起因:沒事閒的一直跟這個迷妹聊天,聊著聊著就提到她的學校了。於是百度看了看他的學校。
第一個就是他們的官網。沒什麼可說的。那打開看看吧。
這個都可以放出來?還有這種操作?
目測這個監控平臺是海康威視的。但是仔細看看url發現。是域名上面的一個端口。這就說明。這個網站的IP地址,是這所學校的IP地址。先掃描一下吧
通過掃描我們可以發現 這個ip開放了ftp pptp 還有8001-8011(監控)的端口。那麼下一步該怎麼做呢?我們先來嘗試一下ftp的匿名登錄。
emmmmm 我們用windows試試
ftp宿主程序竟然是serv-u??serv-u 6.x可是有提權漏洞的。可是經過了一次nat我們無法直接訪問這臺服務器。。。
其實我在寫這篇文章之前,這個ip開放了81端口。81端口是動易。於是我下載了他們的動易數據庫。進入了他們的後臺。拿到了一枚shell。並且通過了pr提到了權限。但由於為了寫這篇文章。我把這個漏洞告訴他們學校的管理員了。所以說無從證實。也無從截圖。但是在滲透的時候順手截了幾張在下面。大家可以湊合看。可以給大家看一下我瀏覽器的歷史記錄。。
但是pr提到權限後。我想使用lcx反彈內網。可是失敗了。查看了進程發現了360。
已知pr是system權限。竟然可以結束掉360的主動防禦進程。。。
還有這種操作。。6666
通過這個馬子,我們可以發現這個服務器的內網ip是192.168.188.10。但是我翻了D盤一圈。找到了這個80端口的程序。
添加一個文件測試
服務器上明明添加了。可是主站就是不提示。為什麼呢?可能是不是一個服務器吧。正好木馬上有端口掃描功能。
這臺服務器雖然說外網訪問是81端口可是這臺服務的內網並沒有開啟80端口。只能說明,80端口和81端口是兩個服務器。反之。這個學校內網一定非常大。。
可是。使用lcx無法反彈內網。而且msf生成的payload也無法正常上線。這怎麼辦。。。他們還開了個pptp呢。。
賬號密碼是什麼啊
既然id最早的人叫吳XX 密碼是wza122201.那麼我們先試試pptp連接
然而密碼並不正確
在隨便試試。。
臥槽?我的手怎麼這麼賤,一敲就進去了。。。。
這沒辦法。。這就是命。
於是乎,我們先登錄那臺被提權過的服務器,先進行追蹤路由
哇還有一個跳點。如果說我猜的沒錯的話。第一個跳點應該是三層交換機的vlan。第二個跳點是出口路由器的地址。第三個地址是運營商對端的設備地址。先搞第一個ip
經過端口掃描。我發現,開放了23端口。此端口應該是telnet
那麼就telnet上看看
默認密碼都是ruijie。一個尿性。。。看看配置文件。。。
s3750#sh run
Building configuration...
Current configuration : 4895 bytes
!
version RGOS 10.2(5), Release(66183)(Wed Sep 30 12:41:44 CST 2009 -ngcf51)
!
!
!
vlan 1
!
vlan 10
!
vlan 11
!
vlan 12
!
vlan 13
!
vlan 14
!
vlan 15
!
vlan 16
!
vlan 20
!
vlan 100
!
vlan 121
!
vlan 188
!
vlan 200
!
!
no service password-encryption
service dhcp
ip dhcp excluded-address 192.168.11.1 192.168.11.50
ip dhcp excluded-address 192.168.12.1 192.168.12.50
ip dhcp excluded-address 192.168.13.1 192.168.13.50
ip dhcp excluded-address 192.168.14.1 192.168.14.50
ip dhcp excluded-address 192.168.188.1 192.168.188.50
ip dhcp excluded-address 192.168.200.1 192.168.200.10
ip dhcp excluded-address 192.168.16.200 192.168.16.254
ip dhcp excluded-address 192.168.15.200 192.168.15.254
!
ip dhcp pool 11
network 192.168.11.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.11.1
!
ip dhcp pool 12
network 192.168.12.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.12.1
!
ip dhcp pool 13
network 192.168.13.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.13.1
!
ip dhcp pool 14
network 192.168.14.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.14.1
!
ip dhcp pool 188
network 192.168.188.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.188.1
!
ip dhcp pool vlan15
lease 0 2 0
network 192.168.15.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.15.1
!
ip dhcp pool vlan15-2
lease 0 2 0
network 192.168.16.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.16.1
!
ip dhcp pool vlan200
option 138 ip 1.1.1.1
lease 0 8 0
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
!
!
!
!
!
!
!
!
!
no logging on
enable secret level 1 5 $1$MjWk$4rAutr67zq7yz4v6
enable secret 5 $1$EEh7$yr0wBwBvyxE1ypw2
enable password ruijie
!
!
!
!
hostname s3750
interface FastEthernet 0/1
switchport access vlan 13
!
interface FastEthernet 0/2
switchport access vlan 188
!
interface FastEthernet 0/3
switchport access vlan 188
!
interface FastEthernet 0/4
switchport access vlan 188
!
interface FastEthernet 0/5
switchport access vlan 188
!
interface FastEthernet 0/6
switchport access vlan 188
!
interface FastEthernet 0/7
switchport access vlan 188
!
interface FastEthernet 0/8
switchport access vlan 13
!
interface FastEthernet 0/9
switchport access vlan 188
!
interface FastEthernet 0/10
switchport access vlan 188
!
interface FastEthernet 0/11
switchport access vlan 188
!
interface FastEthernet 0/12
switchport access vlan 13
!
interface FastEthernet 0/13
switchport access vlan 188
!
interface FastEthernet 0/14
switchport access vlan 188
!
interface FastEthernet 0/15
switchport access vlan 188
!
interface FastEthernet 0/16
switchport access vlan 188
!
interface FastEthernet 0/17
switchport access vlan 188
!
interface FastEthernet 0/18
switchport access vlan 188
!
interface FastEthernet 0/19
switchport access vlan 188
!
interface FastEthernet 0/20
switchport access vlan 13
!
interface FastEthernet 0/21
switchport access vlan 188
!
interface FastEthernet 0/22
switchport mode trunk
!
interface FastEthernet 0/23
switchport access vlan 188
!
interface FastEthernet 0/24
switchport access vlan 188
!
interface GigabitEthernet 0/25
switchport access vlan 13
flowcontrol auto
!
interface GigabitEthernet 0/26
flowcontrol auto
!
interface GigabitEthernet 0/27
switchport mode trunk
!
interface GigabitEthernet 0/28
no switchport
ip proxy-arp
ip address 192.168.100.2 255.255.255.0
!
interface VLAN 1
no ip proxy-arp
ip address 192.168.2.1 255.255.255.0
!
interface VLAN 10
no ip proxy-arp
!
interface VLAN 11
no ip proxy-arp
ip address 192.168.11.1 255.255.255.0
description GAOZHONG
!
interface VLAN 12
no ip proxy-arp
ip address 192.168.12.1 255.255.255.0
description CHUZHONG
!
interface VLAN 13
no ip proxy-arp
ip address 192.168.13.1 255.255.255.0
description SHIYAN
!
interface VLAN 14
no ip proxy-arp
ip address 192.168.14.1 255.255.255.0
description ZHONGHE
!
interface VLAN 15
no ip proxy-arp
ip address 192.168.15.1 255.255.255.0
ip address 192.168.16.1 255.255.255.0 secondary
description AP
!
interface VLAN 20
no ip proxy-arp
!
interface VLAN 121
no ip proxy-arp
!
interface VLAN 188
no ip proxy-arp
ip address 192.168.188.1 255.255.255.0
!
interface VLAN 200
no ip proxy-arp
ip address 192.168.200.1 255.255.255.0
!
!
!
!
ip route 0.0.0.0 0.0.0.0 192.168.100.1
ip route 1.1.1.1 255.255.255.255 192.168.200.4
!
!
snmp-server community public ro
line con 0
line vty 0 4
login
password ruijie
!
!
end
s3750#
通過這個配置文件。我可以看出 這是個三層交換機。缺省路由直接指向192.168.100.1那麼這個ip肯定是出口了,同時28口為三層接口。即直連路由器的接口。同時這個交換機vlan這麼全。又有dhcp地址池。可以推斷。這個交換機就是他們的核心交換機了。。
在掃一下服務器網段。發現了三臺開著445端口的小綿羊。。。
上msf 。穩穩的永恆之藍。。
這裡可能遊戲而會有個疑問 ,為什麼不用mac下的msf呢?因為mac不支持pptp啊。經過google聽說有一款軟件叫shimo支持pptp。可是我下載了。並不能用
嗅探一下密碼 失敗了。沒招 既然這樣,那我們只好添加用戶查遠程端口連接了。
查一下遠程端口
端口1207 登錄拿下
既然這裡有個Apache 而且80端口也是apache。估計就是這臺服務器就是80端口的吧
找啊找
測試一下,留個文件看看會不會出現
成功拿下。。。。。。
本人在寫文章之前已經聯繫目標學校進行漏洞修復了已經打上了相應的補丁。關閉了相應的服務。
本文作者:ID_Angel,轉載自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=34967&ctid=108,歡迎各位小夥伴加群討論:738569199