中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

7 e% n$ I1 J4 Z$ Z9 {! A6 n
8 h6 `9 P9 |8 o2 F

: c* H& b" H3 v5 i5 a

( X- ]- S0 z7 n 1、弱口令扫描提权进服务器 . d' M. E9 }' Z" F3 [, _

7 M. L. S) X( b& C2 @

# F" p$ a3 ?9 }1 _" ^" q8 C3 @5 ? 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: % Y- r5 O; L! U+ \

7 \9 y: ~: h) Y3 _+ |. t7 F
# f$ N! z5 r5 j0 h 9 _6 { X0 C4 B: [
! s7 g9 N# W2 W8 w " @( ~; E6 [9 N- k/ O
9 P/ b7 b# p7 o

8 @7 ]- S9 w* {1 l* A * w" e/ \& j; s$ f! ^

9 G& Y. f1 b [# d

! z4 M5 h( H) k9 Y ' z1 v0 e! F3 t0 q# Q

9 `' |+ _0 g4 l- G( q6 S- D

% E9 C, x5 u: ?% t" l ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 $ ~$ ?$ P6 F5 J- P

% ~+ X7 p/ u2 q5 D2 f4 i

8 _5 F7 H* l0 ^, _7 q- ? i4 G4 b8 o 执行一下命令看看 " | {5 _, [: G; N& j% k1 z

/ ~8 E, q1 k* w' {; v

! i7 ^' b. K# p, f, l. f 7 y8 x$ c+ W! C- L" Q

7 Y- V' C0 Q/ F' E
$ O6 \4 w7 m2 m( I4 f* n " `) D5 h. K' L7 h/ |$ I. {) a
+ N N- `+ a0 S! Z . x+ A' t3 j! x7 Q% n
) @8 {9 ] t1 K& l# J( H. ~4 t

. D' E% c5 b1 ]4 l( ^ 开了3389 ,直接加账号进去 + h2 L% v; {/ s5 {3 X9 K

, m9 W- d/ W7 X, n7 x
- u1 ]# u: k) j P% F4 d0 C ; f9 g8 U, h' X
( y( M# A0 V+ h) Y. _ , o* ?7 Y5 x2 l, n: w, }% y; g
( X+ T. _# Y8 t! x$ s' t( B

& w& P9 s' M6 P) S! A" o ; o- o* s' p6 h/ C

! J4 M. ~1 U- H3 Y+ V/ n3 L! U

& l, k0 ?! e3 c4 @- J 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 o$ ^! F. u D9 H

7 _" Q) V9 b" Q. U! q8 E# K1 C w5 p
" T8 z+ a& R1 p9 B1 r" b1 g& g6 r2 [ ! } T" F' G1 Q: K* |& u: Q- b
% p" n V4 W9 W# S e 9 }+ b. t8 ^1 G$ G9 a) ?
# E8 f, [ k. ?+ N W

4 b7 C$ e/ E$ M9 M$ Q) `+ S # r& {, n$ F l' w8 ~/ e; G

. K# ^( i! T0 R) H G0 G3 U. K

2 u2 b( f1 W1 R! u5 ?6 p 直接加个后门, 0 K- G4 o; F# B6 ]

6 q6 H4 W0 U+ K! |% s

1 q, r4 o6 Z1 H+ M s * A8 G. I2 e8 ?2 j

" |% Z9 Y! V+ |/ s
, m* F) q$ F4 r8 B( W, r. P* P, G 5 |6 C* k1 a4 [ E6 |# q
% ?; A4 N; O3 k6 Z % Z; K2 s3 u/ A8 I
4 o5 N# G3 w8 f- {9 _: x

- O8 v, v& A7 B5 N! g7 H8 Y$ M 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ( t0 `' C7 h% w, _

1 r) t! m" F# ^% l8 ]

! A2 M- h" ^1 E 2 、域环境下渗透搞定域内全部机器 - Q7 S7 ^2 T# ?' Y" d$ g% }0 z* \& Y

+ M6 X. k7 U# a/ s7 `, M

. o# [3 C. o R& m* t4 Q, z+ \ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 # H) W7 u) i# |' ` |# A$ c

. U4 j; T9 Z% Y- i1 v/ S
0 f/ `8 o: [0 g* C+ [% ` 2 _7 f R3 n+ A! s- c( A% `
0 d& P! N4 f/ a; k- T! i3 W 0 l8 S$ t: ^, W4 S1 o4 K
) _" M" g% `0 z* V. x

: {+ \3 X; N* Z * w R- E) ?* ^: H( e2 l& I

; v } ~$ T* \6 J3 Q- g6 w8 l

2 O/ n* @- z; v& z! | 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 / N) B- `- w; d0 d, u

- i8 u/ M" n9 A# l5 r, ~4 P
2 z8 l# G" G, c; \& Y/ m - v+ y2 f" Y6 d( l U2 ?; f
) C8 d& J. X L# W: | 4 g$ B3 E/ B( w: u$ B
; k& \- M5 e$ U6 O

& N* p G+ m* e. N0 Y$ d+ q " G8 s# x+ @- _: F d

( p* D% @4 m5 F& a- E

/ W9 B2 J9 @$ n7 y8 b1 L: b 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 7 r* w5 `7 _7 r

% O; s' e4 H" ?$ P6 X0 U
, H0 v3 C2 B0 D9 U$ m 1 ^4 ?( P. s1 T, U
8 T$ w6 `. ^3 Q3 c 1 y$ Y0 ?/ L# U! @% W
! b0 S6 o( c; y1 ]6 z6 I

1 L0 C$ R; @: e' V; B $ u5 M0 d8 n U2 w- Z7 f: }

' L# ~ }8 X+ E! T( c

$ r- W2 Y+ Z) ]3 V" O 利用cluster 这个用户我们远程登录一下域服务器如图: 0 {+ b7 j4 | ~4 K" s* N

6 U, w6 U4 V7 A
9 ^7 v$ F' M7 U2 `: i 0 x! ^$ T( U( x2 E; q, D
& i! K9 w+ Z# x5 V- @ 2 t2 Z1 J n. n, D4 [) {
1 Y5 X0 A3 b9 J4 e

E8 n u, G" c; y & |6 D1 r1 A- t3 U! z- X

7 F, z; A# Y' C9 A9 m7 [

, `/ g1 R! x g( y( E5 v! J 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: {1 O) x+ S% t; k0 K1 t3 q3 I! g5 Y" j

- Z$ T# z5 S+ `* j) E9 w3 ?
) P1 E6 C- x; \3 ?% X 4 s. e# u" [$ e/ ^- q, {5 T
0 B/ y5 q. o. s 5 a* O f$ y3 n6 z$ [2 l
3 `' E- u# {# e, f

# N1 r6 q1 [/ i j2 ~ 8 p. Y+ P$ ^4 C9 U

( |. Y, `, _, P4 m

3 s0 x! V; ^$ M3 h 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: & Y+ W8 O& S/ ^0 I, v

- g# W; x% O# f" A

/ N7 g3 B; H6 h$ S3 C4 _ * ^% M' J7 G. y" x+ h& M

- ~0 Q- A) ^! f% p0 N+ f6 ~) D

1 a7 \8 E2 b, ]' K9 U4 e- V2 z 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 5 N0 U( j8 t2 Q3 L# t) x

9 c& y( A0 @) u* B9 `5 r- m

6 i+ C+ h5 h0 u- j# \ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: $ n3 V4 u* k8 S% f8 G' n) j; q

9 y" n8 O, Z x
! y" p1 z3 V3 t; v y ! [8 ^' ], j4 K A& n3 y
8 Y: X7 W3 X' q* Z9 g+ L 0 I$ v: j+ \- G( ~$ p( s5 i A5 t+ O
% D0 {4 R1 C3 d

! d; [$ [4 I# B& z- E' n 8 `8 M3 o" l& C! |! o

$ q( r: V9 u: w9 u1 N7 W) b; a( d% Y

8 V* H3 |8 X' d& ~1 v' i 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 7 y" S" J& E9 A1 G' W7 X$ |

# }5 g X3 Y& a4 o
# e$ v# w) I; Y $ A% N& N" q- S8 x" Z4 s, A
& m$ e& Q. D1 h, P# T $ a; o J" I5 C3 ?& W* S
) }1 d8 m2 T: p; G6 R: ` I v6 G

9 ?7 A% ]* x$ p# F7 o. k# c # q& R$ Q6 a+ W3 Q- v2 D

! v* f7 p/ w/ h2 R

6 E& B3 [* A3 U4 G& \) A 利用ms08067 成功溢出服务器,成功登录服务器 $ x+ k. U* J0 m9 I' ?* h

: y8 D" D" u/ |
1 W# F# l( D/ R 3 C: l0 M$ ]& A: h4 N2 w
# o& ?4 z$ `6 Z+ v( H3 d: a; G u 8 }7 P/ v C6 m3 l; J& f
& p% {% u5 W$ \* e

1 e/ F- Y2 B$ W" A8 `$ R k* N ; C4 O* n" k2 S6 ^

3 |: P- u, N) L$ X0 c

" |% |0 \* K1 g8 l+ @3 C8 } 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen % ]; U& { ~: ~. r( B

4 s" Q+ p$ ?0 H8 e/ m8 d6 g

! n# _: g! |9 q9 K7 M5 n$ W 这样两个域我们就全部拿下了。 - a) C+ H) N' v* u5 |

- O, T* r. K* x3 u# e+ A+ m

4 M% I; g1 V6 C. l+ b' w9 U 3 、通过oa 系统入侵进服务器 ( _) u8 t; t6 i; f

8 v& S: ]. c: E4 z

9 t( c5 y* m4 p' @, |- J% [% Q$ F Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 5 D* W5 Y3 }; L! {

3 P" G2 Q( z( {- q
: o* c. Z+ [5 G3 J! M1 J1 ? 1 F5 Q6 Y- ]% A/ E
, k: |- I$ r | # ^% w4 Q* S4 G. n+ |, L0 V
+ ]; U2 R0 e7 |* O; q" S

1 B0 M. n- G$ Q. w/ K3 ^+ s8 J1 o 5 @; A5 _/ a% g/ {

: u/ [. @& Y( E) J9 E

6 D+ V" R/ Z7 W+ g4 f 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 $ ~& n3 U: u+ z5 D( m [

: F! @* H* n% I8 Y- p$ v& |. \1 P
) ^! M. T* z+ p5 C6 O- k: L( v: @ , `$ f% ^/ r/ Z* z( Y+ Q0 t
: R% l1 j* |; ~; c, r- ]- L6 b 1 u/ j6 L6 N6 V$ y# X. V# D& ^0 ?& U
) J5 A) f. ]7 D. W! @; ~; \- s" W

* D- z8 Y& ?- g I; ]/ k * [5 f( B8 Y( B }6 _ z. ?* X ?

2 }+ `2 v' o6 C( Y9 `

: I+ n& B* V9 Y' Y/ Z 填写错误标记开扫结果如下 5 k" {/ }. ?) _# E6 v% c

" k. A8 [( ^0 ^
8 i6 C' Q3 }$ v# V : A2 b$ R* M) K; M; s% [) ]# V' q
' B% f8 s" q3 J" ]9 B* |8 w # k* ~3 U- \6 k6 ~# ?
) p5 a. U: S0 F2 u( v* y- s

4 i" T* h, t, N0 _. V- \ " u/ q$ o9 g0 |+ Z5 Q/ `

! ?. M& p" x. O/ f( M

4 t- m# ?3 R6 K& T/ j0 D 下面我们进OA ' O2 M. c9 p( ?2 a+ d2 F

: }7 [/ R- F: @# e
; i" [7 n* J' x @ " e) K2 T0 F( J; ^; W! }+ {5 P
1 u, ]! U. |, Z0 a/ u y4 N* I 3 V2 N: r. | C
. e4 M8 V" I7 B. x D, k4 P& r

! h3 I6 t6 b6 I/ e ) i+ \; X7 W3 z$ k7 b; L- J! Y

7 q0 U" Q2 E5 | V& m! D2 J x- g

% ]2 x" | U. K5 C' }$ e, L 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 2 V7 v* d9 F/ N0 U, V, y; Q! z3 R0 P

: N* x: p) O- Q; Z1 S
4 S/ t6 L" V' \6 A% }. o# V " u5 b( t3 W) S8 S1 W
/ _6 ]( E# H# z3 ^ * Y5 @; I) D3 F5 m) v$ V5 i
# h4 i O. `# Q! Q

1 y r, _( K3 v- a0 ]5 j" {0 I+ g9 ~ ) ?2 z3 Q# a, S b

% R k2 q3 t7 F. W

, U* T. K. h: @8 J0 m% O 3 S1 y& d3 T4 l- q/ j

- R* C9 m1 y/ }# R

. V" R9 d0 e5 L) B 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 / P! ?* b! i% i2 w2 \5 ]2 S9 b- \

- n3 |9 J% f; Q* A! j" k: Z3 }

0 |+ f) z; l6 F X) ` 4 、利用tomcat 提权进服务器 ' W+ O' }5 l7 z0 F9 N/ i

) p7 b& y9 w3 I

, ~# K* B9 _6 y; _! { nessus 扫描目标ip 发现如图 4 u! `( n+ [1 v! Q5 m; b

( O0 u- v1 f. f/ Z: l# b0 H
. V' s5 k8 g2 I4 C3 f 9 R8 n$ L' _2 ^7 f# {0 l
- C3 l( l' D2 D1 G$ k. { ( e! C& Q% R: y4 d6 Z D
e* e* a" T; S. d! J/ e

8 c; `2 A) Y+ e7 ` 3 L& N# R3 q y* Z+ E+ t

1 n8 o( E1 o# @( ]$ x4 n( r

1 K4 N0 _3 h7 E& l+ x( ^: \ 登录如图: 9 k4 ]8 `3 O- q1 \7 a

- I) d# ?! d+ \
9 j2 n( D0 z" j' _ * u% D4 }/ `1 `! J" |
% d8 I# o0 S. ?$ |) n- W0 W# K 8 B! [9 Q9 F" t$ r4 K) z0 S
+ ~+ H) W8 @' ?5 |' N

6 B X8 w4 T8 X- x6 u r0 \& ?$ ~. H( [2 \

4 P4 Y3 V9 ]6 N! V/ q

; [/ u, @1 \! ]: V) q 找个上传的地方上传如图: % ]5 V9 X- o) E* @* Z

( ^! B( S0 a0 [- v0 M1 y
! R9 [0 P; c h O! h7 k 0 H# i2 R* U# J8 S7 Y* H/ r5 L
8 b! x9 q1 t6 b& |8 q $ P8 c; S9 w l9 O3 I: H3 f6 g
) x2 T- h5 A5 F, s

" F( M* C. v, i a+ J1 ` $ w8 x( a) u7 _ `! U, U

9 K9 `0 j+ P" N5 S/ C: i

, E! W) x b/ w* S 然后就是同样执行命令提权,过程不在写了 : s& W2 U. j" {2 f. M' O" L

' u' P& q& l2 _" J

) K ]' d4 o$ J* e" V2 ]4 E 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 9 a6 j5 U8 n$ k, P

( H! B4 k: l0 s L

) X! f9 H" f; a9 K! {: L 首先测试ARP 嗅探如图 % r/ k( b1 k3 \% J; _6 L" {7 |: b

" _4 b% U3 \) q+ z; t0 U
% c6 s1 }- l/ l0 o# [0 N! \ ; `* ^+ t6 l5 \5 Q5 U( V- D( M- y
- y" Q/ ^9 K( {' \6 _- h0 n, ] 8 l! R. R" h# m: V$ }1 T E
! D P6 _# u2 w, H T

" N; ~) U# o8 M! @1 n1 z j 5 k, h4 E( u' ^, @8 b

* c6 R' @! z3 L! M r

J) K. }$ O- t' |; Z, X, n* ?2 G 测试结果如下图: 3 ?! X6 X) i) K

4 X$ b+ ?- W: M
q: ^& M+ C! | & w0 U" y: G: i8 N- j h/ |, T, ~
' O8 x2 k, ]# H9 o0 ^% l& ^ # h6 l4 I8 `6 i8 x0 [# q4 h, W
; h: X- P! G1 s" B6 b1 s& M0 ], d$ T

: o# d3 h6 J0 j7 l7 T 2 R- T1 R/ j5 A8 E3 w" A6 ?

- I) J5 x6 I, \

3 Z% h" f4 d, u5 c, w* |+ O" A. z% j8 l! ~ 哈哈嗅探到的东西少是因为这个域下才有几台机器 $ u( Q# {$ `7 W$ r- }

8 f: d' `( m' b' f1 b, m/ W2 h

`' j& r* E, ^4 ?: k( d 下面我们测试DNS欺骗,如图: 0 u: E& r5 N0 y* k; b& P+ g

- m7 Q, A$ z) M" u$ {$ m% v% U
0 i( [2 X* M; J0 t) v 1 o6 y$ d+ h( t. \# Y7 {
" C) r4 \) _' Z6 c' i 2 A8 y2 ]" z$ t- m: D+ w. D% V; `% D
, }1 m$ G% N: U

' g D. i1 Y/ m& [ L0 h - ~+ ?. d {# V6 Z: q

( E# y+ N& E) H' c+ o& X

( k. h' [. M0 G0 I G 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 V! B% C' Q9 T5 z

6 @. M3 G9 k4 I: j
6 m& _: W. w6 k9 r! g" u / t2 F5 ]2 G; Y+ S V. L
6 X6 ^+ k) {; N5 ]' i , G2 x- D) {3 G% e
9 c/ w+ ]3 V6 k0 v; x! a( v/ [. }; y

- E" K3 [% B3 z- y r9 D . g6 c& v/ R; W+ W1 @

: ~$ E& M( @) S, R# Q

; I) u; \( @3 K6 @* D3 ]) M (注:欺骗这个过程由于我之前录制了教程,截图教程了) `6 K0 Y$ X( i; h0 V t, {

6 s8 B) d5 s. Z5 g. X+ ? O

) f1 A0 G; Z3 f. u1 ], \; H 6 、成功入侵交换机 & }2 v( ]1 x, y) Z- O6 y3 G

3 u% d. k' I& ?, M' I) x

) Y! {9 B/ X5 C( U- y( Z) L 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 * u8 ^% ]4 ]: c! j) F- P( x

& q& R) g5 H( b! g' q

. Z' G; d& b$ z* c 我们进服务器看看,插有福吧看着面熟吧 ( X: E" @+ d6 B

1 h/ ]3 ]- ]! G0 @
9 T9 F& B# P: l* s/ G % {' g1 i* H+ M p8 d2 i8 W# u% s$ f$ U
5 s" F8 A% M# }% W. u + a6 b2 v: q7 o: ~1 T9 Y
# t/ \" O8 Z! S! W

! @' O( ~# g1 \2 h6 e/ h) k ( I+ I2 c" K0 z7 E# n7 ?# @3 O. J; Q* j

7 A1 K4 \$ T* \# b: H

6 a4 Z5 M* m5 T5 w' u4 k* r 装了思科交换机管理系统,我们继续看,有两个 管理员 5 a6 G( l# `. O4 P2 G+ ~* P5 J

8 \$ V% i* b: {% W) i* f2 c2 u
, X- D. z; T6 p \6 N( d2 N- Y 2 i/ j8 ]6 m$ b" K4 |
" v- d5 a$ o! Q* O W& @ ( e9 I7 x" b- K0 j
1 [1 l7 k* i0 j8 K& E: `3 P1 S

/ F X0 k/ K, P : U1 B3 Z- \8 D/ t$ K5 \* V

; f8 J% w; d) W, B' S

8 a* F2 ]) R d6 r 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 + h2 j5 V, N8 K- q. `4 H

7 ]) h* {+ w! ~' I; w% n' U; e
5 p) x1 ]2 E) I8 @3 L. o9 y3 | * M+ ^5 S" `: y8 ~# I
) z4 k( ^, N1 \$ h% k- p 1 s5 y' R% F4 _' c3 t E7 P
/ d4 Z1 l! Q4 g E# G5 `

1 k+ P) t" E. h5 F. k ! L" c. ^/ |9 v5 a- `3 i$ ^$ y

$ a! _, _# h- Y& i! D" e

" F- T! J% r1 d0 ~0 g& ? 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: / O* I" I @! j$ A- o+ a* V

+ Q" j# Y9 z4 @
' c+ X# N$ n* y, ]0 c# [9 U 2 [' Z/ l( a/ j' m
" ?0 x* v% q! l+ N$ T : f# U& d4 r/ a% M6 a
/ @7 n% o# O) S8 e# ?3 V

& H# N7 k& @# t2 ?6 _ , |' C5 `$ w% ]0 B

$ A# I2 T' I; y, A. n2 f+ I

3 b2 S+ N" U8 j6 C2 W config ,必须写好对应的communuity string 值,如图: 9 R8 @; t0 w" P+ O" X* A2 G

7 k- S) u- S0 C; g
1 r9 ?+ A2 m6 M: T' t6 e 8 e8 Q6 S ?) G" V
( n" h: p8 n- L0 u& b+ y ( e( L5 Y4 W2 @0 Q! Z
% E* G+ e' h! F( Z: s2 W1 C V3 V

& s. t# [3 \" S+ _% U& S " @$ A% i) u ]0 @) C

4 C9 p" X$ s, {" H

6 o5 W, A$ @% ~% u j; m4 { 远程登录看看,如图: ! J9 X$ t' B! j0 r' l

5 W6 Z/ L; p8 c( |0 s! c& t% r/ y
( z0 i7 v7 K' _6 M. }! \. f5 Q1 | 8 l1 t2 m% s5 P4 H6 s: C
" k C$ s% A& L / W* ^5 N3 {* [5 ]" {, g8 l
( q# v* I3 F) q( ?

8 x9 \ k; K$ t$ v) n 9 ^, L: ~$ t( ~! X9 V

& r2 x2 b- E8 {2 T+ A: s3 t

9 Q2 e6 H) k7 t# S Q# H) c9 E 直接进入特权模式,以此类推搞了将近70 台交换机如图: : s% W; ^9 }9 u4 s4 t2 B

7 ^4 E) Y7 R. I
- R, z! p5 S, J1 u* n3 l / c/ B& V. _5 q9 W3 p! X' h% o& | k
/ x, s, V5 m9 q4 U1 C/ t ~# W7 u( H% F6 b, l
6 T- a, x1 T7 t3 y# l4 r1 C* D' I' K4 P

, ^0 Q& b3 [$ Z2 z2 J 9 \/ L% B5 y9 n5 |

. ^/ G4 J4 D9 r; ^ u

8 ?2 p! `8 g: x) }' L1 V: U 9 g1 R. S* \) y. _5 U

4 _* I. z2 R% j \$ i5 P5 \

f& q; h" Z l' J, p! l' _ 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** / y7 u8 Q! @ I; Q1 I3 p

/ q) c: ~4 I: b& t+ g6 U
5 U$ Z2 U4 x: I1 Z ; v0 s0 z: V6 f* O, D
" {& J+ t: h$ S- w$ C4 p ' H6 b# H1 }; ]& V
, W' L4 a2 l. |% M+ C

/ m" W. h2 B3 }5 W1 ~; {7 Q! _ " c( L" T3 p- t3 l

, [6 X4 R* M" H3 V( V

" i4 b+ P3 c* [6 A I) V 确实可以读取配置文件的。 * v, @1 h; Q* j: b

9 w! G& J$ n! s$ ?6 V# g1 G, f

4 ]/ S7 h6 q( V% @9 v+ a# h, l 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 # I* R% n9 l# \' V1 T, j s4 y

9 \7 H y z+ v8 C& z/ y
& `) p- \ M* m1 O/ ^ # k! q2 T/ @& \ `) i. X0 f
6 U% ^3 D# i% A! l4 E* e8 S , _7 g/ {1 H. n- W: v
. x* X& a: d: l& b0 A

. |1 Q4 N& `$ u) E1 N6 P- F( q ! ~4 r, H9 K6 \$ K0 N0 W9 e

2 w% V" l, k! k% e. ]$ v1 u6 j$ {" F

$ h5 b D. _, }# N+ R c" O7 d. c/ ]3 U r

' y ~. Y. w. m4 o

. t7 Z: h( E- \/ i& e" W 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 , D4 f9 I# e/ \

L8 |% g0 k j( A ~3 Q2 V4 \1 Y
& g# ?' n% \/ T I5 ^# E ' s& [* M: {4 J' C4 s3 b
- S) [, C5 S, I) v! G6 I / _' g& A$ {! n, y; \
1 B6 f( W8 @& D: T

5 n1 Y: q0 e; }0 d3 [5 F / q3 ~: h# f% M) O' i

8 e$ e6 i }/ Y l* j

% d$ D% u) e2 C. l% u 上图千兆交换机管理系统。 8 V$ ~7 j0 K/ d& ?$ T7 r

, R! Y9 U# [6 b" q$ n# i$ ~0 K

6 N" w" u$ a6 r% d6 N7 H 7 、入侵山石网关防火墙 : ~, }$ {2 b9 W4 _

" q3 ]4 q* H$ [: c7 a

( P- A I* K! P2 K) @ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 8 w% [3 O2 N$ a& H5 `

* E8 m( Y1 `" S: C! @
& Y8 @. Z" _( N4 C3 m# C" A: @ + ^! i& L4 A! m1 K% B$ L
) L z5 L! u& i 3 c" m5 ^1 ^, n" {: X
6 S1 T& }' C- _0 U

- b+ M$ }! r( V2 X2 B; e* b! m 4 d1 O" I1 {1 e* i# ?- q0 c

) G, O) {+ L6 w! ~

~& ^/ q' F) B# m7 N 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: : U2 l! V( F8 ]1 ]4 l- ^

5 k ], U2 L8 ?$ x/ t _
. D% \$ v1 C, T$ r $ [! z0 w5 S2 P
r( p" W4 W, h6 _# ] + ~, I- H& b1 g& D. w
x- }3 R1 c- K( c; m

9 N$ b% p' R+ n+ }5 t % y. ^$ U+ d7 _9 C

9 L: W7 c- x9 `/ h

/ r/ E% g2 c( U 然后登陆网关如图:** 9 d' e/ ]/ H8 i

9 K0 u" Z* h* p( ^& h
8 n6 ~4 n$ A q8 Z8 T% a# v i3 U - ~% @* v* R8 |1 ?/ ~
% @: q6 Y; j% h1 P 2 ^+ {, B. d, c. }& l
% @% k' T+ t+ X# ?2 r* m' q

( X: [0 m( S3 x L 5 g: Z( D3 d' d2 U% B6 M

6 b' j* f( q! r, }
" c% \3 `% o5 t- ^& l# D 5 l' m6 x. c8 f2 X) q. \* K+ @( Q
. ^: _3 |8 k5 w + x8 F' T& y( b
# u8 T) U- X5 _

" N) `$ R$ E3 ?! t 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** ; b# g6 s4 v! ~' p; p; H3 ` J' {

9 Z0 H1 S, L# M# s( i' Y% o, K- T

- f. m) P8 I" d5 w( l 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ' N0 l/ e& n/ n+ ] ]

1 Q5 e. B2 k+ ?# C* Z$ y

! Y2 R% a4 _ }7 z9 A 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** + b$ Z* ^9 |( p4 L |3 z

3 @8 X, n+ g6 A! q
) k& C1 j- P# @1 V . }' F) C* {8 `- A
$ h( u" x2 k3 x" B 6 ^+ f1 g" V3 n1 ~. A
" U X$ t& d: p V8 V& }1 _ _+ A

% v7 T% |) |3 _* B( Q / a6 U& w% C/ Q$ A: Z- O1 |- D& r

- b. h. N& q; w+ q( ?- O2 h

1 c& u# h; M) w1 @. ^ \2 c 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 " s# ~! q# R* j$ h3 X1 P( L

, [2 M$ h, F, f! n& G

9 P' F. a6 f* P d6 `7 S   " F+ T( Z% H6 `

+ X6 v; y4 a* k1 ~

. o1 d# R7 y* D% |: k: w5 U
3 S. w+ ?2 K% L4 Z+ `* z* C8 `

5 `5 X' v0 S4 U; t5 m1 J* \4 z& E * X- z, z ] n& f; i



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2