|
) R& x4 |- J( h' d( X0 Y8 k
6 [" u1 |( B0 V 8 P" Y, U7 L' y! j) K! n
2 j3 ~# I- r6 t/ J: w
1、弱口令扫描提权进服务器
8 X$ k+ [) u$ g ~8 s/ g# R9 i4 } , g% p0 ^5 _) [% k
9 L1 }! D' D! H 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: % q; l# b- I, `8 x t( o0 H
+ o) N& S7 _. l; N1 B! @
4 o% m% ]7 R; v' l0 [; ` - O' u3 }. I7 g) ~/ S
% y& \& D: Z* Y6 y: I
9 N- k- U& g4 }5 Y
/ O/ a- K- d0 l, _9 N; a; [% G3 F/ \
9 e1 S1 K; u3 _" R; K8 z
T1 v l2 J1 @" i+ t$ N6 l7 T( H' W4 M4 @: T
 , X0 K* f7 I) R/ E: W# j6 }
% R2 f( ^: E( p0 E! U( J
; j5 n) ]% D& F! n5 Y' G! g* T ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
0 W% Z1 Z2 V% n- g+ N % }8 k9 b W9 P
7 Z0 U: K, o8 D' K4 X# U1 ]: P: Z 执行一下命令看看 5 y/ a7 g D' q9 W5 i# y t
4 F4 r8 U, l1 j' {4 `
' C6 L6 [# ~0 _/ ] 
1 l `$ j5 B! C
+ I& z& d6 O7 {3 Q) `. ?2 Q4 Q5 C
# N# l5 i& X% G; M, b0 Z8 j 0 c1 g. h7 c( q4 I
' W6 X0 E5 U4 C/ R
( B/ \6 Y1 ~8 E! t / P9 x; G& @: [( [
. _; @5 a- W8 V2 o
开了3389 ,直接加账号进去
- Y1 l. N2 b2 p1 K# t5 m2 `+ E
9 t2 J* U; P U( U- s" C) {& c5 c! P! l2 `
: a5 e; e5 `; V. [7 i
6 N3 ?: W T% U1 Y
+ U% o+ h* I: Z" k/ y0 D$ _
( D. T& S# p! u, p
6 f' R6 ]7 O& ]! u  . ]9 E: B; u4 {5 ~1 I! g
5 u; E- H' P$ D& B7 c+ G& |' ?& g
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
$ Z4 S, ^: U4 ?3 y$ V" w2 Z7 g + e1 d$ z! c* n) t4 Y
- e5 X' i. |/ o3 l
8 c4 @& t7 _4 w% y
6 ?9 S7 a" u7 q& S1 c1 d
~+ Q4 ^ w5 S( K, h1 ?# D
9 v6 n3 {( e! T# O( d, E
A* t% h( d- v  7 ?3 ?4 A$ O: }; H
! b ?. i$ m1 S1 i5 n- ~
3 H+ y% |* P- s, P+ A% ]" A) A
直接加个后门,
4 r) j2 j9 n S0 ^% C / e& b$ k* }. h% B
4 G9 H$ _) v7 j: s( w- K
 ; w) q6 g {8 r0 e9 y+ O; B- o' z* Y
# T" R j7 X/ \' ~/ S. F+ w
0 R% b0 z& @% L8 G& A* I- e _ F
! D. R/ ~! e1 ~, U6 K
# j( r: v( s6 W" N/ R
. e4 n' v9 _7 p3 I3 K" }
: V( v8 c6 P3 Z' K% P% m. t1 H+ ?5 z, m h
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 / l Z7 u; E7 O7 T; }
* j+ J, _+ P& s& K3 ^4 ~
- I5 z+ y& }9 G2 e, | 2 、域环境下渗透搞定域内全部机器
" T+ }7 V# L" L # |( l7 }) w. n9 n0 j/ O4 Z
) |& x1 t J$ a& ]3 V 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 9 ]3 O/ ^( b6 y& O+ B
) C, w# r0 I' v4 u% v4 X! d
T7 i' z1 J2 s) g R# Y
5 `9 n; V- U" @% m$ J/ J: ^9 K
0 b' w8 R/ S8 {% `9 i. |
3 f+ i% @$ ?8 I$ O3 Q3 a; F/ P3 m 8 P% f4 l8 u, f3 X+ g: D# b$ G
+ Z* c0 h7 k1 u
 # S' d8 I+ F7 ?1 Z% x
( `% x5 _3 i6 r ~1 p/ _2 t! b/ G5 H+ g" `, |, d5 \1 ?- |9 b
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 " U( |! S+ n- W' E, p: M
0 b" {3 i: O" y/ T) l
' E- w) T" m1 X8 g8 j
( {- u. S5 D t
6 p* s! w) d% Y; u8 z* r3 p9 j
: [/ Q n. k* u, d
9 s1 h# x+ a& x: m1 @# [
8 Z' @/ v6 a% i1 z- O7 r, x, S& ]
 + j* G1 k6 ]; p
1 N, a) y& L3 }) o- K. P/ q) `! f
& @, o e7 u/ i9 m 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
1 i7 a0 }$ v+ y) Y8 Q ' O( G; c0 q5 c1 ?4 J" h
0 M0 M# g1 R i' z1 h+ D1 w
1 I m; Y# U! p/ S# D" s* M
! N6 y) J$ J( P% D: h/ {
2 h7 V+ Z- M: q! @ * w* G+ n6 n7 E' L' |7 S
# c5 F/ F" z, x. }! i
 / y$ S- ^+ q' Y) ~0 E, N
3 H1 P: }1 ?( y- ^, n8 Z4 {- s
9 B* M) t6 T/ N" h1 P- q
利用cluster 这个用户我们远程登录一下域服务器如图: ! m Q9 N* f* T, u1 W5 [( Z
2 C: R/ g5 T' n. J
. b& J# p7 _: P 9 ?$ X; Z8 S2 @
9 K& a! X& J( a J3 |3 n, N1 X
0 L! I" G1 H/ |- u- x# D
+ P/ H3 u5 ` ^$ f* l
5 u2 P" z6 {9 X1 Q! d+ O, i 
: G6 T' O# `/ `4 c# Q/ D 7 Z5 P6 \# a% J6 d
$ u9 H% } K: O/ ~/ e5 c4 C% C" v1 z& W
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
1 g7 ]2 @" z) n% T/ O6 B
/ G6 x+ ?! ] r: d3 V+ v+ a5 {1 R2 x6 E7 t3 o
8 A! [# j/ K9 D* H3 y( t
3 Q. z, i% g# k6 J2 u
6 u, B* B" p3 ?% e
$ V1 F9 S) `; W- v7 ?- _
% v$ I1 A* l: e' I7 F8 k
' X8 x( c6 o2 i# @& M9 G! R/ R4 M $ v7 }2 n4 p5 s0 t1 E
; ^+ {* B& j& }1 t" B5 | 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 2 ]4 @5 @2 w1 }
5 @ e) p: }2 z
$ P2 D1 N. l* Z# q( A% s. W* n  2 r6 P8 m- ?. ]* R3 P
3 ]" ~! [9 H" K7 V; t/ ]0 `( D' `) w1 f9 q# e( e, u
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
. G' j/ F8 b2 C ~7 q/ t8 X% V0 r0 z
, b8 Z( J- M: e9 X0 o( r1 @
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
( X) ^3 ]- y4 W" Y% T
/ l- |+ a! }! U( g3 D2 E7 u
7 N1 q3 f2 V2 Y0 s
) S7 d: B: F: W) ]
$ W8 e- b6 L m- g/ b* h+ L
2 D5 {$ H1 W, A' F |& W
" Y! K: E8 ^ p5 Z
! [# Y, L T/ [" i
) g5 h W0 R2 ~" F: E
' T7 h! |4 C3 ^: H! x- O$ i; T+ h
经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 3 a5 |; X; ?( I+ }; @* Y
: E& M8 G5 g( f7 A* p u4 D
4 q- U' _. f5 |' _$ U, M
& F7 u1 e& T1 x% \; i$ Q. j$ {
' z* _8 S a. L: N6 X
" Q6 ^9 y# i2 r. w $ x' x) y/ A S( X9 H
a1 s3 B$ @- V, F9 j: Q$ B; h 
6 Y0 p! r2 X( R3 x 4 j& s( {7 K: o. b
+ o0 x( ~$ G( Z" z 利用ms08067 成功溢出服务器,成功登录服务器
0 a2 O3 x1 Q0 c) A5 b3 J" L2 g
+ c6 d G/ F( _! Y: N
2 h2 Q: y% I. I2 Y1 Z1 d+ e # h& l2 o ?6 e
/ J" } p7 A8 L
1 i' \6 [8 t; D5 i8 @+ J - {$ [. q2 b- {3 f1 t& z7 A) b
2 p* `/ S4 B0 G4 b" b; ?% J 
% L% H. p# @! |9 O7 t5 H. X7 E% i \
8 B) m% @& l0 a9 B) I4 A6 R/ l7 B2 ]5 v3 @ U/ C. n
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
/ Y! x# {3 r* @' _$ M. q A. s 3 c' n) M: c0 H" y
4 E7 _4 ^8 D( {4 X" ^( v' d 这样两个域我们就全部拿下了。 d! l) s+ A- H" V; J
' u _' b) J& @! _+ P0 H
0 Q+ c% ?5 `0 W! @
3 、通过oa 系统入侵进服务器 ; }; J1 Y' f" T3 k c0 }
$ H. A3 M+ ]+ }% |% ]9 P, g4 d3 N! f9 D$ S* }" Y7 i9 O
Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 0 N: q$ w( J) c9 f0 {) J" a
% b* p' I, c% `0 \
0 ]9 F* _( t- c; B8 Q$ C4 @
9 g7 |2 l6 C. e$ T+ p
2 v! E2 ~3 s, @* [6 u6 ]' t+ I % V6 n) H$ ~5 J+ l& k
1 X2 s7 h3 y# A# ^
7 u. h/ I& Z2 B3 [& w 
4 D3 t0 d! Z- p' r5 K
- D* \8 h' \5 d( S0 c. Q* i9 u4 f) {: i8 L$ N8 G5 ]* V
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 9 `/ C5 y) l, S! |% g. r
9 Q9 B/ ~2 o: w0 I. B% ^
1 Q# I" p1 c8 Y0 A+ y) H; p # c2 ^8 L1 A- Y: m+ m+ x* G) E
$ A/ {1 h/ J* p , N3 ^" F% f$ C$ x
( ^% ?1 E8 }3 x# L' U q; j# ^, v
* o1 z. r: Y% B+ k p  ! e( K$ z5 ]0 `2 [( b
, O; Q6 q% u9 h9 a/ M9 N. u. @, l% n5 J+ I( Q! a. _
填写错误标记开扫结果如下
: ~+ @" r! z# A6 p+ h: t. F
3 ] K# m. t, W' l4 Y2 ~
. E7 g1 a7 h; Y ! B% R3 f9 d9 O: b& G7 `
9 `7 @( a) `* ?- g% ?, { ) C& M I0 Z& _4 O
9 V( i6 E/ ^& P& W& s; u7 R) L7 l' o2 m3 \
 " I, u+ w3 h9 a( Q7 D& `
: m1 N; n- b$ h/ N' @4 L
7 P5 E2 q- `2 m* I8 y 下面我们进OA
a: ]2 a& Y, j) v7 J, l' H/ a 6 b5 N, w) T& g$ N S; T
! t- K% `" I# @: k" s' y" V4 i
- Y* B ~' [5 Y8 L8 Q0 V% [/ f
* F- F+ V A5 A& x+ f ! h2 c$ W' S* y
- u* [% E+ w: C+ j% n% {; \
/ L& ^/ K( d: X( I4 z0 Y3 E
+ ~) ?( @) _7 o / X6 g- J' m, m
3 c0 _( }1 R& k' c0 @ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 - K4 I+ s! o1 t% U, h1 Y
! Z7 C% r! y/ c+ M
- @' C! l: O1 P+ W0 S: u
3 x0 S+ z9 {( J* X$ L
1 R" z5 y' P$ z( }# W
. u+ Q: C0 h7 g
5 A R# K; c; `( k9 z
) p0 K O' G ?6 q1 p  & j; } p1 [) g" I9 ?+ w# f/ V& N
' I% u) |3 T y
# _! ?) f( f( b/ r4 m' V# |* [ 
( Q$ K8 E5 ~4 b7 ~& `) B W+ R$ e & K' z3 b/ j" W: y
* r# W# F0 M) m% r" K 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
6 Y; X1 l6 h7 k; T. P * {1 U% w. b7 N* b
) F/ }- ~! E9 [. Y0 [" U 4 、利用tomcat 提权进服务器
9 }3 @' _; ~' E2 P
2 v5 q' C, g1 {& ]# c
$ \+ ^2 W. H' Q. q+ p- v 用nessus 扫描目标ip 发现如图
Z' _/ r# F9 ^; F x. a. y% I( G
! h* _8 m: s& |
! b0 d! R/ `# ^& J" e8 w! f' o
* |; x$ a7 M/ w5 U* X
' v" P' ]0 }2 ~+ V I' w
$ {3 V1 s" Q9 a9 F& q
9 X) C- _8 H' j6 {9 W* c) x2 k$ D" e/ w W. |5 b
 * T9 L! F9 I; ~! S$ a& C# B# p
7 w/ W) q( t+ G, P7 I& I8 }& `
2 B0 d9 P' o" y& T% c# i; h 登录如图:
4 s) z3 k* g6 T X5 H5 ?5 w 9 e+ c/ L A& D6 {
' Q' @ D+ X( I
0 _. q0 x p9 N
; M3 h2 S% E+ |
% a* f; ^, S: [/ }. I2 ? 7 l1 C4 X+ C4 n" R3 R
- b0 D8 r: `: V2 s& B; f 
, x- C: }- r; ]0 z
8 Q# ?2 i, A6 [3 _+ J0 j% ?6 b& m% e0 {/ j, w& s4 F4 ^
找个上传的地方上传如图: ; P9 j; ?, L$ x2 V
) _. X/ l: v/ H
! m' w' S4 ]! }4 t 1 V/ [; P3 k# Z# Y
, v* T" R0 }% |2 G; _) g6 Y
& a$ y- Y1 G7 D) Y
7 E+ B2 N& e3 _3 b9 b/ b# [, F' f' l/ W
$ i8 b- |5 ~! n2 x- n! `0 x ; g/ Q" d) H8 I4 k7 I$ f
, Q& a4 D: c4 r
然后就是同样执行命令提权,过程不在写了
- H0 m1 y) {& E9 g0 W
+ C5 u, O7 E9 n% W- H
3 C# D ]9 K1 B$ B9 @ 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 0 ~* l7 s! g0 J( @1 C X* Z
7 o% I- I6 z# l7 C# `9 _1 }$ J7 x" H, V
4 O g. P4 @+ Y# H: d5 R
首先测试ARP 嗅探如图
1 g4 M: G3 A5 F6 s k ) [/ C2 S, W, E6 E, q* {
8 i9 q7 Y8 g$ r. S2 V; @5 w# i
W) M: M: A. B S
1 y6 P# f7 D8 `8 ?5 C 8 R; ]: ~/ z' ]2 N8 h% }7 J" j2 C
& {. _5 S! b6 u# n; z z6 J0 l
# w( U; f3 u. P) ?! q: O: z6 d 
4 y/ F E0 A' z/ A0 }& g- o
( g$ G% n7 n) [" U% _6 W9 {7 G9 z
测试结果如下图: $ o. s' e1 x) `6 D
& s+ e% u% d3 n
3 z' ?7 `. l& y1 F8 ^$ ~
. i9 V* C2 o# a, U! n( |
9 r4 h$ i7 f! A, l7 C . r, W/ y8 C" D8 L$ c& J
8 L2 Z# G9 x; L5 a3 q- S) H; H( R7 X# d9 Z4 r' C* L9 w
6 h! R% c, u2 [ g 7 v* B$ w2 }* v' G) T
# y- Q! x3 M* v$ `& a 哈哈嗅探到的东西少是因为这个域下才有几台机器
+ \& u. h9 N/ z3 {# P- Q8 x , _2 A) ?4 @' h7 G0 j& A0 I
& K$ O; j4 o4 A& y4 H 下面我们测试DNS欺骗,如图:
$ b, Z) ~4 x# C n+ j
( m1 C, ]" z! C1 s% u
! f* ~6 w6 f' s1 t8 k
# o0 q b4 [3 P% s! P" i* M
" w. k; L4 a, k- u* f
, J* g2 }+ n* c, n$ P" O 6 B6 |8 m- l( G7 z: j% i
8 s0 q* v ^. [; W4 Q1 B) w
 ( U+ ]& g7 L3 h2 t; [8 p! b
3 L2 p* y6 O9 S: E. |% P' E' `. ~: L* J, v1 o
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
6 e3 V9 K# H, U" _/ G* _ 1 y3 r- E' e/ M/ {
W2 W/ {( w h0 y( I' S
3 Y, }8 Q8 W0 @+ d, ?. |* ^$ R
1 I$ e* l& o+ g9 t( K1 |0 f
- p' r L$ K T3 _. Q& U ( U3 w- s- _) }7 F) R/ k
: [ y: V9 N6 T) G: n$ O
 # {) a; l! V$ T; C$ G6 f6 j9 D
& Z0 r$ W) n: w! q7 z T/ c" r0 g9 U! Z h& D0 `( p: T/ ]( s
(注:欺骗这个过程由于我之前录制了教程,截图教程了)
$ ^) {6 z$ X& I' g" q ) k* S! ^& m$ N4 w, s3 y: A" J" L
" f) ^* A. X& I% x" j9 ~
6 、成功入侵交换机
% S3 r4 K4 z; [" A' t0 p $ G6 W2 V/ j9 c" `4 u% i
. q& D3 i7 W4 @: S* J% W( G( T
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
" `# k* W- X+ r& W0 M2 G0 V
+ U) W) y! U1 ?! q+ @
- G! C! s7 h$ y2 k+ H4 z6 p6 s 我们进服务器看看,插有福吧看着面熟吧 7 w5 O2 F! D, M) m1 P. L4 O4 F" d9 a
) K7 q; b# d7 ]" x9 s
0 D3 r+ \! g B, ^( ^+ z h- J; ?/ S' O
# z* w6 b4 x Q6 G
# g& l3 ?5 o0 c, H$ w# O ^* F
U$ t0 H1 i; b8 J. H
: }; z; ^1 |1 c9 M6 S$ ], M" ~9 f8 y 
4 N; Z0 Y# N. l' ~0 \1 T " {2 [. D! u5 A; j* Z
! C [* F4 s8 {8 h3 A+ T' F
装了思科交换机管理系统,我们继续看,有两个 管理员
4 X& V, y# c T9 W0 B
% y% n+ p4 S" K5 u
. S; q; t; ], | 5 U( D+ P* [4 Y# z4 S! U
5 F/ B* v, g; i; A; p. @ 0 o! G3 L5 i- p
7 O0 e" J0 Y' \& R v2 A' f- F
, ?: c! I& ?) g
 x* N- X8 h9 y/ h
/ _& G$ A& }8 r$ k# f1 }# x( Z( H8 z' K5 |( Z1 R8 H" x
这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
0 X& f5 h5 ]( F
; O( p- v' b* B
) W; F- m" ?% W . F- m! O& Y7 N( B7 |
. P* A) I9 j2 n8 W+ e- a ) M2 M+ h$ u) K1 y& ^
. S( I8 T2 H+ R! s5 ^& n n/ j. j$ y: _: y8 i
 ^) n3 s) k, P& J0 E3 x
' k5 A% M, N/ v' I0 M5 Z( N$ V
" k2 V, n% s" S# ^7 V0 \
172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 3 d' Z7 W% f4 ]7 l5 X0 j/ M4 x
0 g' V9 X6 Z0 T" W& E) X7 w( f% R, f& k
2 o* }7 }' z U" ?- \$ P
' g# d+ U0 V* M, p4 v$ O
7 v# C( G/ d3 W+ m ]5 X
5 Q2 W7 U# n' A$ H& m
' {( x% P3 K' H) y 
) k# s/ X2 l, G; x" P
/ c& a! @' u5 F L/ u' Q7 b& s/ C/ I t, w' ?/ i {
点config ,必须写好对应的communuity string 值,如图: 8 U; K) D8 W V9 y" G: W8 ^
3 c; G$ k1 m- J% z
1 a* P" v- w ?6 f4 h
# z1 O6 z; k" a3 v0 j+ {* U
8 a! ]$ q. S2 F z4 i7 o
& b+ l# h; j0 W" m6 O; D4 d
( X( z3 t# W. D& k8 H. p: Z! u! r; |8 {
0 Y L; S" X3 F4 M % E# D/ B1 q0 p& n' s2 | Y4 ^) }4 ~
4 a6 ~( z8 \% O1 m: L3 B) `' B6 _( I 远程登录看看,如图:
9 M* j/ ], Q# @; K' R( t* x& C
2 b6 j) I/ v# x# Z
( u) S* _# O! A1 r$ k
2 m9 N' ~* R: X; X1 F
3 l+ B% u/ W9 o ( o) m/ S. r7 L! u
; y, @$ B6 D8 K) L5 Q, Z% r0 I
2 x* V, c7 w" r2 \ 
1 l9 V5 s6 z$ V5 b . N& U- |7 q) |1 A6 L' g5 E
6 Y. k/ M1 E8 r* m+ [" w% e& Z
直接进入特权模式,以此类推搞了将近70 台交换机如图:
1 i% D# n! Z9 c. t
8 w, D6 W6 b. r: U1 B, c
: j9 _8 Q; i/ N: r+ a+ c
, ]! J% G: S: D8 D$ u
7 i& D3 g/ d, B* Q+ B
) M- l) m' j8 @" g- ]5 }
0 Q0 ^3 Z0 U" k1 P
9 f# v$ d& w0 Z  1 E6 n+ ?8 E8 |
& n$ k9 J/ E& \) E4 k, S
7 O H. S' {, j
$ r- w4 T' I2 T
6 a0 E9 q) S4 p1 T
) M' q# _1 s# n 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** # s+ E3 v' n' {' ~3 }6 `2 S/ Y4 q
6 U, T. w3 I8 C* a% v; d( g% p6 a1 a( F' u) ~8 ~/ O
: X, A7 H( W- _+ G
# O7 ?, B# W! `
5 z; @' H/ A# f$ J 1 E5 z6 M0 f9 ]# w9 ?- y
3 Z8 Q9 Y7 w8 @% V' y* M
 8 k* r, z0 b0 X
, I" r: G5 C3 x2 r1 |( F3 G2 d8 [3 ]1 V2 W1 k h6 P9 ?
确实可以读取配置文件的。 9 H6 E" }# m( Q/ L: \
1 u J$ F$ |/ U8 l
" B) J3 J: T+ S. D* G: \8 ~5 E 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
$ |, s! N! s# V% Z" z! P
) y( n1 K z# ^9 x9 l7 M) C/ T6 @1 Z
& k. b" {+ D- _0 h. v
2 |- T8 l# j, j5 j$ J$ e3 o
, J0 R0 R+ G- H u* s9 S7 U9 ^1 c ( c. l; d: g% m7 p* _/ s
/ a6 z3 m5 L" B$ P( B3 ~
 * |& [, f5 c1 K/ ~, p5 {7 i, z& w/ \
1 a v& d: K& T( J) P9 q! C
Y6 z7 `2 H ^9 U7 [- z* y  " l, Z/ C- T& U: z
; ]6 l0 Q4 i# S; s
/ h- j9 b) [ p) c6 ~ I6 h 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 0 l0 t2 A/ d5 {0 u4 M/ M& Q
6 ?( ]9 L0 A n- h1 ^- i8 I1 h K) L
) K3 L& f5 i6 _6 ]
" n" H+ m% }! H c, |. F
& K5 ~& ~' R# ]% l r
U% F$ D b0 u9 M+ u G# v, E8 g m, L! g2 U8 ?# S b
* w: j% x: A0 t+ M4 V
8 c* r" H0 H4 N$ H" j. A) q* C# m
上图千兆交换机管理系统。 : G3 a' P9 ]8 J( v% P/ L# E
3 E" R3 a7 X/ U( U7 `1 }+ G$ v. r9 G' r$ N
7 、入侵山石网关防火墙
% o& V4 L$ j0 E% m
, X" S* k) Q8 s, I) ]2 t
+ X1 i$ C7 G* y% Y, e2 k7 V 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 S0 j9 r; z& y- K/ p2 ^
3 S) _. b# s% |! ^) N6 h8 Z t5 z, v4 O/ m/ X
, n4 S/ W [ }& |2 Q9 o0 \
& V* g5 Y; j( z/ y
, Q4 ^, K) q5 ^ ( f& H( L4 o/ J& U' N
, e8 X) u2 ?* |7 a8 [ c) J
 , t* g) n* \1 L3 Q+ g
% t0 n/ D& w9 H7 }7 V0 O
8 `/ I; E$ b. F- s 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
7 S7 g+ I4 [) }6 L6 _, ^ ; F% J t C5 |) N, ^3 i- S2 M
e4 p% @) A o- {/ r/ m
\% G! j' f2 }7 C6 c7 v
; k- s. b* }& e
0 J5 P S# X' X' |( j2 J 3 ~( {( z* h" n$ |- U: j! N ?
" o5 ]: [$ I0 P) @
; J) b% z3 i' ]3 D , l8 f8 `# y8 d* c- v# u1 }
1 l# V3 s) C! Q p0 v$ Y# y
然后登陆网关如图:**
4 H! V1 S; A! [% x \
3 ~8 q- Z- ?/ O+ Q9 D+ R/ R# ^' m3 C& L) D' |
, f1 S0 g! N1 ?, M+ d% r
0 }2 P- C1 U( z0 K
z: \- U3 H2 o6 i
) S$ J* y4 }1 d, k
4 o3 v) K+ P+ p( m. r- z2 L. K6 p  1 P, g9 }1 h' v8 Q) {9 F* `
% {3 ^. }7 T4 v- ?
: J: D6 u! H% f/ `. f5 u) f 2 d R( t* P8 Z; `# g: R
+ I2 Y/ _+ I" g8 }( F
+ }2 s/ L( g; z- ]6 O# |9 n* ~ * b% t0 n T$ k1 a: f0 s
c, Q4 d1 v; d* _! x5 i' D 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
' \2 I: R, s1 @* g0 L
% W' [( J5 g. S- }1 F# J: @1 @8 B: s
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 ' H/ y- {3 q- ?7 o
. Z. B) x1 c% N. S" P+ z
5 G/ P; c U; O, P 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 6 l) ~7 l1 O5 w% ~5 G
% i! [% \: o* j0 W
3 l% A3 @" b6 W! ?
- t) A# q+ [( w6 n" e" p
( B5 Z& G/ o) X+ a
/ s0 x _; B7 P- ]5 r) d( Y
0 ]1 z, |, y' E5 D7 N5 {
5 ]: o2 Q! Z+ J# l$ m 
( j/ W( P; D9 Z0 d4 E
: U0 h. l1 K g# n3 ?* ^4 D
* C8 f6 H. G, R 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
! a) d0 }. V3 W3 V 0 {( V, @7 x% e- M. O1 X* o
& A6 A* r3 J" }9 H3 m( N, m 6 x1 d, s; d M1 x6 k
: q$ O- X( }# t& Z, |& V+ ?/ R% l; j6 `/ G- Y% d6 q' U* X
/ L' v5 p- f. p X5 k. ?# L
/ ?% E7 ]* ^& X" _( w/ I( G
s! C. N4 h Z _2 ~* S1 ]$ V | 
发表于 2018-10-20 20:19:10
收藏
支持
反对