中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

0 h! F% Y2 R4 k; k: Z/ D7 W) N
. {7 ?# c1 s9 \$ D* V

. o* A( n4 ^3 H

) I; Q6 g( U7 ]! N- d L 1、弱口令扫描提权进服务器 : H; u( w: B% l" M6 l! V c

' Z2 Z! B2 Z8 G' i& d. c

) c$ y2 ]) b" A- h$ n 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 1 i6 a2 w2 j& Y- T3 K" p) t+ T" U2 R7 V

# H D# G+ f: ]+ W% _
/ Q1 X2 D; {% f) ?6 O, _ & o7 K# E. c7 F
# i7 ]: ]3 @8 f( T+ [& ?( } ( ~. S+ e% w6 x; Y& a
4 n8 L6 s6 `; ?

8 W& v8 q4 r6 k& q$ K) ^ * [0 i- C( _4 s* K. V, ?4 ^

$ z9 L' @; q/ X* m

$ Z* y0 R8 I7 J' O U5 ^ 6 A4 q* l3 C. X% a( L

* H; w$ _) |2 d$ c7 A

: h; A1 _9 j6 c8 ^9 W( E ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 . P4 A2 G3 L7 V

* L1 P' @5 ^+ b* S3 |

+ q; p* p+ P; ^: b 执行一下命令看看 " x, u3 h1 V+ s0 u J; j

, U5 T( ~8 A' a: ^

$ f. B7 O2 G: F- W. [) R) J % n: f7 w: a1 C% B1 e% [

Y2 ^, H8 t1 B4 g3 K% m
7 _$ Z7 Z. |$ I: y8 ^% w0 i . m; Z4 [% Y3 i# w
+ X: J& A. R) C: D8 H7 ] ! F+ v" t8 u# x/ r3 E$ I9 q( j
- O7 l7 U7 q9 {/ b$ C

% Y( j- U6 N: k- y) m, Z% [ 开了3389 ,直接加账号进去 " U$ c; e+ K0 z

: i2 t7 }% h y6 J
; n) Q( c$ v& A! ^. w& }) s4 y % I9 Y& a) _5 l- n; a4 x% s2 H
0 A9 l% {5 E/ p$ ~# u, C% s/ ~ : s' b7 G! D: W7 a
, e3 X8 o- F4 H4 [% O7 Y$ J

1 Y7 _ F, i8 K" o0 e, l / a4 W/ [" P4 R N) f- y5 x. }

! t$ Z. [2 f( U: L U

4 Y: N- X/ z6 f" h3 @ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 9 H. m$ @. \, B$ x9 F; s0 N2 z6 D' Y

. ?5 H z. I' R3 v1 e- {+ w
+ v0 A; F0 r9 x' H/ | - G/ e7 Y( s) [0 t$ r
+ i3 |. ^! n6 {" A2 G : W' z2 S0 W' P) [$ }
1 @* J4 i/ b2 ]7 u$ K

' X% {" I8 M- B% H! T# F4 | $ A5 u0 x9 A+ Z F% i9 r1 K7 E

U9 R5 @9 T3 @5 E) A, L' g

6 n5 ]# e3 C e7 e" k/ Z1 g5 A 直接加个后门, ( o# ~4 J( @7 u/ ]- v

2 E8 @1 O$ [: R b

! Y1 Y- y/ e+ ~, N( K0 x1 U / |. A2 [; J* n* T

2 D# j% ^& ` Y# C7 g
, N4 E0 Q, j) R# p$ ~1 f + w$ A+ U& j& o# n5 s/ ?4 E
1 ^+ D+ b- W3 _. [5 f* x5 W . d: U9 c5 I. J) E1 ?: |
; Q% c# W3 j8 D) M6 L" N! S R* j

+ C" z) a% q( B( }' B: U c 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 # ?9 @% N/ C6 N2 ?1 Y

- x- F1 e. x$ w9 i% Z) f$ W

" R+ F; z; h- D8 F& L 2 、域环境下渗透搞定域内全部机器 . m1 m1 d1 T! e& h

- O! T1 q9 Q- L8 H( f0 W) W, @$ o

, m1 G X9 r5 ^* S* z8 D3 } 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 8 a' u. b) A3 S1 H7 i

" c3 T$ u+ W) p
( e+ l, [4 H, i " F A( O% t7 N
. s- F% q; M7 a( o) a% T % }. _+ w7 I2 g9 K) Z/ ?2 R' e
$ Y' R p' u" y* @; a+ s

1 W- g3 @+ ^6 k : `5 D( P, R* ?' M6 }

: s: E ?2 |# `. e8 B

4 `! }( |7 _' S l; c 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * P6 g. N4 O9 n1 G% ?

8 I1 [. A1 j7 D* d! y( d2 A
' m5 y, `' Y$ z) L9 Z / {3 D; @+ v1 P/ g( R0 h6 a s
. x$ r& t6 i* s# I% p. f! l 0 `. D) \! x& ?2 p4 M. ?$ ~
* q, T% B+ W7 j% h

0 }# Q/ r" x4 Y/ U; g$ N2 a9 f4 ` ; c8 H4 ?# _( x

( A4 P, ]: _% {+ _1 j* E+ r" c

/ R F, D) ^$ z 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: $ d( B8 \& x& B

' C! f; Q8 [1 _8 Z8 Z4 |
- I" } B% i3 ~ 1 Q6 ]! Y1 Q6 c
6 [, W6 S) Y# r) o6 E, c ' S- Y" }1 P% t1 R; h: H3 p1 W
( \1 X P: m7 O% @1 s

4 M9 A4 b4 H$ {" z ( [0 ]6 G' n! ^( g" ~7 H2 U

1 l/ L' d$ K, v3 ^8 F% D7 z9 G* J- t5 b

" y# z& P! o" J8 x 利用cluster 这个用户我们远程登录一下域服务器如图: ! h. C5 s7 y7 `2 S8 a. U! ~

, x( c6 r7 [1 C0 s/ H8 }4 v2 J
0 [! L2 F4 j8 L5 H3 u7 m ' F" i$ L" G6 Y6 z0 k* p0 r4 N
- F( u" z, T8 Z6 V0 Y0 C* ~ 0 J6 l/ e. v% X: K9 h
! u' w& ]. L6 S

, p$ z0 ?4 ?$ c- `6 ^ 8 O: T8 V& G7 m( l$ E7 G4 J+ o

( z7 a1 L3 Z9 S6 T1 J

: ^! c( p4 |+ ?; O 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 1 ^ x: C! v9 J8 T4 d2 N3 Y

n, ~- W. ]; }; C- m+ T9 D
1 ~9 B' ~7 e# p) ]5 G7 Q 3 J/ @; ? A+ c* r1 j4 n
2 H% [# L" N4 ^) B3 g * e7 W& @2 x0 ^5 y6 J
N- t* k) U: H/ L5 U

; @- W& W3 B, n& o) Z% D' _ 0 Y* D; Z( t; h+ l! m

1 g7 }, i2 Z& u {

. ?- e' l6 W; }& r9 l 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 A+ {: f1 P- |% c8 @, d

6 J0 O, D! L2 ^) U2 a

. n7 b% R* P* e9 g. N# O ' z( s/ i2 n. D

2 J" @: P8 i- ?% n/ r6 y4 z# P

% }" f! P/ v2 t$ w 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping . r. H) f9 p3 r n1 t: l: ~1 ?

) l1 H; h0 Q: E* B: E3 ^( T$ B9 _0 o

3 G9 k5 T0 C* ]0 d4 d blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: / R5 |% o }; v9 R6 k

6 F8 l3 t( D8 ~) a
: l h# Y1 s; r! \3 E 7 s S7 j8 e+ D% X! i/ o
& Q) I0 h( N# B% x2 S7 Q8 N ) W) X- W4 s( P+ a2 _# p
6 j0 r( ^& S6 ?

1 @$ S. b+ ~7 z; M$ ?* i+ J . g: }/ {# B8 o4 y

. _: E4 X3 m. c) Z

/ ? t( n- ~ e 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 / U1 ~, `' r x* b- E' s

* n4 h- R8 C3 Y' p& P
+ u, ^% W& y* H/ e$ i7 L& O 9 r; i- C1 Q: z* d+ L
. G( [$ C* z4 X" f * l. F. `2 n, y* T/ N
j1 @- b9 F& b. C) w. @0 P6 ?

) y- r- T/ ^0 U6 B 7 F5 X# h) O, K5 D$ a3 f. n; x

& A5 u$ D5 D/ w- o- `

/ P& G5 d( L7 q, | 利用ms08067 成功溢出服务器,成功登录服务器 % l4 Q" S+ D" c# u

! @: G* a( @ ]* Z1 z* I5 R
3 z$ X0 ^* J v4 V " S1 t% g/ z S( {
( o1 H5 H! J7 n0 O i. D . [8 p9 c8 J1 o. o4 S9 O
: g4 l" [) P# u6 W ?( m( v

' b- s! s! o8 j% N 5 C _* l+ R3 G& I

, w, f$ F8 z7 a& p

) x8 D% X& p' l; r9 u 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen . [+ B9 v/ M' A2 H, A, P& R

0 t! J, s q; c0 S' F

% W% |! x, a7 ^- p6 O% r- ~1 C 这样两个域我们就全部拿下了。 ( y" `, C/ G9 B6 H+ F, `

3 l5 {' l( `; Y+ k3 Q/ c! t

! ~+ e& l$ y% K0 Z6 S 3 、通过oa 系统入侵进服务器 " q5 P+ ^1 f& s& |6 g

. K& L2 F5 v: W/ m& p9 I

- s% o4 P3 I" [; t Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 H/ V p" _3 [1 H" v3 x. j# ]

# B" P1 @7 g8 V2 B& l
I" i- r2 a7 l, w ! H- I/ j# f) R) _* q
2 N' R( O4 D/ I% Y * j! K1 \0 k, y/ o$ C- Q/ g
7 R; T5 K& J3 B9 k, Q E

3 q, Z8 o$ c3 g9 Z j % Y0 F& H5 ?7 T% G1 @

/ m+ [% j; M- y0 S3 w

) Y( Q- t1 P! ^7 B# I v 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 & `0 Y! |) g, X% o4 U

8 L8 D5 i; d, |# V8 d% G
p* Y/ y$ G8 R5 F I: Z+ U* x; M 9 M" X7 W7 ~4 j, k- \
8 \9 S3 g. b7 M4 H# i' ~. C 0 }/ [% z3 M2 q" |) K* z* p+ H( J7 W
/ \: C& n3 A2 t* F! O5 c4 V9 @

/ c5 I) G4 u" G" M: a B! I ' h. `" X, y7 I# p7 L

9 r/ z d* K) G( }/ T( S# _1 c+ [+ S. K

. C; Z5 Y1 D' K( G7 f2 W7 l 填写错误标记开扫结果如下 f0 D, @3 V* E9 L: y' ]

3 ^# p; I% F/ b/ ]: ~
4 x; v$ ~* q6 n" R7 f * y# y9 N" U) a
, J$ g. |* C) M3 b & F7 }/ x+ @) [9 T+ e! t
N) M/ g/ Q. a2 B- s9 ?

8 w+ r' d, }/ r; Q/ R. d 6 \: m( v0 `( t: `9 i

' U2 G& s1 x: {% b* x( l6 N7 O

& k; N5 w4 |% o" Q" S1 }# D 下面我们进OA " R( w8 u0 Y8 Z% H& l

( e9 ~# S% }& X& M7 r y
: X! }, {, G. h% Y, m1 A 3 D9 K. e G1 l
6 }9 z9 u2 O: I , \, c; r; z! h2 z& T6 x
, \1 B' i* \. R

" s, O$ I: `; ? 4 c7 [# U6 c. L k5 s

; N# N5 m0 D6 K2 S L

* t" q/ _0 n$ C/ F$ [ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 2 R: \8 _' ~9 t

0 `! C+ [% E) u% v) b0 Y. G
# |5 b/ c7 i2 B; B# ]8 @# u 3 _5 b- e. k% P; K! ?
/ ~' S' G s7 Z+ J \ ( h$ P9 |" N* E& E8 i
7 V a. K4 Z/ v- q4 ]

7 u/ m- W) Q5 I1 `% M ) K- b/ N! h* s2 h

: k0 ?/ f6 [; j9 B) I/ ~# P

% V% h% F, \. H/ V 0 u; J: \1 x2 N; o( I* T

# K# K* F+ b. o3 J& Z1 `9 P

+ U; C* d. X. h# c3 |" |' T 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 3 E9 G8 m4 A' h6 j; L

* d+ Y' d7 g# F$ w

( A" d. n& m* k4 {* I9 D/ T e) W. X: f 4 、利用tomcat 提权进服务器 ; C; `: E! A7 E

2 U3 ^: n/ g+ |9 X! ]& Q

' k. z7 J! ?& F- x nessus 扫描目标ip 发现如图 - j7 R/ H. t' F

$ {/ {& _( I; K
& Z$ i# L o0 B* w, _2 @ 3 t9 H# U4 L7 |% c+ e
* d/ E" h3 @9 x- j. ^" Z / k, B5 k7 z! ^8 C" C
: z2 F d2 ~, F+ J# b0 T

6 n. }: Z& [2 K4 g # F& i7 H( N! c3 R1 g$ c& f

- z# q# D! U8 k# ?

# n: _- x9 j3 G7 M( N: D 登录如图: 9 ?/ X& W# b# J) H: m4 v! N

4 p' H: z$ t/ M- @
' h8 l5 Y2 h6 L* f 7 g$ P# H4 U8 t* K9 _2 F8 Q
& s; p% a' N' P, x1 w# C ]- ]! @7 Q; j" f5 e' @0 k" f. Q
0 M0 X; h8 x) b; T% e B

6 T) @$ D0 `) E9 t { " X6 q& L' G- [4 _* E3 |

1 b+ I; u8 i) \

* _7 H+ [' K5 z! B! f4 n, O' Y2 X 找个上传的地方上传如图: 0 U+ C( g# w3 e1 G# u: A' a. |8 z

v+ B- N/ v7 A' t7 @
# a1 [# P# z2 X/ u" D " e, _% }1 R; Y D. P
1 O0 u6 K! B% r2 ^3 {8 V0 h9 ? ; m8 n7 s# \$ p- T9 k' X
& s# \% k2 [8 O7 x+ _) U D& U& r

; Q! c1 z: H6 N4 ^ + q( l4 I( @$ V2 W, i1 [

; G( _, }& W& _" v

( Z3 |: [$ ^7 z: E 然后就是同样执行命令提权,过程不在写了 / f! @' t! |% I( G) \7 o5 {$ d' g

( d% ^* V5 t9 I

0 Y: V4 \) J% D: r; E+ T* ?( v" u5 O& M 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 ) q, l5 {" I: H8 h4 s% Q

% A) u5 Q' V$ H6 X8 o. Y9 _

! q. M. Z; R8 L. s y( z 首先测试ARP 嗅探如图 / C7 f' \6 [3 C8 o

' t$ `* P& ^* x8 y. I
/ P9 ]7 [% C# l" \ . [0 V7 l% w8 }4 ]7 q8 S5 i
5 Q4 l6 I% [7 t * a) X; M8 z; a+ X+ f9 q% D' I
+ G$ A2 Y0 [0 h5 [

1 X# |6 V( h1 K0 d; v/ {( m * j2 ?! A& \1 T% W- ?: z

* l1 t3 i# C0 z

* M/ `' G/ ~/ Z 测试结果如下图: 7 M* w% i* ~; u) V. x; U

3 F3 j) j9 v; M2 m4 I
- J7 D; }# W; H2 @* M3 D+ [2 S( N % S1 ^- q Y- l6 M
* r# k" H) \' z$ M p' j 4 Q2 P- [; o! [( ?0 Y4 y3 ^$ L9 [
9 A& y$ I2 P4 i( l# Y8 N

9 N' a& n5 A6 Y/ g ( t' B* g! A7 k) G/ `3 o' E

" P1 Z5 [- x- n: f2 U* D" M3 K8 ~

$ _9 l7 l4 G8 z s 哈哈嗅探到的东西少是因为这个域下才有几台机器 9 K! v# k. F* F; \: K2 j. H

& T- L' I+ ~) X

1 O- B8 z8 B2 D# u' q5 S 下面我们测试DNS欺骗,如图: . I8 G# r q8 o7 c8 y+ Y, `4 M

. Q0 [. S0 w# U! ?, R4 J- o
: b6 X+ F- A# k3 |& K7 v : G9 V; Z4 f# d6 |
* p, s9 L$ h- m5 C; k* g 2 e; E2 B- b* t
& W/ n0 P0 d p' W& f

3 j. E, j! \0 w( I4 p / Y i" q/ ^! T/ H

- l" H: ^- ~, C3 n

/ n) u/ z( m: G3 `/ a& Z 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: , C- a6 F* i0 h: l* M

4 ~# k( c0 l9 E2 D
, O2 y8 p3 G! Z2 _ j . q0 r. c3 p, t+ s1 R
1 M1 j1 E& I- X4 G/ H) u2 Z2 O ; E9 K6 Y( G3 c N+ n t
c7 {7 m& [ d

7 x( H3 z6 x; W+ j) ]) z o* [& y* x1 e- [ r& n* I

1 a8 s ^3 T5 i# U# M7 Y

" g: V: T$ ?. R d' c (注:欺骗这个过程由于我之前录制了教程,截图教程了) 5 j2 {( }) V( B* h8 Q

: i) p/ C0 c" \* \

* K* h/ x+ l7 _- T 6 、成功入侵交换机 9 N3 _9 S% F" {8 O

/ f0 O. \+ O2 P+ ~; l( J; c

$ z7 F% v& s! E9 G& d% @ 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 6 R) {, ^ N' Q2 t4 G9 ]% k: p' D

7 ^; y4 M- s6 X0 ]/ B4 S# _

0 q# A7 T8 T* O/ | 我们进服务器看看,插有福吧看着面熟吧 % b6 g& L! i: q! {; b: P$ l- O- l

# ~2 |! n* h; u( Z( Y8 c( m
9 t# ^/ K& q5 h Z) s ) J* u1 r9 ?4 j" Y, Y J3 I; x
) v. P* g) E, ?5 [' m5 i" ?! M 8 a2 m2 s+ F8 d& D2 \; d. s
& B4 f, ^) L) O

- y/ @* F4 B) y% \; Z9 `0 S; ?9 E 0 ]: ?) P4 n& \3 C2 I; u' j

2 S* V$ A# s1 I, t+ B% w) V

, d# S. R) C& ~2 [% c4 z! d 装了思科交换机管理系统,我们继续看,有两个 管理员 # ~" }& `$ F/ Z( b$ A

. \3 H) S- }- X) ^0 u4 P1 F
7 H. o+ T7 X' }( D d( | 6 J! n5 `! B- n) l! D
9 g ~) G+ u, M& t' A$ y ) z% L6 F3 ]2 z8 I- C6 P" l
7 j: G- g/ a0 d

0 T$ J0 ^& O- P: `7 L" ^ - X# M8 D8 b9 d* T

( _( A; {7 V, ]! _7 l7 i, W6 g6 r

4 ?& Q3 s- t1 O, l+ L 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 + y3 U. w. f. X$ e6 ^

9 {( D7 a% f- r% j. {3 X/ d( C
/ ^- E% u+ L, V- D7 o" M $ D, d' F. X+ o& P
* k" C6 H; s6 V E- N1 t ) ?" d5 ~ w8 z' k% e
6 z9 }1 e& a( m6 `: _

# p6 p& Y2 p. a: w- P, I' w & u$ R6 l( A+ x% C( V% l

6 n0 {8 w" x0 @" W, c: T

) [" _) j0 n, |1 `& C 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 0 `, t( N6 {: T9 {( H. Q

. X. w \* A1 f
, b' i! p) }# U5 K$ U : K. F1 q! P. Q( P! B/ e3 A. b- c
( k9 V4 q2 m g$ \- k {! h$ j 8 T, ~5 N0 T$ F8 L; l; N- D
9 a5 i6 m7 V( z$ i; T

, q _/ }" \, _" ], Z 7 B* B! [; q$ Q

1 ]! x7 A* }) `

U2 E; x4 z- @" K8 j7 \' N$ J1 \ config ,必须写好对应的communuity string 值,如图: % U6 V" m' Z3 w, ?- G2 [' l$ L3 j

( z; h$ v% n) T9 w( D! g
; e) v9 @2 R% @# L3 |. }$ u) x2 e 7 J3 _4 x4 I6 P, P& ^$ h1 M
: G1 e' X' O7 x/ I- l# D # B: l+ e) H7 b }$ x' K8 o
p, R1 ^0 G+ q' z; I9 q# n' }+ x

& E& h- d8 C' i! a$ A 6 W% n- o V* `& p9 `

( o1 r1 V: i5 ?8 J) N/ q; X

J* c! T5 y$ F 远程登录看看,如图: ) X# S1 N/ ~3 g: C# l+ J; z6 a

$ R# h' ~' K: `2 {: e8 N
9 o, @3 S, F) I+ J1 _ & a9 O* a* V8 J
, a$ D. n& W" m0 `7 Q0 w 9 a) C' f1 C; Y) R) u1 h
* X/ {1 a% p7 z

, d: `0 U; A P! ?" @4 P 3 j n1 V) x. F

/ t+ t8 F9 v6 r, s; U! \" ^

7 R1 J+ I4 H/ b! D# F 直接进入特权模式,以此类推搞了将近70 台交换机如图: 5 b; L- E6 u8 O$ T+ l" j

0 i1 B# I9 _% x- c f
/ K3 v" t) W6 [ . v: v, z1 v* {( w7 E% d4 s
0 m. u0 @1 n. y z " e3 c# ^# H, `+ Q2 x% O
0 ^2 ?# L) }% G

: c4 f& s0 ~6 m5 c $ J0 v# d, I3 C* ?

6 H( Y2 X. {% k# |: t

9 @" o# q1 ~0 ?" i4 e, | 8 g( }: U& O$ E, ^$ m9 D% m5 {

9 r/ I7 U# P9 A4 u/ V/ g. ?

T: g* D* |, o/ b 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** : e6 l$ v+ n) y5 k

2 y- A2 P% G: k4 W0 F7 O3 H5 b
0 M$ w' z# D5 ]* m . ~( r. q& i- Y% ~0 ]' o7 w! L+ R6 r
1 n' S& ^* i9 h ) ]( }' K7 P( g; F5 X+ o
, A( ^6 R3 H* W' V' U

% G7 `; h/ f( U A , W; z& Y; B0 G; u

7 ^5 K* @( I3 n' b' r

4 l' Z8 H: v; D5 Z: I 确实可以读取配置文件的。 6 T z y7 H7 {1 ^6 N

" I2 `* [' i# a7 d. M

* f/ s8 |1 d* L 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 . J/ E2 ]- t% m3 O

4 s# C+ B. e7 X3 ~: ~+ \. Y7 f
7 f" T. E' C& O; T 7 u$ |6 \1 P2 {" q
1 `0 p' v Q; e/ }1 } : s3 k) u# D7 C8 }4 S( s
4 j3 q: O$ j# }$ n1 J+ S6 k. s# G

$ J2 {* ^) X3 s8 l/ O$ M. t5 j + e3 k& a! i2 Y+ |" y( D! |: L7 }

3 ~) w: w7 A4 a2 f: c+ S

! V9 w x1 o7 Z 6 R9 Q7 f: {. D* l/ {/ ~ w9 P

; }3 Y; o# J8 p" f

* C' W K- r$ c# ^ O 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 / f, w w% n, r# ]8 y

& ^) Q9 w, ]- a
' O2 n" V- v3 G; t' d8 v* j & H9 b; H7 Z& f$ y o& L
4 T! A, I/ |4 z/ T4 S$ ~ o- G 2 O' g& o; x4 C# @# K/ H% n6 b
/ F" ]; t: ?3 n: h7 Z0 x$ V) l" k! _5 z

7 \7 m- H' s0 d( s $ N, K8 O% w8 o; t, N) ^7 U. q; G

3 F+ \" \2 K3 f

& ^* S, O% h4 H8 \: u/ } 上图千兆交换机管理系统。 # a. D% [# i0 a$ i( R

3 ]" Y1 f/ \; {" F( S

8 r; n% h& V) K1 i' l& L' B! @% c 7 、入侵山石网关防火墙 & {6 ]) D0 f; @6 d( Z" B! k2 J8 e

9 ^% }8 B$ T# _3 p. a: K

" c% f+ W1 o. H" E; i$ y0 |1 N; B 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 1 [5 s- ~" S m& r

" d3 e, Q: Y; v2 i9 W" R& I3 u
/ n9 R! ^; A/ X& l: f) b & j' C8 `$ b; ^7 ^9 g2 j% Z) E. C
3 C% m9 ^/ K' u; A, C$ W ' E' Q& C- T1 u
4 U7 @1 x, B5 C( P

2 q: z2 {' e9 y% z- \ 5 j+ l: H8 k& n$ Q

* W7 o5 q$ \$ V: P" y* A$ X

) `/ ~( _1 ~1 b+ [! l, A 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: & o" G2 |, k6 U' P9 f! G; B

# ^4 a w" M- [
+ L1 `) U; N' O6 }2 ]8 F h & q1 `: B0 ~) n% G( e
! P2 ^* h b8 S1 c8 R2 x3 N , W8 J% _- F4 @2 C a# P
, n5 `8 M4 [& \$ ?2 {* T

9 \6 I" i, K" z ^) G: N" O7 { ; J& M5 @8 w$ x7 E; V6 z

; s+ e; f5 y% k& A( \- H, E! W# l

2 K U- y3 ^( G) D! Y T 然后登陆网关如图:** . Z2 A7 c/ f5 f) k+ U4 W

/ h5 e$ w+ y6 c% d, ~
3 T& ]' i$ L0 h' U" b4 T* g 2 Q+ ]4 K* E) B3 }& C I2 D/ D8 \2 J
7 d, s2 j( ] n& g1 S# B4 I) l " c+ w2 E9 i, W
m7 h7 c( z9 k* i/ g! M; n

# l3 {: A# S' b8 d: U' `. }# J3 X 0 s0 O9 |' D9 ~- o- S

5 `) v- D) v1 F( W
6 u J" @$ ~! b' i) G , i K! C4 o4 d7 v% w* x9 @
- q! f6 `. m6 b; I % B+ T0 e% ~- i6 Q) A
0 z, Y6 ]& b* p1 Z/ F

c& M% a1 U6 w1 D) m$ k 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 8 v1 o7 y8 H# L

# D# e5 h& l, ?8 Q

6 u) c' ~" `* h7 h 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 0 u- x9 `3 |& y3 R( [% C

- P" F5 O6 S% h0 n

- _& m1 S- X* v& _2 F 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** $ j' D: H" w$ s2 W

% V3 i; z4 M" b6 Z4 Z' T2 N
, i {8 k. Y8 ]% O9 `+ i . R4 P% y N" {3 u- Q. v! {% Y% s
& r7 m$ h3 L# K, { 0 s. k) I/ _) b! U
( b, o7 B, G" w; D ~& f6 J% G

, `- ^, O# q8 v* r6 O( {$ f ; a, p9 u6 Y! l+ @+ w7 }

( y( [* ?2 V- h y

) P* u4 w- K7 {2 {) H 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 , J* K p1 K) }4 G0 @3 G) U

; V( i' {! X6 S9 g( A4 t

) k$ R8 m' N# m- V0 }   / ]0 B" W& g- M

# O+ x" C( y0 Q3 D4 J

- n" h1 ^9 v/ ?* q$ j. T
% I- o$ {3 C# m$ \

% c1 I* C7 c3 Z9 {3 ?. s1 ? 0 C6 k/ S% ]7 n `



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2