/ C( C* s( A* S5 A6 V' r+ L7 ~# A) d
: V/ z4 u$ |( V2 s% t7 L
( i9 N3 M5 t9 Z- j8 u9 S6 f4 G
3 d" \9 o9 j; r" _3 V
1 、弱口令扫描提权进服务器
F) B+ Y3 o& D9 z) H
3 u1 _! B5 q0 J+ j
y1 e, h# m% M% i: u 首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
! [# d1 [) B' C7 }- T, g
- C, Q: C" x0 l# u- ?
) I& `$ ^* ^+ Y; a+ p& N
$ Q7 j* A- K' p$ _/ W3 N+ o
8 H0 z! G8 M) k1 N0 S
+ `0 H; [! g6 x- B/ m
) `; m: L5 ~* @
9 z( u1 B: _2 q
2 M. m O& ]1 p, d
$ q+ [2 l5 M+ v% {
. e( i1 V- q# e8 Y- u/ L . V2 U8 c6 [+ T q! @
+ o8 X; ~4 d6 M5 ^ r8 J$ k
* i& b0 t2 ^& v5 t; L4 w5 O* w ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 3 }0 O* `* v5 @' C/ A) L
$ n8 i% C% i* Z# I8 r
m, S$ q; F1 B2 i: \+ H$ @; _ 执行一下命令看看 " [8 k' X) D) \
; U' d( M! z- G4 y6 x
% N, ]: F3 @$ X
) G7 E( A) {! b7 Q
% Z( h: \9 i: s( \/ k
1 D8 V2 C. X! p; g# _1 { % O6 s0 B2 \; O4 Y @- C' w
1 C0 f: W' f! R; F
# A. l+ K7 i2 P# a( w- ~! o# D7 T
7 z- G c5 h/ o5 p$ u& z C
9 W+ c9 C* ]1 f: y4 x6 k 开了 3389 ,直接加账号进去 7 s7 r( G' K. V
4 P+ q+ m+ o' H% ]
9 y' M. V& I( l! _5 r% Y# Z
" d# p# J8 |9 j! m! }& v3 T
5 t2 B! r- |; _1 o* M- `/ ] & T& c. d* M" A5 a0 y& d) M
/ K6 t. D c3 e# h) s
) @! m1 ~7 _, C$ m' r
/ M+ E5 \, P1 ^& Q" m) {
, ?; \ Q7 E2 Q" X 9 X& M$ O' b' a7 e
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ u, X I# l* B1 S3 J3 V, u
8 Z4 \. {1 F. J2 u" j
& |, B" c# w+ f) W& { 8 m+ z8 w5 u( N c v, q( a
2 I8 I3 P4 ^9 Q9 \1 x! p
6 v0 z6 H% `* q9 K# u
) ^( d& C* L/ M: k L# {" {+ \+ c5 N7 o 1 W! P' w; ]! z0 b
+ E* U8 K3 V8 E2 b( `
; A* ]! q% I; {* M
* T) e5 v: L# ~4 A# o D- m 直接加个后门,
" A, }0 r6 s5 O: }/ p
" c# p- g8 f, ]/ d$ o9 Y2 ?
$ N* V0 L, j- Z: o8 k2 y1 A' `3 Q; ` + W1 n( f, z: O" J! h) g" L
6 S: ?1 D, O3 e4 l- a * ]% r4 b( W% V3 P
7 T$ H5 P& c" x4 a/ j$ O1 b
$ e4 N. Y" z+ A. ?: Y
" X1 p2 J( ?" l2 F, k% O" D
2 O, z$ e" a2 k8 J: A , e! l: {: r3 ]* ?) @2 y
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 / ^2 Y/ \3 h+ h T- i4 K
, l$ H8 U3 Q, r% s" H ) q9 X \: I# \5 t
2 、域环境下渗透 搞定域内全部机器 ! V7 h" S1 x$ j
9 w5 l2 j1 j4 s$ |- A! R: v6 P4 ]8 b
7 b: w4 v, w O, d 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知 3 x1 [" z# Z q8 k$ o6 V6 ?. U
+ ~: i8 |% j: ?$ P
, V2 e4 ^ A+ a
1 w l' ^/ [9 \( B/ q: a7 i3 _# D
( _4 [( t' i0 t6 ^0 `6 s" y # ?. F6 W6 E: q* H7 Q0 A
' {7 a$ S( k1 n$ X
6 h* {0 [+ Q, V6 o, Z& F
% ~3 r; z3 \- r6 d8 ] ]
, C/ u" K6 v* C) f' P
% q& y$ J7 j& O7 x- m {0 X
当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图 / T9 ]7 z2 n+ A4 c0 L- u) Q
' O$ p% G# D1 V2 F" d
3 H! o( k; w6 L
7 j7 w* |8 K5 A/ r
7 p( G7 F5 ^" K4 _; y
7 i6 T4 F t( J" c( J5 q1 H% S9 A
7 G) c* j: T' I' G' Z( a7 o
" [' q/ V6 d9 Z% c$ ^0 m
6 O1 h t1 |) n& [) } v) a4 X5 G/ t! r
% W$ U# W. H0 G! A7 w
9 u5 O, L1 j1 J3 A 我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
( m7 ?# E5 {8 w; l1 g
) s( e- N% |$ Z l/ S. y' `
. ^$ H- c& t$ b! o& }6 X - ]1 \* l8 P) t( L9 g, g
6 l' M z$ x$ G# B% k+ z
( u% b$ b2 P+ Z, Z, o* i
& D; C2 K! [: a8 u: L- l
! w t, H% s3 ~& k 1 ]3 V& H4 `4 S% a5 X6 j# c
$ y! s4 a/ |! L
+ G! u6 m1 C4 i2 }2 d$ } 利用 cluster 这个用户我们远程登录一下域服务器如图: 9 g0 ]" D" ]/ z* q
( ?3 a, p8 ?# X4 |8 i8 C 1 l$ O6 r5 U0 w" Y* {
{( v. T7 A- ?
. R/ {6 n% \1 y H" |8 s: m" t& Q
" N# h' d( ]8 W# C* b" f+ U' J
; o% Q- O: k: }; Z T 2 G) g3 D- X4 |1 ^
; Y0 A& J$ H9 i1 E7 A; S" \( i
0 L& R& r3 N# G/ R% l # U, U) x: B, |: m
尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
& E6 q1 V" d* ]1 V$ w% G
/ k' B+ q j: ?# o5 P8 _7 J2 Z- S' j
1 d4 H5 J; S2 y% _6 r& F
: f4 d- s F& x% p- F# a
, w( m, w. ~( A2 z 9 G' d3 B+ l! h& y7 C7 M' B
2 G6 P8 w7 b, X7 T# H7 _
" Q- z+ H0 G, R2 Z
, G/ |. }- D8 M3 s/ @
# n' X2 d6 @$ ?! f* v
! q* i' l+ T* x* |4 T 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 3 m+ a5 K& B1 ~5 j! t
1 s7 t0 j: b2 F! W3 g- R
% ^: _& j! i: r8 r$ S# |5 S
( p* |/ [- j& D$ R
! _# \7 Y. o, ?& N; r. C 9 g0 N$ ^ n' R) Z# z5 I
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping ( K; a3 U( P8 K! Q- G2 ]
5 e5 Q# J/ A2 F5 D
$ [$ g5 o7 a. x# J) \ blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
: P @, C. P, H" T: I( `9 s
) d, k( s( R6 Q # k9 O1 W4 o5 R- }. u' w
/ N; r- P# R3 K7 F: S1 e 2 r5 S9 t6 q5 L# z _8 h8 x! H
( s9 _! R, g: v5 G2 O
1 Q& G$ R* |4 A( Y( ^; r/ q2 G; y
% t# n* M T! _* L
0 w2 ?" V/ o* D- Q6 R$ [
% B# M4 h0 r4 y
- Y$ `% m3 h7 c! @ 经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图
; D- O) }! ]; F! `- x. ]
5 G$ d9 H9 I5 L( u2 w) T0 Z
7 K# R. [& z( O3 H / x4 Y& Z+ M7 {9 A. q! B5 Z
% E- f/ d; T5 g2 L, E0 Y
# v2 p. n0 Q$ {: `! @# D
1 R4 i! @0 y- l
2 [8 l1 Y4 u% Q3 D
8 b0 }" f& c5 F2 I! B, v0 P
3 F' ^/ G% B( v) L6 ~/ ?
* A! a1 y; \$ q
利用 ms08067 成功溢出服务器,成功登录服务器 6 Y' \3 s3 l" ]2 G
6 R4 u$ ^# j9 w6 O( L ! M% Q5 _$ o& z3 m( r1 e
+ E0 E( a* J1 @ i7 h - U& S$ z; X/ t* |* \
B$ D: c% R# d' P3 ]% S
" e0 w( O3 p4 R! D7 k3 Y ! `+ Z+ z* S6 t7 f; V4 Q
9 U4 O( L) s- [
# E9 i. [: u5 k! Z8 b
8 M# }& R- t# K9 A2 `. o0 |2 b' W: ] 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen : d4 C8 \, C" m. B$ N6 Q
$ p% h. V- ~; J* ?! V( ~+ `" T# [ F- n; Y: T( w7 S: s
这样两个域我们就全部拿下了。 0 Z7 g6 m, @3 ^7 q) ^- H
# H L" G( r+ D
: l& M o2 G& P; T1 `6 r 3 、通过 oa 系统入侵 进服务器 2 |/ n" W) [: @" o& [
2 b/ k" O- |/ s4 B
" e- E/ r$ y4 m% x( y+ l1 C6 i Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
) t0 h3 \+ |/ p1 C' h7 C
4 {9 E8 s$ Y8 g5 O: O4 ?" k
: Q* B, h& o8 v% Q- I
- i- j4 L: _1 g$ P" O2 t( d
+ Z) \; |; J% s( T
5 e) q0 c. f5 x m
5 H1 ^ L$ f8 H8 E( K , Y$ _+ R' g' g; n
% X1 U" C5 m/ M" @/ u$ O* R. ~" M
. u0 C4 C6 o1 B4 X# y
. V- A' I" {: |! n; o
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 4 A" \; c9 j) a8 j0 M# s# L' c
8 i" Q$ k" W$ ~* w5 L0 P1 I & e" U! y+ m- W" `4 U1 f
. [8 L0 T) ?4 r$ B' g1 s3 N
. P, E) M' i* X; H3 {
! }# N) d+ c7 c( R: Z
% l: p, ?& ]8 ` ( g! A# ]$ p9 T! |
/ F6 ]$ A1 d5 Q
- i' f# Z; |# r Y2 p* ~! n
! p( s4 f* N4 w6 u
填写错误标记开扫结果如下 2 p) M( e0 i) P1 B! Z g }9 P
/ {* |6 L K2 r7 M6 [ * c" F' @" ^, Q; u' s. _7 l" H# ?0 c
9 @2 b; W6 J- l+ L; e
( _( ], n# h! Z/ f+ i! k ' W" J7 U6 P: S1 ~7 o9 I
- r& C6 w0 y) v
6 T' r- Z1 T# S* k* u
1 D* l1 S, q7 M9 ?# I8 k, [
8 |( {, [/ m; h8 X0 w: }
/ J5 ], p& U. {- h) p$ j
下面我们进 OA : c5 X7 Z) Q' v. R( C4 V
7 [# I. ^* z* o8 p9 p0 M ( f% Q' \" T5 P, S I1 d
! M3 X3 b& u9 V9 a' e: G / d3 c8 w# D3 x+ \
& L3 M& }, e7 o1 w
: x0 t; Q; w% e! h# f
6 S6 S6 {, _$ M: r' u O
* v7 B0 \% s4 ?0 W' X
% T* l. w2 G, ]7 Z) U/ J7 [# U7 c6 U
7 n! a+ T) f" t! b! O
我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图 ; g; _4 j% w0 E
1 g, {* M8 |' E/ d5 f5 r
) o7 }+ k& F% ]% x6 C 2 m! B1 G- N' K) F5 I
0 A( K; Y+ U; `* q" S |" R
7 L" E3 ^: X" |" y: g) l
) z" b) U: o/ y9 W; j$ z 0 `, [- h5 ^, k m2 ?
2 w* f7 g/ @# o; `4 m% ^
* L2 B M" ~! N0 r8 T. h9 `" C
% N; E+ R! y1 y2 U+ V" U1 K- F0 S
. T( J: P g6 t& Z5 g
' \- C: y9 q( f' j; ]/ K % ?0 Q& i/ f; _
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
% t9 B6 V1 T9 U& B0 S" Q
. P* x9 } \/ J' P1 p% t: i3 Q
, V3 k/ u1 Z' q/ Y& I% o$ m f 4 、利用 tomcat 提权进服务器
1 r: C) B6 {. P, e3 `) _
) W0 l8 S9 z# s+ ~4 u+ C 4 |4 q/ U5 ^" V1 ?/ m# N) p
用 nessus 扫描目标 ip 发现如图 9 x# y7 y: I& ~
, n6 s1 {7 i6 I, Q
. g }/ h0 C% T& K/ F + s$ I5 i/ O" l3 n' c7 R/ j( V4 \
+ X. V" d1 j/ ^
3 F# z+ K7 A U3 X
( p4 V$ v, [2 S" B L. Y
" ~4 u9 v4 E) J- k b+ Q( Q+ V" U& [3 O& i
' V( G, y3 f4 T5 ]7 j
4 x# \& M8 ]- z 登录如图:
" o. }3 t3 g7 X3 C& U# J
, |7 {, Y j" y
K5 i0 I1 n& p5 f, s( k- }
; _) \, V' `( ` + Z ?7 X$ P8 U g8 x k# w
$ T5 h* V$ B6 q' F% Y
5 A N" K# q( t0 M* d. [. @
/ x+ B6 Y: t( u, A ]# a/ _4 |8 r+ x
3 |# j& a; N0 f/ m5 y! f, Y
) f2 c, Q1 a2 B1 h5 W0 k7 G% Z2 {* b 找个上传的地方上传如图: / O+ y; H7 c1 [% I4 s& D5 O
" P" ^: m5 _% U: H
" G1 ]3 W+ f: G8 P
1 s! B6 V5 S4 e6 w9 g+ f
2 a9 x$ W9 Z% i5 `9 @
! b! s9 V$ Z# }0 F- }8 B/ j r
' b4 E' D* o& j* w d% T( v+ W. X& p/ R
, g. E- e7 ~* C9 ` 4 \! @/ h6 I2 K2 n
! z' b% [. B. w$ V8 N5 K6 g, L
; Y6 z+ c r: S3 _& g& Y& w5 } 然后就是同样执行命令提权,过程不在写了
1 `2 m& t3 p8 l7 R5 r
+ C8 x, F8 N8 j9 W! D3 n$ M4 q& b/ i
9 v/ X% X. }- u4 o q3 ] 5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
/ w1 J0 P2 ?0 S' X+ H$ w0 ?
" ?6 Z8 s' X/ c; O. Z& H( I ' e+ B6 J: a* K: z
首先测试 ARP 嗅探如图
* \. q6 E' N0 J* n
+ P/ u0 t/ Q3 }; }; K( {7 D
% r5 }1 [* @9 s ) ~ d) R# ~( F: @ f. m+ d3 r6 c4 ]: W2 |
. W! U& U3 g/ r0 \5 m3 }* z
8 Y& D! q! {, X$ Q3 J
9 A. w9 L" b; e+ K" p% G
+ D# I6 Z! ?9 H" [
) v. A( d! V5 r+ |! @) U
3 K v9 d2 @0 [3 H1 I$ j5 V
; Y s3 w3 x! r6 J 测试结果如下图: + v3 n- Y! q% B$ J' s
4 J4 M7 H8 }0 n2 m G ' N0 z) B% q) r
* ~9 q5 |+ z4 |* e! V . Y+ z6 c7 v2 X6 }2 E4 e6 L# F
: v7 H' V* i' A3 p& S
/ `0 ?( U$ r: a* }( {) m
, d# K, ?5 P+ Q; ~8 ?+ ] 7 t1 Y: p* ^: U: O* E1 w2 e. }( G
4 n! D' m9 S+ w5 H8 X 9 m- F1 A7 q, k8 ^* { k0 S) [
哈哈嗅探到的东西少是因为这个域下才有几台机器 ; Q3 U* g% l9 Q' L
$ z2 G( A9 v- B
* n$ y8 e2 w. y6 e" {' D) n 下面我们测试 DNS 欺骗,如图: . q5 }+ Z& z- y) p' O6 T& S% V
# r4 [1 R: f2 U% n* p R; q ! J" E4 X5 G) ]) y& O8 G7 b, t
: o, S2 ]4 l, D7 M6 J) o L4 o+ }8 H& l 0 X( U' n; J6 m* D* A% v4 e ?
) ]5 E/ a! A' b% E! I
2 A$ w! n( |* { G4 |2 t% Y! F: v 5 m$ }; v: i3 |# C- [) A3 {* d% {
5 d" d8 ^' b1 }- a# h i; I
) v/ M. M o+ S3 e
. C6 J+ _" x( S, L) n 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
+ t! }& i- e) Y' a, B6 C! R
% M/ x2 p/ _0 t4 s+ i* \0 O
$ c+ \; c. q9 C. y! f6 Y; e
3 G' C3 a+ S- ~$ X: { " z" Q6 N' H: ^! F
6 W& |6 C$ j6 W8 \- [
; {" {# l# k; T Z, X
8 L. f! l( L7 G/ j
# D5 o! E6 h$ \4 B J
# ~/ o: j* M" o
* }! B1 q7 ^& K5 P% b (注:欺骗这个过程由于我之前录制了教程,截图教程了)
9 A m/ O+ @* ]/ ^6 O
3 h+ t6 F) Y8 _) z W. ? 4 X6 V0 i% c$ _9 [% n1 N1 ? ?
6 、成功入侵交换机 * N/ h& D0 O2 `* l2 t% Z
9 {2 Q! N3 r5 l) R: u
! J q6 A- k% R3 w) X8 C 我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
, [0 {5 z6 K" y
$ `4 R7 T4 i+ m: D
. m" C m( O7 r 我们进服务器看看,插有福吧看着面熟吧
: }; F! W3 b+ D0 Y P9 {- P! E
@: m9 I# P( K, R1 M
. P) D9 L$ ~) k" u
& a8 t2 K& t0 v3 B5 O6 |; v2 l( S) B
/ B1 ]1 M0 A/ F6 J8 C! `9 c* y
1 q6 v$ h& x3 \9 q
6 |$ `7 D: t. n. ^) f( g. r
+ m2 \& c4 o% D8 I- ~
9 l6 t3 a6 O! ?4 G( d
8 i% p! f2 ]9 `( v! N1 O2 w5 l' O
8 }/ Q& T- a& E" Y. ? 装了思科交换机管理系统,我们继续看,有两个 管理员 % _& }9 V' u5 A. U4 k- s
1 J/ F1 _* U( f7 J # z' p" F& K& Z) f; I0 F
; j' o% i( X9 B
. E! d1 J- T- j0 C) h7 U
* q7 e( v4 D6 S9 ^" O! w% n# N
7 ~' H' ~; J, P5 n! l
, e( s% n) F) R- O8 ^ * a0 ?" r. c7 u" P( G, K* J
6 X$ U5 O. T3 T6 p+ [1 Y* i ( m! `- f" w3 `$ y. o4 W
这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 7 l8 L( v7 g# I$ M
6 T) E x, o }2 c
0 M) w0 x( o4 Q7 u6 V$ Q. h
0 R) b. g( y2 W
9 L5 u% E" N% h! w
# U ]3 A* M( |: d8 X; C& r, u
& L! f x( n5 | O& W8 B
* x5 q2 h$ |* t
" B* z- P9 c+ R/ K* W* y4 U( h
* k1 k0 K( x; n" M2 y& K6 U: m
2 K4 S+ M! O6 n! b$ C: b# p 172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图:
9 o+ N: @8 y9 H+ ]3 F
4 \ b( s* A. W+ Q2 M " _; h% V! H. s: m
) ]! l, U2 U" a " z% b' m! M8 I9 U3 M4 ]4 K5 w
2 I' t' i2 x9 F/ B
7 L5 ^1 }. d# T6 t& Z4 f
) k( U2 l2 y( c" a, l 8 H! U1 v. W( I0 H. @, J
% p2 \" B+ b6 D3 e" o% z1 b
^# j7 [4 X! _$ J" q! |
点 config ,必须写好对应的 communuity string 值,如图:
& N4 U) @* N; |, J" ?& X$ Z% J, R; f
5 \7 t+ x5 l4 [- Q
; v% @, I z+ m( q
0 t9 I' U( R8 b& I& e( |5 _$ f + y/ t* B" w$ A) C9 X
6 v1 y0 K% @3 k% {! R9 m
0 o) E2 e7 ?6 c2 H& @9 ~% H/ W
; H+ s3 ]8 P: J7 K
7 E( ^. m: Y8 c: l7 O8 O" V, m
6 ?) V, ~0 v. m
8 X& P( ~4 P" W( o- m/ R
远程登录看看,如图:
" ^* P" @* I! _ J% W' R2 R
( h1 r" H' ~! W8 ?
) X# g/ o# e7 t
0 y2 A- q, N# E; z7 I) S# X : N* t [: G* c! _
9 E6 b% u5 ?6 j( N+ }
$ i' w: ?1 |) y8 a% T, [. c1 R
9 j' l; Q2 E' X# A5 m6 `+ A( \ c
4 s- [9 r" F1 k1 M
* F9 x: c5 D* W6 t0 s
1 j5 E2 Q& L: f4 m7 U4 Z 直接进入特权模式,以此类推搞了将近 70 台交换机如图:
8 L3 A/ o s7 ^, Q- q" }7 t! u
/ a5 J( B1 R% ~8 q2 a( r
4 d# q) b4 ~" b
& F @; [, o) X. m6 D/ A ; y% L9 d! {# q% N, O/ X
! u2 y2 m' B% A; O- h* @
$ E+ { ~% b: b- L$ w0 r
- U; _2 k3 r) s" {" C9 p
7 F( i! c9 v! l
1 F d' t8 Q/ W; g
; @+ q$ ]) X/ H7 }' I
# E+ J- C& W& Q! F1 R) O9 U8 G; C
. r1 W, Y; e! `& p, P9 f4 I- a
) _. E8 b. a ?# D ?6 f3 k" C
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
, @: X6 x. t& x6 _8 c
! o- U- O4 I7 v" C4 x- o
- x; w; w6 p& o/ ?& H" [" Z
O/ \" K3 ~9 z- {; \
8 g; p9 \$ R; C+ n+ Z
# s1 d' e. }- E
* ^7 Y) X: G8 F2 R
( p# k! F+ ^* I* ]5 Z2 S
# q' q8 g) r3 B' n: ^
9 ~' |+ `; k+ @6 m0 F' Q; ~
7 b: Y3 k7 ^" T
确实可以读取配置文件的。
$ Z4 U" h% x8 a$ p m
) s, [" n3 P E
: U" ]) o5 L) z' c2 t# x9 X# Q 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图 * c# h* \! g2 |* Z% D, `
! S& g3 U2 F4 ]* ], q- T; g
8 H9 l, ` _2 m J 3 P! h0 ^1 q: m( l8 U' o
1 A9 ~2 ^# b! a, {, y& B$ J6 z
8 I& ?* e6 I$ J3 Z g9 c" p. ^
2 Q4 C$ r, H) r7 H& p8 F/ Z2 G
$ h) Z0 |& ?+ d1 c; h8 \; m1 f$ X * B( \/ e* Z0 M8 ^3 f; S
3 c" c! `2 I4 J7 x2 x3 `3 [
, J4 @: _4 X& j! \# {" N
9 h8 i- q4 P* P1 V9 Z; N
+ q5 X7 \% D3 ]! R: V( L; z
6 e0 ~9 v6 ~+ s- o( @
直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。
7 ?+ l, {8 a R
( r8 |2 k' T& G% |+ W# K
( ?! k" m1 D, ^! D0 z 9 F. W/ B. `" q; B _- y4 s5 M3 H, X
' E% K! P! x4 b r) r, w' M
% M" d9 v5 v Q( ~: H
}- j7 r. R6 }! C% B" {. t
1 ~- H7 G( d: S9 K' z( B
7 }5 V0 u$ J" c% m
( Y* Y T5 i0 A, Z/ s! s
8 B+ C+ P' B1 a 上图千兆交换机管理系统。 2 A/ d- j7 ?/ N
8 ]1 K& b, a3 o) v) b
: r0 E! I" ?9 O. B9 R- C5 R
7 、入侵山石网关防火墙 + t& u1 [! e1 r5 n; i
0 E$ p" F, z3 H" J
9 m" a* I' I( e2 _! H
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: * O0 g" D$ z- ^) I4 U! q! Q" e
/ s2 s; H& \8 X: s+ A" _6 D; a h) ?$ e
6 M: F9 c- O5 y h0 G3 `
! G- K# F5 D! F: Q* @* z3 u 6 [3 K, ~# d8 C( W4 X7 F; F
( e% K4 q, S1 @; N$ f: J
) I$ c5 B/ y& P' N! c
/ B4 n2 ]2 E6 z6 W
9 m0 ^) y* w, ^8 O- d5 y
, ?* g. d% h/ W' X) T
* ?9 p$ A/ b' f& l9 j9 Q 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
! _+ J z- a* ~# F
- f! v( |! ^; w, V. }. H
) B; H; W* j5 a/ Y) F- l) Q 2 C( ^4 c5 a4 ?; g s
" u$ G5 G% r( k9 m
7 D8 Y2 ~2 r$ X7 V3 v; o% O
7 w# R& K% o" j ( u. I2 x- h, N
B4 d }* }9 O5 s; O
# s1 q2 C% o4 S8 C; _' [5 T ' q( a# d& X7 i. Y/ f
然后登陆网关如图: ** % ?2 O/ R) d# t" J. A7 A
& J) m @5 G2 B- g3 O' j
( W2 a0 e. j8 S$ J8 o8 F% e
7 ?0 K. o1 M% Y7 l ) T1 R) e% w% d; ^! H3 v& F
! k8 d* W- l. {
3 D; E- B5 |, |* F0 V& n
) \! h1 }- M; M }
& W2 E# S- q8 h0 X
s$ |7 t6 t$ c% g4 G2 I( y
: B8 _1 j# M6 g5 ]& p; _7 C# Z) M- l 7 V+ M2 R% g( N3 ^- j x* X- A ]
" x+ x+ H3 s+ D
- b* N% y$ w. C2 g9 E
6 k5 P+ s/ i# U9 Y5 v' V
4 v, x( Z1 q' C4 P( I- w; \
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! **
: I' ?1 v1 k+ n, S; I* Q2 E3 g0 f% m+ B
: ^( y) r1 f5 S1 P# Z5 w; q; ` H
4 L# y+ X0 U, r4 C3 M 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
2 g' ?" P3 N, h/ U
' o* R; s5 ]. X; F, X: p
' U0 ~' ~. F. a7 j 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: **
/ f" ]( b) h- s* p- Z# f$ [& p
8 e3 Q2 p, ?2 b! ~& k
; J$ C# W$ z( l- f% D5 d! X0 l5 [
; @8 ?- E) o Z- K/ J7 F , D/ H5 n- {7 ^; g
! _- `9 n$ z8 u; m% h4 j
. y% D0 L. [+ |( T
! T/ x! B' u6 H8 l# T
6 b. d' o5 N: Y% o
% D6 A9 V/ V: h+ X% u
0 A3 U' o. b/ y% A
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 4 h4 S6 [! j- k/ k/ h
6 `: O+ n M1 e# Z6 `
# `) L4 R$ j; o7 a7 b; d: a( L
; |6 s4 L$ P$ Y
1 a, S3 b9 f# ]6 G8 ~- j
6 V: _7 m4 G' j: e7 f9 Z
; ~0 b5 [! C% c
; ?3 V; R5 Y3 J5 j7 p
5 V2 q* }6 a7 U) \" C1 _% U q