中国网络渗透测试联盟
标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin 时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网
: R7 s M8 M* T% Y
3 ^* @: a( a V: W2 p2 ?
" G k, C% A1 D
, n; @( _8 a7 [0 t9 G% B8 c: E* a& s 1、弱口令扫描提权进服务器
* K' v* \% j% m6 @0 @
2 u$ @7 F$ T! @
* E$ P" C4 t, Y0 M2 i 首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 N( b: U) ?& v2 A
; v% R1 M) G; M; u, K' s/ U9 v7 n
6 F9 [; @. t! o- j# {. x: Q. x
8 |- \5 N4 m& K* C. Y1 Q/ f# ^: {
4 [8 {% }3 Y1 G" t
% {0 h- Z4 v" s; H4 d, g' n4 x$ t7 n
& e& B7 a0 q( m, q9 ^. O
; x/ B3 l0 V7 C: x. L/ E! r6 C. g
1 M7 H- {0 d m# T7 \( ]0 R" L
* r# F( T7 V% W5 w
9 j9 t4 M* n. C) @- Y% _9 f5 a1 s2 h) S3 Y% w3 {& z8 U1 [' n3 V& U
ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行
3 ]9 V* X, D b7 t" s) T
( c/ _2 _0 l/ h; A* t1 C
2 v; m8 G% @. u; ~4 l; z( p8 y
执行一下命令看看 8 s- w* d6 h, q* d8 ?
% [2 J8 L) {5 C3 Q1 `2 ~
2 N4 N" s! E4 ]' Z6 U
( y. F% c1 A& n7 J! Z
) g8 ?- Z6 g; p0 G8 s& g& l; m
6 Z! x2 ^% X- h2 Z2 J
9 w L8 `" ~- p3 r" P
% j* v) j% @0 N7 s: s/ Y& g; S& W
. z0 P' k* @2 r. [) `
0 M0 q$ O k( t# z6 a' `3 V7 g# [
3 [$ i2 }8 ?0 A+ d9 T; k2 ?2 |: B
开了3389 ,直接加账号进去 7 o6 A; r3 G1 f7 y' V! @$ K
: D9 {1 `) D, S, R+ f1 ^
1 o# y) a# z6 q) X; f6 ]1 S! H
* E- T0 e4 F1 T! ?/ m/ ~" t
' H) ~5 |1 S# J! y: f L; B/ z2 A
' N% R ?. Q" e* C) t s+ O$ Z: _9 g
5 R" h" V9 ]+ k6 y* Y/ x* ]- _9 i+ l; U& b: B0 \- W5 I
3 I% G% W* l* X. L0 d1 O- r" M
9 P; |% |% p2 r( i
+ x( X4 U% l# J- }
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
5 J7 t. G$ V1 K: H1 T
, B# W6 ~; J& h. U, h/ e. t( F
/ r& j C: ]" E |5 E* z* }2 O' f) Y) D
$ E/ J) ?3 d; o$ r! ^9 T
: ^. D8 g6 j$ v. B; x! h1 |/ Y
4 f) U/ S0 w' j& r9 d6 }/ ^ x
" F% _- x5 t& }' X( O. J. L# w5 @
8 K1 N: p3 j% _( p
) G, I. W2 F/ F) E9 O3 L
/ Q4 N1 m& f5 \/ v5 n+ {
直接加个后门, 7 K( I2 m' @4 }# }# U$ ]1 y" z
: M: k0 T' _/ R% d& Q* a) k# f: _$ K3 {8 \( P8 ^6 B
4 r' O: F. P$ s& i( K8 {, h3 L
, c+ Z; j+ g9 @& M: N, n% x9 j" I! f; T
) A/ k9 O5 J" _
+ ^8 s$ q% O/ w$ }5 X
! [0 ^0 e# I. S' a0 G
8 J. `5 g# p: @0 `
# B4 _4 w2 Q& r7 a0 l
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 : o H* \8 x3 x/ R
0 @ N" D8 ~* J) W- v' h
: V; y: D& P1 U; P# M& r, e) n( X1 ]8 ^
2 、域环境下渗透搞定域内全部机器
8 @1 N- l6 n' m& y" r. ^
& W5 K9 x$ `2 v: R8 k4 D8 _
9 W2 j& z8 i8 V4 F1 p% z% \! ] 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知
$ T7 N _2 V- Z: N
$ f0 e& T9 ~) z
! J0 {9 t7 _8 p3 T! E5 y K7 J
4 e3 ?# z- r# h+ u' I- \5 ~5 X0 a
0 a+ s5 y& s* v( V0 g- N
/ ^# A5 M$ i0 {) Y) p
4 n6 l$ H. u% {( i8 v0 G4 t4 l! c2 o7 V
3 X0 h& t( w a/ a1 x) r
8 a' D& l) i0 I+ N* \' _
J; Q! t6 [5 ?* N% C 当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图
- B( |: n1 v8 `: j# E
0 o( }% [ l" m, E& o* t4 [
! D% E9 E7 @6 b' e" H / y1 O/ W9 d! K! @- \
5 ?' {5 o5 j9 e, i
. b }2 t7 b. ~# j+ u1 Q
& o, E8 q/ K1 t9 f) N/ O) `
3 ~! l7 ?9 D4 z+ r1 d d
. R# Z: | @* @: _2 I4 `
+ z3 W4 x6 [+ ?3 h. u8 e& _: J7 `: m8 i; m, S
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图: . l( j p; K9 M Y5 k6 H
" E4 | Y0 ?3 G \: T. x+ J/ S! ~) u7 c& M% J# ?
$ f4 |, O* @' e: @% B ~) u% f
: w& O) l k6 [9 M4 A0 `
8 J' _/ z$ k6 t, n1 N8 \
% M& h7 w+ X: o: I) v: b% o2 k- v/ h1 L# N
. r9 X: B) ]/ I
; }) {0 `) {0 c! L5 E- g m
/ r: s* W( N) @ 利用cluster 这个用户我们远程登录一下域服务器如图: / m# F) }; @; q$ v6 G( v6 {
7 {0 d3 X8 y3 ~5 m9 ~
; b- Y, {% k4 T4 b) M K- U 6 j( `/ f) K" W: ~
8 W. c; x- a& N3 s0 p
" C# g4 V! k7 P6 k6 B p# R
3 y1 y. g7 u1 X3 ]4 j& A2 |6 `- a# `; E3 H
1 M) A# A5 y$ R
; {# ?2 D( ^2 V `0 |7 [$ {3 h
( C7 ?, Y) E3 G- H# P5 x 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
$ X. Q: I- D" `
+ v3 q* }6 A+ }6 D. J y8 |% p) \
( s' F0 T: X1 [' Y2 g
- |) ?; @: v& h
3 ^9 P& r& T* ]" {1 N* q& x
E& o6 C+ M2 I% y
( }2 J; t) r: J; o$ Y( O0 ?! k$ B' F6 P+ N
7 `& N" V' I2 l, t, K
+ P0 |' L. J. M: V$ P2 V% V& s7 |# \* L' l4 s w
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
9 u5 Z: g5 `1 u% Y. R( P& ^
5 j; m+ Y6 _% |6 `. u
5 x: t* O j4 \; S: Z
5 T- Y w, v& H- S* }
& }8 P: r/ e2 S) J6 a2 {; r
. P' b% \& w% _ c% S7 C! O 域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping 6 P* Z' [% D U; U9 U& k3 z/ ?
! k% @/ A, I- S8 i, f2 h, F9 \. k0 r
blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:
2 Q1 J" l9 @4 Q
7 y2 M1 V" A: U* V& x4 p- ~( V- b2 d' d
. q2 x0 A' h/ @. Z( w, A
" S- o' H" Z! ~' Y+ ]$ J) y
1 _% [. D! P" g! m7 w0 Y3 {
s' g: R. I- `9 a
# v' D4 t* E! r" o/ V8 p
2 O$ }7 s& ^ r8 F
( b8 t0 ]; v2 S9 g+ N7 o! l! C) R
7 O- y, h+ t0 q+ w& }$ Q) o$ ]7 R _ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图 # a% U8 r& @ o3 }0 Y6 f
- W0 X6 Q& [4 c) g% s5 F( u$ ]
; ^& k# P) O- f$ J( {8 e' \
~1 B1 N. c3 O( _# t1 E
- z# N3 j) m) O0 A/ j
$ ^+ P: R6 c( j* ?" `
L9 v( ?0 r6 H/ Z [$ R! E
0 \& W1 [0 b U9 N3 r! ]* _
5 v- @% G% }6 I& e8 `) J
0 }8 Z4 i4 y+ j2 Q0 m# f
$ J: j6 D. X5 a$ j- M2 c' Z q
利用ms08067 成功溢出服务器,成功登录服务器 6 o9 b+ h# k# S* Z0 Y. n) B
. B! K8 M! I8 O' l. ~7 V9 M+ O4 U
0 ^: }# F. J" M/ f3 P
$ L9 ]+ ~% I3 \$ W! h: h! u: a8 ]
8 ?2 o" b* `2 ?$ B) @( V
2 ~6 d* `; H9 y+ i: N. z4 u/ _. J& L* [5 X
- _- I" Q3 Q# E, L+ O3 V. c. I
- z! U3 _+ D* R: o. X+ y/ Y/ x7 c7 Y; Q* [
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen / w% b4 R! N) S6 A8 Y. R
. k9 K1 i3 q f$ m" L2 \4 o8 e# J2 T) `3 @$ x9 @
这样两个域我们就全部拿下了。
- Y9 F, L$ e4 W# E
* M( F7 z" w2 _3 k/ Z+ h9 H* ^$ J5 f8 j/ n1 F$ S
3 、通过oa 系统入侵进服务器 + W' B7 p+ W3 c Q* }- H' }
. K- _1 u7 \3 s% H! Y8 s- W0 ]
2 ~+ H! H2 g1 U# n9 `- u+ M Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图
' v1 J3 E6 w0 ^
/ u! z) o2 J. a7 Y D+ S6 E9 c: G2 y; c# C
. H3 q1 Y! K" s( f, n; Z$ }# O
2 ]9 b- f t( {6 Y2 i) [
/ \6 H9 y/ e; s' l5 J4 r4 x
! K" q$ O& H, H# G' V' p, ]" i, v; [! L* t6 K) Q* G3 R1 `
9 Z: T/ N% l+ X2 o
' _! Q- d3 ?( }3 l& i5 g2 Y! d
" x" p5 S% H0 i$ G
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
' c& v, n, v% l" \4 `
x( Q' S, c* k/ Y
+ j% o# [! s' n3 e: ]7 x9 T d
% t! Q0 I4 }- u! Q
: M' _2 e6 v+ I: d" y1 Q
S0 v0 l, J6 m2 }# [9 s% ~) }/ V
+ O0 `* _ _0 T ^- \: S
6 {: }5 |% o/ @3 k/ b& X9 x
) G1 I# l0 t1 {& S1 |$ a. M
7 a/ _# {" Y- K t5 N5 d0 B
% u, x' d: S, \9 d9 _% l 填写错误标记开扫结果如下
( j& _2 j; D6 F: @: ~
0 N+ n6 K* o- Z/ R, s* D8 k; ^
3 {! O8 A8 E' o8 ^2 [2 r8 _
% W, `3 A3 A% o0 [% Y& I2 N
, Q8 J- R9 @* d( ~- w
! S' P2 ~( P- w0 l9 e" B5 W
+ i: R G0 l# o. l5 A
: u8 O0 L" S8 d
5 V' z7 m9 N) z9 B& Y
; F2 i0 Z# |) m: p j' z
/ `0 i5 u2 |# X) _$ J 下面我们进OA
" S6 y) a& F" ?. w3 d
7 Y3 m2 }0 x4 Z6 T( i) }
! H. d# A: b; G' _ ; `3 r4 k3 |3 D+ |- {& z5 z, s' d
6 T! H& j9 V9 t- Z) ]: M6 E
$ k& x1 x( H4 L% O# f7 K. n: ~# t
9 d k. }1 t. ]+ U2 s3 C% L6 k: m
8 _1 Y! L% Y: R
6 ^* ?( x# j; {3 e" E, w9 W: e3 t) \
/ G& S1 H8 \/ I5 W* {3 X6 W0 W
0 B" {6 V7 B5 I- | 我们想办法拿webshell ,在一处上传地方上传jsp 马如图
; x! A v# m7 O& C. O
0 i6 \. _# U! }5 |2 A3 @: `7 B$ F
3 a3 M3 T9 C2 P" q* Z+ K# O
6 S7 ]. g: S$ v* F$ Z
* x* D( J) k% i4 E3 M' S3 R* h 3 h# n% \8 `: q4 c5 G8 `
! y$ \: Q* y# C" t) s
" O) {! D. t. _' j/ R. B
# E1 F6 H" U* x- b
; K% W7 d1 ~" t5 o1 ^$ p2 V
: k* b4 ?# a D U# H
3 p; k! b8 S7 l
' y3 m0 W3 `$ M9 g
( N# B2 G% w% ]& b# h 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 r2 ^1 j' X0 ^0 R8 U
) Y3 q! y# Q1 j4 G5 ]
" S- w: W8 q( Z- K/ E6 b( f 4 、利用tomcat 提权进服务器 2 s' w3 q* k' |' `6 |0 l* {
# L% c U8 h' \
$ V$ e/ }7 U$ s' ?7 G 用nessus 扫描目标ip 发现如图
5 r% ~. L+ j6 x4 y8 r8 c
) W0 P1 I; e+ s3 o4 r6 c. {6 @1 ?+ X' o4 D: Y- N9 _ @% x
* f4 V2 g* t8 B& E# H
" z; a3 h* i# q0 K5 q : b6 `% I1 T* {' z! a. }& J3 [
8 e- V5 L5 w' e! Y# o! A
( Y9 ], T: g" V8 x' J
8 M3 p: b o" J, M) M/ F
8 D- L; i5 T3 }) k- h' b0 X, \7 K& l( V$ L% O# V# e' \
登录如图: 2 _7 N4 b: t; W
' R% C6 h0 o# F' [
; K" \# ^5 P1 g5 }; [7 h
/ |1 \$ G1 j/ p. g7 G
( r, l6 T! h2 u n1 z& b) O2 j
9 J$ M' _. V5 u5 T
, @6 o1 \1 @' D: {! g6 O
. p" j" N I: v% `( P, Z/ Q5 l
: L/ G. @, R( m& A! t
: A# A' n. z* O( r
3 P. |5 W+ K5 k, l8 {3 W
找个上传的地方上传如图: ! p! U4 g& s0 `, A
3 A5 \2 s D5 ]" C |
9 G4 j* o' u& H. D5 r( Z6 n/ M
* d. L1 I: Z* f2 u
3 z/ j$ i. d0 d+ a
5 Y# K$ z- w. x, F
) t* {% n$ |) G0 V/ S& ~/ D* v
8 F7 P T$ t1 Z# [' I
" n8 r+ `: e V2 o
6 q0 j: W! p+ R% b
3 A {2 G# l2 @0 D 然后就是同样执行命令提权,过程不在写了
3 ^2 v4 @+ R# l( b2 |
5 E* F" U0 o. ^ F }$ y1 ~# z5 L7 I8 }# c9 B3 v
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗
" E. Q# ^3 E& V6 y" H9 f1 K0 o+ B- G
5 K% _( T+ S. ]8 C2 U
$ f" X# G1 M0 F+ I 首先测试ARP 嗅探如图 8 v, ^ V- X* F/ ?* X
: i3 m* ?0 f6 x9 G9 ?& \: z: _0 j$ W% h5 ~
+ q1 s3 p9 S' J& p$ B
4 i; r- Y1 W3 i( a, J# X
! e+ r& k) i6 J
; T# _) k9 D7 _: i7 F6 [; B
J E$ @) T' M! j& V) t
6 f9 a: s9 V6 _8 K& k! Q& }/ Q
! b" O: T; M: L F `
2 X+ N+ F. @4 U, L- \3 i
测试结果如下图: . Q# e/ _$ j7 _, e- z- Z
. |8 C" P) i9 L/ o' ~4 F
6 @: a1 [) p) }- R& _7 a% G
+ l$ e4 |* Z8 p. c4 {. m
0 X2 V$ r3 f9 Q: d2 T @
; e: l! l1 t: @; h- @5 K' K
6 J& L, s$ e# V
+ ?: D/ q N" O' ~" ?, x
f; G2 p W: v+ r
" K) U9 L) a. ~- [2 y
4 w1 k ?# ^$ F: | 哈哈嗅探到的东西少是因为这个域下才有几台机器
- j& |3 ^6 l+ m+ Q- }6 ^0 A# E+ b5 i5 K
4 i C- r% ~- o: h# Y" u/ ]% ^' |4 f# E" I
下面我们测试DNS欺骗,如图:
8 i# A3 k4 m& n3 Z) g6 q
/ _. `6 x7 l) b. h, {5 Y$ A6 K' q4 Q% t7 ]/ m' R. U! |# z7 R* |" M
6 s. Y! x9 T* @7 G+ k& F$ v
6 A; O# e, A9 f5 ?+ \, e
3 j) W9 i9 H9 U l. ?
# c F- T- \) T, F
$ M' J2 o; ?) g6 u# E* i# W% D' _
" S! i9 r" L1 A* B A9 \# f
. \3 b5 C+ X: O8 y; E$ J/ `
$ H& H8 m5 V7 D; e6 G1 c6 r 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: t0 z% e; |8 y9 M
8 i; v1 F) \% v2 c/ X5 M8 q3 Y! O9 W# q( ]2 M0 M. L) [ y* h: @
( P. O# \. s5 h5 T- U: `* p
* T! h, ]7 S4 V( |) ]' u+ Y' L
. {- w& ^/ H, N& X: J
2 B- i6 @, P- W7 [& z2 }4 S8 B3 ~- Z, H
/ _9 G$ C1 D& k7 Y6 o* N
) }& Y) w$ L7 y" i; A9 Y
- }% S& D9 O2 o* u (注:欺骗这个过程由于我之前录制了教程,截图教程了) ' z B, I7 [6 u: t: F; y
- B5 Y J* F. O
" F7 e6 X3 Q) H( M3 w 6 、成功入侵交换机 8 T/ m5 |- b5 }0 | J) |' ?
4 I) I9 b- p3 B2 K3 p5 T7 j" v# k# s' o ]! b, G9 i& ~- f) R
我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
( F; a, J& I$ X6 e: ]& P
+ k4 y% r3 E+ K$ u, }
7 ~4 x+ Y# f9 o: S 我们进服务器看看,插有福吧看着面熟吧
9 C |% Q* l! [' w
8 W7 M5 \$ k3 U4 f
% a3 ], a) F% r8 R+ y. H
8 T) m) o2 { O
' p' ?' _- K4 Z9 P% K 0 F, T7 v% i" u }' q* H
8 @1 ~4 Y" p7 P/ ^, H' V2 E* D) D6 B5 Q5 i& K2 A, }/ b( F- L
, O; _! z' ]8 T- Q: {
8 d2 D0 u5 ?: w8 J& B e k
\# l. ]: b- d+ y3 y9 M5 F 装了思科交换机管理系统,我们继续看,有两个 管理员
6 D3 T S! a% o
J0 X) ]6 N6 f5 L) Y5 F$ e" f
. c, m/ i1 P$ L S% F/ l + Y) y2 }, h( T9 ]
+ P& [4 ?+ B" j/ ]# f8 T: O
; ?7 Z, h6 j% H" i, o
8 _1 Q* _; ?0 X: ?' e' k* a
9 j) X0 _, M/ P' W3 t" b" X
! K: t$ U- I$ O$ S
9 w2 F5 j6 ^- F( U& `1 \' K
$ D7 h: I3 U: r! z 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
) u5 [$ E- e1 {7 d0 Z
0 X7 n3 S, ~) K1 q- @
8 J1 ?; L; j1 ~ : \7 E2 s |6 K3 e |% L
9 m9 V1 \. F& F- j
$ c5 N! `7 _' |
1 B* w* i6 M% ~2 ^3 x* g' l
% i! `8 I5 N4 n7 B1 v. u
6 U! V6 W, S( b5 X* A0 i$ G' k
/ m! z5 x) X$ d% |+ K& }3 K- S
' e0 b4 @, g2 P 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ' n3 m5 Q* M4 o* s! O- T6 f0 [; D' V2 G
& [8 z) j* J" g( P |" o% A. _" \6 @$ m4 O* X" ?+ Y/ g w
u4 _2 U2 m- R9 \
, C1 o2 d3 V) W0 T0 `
" e3 V$ q; Q; o, l, k& B
7 e q$ f2 R5 H: G2 y
- I' p6 i. ~+ i* Z/ n J# z
! ^ S6 V% n2 _ ~
$ E c4 Z5 B. j% l7 y# l1 {4 r+ X; d+ a
点config ,必须写好对应的communuity string 值,如图:
4 y+ `* d7 S' E1 ?: L' Q* t$ d
) J2 E3 K0 n w) I
3 q" W8 a( |' I( r& U) @. R, t
/ v. Q( V1 o% a, Z. ^
+ ~: J2 e6 b3 |. {) |
! l! w% K/ q/ x
3 t4 R# @% a3 b- o: G+ h& Q0 \( h a3 P3 `1 `/ k$ F
7 M& I# l2 S$ r% U0 |1 G7 T
4 G9 ~; u2 ` S( ~' R# ]* Y4 ~
: o* s7 S$ y' h7 Z5 ^. E5 j T. j2 Y
远程登录看看,如图: ' A8 b) `) C& @5 t [" o% @
; F% H; }9 q3 r, l+ w9 V2 _/ L
& ]/ m" [" L- q# [4 [+ V
7 @- k& B1 }: p" N' U* {
( k1 |% a7 F/ D. X- n& B
7 l2 |4 L. ^6 g; k+ c- ?
3 C% H) S9 O# b1 c2 l" q1 z$ X
! a9 [% q$ B9 Z! S/ s
" K- Z7 {' T( N
6 k D% O0 c& Y
5 h' T( ^+ k% e' I 直接进入特权模式,以此类推搞了将近70 台交换机如图: * a: D( c9 ^& D( ]0 _' H
1 R' Q% a c: ~0 p2 {: M) d4 W' p; a2 m) P# \& ?
1 Z" b/ e* E' k- Y- y5 Y ?
' i* @9 w' |- E0 R% j. z0 ] : O* {, r& ]: [3 p
2 A2 N1 I! a0 p/ X
5 c" W7 J3 ~8 N' q, @- D- c
$ \3 S" |) N) {" J# N) G
- E3 L: C6 ?# _- ^5 r# R$ U- a
" }8 u& b, f& Y# s/ ~
9 h+ v- b- J( Z5 O d: _0 f! U& L
; H+ {" e. E- r
: F! Y9 K. }+ c9 \2 j
总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** " e4 n5 X' Q! x: w& H. `
9 d3 ^0 D& r0 m, n
9 j+ t% s* r3 f8 _. E: K5 X4 M + R0 `4 ?, y& e# f9 ~- G
. A1 m( M5 F0 j# Z
' l5 m1 Y: m F
3 J, l; `, {1 G% ?4 r' P
! Q/ d( U4 Q& X; Z1 x# Q
& Z* a( e+ r8 V$ m2 k% `2 G
3 n0 a( i/ Y! V. ^! ]. B0 K! Q' X: o \4 S
; B% H- J/ F9 a2 U2 I1 A5 N4 Y
确实可以读取配置文件的。 6 b! A4 c3 W; G( R' M: V' F4 Q
% J& c; F. _& v8 K9 |
' T H1 @) N- ^+ `; ^- T
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图
0 F7 k: o! u% ~( E3 |; B
8 B# \( p/ A9 d, {
. ~( a1 r4 K- J3 A
: K3 ?2 H% B* `* }" [. u& C# G
7 r4 Z g, C5 R, h4 ?" J8 [
! l6 z$ Q9 i! Y8 c- ~
0 f$ P3 S/ Q. X: M
* }8 E' ~. o' z* |# ~, _9 J
8 W% @, s" P% X
- E( `1 c1 g' ^( V5 J
5 a5 M4 j3 @7 V
6 I1 m# T8 p9 [( Z# f# _
" X4 P* k" ~2 T% I, t2 b Z7 x+ S* G: R( a& ~6 z( V
直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。 # C1 r8 s5 R. Q+ W
% l1 G) p" l+ b' U; f% T; Z9 z* K( ]$ N* E
1 q+ |/ e1 C5 t
3 m3 m$ k) \0 U& _! y0 Y
9 a" k! w4 v, Z+ O
( h, h8 j7 f2 M1 K3 H( n, Y
) A# ^6 m' B3 S' ]! [2 N) i1 h+ u3 `
0 Z4 }. i5 Z1 J }5 e/ H
( A5 R8 s3 }/ N$ D4 _- v4 X9 s* K) G/ t! @ y' R
上图千兆交换机管理系统。 ; u5 B# R! t: M# v. c8 y, @
6 V- E: u' \$ ]; b7 N! R6 W3 B
J2 W- I7 D2 G 7 、入侵山石网关防火墙
( C( H( b. E' d$ i2 r, _* o
" e- o! @0 r2 P( ?) n4 ^* M1 Z
4 E! y; G4 F* z) V 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
% d, [3 L; N: B! E
* {3 L/ |! t4 ^( ]7 q/ }- M( P
8 [7 B9 b8 H; U5 p6 O- P 9 h" U: j8 Y$ r
- U/ \) n7 I; H9 c
8 ?3 q4 S. V8 S& e
7 M& I! e& h. H+ M+ j7 w1 V2 L" N# y0 ^, m3 f& t4 p
( K" |) }! d) Q# k* F( G
$ Q+ y( \, {# Z% Z+ n
7 e y: g- f+ b* ?
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
) X' u- Y8 o( W
5 H8 ^: W @: Z
. o R5 R# U9 K# R ! }% `+ y* _8 Z+ ]
: f' \+ `0 D4 C / z! _9 J4 V, B$ @+ n' m5 C
0 Y b5 F; K" E4 n, x. {7 b7 a [- P9 Q
/ q7 ^+ \ g- |
: d1 l% ^ ~ A
. R0 u% K9 F1 q
然后登陆网关如图:**
6 ?( i& J5 O7 N, O5 M6 @5 n
* b6 k+ p" B( I5 u' w/ ], M3 m& f% P! C" n `- a+ z, t
5 P2 x: S" V# j7 v
9 n: [; B0 Z" E
. Z% n- u3 G' n0 R
/ n: k: ^+ D k+ g7 X$ M4 U6 b8 {) B+ c$ q# E
, n+ C! y4 T; O
9 ~* t1 b. C% S- m+ S P1 T) Z6 E' n/ ?# t
+ L5 d6 L5 x6 @4 H$ d
) ~4 |% B# N3 P- o+ p9 k
M5 L3 {: y \1 }7 ]* F
5 C6 @' i6 H! b
9 N4 W) Z1 j4 V' w 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 0 o5 I0 Y5 _& c0 ^" S
9 v9 v o* X. F1 Y% C& d2 c
) \% e# k, a2 \& N( Z# p+ m- T' X) k 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。 . y8 ^7 o4 a8 V& n- ^. m; ^ ~
; j8 Y$ f8 _2 B( _# S% s0 _
1 E- D$ Q/ Z2 o 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:**
' l+ f5 C/ e' N% Z0 U. K, p
5 d2 R7 H N f6 @- `2 w2 |
2 S" }5 I P$ P: C4 U. v( Q4 @& X
$ O- s9 H. m' C
! L" o, B( n2 s, S& f) C7 ?
T5 v2 Z. a/ B$ n
+ ^: S7 Z% O6 Y1 d
: r; p' R7 o* V/ w/ L5 n2 J, b
# s/ K k* v+ R. l% q
: |9 B/ o1 T& z. w
& V6 j3 P! o% P$ U; o% s) f; | 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ! v3 R. u' V* @# I& i
$ q3 i: O. ?5 e$ _" f+ `! Y
! S5 Z! e. `: `# ^
' [& I5 \% B1 x
: m+ ^" D$ y, D/ S
/ {0 Y5 a4 O' {7 t
: C. i! G( a4 {( m& X+ C
' f& `0 ]% `" l4 w0 s
" B7 @8 }+ O$ k2 M! s0 f
| 欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) |
Powered by Discuz! X3.2 |