起因:没事闲的一直跟这个迷妹聊天,聊着聊着就提到她的学校了。于是百度看了看他的学校。
第一个就是他们的官网。没什么可说的。那打开看看吧。
这个都可以放出来?还有这种操作?
目测这个监控平台是海康威视的。但是仔细看看url发现。是域名上面的一个端口。这就说明。这个网站的IP地址,是这所学校的IP地址。先扫描一下吧
通过扫描我们可以发现 这个ip开放了ftp pptp 还有8001-8011(监控)的端口。那么下一步该怎么做呢?我们先来尝试一下ftp的匿名登录。
emmmmm 我们用windows试试
ftp宿主程序竟然是serv-u??serv-u 6.x可是有提权漏洞的。可是经过了一次nat我们无法直接访问这台服务器。。。
其实我在写这篇文章之前,这个ip开放了81端口。81端口是动易。于是我下载了他们的动易数据库。进入了他们的后台。拿到了一枚shell。并且通过了pr提到了权限。但由于为了写这篇文章。我把这个漏洞告诉他们学校的管理员了。所以说无从证实。也无从截图。但是在渗透的时候顺手截了几张在下面。大家可以凑合看。可以给大家看一下我浏览器的历史记录。。
但是pr提到权限后。我想使用lcx反弹内网。可是失败了。查看了进程发现了360。
已知pr是system权限。竟然可以结束掉360的主动防御进程。。。
还有这种操作。。6666
通过这个马子,我们可以发现这个服务器的内网ip是192.168.188.10。但是我翻了D盘一圈。找到了这个 80端口 的程序。
添加一个文件测试
服务器上明明添加了。可是主站就是不提示。为什么呢?可能是不是一个服务器吧。正好木马上有端口扫描功能。
这台服务器虽然说外网访问是81端口可是这台服务的内网并没有开启80端口。只能说明,80端口和81端口是两个服务器。反之。这个学校内网一定非常大。。
可是。使用lcx无法反弹内网。而且msf生成的payload也无法正常上线。这怎么办。。。他们还开了个pptp呢。。
账号密码是什么啊
既然id最早的人叫吴XX 密码是wza122201.那么我们先试试pptp连接
然而密码并不正确
在随便试试。。
卧槽?我的手怎么这么贱,一敲就进去了。。。。
这没办法。。这就是命。
于是乎,我们先登录那台被提权过的服务器,先进行追踪路由
哇还有一个跳点。如果说我猜的没错的话。第一个跳点应该是 三层交换机 的 vlan 。第二个跳点是出口路由器的地址。第三个地址是运营商对端的设备地址。先搞第一个ip
经过端口扫描。我发现,开放了23端口。此端口应该是 telnet
那么就telnet上看看
默认密码都是ruijie。一个尿性。。。看看配置文件。。。
s3750#sh run
Building configuration…
Current configuration : 4895 bytes
!
version RGOS 10.2(5), Release(66183)(Wed Sep 30 12:41:44 CST 2009 -ngcf51)
!
!
!
vlan 1
!
vlan 10
!
vlan 11
!
vlan 12
!
vlan 13
!
vlan 14
!
vlan 15
!
vlan 16
!
vlan 20
!
vlan 100
!
vlan 121
!
vlan 188
!
vlan 200
!
!
no service password-encryption
service dhcp
ip dhcp excluded-address 192.168.11.1 192.168.11.50
ip dhcp excluded-address 192.168.12.1 192.168.12.50
ip dhcp excluded-address 192.168.13.1 192.168.13.50
ip dhcp excluded-address 192.168.14.1 192.168.14.50
ip dhcp excluded-address 192.168.188.1 192.168.188.50
ip dhcp excluded-address 192.168.200.1 192.168.200.10
ip dhcp excluded-address 192.168.16.200 192.168.16.254
ip dhcp excluded-address 192.168.15.200 192.168.15.254
!
ip dhcp pool 11
network 192.168.11.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.11.1
!
ip dhcp pool 12
network 192.168.12.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.12.1
!
ip dhcp pool 13
network 192.168.13.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.13.1
!
ip dhcp pool 14
network 192.168.14.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.14.1
!
ip dhcp pool 188
network 192.168.188.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.188.1
!
ip dhcp pool vlan15
lease 0 2 0
network 192.168.15.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.15.1
!
ip dhcp pool vlan15-2
lease 0 2 0
network 192.168.16.0 255.255.255.0
dns-server 221.131.143.69 114.114.114.114
default-router 192.168.16.1
!
ip dhcp pool vlan200
option 138 ip 1.1.1.1
lease 0 8 0
network 192.168.200.0 255.255.255.0
default-router 192.168.200.1
!
!
!
!
!
!
!
!
!
no logging on
enable secret level 1 5 $1$MjWk$4rAutr67zq7yz4v6
enable secret 5 $1$EEh7$yr0wBwBvyxE1ypw2
enable password ruijie
!
!
!
!
hostname s3750
interface FastEthernet 0/1
switchport access vlan 13
!
interface FastEthernet 0/2
switchport access vlan 188
!
interface FastEthernet 0/3
switchport access vlan 188
!
interface FastEthernet 0/4
switchport access vlan 188
!
interface FastEthernet 0/5
switchport access vlan 188
!
interface FastEthernet 0/6
switchport access vlan 188
!
interface FastEthernet 0/7
switchport access vlan 188
!
interface FastEthernet 0/8
switchport access vlan 13
!
interface FastEthernet 0/9
switchport access vlan 188
!
interface FastEthernet 0/10
switchport access vlan 188
!
interface FastEthernet 0/11
switchport access vlan 188
!
interface FastEthernet 0/12
switchport access vlan 13
!
interface FastEthernet 0/13
switchport access vlan 188
!
interface FastEthernet 0/14
switchport access vlan 188
!
interface FastEthernet 0/15
switchport access vlan 188
!
interface FastEthernet 0/16
switchport access vlan 188
!
interface FastEthernet 0/17
switchport access vlan 188
!
interface FastEthernet 0/18
switchport access vlan 188
!
interface FastEthernet 0/19
switchport access vlan 188
!
interface FastEthernet 0/20
switchport access vlan 13
!
interface FastEthernet 0/21
switchport access vlan 188
!
interface FastEthernet 0/22
switchport mode trunk
!
interface FastEthernet 0/23
switchport access vlan 188
!
interface FastEthernet 0/24
switchport access vlan 188
!
interface GigabitEthernet 0/25
switchport access vlan 13
flowcontrol auto
!
interface GigabitEthernet 0/26
flowcontrol auto
!
interface GigabitEthernet 0/27
switchport mode trunk
!
interface GigabitEthernet 0/28
no switchport
ip proxy-arp
ip address 192.168.100.2 255.255.255.0
!
interface VLAN 1
no ip proxy-arp
ip address 192.168.2.1 255.255.255.0
!
interface VLAN 10
no ip proxy-arp
!
interface VLAN 11
no ip proxy-arp
ip address 192.168.11.1 255.255.255.0
description GAOZHONG
!
interface VLAN 12
no ip proxy-arp
ip address 192.168.12.1 255.255.255.0
description CHUZHONG
!
interface VLAN 13
no ip proxy-arp
ip address 192.168.13.1 255.255.255.0
description SHIYAN
!
interface VLAN 14
no ip proxy-arp
ip address 192.168.14.1 255.255.255.0
description ZHONGHE
!
interface VLAN 15
no ip proxy-arp
ip address 192.168.15.1 255.255.255.0
ip address 192.168.16.1 255.255.255.0 secondary
description AP
!
interface VLAN 20
no ip proxy-arp
!
interface VLAN 121
no ip proxy-arp
!
interface VLAN 188
no ip proxy-arp
ip address 192.168.188.1 255.255.255.0
!
interface VLAN 200
no ip proxy-arp
ip address 192.168.200.1 255.255.255.0
!
!
!
!
ip route 0.0.0.0 0.0.0.0 192.168.100.1
ip route 1.1.1.1 255.255.255.255 192.168.200.4
!
!
snmp-server community public ro
line con 0
line vty 0 4
login
password ruijie
!
!
end
s3750#
通过这个配置文件。我可以看出 这是个三层交换机。缺省路由直接指向192.168.100.1那么这个ip肯定是出口了,同时28口为三层接口。即直连路由器的接口。同时这个交换机vlan这么全。又有dhcp地址池。可以推断。这个交换机就是他们的核心交换机了。。
在扫一下服务器网段。发现了三台开着445端口的小绵羊。。。
上msf 。稳稳的永恒之蓝。。
这里可能游戏而会有个疑问 ,为什么不用mac下的msf呢?因为mac不支持pptp啊。经过google听说有一款软件叫shimo支持pptp。可是我下载了。并不能用
嗅探一下密码 失败了。没招 既然这样,那我们只好添加用户查远程端口连接了。
查一下远程端口
端口1207 登录拿下
既然这里有个Apache 而且80端口也是apache。估计就是这台服务器就是80端口的吧
找啊找
测试一下,留个文件看看会不会出现
成功拿下。。。。。。
本人在写文章之前已经联系目标学校进行漏洞修复了已经打上了相应的补丁。关闭了相应的服务。
本文作者: ID_Angel,转载自:,欢迎各位小伙伴加群讨论:738569199