步步深入 內(nèi)網(wǎng)滲透及域淪陷過(guò)程
前幾天拿到一個(gè)站的shell,windows2000系統(tǒng),提權(quán)成功,3389沒(méi)開(kāi),打開(kāi)3389,待服務(wù)器重啟之后,lcx轉(zhuǎn)發(fā),3389登陸。
進(jìn)入服務(wù)器后發(fā)現(xiàn)同C段只有一臺(tái)主機(jī)192.168.0.50
于是就感覺(jué)奇怪,怎么說(shuō)這個(gè)拿的這個(gè)站的單位也是小有規(guī)模的,怎么就一臺(tái)呢….于是就想到了,服務(wù)器是再DMZ區(qū),用來(lái)與外界通信,肯定還存在一個(gè)內(nèi)網(wǎng)!
像下圖:
隨后驗(yàn)證我的猜想,進(jìn)入網(wǎng)關(guān),IE訪問(wèn)之后發(fā)現(xiàn)是sonicwall防火墻,可是沒(méi)有管理的賬戶密碼,一般的路由交換防火墻之類(lèi)的都有一個(gè)系統(tǒng)預(yù)設(shè)的賬戶,如果管理員沒(méi)有修改這個(gè)賬戶,那豈不是便宜我們了,于是調(diào)用百度,谷歌,還有官方的客戶視頻,終于知道這個(gè)型號(hào)的防火墻默認(rèn)密碼是admin password
隨后嘗試登陸,RP真好,管理沒(méi)有改密碼,登陸成功,進(jìn)入防火墻之后,發(fā)現(xiàn)我的猜想是對(duì)的,整個(gè)內(nèi)網(wǎng)費(fèi)的分布盡收眼底.
我們現(xiàn)在所處的位置就是DMZ區(qū),與防火墻X3端口相連接,192.168.0.1/24 本機(jī)地址是192.168.0.50/24
得到LAN所在的網(wǎng)段是10.0.0.1/21
Ping了下這個(gè)網(wǎng)段能正常通信,去LAN的路是沒(méi)什么問(wèn)題?,F(xiàn)在首先要做的是把3389端口給映射出來(lái),省的每次登陸都要轉(zhuǎn)發(fā)。。
先在DMZ的這臺(tái)服務(wù)器上進(jìn)行一些操作
VNCPassView得到密碼 其實(shí)后來(lái)并沒(méi)有用到這個(gè)。
用Hscan進(jìn)行一下掃描,掃出兩個(gè)sa弱口令,爽歪歪。
10.0.0.40 sa弱口令登陸數(shù)據(jù)庫(kù),利用xp_cmdshell成功添加管理員賬號(hào) admin$ admin
就用這個(gè)來(lái)進(jìn)行LAN信息的刺探
于是登陸3389,發(fā)現(xiàn)管理員正登陸在這臺(tái)機(jī)器上,為了不打草驚蛇,先Telnet吧
用IPC$建立連接,打開(kāi)Telnet,登陸Net view
查看本機(jī)在LAN中的角色ipconfig /all
從信息來(lái)看,存在一個(gè)域,這臺(tái)機(jī)器就在這個(gè)域中,ping下域服務(wù)器名得到地址10.0.0.6
看下本機(jī)在域內(nèi)的角色
看來(lái)只是個(gè)普通角色
查看域用戶net user /domain
好多好多,看看,域管理員是哪些
得到了初步內(nèi)網(wǎng)信息的刺探。
在Telnet下實(shí)在不爽,而且照這個(gè)時(shí)間來(lái)看,對(duì)方是凌晨,怎么還有這么敬業(yè)的管理員凌晨還在工作,不管他直接3389進(jìn)去
然后中上WinLogonHack,等待記錄域管理員登陸3389的密碼, 我暫時(shí)沒(méi)有用到cain來(lái)嗅探,動(dòng)作太大了不好。。。(ps:其實(shí)我手上的cain還是中文的,傳上去會(huì)一堆亂碼,慚愧)
上傳GetHashes
GetHash
經(jīng)過(guò)N長(zhǎng)時(shí)間的跑密碼。終于破解。
我們猜想administrator的密碼會(huì)不會(huì)跟域管理員的密碼相同呢?
驗(yàn)證猜想,登陸域管理主機(jī)。
現(xiàn)在我們知道了域服務(wù)器是10.0.0.6那么我們遠(yuǎn)程登錄試試,沒(méi)想到一登錄都沒(méi)驗(yàn)證就直接進(jìn)服務(wù)器了,踏破鐵鞋無(wú)覓處,得來(lái)全不費(fèi)工夫啊?。?/p>
這里向各位大牛求解,進(jìn)去之后發(fā)現(xiàn)管理員在線。
隨后添加域管理員賬號(hào)admin$ admin!@#
成功添加域管理賬號(hào),整個(gè)域就任我行走啦~~~此次滲透就差不多結(jié)束了,其實(shí)LAN絕對(duì)不止10.0.0.1-255這點(diǎn)機(jī)器,注意上面的子網(wǎng)掩碼,10.0.1.0-255等等好多。