|
% B1 ]/ g4 o4 F8 l; l
' o F6 ?9 V, X! I6 L1 O
1 @* V. A2 o& Z3 a$ A1 E/ `$ @+ N# N0 N, I; `
1、弱口令扫描提权进服务器 / q# P" n. j# h/ _8 X$ t1 i
: L# \2 a" f+ Z% d
% u: ]1 q4 e& ^5 A, @5 i' N1 z- D 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 3 J* K" R& O- Q1 \
! h6 i" U* R! D0 m& R. W% q
Q7 a1 g) B; T. r
- n$ u* M0 L/ z( y ^7 B* w& j
7 ]$ @9 r5 J8 l8 f/ @7 F: w * b5 K; _1 J2 `) I6 W" v; x
! }& r0 Y$ s' d1 ]5 A) n) L, O& p( ~! |+ E, a
 ( C0 }9 f- s4 J3 k2 z; K$ P1 {
6 g) s$ ?" {. {- F) |2 F+ S- ]; @( r4 Y
; Y) W( N7 B+ b8 I( O& r: H ) N) ?& S( S( j, @
: M) c; W8 j3 `3 Z( k ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
) u* {1 ~( t) ?% f& w8 X4 T2 u
, y" m/ s$ G7 s" Z5 P: ?
w$ P& U+ E- ]! `% O# Y 执行一下命令看看
7 c3 J+ E) p, n1 P: c7 S % a! C! D* t* w0 k" T" m0 \0 V! j
9 u; n% t% s7 U8 |  7 v6 P C" q/ ]; G0 d" @" T6 I9 S
$ x; q' L" R. P; z0 ~
( y: i$ l4 \. q5 U6 X% o: s
( b- o( J; p$ l+ K, |# w' W
& p6 L+ L" |2 A& ~5 t6 \
. Z5 p6 V) c* O
5 O! m$ a, w, G" f( y* X# A# F) Z8 B- }) e# w) B; W, i
开了3389 ,直接加账号进去 5 q8 Q% C3 o" k
! T4 s; t) s- m+ e3 ^
/ N% q5 m/ M) u/ [# ^
/ i7 U9 U! R5 C2 V: w+ X1 U
9 \# D( [; U5 \. {4 h / ^: s$ w& c1 h- b( I% P, ?, O
; [& w4 c8 \& H5 A" }- [3 ?& S: x# D! d* l) L! V) `, ^% q; V
9 E6 v) i5 _2 j& \2 }2 X H# _9 t" \% U. \) I
0 N- H! d) P: y3 E
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
2 a! v( E' P7 l! S' ]# |7 D1 T) J. b
. e H. _0 J3 H9 c% M8 f8 O3 M3 d, F
1 J0 ~' b7 B) G, q% o% A, W$ a# Z
( T. ]3 y+ N, g6 n
) @' `2 Y" ~+ F' ^ 6 Y1 D) z" g! L6 e# W# _
8 z8 k2 s+ K/ ]% [$ S0 S  ' [/ [ E4 q- U4 @ t
1 U- L9 ^7 t1 t2 a) k& v- }( Z9 D6 o, G6 h& v
直接加个后门,
k# j6 a' T/ M* E( ?6 v
: F h" v* e% J. X
" T, j; a' U- H; w3 z" I2 [  4 E2 l) g# \( G5 a4 g w6 n2 O
' m) _6 g" @0 _- V. Y9 c8 I
8 z# M8 y6 ?7 q8 h% L* j , {# i2 t3 ~& u4 D. w) i2 n
k- V/ I# W$ E$ d& M . \ \5 p# W1 a0 q' @
, w' ]/ H% V* {2 m. G, x8 g* v, y9 z* w1 c: y) }( {5 g
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 - l$ y4 z' C( }- C& s
: r2 w" C/ ?( D& R
, ?% {; v8 O6 S7 ` 2 、域环境下渗透搞定域内全部机器 ! Y' `4 Q4 U, P
% j7 K4 K/ r) r
, j# h0 \9 U! ?0 ~+ u( ] 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 * a3 C, S; N% ~: u' x3 x
' o: n5 |7 n: E; l9 q, v) M: q* ]. P9 B3 a; [ [
2 W2 l7 o: x6 R% @
( ]4 a7 |: y" Y2 t
# N6 y0 M% ^2 \5 H# E8 ~$ Q7 [" j # M; L/ C8 @ U. ^+ E) W1 L
. V, _- e2 [5 M. ?$ F 
- Y& Q6 k6 A2 Z
" b7 W# U. g9 k0 J9 e4 A% Q) _$ @2 z; r1 ^
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
\) D0 T' v6 s, ^& ]' a- r
$ a7 i+ i% M: y' G# V# s/ n! O' |& Z8 l' X [& ]
- s, b( H. ~& F/ U: e1 ]8 S
, s# H0 h. h0 [
( F) J8 ?1 M4 b+ ?
5 j% G$ L/ q; u. r$ M2 Y1 [" [7 E5 x# Y) I/ q" S
6 F; N) P; ]+ c/ q" O) {. M ' s5 B0 |. z$ F) Q5 ] d$ f
* F& ^! l9 ]9 X: q- Q( M& E# e
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: D4 v7 Z1 y; F2 c- T
) v2 B5 L/ a \
( g# Z( R2 @- O" g8 w
- B' h& j7 O, q$ x; J: C* M
: F; M: l9 f; }! A+ ~
$ T; N0 C5 O+ |* m$ A6 p" _" a ! r0 `) W+ z: f- @$ M& W+ v
" ?: e/ d4 Y2 S3 o- y1 e
1 W |, L+ O h' V! L ' ~2 ~; P7 ? R' V8 D
! y7 I' y' g( t' j 利用cluster 这个用户我们远程登录一下域服务器如图:
! F* |/ T3 O) H% K / M6 u6 ?& j" F! n! p
' z `1 v/ _" L, m. r
2 l% {% _& V7 B. n% Y3 t+ p' M
6 @( C0 u( r$ `
4 p* O! R3 B Y8 I/ ?( }
8 ?* X3 B6 B) K6 k, O5 K% e6 y
: l) \5 I7 F3 ^: t 
9 f) J% m2 }" Z# `5 N
) _) ^" x8 ~/ W. ?4 Q( q9 A+ ~* X
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ) b! z7 q4 |3 I
: v$ I/ y5 D. L( @
. Z+ ~1 `4 \# ^5 B , D0 `( A* q8 {+ D* J; D" V. q
1 |) [' P9 q2 r6 k5 I
: o0 |& H: o0 D% Z" p' E
% Z: Z0 I5 F' `: ?' _: p3 L1 p
- E ?) j5 d$ u( d5 o" q1 t  ) p q7 o: i4 x% K7 M7 P
. ^1 x9 g' S4 d/ T, w2 r! H
( G0 A: s6 W: f& |) [ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: + U" w0 K5 w$ k8 Q! |. U
* u g/ P- o/ Y8 I0 _" t4 n3 j
0 b- f' `$ Y5 J 
; n* p1 ?2 d, a ( y0 m/ L. s/ `1 q
; u5 e' A D: Q! u; T X 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
$ N$ Y5 }# H9 d0 b& I, ]0 D' _6 F+ a8 s
/ W5 q1 k9 A! s5 `( f% |" i5 T, d/ a* j( O
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
i) [8 a8 c% l! | + W8 @( F6 O2 W0 w9 v) U1 {
( b' r( U; { R1 L4 _* h/ M- }
: @3 a- W) ^6 q" C" e! S+ ?$ z
5 q+ j/ G/ w& q8 a- H8 D6 i
# ]" {# }( f) P. V# S $ s' b( t3 n- d
# x, _( y% [! I5 y R+ Z9 Z 
3 g4 M1 q% w6 G" [ \
0 k; y8 ?! _" }7 S; C
. D, T9 p! u( \ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
# o \" v. E6 |, p" Q C& [2 e: q
" [! x1 A& W2 C7 j
- i! A0 w! R* D( r
; P8 ]4 `; t* X/ Z: ^3 P
2 o3 n/ a, F/ I; T$ ` ) j' m. r% {8 @3 a2 }. F( i5 Y
: P) L8 v8 A+ h. g% P$ F/ ~/ y" c0 O
( I' I' v2 F0 S - @! |1 X# M- A0 w6 _7 a) V0 P8 B
' e j; _- E/ H( ? M 利用ms08067 成功溢出服务器,成功登录服务器 % ~8 M S9 D) W. ~
6 T0 O- y+ D$ t2 r, s; y+ O4 Q8 Q0 ?* v
O& E7 E2 E7 @; w: l/ ?: i
( _8 L- v0 k# g6 Q0 t3 g0 X
9 @" n0 \, z! x3 m% \6 O# S
& x( x9 T$ l' p+ Z6 j2 E& Q6 O
8 w3 U/ `. Y) T
% p2 v8 O7 i! X( D& P! q
- x" h' r2 G; z; J
7 W1 Q1 j, ?7 b0 w- v K% c( i 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen + O0 k7 Z$ _# l/ R& S3 a
4 |8 O/ {1 ^! K; J" E/ }- ~9 V _' K
j: {; {9 s4 M' v1 X" R* I1 y8 E 这样两个域我们就全部拿下了。
1 ^( M1 H3 E+ q. k# }
8 q# R) T" i0 h+ i: {8 ` U2 J w* I
" `8 p$ U! D1 V1 ~& t- I5 O7 X" l 3 、通过oa 系统入侵进服务器 8 [2 X, b% d: x. o$ B
1 x! x1 `. f7 G
+ @$ z7 a& Q* t& V7 w1 w; o Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
" f4 O: R5 ~% t# m# p " w4 E$ v- \5 Z) y( n* o
9 D4 O+ S: F2 v& c1 L
' O* T/ [) H" Y, d
! h1 d1 N9 A! |
+ M: g- s( b1 K# O5 {. j
* `$ W2 _* m" z2 M
$ R {% _+ _# \ o3 f  " _) D8 q" |" A% r* ^4 ^- x
3 }8 h8 F. e) J
/ k: t3 t! k7 _ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
! e2 Z x9 W3 p# `2 `
$ _, o" F J% v8 ^) ]% ^2 o( Z- n" T1 G& G& f5 N9 U
' ~! I/ p, T: D
M z" o1 P+ ?; k% k5 b+ l) ^
2 @5 M# y3 K1 S- v q
5 k7 a" U: h* K6 X+ Y2 ^5 H& Z: A6 ?2 F
 5 Q! e; V- _: B7 b
* Q- K5 y5 L( a+ s" s8 Q; Y. `2 ^( u* K1 b, f& H' P# @& ?
填写错误标记开扫结果如下 6 E9 r. |& J6 g+ C1 O) r
7 s2 ^# F' p) ?1 e. R' P1 Z" X- }
5 }! V6 {5 D) v5 R" X2 |, L, H( X
. ^& k/ s7 r m% \! t
$ S$ G: P- V* H Z 4 C- j+ ~% ?- ^1 S+ r7 X
# q# s2 ^: C6 T) L) H
T9 b) ~; j7 T5 H% ^/ l; h! I' B 
7 R9 X; c0 ]9 n7 D" q 7 z7 y+ o3 }, ~+ o. w) ^/ t5 t
# e- o5 F/ _1 @0 w2 ^- C3 B 下面我们进OA ( E% x5 `+ y+ p7 D) e
8 ]9 j% d) p; M2 \9 ?, T2 u
# V4 T1 y O+ o3 r/ Q" T 4 v: |3 x) V8 C
% T' O% v: L8 L9 }. x
7 m! a3 W: M. z& m3 H+ Q/ o ! i& }. D5 D6 ~+ }/ q: W
9 k1 u/ T8 }6 R) y. n+ G 
" y9 J2 c- j+ O4 J$ G, o 4 _) @* O) V _
# U9 I0 C1 ]: ~1 h z6 u
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
% `3 Q3 F E2 t q$ d$ @; f4 [. w 8 u9 ]: S/ L4 B
# F9 g5 U+ D; A$ {
! B7 Y. u# b$ |. S% L
6 F7 _! S8 d& F4 i/ T! z( i $ A7 _; @0 D& {7 @; Q
- l o- P0 ]) x% \5 y5 t
8 @# a, z& g) l! `; u0 g  / E, j. C8 a7 x; S( e! V: [6 |
: Q# N4 w' r# \4 l
- {) M3 B5 O' \4 B7 C/ s9 G% U 
) C/ Z2 c' i$ V$ L. F2 E; Z
3 v# b9 b) {$ O) L3 f# w) A& K0 l
[/ R( L$ u Y. v- C! V/ I3 I" W 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
' i& i! q' I) a" v/ n# d 0 Q2 f$ w( t8 e7 F4 E
4 M/ f% W2 b2 Y: {; w- N+ Z 4 、利用tomcat 提权进服务器
1 S2 R& r. X g/ R4 i( l6 L% J 8 i4 A( _" v$ E# K! B
7 B5 @! b- Z( g5 N$ L 用nessus 扫描目标ip 发现如图
" ?! |! l$ b2 a8 R& j2 a- I! B / y+ ?- r0 o1 m8 o
4 F5 }* {8 h( p# z; T- H$ ]( m7 \2 |; J+ U 4 Y+ B; x0 P1 H; @2 L" o: _
9 t; x; f! P$ _
- l% D! O0 s Z2 a% Q4 E& s0 o$ d - {, s0 J+ x2 d! @: J3 i
$ I$ K' D1 }9 x, q; W2 I+ f6 t  2 k" }! M1 i3 U$ a: w
G( b9 q- d; h$ x; a$ @4 `: s8 r% K
% R4 J. R# m& _9 J 登录如图: ! A5 Z9 {& D$ {& [& }, b
; \! ?0 D) n; W1 S) f
0 V2 W' a5 U; L! ~: d) l" m8 s
3 l+ A& Z$ ]5 d, P3 s
- E: k; m" c/ Q% d/ S
" z8 X9 a& }( g! g% R+ c, U
1 Z0 {4 _9 e0 i0 z I2 J
, Z/ @4 V( N ? l% z
8 b1 E; j& L% y; n( K+ g 2 `0 ]4 Q8 {3 @7 n) W# W2 r& S; o
# C- o! ^: [ ~- Z7 J, Y- }5 C& u
找个上传的地方上传如图:
& y7 L, c2 C. {5 T
" ~2 V* R- J, `7 t5 Q, ~0 o: q7 v# Y0 r- l
- v& j' S: N+ X
/ |9 J- m: E; y 6 ~: T- H, H {7 b5 x/ F! A
# c: F8 s) U) T% e
. ^3 k$ D2 |/ {4 X 
- N3 {0 x0 \1 x% M9 q& U/ X Y% t4 M! B, I4 N+ b+ x. x
" p) b4 A0 R, g8 h9 B _5 j/ N
然后就是同样执行命令提权,过程不在写了
0 e; x- M' E9 b, S/ ~6 M 8 ~: W7 T% R) D8 l) e$ q% r y
# w/ F1 u+ ]" e& t% o& F* S9 \
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 6 s% F2 _6 e% U V7 \) |
" O |( k' p3 j T; S: d) Z$ F& @/ _; U* m( D" S Y0 M
首先测试ARP 嗅探如图 1 }2 {6 p8 K0 U0 S( O
; L6 v( [3 n; q5 `+ C8 J+ y
4 S0 R' [% ]9 Y5 {0 F$ r
V5 q: A. ~; ^
. K) V% Y% @* O * L. W3 m& P2 E! c
: [1 c: t% U) _) R: G& }5 T/ l. Q# L
 ; K. L6 T$ J$ q- [2 y
# r2 e N% t2 ?4 X. s* l/ y6 S5 L, R0 v- O5 y
测试结果如下图:
7 x. P* }! n1 z" Q; _6 }8 ~! x& Z9 y) i
7 g1 v; b2 \$ R( f+ Q
7 n- q' ~; O6 I. _
( N( j' \4 t# r$ J7 h
% w1 u1 r4 x0 P# w
( x2 i8 s( {0 }9 Q s# @* j
, [. R9 a z5 g Z# @9 i
8 E! g1 M$ u8 b4 C 
% [7 e- G& b7 k0 w
; ^% o' \9 b+ |3 }6 E+ Y
/ V4 A- ` D4 ?+ e) m$ N7 m 哈哈嗅探到的东西少是因为这个域下才有几台机器
9 C1 M$ c4 O- f7 t3 i8 V% j * H* p5 _+ m* c$ C9 Q$ {/ {' ?+ H
& T( f; Q! o+ Y& }. z
下面我们测试DNS欺骗,如图:
3 v( f! w _) Z* w ! e1 v- o# E- @5 _. Y$ C
' `- I$ ?! s7 z5 N( I u
/ W* r. ^; z/ a& y+ E+ g
. V2 ^* R, q5 f1 D
/ b$ C0 ~/ F# w* x
" ]! r. K3 b- m6 d) }2 }; D, N3 Z$ ~+ M5 ]+ V
. O- E8 M& r6 G
7 `5 ~! U" L! l4 a7 }9 R- h
# E. @- G( U! W 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % ^, W6 s7 L* H% s A4 q
* p. X1 {7 ]. P5 H# H3 g4 ]4 U* z) K4 Y9 {' ]
3 U- {: f6 M$ z
. Y( ~5 I' n5 U% c, ^
; c5 [# Z1 f* O6 {9 ^
$ A0 {' }" U, d! V; M% ~
& f% x& L z9 P+ M
 # c5 M% z- V( F0 v& z
5 K6 l5 u7 S' S
5 V' n0 O' S: c: i. w3 ~ (注:欺骗这个过程由于我之前录制了教程,截图教程了)
G8 t3 B* l- v1 y 3 t( v; H5 |4 y# J9 m
, ~: h: b4 Q# b( V% m7 v 6 、成功入侵交换机
5 f" P# Z% `+ b, }, r+ Q1 K
8 r8 b- d( {0 i$ r. a
( P& h8 Y+ `8 W" G* g; `# W1 F 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
" ^- i; ~3 J/ k
8 v9 J: L2 t$ U7 g. }3 n+ l: B- ^& C) S3 T* S
我们进服务器看看,插有福吧看着面熟吧
0 z- X7 [& V- v$ c& U' x
% `7 J) I q- J( q8 l( @4 W( a5 S& C9 j2 x1 b
2 x% A2 b; V( @+ w. ?+ }* Y* ~! L( R' q
+ {+ m+ a) T9 }4 S3 ~' P 8 [- |) d+ h! w6 w3 \
& p, n0 w* n- i$ P5 M% e
+ g7 p6 P4 i6 o. C0 g" E  / h- \8 |) |; Q) r2 s5 g
; N. _5 g7 d* d. H' _7 ?7 j
X' T- {) [! H6 }0 w2 Z 装了思科交换机管理系统,我们继续看,有两个 管理员 % Q, @8 R3 V' u& j+ `
; K; {% \2 w. ]! [
+ s. n1 v$ f% N P+ B% F0 R/ @9 g8 [( R
; u. C) H" Y( m, `' n5 e8 l X
4 v/ G2 `- y8 O) k
8 |! {# a S$ h1 ^4 E) o, c6 Y7 U" d3 a9 S
4 q, n5 O' V5 o: b; g- H' s' J2 V* y. [( D) G- I/ J: P2 s
" u" e. W3 M9 U2 i: @+ ^# _
3 Z j; |7 R4 T( x7 \' b
. T. b( P! A- P) i# n 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 : F# N& Y* Q# ]6 h
2 i5 u! c4 n. ~, @% ^7 A
% v5 c1 k& ?- {& l; D 7 u5 l" _1 i" v$ w) l- k$ o* S1 K
$ }4 @5 f# | x2 ]/ U3 s! k |
0 h$ ^5 U& y5 x/ C' w9 i
' x5 X% h4 L+ p W+ \1 e7 g
* S* x5 M k& J  5 ^7 q+ j! j0 B5 D" Y! @
0 O- O7 e1 P" R1 d
* O( |! f6 d2 F& _* W8 E | 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图:
6 C8 l" c2 {9 u( a v" ~ + K1 p1 v6 C! G2 m9 e, n
: b0 n3 Z% y" B. W8 t
- D- V; Y0 h; }3 `$ z
: _" C% c1 y5 d: F& ~
- C8 O" \2 y5 b8 l# m8 n
1 `& i4 J* i. Z# |1 q
- z) P8 R- \3 g- s0 R) B/ q1 F
# B2 X( k" n9 ^
' C( P1 {1 m3 p4 ^' e9 H* j
4 A: @/ x- E& J$ p& o) w 点config ,必须写好对应的communuity string 值,如图: ; y( T3 {0 v! w# k0 G! l0 L) J
4 T' W/ _% V8 P& ^. y& V" h4 q" z
: d# t: A0 Q' s3 F3 @ ) o S5 _( X o. j( k7 W* K) r6 b
" [/ b( f( D: w1 U8 p0 |) Y . G& Z( _& w2 M/ q5 C$ c
$ ]4 I3 l2 j4 v2 T7 [4 [, q4 k0 ?, B! E6 z
% m4 m2 {* t) P
' E9 a; W" O! c
! |0 ~+ C! J+ F1 i: b" ?0 x/ Q' Y 远程登录看看,如图: G' [" n3 _+ ?" e5 q: Z
) E; Y# C+ @. U% k- w* o3 k
" o0 y: H X# C7 S
9 F: m* Z- B* E2 Q ~
) _ {7 a4 S% ] p2 N7 U2 B) S* z- r 5 V) ~* M. }6 D8 f' t0 L: f
! b, G- N3 Y' ~' w
& N( \& Z! Y+ g; p- j  * z3 O- i' {; p
* L. F9 j8 l7 T/ q
1 ?3 z& n( C( c3 ]9 b: f
直接进入特权模式,以此类推搞了将近70 台交换机如图:
: g, I7 G* m* x7 k ' R* F( d2 d8 q
' [4 \* P/ L6 T
9 X; y; P' w5 H* O3 T8 b( K# m" W. v
5 ?$ T7 X; j! t+ b1 X; \ + a) |& X1 g* }8 N
1 ~* W+ [. C. i
" B: Y% Y/ V8 k8 l
 * I2 y5 `8 ]1 Q% t$ u
+ }: A" c2 Y2 g3 q& a2 t
8 |. p4 T1 s' s* F6 [3 U  H1 M2 S" b. t% [7 B- z2 c/ _3 Y
2 h1 X: Z, |6 a
5 F7 L3 n0 F) S B, ^; C 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** + l3 a# k4 A, p+ ]1 D# u
0 x a% d6 j: G7 g z. f6 x
$ x9 t: ]& T' R9 i2 ?
* R8 u5 \$ z9 G. t
6 P1 M i9 U6 W6 S2 H9 J
4 M; d( f! w8 b 1 W' }. C7 _# G" d8 e6 k
h& D* V# J0 ?3 G. [ 
8 G3 |- V$ ]. Q, c# b; d0 [8 E5 N' r9 z
& c$ \* C L6 P# O7 ]! P; s. l, P) n+ R g4 F- R
确实可以读取配置文件的。
% K; m& n. Y% i$ q
( v# X' p. O* g+ D8 b: A
) t: }3 R& Y' ^$ J. ~3 n! l 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
# R& h" j( V$ ?7 y / w- i" v: o; N/ o4 R2 j
8 |9 e7 }5 ?& S$ S, L3 ^! L 4 E4 K+ `* a% i+ f: ~0 W$ h
. A$ c% u% w5 D" C, i b # M% _: r4 O) K* ^ r- y9 k) c3 ~
. Q5 z% v3 \" V( T2 ?6 f; i2 u2 U
7 H6 W, A# }# E7 g { 
0 K* p* o, p* m( T' Y8 z
0 e1 Z L& Q- F
9 ]- E. u1 c* h- K i4 |/ u% [  . o3 o3 V3 L1 F/ H$ {
9 D$ r) p/ a9 V1 |# {6 {3 B
( w$ g& I/ U7 P$ } 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 0 Z3 V5 R- ?+ r/ j' P
: ] m* ^* ~4 n; t4 G1 J; h) L- P
- y' M( Z- k, H/ w3 f
% Y: W$ q h' F: `
3 h( P) s. q3 M0 b* w1 D
3 @% Z/ I( Y4 \0 p
' j. b3 [" F, v& N# a' P- @/ \1 Z- C) k' ^5 J
7 _+ h3 ?9 B! G% g ! X3 z r" [$ b: w
: ^/ }/ [3 z+ V w; }2 X/ Y) P0 Q 上图千兆交换机管理系统。 0 }' p9 R. ?5 x' X
g. g$ i# {! K8 P) r) X& z* M' }% z% ~# y0 o
7 、入侵山石网关防火墙
& T5 ~6 V9 B' P# V! q
$ t! ?4 J5 C# O7 j; C. E- r: X' w; Q8 k- M
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
( W, T t W6 ? s ) {) l3 A: t* J! o4 S
2 `, M+ ]4 _- y- _0 C" C/ D
3 B5 ^( U+ ~, t9 T
; Y$ K: `( A0 v7 }) O/ K5 P : o& m& {. ?# o5 I* t
; m \- b9 v4 `6 k0 |/ o/ {9 t( N
) F8 W4 J: V- H0 {7 G3 j1 s& T8 }6 f 
9 `6 c2 D) x: a9 J* o$ x
6 V! G2 J1 o0 M1 x! D4 o4 l s4 ]& }' u5 h# p6 @& n
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: Q) C9 V& M( k, b' c& f+ Y
5 r, s G4 Z# q8 L
^, k t3 p, k9 c" [" j 6 t# c1 v; ?0 a+ |1 k
4 }4 W0 |1 ]- D9 e8 ~# h+ n# X + \. u+ X( X8 t" f
" z3 K& J* `; v3 }/ R6 H. c
7 a& b; ^& L9 L7 l4 x( e ^ 
$ O' b$ _9 [" h. o6 t 6 l- ]# g' L. @: |+ P
" W4 E8 L x/ n1 W 然后登陆网关如图:** 4 V# W) L, `, C; }) G8 s
* d; Q8 t( v$ M0 q% [% t
' G4 @/ ^0 i7 z7 e , b5 g8 g( \5 U; o. N& ]5 P8 p3 O
0 b+ j! x9 a+ a
$ J* F0 N% B d L1 e ; e" r: e: l9 y& }% H* }- ~/ E1 `
$ v: Q4 Y0 O% r: F$ q$ C1 K; X  6 t. d) x$ B0 W$ M
7 L$ k: L7 ]# r: Z c- I& f9 {' @: c% Y5 n5 e5 }# Z
; j0 A# k- j: h g. |& U
+ j* r' H* ~ Y& @ & B5 t* W; R7 \7 i6 K& I/ ]
5 a! P' |6 H' W" `/ Z- t9 R
3 S9 F+ y! C W' L% G+ O 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 7 p3 A; f2 U( s
% Z( I' l5 j5 |# C$ i5 V( Z
' d0 Q$ n& x7 U9 t/ Y 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
2 `1 f4 L( K9 F6 ~
[2 h* S" G3 c8 j: g4 p- Z
9 f, N5 f$ N' ]; F 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** , @* u( R# g4 h& s8 r' p. d7 i
. \* ~7 S, M( l" W
! p9 V. d7 n6 e: y, Q
' V6 J/ F; m' U, G! ~) ~, [# W
t6 L8 i6 m( H s% g
- H& U3 o N& c k& q9 j2 k
, _# i2 p) n- j# t4 J2 `6 a+ e/ _( R9 {) k
3 v' ~7 x# X* Y9 W. `: y8 k& W
, \- m; S2 T' ~7 n1 l% e
* t" L+ a& s& t' @8 c, D, C; j- } 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
9 R2 |. }& T: l3 \ J
1 K$ G1 b1 U8 }' d* N& ]- H' ` N7 X% E) E) z
# X: S7 f4 n4 j# T$ q/ ^
7 H) |8 e; f0 ?2 E+ ^. C, V, o
: {, A! I& {; A8 h# Z4 u
0 \7 O. _. K( {- h" U. ]
. Z4 }6 F- [! W5 \$ N. U5 H1 s" r# E
| 
发表于 2018-10-20 20:19:10
收藏
支持
反对