S1 ]7 s% F8 x* g% ]$ I 
/ Q8 Y, v, d3 S* z( [
) V6 ~ t% i0 j: |8 w; G+ I* u, T; Q$ Q/ f0 N: x
直接加个后门,
+ [$ f3 G1 C' U; @
: t: s3 V1 d* m+ I
g+ Y0 n# j0 P2 t% o1 b% a 
/ m7 @; J2 e+ L* K2 }
( o: ?) r' \- S' @' \& `; x
8 R9 Y) L8 G% r; K" z7 G p
2 P& h) ?9 Y; S9 q# ~7 O
7 Z8 ]" h; v i0 d, }7 l
9 X0 d+ y" G9 j+ C2 k- w
6 l. s7 Z4 c8 G2 t, `
7 `, K/ }- C% k0 q6 j2 l- l 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) ?8 H% U( q% I
, R: J& q+ N; j8 z8 {+ _+ m: b0 p* d& M7 p5 z0 s% ~
2 、域环境下渗透搞定域内全部机器 : U7 B+ @2 Z- [6 c. b! J5 {
% _4 C4 {9 w3 J# D$ V! G& P9 }' _' v
3 e Q0 k+ i% E
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ) _, G8 \/ H/ M0 w0 C
6 E4 }) U9 i. l2 ~2 L$ V/ i# K
- I7 S! m3 E" [0 }" l
* U/ [; [& d( S; U' `3 ^* Q- J3 f
0 B0 b1 ^( x) \7 o9 I: ~
* y- ^. d: l* f" f, _% G1 D" E8 I
. \* d$ w7 Y; {2 }; _* H4 w/ o7 K _2 U5 D5 K& w8 V
7 T% ~8 J/ |& E0 l. i, x8 _
( [# i% `5 Q4 m' _) f I7 H
4 [# p/ o$ S: v3 ]- M 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 % k2 l+ S+ y! ?( E9 F9 o
7 k3 r x2 s* s& f4 j$ R7 a4 T% p
& r6 d5 O$ Q. B* x5 ^
! G% {3 m& K6 r0 ~
% Q0 P$ i1 e" Q8 Z# f/ N8 U* S
% ^0 j4 Y; a+ h% Y b
1 d2 k4 U) h; G% M% c) c% Z% m- y6 q$ `$ Q' i* F/ x& V" v" E0 @( ]
 ! B0 \& h* ~5 H/ P' Q, k8 d
/ Z+ B- a2 b) d8 ?* x( X0 O. V
6 |# t5 l. l; l" g 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: . G D. c% d* e C0 J) y7 G
9 k' u: A3 |% C* r6 N% L5 j1 w. s, X9 ~
# C& H+ G7 m4 W' B! `
8 D* `" X3 g! ?0 S
+ G( n$ D0 a" q& _+ U1 X$ d; _+ @
5 \: \+ |+ R0 {: X2 J+ a0 Q3 C( y- S: F1 ^& n; a
8 \+ D4 a! p4 Z' U. A% Z) U
( F8 N( J/ x- f2 n4 m& P3 f+ L
, [0 n7 ] m; W2 c9 h, ^1 q! y 利用cluster 这个用户我们远程登录一下域服务器如图:
0 a7 t. x5 h5 I0 G# w0 Z 3 I, T9 E1 q, w' Z
) X% a& g; i* p& y7 G5 o* R0 B, o
, Q* P0 a& N! Z _7 L
2 c. k$ S7 r" ^& i
; P* q) B* Z8 \& B# b* X 7 W3 C& }9 |* N8 e% c4 a |6 g
$ G! j. r( T4 S1 D7 P
 / n0 }" N, m+ U$ W2 y! w4 _# Z
+ Y! F( S( U' G6 Q8 M9 {) L2 B. r5 A; f7 l* m# R6 i; g
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: % ?$ v5 s M1 O3 v5 h
. f7 _: {/ v3 l$ ~0 H
% h; u. y3 ^! [; W9 z 2 M& T0 ^; ?2 Q. c0 |4 T
" S* M+ U; M; o. g 5 M- p2 i- F5 Y
* }3 o& A% S' C% v3 k& S
6 K+ |, @$ X7 l& Y
 2 x' ]! R: Z4 S5 A d
, P* n# t% f! A% m
, I. s. H( Z# A' h* T
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' W* L @7 f+ a3 R* T# j
3 X8 i8 d2 }" R9 w, i+ A0 j- q
# @- T+ j3 L* O1 W; Z 
$ {$ W- I" M3 f 9 c0 w1 ?. u( C. ^! ^
, D. Q8 R: F2 ?7 j& j0 v2 N( z 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
% u" {& _/ f0 _* U0 J 9 W- r9 c4 ^5 T, S* Z/ A, u) F) I7 E1 X
( }9 w# ?+ h. c2 k8 g8 t5 u blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
" S! [( q: B4 u0 }% p' _
" G: I* B1 F" V) v( _3 V# [) U9 Y+ U; f
* q3 L. ^. ]. S1 ^4 x/ h( l
; k9 f; Z9 ]( e( M# N0 d3 w! G4 c ' E5 G9 q( n' Q5 O3 j
4 l! u8 ?9 g$ f# M4 b
& V- v- u' C4 }, J  # o0 E- q5 E. l4 S3 ]
- p. C6 i3 g& W; b* M) G/ P% t8 j
3 d( ~4 a H- K9 @, J/ r 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
6 W3 Z" ~2 j$ J8 e8 b$ y , h4 B2 g) U) ~8 Z$ T7 e
5 W3 O/ N3 A7 C" \. f* a: n5 J
: ` N! k! @) q+ A( V
7 N7 w* m2 o$ J! Z " X2 Z+ ?: N0 D% [2 j
, n. U3 S) p6 I+ c/ M r$ j
" t9 u: e, Z9 T- B' O) ?
 ' t" v7 x' R0 l4 q2 u
! g. w7 A7 V/ K* ~* d' p' M& f; q0 L- v' k' d/ E) }1 l3 a& b
利用ms08067 成功溢出服务器,成功登录服务器 & Q y% b6 {& I/ _
/ E" ^% i3 N0 L7 _" \4 \
6 O( E. Y+ P8 ~' q# ? e% T
5 N' h5 V1 a# w4 A: g1 N- e5 t
9 {) Y8 J0 r- q3 a
% H& w- C. o0 ?; Y; i
$ B7 F) X8 r5 Y6 \
8 k ?8 x( n: v1 p0 D) |( N2 G 
0 v! V$ [6 F; W3 }0 ?: i ! l7 m3 ^" L' V: f7 N: l; S
; `1 N" U: ^: M2 C E" X4 \, L" U- E8 a 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen + n# a, N0 ?% ^8 K c6 e
; P/ M3 l3 l$ h- e7 r* X* S. c' N% @9 I' V, R* \; p
这样两个域我们就全部拿下了。
% z. l x/ X, H {" T# y
; c: c% F1 G7 B1 w; T+ \% p0 S6 Z( y6 C, a& A7 S; N' \
3 、通过oa 系统入侵进服务器
) e7 Q8 g, F0 C5 f; h4 ]
; P9 J5 V5 a8 h) b5 N& r
1 d1 v4 c* z5 t8 Z) L Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 - H" ^, I8 M! h J
: f% {* F2 ]) U! g' o0 ]) b
6 y8 O. D/ f1 U6 o; @% i / s8 x0 t1 N" w5 z5 r
3 G% [* K, U' o e; L! X
, V3 h$ v- C1 H5 W, @ * M) H6 i1 M& x: |* W0 G
1 c. x n5 n9 }! b) n5 G  3 a, l* {3 |+ p0 i$ W2 L
3 |5 S; i& N8 C" d u
1 U: u6 z- U, [/ T' K" I 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 $ m, O/ g1 h! E1 ]+ ?
( ^& D: Z( U: V/ G, q) Q. E! X5 q3 B, K/ d) E# y5 q% I) C B
% P9 X3 w8 m3 W8 ]6 A8 P2 I8 i# [
9 n) N2 u" }" m % W, X7 s9 O! _6 o1 o+ |
9 K9 S6 u, B- _6 P3 G9 o1 W" l0 l) p
 $ `% k) D. |2 [* K; }
, P$ f A: a [+ d5 X: L' l& }9 L, x1 O
填写错误标记开扫结果如下 ) A" ~4 I/ N8 y D- v. \& B
8 S: h2 v1 [' G/ K j
* ?/ l |7 k) N* |7 s# k( X
% J7 M- E4 u- W+ k, D9 A, K; ^7 N8 V
( Z0 h* X" ~. u" O. D Q0 T 6 \# u5 Y# q ~* L4 }
# I! \& U f$ M, ?5 A. Y6 I/ h/ t8 S; t1 c
 , h/ i1 R3 v/ }0 I8 K* U0 p! Y
( a- r) T" u3 H
$ Q2 W! F9 s# n9 c; Y
下面我们进OA
- W6 W0 z- p2 s) A) y
! r2 ?$ f) B7 i4 s% k; R' p3 a: r
+ G5 y6 b2 F" m+ W2 T. k
" ^1 Y, S5 I" H: K
% L2 Q; W$ u+ m) q ! u* Y& }, Q, p0 o* i
. E7 m' }# D& p3 Q9 b' U8 \, n: S* {7 g3 F
 ! m% p, G1 K |
8 I. X0 C3 B; q+ _& e
7 Q$ O/ X6 C" F! J& @ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 : y) M3 W$ w5 I. z) Y: j+ m
/ S% i4 M+ P, X# q! z0 @
( P+ V6 U& w! ~! D! z3 ~" r/ h. d* @5 E
8 I. ^' n6 P4 R p- W
+ u( j3 p! Y* R+ A- m9 K
- [' @, n# G( ^- T4 l
8 F5 x' }4 H* l/ C( S3 M. q A8 c
" P( a5 U' [, Y' b+ j: U) N# [5 ~  " b7 x3 q. }: @8 I. n
" L: O8 I8 C- d& @) h& _ l4 k5 L1 x/ J
; R* U* \/ r3 z- V 6 `4 t0 Y5 b. I* i, r; ~/ p( g0 f
( c F* w; n) f7 h# z1 f0 T, y
利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 x$ q* [7 b3 m, a1 ]. G2 J
9 G* a0 i6 i l' a
' g$ J& g3 K) ]8 E/ P9 x1 v
4 、利用tomcat 提权进服务器 0 f' }7 Y7 y5 j! `4 g
1 b+ P5 _* G" `9 R
8 `5 L! _+ \+ V/ I7 d+ o
用nessus 扫描目标ip 发现如图 7 K+ e* O3 Z9 r. v5 U4 P% B) W. V8 d. ~
! l! V; ^6 D) _& O
4 o0 L2 P) X$ K' s. l , U( }% c* m7 {" M( n
3 i# L8 ^: T/ J# K% C7 Z$ F6 | 1 O& ]+ x, O2 ?* A2 a, W- }
4 p, B( l1 m* a+ ]: g- E9 u: B: t/ Y3 c0 ~/ c; l
+ R" T1 U' S. u- k0 X0 W 5 _/ q: y4 D8 K% y9 Z+ \
. d( T( U, ^+ r$ z& c 登录如图:
# M- m0 ~! Q* {; W5 H- f5 e ! j3 D6 U" W2 [' g9 s( S) [
" n! J) k4 \6 m- @8 V/ A% f, K. V& o
7 |2 X" N8 Z7 E' Y) n$ V2 n
: f8 _8 ?4 h- z/ }) Z
- i# j& A4 |0 @" b$ Y" k
6 a# g: L* L" H' ~5 c+ n6 m8 ?' B: {. z5 t) ?
 ( X& @6 T5 Y! T# ^7 s
" |8 @7 } L2 z% H ~# n
4 P. ?; L5 O! O5 Z9 Q Y% P6 {
找个上传的地方上传如图: * W2 O$ v8 V/ T
% e, L3 t& i, m/ v
7 ]" _! U. f# l& @& g2 B) f& A
/ d! h$ ~( c6 N- ]* S5 S0 m: A' u
2 I9 T- ?( M4 J" R" C% G9 |% {
+ m5 s2 Y. Z$ U! I/ t9 V 1 Y h1 S2 s$ v2 `( w
`4 u5 w3 ? |- w& O  7 V# s3 G0 i1 _9 r3 @% S* {5 M
+ K* Z* t/ H: k0 c+ e: e* y! T0 c
( I! M6 `& `! N
然后就是同样执行命令提权,过程不在写了 * W9 ^$ |0 ?" p2 A
) }2 B# u5 k1 D# Q. e; ?. V# p
- e: k& Z5 Y; |% d# v
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 / P# s" ?; k w5 w) P1 l
7 M$ R+ k/ }3 j$ g6 P
9 d+ `6 g) o3 S5 _# t
首先测试ARP 嗅探如图
: M& m5 ?* J! {2 s; F8 f: Z
( ~& R. l4 @+ c1 r4 y% I, {6 \# d9 V% U3 |6 `+ L' K
4 `1 t" I' X4 E2 Z2 x
2 @4 L% f' p. ?+ M! u d( y# z 7 \2 o) X$ h& a+ {; ^: T# {( K
/ `" v: Q$ ^ J! E/ c- V; f C1 k: q. X0 M
 2 D+ }$ [# N) b( X4 `/ i+ Q
' P% h7 e" p& P) B" V: q/ B: u: y; e7 k4 f7 I
测试结果如下图:
+ S% ?& q( }, V$ A5 _4 `% O8 f! n ; T4 q+ q) f, I' h7 k/ N
2 h) }4 c4 Q& y$ E2 q, K- {( n
) n* z2 K) C+ g. ^
" F4 {' l) h3 n
1 W G+ I; U5 _% U
; V2 D9 t4 u5 w9 p
2 l/ \+ `0 z3 V4 P- @- n 
; h) O; q* R6 W $ C9 L6 ~$ v9 {1 y
$ |7 ^$ @( q2 O4 a4 `$ w: c2 _ 哈哈嗅探到的东西少是因为这个域下才有几台机器
2 U: P0 t9 ]1 ~" K/ x9 ] ' i, ?$ Y% k3 b
% d, A" \; t8 U# c& I) p
下面我们测试DNS欺骗,如图: ( v" j3 `3 w# v: \
( b8 M% R7 u% h. {( s
( |! v. y0 C4 z/ m4 W
5 @7 A% U- o! z7 K u! D& _" W6 d
! }' a/ A6 C, |$ C j3 D$ }
; Y# G6 U# c7 _& l. o& L% C
& l3 a2 s0 C& [4 a# ~4 g
3 u) [5 t8 }; R/ m4 F5 J: @" [
. P8 a) Y. o7 q) o' U e5 N8 x . T1 P% h k' ?8 ^
0 E0 X+ O, h, O& ]8 \, J 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 1 H, F1 E6 l8 Q2 H a+ o! \2 |) v
6 y; y3 z% W- G6 R+ a9 K2 i- X
8 I& x& e5 Q4 G9 s% X
6 ~- o2 T- g/ O8 V. y, X/ ]& n
3 g4 ~. m0 M7 j* p
' J* O7 ?5 K! Q' |4 b/ ?. ^
, h% t" V5 d8 G; r2 U5 ?
3 N7 E/ L) ~. V& u# l6 f  7 S% s4 q" o4 q, c; M5 J
* D, Y/ y! Z! _9 O8 d; l" x3 B. v2 w$ f. y; a9 X
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
6 J! j( D. ~) p; a0 d - e# [. ]; n% E; [3 @6 |
/ ]( y& j; {" s! _8 ~0 t/ K, y* i 6 、成功入侵交换机 1 f4 a5 j% J* P+ L, y: z
- d6 v7 f. I+ ?) k1 D+ V$ V
/ h7 [4 i4 j, n" P 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
" B+ h& c7 q0 `; q( A/ l5 |
x/ q' Z# R8 J
) }7 }! m1 _- e- k. D0 Y 我们进服务器看看,插有福吧看着面熟吧
- U" y0 G/ b2 q : w) o& r; l& Y+ S1 D9 O
( ?) D: K! @1 v& s* \
8 ]2 I, t: r2 n6 g# J- ^2 h% N
5 E8 y* E' u* W$ s
; G$ I' h- n. \% m3 Q
7 ]+ p* ]0 M( V- O( o3 f$ i
# R. K7 n/ I6 T- }0 q' R  8 A7 c! i+ {7 w+ ~; r0 `4 T4 L
. V; K U {# g& I. K+ m @& j
' `3 J! Q& K' y# t- M 装了思科交换机管理系统,我们继续看,有两个 管理员 - @' y. M" W2 q$ ?4 h3 D
- f6 W+ D3 {' y2 Q/ X# X( R8 B$ ?
: ~, Y+ i" \) z8 l1 R- Y" v
2 A, T% F8 A$ v) r 0 L o) T$ z8 b( a$ B+ } J+ W
8 Q3 y6 j% p+ V* E+ h h) x8 Z" h- b* G
8 _ |1 a7 Z( F# M; }" u+ m
2 i) Q! S. w0 }& B% H4 ]# e) E6 o" t2 t: ?$ e7 W
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 " F" j* G" U( P" [
) W- f; }( U+ S2 Y- x, ?
2 X. ]: X* ^3 s5 Z' R" j
2 s- u1 t7 G+ ^/ e; i9 Z
d) W6 l" C8 x/ k& h
7 t) _6 L( A7 a 5 D0 s$ p. ^8 P2 w- l
% S$ w1 N+ Z, K9 x3 H
, m* h+ N8 N3 @( ?! V* W
+ d% N# i7 Y. W& [
! A3 A: Y4 N8 H8 j, ]( \ 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ) K4 `2 U) l3 g$ H' P2 B6 Q+ A
) @5 E t' C5 b& O/ ^& r+ K# L+ c
1 s0 B* T) a4 G ?( @& H5 S
3 Z' H6 _& E& r7 c5 o: w: S
$ F8 r) r3 q' W1 `5 @+ [7 o1 u
2 P$ k+ K3 l+ \: E: y
8 h4 E+ ~6 S: O- m; v& b$ z6 C
1 Z0 W* f4 j/ Z+ G; `( v5 v# K& q
! u2 A* a. B i4 ] v5 Q, |
& q% W* F2 H6 H: [7 O: m+ ^( p
* z& V* p- \) z 点config ,必须写好对应的communuity string 值,如图: 8 b: a* u' P' \* Y& Q. ^# B% K
8 T2 L1 c6 H4 L1 T- n( l6 ~; `; j0 Y S8 P/ Q2 T1 |3 a
9 [' E% C0 [* \8 r' j5 }/ E: r
2 p+ j0 \6 l7 m9 A$ _5 {8 q
1 F7 |6 Q/ L) Y7 N3 B 6 i" k, s, M5 B$ @+ h
" m& I! b/ N* X, Q  : L4 w5 \& }$ g- m& D7 M
1 K( ?8 r) h" r6 G( Y1 N. Z! e- Q! q9 m0 e8 a! {
远程登录看看,如图:
% |# r' a6 E! `0 a) U ?" E% J4 ]
! b$ W/ h# U. y& S7 j, z: e" o2 F# ^4 O5 f
' K: j' ^+ H# c0 w4 `
0 o' {+ D; W4 J5 f' U ( e2 e) a/ F# [6 c; ]
6 c* M9 l1 @/ ]
, b/ A. C! @4 M! }  * n' C1 ? s2 \; u
7 c+ V( X2 P; t0 x
7 S* |, ^9 l" u, k" B 直接进入特权模式,以此类推搞了将近70 台交换机如图:
1 C- f9 D1 O+ P3 ] 5 i7 y ]- t( }5 ~, e* k+ b
& Q4 e ^( M j0 [4 b
: u# x( I( w( i0 W" w
# g/ |6 e6 Z+ c* i: C $ q( {6 X* l2 X# y+ q4 H; C
/ Z+ O( r8 e! K' J
5 C' m* E) S- ?  . J7 T6 `8 Q" T! Y5 x8 u
7 \) S+ q1 B" ?2 y; i/ U( {2 r' B
' A" S/ W; ?/ a9 {, R8 A) Y
 : @1 {: r$ I$ }2 A0 X! h
; o) z q. }" w& j( R2 Q9 E: H4 |; l$ J( W
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
& t( [) a% Y' i) l, f( e5 ^% C ) ?3 r. j/ n8 k$ _ L
6 I% @$ a' P! Z3 V( O% e2 x ( J, l: S( x; i, W
4 z( Z4 r9 B* T6 K/ c
# x- D2 @1 j8 ^: D/ U# p( y
5 i4 z. N- v# S) v1 T% ]/ y" h% C$ J9 I# W: ]4 @- |( Y
 / i9 n( K; u# k" f. Z
. s: {! A/ Q( C
* s, M" M# W8 Y# d" D' U 确实可以读取配置文件的。 8 u" q9 @. H; ^- ]
. y0 K, K, N" t1 I: @, s
" q' G* R4 b. r: c3 r# V9 h1 b 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 + y) V% A; c: M6 k+ o3 q
$ o! g9 P5 _& ?6 |$ j6 r! E0 F
, J9 W$ @) ?6 Q$ T
( m; c# `, Z5 B- t
' {& ~ w- W# z }# g8 [
; k# m% K) u0 ?' y1 P5 v + w* R: A- v7 S: L. n
" V: Q( S+ X* o% B+ J/ r) x  . {6 E2 q n. g) m7 X/ ]( {/ Q
- `: G% Q v, `9 Q. U: ^) @9 Z/ o
1 q( S; I3 V% w- {2 `; Q* T, g  & r, ?; z8 ~+ v1 T( `& ]* o
. D* |6 f" [6 V& l( p* g& o7 {9 X6 Z, |0 X
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
" G$ L) f7 |; j7 |/ X4 H
# i3 j5 `' w; N* l4 Q: s) O/ n1 s+ \/ u
A+ Q- \9 q5 V- t8 Y v4 f1 y# {
7 n6 b- r+ ]! g; l$ [
" t3 S: K v' F
* y# Q" q! O, R
1 b9 Q1 Y4 R! H$ w& C5 E* k z8 _
1 v7 j; Z% q) c. f; Z: ^. ]# U 5 o( Y' @4 O( W
! X7 _7 p- O7 c
上图千兆交换机管理系统。 F1 J; ?- x/ @, a3 V
0 L# R$ c# N& x( S, E) }0 @$ |% }. Y8 Z3 N
7 、入侵山石网关防火墙 / Q- [* r- ]2 S. r" o* P
# s, _, M- s6 q, J7 ^0 E
2 H7 A( P: Y, v+ e7 [5 X* v 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 H d+ h9 Q0 g' U
. v# F1 \3 ^, d
, W, c8 Z1 P# S% r4 \& [1 X + q# Y/ E% g U/ j3 @8 [
: S: B) h% x c) _
]3 G8 i- i' X) f c; g ) n3 d4 l; {0 B0 f4 [$ w+ l" [
- m5 w" G! e% C$ J& I, s/ i' y5 _  ( N I" Z& F, Z# Y h( U. M
7 F# H0 |0 U5 n$ F- k
$ M% k6 D# K% j 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
; }" {# m3 E* P3 A$ v1 N% z 3 ?: @ Z- c4 X( M9 k, @8 [
" a5 A3 j% h. }& }; s( U + N, O2 s. t" t# h# n- I
! A% }; X2 Z) H6 x5 | % }. Z3 Z5 d. `; Y8 a
' Q* i/ } W5 `* B. o. L ?
# J! K' \4 A# b( L( {  5 }9 }9 D+ m3 X3 s
. B& c0 X# u0 v3 j
+ j4 O( y; K: ]- ~6 p, C% j+ q& J 然后登陆网关如图:** , b/ B( q" M; [: r$ Z! }
/ k- W: q/ H5 |1 o9 D6 J, G& D0 I" ?, k, c6 k2 y2 `' ]
2 h' x2 C6 t* u2 g- i' x4 @* ]& A
2 p( k% d+ c# e) s) z9 }
9 o" h* u' o* r& m I% u
+ l5 l3 {% V. w6 A5 y- p
( O0 @* b ~) G/ V8 ~' `
 0 c. l. \' M& }- U' L
! s# p9 d; ^! e( @: g! U6 T! M
2 F: Y. ~9 ]* r+ J
3 `$ s5 s/ Z( M* R$ Z' \1 |3 b
! l2 U* G P9 j: E; t" ]
" @' X8 d( O3 m% ?" h
5 P! }# A* D0 S& P
+ {: |( m5 o9 e4 c' H 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
8 l. G/ h( r/ C* {: L7 K4 Q8 S/ d. q 3 n$ l0 z: D" B0 t
4 s$ c5 K+ L' F+ x1 l7 q 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
" V6 m" T0 \) X+ Q& m5 z, Q* j $ C% M& G2 _7 y: t, |
_6 U9 s+ K, k' c' J B 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
; a0 U* f4 f4 K" I: i7 R & l7 S! d* P* A& Q F& E
) x$ X- a6 [1 W) i. }6 I& q
" }/ W7 |4 |& E1 [* u" P
) [! e, _$ t; s4 m
5 o3 h- f2 D x9 H' t( `4 H: \
, D/ p6 Y; o2 N5 @8 f
& e# a+ O5 a% \! B3 _
) E, L3 R$ ?) ^! L 4 b4 E/ H5 i8 K+ B, O7 C1 f
1 m% F: H1 v9 W6 [
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
3 U# N- X$ L s I4 R# m + q* l! O' d/ k9 q$ G) `# t8 `
7 E" s( R% s& T1 d. X
9 r8 @. @0 t$ o7 A
/ V' o5 o {4 [% a0 l ~& M6 g
1 N" e: w2 K" f
+ }2 s/ e9 S8 Z5 |8 Q ; I& Y$ Y! l) U/ w
, F8 \9 O" p' i$ K7 R, ` | 
发表于 2018-10-20 20:19:10
收藏
分享
支持
反对