|
( G z. k3 D) r0 l
4 b: h3 V+ r% p3 T, _2 b4 M6 S( z
- a+ F2 P& t0 w; j# A8 u K! l; l' p0 G$ v; E: G
1、弱口令扫描提权进服务器
T+ {$ n0 T. ^2 R: |, ?1 e # S7 P; {/ M+ P# M" l
5 Q5 z0 l n+ k; x5 B
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:
2 m- ~- U, d. M) b
! T) E! {7 M4 k `- X
0 e- } \* J0 w# H
: J0 k) c& ^5 G" U2 J) d
" A; O/ i: g( B7 v/ h
- c. X! Q& ?2 y( E6 V ! P: a" Y) T. r: \5 C/ q# p0 E
6 A2 R& g. A8 [( T; m
- ^4 |) F0 b: w* q( I+ [9 V j4 {: _4 d% m9 F( l& Q) n
$ \1 o) F9 S2 S$ B, j2 N" W& ?  2 w4 t, d( D; `1 D
8 m, n$ ?, ^7 q( e, O8 z% r
& r& t6 q6 o* y( D8 |' j( t
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 - \! F5 f9 ?. v5 [9 N+ D
1 F( S3 h1 f' A+ e2 G; F
" q! ]; M+ j, k5 P- S$ B% N ]$ s1 M0 `
执行一下命令看看 * i9 T* `# I( ^& D6 B
5 C* p7 V5 u* W9 I
+ B1 z; @0 J& G1 Z( {! O/ _ 
$ t; s* W' k- l" X0 z
2 l/ G- a2 o- x1 }# p) N: J0 Q: S- }; ^: y% S1 g3 R
9 w T% [0 Z; H
: Z, U) ~" ^7 l9 Z6 b- l, c& N
, |7 j& ]) s: Z3 C' o ' K; y4 B, |1 {7 l
; v* c. h+ `1 L0 |, k 开了3389 ,直接加账号进去 9 U- ~' f0 u! W; k8 ?; p
+ n. ?, t# Y. R/ u
: z2 _( J2 i, L
/ j, p3 N! E7 D
2 i W: x0 [, a+ j! U2 d $ y' Q! S- Y: [: C
3 K C' a/ u$ ]/ g
3 d: i3 H3 Q, ^5 u  : s( `+ M) F1 q U9 w% h* c/ C
. Q4 D" L, |( B3 a3 k/ U, R5 l5 `7 t( ~) U$ p
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ! O; t* R& @2 ^6 M3 \* V9 |6 S9 P
# b8 S1 g( E( x3 O3 x% q. W
7 c$ \9 C7 @3 N
, | O2 s4 V4 z9 K* X" W9 ]
! V7 ^- C2 f1 P
8 |& }5 d9 I4 k, H8 v" \7 G 1 {$ g! X9 ?, n; v2 v8 ]
* |. d+ l' A* }$ v# f4 k5 e: s5 ?. ? 
4 L$ l8 f# z2 ~; D
/ l. l* Q7 V/ o, ^
2 f0 r* {! n5 m' Z" r# B' M7 f 直接加个后门,
8 a: T! J/ \7 ~. o3 Y$ o) T3 s : D$ j7 T+ P. `) C! Q! D# u2 m
* }$ l1 {8 ~, `8 v- p* W9 @' {1 T
 U6 g" F' A/ p
& Q3 O$ @3 i6 Z# l4 l; C- n1 h$ p5 I F9 _1 `
% x5 l7 d# L. Y" Z4 T- i
3 y: V: o9 R, M( H" d 5 ^2 ?% H/ q J4 M& U, [
9 u- ^ p8 L) p# p
8 o+ ^! l; \; \9 e3 t 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
. |' x+ v. F8 a0 P+ G . L+ l0 R5 D* u! Z
6 r* {$ K0 p+ P
2 、域环境下渗透搞定域内全部机器
4 @/ B4 l& [# r3 Y& u1 A 4 K& f, f9 J3 x" J. w# A, v
" P- M6 X. b9 K# S: _) o 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ' q, \1 L. s/ A
2 F" _, |4 z" J4 j" u. I
7 {( y7 ]* W8 z( y7 r7 S- E' ~
6 O5 |# ?, u; d U+ y- v
- W, x1 v+ q+ |: i* \4 B
3 K1 |% M( ]) k2 o1 s
7 L1 z2 B: Q! m* G6 c
# w0 ]# s3 Q/ u; E  " p: G0 P, K$ ^ j- ]2 ^ q1 _
4 Y8 M% G9 s! f; `- t: U7 T1 U
' c! _( x" e6 N
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 ' c* h3 }8 p- z2 a
; g8 i7 D9 Y* w6 f4 S% l" O8 d
8 @9 I8 I* T- k# {( B1 Y/ E
( R+ w5 R5 v# d' j0 O6 O- t
; M2 H" B* y4 |: l) g3 z9 v( v * p2 D- H7 T( M* S; i
" X; m9 q4 [( T$ V6 Q9 k' G8 r% E/ n' i# m/ X% N
 ! B) n' |$ u/ r J) x W C+ \
& m7 Y% G8 p+ i; `0 ?" {/ y `/ r
* m, f( r( q3 O: ?/ N8 Y& o 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: 6 d0 h7 w. Y4 f4 ~" u+ o) s$ Y
* i9 C2 Y8 i" v6 H- T y" Q$ l: t
( ~; W1 T1 S6 `) Q9 r
8 j+ Q* R' t$ {/ y3 n8 o/ C4 E& R0 V
2 C; R( R* J# C5 | P
4 c, g R! X: P6 U
+ I9 o! V- N, c2 r
7 w. x6 H, E& ]8 Z+ F4 [  8 N5 f K! v5 ~& @
7 c$ n, W6 M" Q
Z+ Z Z2 B- p$ c1 B
利用cluster 这个用户我们远程登录一下域服务器如图:
8 M* |) F8 ?+ v& _1 ?1 [ 8 l5 g/ @- I+ v
+ R: N( B$ X% W0 [$ y
1 M7 l8 ]5 Z/ E% ~# K4 n6 J
! b. x' |5 N, a: Q) U
8 ^1 z. Y* L7 @ e
3 v8 m ^/ a6 q ^! \# b; M2 ~9 b
; j- r, a1 ~5 k# ?3 u4 }, F: a+ p
8 G7 ~) `/ ` {' j 2 X9 V( S8 d0 ]+ D9 q, s/ X4 d
$ p2 _5 X' c1 D+ T% D1 s9 B 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
! S+ G" z% H$ h7 m+ B. f# T. J
5 L) f* a# e L/ P1 N
, i& {4 V' D4 d ( l5 w n# C, J' X- u3 A; J
8 Z9 P; l1 n1 `$ d" q+ T: |& @: j b ' b- a7 b( _! U, n z/ s. `7 G- H
8 D0 u# J4 w/ ~6 R1 b& M
" @& B3 a8 g1 E
1 }, `+ W8 O* V! C N 5 Q7 r2 N3 K% x" p
* k9 w8 B Y( H3 ~. k& F2 f
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ( I! p0 K2 I a0 x
2 ]) s$ X' w* g
7 Y$ L' y) Q- n% x0 O  . o/ M# D, u: I
! L5 N* \ r u2 t0 M3 L" \
+ p( m6 x0 C9 i# i
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 6 J) L4 ~3 q3 ? r& f4 T
; v4 { L( u5 o( q3 e
/ e* B6 h p+ u blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ; A- l# v) c9 P$ O# x: ^' b
7 [& l% b0 R( T, J% n6 U1 e1 l
/ t$ g8 J v4 z0 M& S$ S! Y8 p y3 `; w1 p+ p# H& \' o0 L
( | h8 p8 R' M; c9 K! Q; C
4 h r2 J+ {4 Q7 ^1 {, E + w# u4 j* c2 Y4 Q% y
+ ~. A: ~, B6 x% h  9 k0 v2 ]; ~+ v' u5 H( G
6 Y5 {- ?% o5 R4 V9 `) I2 r& P+ s- k* Q: }/ N: k/ o# J
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 7 J( V5 G2 D2 K N/ ~6 i
m; c9 g8 t4 v" z8 v$ D- r$ t" d$ q$ I2 c
R7 z3 y4 Z+ }: X4 m
& }2 Z. b- f0 O" j( n) H( A- R. W5 A
5 U( n3 M3 k; p c; ?: ^; S
- ^' T8 q3 m; Y9 S' G8 J4 g
; j& ], z. |) B. P" y! {2 B  3 {6 R9 }. m! k2 W
: S9 c( k1 w6 \( ~5 A% j
: W2 Y3 Q, y8 r* M
利用ms08067 成功溢出服务器,成功登录服务器 2 O+ ~$ _4 U; a+ ?8 ?4 \
; |, T/ k4 m# u* o. g4 t; z, B0 _+ p. K- O1 ^$ \5 a8 i
, Y; ?& Z- u3 U9 }) b1 G+ P
2 S8 V- P9 p' x$ V, {" \6 Q 6 N A# B. c" Y- _! P
2 w0 t4 X$ O) t; Z/ Q
6 c" ^% Z" [1 n5 [  4 ?- @4 Z: r- D$ H% V
( S+ n) B9 s5 q3 F1 y8 B" E
L3 @: e9 o5 r% [2 s* G: t- d3 I 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
" q6 B8 c% \$ X: w 2 j+ N+ r; A; w' A
* I& i# {* X3 ^
这样两个域我们就全部拿下了。 % G1 F+ U" V' X0 a( n1 a( ~( e) z/ _; r
' _2 ~4 l1 F$ l$ L
+ E8 O$ [2 I8 G3 x' `" q: @' s 3 、通过oa 系统入侵进服务器 8 Z3 [' W# G- A) Q$ |
5 }" w2 q" o$ p5 K" i( ^8 C% q# q! d7 O; l
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ! U5 e) l7 e7 E" }- x6 m
* U W, N3 l* P0 N7 u7 c7 {5 A. Z) Q" U% w: e2 q% t
) d: |2 |9 z) `& y
* Y7 O) l8 u1 a
( u; d# i1 F; M3 z- R/ v: Q0 L" \1 q
% Q+ a- T: G q4 I3 n" B. ^. O% s1 r5 G, n% i. Z
 - Y& h: e* B$ B
3 V& U3 P1 E- c8 `0 M e
9 u3 d/ U8 ^% a& y a 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
4 \3 o* M5 U; e( H1 H
8 T! a3 g) g6 I- v' z) B3 T! `* p+ f+ g4 }. g f, @2 ^$ ?
' q0 r/ z& a: L
& |/ V4 L0 ^/ b, g; A0 Q
% a2 B1 d6 `: E
( J) n B( G8 N& h1 Q8 J
: w3 k# Q9 ?9 D& `; O
 ' ^$ X/ d/ P: a" m. N" K4 Y# b7 k
! V7 A( ~! A4 g
) g" J" r z6 A- ] 填写错误标记开扫结果如下
& N0 D) P: s7 Y7 z, H
6 K2 u& J/ r/ \' ~) r4 E7 |8 E. Z, D* J& o/ m: I' q
1 P( t/ U# b6 c/ A4 M( c
. J/ f3 b; ` N- W
( N& K/ N% m7 B
) x; V: P$ Q- \' ~9 X0 g/ F0 j! s
9 h- j' _! ~/ \/ @ U 
+ v( d- W v9 d, J) d( p
7 D2 |" o* \" e6 a* M* u q) G3 i: p6 F' r$ A
下面我们进OA
8 T6 l* {2 }# }$ F9 u* v5 K 8 T) g$ f$ p6 v: S3 r- g& K8 B$ B6 ^( a
5 g9 ~! b2 l9 [, [; i
' Q6 I6 \0 j; b5 s$ q
; ?; f' {7 r$ S, G3 i& \/ R/ C
- d+ n/ `9 r+ E0 a
1 U: C4 @9 F( M5 K
) E0 J5 e& @, F T) ?$ }" {, V
! ~; D# d: N7 k8 H+ D/ q' r
" s" U1 m1 Y# J& J7 k* ~; H) d0 D
' q$ e. ]" D; J6 ?1 c 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 : p. L D* l* C% @
3 P9 F; b' n! s$ Z3 O3 Z
5 d# g6 a& X# C5 T8 }9 U * ~5 L$ q! j" o( j# L
3 S* L* ~: v+ O5 G
& @9 A: C: M7 N! u, |9 q. J ; G, H0 Y; J, ?: Z; D
* [; d5 w6 @. V# h8 ^# y 
% y4 P5 P5 {5 a
+ E0 e, o$ [1 f3 g
7 V8 n7 ^6 Q3 n  / ^6 m/ Z; p+ P" \) v
3 w; C/ r1 v* `# I% A7 o
! {8 B/ X- D+ t 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 0 {2 C( P+ I/ u6 m
9 q6 o7 \& Y1 z9 `) n% l
$ y$ s& c8 P# r3 p 4 、利用tomcat 提权进服务器 R! z, y+ P2 A
0 F w8 c0 ~7 `' `$ S4 ^! c' o! p( g
用nessus 扫描目标ip 发现如图 $ D' V' A; e" {, H4 R n* o
( z8 z ~: W$ i. y% Z
. I# ?& n: n d# k
; W0 L- }$ ~& g- a& J/ o- H
0 N5 i( ?/ j G2 m. y! E, i$ s
o, R. g# [8 g) } [ + p1 {/ l+ I9 k* e
. z- K- V1 s5 z8 v% I3 ~% n# t( v
 # a4 W" w6 l9 \6 z1 k3 A* V
* }: q5 `- M7 @ H# s; S8 L1 @
d1 R7 O7 h; f0 H
登录如图: 0 ^. k; s3 z3 K0 H
9 z4 }' ~: J0 d4 d. S
$ [7 z2 q9 e8 a3 `7 ^+ p # b; @0 M8 |! u1 Y3 y1 q( |2 k
7 ~* r4 Z" v, n4 b9 U7 c Z( v
l( Y6 m! y, M( }/ p
4 w# I( E) B8 Y; ~8 l" L0 p5 J$ M! [! `# W
6 d, q, `, \( m6 t% F8 P 0 b4 n9 W9 h- ~0 B
1 I8 T7 A* Z' g- C* n
找个上传的地方上传如图: : x; t3 E! e5 V6 U4 g+ f, a8 U
{! g/ j) y6 r7 Z! ?! B" k
# k+ ~* \) Y$ Q. c7 U2 a
+ T, g& _7 ]7 j% x |$ k1 l
+ J4 Y7 q. z8 P. x! f8 |) p: V: J ' r6 k. U2 b$ N' K
7 ~6 L+ A' V; B0 o- q8 o7 N" C% m- {* B, e. a4 h c
 " \. t$ \* |7 i; b
- `' G9 K8 K; ~: @+ _
0 k3 C' F2 m3 V' \" T9 I) K% f1 N3 ` 然后就是同样执行命令提权,过程不在写了 6 H% M6 d C9 O4 P- r8 Y
; a' G; q) O& H5 r+ T; s5 n
# Q) {6 I/ u$ ~* J$ _0 I
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
+ c; ?! A! _- t6 L4 z& _/ I) S
1 Y' l& S* M; {+ v" h
0 O! T6 b5 J2 a# `5 I 首先测试ARP 嗅探如图
# O2 ]4 [: E; a ; b& R' l! k& V* s1 ?1 [
3 Q3 I. n6 c& U7 Y* [: j
# v& c" g1 x2 _- C) N0 m* M) C" E
, i' r5 P4 A! D- ?
9 }$ S% R- r. ~; F) r: ~8 Q 7 u! m. G, R, C" E" U
: u! y4 U- d) A. X& ]2 A5 x  ! i$ p, |/ Y% u2 i$ H- Y/ H, A
l0 q' J1 q* L6 c4 e: f( [. Q, t
9 S: J/ U4 G, j) k
测试结果如下图: # o# k' ?; U) N* V0 \+ D2 g; |
5 B# A) V. ~, a- t6 i; L
, E& D0 J# A( H( `# N, A1 @ 5 D; r. i6 m/ w' h9 [' @9 n
2 T; ~+ b! d; u- F3 Q# N
# Y: [! k' @& H8 P" ]& I2 @
; R) l6 T/ E# L3 G$ w$ t
( V* T( x* ^9 `5 P0 l  ! ^, e' f# S) M5 L
. D$ T [, J9 h" W4 Q
+ A7 l( b* Z' ^6 w" s4 b4 b 哈哈嗅探到的东西少是因为这个域下才有几台机器 % n" ?9 j7 ~" _2 n
. B1 n+ s/ H* d+ \
, A0 b# d& d0 l B
下面我们测试DNS欺骗,如图:
1 W# o. B; w, N4 |, C8 ] : Y1 [5 e, v( s. h) {0 {
4 ~) B+ O/ G% E. V& _" y2 n+ ~1 _ 4 m$ m$ ], C* | `, c/ ]
9 r# B* s) i/ i0 e* j+ F
8 ?7 W4 {6 H$ J8 c0 a
0 i- f# b( E, n9 R, W8 Q2 k* V/ [. [9 s; ?" p6 F' I4 `
, k$ X8 x6 p- c3 b9 R2 k6 W8 L & y( B' ]7 ^. _1 J1 g+ Q
6 I w6 K( J4 A 10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
" g1 y8 H2 o. `+ F . ?$ U" x, z% y! c4 |* {
1 b8 Y8 @- R- l, O- } z* m9 D7 E, A$ E0 _( I
: x4 z5 A5 ?6 x, {; m
* _4 [/ H# \, e7 _% J 7 P& d3 B. l7 T3 t8 f2 j. X3 q+ |2 v
& A0 |8 F; B& i/ j. l+ }5 t
 ; B4 g8 x* A4 h5 F9 |
- X2 r& `5 p- n6 _6 \9 A, {& G; F8 b$ N% e
(注:欺骗这个过程由于我之前录制了教程,截图教程了) ) d: C6 W8 e% C; e
- a7 @2 ?1 z( u3 ]) X& ?& _8 k. r6 o6 F' P3 w) e; ~* @8 P( J. w
6 、成功入侵交换机 ( z) C2 w* j$ r# v5 o! Y- e
$ p$ W- u! n T" p( J n0 h" D, h
) M2 O% @$ u# [1 \4 G& {6 h0 o
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 4 l; f6 M0 t( t
- P" B3 m% v- G$ Z# \" F! T2 O8 ~% {* V- e3 ?' A
我们进服务器看看,插有福吧看着面熟吧
1 l5 v2 {& \9 e7 [) t: `" A " A" I/ ~& A8 t' |! k
. W" W% Q, g& N% A0 X+ H5 {1 Q: i 0 w+ j) c, o. \; L o+ P
' {3 g" V2 P$ a9 A* L8 z
7 O) P9 r( E4 r: U4 ^) p- j
9 J/ M$ i, _+ i2 ^. i$ L; N3 w# H# P
' B! _8 i$ g" @6 ~5 x
; E; m7 A2 o3 g8 @# z6 ~. J' Z- H2 l* q+ b! {
装了思科交换机管理系统,我们继续看,有两个 管理员 . T# {/ n8 b% }0 k
4 r# {# M' U# F- U1 B3 ]. ?8 B7 R& L
" C6 W% a$ H0 O
( l8 d( E2 l1 i1 W8 @; F
) W' ?& Z3 }: p3 Y+ j5 R& g8 m/ |- q , s7 u: T5 k8 v8 R7 C3 `
6 G6 Z; t) T: v$ c* u/ Y' A) O
. s. Q# o; N( V! H% J8 f
7 d8 p+ V. Y! ?0 t
6 e- Z/ Z5 ~$ {
5 W1 [7 L6 Q6 I. A, \ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ' _9 |! E6 a" [* g- I' o$ R( z- i( R5 b
, J+ |$ E1 X/ A% p/ u6 F2 M6 ~: ^* A) ]
/ g$ B- a; J, O! W
8 {+ I4 ^, G' X& h 9 J' \! [9 |9 e+ s- `0 j6 c
# [. y) t ?; K5 u# n& x! ?- o
1 A2 D4 W3 Z% ~+ [8 v: ` 
& E$ \0 G8 S7 E# P8 K - I: g1 P. M C8 ?5 V& Y# z9 G
7 N( ?% _: ?5 T* H9 ` V1 U, j2 _ 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
5 B0 r& b/ U0 g1 K3 d% [
0 e5 j" L* z% U( A5 y4 _' b8 |$ j! I V. E" v; T/ R( B
( `1 w8 w$ Z9 r: P5 L) `7 |
4 N1 Q# ~1 a) o! V) ^# Z4 f1 ` 8 D- ^* m4 R6 p$ E {
' ]5 z9 ~8 g% s- V+ Z3 Q
: y$ S# ~! r, N6 Z8 w2 e' K I
4 d1 n5 R" I! U& Z0 A
- Z3 N: u" D/ @! E/ q8 \& e
5 H6 N1 x9 K2 O) w; L5 T 点config ,必须写好对应的communuity string 值,如图:
2 ?) u7 ]- O- Z/ v0 j ) i* R6 l& T( H7 R: z! ^
z- c- T4 p. k# X
5 l! L, ~0 _6 u$ v$ l9 T+ O
' {0 l- d5 C# @. `# S( V * j- L- ]2 ~% X$ _
9 F5 a& X, D8 }7 ~8 f: {' U u% f4 `9 }9 w
; I J7 c5 {7 ^2 q8 A. ` 9 W- z& G H/ `7 i% K% M5 v. K
+ L8 h4 {4 x4 \# ?! ~% O 远程登录看看,如图:
& k2 v! i I, U9 h- L4 [
* d; t+ X; F S& Z" c/ u
1 r, ?2 P" E5 H6 i/ Y
* g8 v" Z* W- v8 e
O( {: [# T- D q2 @0 ?( R - t+ R8 k* R% k! F* N
+ c y8 R; X+ E" B# [/ R
- X1 \, c Q2 ^8 h: {8 J3 ` 
5 o2 G- x2 r9 E
" e) o: b% `& i
$ V( K2 d* U6 q( E; W* ~4 j { 直接进入特权模式,以此类推搞了将近70 台交换机如图:
, G" y5 }: L7 |" x8 K- s $ k$ p7 T; u3 {' O- R
( w$ D3 B( g7 `0 F7 E
" H. p7 O: V% @1 h* g# h
* K& X/ X g& C# p4 f* G `
) J0 G. t$ y, p
% |8 @0 Y- n8 ^ r! k
: N% N* l: a( m" @" G) h  4 ]0 H3 w3 ~( j5 g9 R
( [; w% o o' ?/ w& j \6 Q8 N9 o$ }0 \: v) Q. T1 c/ r J4 l7 D' v7 H
$ Y4 M2 K! w; y5 W6 D1 c3 c9 e S7 U: d- T2 @8 W7 P
( [- h- y a. j+ w$ k7 ~% F 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,**
; f9 w2 ]' U0 \- o
' l Z* M' R. ~/ E
: K# O7 Z/ l" b9 J* E# ` ' r1 @" O3 J/ W& o
; q l3 M/ c E7 e! Z3 W1 v: a
* b: }1 b P3 q/ ^' ^5 n , h2 u" X9 k4 J6 _' D9 E" {& G' j4 [
# I6 M/ P' Y' a
# c5 C1 c/ S8 _- ^7 O2 l2 _; q
0 c9 e" F9 k" E$ x: M2 }! g2 O1 s
确实可以读取配置文件的。 8 s: a* E9 i1 q4 K; A. f- s( |
9 Z' Y7 Y# g F
+ |. q8 f+ N" T8 ^0 E- r 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 3 n) i7 J" p% O% e
( H" d: _' G( A& R! N$ D! k& ]& I) v8 s( i4 }6 m% B
: g: p4 R+ C$ C
( n( h! H5 C, K5 v0 I; Q' m
& T" n9 d$ f; _1 B* D
$ o( [* p `9 H( D7 d! c4 e2 q8 j6 X7 ?" c6 @! Q8 ?
 4 K! M O* H" s; _. i! C
) m8 n" U5 e# H
7 O+ L+ R+ |# h q% y$ q 
/ p4 M% v0 x; [
3 d" h' ^) I R$ l* E
; F" x# s, N5 s. n. V) ~8 c9 i+ N 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 " X7 P0 z7 Z/ {
C, {1 ~* h# ^
. ^ p# N0 n# Y& T( i* @+ N C P/ X- m1 b: H- ]
- l# O, o+ A8 w; M+ N) B
6 l& e! F- k/ ] " ?, q7 ~4 V$ W7 g3 ]% f: v
2 a6 r( V3 _' s( B7 R1 g
 0 q) q, O, d; y4 ]5 M5 ^
& Y. x/ N( e1 z0 m" u0 F
4 X8 B# c6 j5 Q$ M2 f
上图千兆交换机管理系统。 , M/ R; x3 o& B
/ @+ F' x% e: C) }3 o9 s" X+ a
+ m9 m8 K, _4 e6 N T 7 、入侵山石网关防火墙
& r* g' R- |' Z
1 s9 _ }1 Y7 F. l
, ~3 ]! G4 k$ O( m 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 4 I, c, i! z% b8 L% Y
" x" s4 T% t/ M+ N: p4 j
% \3 L# ~% t* |8 E% e 8 B8 s+ z8 k; k, ]
1 M( Q$ h+ u8 ~/ p# f c
$ d& K9 H; L. y7 W! [1 O! U$ }
) R5 O4 X$ X/ `" {! R9 ^8 O- M/ d+ D: g6 S. }/ Q# ^
 f6 O6 s2 K3 i
7 M! p) O' K# J9 X3 H. c
% _9 ?( l+ t1 r9 n 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 b9 }6 E( F \7 Z
/ V6 k( B$ p& x6 C3 s
+ e& E2 `6 b* s4 i" Z" I6 X/ O
" O4 j# R3 P3 }$ H; p3 G
7 E& ?/ q8 T& \$ ]4 K
, d/ P- ?" F! }' W, p" |4 e: q/ A
5 A( b6 q0 E' Q1 Q9 m2 E- t, q) B1 @! a9 T) e' o
2 o( R/ H" o( Q2 q
3 y0 u5 C1 b2 U5 L& H
( m! z) I: M. t7 X1 F( v g0 F2 Z% a 然后登陆网关如图:** ! W$ v6 }, v0 L
- `! r. \3 T/ n; P
# v, [) A5 t) [- x* a6 J 3 c* g3 M! \ X% c# l. y
; z2 } w4 d6 F+ E4 I- S) a
$ p5 u" C/ y# P& ^1 { N
; X4 l! ]: x6 ^; `# j& ?5 v2 n# v7 z O( h0 f4 w9 H+ ^9 l
 3 ]/ b; z, ~* e, }$ F
2 {6 [0 r+ M9 ~
8 {. y a, e! H& |7 x) y3 `
- H1 I9 l* g" v
8 D! U; s8 G- ]: a8 C8 X6 [ ! s0 [4 O' }+ o! H$ Y+ \) P$ G
0 }( l$ l8 @* b( b/ g& l
) p- X5 `/ D* ? } 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
' T+ B( u: X1 e7 ~2 f) ]1 A
& z$ d: y8 S; ]) h
/ L& Z" P. I# k- f9 h G 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
% \: @% y& r7 ~# {
1 `1 x" G- g, R, \ P% T9 X; Y7 F4 _, X; \
补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
" f& O, a8 l6 k+ r! O5 M
% g6 B) M% K b: s+ q# m, D5 f; a1 T- F8 Y7 g M* d$ w+ d% l
8 m$ f- `3 q8 S: s0 N
# q: s" s" N0 ^9 Q : d- q" [) G9 B9 ~: ~
$ S9 \4 d3 o: ]7 u
, T" c- Y) W& l  % j# d. A1 B$ J0 y6 w
L" T7 k+ E3 _6 w7 S3 p
, C: b( D! }. @# B% V _6 o 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - Q; e8 L3 G, W* k" G' k
9 H( s. U& U1 Y7 V* h* G& [
$ C$ z: w5 v, L' O. }; k! U' g . T, p$ t+ a2 V* G/ {8 p( I
4 @7 L, o( l$ k0 \1 `
t: v$ |0 b J# p9 ~
3 q5 U* C) B" q' [ " |: k, O7 }* k- H" h
0 l) Z% o3 S' u/ E | 
发表于 2018-10-20 20:19:10
收藏
支持
反对