中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]

作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

: R7 s M8 M* T% Y
3 ^* @: a( a V: W2 p2 ?

" G k, C% A1 D

, n; @( _8 a7 [0 t9 G% B8 c: E* a& s 1、弱口令扫描提权进服务器 * K' v* \% j% m6 @0 @

2 u$ @7 F$ T! @

* E$ P" C4 t, Y0 M2 i 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 N( b: U) ?& v2 A

; v% R1 M) G; M
; u, K' s/ U9 v7 n 6 F9 [; @. t! o- j# {. x: Q. x
8 |- \5 N4 m& K* C. Y1 Q/ f# ^: {
4 [8 {% }3 Y1 G" t
% {0 h- Z4 v" s; H4 d

, g' n4 x$ t7 n & e& B7 a0 q( m, q9 ^. O

; x/ B3 l0 V7 C: x. L/ E! r6 C. g

1 M7 H- {0 d m# T7 \( ]0 R" L * r# F( T7 V% W5 w

9 j9 t4 M* n. C) @- Y% _9 f5 a1 s

2 h) S3 Y% w3 {& z8 U1 [' n3 V& U ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 3 ]9 V* X, D b7 t" s) T

( c/ _2 _0 l/ h; A* t1 C

2 v; m8 G% @. u; ~4 l; z( p8 y 执行一下命令看看 8 s- w* d6 h, q* d8 ?

% [2 J8 L) {5 C3 Q1 `2 ~

2 N4 N" s! E4 ]' Z6 U ( y. F% c1 A& n7 J! Z

) g8 ?- Z6 g; p0 G8 s& g& l; m
6 Z! x2 ^% X- h2 Z2 J 9 w L8 `" ~- p3 r" P
% j* v) j% @0 N7 s: s/ Y& g; S& W
. z0 P' k* @2 r. [) `
0 M0 q$ O k( t# z6 a' `3 V7 g# [

3 [$ i2 }8 ?0 A+ d9 T; k2 ?2 |: B 开了3389 ,直接加账号进去 7 o6 A; r3 G1 f7 y' V! @$ K

: D9 {1 `) D, S, R+ f1 ^
1 o# y) a# z6 q) X; f6 ]1 S! H * E- T0 e4 F1 T! ?/ m/ ~" t
' H) ~5 |1 S# J! y: f L; B/ z2 A
' N% R ?. Q" e* C) t s+ O$ Z: _9 g
5 R" h" V9 ]+ k6 y* Y/ x* ]- _9 i

+ l; U& b: B0 \- W5 I 3 I% G% W* l* X. L0 d1 O- r" M

9 P; |% |% p2 r( i

+ x( X4 U% l# J- } 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 J7 t. G$ V1 K: H1 T

, B# W6 ~; J& h. U, h/ e. t( F
/ r& j C: ]" E |5 E* z* }2 O' f) Y) D
$ E/ J) ?3 d; o$ r! ^9 T
: ^. D8 g6 j$ v. B; x! h1 |/ Y
4 f) U/ S0 w' j& r9 d6 }/ ^ x

" F% _- x5 t& }' X( O. J. L# w5 @ 8 K1 N: p3 j% _( p

) G, I. W2 F/ F) E9 O3 L

/ Q4 N1 m& f5 \/ v5 n+ { 直接加个后门, 7 K( I2 m' @4 }# }# U$ ]1 y" z

: M: k0 T' _/ R% d

& Q* a) k# f: _$ K3 {8 \( P8 ^6 B 4 r' O: F. P$ s& i( K8 {, h3 L

, c+ Z; j+ g9 @& M
: N, n% x9 j" I! f; T ) A/ k9 O5 J" _
+ ^8 s$ q% O/ w$ }5 X
! [0 ^0 e# I. S' a0 G
8 J. `5 g# p: @0 `

# B4 _4 w2 Q& r7 a0 l 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 : o H* \8 x3 x/ R

0 @ N" D8 ~* J) W- v' h

: V; y: D& P1 U; P# M& r, e) n( X1 ]8 ^ 2 、域环境下渗透搞定域内全部机器 8 @1 N- l6 n' m& y" r. ^

& W5 K9 x$ `2 v: R8 k4 D8 _

9 W2 j& z8 i8 V4 F1 p% z% \! ] 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 $ T7 N _2 V- Z: N

$ f0 e& T9 ~) z
! J0 {9 t7 _8 p3 T! E5 y K7 J 4 e3 ?# z- r# h+ u' I- \5 ~5 X0 a
0 a+ s5 y& s* v( V0 g- N
/ ^# A5 M$ i0 {) Y) p
4 n6 l$ H. u% {( i8 v0 G

4 t4 l! c2 o7 V 3 X0 h& t( w a/ a1 x) r

8 a' D& l) i0 I+ N* \' _

J; Q! t6 [5 ?* N% C 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 - B( |: n1 v8 `: j# E

0 o( }% [ l" m, E& o* t4 [
! D% E9 E7 @6 b' e" H / y1 O/ W9 d! K! @- \
5 ?' {5 o5 j9 e, i
. b }2 t7 b. ~# j+ u1 Q
& o, E8 q/ K1 t9 f) N/ O) `

3 ~! l7 ?9 D4 z+ r1 d d . R# Z: | @* @: _2 I4 `

+ z3 W4 x6 [+ ?3 h. u8 e

& _: J7 `: m8 i; m, S 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: . l( j p; K9 M Y5 k6 H

" E4 | Y0 ?3 G \
: T. x+ J/ S! ~) u7 c& M% J# ? $ f4 |, O* @' e: @% B ~) u% f
: w& O) l k6 [9 M4 A0 `
8 J' _/ z$ k6 t, n1 N8 \
% M& h7 w+ X: o: I) v: b% o

2 k- v/ h1 L# N . r9 X: B) ]/ I

; }) {0 `) {0 c! L5 E- g m

/ r: s* W( N) @ 利用cluster 这个用户我们远程登录一下域服务器如图: / m# F) }; @; q$ v6 G( v6 {

7 {0 d3 X8 y3 ~5 m9 ~
; b- Y, {% k4 T4 b) M K- U 6 j( `/ f) K" W: ~
8 W. c; x- a& N3 s0 p
" C# g4 V! k7 P6 k6 B p# R
3 y1 y. g7 u1 X3 ]4 j

& A2 |6 `- a# `; E3 H 1 M) A# A5 y$ R

; {# ?2 D( ^2 V `0 |7 [$ {3 h

( C7 ?, Y) E3 G- H# P5 x 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: $ X. Q: I- D" `

+ v3 q* }6 A+ }6 D. J y8 |% p) \
( s' F0 T: X1 [' Y2 g - |) ?; @: v& h
3 ^9 P& r& T* ]" {1 N* q& x
E& o6 C+ M2 I% y
( }2 J; t) r: J; o$ Y

( O0 ?! k$ B' F6 P+ N 7 `& N" V' I2 l, t, K

+ P0 |' L. J. M: V$ P2 V% V

& s7 |# \* L' l4 s w 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 9 u5 Z: g5 `1 u% Y. R( P& ^

5 j; m+ Y6 _% |6 `. u

5 x: t* O j4 \; S: Z 5 T- Y w, v& H- S* }

& }8 P: r/ e2 S) J6 a2 {; r

. P' b% \& w% _ c% S7 C! O 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 6 P* Z' [% D U; U9 U& k3 z/ ?

! k% @/ A, I- S8 i, f

2 h, F9 \. k0 r blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 2 Q1 J" l9 @4 Q

7 y2 M1 V" A: U* V& x
4 p- ~( V- b2 d' d . q2 x0 A' h/ @. Z( w, A
" S- o' H" Z! ~' Y+ ]$ J) y
1 _% [. D! P" g! m7 w0 Y3 {
s' g: R. I- `9 a

# v' D4 t* E! r" o/ V8 p 2 O$ }7 s& ^ r8 F

( b8 t0 ]; v2 S9 g+ N7 o! l! C) R

7 O- y, h+ t0 q+ w& }$ Q) o$ ]7 R _ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 # a% U8 r& @ o3 }0 Y6 f

- W0 X6 Q& [4 c) g% s5 F( u$ ]
; ^& k# P) O- f$ J( {8 e' \ ~1 B1 N. c3 O( _# t1 E
- z# N3 j) m) O0 A/ j
$ ^+ P: R6 c( j* ?" `
L9 v( ?0 r6 H/ Z [$ R! E

0 \& W1 [0 b U9 N3 r! ]* _ 5 v- @% G% }6 I& e8 `) J

0 }8 Z4 i4 y+ j2 Q0 m# f

$ J: j6 D. X5 a$ j- M2 c' Z q 利用ms08067 成功溢出服务器,成功登录服务器 6 o9 b+ h# k# S* Z0 Y. n) B

. B! K8 M! I8 O
' l. ~7 V9 M+ O4 U 0 ^: }# F. J" M/ f3 P
$ L9 ]+ ~% I3 \$ W! h: h! u: a8 ]
8 ?2 o" b* `2 ?$ B) @( V
2 ~6 d* `; H9 y+ i: N. z4 u

/ _. J& L* [5 X - _- I" Q3 Q# E, L+ O3 V. c. I

- z! U3 _+ D* R: o

. X+ y/ Y/ x7 c7 Y; Q* [ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen / w% b4 R! N) S6 A8 Y. R

. k9 K1 i3 q f$ m" L2 \4 o8 e# J

2 T) `3 @$ x9 @ 这样两个域我们就全部拿下了。 - Y9 F, L$ e4 W# E

* M( F7 z" w2 _3 k

/ Z+ h9 H* ^$ J5 f8 j/ n1 F$ S 3 、通过oa 系统入侵进服务器 + W' B7 p+ W3 c Q* }- H' }

. K- _1 u7 \3 s% H! Y8 s- W0 ]

2 ~+ H! H2 g1 U# n9 `- u+ M Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ' v1 J3 E6 w0 ^

/ u! z) o2 J. a7 Y D
+ S6 E9 c: G2 y; c# C . H3 q1 Y! K" s( f, n; Z$ }# O
2 ]9 b- f t( {6 Y2 i) [
/ \6 H9 y/ e; s' l5 J4 r4 x
! K" q$ O& H, H# G' V' p, ]

" i, v; [! L* t6 K) Q* G3 R1 ` 9 Z: T/ N% l+ X2 o

' _! Q- d3 ?( }3 l& i5 g2 Y! d

" x" p5 S% H0 i$ G 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ' c& v, n, v% l" \4 `

x( Q' S, c* k/ Y
+ j% o# [! s' n3 e: ]7 x9 T d % t! Q0 I4 }- u! Q
: M' _2 e6 v+ I: d" y1 Q
S0 v0 l, J6 m2 }# [9 s% ~) }/ V
+ O0 `* _ _0 T ^- \: S

6 {: }5 |% o/ @3 k/ b& X9 x ) G1 I# l0 t1 {& S1 |$ a. M

7 a/ _# {" Y- K t5 N5 d0 B

% u, x' d: S, \9 d9 _% l 填写错误标记开扫结果如下 ( j& _2 j; D6 F: @: ~

0 N+ n6 K* o- Z/ R, s* D8 k; ^
3 {! O8 A8 E' o8 ^2 [2 r8 _ % W, `3 A3 A% o0 [% Y& I2 N
, Q8 J- R9 @* d( ~- w
! S' P2 ~( P- w0 l9 e" B5 W
+ i: R G0 l# o. l5 A

: u8 O0 L" S8 d 5 V' z7 m9 N) z9 B& Y

; F2 i0 Z# |) m: p j' z

/ `0 i5 u2 |# X) _$ J 下面我们进OA " S6 y) a& F" ?. w3 d

7 Y3 m2 }0 x4 Z6 T( i) }
! H. d# A: b; G' _ ; `3 r4 k3 |3 D+ |- {& z5 z, s' d
6 T! H& j9 V9 t- Z) ]: M6 E
$ k& x1 x( H4 L% O# f7 K. n: ~# t
9 d k. }1 t. ]+ U2 s3 C% L6 k: m

8 _1 Y! L% Y: R 6 ^* ?( x# j; {3 e" E, w9 W: e3 t) \

/ G& S1 H8 \/ I5 W* {3 X6 W0 W

0 B" {6 V7 B5 I- | 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ; x! A v# m7 O& C. O

0 i6 \. _# U! }5 |2 A3 @: `7 B$ F
3 a3 M3 T9 C2 P" q* Z+ K# O 6 S7 ]. g: S$ v* F$ Z
* x* D( J) k% i4 E3 M' S3 R* h
3 h# n% \8 `: q4 c5 G8 `
! y$ \: Q* y# C" t) s

" O) {! D. t. _' j/ R. B # E1 F6 H" U* x- b

; K% W7 d1 ~" t5 o1 ^$ p2 V

: k* b4 ?# a D U# H 3 p; k! b8 S7 l

' y3 m0 W3 `$ M9 g

( N# B2 G% w% ]& b# h 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 r2 ^1 j' X0 ^0 R8 U

) Y3 q! y# Q1 j4 G5 ]

" S- w: W8 q( Z- K/ E6 b( f 4 、利用tomcat 提权进服务器 2 s' w3 q* k' |' `6 |0 l* {

# L% c U8 h' \

$ V$ e/ }7 U$ s' ?7 G nessus 扫描目标ip 发现如图 5 r% ~. L+ j6 x4 y8 r8 c

) W0 P1 I; e+ s3 o4 r6 c. {
6 @1 ?+ X' o4 D: Y- N9 _ @% x * f4 V2 g* t8 B& E# H
" z; a3 h* i# q0 K5 q
: b6 `% I1 T* {' z! a. }& J3 [
8 e- V5 L5 w' e! Y# o! A

( Y9 ], T: g" V8 x' J 8 M3 p: b o" J, M) M/ F

8 D- L; i5 T3 }) k- h' b

0 X, \7 K& l( V$ L% O# V# e' \ 登录如图: 2 _7 N4 b: t; W

' R% C6 h0 o# F' [
; K" \# ^5 P1 g5 }; [7 h / |1 \$ G1 j/ p. g7 G
( r, l6 T! h2 u n1 z& b) O2 j
9 J$ M' _. V5 u5 T
, @6 o1 \1 @' D: {! g6 O

. p" j" N I: v% `( P, Z/ Q5 l : L/ G. @, R( m& A! t

: A# A' n. z* O( r

3 P. |5 W+ K5 k, l8 {3 W 找个上传的地方上传如图: ! p! U4 g& s0 `, A

3 A5 \2 s D5 ]" C |
9 G4 j* o' u& H. D5 r( Z6 n/ M * d. L1 I: Z* f2 u
3 z/ j$ i. d0 d+ a
5 Y# K$ z- w. x, F
) t* {% n$ |) G0 V/ S& ~/ D* v

8 F7 P T$ t1 Z# [' I " n8 r+ `: e V2 o

6 q0 j: W! p+ R% b

3 A {2 G# l2 @0 D 然后就是同样执行命令提权,过程不在写了 3 ^2 v4 @+ R# l( b2 |

5 E* F" U0 o. ^ F }$ y

1 ~# z5 L7 I8 }# c9 B3 v 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 " E. Q# ^3 E& V6 y" H9 f1 K0 o+ B- G

5 K% _( T+ S. ]8 C2 U

$ f" X# G1 M0 F+ I 首先测试ARP 嗅探如图 8 v, ^ V- X* F/ ?* X

: i3 m* ?0 f6 x9 G9 ?& \
: z: _0 j$ W% h5 ~ + q1 s3 p9 S' J& p$ B
4 i; r- Y1 W3 i( a, J# X
! e+ r& k) i6 J
; T# _) k9 D7 _: i7 F6 [; B

J E$ @) T' M! j& V) t 6 f9 a: s9 V6 _8 K& k! Q& }/ Q

! b" O: T; M: L F `

2 X+ N+ F. @4 U, L- \3 i 测试结果如下图: . Q# e/ _$ j7 _, e- z- Z

. |8 C" P) i9 L/ o' ~4 F
6 @: a1 [) p) }- R& _7 a% G + l$ e4 |* Z8 p. c4 {. m
0 X2 V$ r3 f9 Q: d2 T @
; e: l! l1 t: @; h- @5 K' K
6 J& L, s$ e# V

+ ?: D/ q N" O' ~" ?, x f; G2 p W: v+ r

" K) U9 L) a. ~- [2 y

4 w1 k ?# ^$ F: | 哈哈嗅探到的东西少是因为这个域下才有几台机器 - j& |3 ^6 l+ m+ Q- }6 ^0 A# E+ b5 i5 K

4 i C- r% ~- o: h# Y

" u/ ]% ^' |4 f# E" I 下面我们测试DNS欺骗,如图: 8 i# A3 k4 m& n3 Z) g6 q

/ _. `6 x7 l) b. h, {5 Y$ A6 K' q
4 Q% t7 ]/ m' R. U! |# z7 R* |" M 6 s. Y! x9 T* @7 G+ k& F$ v
6 A; O# e, A9 f5 ?+ \, e
3 j) W9 i9 H9 U l. ?
# c F- T- \) T, F

$ M' J2 o; ?) g6 u# E* i# W% D' _ " S! i9 r" L1 A* B A9 \# f

. \3 b5 C+ X: O8 y; E$ J/ `

$ H& H8 m5 V7 D; e6 G1 c6 r 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: t0 z% e; |8 y9 M

8 i; v1 F) \% v2 c/ X5 M8 q3 Y! O9 W
# q( ]2 M0 M. L) [ y* h: @ ( P. O# \. s5 h5 T- U: `* p
* T! h, ]7 S4 V( |) ]' u+ Y' L
. {- w& ^/ H, N& X: J
2 B- i6 @, P- W7 [& z

2 }4 S8 B3 ~- Z, H / _9 G$ C1 D& k7 Y6 o* N

) }& Y) w$ L7 y" i; A9 Y

- }% S& D9 O2 o* u (注:欺骗这个过程由于我之前录制了教程,截图教程了) ' z B, I7 [6 u: t: F; y

- B5 Y J* F. O

" F7 e6 X3 Q) H( M3 w 6 、成功入侵交换机 8 T/ m5 |- b5 }0 | J) |' ?

4 I) I9 b- p3 B2 K3 p5 T7 j

" v# k# s' o ]! b, G9 i& ~- f) R 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( F; a, J& I$ X6 e: ]& P

+ k4 y% r3 E+ K$ u, }

7 ~4 x+ Y# f9 o: S 我们进服务器看看,插有福吧看着面熟吧 9 C |% Q* l! [' w

8 W7 M5 \$ k3 U4 f
% a3 ], a) F% r8 R+ y. H 8 T) m) o2 { O
' p' ?' _- K4 Z9 P% K
0 F, T7 v% i" u }' q* H
8 @1 ~4 Y" p7 P/ ^, H' V2 E* D

) D6 B5 Q5 i& K2 A, }/ b( F- L , O; _! z' ]8 T- Q: {

8 d2 D0 u5 ?: w8 J& B e k

\# l. ]: b- d+ y3 y9 M5 F 装了思科交换机管理系统,我们继续看,有两个 管理员 6 D3 T S! a% o

J0 X) ]6 N6 f5 L) Y5 F$ e" f
. c, m/ i1 P$ L S% F/ l + Y) y2 }, h( T9 ]
+ P& [4 ?+ B" j/ ]# f8 T: O
; ?7 Z, h6 j% H" i, o
8 _1 Q* _; ?0 X: ?' e' k* a

9 j) X0 _, M/ P' W3 t" b" X ! K: t$ U- I$ O$ S

9 w2 F5 j6 ^- F( U& `1 \' K

$ D7 h: I3 U: r! z 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ) u5 [$ E- e1 {7 d0 Z

0 X7 n3 S, ~) K1 q- @
8 J1 ?; L; j1 ~ : \7 E2 s |6 K3 e |% L
9 m9 V1 \. F& F- j
$ c5 N! `7 _' |
1 B* w* i6 M% ~2 ^3 x* g' l

% i! `8 I5 N4 n7 B1 v. u 6 U! V6 W, S( b5 X* A0 i$ G' k

/ m! z5 x) X$ d% |+ K& }3 K- S

' e0 b4 @, g2 P 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ' n3 m5 Q* M4 o* s! O- T6 f0 [; D' V2 G

& [8 z) j* J" g( P |" o% A
. _" \6 @$ m4 O* X" ?+ Y/ g w u4 _2 U2 m- R9 \
, C1 o2 d3 V) W0 T0 `
" e3 V$ q; Q; o, l, k& B
7 e q$ f2 R5 H: G2 y

- I' p6 i. ~+ i* Z/ n J# z ! ^ S6 V% n2 _ ~

$ E c4 Z5 B. j% l

7 y# l1 {4 r+ X; d+ a config ,必须写好对应的communuity string 值,如图: 4 y+ `* d7 S' E1 ?: L' Q* t$ d

) J2 E3 K0 n w) I
3 q" W8 a( |' I( r& U) @. R, t / v. Q( V1 o% a, Z. ^
+ ~: J2 e6 b3 |. {) |
! l! w% K/ q/ x
3 t4 R# @% a3 b- o: G+ h& Q0 \( h

a3 P3 `1 `/ k$ F 7 M& I# l2 S$ r% U0 |1 G7 T

4 G9 ~; u2 ` S( ~' R# ]* Y4 ~

: o* s7 S$ y' h7 Z5 ^. E5 j T. j2 Y 远程登录看看,如图: ' A8 b) `) C& @5 t [" o% @

; F% H; }9 q3 r, l+ w9 V2 _/ L
& ]/ m" [" L- q# [4 [+ V 7 @- k& B1 }: p" N' U* {
( k1 |% a7 F/ D. X- n& B
7 l2 |4 L. ^6 g; k+ c- ?
3 C% H) S9 O# b1 c2 l" q1 z$ X

! a9 [% q$ B9 Z! S/ s " K- Z7 {' T( N

6 k D% O0 c& Y

5 h' T( ^+ k% e' I 直接进入特权模式,以此类推搞了将近70 台交换机如图: * a: D( c9 ^& D( ]0 _' H

1 R' Q% a c: ~0 p2 {: M
) d4 W' p; a2 m) P# \& ? 1 Z" b/ e* E' k- Y- y5 Y ?
' i* @9 w' |- E0 R% j. z0 ]
: O* {, r& ]: [3 p
2 A2 N1 I! a0 p/ X

5 c" W7 J3 ~8 N' q, @- D- c $ \3 S" |) N) {" J# N) G

- E3 L: C6 ?# _- ^5 r# R$ U- a

" }8 u& b, f& Y# s/ ~ 9 h+ v- b- J( Z5 O d: _0 f! U& L

; H+ {" e. E- r

: F! Y9 K. }+ c9 \2 j 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** " e4 n5 X' Q! x: w& H. `

9 d3 ^0 D& r0 m, n
9 j+ t% s* r3 f8 _. E: K5 X4 M + R0 `4 ?, y& e# f9 ~- G
. A1 m( M5 F0 j# Z
' l5 m1 Y: m F
3 J, l; `, {1 G% ?4 r' P

! Q/ d( U4 Q& X; Z1 x# Q & Z* a( e+ r8 V$ m2 k% `2 G

3 n0 a( i/ Y! V. ^! ]. B0 K! Q' X: o \4 S

; B% H- J/ F9 a2 U2 I1 A5 N4 Y 确实可以读取配置文件的。 6 b! A4 c3 W; G( R' M: V' F4 Q

% J& c; F. _& v8 K9 |

' T H1 @) N- ^+ `; ^- T 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 0 F7 k: o! u% ~( E3 |; B

8 B# \( p/ A9 d, {
. ~( a1 r4 K- J3 A : K3 ?2 H% B* `* }" [. u& C# G
7 r4 Z g, C5 R, h4 ?" J8 [
! l6 z$ Q9 i! Y8 c- ~
0 f$ P3 S/ Q. X: M

* }8 E' ~. o' z* |# ~, _9 J 8 W% @, s" P% X

- E( `1 c1 g' ^( V5 J

5 a5 M4 j3 @7 V 6 I1 m# T8 p9 [( Z# f# _

" X4 P* k" ~2 T% I, t

2 b Z7 x+ S* G: R( a& ~6 z( V 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 # C1 r8 s5 R. Q+ W

% l1 G) p" l+ b' U; f% T; Z
9 z* K( ]$ N* E 1 q+ |/ e1 C5 t
3 m3 m$ k) \0 U& _! y0 Y
9 a" k! w4 v, Z+ O
( h, h8 j7 f2 M1 K3 H( n, Y

) A# ^6 m' B3 S' ]! [2 N) i1 h+ u3 ` 0 Z4 }. i5 Z1 J }5 e/ H

( A5 R8 s3 }/ N$ D4 _- v

4 X9 s* K) G/ t! @ y' R 上图千兆交换机管理系统。 ; u5 B# R! t: M# v. c8 y, @

6 V- E: u' \$ ]; b7 N! R6 W3 B

J2 W- I7 D2 G 7 、入侵山石网关防火墙 ( C( H( b. E' d$ i2 r, _* o

" e- o! @0 r2 P( ?) n4 ^* M1 Z

4 E! y; G4 F* z) V 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: % d, [3 L; N: B! E

* {3 L/ |! t4 ^( ]7 q/ }- M( P
8 [7 B9 b8 H; U5 p6 O- P 9 h" U: j8 Y$ r
- U/ \) n7 I; H9 c
8 ?3 q4 S. V8 S& e
7 M& I! e& h. H+ M+ j7 w1 V2 L

" N# y0 ^, m3 f& t4 p ( K" |) }! d) Q# k* F( G

$ Q+ y( \, {# Z% Z+ n

7 e y: g- f+ b* ? 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ) X' u- Y8 o( W

5 H8 ^: W @: Z
. o R5 R# U9 K# R ! }% `+ y* _8 Z+ ]
: f' \+ `0 D4 C
/ z! _9 J4 V, B$ @+ n' m5 C
0 Y b5 F; K" E4 n, x. {

7 b7 a [- P9 Q / q7 ^+ \ g- |

: d1 l% ^ ~ A

. R0 u% K9 F1 q 然后登陆网关如图:** 6 ?( i& J5 O7 N, O5 M6 @5 n

* b6 k+ p" B( I5 u' w/ ], M
3 m& f% P! C" n `- a+ z, t 5 P2 x: S" V# j7 v
9 n: [; B0 Z" E
. Z% n- u3 G' n0 R
/ n: k: ^+ D k+ g

7 X$ M4 U6 b8 {) B+ c$ q# E , n+ C! y4 T; O

9 ~* t1 b. C% S- m+ S
P1 T) Z6 E' n/ ?# t + L5 d6 L5 x6 @4 H$ d
) ~4 |% B# N3 P- o+ p9 k
M5 L3 {: y \1 }7 ]* F
5 C6 @' i6 H! b

9 N4 W) Z1 j4 V' w 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 0 o5 I0 Y5 _& c0 ^" S

9 v9 v o* X. F1 Y% C& d2 c

) \% e# k, a2 \& N( Z# p+ m- T' X) k 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 . y8 ^7 o4 a8 V& n- ^. m; ^ ~

; j8 Y$ f8 _2 B( _# S% s0 _

1 E- D$ Q/ Z2 o 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ' l+ f5 C/ e' N% Z0 U. K, p

5 d2 R7 H N f6 @- `2 w2 |
2 S" }5 I P$ P: C4 U. v( Q4 @& X $ O- s9 H. m' C
! L" o, B( n2 s, S& f) C7 ?
T5 v2 Z. a/ B$ n
+ ^: S7 Z% O6 Y1 d

: r; p' R7 o* V/ w/ L5 n2 J, b # s/ K k* v+ R. l% q

: |9 B/ o1 T& z. w

& V6 j3 P! o% P$ U; o% s) f; | 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ! v3 R. u' V* @# I& i

$ q3 i: O. ?5 e$ _" f+ `! Y

! S5 Z! e. `: `# ^   ' [& I5 \% B1 x

: m+ ^" D$ y, D/ S

/ {0 Y5 a4 O' {7 t
: C. i! G( a4 {( m& X+ C

' f& `0 ]% `" l4 w0 s " B7 @8 }+ O$ k2 M! s0 f




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2