用户
搜索
  • TA的每日心情

    2018-10-10 10:20
  • 签到天数: 12 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    8

    主题

    58

    帖子

    254

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-6-30

    i春秋签约作者春秋文阁

    发表于 2018-2-28 19:45:47 2413293

    过年了,先祝大家过年好。。。。祝各位发财,祝蛋总和兔子百年好合啊。。。

    起因:没事闲的一直跟这个迷妹聊天,聊着聊着就提到她的学校了。于是百度看了看他的学校。

    第一个就是他们的官网。没什么可说的。那打开看看吧。
    图片 1.png
    这个都可以放出来?还有这种操作?
    图片 1.png
    目测这个监控平台是海康威视的。但是仔细看看url发现。是域名上面的一个端口。这就说明。这个网站的IP地址,是这所学校的IP地址。先扫描一下吧
    图片 1.png
    通过扫描我们可以发现 这个ip开放了ftp pptp 还有8001-8011(监控)的端口。那么下一步该怎么做呢?我们先来尝试一下ftp的匿名登录。
    图片 1.png
    图片 1.png
    emmmmm 我们用windows试试
    图片 1.png
    ftp宿主程序竟然是serv-u??serv-u 6.x可是有提权漏洞的。可是经过了一次nat我们无法直接访问这台服务器。。。
    其实我在写这篇文章之前,这个ip开放了81端口。81端口是动易。于是我下载了他们的动易数据库。进入了他们的后台。拿到了一枚shell。并且通过了pr提到了权限。但由于为了写这篇文章。我把这个漏洞告诉他们学校的管理员了。所以说无从证实。也无从截图。但是在渗透的时候顺手截了几张在下面。大家可以凑合看。可以给大家看一下我浏览器的历史记录。。
    图片 1.png
    但是pr提到权限后。我想使用lcx反弹内网。可是失败了。查看了进程发现了360。
    已知pr是system权限。竟然可以结束掉360的主动防御进程。。。
    图片 1.png
    还有这种操作。。6666

    通过这个马子,我们可以发现这个服务器的内网ip是192.168.188.10。但是我翻了D盘一圈。找到了这个80端口的程序。
    图片 1.png
    添加一个文件测试
    图片 1.png
    服务器上明明添加了。可是主站就是不提示。为什么呢?可能是不是一个服务器吧。正好木马上有端口扫描功能。
    图片 1.png
    这台服务器虽然说外网访问是81端口可是这台服务的内网并没有开启80端口。只能说明,80端口和81端口是两个服务器。反之。这个学校内网一定非常大。。
    可是。使用lcx无法反弹内网。而且msf生成的payload也无法正常上线。这怎么办。。。他们还开了个pptp呢。。
    账号密码是什么啊
    图片 1.png
    既然id最早的人叫吴XX 密码是wza122201.那么我们先试试pptp连接
    然而密码并不正确
    图片 1.png
    在随便试试。。
    图片 1.png
    卧槽?我的手怎么这么贱,一敲就进去了。。。。
    这没办法。。这就是命。
    于是乎,我们先登录那台被提权过的服务器,先进行追踪路由
    图片 1.png
    哇还有一个跳点。如果说我猜的没错的话。第一个跳点应该是三层交换机的vlan。第二个跳点是出口路由器的地址。第三个地址是运营商对端的设备地址。先搞第一个ip
    经过端口扫描。我发现,开放了23端口。此端口应该是telnet
    图片 1.png
    那么就telnet上看看

    默认密码都是ruijie。一个尿性。。。看看配置文件。。。
    [Shell] 纯文本查看 复制代码
    s3750#sh run
    
     
    
    Building configuration...
    
    Current configuration : 4895 bytes
    
     
    
    !
    
    version RGOS 10.2(5), Release(66183)(Wed Sep 30 12:41:44 CST 2009 -ngcf51)
    
    !
    
    !
    
    !
    
    vlan 1
    
    !
    
    vlan 10
    
    !
    
    vlan 11
    
    !
    
    vlan 12
    
    !
    
    vlan 13
    
    !
    
    vlan 14
    
    !
    
    vlan 15
    
    !
    
    vlan 16
    
    !
    
    vlan 20
    
    !
    
    vlan 100
    
    !
    
    vlan 121
    
    !
    
    vlan 188
    
    !
    
    vlan 200
    
    !
    
    !
    
    no service password-encryption
    
    service dhcp
    
    ip dhcp excluded-address 192.168.11.1 192.168.11.50
    
    ip dhcp excluded-address 192.168.12.1 192.168.12.50
    
    ip dhcp excluded-address 192.168.13.1 192.168.13.50
    
    ip dhcp excluded-address 192.168.14.1 192.168.14.50
    
    ip dhcp excluded-address 192.168.188.1 192.168.188.50
    
    ip dhcp excluded-address 192.168.200.1 192.168.200.10
    
    ip dhcp excluded-address 192.168.16.200 192.168.16.254
    
    ip dhcp excluded-address 192.168.15.200 192.168.15.254
    
    !
    
    ip dhcp pool 11
    
     network 192.168.11.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.11.1
    
    !
    
    ip dhcp pool 12
    
     network 192.168.12.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.12.1
    
    !
    
    ip dhcp pool 13
    
     network 192.168.13.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.13.1
    
    !
    
    ip dhcp pool 14
    
     network 192.168.14.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.14.1
    
    !
    
    ip dhcp pool 188
    
     network 192.168.188.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.188.1
    
    !
    
    ip dhcp pool vlan15
    
     lease 0 2 0
    
     network 192.168.15.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.15.1
    
    !
    
    ip dhcp pool vlan15-2
    
     lease 0 2 0
    
     network 192.168.16.0 255.255.255.0
    
     dns-server 221.131.143.69 114.114.114.114
    
     default-router 192.168.16.1
    
    !
    
    ip dhcp pool vlan200
    
     option 138 ip 1.1.1.1
    
     lease 0 8 0
    
     network 192.168.200.0 255.255.255.0
    
     default-router 192.168.200.1
    
    !
    
    !
    
    !
    
    !
    
    !
    
    !
    
    !
    
    !
    
    !
    
    no logging on
    
    enable secret level 1 5 $1$MjWk$4rAutr67zq7yz4v6
    
    enable secret 5 $1$EEh7$yr0wBwBvyxE1ypw2
    
    enable password ruijie
    
    !
    
    !
    
    !
    
    !
    
    hostname s3750
    
    interface FastEthernet 0/1
    
     switchport access vlan 13
    
    !
    
    interface FastEthernet 0/2
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/3
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/4
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/5
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/6
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/7
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/8
    
     switchport access vlan 13
    
    !
    
    interface FastEthernet 0/9
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/10
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/11
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/12
    
     switchport access vlan 13
    
    !
    
    interface FastEthernet 0/13
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/14
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/15
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/16
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/17
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/18
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/19
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/20
    
     switchport access vlan 13
    
    !
    
    interface FastEthernet 0/21
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/22
    
     switchport mode trunk
    
    !
    
    interface FastEthernet 0/23
    
     switchport access vlan 188
    
    !
    
    interface FastEthernet 0/24
    
     switchport access vlan 188
    
    !
    
    interface GigabitEthernet 0/25
    
     switchport access vlan 13
    
     flowcontrol auto
    
    !
    
    interface GigabitEthernet 0/26
    
     flowcontrol auto
    
    !
    
    interface GigabitEthernet 0/27
    
     switchport mode trunk
    
    !
    
    interface GigabitEthernet 0/28
    
     no switchport
    
     ip proxy-arp
    
     ip address 192.168.100.2 255.255.255.0
    
    !
    
    interface VLAN 1
    
     no ip proxy-arp
    
     ip address 192.168.2.1 255.255.255.0
    
    !
    
    interface VLAN 10
    
     no ip proxy-arp
    
    !
    
    interface VLAN 11
    
     no ip proxy-arp
    
     ip address 192.168.11.1 255.255.255.0
    
     description GAOZHONG
    
    !
    
    interface VLAN 12
    
     no ip proxy-arp
    
     ip address 192.168.12.1 255.255.255.0
    
     description CHUZHONG
    
    !
    
    interface VLAN 13
    
     no ip proxy-arp
    
     ip address 192.168.13.1 255.255.255.0
    
     description SHIYAN
    
    !
    
    interface VLAN 14
    
     no ip proxy-arp
    
     ip address 192.168.14.1 255.255.255.0
    
     description ZHONGHE
    
    !
    
    interface VLAN 15
    
     no ip proxy-arp
    
     ip address 192.168.15.1 255.255.255.0
    
     ip address 192.168.16.1 255.255.255.0 secondary
    
     description AP
    
    !
    
    interface VLAN 20
    
     no ip proxy-arp
    
    !
    
    interface VLAN 121
    
     no ip proxy-arp
    
    !
    
    interface VLAN 188
    
     no ip proxy-arp
    
     ip address 192.168.188.1 255.255.255.0
    
    !
    
    interface VLAN 200
    
     no ip proxy-arp
    
     ip address 192.168.200.1 255.255.255.0
    
    !
    
    !
    
    !
    
    !
    
    ip route 0.0.0.0 0.0.0.0 192.168.100.1
    
    ip route 1.1.1.1 255.255.255.255 192.168.200.4
    
    !
    
    !
    
    snmp-server community public ro
    
    line con 0
    
    line vty 0 4
    
     login
    
     password ruijie
    
    !
    
    !
    
    end
    
    s3750#
    通过这个配置文件。我可以看出 这是个三层交换机。缺省路由直接指向192.168.100.1那么这个ip肯定是出口了,同时28口为三层接口。即直连路由器的接口。同时这个交换机vlan这么全。又有dhcp地址池。可以推断。这个交换机就是他们的核心交换机了。。
    在扫一下服务器网段。发现了三台开着445端口的小绵羊。。。
    图片 1.png
    上msf 。稳稳的永恒之蓝。。
    图片 1.png

    这里可能游戏而会有个疑问 ,为什么不用mac下的msf呢?因为mac不支持pptp啊。经过google听说有一款软件叫shimo支持pptp。可是我下载了。并不能用

    嗅探一下密码 失败了。没招 既然这样,那我们只好添加用户查远程端口连接了。
    查一下远程端口
    图片 1.png
    端口1207 登录拿下
    图片 1.png
    既然这里有个Apache 而且80端口也是apache。估计就是这台服务器就是80端口的吧
    图片 1.png

    图片 1.png
    找啊找
    图片 1.png
    测试一下,留个文件看看会不会出现
    图片 1.png
    成功拿下。。。。。。

    本人在写文章之前已经联系目标学校进行漏洞修复了已经打上了相应的补丁。关闭了相应的服务。


    本帖被以下淘专辑推荐:

    • · 实例|主题: 14, 订阅: 2
    发表于 2018-3-1 15:12:22
    香白菜 发表于 2018-3-1 11:05
    作者你日进的内网服务器怎么在cmd里面弄得msf端,小白不懂

    由于我的mac无法连接pptp 所以说只好转在win7虚拟机下进行尝试。MSF端为metasploit-framework Windows版。安装后直接敲msfconsle即可使用
    使用道具 举报 回复
    “其实我在写这篇文章之前,这个ip开放了81端口。81端口是动易。于是我下载了他们的动易数据库。进入了他们的后台”。有没有大佬解释一下这个  = =
    使用道具 举报 回复
    发表于 2018-3-1 15:10:47
    ztencmcp 发表于 2018-3-1 10:42
    shimo,PPTP是可以用的。

    我的测试环境是macOS High Sierra最新版本。shimo在pptp显示可以连接。但是无法ping通。所以说我没法使用
    使用道具 举报 回复
    发表于 2018-3-1 15:16:00
    super咸fish 发表于 2018-3-1 10:38
    撩妹是次要的,大佬的主要目的是网站

    净说大实话。。
    使用道具 举报 回复
    发表于 2018-3-1 16:49:43
    Trojians 发表于 2018-3-1 16:06
    所以大佬,这个xixiashu中学。。。

    你要被删帖
    使用道具 举报 回复
    作者你日进的内网服务器怎么在cmd里面弄得msf端,小白不懂
    使用道具 举报 回复
    发表于 2018-3-1 17:48:31
    动易6.8cms有办法吗?  今天正好遇到一个~
    小白~~~
    使用道具 举报 回复
    发表于 2018-3-1 10:36:09
    首先,大佬根本就不想打码吧,信息已经全部暴露了
    小白~~~
    使用道具 举报 回复
    大佬搔姿势啊
    使用道具 举报 回复
    撩妹是次要的,大佬的主要目的是网站
    使用道具 举报 回复
    发表于 2018-3-1 10:42:44
    shimo,PPTP是可以用的。
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-3-1 10:51:09
    使用道具 举报 回复
    发表于 2018-3-1 10:54:13
    这码打的挺好的啊
    使用道具 举报 回复
    发表于 2018-3-1 12:47:03
    永恒之蓝的exp给我发一份呗,谢谢
    使用道具 举报 回复
    很强了,致敬学习
    使用道具 举报 回复
    发表于 2018-3-1 16:06:03
    所以大佬,这个xixiashu中学。。。
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册