中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

. U- `% ~2 Y9 a& L
R2 O. p/ _5 z7 n2 ~

( O) y* B0 A V9 Q' p- r: E( }* b& q

7 ?$ Q( P+ o- `0 B P. M; H 1、弱口令扫描提权进服务器 ; W$ h0 h; v8 B1 d8 a* f4 S

6 f- K% D# n; |- n# N' C- t9 L

- c. W9 ]# c! T" @- c* Y1 C 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: : o' k3 e! v: T( ~% l- ?5 d" ~2 {

& t' @7 A' w5 i% E0 a9 d& ]
8 C1 j' _( R! m - W. @' n3 c9 K! M9 S
% s1 M. c& L- @" A% u# T 8 `( a, C, `5 j: y' {
: m) Y$ }' I( p6 t- m* w

0 x' a: S4 }% A- a6 C T q $ X! r: E- n% c& j

) L v, V8 Q& b: b

) G8 S. ?. M3 F+ Q ) `, N& J3 F, @9 y/ z/ M

; B0 A- }0 o8 H$ I

5 ^3 M& K4 B2 V9 F o! j1 v ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 0 Y1 t: E. v: W# \

0 a' w' m4 D8 m0 s1 [7 E4 m; f

: c$ M. s/ i2 Q9 m8 t+ S1 y 执行一下命令看看 ; Z8 i1 N4 s4 q

# a4 B! t: A" ]; m4 E& X2 |% Q7 _

4 Y9 w8 U, O+ I: q + P! i: g9 u. o% P* e

# N2 N( H Q# e% w$ E
) Y/ g$ x2 q% I5 _6 D* f + i O% w' k# V, r8 x% n q
, Q" X3 n% s5 P4 ]* i; E' N( L # N6 q0 n1 W8 _5 O
: n+ i2 v3 A7 K+ U) C

9 r6 Y7 B( e+ O! {* I 开了3389 ,直接加账号进去 0 u# d$ B# s, ^' c, }9 B2 ~8 A, N

% D1 Y% y$ u; Z2 N* `3 }3 W- d( [
- S% ^3 ^( E( {& E: D& m7 M + ]4 j3 |" O" Z4 N
" K( I c4 m+ j t% U& Y; T / z6 x* @& q/ }( x" d/ f
* m' `' q2 T. B$ P# f6 R) G+ Z

4 _0 ^- i6 r1 S) N( f1 `0 y- O 9 k5 c' W0 a! ^

1 c1 z7 k; @" a& p9 U6 ]

) @% m& Q" q8 `, r# X+ ] 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ e0 q/ z( T; P2 B

# i- h2 D" k Y/ S, G" k; k! U2 |
$ z& y5 ^4 B' Y2 w, l 9 j+ D) c! r: ]. @: {9 a
) D. d7 u3 }+ f4 o- M4 b# e- Q; s / Z" l7 p% s$ w9 U
3 B3 N5 [* z. v1 z2 w" n

; ~; E b; N8 ], x) `) O8 ?. u% X 4 h1 _5 l8 i7 E( p

/ M- p$ I; t! d

8 Y' q2 q' x- s" y1 Y, x 直接加个后门, 0 n9 K5 u! p+ N& Q6 s: A9 c

( I; p/ n) f* k) J1 F. @8 R

* h+ Z% {$ b) J: m! ^) [ & `$ a8 G4 T" P8 a9 o, S v

* l0 c3 M9 v3 D+ H5 E- g* m0 m
& O9 `/ _+ x8 t0 U1 B( e2 i. ~/ g , ^5 l0 t) O/ _9 y( T
# ]& `) x- L; b2 W. l. j+ W: q * _3 f" O2 Q$ h. D; c7 q
" k1 z* h0 { \( |% g$ G6 D0 J7 x

3 p! v$ I4 T& K4 C5 @5 z. _ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) y& \1 w. t4 E7 ~. w

# c% r6 Z2 j/ v

7 b9 h. m& [$ s; Y+ c6 F& Q 2 、域环境下渗透搞定域内全部机器 6 D( ^( a# b7 U1 ^

; l# H& i& K$ M) h

( i3 o" L* j! C1 Q6 l. X3 `0 R9 [ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ' O5 X5 f0 U, P4 s0 a

- E" Y; [& l' Z' N+ P
7 U* l% a& N6 s8 i2 w4 o2 V ! f6 Q6 o5 I5 @( m$ i
" W9 p* t: Z2 B- K( C6 ~" C( Y ( Y8 i" p8 b& t g6 W$ h
8 N6 [$ P) N! I. t8 w1 G

* D6 p* s) C; Z5 f0 V 2 O! @& s6 t' L0 w) }2 M6 g

) Z9 P6 \& i" a! w' r+ p9 Z

! B' Z9 m8 c0 d7 x6 B: V3 u 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 5 W% _( F7 w+ X' C( t6 c$ f" v

. S2 x3 j* e4 Y4 z
W" g0 z1 ]# b2 u1 g# g % n. `5 N6 O8 z
: R: w$ R) g" ?' u% r3 t 5 O# E& {: M- {0 M8 d
" I" |* U1 n, h7 q

* E& q* s* m2 E" ^+ v - ?5 `3 J3 R9 W! W) `

' t! a: C8 R* Z3 w& e$ H; i

0 S4 t9 u9 l1 c& I7 H 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: . r5 |5 E4 e# e4 b1 w; |2 B

+ I: l4 Z- b R9 s) ]
4 l- ?7 S0 ?& `5 N5 f# i) l 4 P) i) D0 H7 F: K' j
! ?+ o8 a9 _' z% \! n ) \7 J3 e6 C i! c U$ e w
1 R6 q5 k; }) ^' I& b

a; X: G) I, P0 `& p: A W) F : X) Y: i O0 h9 d

! Y# N' Q9 }2 r! p1 ^$ O

1 z$ W( M' T3 o p# l" m8 [+ x 利用cluster 这个用户我们远程登录一下域服务器如图: & o( o6 x9 K# ?- c

+ m& n! M5 W& N3 Q9 w% H
6 I6 c; e$ l1 I) I% b / j" j) @6 \/ M& M% G
5 b; H4 H: A. D# f/ v& L: w 4 X3 @ y& b }5 e5 I
& b+ B' f, V( Z" r

3 X5 f! k4 ?, O; q- Q$ B : ~" e; M+ Y* b+ t2 ~

# Z9 W9 z1 k, R

$ W" y7 ^& E' [- X% K# R 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: - {) L0 @2 E0 q% y2 g2 K& f4 p3 X

/ w0 N3 t3 @6 ]: [' s( q8 t
1 O1 A$ [" C0 |4 w % H( H0 ]8 Y$ a; R% m7 U5 R$ H7 K
0 Q% P8 m* M% c* T" U; m& ] ; x5 G7 z% P3 o& U k, W
8 N1 }( k3 R6 y8 `

9 F3 N" J J8 {; m% K! F4 l+ u 7 s3 b- S6 S Y0 E+ B$ Z

4 l# m) w7 v( V/ ] |4 x% t8 u

" E; r: r7 Q$ L5 ^' [' g4 M' n 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 3 p" e; Y W6 V. q. M: y9 s

& Q) W, M+ z) r' f; E% n% I5 ~

]( q* _! Y5 ]8 p8 ], R. h. } / l& Y& ?+ b7 ^4 k% d

]* v! _( t& m0 b* L

. k* L+ ~5 k, v0 g& q* ?, n 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 9 l3 Z9 H; ~# o% S$ E

5 j! W! G& d# l0 U) b$ o

. Q! T* D$ z5 N: ~* h* ~ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: : ?( x" l# i9 u% s; A

; B9 J4 h- M' w4 o
* o) m9 Z2 j; o6 f+ X& i7 ~ ! E0 m/ `7 [2 ]0 X3 f) Y0 y
$ h, A# l& M k! o9 i * K& K2 M! s4 G6 t) s9 N; w3 u
; H: i8 C; P Z F

3 ^( d# U% e( c) v0 ?/ j ; g+ v ?! M# C, J* |

0 b5 n* N( D# I& Z6 w8 {, c j

, @$ g! @8 C: ~( C' I( P* o- ~( [ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 0 s7 m, `6 b! h. `

8 ]' r2 d9 l; |7 p2 y. z' O, r
+ G2 L8 l' y3 }) `( u0 J1 ]" J + u) T7 B$ g; y; e
/ @, S, m* H- L6 H2 |( {% h- ] 3 P2 G3 ^5 z- Q+ v6 [! H/ K; l
" @( d/ N* \) H+ v

6 q: C. I9 e7 H3 t W% g# q; b4 r6 m, O8 a4 q1 X

) q% x! Y2 J' O

u$ O/ E+ h% e5 G 利用ms08067 成功溢出服务器,成功登录服务器 ( l" m- s( B% T6 s( r) P

, [6 l2 u1 N# i! w4 Z/ k
2 ^0 m, P: U9 h; u1 K : O2 ^& b, a; f. a5 o6 X6 G
) n3 v+ s+ }- T 9 ]5 g0 Z7 b* n9 c; J
2 k4 D! A. [% I" L& \5 q

$ e" V% e+ d% l% M% [6 u0 I- y * q! b5 [7 ^* \; k

, p: _: x3 P: C( P" y) B) f4 M

6 ^* u- K- h8 j' \; |' a, T 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen : E. c7 v2 J7 ^; ] S9 U

! v: A2 A. W5 U

6 M( P9 N. h% T 这样两个域我们就全部拿下了。 % P3 D- g6 A. s

( ?$ c; ?2 K- `6 Q

( j: Y2 F* q3 Y+ o# S& i 3 、通过oa 系统入侵进服务器 0 k- Q- O$ z, Y8 c$ r3 Y4 k0 B

$ A8 z; R( L$ b! t7 _- t7 t5 B

l9 G6 c& m5 [ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ' r) [/ d( O3 c/ n3 p

2 W( f+ E- R3 t( m& G3 @
$ c) k- ]! Q7 _# j - b5 p5 k' ^5 v2 K! ~5 d+ Q( d) o
; ^2 v7 r0 x4 v1 G0 | A5 F+ ^* l( L4 B, m
6 u/ O# V$ G, T

3 i0 |9 n) a, D4 l% [ 7 B7 T' ~& b8 F- y7 }

7 A( C$ f: J5 V% d" h

0 r$ q9 R% x, F4 }: P+ b0 s/ O, l6 _ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 , H8 ~2 v8 R0 a1 K/ g( X, Y

" K# r. t& r @7 U, g) U, N
2 `( s5 @6 `/ }4 T: T" w4 e$ k 8 B% n5 m1 d1 k) o. Z, ]8 I' D
7 H5 w0 B9 m4 i- b 2 {( [% |/ E/ e2 d% W) p- n
/ d! M ^3 l$ M: O& N

, a5 d' u! }, S* x " [0 ~& ^9 F2 O( `; z9 Q5 [3 p1 [

$ G3 h; i* y1 E& P$ [2 m9 y. O7 v

# j4 v/ o& I$ U9 v 填写错误标记开扫结果如下 q3 G+ ]0 M$ g2 }& q% |

3 l, O2 |3 S- b3 T! Y- g& M+ V
; p3 L& [2 t( @ & F3 s Y' \, A, m: Z: u s) i( q; E
9 D/ F+ E/ {! \5 H* n- D 5 `: y# B6 {/ w6 x1 k, F
# ~4 u c+ W& ]% x0 U% A. {2 g9 N

/ n- W: |; z8 e' C" Y 5 i) G; F, x$ S

9 R# p' ] [! B* Q/ f4 z6 b" J

5 G( [2 u3 Q: g7 j& K. k0 e 下面我们进OA + B3 M8 S# q5 g* A U B+ o

6 J+ i% e: ^* k9 q+ H$ P0 f4 D8 l k# a
* V* r2 j+ y1 V# g# z" L & a, f9 u$ S" j/ j S
. w( d+ I# l3 R " U5 B1 I0 f) a/ F" m
( h9 _. U/ L! P3 x" ?2 _

0 ?3 N+ |8 b3 C; m2 @ $ a" S7 n; N: E) ]; w2 z

: R' E5 Z( f* ?- e8 l' V

* ~) s9 Q! X3 s/ R* {' A5 P 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ) `7 u P# n) w3 J* ]5 N

3 E0 ?0 v* R4 { k2 H
, f' W, Q' _: o) {$ ?8 x3 r $ m* Q. ?, W Z
9 P- P4 E v& f& C 6 J1 r# J$ `: P5 ~
# \( ^; |8 @/ M- c+ y- N* H

/ D3 s/ e3 y4 i 3 o& p1 {5 S( A$ m6 T5 x' ]& w+ {

5 P7 t- f, L7 m- K7 _

! \1 {; P, E* Z, J; S% ?) Z2 L5 r . I! e0 [: p2 ?8 ]) C5 P

+ Q" M9 s u* g5 X

, z. v$ l' d- L+ S 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ; f! j* _) J& Q2 K

, c) b' O9 g! F8 k' Q- y9 x

; j3 ^% f; ~6 K 4 、利用tomcat 提权进服务器 7 c, K$ A0 n6 w9 `- `, g

% w+ J! k7 g3 } `) `

" B) d, w2 M3 s) l9 q$ r nessus 扫描目标ip 发现如图 . i1 ~& W' r$ b9 Q* ^

7 n4 l$ J1 O. z6 `8 U* Q
: }3 V. Z$ {( w, Z9 k4 {) H7 d( F $ D" \# Y' h6 F4 l
2 n6 Y& l% a8 _+ w- E 0 T) ^7 L. z7 ~0 O- _) z
' Y$ n4 G E0 X2 J2 @

' V7 t' {+ C$ ^4 A! c! }. @6 n 7 l: [- x+ K2 ~7 E( U5 h* J G

' k$ j; M$ g: A s. ~+ B' @

1 X+ K4 _6 c5 V( c, p# y9 z" y* S 登录如图: . Q4 f, _/ S( a7 P( J8 \

j) J" d+ F3 s5 U# q) H
`4 N8 t3 i( `) Q$ H K4 u, [$ j- d1 U0 B3 A
; N& [/ f/ O3 A# N. e8 H + x% W& W% m% K8 x( M8 M) O. t
; D# D( [, c0 l/ g9 e* N

! z% z4 P; q/ O: p4 ^3 k x ' \! B1 P2 V0 e( T1 @) n) N$ l# A

5 d" _' B& E9 t" U

1 k& x3 \2 t3 \/ j$ F) W4 g: O8 F9 X 找个上传的地方上传如图: 3 R& a& Y2 a' D2 i+ H

1 S6 u% C& [; k2 \* Q
1 p% t7 E6 E8 Y% [7 s" f ' {. G; I( s V0 p- X. w3 A
7 f3 p- A5 n: Z' m% V% P$ D - n+ Z% l. c1 ~0 z7 ^% w
4 O( p6 f% ~) V! V: b: n; |3 `

5 g3 i# { A% [* i ' p( |/ S2 l$ U% ~

6 [; M) a1 p: `; {

9 j' O, f/ |- C. I4 Z3 Y1 l0 Y0 ~ 然后就是同样执行命令提权,过程不在写了 . M# s5 V! Z% N9 B# ~. i4 F1 {

/ Q7 n. U: J; T5 x; a

% J6 u4 M/ C8 k' _ 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 0 N# f0 Y" T6 w% Q0 j

# f- B; W8 v0 q

1 P% L6 Y" y* |4 Y- g) l- w* M2 l, u 首先测试ARP 嗅探如图 - j" ~! s9 ?- C0 ]( t9 A+ L

6 i( g, q8 D0 L1 J4 h* R. [3 W
% g8 w/ @" a, Z 9 h0 f6 T H8 j6 j6 k& |
, H( Q& K1 X7 t2 A 5 `7 d, p: q) j9 Y2 T
9 o8 o5 T6 E1 r$ B, l5 {' \

/ P$ V* ]7 k4 T7 K* Y # w- s/ B3 `. i1 `' f" q

; A U6 y Q0 N) ^7 ]

' v, t* ~5 S9 B- g 测试结果如下图: 4 @$ R) L/ R; N! q# T

, w- G$ @5 ?5 ?! Q- ?& p& t
6 E$ G7 ~: L: h9 A3 A - k% w4 Q6 j8 q) Z
, `8 g( e. v* B' |5 ]/ x 0 t/ u/ j9 z& t7 ~( d( c, o. B, O/ K
2 X6 `) M4 _! F8 H& ?% S3 l3 w

9 q7 R( \% C- l( I$ Z $ k: F! K0 ~+ W, T; R* ~% V

N7 I$ D! b) f6 ^

3 ~5 F, B8 K, s6 ? H% F' K 哈哈嗅探到的东西少是因为这个域下才有几台机器 , ]$ ~1 ^0 ^! ~8 D0 g- q- D6 b

, q) I" A0 q3 t; i! Y* N

7 \& N8 B1 y4 ?/ J; p6 N9 q 下面我们测试DNS欺骗,如图: 2 Z# w% D" B1 q8 Z8 {# n+ ~

5 H* x, _% @3 A( p% F: ]2 x
3 i1 }" A7 z |2 B5 U Y- F, j& m8 ?1 z( o0 {
2 w) ^* W/ I+ f5 z) Y . E) N* I$ G4 q: q4 X2 J
7 I' _- X% ~/ w0 s( D

' e# @# C+ I4 h+ R& E ) q4 S4 e% v; J" r0 t

' n6 o1 j. ~. g& P

8 u+ @4 Z9 {% ^& o8 b) k 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % ~- N3 D& H* y" k' O

/ ^6 N/ Z0 V) C3 ~0 u
# P! i6 B, }7 ? * U+ F- A# A$ F4 [+ \( D: Z
# h) E; \3 }* M A) u5 ], t. K4 ?6 | # D& Q, o- K7 K8 N% M7 Y! y
( m1 y/ ?% b' \5 }" S

2 O; B' ~4 |3 v2 l! ^ : A5 S; J, q4 l$ M6 s

6 X) q8 f' A, y0 j' F3 f1 `

5 }( M, o8 p5 z5 ^7 ]! K (注:欺骗这个过程由于我之前录制了教程,截图教程了) 4 A2 ^ S4 U$ @# }0 c

: _( n. @1 u' n6 J: U

7 x4 h& m) Y- |$ T$ s 6 、成功入侵交换机 7 |) }8 F2 ]. G( d- A

, N0 V7 L0 {8 c3 I9 Z

G% O- n0 Y' X. Q9 _; i$ Q 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 * _/ w0 o1 @9 d! T" _

0 D# O# h% C# s+ I9 S# d. f

; {; v1 a# t T 我们进服务器看看,插有福吧看着面熟吧 + g( Y: e# h ] g% b+ _' ]

' l/ \5 { J @0 L! a, d
9 q3 D2 O) P1 B6 n: `$ Z 2 W* I' r" n: z3 _: u3 |& \
) w9 ]! _" S. e2 c; [$ \ + z5 Z: _5 x1 b+ M# O
- I8 n1 u! B3 T, Q6 ^0 ~/ N

& C! {& t! \, u: d! w: ] 0 F- _0 h( l9 A n; O

; j& W2 H- s4 f# b

/ w; q3 Z$ `& n& U9 K2 A 装了思科交换机管理系统,我们继续看,有两个 管理员 9 D- r E- J3 j1 E. D2 ^! k

8 C% I! O7 K$ D% [% x# i
$ S: e# d( f+ L3 R3 G ! d1 O5 V0 D: t: D
+ R3 t) p/ B( w' N& _ / Q$ G6 @5 z- i* i) n
$ c9 u" d5 K* E; { p8 v

. E5 V1 Q0 b/ K, k( R! m9 I ( a: ~) ~2 n( H8 _$ \5 h* t' g

# e' E7 ?% v+ q$ @" o! R+ x2 V- G* ?; D

! a; x# M3 U5 M! k; q& A 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 6 S e8 g0 L. o5 w; S- b& C

+ y2 z. e0 L, X! O' F
0 q: W, H3 y. }; Q ' j& A5 U6 l$ N- K6 V* i1 \
. [: p' p4 v+ `; N+ [# f3 n ( T# n/ w4 ?" }# v# N0 U3 g
3 d& V% a2 {7 ?, w+ W. Y1 U

5 p+ w- d$ E, j+ a $ F3 [# E6 A) E7 O5 k

I9 T0 z1 A; }4 p! z1 H) T

" a* i! W, v, i) ^/ s- R 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 8 V' c9 N3 Y7 g3 ^; X* R

5 t ~; s/ d& R3 P1 G9 u: z
$ D, H* S8 Q, ^# }8 U( ^4 B, p ; B$ x* [ f# Y( j+ v
6 w7 W" d6 J( j U i" ]2 ]' r& B ) t' N9 ^/ [- W. n ^. S
. X7 M/ b3 U8 B& _+ [9 ~$ ^

; n$ ] T4 T% {2 m 0 p3 p6 j+ L9 s5 u" j

0 L8 `8 O! o0 j

4 k* {4 |, A! @ X* g config ,必须写好对应的communuity string 值,如图: - L* M4 G4 i+ } `; N$ k9 [. a8 o

, v% P; o ?* r0 ?7 a/ j' V/ z
. L% Z# R( d8 Q 5 I* O* \4 [" S5 Q% \6 C
7 S5 |% B; W! e8 \; M0 H6 x" f+ R * x3 f. y% }; w" o& U. d
/ B/ r) Z3 w1 _

5 Z H% Q" U, E/ P$ a' t* ] - }) b9 `" E. ]8 a

1 V) x M' r" g2 A, y8 H! n3 O, I

# y% a4 [. L2 r: ^' S 远程登录看看,如图: , H+ s6 z+ ~+ v% j- H

3 y+ y4 @* X+ ?7 w3 p
3 S' q% Z5 K0 G; s' D+ v 1 r: I/ L9 V' i% {5 ?! N/ ]/ Z5 |
. e. M' o/ b8 d, O: R( T, G * C* T1 `1 Q1 v( q, X
0 F9 ~7 p7 i$ } P& @

# U, w! j" [8 M/ a* t 4 f& h- Q: G- v2 h& s2 U$ k$ t

. z6 \# J. v9 M+ D

$ ]: v. b+ n* M8 j$ a1 p( B+ L 直接进入特权模式,以此类推搞了将近70 台交换机如图: 0 f, K3 m, D, R i+ _5 k9 [( y5 E

% C. [/ \( P. T' n
3 k# @( a' V& O& Z3 n1 W 7 I9 d, b' W+ t/ @3 I) ?
& p" |( u2 {: Q/ Y8 O9 o' N ) ^; A) _; D6 x: d) P* y8 b
; A8 j c: W3 P

. x* I9 C- g2 ?) {$ c: j $ ?( `2 r: k# J! W5 C. t6 s

8 N) X0 J9 N/ c' w" v

( b) R" ]5 H* u; x0 |7 M . j5 g7 q0 h" b- i9 l: q; U( t' A

# K' v; R5 ~5 D2 a

! H3 [* B3 `, N! f 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 7 V2 X" ^/ x7 D' G! j! ^' N; P2 X

. ~5 D' K8 X) |7 N- J
. k A, N* w" ]; y2 I1 C$ p q) c x" y- ^
A/ B% s# c. Y: ? ! S" E. y& E& T7 ^
9 ]8 t- n3 V0 f( }

7 ~2 X1 L7 U# @* k. P3 A ! k+ v: q `4 N4 C4 @: E/ g

% }6 A O2 w, ?8 H% d& W1 F1 D

' b0 N" w7 K+ c; D# U/ e& Y 确实可以读取配置文件的。 3 X: u1 g/ Z0 R8 W3 M Y

: R3 ~& y% J$ B, G5 L% I3 u

# |( q2 w! K) Q+ B$ x 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 . ~8 N2 \* C' y8 \, F4 X V

9 ]- b7 y: a' G( f% Y+ ~
& ~, u$ v" m" \, o D9 W# m0 F& E9 k; u7 t2 ]1 f
' B. d" [0 X# W / L- m+ Z p7 M9 e" W0 v: E
x& `+ [( N9 H/ r0 H5 X' N

. A$ _- u) x) H/ P. w/ r 5 I3 S v, c: T

0 k8 [* A& C( `4 ?8 ?& i

0 n1 v6 {% p% }# H1 `& } 0 }' c `2 S1 @: @/ g0 \# ?! h8 Y {

+ Y$ n! u6 t- T D% k

0 R( x% P+ l$ L0 Q 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 8 T% `% x5 A0 w

$ Q( {: ~/ D9 U* G8 _4 O A
$ @1 q2 b: _5 Z 1 m$ b" V" B; w! n9 L
5 x- ^ Y, H3 B0 V - k! u0 Q1 \$ ]( A3 ?2 `! x/ b
5 i) g+ R4 j' @* e

& L/ T0 X5 q4 H: n' l/ b / D+ o$ @- X$ i

3 e8 n) Y2 s' T' I0 _ l6 |

# n+ q5 Q) O: |; x" O" o9 M 上图千兆交换机管理系统。 + ~5 y& d& s) P- j0 ]( ?

@/ ?0 V/ e9 r1 V7 L2 p& m

+ ?: d* j' D. d9 o9 W& y5 ?8 F* L 7 、入侵山石网关防火墙 . e& y" z5 B$ S& J8 a3 C! x

5 x6 M* T4 p0 J4 f) O" {& ^' [- @. J

3 ^& J: J- R' g) {" o) [ |1 p 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: & c% H& c a- k) I

& w: p2 B& E6 }0 r0 B. L* ~2 Y5 P
2 ]; p/ G5 A8 \7 _5 i. u " J$ K3 B8 N0 ~5 E
* K! I$ U; F# ?) u2 o 9 K8 z5 y; ~6 N$ d+ D8 g
$ K. }+ f d& n4 a

& |* t1 k5 b0 Q. m& H. [/ a" q 9 T+ }$ w8 t& Y+ ]" F5 X+ n& X2 o6 h! h7 o

/ L& j2 W. @5 i

* N2 n& X, @* } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: . {5 C1 F, }3 }! Y7 \! W

* r- w, `+ x3 P* z' X
7 Q2 X6 ^4 Z; i6 Q! w & U% G: }$ e$ I2 v
3 `: ?' a( f* d % q) H; K& l% P6 D
* X- Y- v) w+ a% D2 K0 q, S

) J% o* W$ X, B 7 R5 i# P* Y6 X3 [$ ~; T

. s" i: G8 a) B$ k2 k7 N

6 w7 Q4 n! v% ~% [" p. N) p9 ] 然后登陆网关如图:** 4 E7 E" Q8 ] T

3 L J' J8 J, X) C* ]
5 g3 K& Q* F; y% V, d0 R& y$ q5 Y , W4 N# S5 T( A S
( M V7 s2 R s2 W 8 p$ t+ c+ A0 i- `6 J1 [' b" G$ V( G3 ^
- O2 x! A& C& X2 I- r* y) }

" ~8 D* j8 [8 @) a 8 q+ F( m" p& q8 @) _

9 M( |. I' ^; I8 D L
3 n8 C+ v- b9 E% C% S6 R3 ]; r 9 ]7 {9 t O% _ k8 A
3 T* S1 @+ d# J7 Y+ r9 s. ?% b ' s1 j# k3 D: {7 T) i3 e8 t# K# l
2 y- ?. g: Z6 L* i2 [$ n6 n

% u% o* z: G% c( F: q 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** & s3 F. a `9 V! d+ q

" [8 y' `( h# ~& l3 ^# Z; s$ i

) N, l. d, W$ b( q 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 , _; F- n7 ^( I" l) Z; [# M

% P& Q. |; D) I5 a8 p* x

4 E% I7 ~) {% z+ V 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ) {) @/ U- w4 M' V

; N7 I5 }/ O7 x2 Y
: J4 L2 P. m9 {! d+ Z * i: n+ p* J, I$ d% v/ e. ^
- \ {5 a% @+ e @% B! L # `4 y& w' A2 g# Q1 y
$ J# { l9 }. v; j* O! h

; a) W, S0 R1 n7 ?" @7 s, g7 \+ R ; v; H p+ E' w7 e9 E

! _, F) l5 b% x+ N) M) m

! z" p8 Q, Y: r0 W3 @# u6 i7 @ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 5 u% E) F( J; ?3 y% j1 X }' N

5 {" }% D, F7 E+ n

% Q9 b4 }! }8 I   $ a0 R t( o: k* z

) G6 i/ j7 ` y9 H3 ~) Z

( P( T# ^1 T* l" Z
- x' g" A# G4 {5 c

- K) y2 U, P2 {6 |- i7 x! B 8 m6 {6 t. y; x, U



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2