|
6 K" o: Y; R) c' z5 w& \
8 g" F4 q7 L7 f) `' V! I' P
5 j5 d8 m9 Q* h
3 l9 T! I5 X7 A7 P& C7 D$ B, F 1、弱口令扫描提权进服务器 0 b6 j" H5 }& [" [
0 X1 T/ J5 t9 t8 e& c+ n2 _& h! c
& H+ c6 d% N8 _9 N/ E/ y5 }+ \ 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
0 u3 ~! ~/ Q: `) K( F9 O, ^ ) @5 s( y( o4 z* Z: L* `4 N, D
6 n- x$ p: z4 k
o, S8 f% E' X% \% q1 S; p' y
& `9 V/ A3 k8 Q, X
0 S* X- z9 t4 d 1 w7 j9 |3 I% @
* F$ r$ d. R8 c+ J3 J* S, l3 d' `
' B& n) A. i2 j; y6 O" E; w8 f
: D4 {: ^& F! M% l' Y1 o0 ^& V( E% K4 _- M' N
/ A8 H7 X. R: e( v, Z
: n* W/ ~& v, s5 I4 i3 M
* G# z# t# j# k: p5 V
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 9 c! ~" m! q( V. F! o, ~
( j* q$ k& L1 c, |& S4 Q7 k' }7 _1 l' Z, e3 \2 B1 x# q
执行一下命令看看 . Q( k( }" f$ S! y5 x$ R) w! V
: C! k9 Y4 t. K# V) [* G. w' G2 m/ H- |! X. x
- M: B- r1 u% a9 D. W
. j( W" w9 G7 `9 q9 o3 k: _; C# J- i7 u4 R/ M
" x; G# [$ r0 c. j
' ^2 S0 p6 Z- m6 A4 s2 w% B7 M
! b, G$ G/ V: v
) n9 D& t) l) |3 s B$ A
6 ]+ I; J6 I% m! g 开了3389 ,直接加账号进去 8 I0 w; h( p2 f1 z
' n* ^; x) f! _1 K5 B
# ?6 |4 I. g+ q( t8 _9 S( |- ?
4 {- d/ @. x; s3 \ 9 }8 u9 w' ?$ M. a
# S: V) t- N7 d: F% k1 M
0 G. R7 s; d* }. m6 V4 P! w
$ |; B, m8 v4 p0 m( g7 j; V: {7 A$ s% Z
4 }6 z8 D- B- M7 Y 9 w4 ^2 g4 S& j$ t h
9 {& A9 ]& N, n$ _- c( P' K 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 @2 i! r1 H$ r# s
3 {6 [. i5 X" V, A4 B; h |( p/ s
% q$ k! z4 z, ^3 t
. X% n, c" A0 \- ~. z% \3 a
# D2 D6 ?! w4 B4 |7 N: N, @
! E; v5 j( s; z% ~1 Z: s/ W # u- W" c1 x$ a, O( ~7 J" D
2 ~. i; U) x; l% e7 ?1 q, k 6 ?8 m) H6 I% n* i* C3 D
. C Z, c8 r3 T) t+ I! i
$ w5 `1 k4 \9 {( D" B) G4 @- M8 V 直接加个后门,
# b" e h5 f) l . Q6 ^4 d5 J- S7 _+ i2 V }
% w5 F1 [7 [% J: u) X
+ K; F/ Z# J/ g, N' W8 ]# D* s x. s4 [$ Y* X8 N' H% _9 V0 R! d" X
) Q, B) b! z" s
6 o, k3 D0 p- I- ?2 r% y# s8 I
- `1 m- g7 r0 P* @) {2 G; g
) u) d9 @& F6 W / R# D: k& R- p) {- ~8 u0 i
- X* ^! w$ d; n$ f* O
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
: S! V; ], {4 ^ O, i, D7 } + N" U% R/ b; @7 q5 r. L
$ t6 f+ h3 f" l- |5 d! C; s 2 、域环境下渗透搞定域内全部机器
' I% l' i$ c9 Q0 n+ ~0 K7 x . B* L& X2 Y- {# c
$ M& ^7 F1 S/ a2 e1 A, T 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
) q$ ?0 o5 d1 Z- N% ^+ m) e
' O y' E p. K5 D3 v6 [* q2 S
9 s; ^7 \3 o5 b
" c* y" r; f3 @: u. \& [8 R% { . q1 d, i% \5 a: n. ~
3 y8 R8 f0 E, Y/ s. T 8 \, D( T. n6 I3 X/ R6 Z0 c5 s$ d
1 v6 |. G# [) }: w& E! i5 U 4 Z8 I$ Z" o! w9 N5 b/ U
4 m0 Z5 U6 s" k* n H. k# H! q
, D( l0 W' q% S 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
& ^" y, M% Z2 t) ]4 k
5 U; v% [8 M5 A1 Y- Y. p5 x7 C+ Y; g$ C0 F6 ^5 V1 |9 {3 l, j( {
- Z2 k$ L* `: H6 k6 G2 S
5 k- W2 y) L' @
! u' Y1 n) m) o1 X
3 W. j, \ q" J; z
0 G1 r5 R8 h2 R# y! r* H0 l4 l7 d % j1 @! R) Z7 U& M& G) f
5 g( R& i/ o7 l1 ~
! ? h1 [; ~# B 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
6 j& @+ A4 g$ b. ?9 W) |4 I " ~- y. ]1 Z% @: ^
! ]( {2 ]* S% s$ p! g' S; ^ " A! m u% P: w+ z- k* t
8 \& v w& F- H5 j+ V+ b
) A) r1 Q9 e* ^' n0 f/ F
, d; V+ c0 J8 G: g# X0 |+ y
: s! Y' c+ [* h* v6 Z C9 @" j) G; |8 s& e
6 ]: Z2 _* H4 N1 T0 l# x
' ]* [2 u& ?/ A* J5 F5 _ 利用cluster 这个用户我们远程登录一下域服务器如图:
- b- Y6 b& [; ^ |8 r; w/ e4 J
2 @5 H; B4 h: n( v% H
1 P3 f. V4 r5 u' S* Q& K 8 o8 z$ t$ Y3 J/ _
: k4 e( \1 o: r
( Y- F6 k2 r6 E ! Y0 T# ~. z% u; W
$ }3 J% e' @( ]( D8 F/ r
9 r' V* q3 ^( H8 y, L# D1 ?, p( E 4 k& s" c) F& u* V/ B/ R
% S. C9 X8 a7 h* k& V4 g2 @
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
2 }7 `% G/ H- y3 t: ]1 f' n+ `7 o# f / J2 v5 c" U# k8 [- K) w- s) j
7 {7 k4 _3 ~4 W" f
+ L6 @; ]- A2 Z
' F) {& W9 H; v
3 f* S8 x% E4 [2 c% A
- k) G( k2 [7 p. {" H9 T6 C! l
2 I; c9 [5 r. h+ v
$ A9 @7 a: Y/ I( H7 A+ N 3 W) E/ k, A( t: I+ }5 E# X6 v
* W3 A7 k. c s 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: & N. I- S9 m0 P/ r* R
. i/ m- D5 a! t# d! ~/ ]7 `/ E {2 R2 y' r6 M: s
! t$ h5 }5 B* p/ T! \& y# M* t
5 G3 N, S& \! C7 f6 T0 Y, o& u. w7 }0 D+ Z2 f2 z; G& l
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
# C" f- [1 c9 D' ?* ?7 g 8 T5 P! |8 e% {5 I1 R3 T, a0 D5 t- Y9 X+ z
: q! ^0 O' C1 y3 o/ ?6 H blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
9 k' f. j$ p# b9 L- X/ N2 y 3 g; d* y5 z8 W$ f
8 V) J4 k% R* y 5 {: x/ f. w5 i
7 @/ _5 x" }- N6 P
' q# k0 h1 U) L* o8 J 4 C$ e! v/ K; i& w. Q+ x
6 c7 i0 ~) y! K; e& J: Y8 @1 M l- h& Z5 v+ m, o! K. ]
9 o7 B7 j" |" t0 C/ z+ E
- O6 X1 s$ M( u4 h% G
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 + h( i3 ~. \) m- \8 c
; }! O5 g1 T7 O6 J& }5 y
( U& _8 G# O4 V+ Z
/ m: Y% v& |7 N$ d- p1 |4 q 7 M m0 |, Z! _6 d# W$ _
: l9 \3 ~" j; z/ P/ }# O ; I, W. ~: ~1 O3 @
& a$ q' ?8 \* P. Q4 ?
& ~5 w; X: W% S2 U2 U , g2 _3 v' R$ S
3 h3 B4 g2 C+ b: u& u+ n
利用ms08067 成功溢出服务器,成功登录服务器
( x9 `4 Z0 R3 h& t& t
( _# w0 Q) y- d' I7 X( @ z; B9 W
7 g( I* i' }1 @8 ~' H & b k- j+ Q v8 Z7 t9 t5 H
6 o7 h9 Q/ J0 Q1 ]5 ]# u& I2 W
! p5 k ?: g( u1 ^& a$ d
' v6 H9 R# T! P! R
. Q- R# L/ D3 x$ [7 m9 x2 Z' t
% A2 w! R! G Y+ Q: a$ q: X3 C 9 t9 J8 y) F9 \9 D7 i. i
# T" K( a- z9 y/ h
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
1 z5 P9 b. Y+ i
# M' C* K' D4 ^9 c: k0 g1 r' G: c3 v; a# U& V$ U
这样两个域我们就全部拿下了。
2 A" Q$ c4 r: o: g* q0 x) l
' `: O& r9 h; K* a
7 V" W( ]. D% `6 v3 u 3 、通过oa 系统入侵进服务器 D! i9 A, r( t- [4 D, a7 P
/ p4 b% ^$ ]8 w% d
) Z0 m& q2 I4 W7 E/ T( N
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
5 i, Z$ T4 Y3 q5 u 1 r: r S7 ?* }( r" s t
) _3 _0 W$ ^8 h1 M) L ) }& P! E8 y. o" t/ y
( |9 q1 q) m+ {3 x6 f/ m8 E
& ^- Z( E& {! J( p* b- B; a1 Q $ s4 i/ j3 `7 f9 ]; R! w
; w" V5 m4 k E# N9 x2 F 3 F% C: X* K3 R1 C: s! s# T3 @6 o
* Y8 S7 t( e5 i% y- n* c
' C2 t( l1 x1 r; G1 ~4 | 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 " g8 k& h B; ~$ L- m
! ?8 i: u$ h3 B9 W# C" C3 M* C6 ^- W( ]6 e. {- b
0 {$ H- t/ S5 ]# O) m% G- L" F
0 p- o* G5 Y% ^) |
0 h; J: M5 U. y5 G( {/ _: ] 9 L3 W! P5 A, l, q4 Z5 _. s" l h
. _, h/ H z% G
' Q2 }) ?" q, V7 H3 T6 e
; L9 p$ w2 P% M" T% i& a3 ^0 O" o4 s& d
填写错误标记开扫结果如下 4 s+ a% E8 h$ ?- \% {7 i, u4 S
`3 @7 J# d/ J ~; W, I# Y9 h) |' Q: R3 a# _- D
& J! l) S/ b$ k; O m 2 A" T& t* }/ w% @8 I) l3 j. K, g2 R
4 X2 f- y6 b8 s' h* A w
" F, F% d7 z) B7 N! w' y+ G& g: k5 V
. C) e4 t& s7 F* r ) X# F5 b! c# c y
0 k4 P. R3 y- j: u4 d 下面我们进OA % b. W J' R2 R
9 l8 ~( z6 n' W1 g4 n
8 F. t" D. ]" o2 K# x1 f. C 5 O9 C9 K$ G) _. s* K' o3 C
% T+ S7 H/ t6 W' v& ~, w g. P3 |( a5 V1 e/ M+ Y2 q) W
( A0 `( F. f5 k! G: c) m+ M
/ a7 ^( N2 B1 ~# U0 y9 O
5 l0 w* L* r* Y: U
6 z- T3 N1 b1 F n+ q
! {# o L" l$ l# L6 Q 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 / r! b" {/ j. M) M, ?! J5 r3 M( {
9 H) X) {# K" q8 B) i1 C
. ^( ]9 Q# d: S. ^. { { 7 B5 S3 b* [; V5 {4 ^- V
- W' Q6 W2 T$ z + m* p; {" K8 N: q" O
7 X5 q6 U+ N S2 b
( \+ C& o H* j) ^2 x
6 s6 I7 A, v0 h4 g; i R( c F8 f: r 8 s! H1 ?7 k4 b8 n( E _
8 V: |3 z: M' d5 a1 A, S3 n% `# W# _
0 ~# Y; X# G* d1 O* t+ y" |3 B 4 {: i# N4 v2 l" T( A. p; z& ?& l
/ M% S; t! }% |% D/ e ^1 z 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 9 _- j H! K- |5 D, E4 f' w4 l
) Q. w' \) Z& |5 W; i. t9 w- N/ D$ Y( y4 Z/ I
4 、利用tomcat 提权进服务器 7 q6 C( s. V( L
+ _2 P4 m% v7 o
. h% U7 e" ~6 `! \( {
用nessus 扫描目标ip 发现如图 1 {& u; D3 e- ^5 x0 s
$ r- i' T K/ b4 a/ G" W
5 x) ]1 l2 M* f1 `/ J% v 4 Z4 f% y( e, ~+ F) X
- w, ~, ~( \: B* x9 |' F+ B ) [2 X' p# b' Y6 R6 s; I# o9 H
+ B7 g4 o6 o- v w! U/ }4 @/ R
8 W) h0 P/ t ^' ]
3 X! E; p% Y; o5 K1 f+ |
, [* i( O* E F. W' m$ \" h$ F' k3 `+ ]& M9 Q: u+ W+ t9 e
登录如图:
0 \6 Y7 ^9 w3 ^$ g3 M" c3 T3 F1 T0 b , e- C3 Y! u& h- l% P/ L
! l+ v3 T1 Z) Y
+ J% u) [5 t3 ^: _% d3 |
, _4 x8 \( P7 s; g- x2 m& z " {( m* w: b2 e4 r+ r
+ N) F) J) R3 Q2 o9 u e+ r( @+ h9 u7 {7 ]( ^- i5 `
7 g3 d# D" N/ \1 \1 ]
9 B" t9 j% j5 E0 }4 D" ]. q" `
0 {! k+ B3 ^4 B0 Y- n 找个上传的地方上传如图:
) T1 y# o( O: N/ Z6 U. j7 i 7 \. l0 J- \/ h( Y2 ?
2 l9 w% _7 x0 H! c: X: g% E0 C; v. K1 f* ]
( d3 o) r( a5 ~! m4 s2 c
# o- m7 }2 y: ?$ k# `$ }7 F5 g$ d! s
2 L& v) t+ S0 \1 t) L8 M# k ) I% J3 T% V) o) h7 _0 J
$ L4 F0 e9 G$ d! c) l: _8 X
: l) f5 J- h$ F9 ?! o5 Y; F# N 3 e- P4 p: N1 S7 ?+ e" r) x! ~: @
+ D/ v J6 J1 } A 然后就是同样执行命令提权,过程不在写了
/ ]' |# L- ~1 l1 G% x" e. u3 C & i$ e; p% j1 P" W9 y+ | ]
) m: {8 f: R7 j# d+ w& Q
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 # T! r/ K0 E9 E E, C! H5 H
* j+ m; _" X5 a3 Q. H/ X- k0 N4 P" G: `9 P- g% w! C
首先测试ARP 嗅探如图 : B8 k% }- w7 s, U8 h' W e
+ D$ z5 r) \0 `$ S8 w* B; g) c8 ^! `$ @! q4 `: d8 k2 F
3 a ^* w# A$ @1 v! e! ]7 y, j
$ F) r- r4 B2 t- z# M
. H1 Z, e E0 \- k9 s0 O/ G7 _6 s c& ?6 L- X" w
, `/ H( Q9 |+ \
& X9 `. a7 K4 i) N. O
" E. V+ ?/ |6 a7 Z. Z; D5 p% C: k4 w M" I
测试结果如下图: N# |" _5 _- I/ \% J$ U' [
) y& f t: J3 q9 o @% N
3 x( r2 }3 J1 f& |0 Y
! I2 @/ X U8 }6 g3 ~
2 U6 G( ]9 g2 l4 }3 L
6 x8 J4 T7 F7 d# J . t+ V) g" d9 u/ n( \
/ C! \! V( Y7 g, @$ T& d, E) B$ y
9 c3 H2 a% s5 ~. n
& C" [) N9 G! O: M0 F3 Y) a. {7 y- J( G$ h1 d( ?
哈哈嗅探到的东西少是因为这个域下才有几台机器 8 A; d. H8 \8 R$ G7 a8 ]; l g
9 o" K" h( E1 I# q/ |' h3 T) W4 p( L6 a6 h' j# V
下面我们测试DNS欺骗,如图:
' e# F- f, b, g9 S2 z9 R w" N G' u. D, m) I' Z- I, G
! |- m1 D" [6 s% S. b" Y6 w! X& H
/ M5 Q; w5 G: v3 x2 G
9 _3 x X! d, i8 C! p
% N8 ]) a$ Q, _, ~, h 1 Y+ U+ \2 i+ U! j9 z) J: Y
- D. Y8 {0 {/ t! i% }+ B
9 W7 A1 t5 r: h3 M* q2 _4 g+ C 6 P3 W* p9 z/ \+ |
$ r1 D# w6 N0 Q
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
0 D) [# y; Z" u x% `$ s " ~3 k+ u" c( F% V7 x/ ]4 j& J6 w
5 @& W+ z M, m$ p; C2 |) f
5 |% V% F1 N# H
, l6 t- X( K: o! g' X. r $ S. U! d3 w" ?0 T5 p" N# N0 c9 ~
" ~' j5 l% R; A4 L9 C* _5 T+ N& n3 p5 r; C9 [' F% I
2 o0 E/ M% Q7 b/ s- n2 ~# x % ^0 `8 p H5 `# Q9 M
- T/ U4 C! i7 U- |- d, M$ t. d
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ' ~% r/ {0 K. R) r7 u7 X Z
, v' x# `8 ?6 P/ O; V$ _: H
5 U R1 a( o/ O& ~, D$ D 6 、成功入侵交换机
, |9 B$ k0 c6 @- J: E9 ?
+ K5 T) o( a" }, E
9 @2 f. e; l7 S; N0 g 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ) \" O) i. l$ _3 I1 r
7 n( Q/ u; N$ B5 Y' e. T7 I5 i$ E& m3 z6 o O
我们进服务器看看,插有福吧看着面熟吧
& m: P% F' q. B, a' X
( | X' ]3 G: E7 a( ?0 V. i! X' {+ T J0 b6 u
/ {5 M5 f& s# L1 R- n' Z' P1 C
$ Q+ {6 Y$ K* G" p- K' i3 B6 e% { 7 F+ P4 r! d+ T7 x7 R0 s4 l+ Y
Y3 Y' h. o# H# m- `; J" @& P
1 a+ ^2 J' @. B+ p
5 Z# h3 r2 E" w% {
: @! h' y+ ^* B, |2 D
/ h. A" b" B, o6 `* r7 P 装了思科交换机管理系统,我们继续看,有两个 管理员
^! c& o! m5 Y' k% C 8 Y0 A8 x" | W5 s8 m+ R% [
" ]7 z, J. A! E: l) o) s
- y& ~ k9 |" G( c
# Y' o, M9 I5 W V ~9 ~! i& v
; P8 i0 w# n5 |
1 |5 |5 u" U' K' p1 Y
4 ?9 U8 l' O! J* s; _0 y4 |' ?
8 |; M7 s+ f& G, y
/ W, @, m6 {+ J# t! G1 q" g
* Q( i6 z# Q \" S& m
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 # m0 q2 c; y3 H5 }. ~
* V. x2 c! c) `, A+ @
, Z+ |1 c) ?; I5 x
]/ f G& a, ?' {0 J; o , t7 a) S# G7 P6 u, h2 r
: W$ V+ X6 t8 d8 t
5 v& P) g. ^# P/ |7 J: r6 k/ `, n
" z3 D( m* }5 W* r" h. p % C- T! z% ^2 E1 g3 J) z
/ a$ ^' z2 k- R/ y/ w
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ( k7 g, D" n1 ?' G
$ e9 x3 e, r& `8 l& x5 P7 |
% X& _' h1 t9 V7 W6 a( V k1 r
) E5 X4 O7 x4 y4 U$ p, F# h+ v4 w ! @* i: m% @' Q5 O
, ]( D6 ^2 u+ V6 ]- w! N5 C" t6 x , c& T7 ?: D' _/ x) j: ?' [
3 b9 z% |! F- d- x' m
1 d* r3 @* A y& W# i8 ]
6 W# d1 G2 Y" a6 j
2 H! q$ K t9 A& z6 O2 `- H
点config ,必须写好对应的communuity string 值,如图:
# Q0 A* a/ n4 n1 F% u/ { 2 k7 }$ ~9 q5 Z) }0 ^, k+ L5 y$ [# S
- g5 q" [* D$ B% ?& [
% ]+ t& o: X3 H/ g( F7 H
0 l& ^2 x3 I6 b0 c+ Y7 I* G - E1 i" m& K' l. t- a
7 E$ T& u9 m- e* H6 B
' I& e4 Y8 u L% V0 Z! t
1 M+ q Q6 }3 |+ x& A" r9 ^
1 G9 g/ b' ]# P4 _+ L* U8 k6 O7 l) i
8 Y) k( Y) P' c Z* h5 O# X: p! v
远程登录看看,如图:
9 |; A6 A4 x: M: e {$ T, |3 B
5 I- G( D) N W* j/ k
& H/ \& v6 |) G* _
2 ~( T/ |/ \& b7 B# e 8 ^$ P5 d1 S/ g5 p }
5 t9 i6 j1 V! `( j* G
( Q( U8 b6 t. a5 K" p
8 @0 O( l4 \& y5 d0 W+ S
{: l/ T6 i" P+ R3 u1 {
* C% M9 S* j) a+ [0 H0 l, u: {) m, @7 n3 g L1 `! `# K
直接进入特权模式,以此类推搞了将近70 台交换机如图: * \0 I& g4 U Y& P% Z; w' n
4 k: {8 H! Y8 n9 W0 F3 ~* A* q" l* i; a1 [8 l3 M/ O% N
$ y" q# x8 i- j/ S4 Q1 S( c; R# {
8 Q* ?/ H9 G$ f" f6 D/ ` " e6 @0 f, b* |
3 X9 i& j, j' G8 S" r9 J
7 Y; s$ a" V* v1 }. Y
0 z3 m6 V0 |7 p. L; S3 W- h7 D0 f
0 Y! H9 C ^; Q9 N, O; F2 h& `- Z u
, b3 ^4 F6 X; `. p% P- E- J, B0 z
1 j( c( m) V# j+ p+ p: K( v
. d1 C' y5 g9 Y; s- `6 k" o1 c
1 y9 d4 z5 l% X, b+ \) r% W& m 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
' Z! }4 _( f( `; z
n9 S$ u7 P W6 n# g$ v* v5 k" o# U. b m! q9 o% l# W
1 G# z4 P- t; ~( [ S0 `) \9 B. F 6 Q# ]1 Z& g/ L; Y
6 J" o. V, _. B; K, E6 `0 D/ x0 x / c( l6 M9 T: g. M8 G
. c: V6 [7 C, g2 l: ^- T
# D' `" H$ \2 J5 C2 ~ u! | G 8 Y5 c7 ^4 ~3 f' m4 I5 l
0 P9 B2 c6 h. J& K6 t
确实可以读取配置文件的。 + T: | d5 t% |. l. R' h
# ]: w" f# i3 N1 j* f
: m* T: i3 M- g% W& y7 N/ [0 r 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
# t2 a& y$ i* g: c: y
6 \: g/ H8 q% s% V& U
/ P& a& j' T' [4 e5 Z - W6 A& W1 W- [7 t, S2 Z$ H
$ N: Y# p% N2 h& p7 p
. ?8 h6 W# C& R3 Z 7 ~8 e( m' E& l8 I( j0 Z* G( B
% S, D3 [9 t( Z3 @. g) u) i ' U+ K: R$ R$ O6 ]0 a
( M/ p K Z- Z, E( H% K/ H
% B( ~; E! F+ l2 K8 _8 e6 O; E
+ B: [6 S8 r# z/ { _ U
7 h8 o$ G V7 ~4 f
0 ~# J4 e5 z l# ` 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
8 k' T" |8 y' ] O1 z. Z' \+ }- e3 P
& n$ {/ ]+ s" P1 _4 y8 t8 R
, v+ e, e1 \; e2 z% I
2 ^/ h& W) i- I, `& k
! _# `1 T- r: Q9 ~4 A) L# m% m* v1 Y % W) y! q6 H% y& V' \! p
r/ a0 ?' h" A- t, h- q# Y
9 i* X6 N- p8 U2 M, c
- |/ k4 V) D. U1 _4 R) F
* b& V i9 P6 a
上图千兆交换机管理系统。
+ n! P* g3 c" o; C( H2 V E5 s" F4 b W3 ~. P; N
" M4 c- g- k& ]3 n# `* h7 x 7 、入侵山石网关防火墙
0 X- Y, ^# S' h* _& P. q/ _
; Y J2 a% {2 V( |5 a9 Q" N
4 `4 g& [( j- u0 T* G 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: . f8 k6 Z% m! d+ d+ u a
& @1 G) W3 S/ X- j; K0 N( L' g: `% L) ]7 T4 d
2 E/ _, i) s) @/ n( a7 ?7 j
" A! p: F% b* B6 W7 @" k$ D ; [0 u% S) H# c3 `4 @, [
A, Q1 n2 `& Z1 E' `& r7 o- P
) B1 k( O' i3 w; E: Q7 b4 o $ q0 n1 Z( P: X1 ~6 }
5 l. G! L9 ]; `$ w% x8 |$ c+ [* _
. h. y( M$ ]+ n7 L' o 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ; G# e" d6 ?) k
, M4 {. }1 N) k/ a$ @+ `6 m
# u3 ?/ ~; I' C( _+ Y / a: z) ]+ |3 `8 T9 w1 y
8 o* c# W) P- Q5 i9 I+ u9 f( S ; Z! x( ^9 F# j* m+ a
: K( {0 l/ k# W% P5 H% }- v; E0 I; G
2 g0 o! R A0 [8 O+ H
) f4 U O0 M- u8 p
- f5 Q1 i3 i' n
然后登陆网关如图:** 3 @% P$ l& N& m, c$ j1 G
g* y% x7 g& r% Q- w5 Y5 w
" r5 N. `0 a8 w
" ]1 k- @$ c5 d, u2 ?! M* j & N- T9 T/ t! c
' _ ~: G0 y0 A2 ^" C1 P6 R( l+ ]
3 u. w, X. x% ~3 X+ f" k0 T$ `& F) e$ C( l: I, h2 O7 a4 w
* s) e2 o, p8 j( t) Q
4 {, F9 T) J) k+ T) ^# P1 ^6 m- c0 \1 g7 l
! [: _! l3 w7 M- u7 Y4 a+ D
: O3 t* T& ~7 F& S3 g * R1 A+ y" P% F: K& `/ B5 o! p+ e
9 k6 s' S) i2 d4 t. V% s! q+ X) [. K7 ]$ ]9 ?
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
( o" Q9 m/ [6 D4 M % c, \& v+ L$ ~- ]0 m; K$ m- b7 ^
( p8 t" @: _5 M 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
- {+ }: G( i$ G) f& s
8 \$ T( i- \( `( i! D c3 t$ j
- ] b! a# v. ] 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 8 b7 c* q$ @) Z. A
, n9 g' ^& n* U/ K. \- [& P! H. g6 E) |! w" b8 p/ F# M
3 J- p1 f$ L3 T/ N: E8 a y5 X; f
5 r! q: v4 x' K2 N% m8 P3 w
" b' O, O$ X1 F" ~1 r" c' Z) P' t $ O K0 w& @# r
' m& e8 |$ o) p& k5 @
7 U2 K# Y3 E1 k' R& E/ f( u! _
* u1 W- {. o$ r( M! `/ Q- `! `0 D- }$ X+ O6 e" d) F& w) X
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
2 P" F/ b' z. Z ; ^. e7 {) H; x3 S9 Y
1 d: V( O. B7 G
( l# f' a4 h- U1 ~; b . L1 s p9 K' Q7 ^
) o8 p- J" `4 q
# P7 a% X5 T/ K( J
7 ~5 [' {8 y( e7 L& P9 |9 G& k6 P- o @8 i6 F# s1 o
|