|
2 b3 @% O, P1 C! `+ I1 F. r
' z6 _! F: m- f* c. F) [3 K/ A
' |5 z; c7 C, ~8 `- o
4 a) l1 D6 R" Y' O 1、弱口令扫描提权进服务器
0 f d+ k% m4 @) h8 b # |" X; j6 X: Z( w4 D. k! }0 l9 S
p5 r! B$ S" n. t* b 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
# Z" u8 O8 J+ a% s$ ~3 p. H : U5 Z; x: j0 {- V! E, p0 D
* z' A, k4 E+ @6 }# U8 D- M! u
* s; ^8 x& N' t1 s- n' J
! s/ n6 t5 x0 E" C
( k/ @: y2 ^! g7 z 8 W' Y$ Q1 d+ e9 r' b( T2 ^
. p$ Q; ?# }) ^" b
! A$ R$ P0 y9 }& n" i; Y( u2 [ ) ^# c! S; x. I$ U1 Y( D+ ^
7 U V5 T" a6 _* r# h/ T9 o7 }9 K9 h 
+ {& M) z* K+ U, ?, U# D- z, K ( b. d1 e# Z8 h& B4 r
2 f; y# W/ G& o4 N- K+ r; \
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 * M3 c9 Z/ b2 X& [# H
4 t; j, a$ }# l: c, R, j9 }) Q" x) w Q/ Q7 e
执行一下命令看看 $ C' q) N8 Q" g. f* j8 v \
( @0 t) n9 c. p! G
% ?" K) G1 Y5 K" l" }$ z
 : c' G$ W- @2 X* E! x4 u
: L# C0 a) I) D$ ]# v
[) |3 G$ q$ Y7 H+ ~" [1 {! ^$ Z ' f; j: {: [) L& f0 @1 V! c @
R! _- l! t' o' C6 \2 V* h
5 {7 W8 ]# w. N
9 A/ |7 u4 J' T# J3 \0 W/ i( z1 |' E1 N/ }4 {% l
开了3389 ,直接加账号进去 z. V0 l4 W" X
9 d/ T& t l \$ `
& g% O3 Y5 X3 R
8 q0 o: T" @7 f8 g2 F* X7 Q/ V
6 t1 V% `1 X3 t0 B5 b 7 w# Z9 D' Y# J% c) M* n; o
. u* l4 Y5 j$ a3 b0 Y
+ _3 ?6 n Z( T0 U, e. L Z, W" ] [  6 \7 \; g* p) @! S
$ @! }5 b: D0 N4 e% b4 W2 ~: n) `& e8 @" U% F$ w) A
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 " [* Z1 \% ~6 T; J2 b# u
# X4 Y4 a b1 ~* U# h, f* |
& U& } o8 K( a5 f) \
% r+ \3 ^& B$ x2 ?7 Z3 E
) C7 Q6 I t* d. O N
' k, Q3 S$ e, T6 C: |, V
3 Y$ I) y$ y' C/ Y( z( e, D$ u4 H% k. m, ~1 Z
 ' B, z& y* C9 c
- P s& G/ `3 V* N% J+ D( P1 |, e9 R: E. Z* b" d4 y8 v! E) M! A/ ]) K' W
直接加个后门, % }8 M; c- `! H# F( b
9 f0 K# p/ M* V# h( c3 ~
- t6 @5 S) a* b& C* O |" l: T
 7 ]" {9 K0 w+ K) ]
* a+ \$ n5 b# \5 v- G
+ d* B* O% W% D3 c& m $ ~+ G9 b* u$ m5 h
$ l4 s* V2 @( s % Q2 c. o7 D3 Y9 _: d
9 e% b. @0 }. P& ~2 d0 W% @# ^$ g ]5 q% i1 h T
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 % L) w# |% P( Z
* n* e0 O) U6 ?1 n: R& j. w
2 ]" t% E, L) G7 M. F8 a/ ^ 2 、域环境下渗透搞定域内全部机器
( q" s3 r5 \: I, y1 C , C5 _9 h p% H
9 a. N0 W* m+ V9 N6 b8 [
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
/ A& _) ^) O: D; |% o6 ^6 K5 E ] }1 M! R( \# ]! Z. M
; I+ {# K- G& u- o3 O/ ^
. `: `" q/ d" f5 M7 J9 Q
8 o2 w* ]) p! f# }# F) u; h
& I5 W2 u, }+ z) F0 }. L
7 K" J, e: _0 K+ ^0 T7 W
l- v9 m7 W) Y9 ^+ ]$ x 
$ q5 f" W2 b4 E0 D- `9 ]3 x2 h# A
; U9 I- M6 Z' f# j0 r" C/ a; j6 ^; C, t
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 , z, S8 z! \( H# s
# r3 } I" c; U% J6 Z n
" @! Y' X# i9 x9 r # ~, t% Y% ~; A* V* S e
' h% G2 t' p) f9 K ' }5 {5 i& ?4 l# n- C# h( Y1 `
: ^* \# z! _4 u9 Y* o/ Q
6 c5 q8 z8 Y/ V8 Y( q: r+ `& G
7 \. _! z, y% G; U+ y; {/ j) M % M$ X: M: F3 {
/ J' S) q! t" c 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
" [$ n4 ?% m) R4 Y, y x5 _( N
; M2 @+ l' `. ^2 K9 q! B) A
7 C1 k1 c/ l9 j" S( B
( o1 Z/ H, M2 Q% ^
. j' h* e! Y7 I7 T3 O; m% s" |
8 A- \* l' _0 X' D/ q% c4 O! c
- ^0 E1 Q7 _/ O/ ^$ J( s* W9 o E U
, h3 O1 ~! v2 y; z9 o% r
* h+ f, }. b# [" o# n0 o& ?4 I
! H& j5 n. ]( h3 k8 F0 @, z 利用cluster 这个用户我们远程登录一下域服务器如图: $ x I) K0 [+ O0 ]/ H- b
& o. I$ j3 z( V o. F% ^6 C2 _6 i L3 s8 A+ g9 L
. U+ \5 s8 g: U2 M% S% @" G% C0 e
& i! }' ]9 @* Z6 @. I# d$ R/ F
5 ?) Q5 } l. C7 @! L( E
- p1 R5 { o9 {( q" i3 U; v" I
6 r! [6 C! X- s8 o4 f8 Y 
* d' V& S3 ^- N0 H9 K4 J3 Y * e6 x3 k$ l8 f5 e% q- i/ E5 k
) Q5 e/ `1 s) H$ Z: p 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
' q$ {) u9 j, k
+ v q. S+ G* s, b. A
3 [) _- s# U- g: n! X W- ~$ V5 o% P4 z0 c* B5 H" f/ E
: x/ H/ w( n& N/ I
6 g T9 M, ^8 Q \% ^, @6 T
n% n$ F% E4 f2 |0 o* ` h/ j
- e( e7 H7 S8 y2 q$ M  ) R- h& b- L3 T8 B6 i
9 V E& Q+ U! x6 y
$ Z3 U" A2 {( z( ~& B$ v2 f" e
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
* F1 t8 Y0 u" C- O+ y- _# x ; v" q* _% B. d8 f+ P* I Z
) ?+ X- D+ t5 m9 i& G+ d0 u3 G 
% ?( n M9 n7 O/ e' r$ ]- k , d8 k" ^% B; e5 o
3 j0 `6 X) _6 O) r. ~4 R 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
9 h) F% y1 b: I( n1 }6 f ) N& A9 h% ~9 f3 C
% E, s1 R3 v) ^( S9 m
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: - P: X' C4 X1 v" C- z. Y
/ ~0 c7 W0 V, F' |. X
( B7 H; q1 W2 U$ H, g$ Y- j0 M: b5 }
; N$ f' M& N& W+ @/ H$ i6 X
) n: Q: C2 G3 E" p1 y! U* i9 J $ o% g% W6 X' N. ^
2 g \2 H4 v' G" m; F" N
8 W. e6 F' |2 C0 Q( u3 N 
) Q2 q! R3 W1 ]
9 ] H+ E+ |' C2 U) @( v, S! }2 o, `) B( F0 _( J& X6 O7 y
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 % L3 }9 M5 g& d2 M- a
8 J8 r4 G2 {; P
6 H! H9 U9 Z4 C: H7 y( B, P
9 c! l/ Q+ j/ P7 M
: \8 ~) j7 i, e * Q3 [+ \+ l6 F, t, X5 o( n( s7 l
0 {7 E$ o7 J& C3 D) A# s c
0 }1 _. O G9 Z1 ?% b- B6 `7 G
5 K3 T2 M" M) S- @4 Z! b + Z" u" D: @2 h# \! Y$ U2 C
: v, y. W; w4 u/ K1 V! w3 B8 C 利用ms08067 成功溢出服务器,成功登录服务器 : j0 }% R5 D1 e% y8 }
, ?3 m0 }! q4 ~! q2 B. e- ^9 B
6 Y; h1 N# e" p6 |. g 2 B9 {5 c- {5 _: J
6 o( O0 U4 i* q' p
$ P( }: H: ]% i% q% O r% W : }' ?- L# r2 C$ W' v
+ D# b" i: Z& ~& d% {) b3 n 
) W. _7 C) |9 Z
+ p0 U# Q) R+ V+ E r3 F
t2 a/ H9 J% `4 V0 D5 H$ b) ~$ O 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
8 E0 _, B B6 T% b 0 P- U' h6 Z1 U! y* ?
1 s! ~; q0 O3 n2 R1 l) M6 N 这样两个域我们就全部拿下了。
2 h! K5 E3 x R% A 5 K: E" T+ T# A' n* s. T
3 n1 o t" p" h; ? 3 、通过oa 系统入侵进服务器
1 ^- m1 n# p6 j& l5 S
/ X6 D- ]) ]( [* f& N
( s3 B) K/ B. S& c) z. X8 s Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ) Y/ c: d+ i5 s: {# m
; N/ N. @ [. j# F) S# n
e' [4 A) y0 W : g m8 Z$ q J& f& l+ f" M: S
$ U2 X" v% f# o5 l3 D 7 O' Q! h- a! Q$ g3 i9 h- ]
( {% s; V% @- d
; a* l1 G! D2 K8 y' o 
& u1 y# F- Z, g& m! d& C / {0 g+ |0 P, C( I: R0 V$ B# q
4 ?0 u# o! G. S' H0 {' Q5 R 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
# r8 K" N( y/ b7 k! E" i
- N$ F8 [1 |7 y# U- ?+ j; x3 A' p4 }: z$ t- h
. n8 W5 t2 j' I: K% D' q+ H
7 k! J8 u7 u$ J8 [! A
9 Y; {" A4 ?" ^( u# v
: J1 ]: p( P9 M( f5 ~7 @5 A- V* n4 G y1 E% t7 x
; n( t% T; G6 X) b" h
- `5 o+ W; R: X
9 y; f9 d2 U+ v2 E8 G2 n5 v X 填写错误标记开扫结果如下
4 u7 x i& k0 T # ~0 E. \+ ]* O
, y; l" e. _4 k- x/ r 8 p h9 z6 N) r; d1 e R3 ^$ |
7 S+ l0 E2 `9 s# U 6 I( u( D5 ~# ~2 Y
4 }( F4 u; N) D6 w% o. s
) G; p) O0 [+ I% f1 q1 z 
# P1 S* B; g6 w3 @3 B8 h6 _" i, U ! L2 J+ T4 ~8 Z4 D8 }! O/ h2 | E- F; n L
$ u$ G# ?2 w3 h* R; L
下面我们进OA
8 U+ x* ^/ g; S+ ?
9 i, D8 V3 c' ~5 V3 C0 j( a* Z6 @. F
# W$ y' N- ~& s! B& r3 o
$ V9 r) S* q5 a; X' M4 o
5 K5 H! `% q0 E8 @! f' ^# w 3 w0 q4 C# c. L2 r
2 R4 R. w5 e9 P# S  " P: t( \* X, i# Z
& l C. f% G+ u: k8 Y; M
6 R" ]5 E- n0 h& f 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
$ ?2 z5 ~: ~7 l3 Q, P4 m, v
( d0 n2 P$ s* V) A* r( F& r+ Z( }0 {% p
5 k1 _3 B' M% F \
( ~4 Y. X1 U0 j9 j
* F* G2 P! M6 n5 M
, K! c% V I2 v; Y+ u$ c! d) \7 h7 \7 ~
+ h8 H& p8 R( T. N
, p3 }( S9 o2 B/ R5 ?! g8 D$ L: m E
) z. ?7 ^( h( s
6 \' \" L* _ e) r2 }. U1 W
5 G5 _' ^3 A) ~, N 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 1 G5 D) \' m) z8 L% j9 [
; S W+ P9 Y" P+ ?& @; o; |: G5 {1 y+ F* M8 D3 U2 N9 v
4 、利用tomcat 提权进服务器 H% ^& G2 f5 `$ x8 F5 V1 q
) `/ u) `; J/ S' A! U+ q4 U- j
+ b$ S2 r5 s( A! D% a. p 用nessus 扫描目标ip 发现如图 9 k% v! O& T, W9 `, y5 l
1 G' A" t; ?1 Q/ l* `" D: ^. ^$ W6 X P. z; `
; R. c, a. A! R3 V8 S* P& g) m
: Y9 Z* l* X# ^" q' Z7 Y# v
5 f4 A/ m; v; t7 F
0 I+ V7 z* s; |0 t- l3 \; {# |0 Q% C( \
- i6 U& v8 j4 k k
, K7 U$ |. X, k7 m g+ D( i$ _( J( |2 b; z1 J8 n! `
登录如图:
0 v c$ n: i3 t 4 L3 O6 {, @: A: B
- z8 l, v& a- ?9 O
% j0 a6 P: j2 [7 M0 t: {5 z
! ~8 J$ @( ?% g* v- j
. s, L6 J8 u! F& y3 S ! j) y6 o; _, P. J. f
) W6 s5 c8 t' v7 c9 ^3 H$ h. A 
4 Z* I+ M# [/ S: n: E
- F! ?/ |1 M% w S6 B1 o+ V: B
4 x7 H; n8 ^9 U9 [: l3 l5 x( l) q3 ` 找个上传的地方上传如图:
+ r7 Q- B( w9 F : z! Q5 N6 f4 Z
z' ?& M' Q- F0 Q, D9 S
. d, b; k4 y5 B, g* X1 r
' r# ?- T' \4 i. B
: M, P' M* A! G1 k- g8 J$ d
3 {9 @6 ?; e0 ]; W% H0 w1 i8 J
- i+ K5 c; h" o+ S  . b0 q. q& H# Y m7 W" k
. s6 m0 s* R8 B: u5 a$ @6 H; B) Q5 ]' n7 ~
然后就是同样执行命令提权,过程不在写了
( b! G4 @9 i6 F( {8 K! f
9 h' f( k( r7 K+ T& x4 \9 Q* }$ @* Z: O% A
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 - V* n. x0 t8 c
; c g" C: \* m/ h# _( S% n* d7 h
$ [1 ^' G8 B% R. w% f
首先测试ARP 嗅探如图
% Q+ r4 m1 w, T : R/ v: ]8 }' L3 \0 H+ @/ |5 X" K
! O2 _+ {* M/ u; `! f 5 u+ Z# \. t. D3 E( G1 G# ]
% y( w& A- q {2 M& b 9 X. S2 b& S/ Y2 t+ f7 g
9 B( s& A& F! e2 W- o4 p: u5 E
9 u3 q: X4 S4 _6 X' V
: A! S5 S: z* ^+ h $ W6 w. x$ S \+ z2 P. O" [
: j" {4 M. S' G* a# J0 Q# Y
测试结果如下图: 4 y2 N: ^/ o6 _9 I0 Q9 Z+ ~ Z
- I' y, |; A7 Z
+ f, u5 v! K/ }6 @6 _( U $ k6 ~1 ^& o6 f8 L, r& L3 [ V
3 ^* H8 l! d3 [& R: y3 k) T w& l
1 z1 ^: F( \$ r* W" }: @$ ` ]: E
& R _$ x' _8 d( l: [- I
' v/ P+ N' t1 _8 Y$ T' T( n) I
 ) E7 v8 _/ P# {8 q3 y1 p# N* x
0 j. d; Y+ b0 e
d" Z- H) Z' @1 q 哈哈嗅探到的东西少是因为这个域下才有几台机器
/ I9 R+ m o. x; g/ {$ ^6 F - n, q1 ~1 |% S7 L9 B T/ m
; {8 l+ B" o: }8 y 下面我们测试DNS欺骗,如图: 8 D- P" }: y$ E3 B
# {1 m6 g: H' J
, t% q+ N. e3 ^/ [3 c
( l2 C# A. A0 d0 ?
j+ R7 ]0 J" s- p; ]
/ ]' S) h! b3 i3 s! M2 u
3 j/ Q) I; a& i: a$ Q0 [
" u; X. B$ C/ C$ v! j8 L5 k
 1 J# O' v6 n" ?
' i2 |6 i! g$ t. T w5 E5 f
, D+ w- b7 H$ ]& S9 @0 {$ `' V
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 4 M! X& r4 ^1 B, f, C& E
! g7 K; M% \* b) x4 E5 g
f, L) K2 ?! N' Q. w! n/ c6 i 5 m& e6 M: E/ ]' J
7 |1 C$ m/ t( l2 \; Z6 ~6 o
8 S% Y1 V. i' b; K5 O3 r) y
2 P$ a( A" l9 E. a! a. ]: M
/ m) I. i' E+ G _  * F! s ?0 V* T
# `9 L% G) d" B8 i0 r+ H7 y. R/ K
. k+ W8 s' C) Z3 X! }) K3 l0 w
(注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 A4 L2 r% o( a1 L Z6 Z/ l
" X. g4 ~: {, a# _: L9 c- A
7 h+ T- P& @2 B" K7 o 6 、成功入侵交换机 }" I' A: V, R& s; @1 I6 M
4 [ x/ ]1 B+ P8 R2 o+ b
' X9 ^8 W; R1 H5 z" r 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( \% P8 ~. X! W& v n. F' y* s
( E3 V* C: }, z% n' M. R4 k1 a# |" }$ d$ v( q9 I# J! F* |) u
我们进服务器看看,插有福吧看着面熟吧
' R8 Y0 l, T8 H" D4 [ - |7 _! d" Q7 l- a: A7 _: [4 c
! s# z7 x5 I5 K3 {' t ; E1 T5 T6 H; h2 q' q& x
/ C4 {- L6 S! _+ M+ g. q9 ?
0 n5 b+ j0 S+ o% w# k n8 j2 X* B3 `
5 g7 c. r' i+ F5 G- ~6 `$ V- b: R% k 
' y9 g* O5 M& l4 Y
3 Y8 }. `! J, ]; m; I* p9 b
6 S& m: t) X" r0 r$ g 装了思科交换机管理系统,我们继续看,有两个 管理员
- U" a+ v4 H; S
2 `: R0 ?8 f' {. u, r, s# |
9 e4 ?( R, c$ T2 ^) @( w
0 p; K" R7 B+ d+ b5 @
5 f4 ~" g8 i+ o0 x: K! @ 5 p5 U# F. i1 ]- n
/ j- K {" l3 A9 @' V
, o- s, g i; h7 j* D' f( R
 $ {" n0 g4 g+ R/ D
T1 k! e j1 |. ~# R1 U% \
( C$ G2 W8 S5 I& b3 w 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
) ~8 {4 N7 J' O) @) o , A# m' ]1 ]$ G& f: J$ P1 I
( M6 F) o+ p, `7 L& d6 C, X0 Z! ?
+ f6 i6 [: G1 A$ I
; z1 q/ ~- w7 C4 W& D ; X/ ~4 B% W) f1 S
& }- U4 K( U0 \) G
0 j9 o) C6 N6 l2 N" R3 M( Z
 ' C, n7 J: N, Z# m- ~& h
4 e; l: G, y7 O/ f8 b ^
# c2 w5 k& M1 H& o
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: % K% ~. h2 `1 S( v$ O
7 n1 i0 b9 R# z% w N o% }) h, g, D8 q( r/ ^8 U5 B$ t
; S5 y; C% q- }, N4 g- S
) ]( v/ I7 j3 x! s# \+ w # d) ? C9 ?0 O/ a7 `( L8 h
+ l0 q( ~' j7 X/ S3 L- S0 j
$ O6 B) F, W) [6 F0 t7 Z
* R8 U, ]- _5 {- n! y 6 I# U5 I3 t/ A7 F
- y* Z% |2 u3 z ^ 点config ,必须写好对应的communuity string 值,如图:
0 p7 z* ^' v+ E. L# ]; O+ J3 e( @6 ?
( W& S% d. W0 K3 Y8 u; m5 o' {: n
3 s; c2 y3 u- e1 K5 x- m$ u# i" H " l3 ^3 F1 _ g/ a
3 c/ Q' p+ k1 X+ P. b$ v* P4 z
( c$ N9 Z7 R' S% Q2 g
7 k0 F" @, ?! R3 M- @# D6 r" z
, I3 t; k6 G4 E- W6 d7 Y% p
& E* |2 V8 q9 t; V 8 J8 Z6 v& {; b- h
6 R% \# u& m' G" w+ o
远程登录看看,如图:
U" A% u1 z1 _' k: l0 \* e! W7 t 7 W3 F9 ~2 `' s$ s+ j/ ?
8 f( G& L! p: b6 G& c' \
8 u. m, v9 I$ z" x4 o# t* h
9 o v; V) g$ k ^1 K: c5 x + Q3 }9 ]' r1 {+ J' k
9 Y' R7 v! j/ p; K& j, l. k% d
9 K. s% y& M" W3 {$ t8 O0 Z9 P 
) b; f# G `; m
* Y2 b; \ P% C, W' y6 t
9 R8 ?( d4 d A0 Y. n2 x# R 直接进入特权模式,以此类推搞了将近70 台交换机如图:
) X# i5 C; U/ c1 Z0 _$ _4 P$ V ^/ o- I/ m7 B* ^# Z: W
w& f/ W s) w) H Q/ C
+ q: t4 b2 s8 i4 ^" i
! z- u" _0 U+ w2 L
2 t% x* G% Z, W2 u9 U0 L
" @7 P5 V! \: [8 J7 I4 _6 |. k! o
: {3 m" |. B* Q! H 
5 W2 E6 T* u$ g5 X1 C+ v( Q . d. g+ p6 s5 a$ r8 Y2 E! i8 j2 ]
" t N- B0 u; S( c4 r" M) }6 |/ d% v
# W1 l6 a7 Y6 v8 \$ j: ^+ n8 \) k 9 E$ S8 K. ?( }! s
5 Z" z: Q" Y# A# ]2 ^- p 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 5 H4 D1 ^, C3 q/ g( G$ h( x
9 B- t# w6 u" |" H$ E$ v
8 A% `; w! l/ I- E3 v
* y9 d" t9 n0 a. r: v4 p. ^
% B/ r# A5 J' Y+ b- m- x9 d* s# w
- f% f5 {2 L$ T8 d5 g6 L
& v2 p: x; C- ?2 B2 Y0 v( h& R+ I8 j
; c# v! { Q% R0 A- W4 N4 ] : p) w0 |8 [- {+ S
! W0 T: V1 J8 p. q
确实可以读取配置文件的。 ' v8 {: U6 Q+ i' q8 w& L5 g
4 {% d7 a! N$ l9 U5 r
$ p8 v9 m k+ f; r+ t% i, i 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 4 f' i# C6 y" `2 O* C% V
/ G- r. J: Y, c: M+ H( N. k( z
+ P# I# G" S! _' u3 [5 @2 a
2 K; u( l4 r. u/ n' w( W Y+ k
; m0 \6 H, x6 `3 v$ {4 N # q1 \- F& Y( K- a1 u6 _, r# S7 l* _
; l1 g; i; {& x* W" w# g. z3 V- G* g
7 b9 Q+ l( h" n! L, |/ k 8 V4 |2 g3 Z" x" I
9 C6 F: Z2 C9 l+ P( F1 g 
U9 |8 p6 k4 x2 v$ y
" W0 R1 c; {, x( D/ q4 o, x% u* w7 q7 S) ^$ D7 G/ b0 U" G
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 : P- x, ?# U% c
7 M$ L1 [9 |9 {% r( a" m8 H- f
% l( M$ ^7 X9 R- f6 q) r8 S* A- ~
; _# n$ D' ~, y3 @. @, p! g4 [
1 U& x3 m/ R0 v5 E ' Y3 \; u A: ]3 v
9 ` b: P+ x g$ `6 ]
* z- z6 i% X' J% X; q# A' {. C! _ 
: S0 w' N9 g4 P: _4 U & R# m& `: b* l; Y8 P0 y
5 `# b) O( Z1 ?9 D/ Q
上图千兆交换机管理系统。 q$ D5 k3 ]0 {' O
; x4 N9 Q A3 i0 M4 F
7 ^2 I* F2 Q- K3 ?9 y$ }" u 7 、入侵山石网关防火墙
1 b7 a/ Q* p/ Q& X B# u7 C2 o' f; J- h" L) g6 m, T# b
! o1 i3 d; ^- F2 F& w( u. u. E 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / ]% }/ }. g1 m; L
1 m2 u/ ? A8 S8 P, a) R/ d; i# R8 n6 D0 y9 b4 R
! U8 U: s& m* o7 N* u
; l. q# _9 |3 L2 e: _
' ]) b* ^) o" i, _* m
7 l& I4 d2 j& ~$ R
& B% y, J$ h% K9 {) _# c 
- T5 Q4 R2 t+ b/ t" ~$ t+ @ - t' J6 Y8 F6 {& k3 L2 k( k- [7 |
1 y" u0 J' F% ]. | 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , |: L# {; o9 }6 l
8 U) n5 h. A" c. m6 a
2 Z& _4 i, y) L+ B" j: p4 f
1 Q- a2 n- S& I$ a( g/ L
, N0 d* X; b& q, r$ y* _1 V 3 P; Z+ M' F; [: _: h6 a
( o! p& I1 E$ K/ {) y8 z6 Z
- N0 f: e1 r$ V" B3 a+ ~ {  ! ^- \6 b* M2 X
$ @8 [' `# A e$ e; _( `, I
; ~: Y# }. w3 W 然后登陆网关如图:**
/ R' }' d: O" U' g) ~
" P- W2 C5 o. I9 t
( g- Z8 h3 J6 x; ~
( c+ R, {" [- g( p
V) A/ @7 n- j# h: K! N# \ ; t! H2 B& T$ ]# J4 x6 i, E
7 B) N1 _; l. C; Q: \- K; a) w6 e6 m+ k' n0 ~" ^ y
' s- E) a! J2 J3 I* }
& O4 j+ e9 N. h$ Z8 @) B6 b! O+ k! k; G, ?+ @# _# E
" W, H2 {$ D) x4 ]9 S
- j( K4 W. p& C
$ f( r( D: X/ g
2 R+ u9 j* c& e# x0 z2 }1 J- L4 i9 _5 L
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** ! [+ \- z3 ]3 ?
2 J( q4 Y4 [; |. w' f4 b, p. j$ L3 ~# p3 m% A& b N# z1 M: s
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 4 k" [% J3 E4 v( I
8 ^7 `" Y1 m% Q8 G% K! ~6 U! g7 X$ i5 [. o
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
& W) e" H, E, e/ D7 u1 i% {' o
, _( U( k6 n7 {7 C& B* ], b- K' t- ?1 ]# x
+ ^. q: Z$ p- e9 j
1 J: u; v+ k) z" J
: N: f* N1 B6 Q5 m9 L4 a
2 l5 |8 @4 u: @9 `) @! |
5 x- [! {0 }: o& V l, ~0 L/ c' u 
& y9 j2 j- a7 v- d% Q/ d2 ]( v- I ; e- q# W7 H. R5 V1 d
5 n! K, q6 r, O' _ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
3 V+ P- C- j3 O' B" S9 E 3 s' I# m ?+ Y& T2 f
+ m0 X5 A+ ^) c. Z. j # j$ C _: C6 X# A3 l# ]3 U. @
# b6 H: I- G: s! ^. p! l8 y
4 I; P$ |/ D, x
* ]/ v3 n0 O* { ( I. r: F+ |4 q1 O1 o1 R/ g, I/ C
( ?* Z, a, J$ t9 D( W. J
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对