找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1948|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

) j) q. ?7 U" o% K& u
+ O7 q( A; f( Y' ?) W

6 x0 n& X- f; m; X; w7 n4 c

* z4 p$ b0 V6 S+ u4 {8 t 1、弱口令扫描提权进服务器 + z% ~# i" p4 f) |0 N" h# d8 T8 v

4 R- O) j' i5 D: T' @4 J7 Y

1 w0 ^- a4 E7 n+ O 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: - r5 }" H1 `1 n5 e% |: v! [3 R

0 K* k: \* b8 W d
9 _7 ~8 {6 Q% W. ^* d 5 b/ J4 a9 _7 y& A8 a' t
* `" u# R( {* e4 P4 {: ?
# C3 m" ?# y6 [! X$ m
! c# c2 d8 [7 d W

) v9 r# d: B' ~& {' j ' m: z" _4 y* b! u& }" u6 v1 [

5 q4 E3 ^; }7 {) Y& {- L3 f

- A$ G0 B$ L/ x) e ' Q1 D, e$ d7 T

* I- {( @2 S; e; p" N' r1 c

/ N' e9 J, B& q U ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 4 Z- u. K/ e' b. ?: o0 k

" k; z, U* F( e" I

% Z' [: C- g& O {" l 执行一下命令看看 \0 @* a' \$ l3 n4 f

0 R$ a) Z/ @1 {) e

0 W# s- `. f% m' [" w% r1 e, V% X 0 G% p6 Z( J1 |* o' n' U2 T" h9 _

7 G+ f4 l: u+ S- X0 |# Z
- t3 V5 h8 E' h% \2 d+ C3 h # X: N" m1 x- @; s7 z' G5 t/ f
: j8 f9 `! H6 r- ?
. b2 h+ ^4 s* n" ]
) L. x$ d; H( I1 n) y f1 Q

& D, A: W( h' x+ F. c, o2 p 开了3389 ,直接加账号进去 : K' Q* N6 m% K5 C1 X% |

; V1 ?; \# o$ c" h
; P& P9 a5 O4 ^; m ) f6 \& q5 |) @5 c" \ i) b
/ z3 g r% @3 x0 Q$ Z
. f6 Y! H" L0 W
8 W, G7 _, ]9 N" X$ i' L" z

& Y6 N9 E% Y6 ` p5 [ a# D. C. B2 U9 Z+ ^0 d2 S& }

* c2 {' K" T* w' M5 `! Q8 z

5 Z0 Q6 n4 f7 ^1 ] 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 B5 E+ v) r8 P, C* Q! a

4 H! _6 r! z1 O% i
5 Q/ I1 G8 F K" W. g P : k6 i" k4 a. C. ^9 ^5 i. {8 e# }
7 ~6 \3 q" G+ e
8 d+ d& @1 J! G3 Y# K/ B
. B2 o/ X+ }& g) k$ |

* N+ O3 c- p' ^8 H9 A2 { : k8 U5 H7 u" x0 h0 u- L1 b

; r8 t6 e3 V8 Q/ Y: E2 ]* T, Q; ~

2 N+ ^1 E E% l* s. L 直接加个后门, 2 e G+ n1 p4 t- m f5 ?$ e

! l0 _& J( L2 s8 O, D

. v) v0 _- T8 @. o. M# I! [; G 3 E2 o+ j! s) A5 i: |' J' e- O7 {

# c. }) z+ c0 ^* U# K# v
8 S( S; \4 I' K. y3 b& K/ c 7 N2 }2 m8 O4 y
5 i" G; |( i' @' \+ O" e% U
8 c/ w7 P1 i$ p2 M& }
. C! z4 q1 W8 ^; j7 S$ h% e6 D

- C7 C5 Q' t. k" G+ d2 f3 t 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 + Q* T8 l4 C" p% Z: {4 G% g

% t2 k1 q( l6 N4 F+ d

: V0 `9 {( N3 o 2 、域环境下渗透搞定域内全部机器 D. M4 x$ _: w) y9 u3 K

/ n2 u9 s. x# N. v2 E

- X1 o8 N, \! B$ R P 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / u) E$ X3 u+ k* G! k

2 I/ v2 {. C/ m! F
6 R3 w& `3 [ l( n4 p' P0 @# ` 5 j2 f5 N/ c0 ~6 x/ X" ] J
# ]1 W. G9 U3 ~5 X4 c3 [' j
0 v% |7 F, ]9 U6 M4 i5 _
: s9 n: l# z- `! e' D

7 V7 P. e1 \( @6 J, i" N $ D( D* h% i f/ J, C) L+ q& h

$ }2 x& r6 L a: i. j+ l

% V) _7 N$ J4 d0 u" I 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 # {$ ^$ B& T2 k# t3 i, l

" s4 l% t2 ^' H5 o, M1 e
: A) r) K1 j7 f; m# d+ F$ n7 X0 M) a + D2 E. f4 e: ~
" i# C9 }5 }8 O% W! G
2 _2 }% u6 p- h# {& {, j
5 {. t5 G' K0 }/ D: V

9 ? _" P5 K) q" R7 P # m, \9 V$ D7 |3 A t) @6 O

8 y! K9 }8 C3 V* V J' z' W

$ {$ u) H9 A; Q0 B* f 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: " v5 c; z7 q: S. v7 V" Y

/ \. @. C# ~( X2 R4 @
8 l% T! z0 M2 p* m" J 8 W Y% G5 G; W# E0 l9 p
4 g* B) g6 m) u# {0 y1 H# S
2 `5 m! w2 P" S2 M
/ r2 T) v! u1 I& i# K, N% }

- B/ G/ q9 a2 g8 f* p% | ) V- n% r" {2 h9 W2 J- p+ R

. H8 r2 M2 j* x* X' V

9 v6 C! @& N; A 利用cluster 这个用户我们远程登录一下域服务器如图: , N9 @6 |; J; r( E5 m

1 S) r* o& p- T
1 z. }+ t5 g) h$ v, `( B / M7 N0 F O6 C3 X0 J) g; W3 A: e; j
; U$ u, L. a- W8 j9 M$ O7 s
3 j- i8 r1 {6 p$ W) z
5 o0 C; I0 M) d: \2 k

9 S/ `! ]5 D& A' h; G* H 2 A8 Y* B! N) S; q0 [2 |

) i4 `& {8 v8 K( R0 h$ V

5 t, q* l: K: `. ^0 l 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ' H- R; [# @- ?/ E7 G1 y# s

& @/ K! |% v2 D) A
) P7 ~$ h1 P# @$ y / A. j( x. Y9 z+ ?: ~& M
6 U+ _. Y- d: j3 M
$ ?1 Q0 |. i3 n
1 l; O) ?' Q8 |1 Q' s3 r

" Y+ m5 p" P$ F% l5 W- C& H ! e) W% w; |$ l

3 L. `. d+ c7 N) I. K& r

9 |0 X) j; F& W( v 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ) ^2 H$ e! O, X$ k6 K

. V- D7 Y6 \" r$ G

/ o V3 `6 z, Z( ~# | 1 k, x6 m3 a/ h) V. @8 n1 q

. E K3 |1 J+ i# s& P* e6 H a0 R

7 L' y0 |8 H1 C6 O6 k# f& b/ o5 l 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 7 I$ [ v/ n4 I( y/ \8 _

# @, `6 k, x5 U% d4 }

* v/ W- e, m ^! u* z/ x1 s blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 4 g; ^" E) e6 I9 O5 a1 w5 K; N

; A4 n! W) _8 Z* [7 B3 Z }
' S1 o: x* v0 f) B3 h3 M/ { % d$ |' o, x% p, B7 ^
3 o6 S0 ` s& X' h, s
# n+ U! F: O/ B- k% ^
0 `7 b$ S& M8 r$ w Y

+ B. k, W8 _. I : J' l) z9 p" @' f

. m! l2 J' g7 Z

# N! o$ n1 @' k9 g$ x1 a+ h2 h+ ?5 K 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 $ i6 R* u) r# O$ k

" L; s: R8 u7 p3 T/ N; S* C
; V( ]2 S) U; m% } ( K% y, w; n" S5 r
- U- h2 d$ ~7 P6 Y5 A, |6 B' _
( H$ T! Y: h9 j# l$ |4 c
2 ~5 M y. i/ ~ p/ T2 t) O5 T

+ }! l8 D. R5 Z% n6 R1 O 4 Z6 x' Z5 Z- S2 k0 q

, O1 R7 x4 n% o

! g2 {: K j' L: t 利用ms08067 成功溢出服务器,成功登录服务器 * y9 }- {; g( V' v4 \' X

( M) ^0 K7 z% \+ Y5 u7 g4 s
/ K% H8 g" \& z) H$ A! `8 R4 g3 Y9 f D # m; T. l& B& j: u
' z) B! v7 f* C6 R2 g4 i
* x5 ~: E2 x% f, J% N6 m; k; j2 N( l
9 M' Z# C/ Z/ L9 N

7 G6 q# V- S9 s2 P3 H) Y 9 m4 _5 d4 r: c3 o2 P# P4 R: D

@$ r' W/ e* ]: A

* w8 s1 b4 f. g5 x+ j) w6 K$ q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 3 y& h- d5 ^ V( U

; f1 J4 L2 V6 m& o% C, p

/ Z0 f7 f3 D+ | 这样两个域我们就全部拿下了。 ! \; b$ V9 o! V" O G0 P1 ?

2 e7 G$ f* w1 _. f# w/ v

; m T/ C. F: x3 `, }6 l# U 3 、通过oa 系统入侵进服务器 ; E$ o4 ^% h9 O1 r* o/ W) ^; `% z9 b

4 O3 K% _% @- O3 I" q9 @- i! ^

. [3 \) ]8 A C- t Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 $ @1 ]* @; t5 r+ f* [; y& z

$ M/ h" q8 e* ^" p H* v
+ a9 u0 }/ A4 j2 @ & V) r8 m2 E1 ?+ U1 V( n
- w0 A- J, o/ d) s* o
! S% ]3 W+ b2 g9 h& t
2 L8 w. ~" T0 H" \' [2 {0 x

2 t! i, ~/ w9 b# U# A * |( J$ {& v: f2 |

: }9 Y$ z$ Q9 B# P0 |

$ p, _' W3 ?/ ? E" B 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 f5 U" w* ]& K8 K d( A8 o

* ~+ l5 l" z5 g+ `( [
$ v0 `) A6 L6 g+ [0 n : G* [7 [; ?/ N2 U- l& i
9 e" y9 ~' y! W8 O, x
9 C1 L: L, R9 L
( E7 l: J1 C3 l1 A

/ v. I- X6 Y* M) ` ) A; Y0 k) p: D k1 x4 @6 r: \

, x! v* T( r! Q1 X) C1 W% U

9 B! J7 R8 x ~, w7 g4 k- g 填写错误标记开扫结果如下 / K0 L) q' b+ \8 z; W% }8 p! `

9 Q( l' S4 p) m* @( V4 ~# p
' n* R" L T6 I! O5 N( d0 k a 1 ~! F9 r1 K$ m* ]3 r
( ]/ l6 V6 j: |) o0 U2 H
2 B0 x. i' S) J6 u: e: `
+ ]# y9 A9 X* p4 ?. G' n

# p0 O$ i2 ] g 1 }% E3 {/ P% G; D- ~! V

: F, E3 s3 }2 d! N

0 f) L7 _# O; u 下面我们进OA 0 d T: b7 n+ n+ x" F5 y0 t' Z

% w- B# E' t7 d; H4 T
) d5 s W3 t/ W 4 J2 S4 t! x1 U! F% d/ H
' Z; C: {: Z( p V' F
! Y$ ]+ h: x q7 E- f9 W
a% R {! K& y1 P- o5 @0 y2 ^4 J& ^

% Y* f% L |$ O y' x) r; j ( m) |6 H0 |1 B8 ~8 N. W) }% A% i

4 }& Z, t# F7 c; Y/ a7 Z' z

/ a6 i5 W9 N/ @* S) ^- e, ]4 `/ J 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 3 G0 A) x! T1 U+ ]/ z8 U2 i

( `! m2 \0 x; E4 E6 n5 O1 t' s
! x8 a, O& n- f" z7 c2 E . j+ S) ]7 q( E$ G$ K* F# \
8 a" o1 {% j' k! {
- d4 D# q' t. @, y8 K
! z; B: s9 M9 i# H

: l: y2 g9 W; f, p9 T$ g5 F$ U 3 s1 x+ K( t1 g% ^3 i& {/ m8 X

, |( `% f3 s8 Z: y% Y/ p% ?

% A7 N# ? @' z7 d! z$ Q9 o - V3 Q: c5 E" P* q3 h1 N* s

, z% [1 }- D' i& q! f+ U4 l" h

$ y. p7 a8 [7 V& ?3 Y 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 9 J9 M/ K9 d: i5 g! B8 P

9 d+ s' t/ @) m$ ~; o# {( l

& G" o: R+ e* @: ?3 g: N: o+ d 4 、利用tomcat 提权进服务器 ; M. f: `- h/ p) d! `/ b

5 {# y$ b. _" d$ N6 ~1 l

( p, V+ @/ i: q nessus 扫描目标ip 发现如图 $ b2 @/ P9 k+ o; z& [

, |' P) t& O8 v- j- b5 ]
+ b" |8 W" D5 Y: \8 K ( ], n0 M! d( T- M8 k# k
+ ]1 Z; }' ?! f" P9 c7 M
s9 X/ @1 S) H/ b4 T5 |1 M
" x3 T. L8 y4 f4 J6 X( }

: |$ g# G5 x# d. \! p 9 B* {. F. T: f& c* @

) F. K1 n) i% w) K+ h+ P8 K

/ b5 \- Q7 G: c 登录如图: : R3 @% ?/ O' N9 |% v& A: s

* L& R% ?3 F( _0 O3 d- }, K
: n1 K2 ]6 a/ H8 |) _ / O% o) ~5 e# r* ^) N
. }6 E1 C0 {" }7 h2 \1 F
1 R% Z W' ^' A- T1 N3 t
, W) Z" J n1 F$ ^$ s3 V3 G

3 w4 E3 B1 s& Z/ | t- X % [4 v- {: L% f6 Y! C2 X; T

( t' T) q# {- m4 d( R

# n+ Z) _7 f; M2 b/ v; { 找个上传的地方上传如图: $ ?9 o- M! {6 j [+ A; V

' T1 ?* S) f! |- H+ }
# J% d7 e8 S( Y" k2 I 9 D- ^' Q* K; X# F/ _+ q( @
x+ _, W# s/ q; y7 ^+ [* M
- B' }1 u6 q1 ^
- L4 h, F2 X) g: a0 b$ f

" `$ m: q- [6 I9 J0 J8 c 0 r5 e, u1 C8 L' x f ]; ?0 b3 X

8 i% C E- z" @. R

( b# n/ R$ O6 v! R- p7 k3 F 然后就是同样执行命令提权,过程不在写了 " w; y/ {, J! P$ x' w c5 h

2 M5 o# C4 Y; G' d$ S3 H8 ]) [# v

$ }# a5 R+ n0 x6 d* ~# Q8 H 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 + c. X% f# d M {

" a! T, c6 g' E4 M

$ L$ c% `8 j$ e; R6 } 首先测试ARP 嗅探如图 ( O3 J+ W0 j6 q5 U

' ?/ \$ x- T* C3 Q
# {3 R; e, Q- Q T/ v6 f 5 b+ e# z1 G2 z+ u& e- d* Q5 ^
2 K6 n$ @6 H6 ^4 H: \( S v
. `& x4 h$ C6 D- I- E8 Q( [; h
/ Y5 N. |. h4 z( W4 k- S7 m9 [" D+ {2 g

( {7 u _' L" N! Q* O % c: s7 R, G0 [( i8 R

' d: e" B- a# A) B2 \2 b( A# d B0 R

6 o. u1 U3 [8 }6 ^) |6 E8 ?4 g% ] 测试结果如下图: * z8 I( @' } }5 H$ T0 i

5 b6 B" n. h9 b8 i! r
+ _* X1 t' p) O W$ B4 V+ g 0 f# t+ S7 m2 G5 W7 s
* Y$ T* B, N; k" u p+ ` { A
/ X( R7 y/ ^/ k+ P1 m, b' ^
4 H: p) `, p, \) `6 e' n

6 G- F$ X4 l: k2 l , {$ q' r9 ~( H

) Q1 j2 B# f! D. O

8 N* O' S" M0 M" M* G 哈哈嗅探到的东西少是因为这个域下才有几台机器 - D: h4 T! [! e: q9 I

! ]4 c$ x- m* i/ \

0 Q+ ?3 b2 K4 E/ g! e1 V9 V1 T# Q 下面我们测试DNS欺骗,如图: * E; X" ~' q* d3 v- D. d+ J

1 `( L3 l/ j* }3 N' C; y% z
6 \: ^; r, a) s, d4 w# G4 F, c: ]% ] 4 D) n. Y# \5 h) T. `2 t
. `2 A& S) d) R1 z; i
( Y; z5 g( L! d9 U
. P! F5 n5 w y6 y f

- M- J% d- W5 R: N, ~8 y) i 5 ?$ i4 _9 s$ ^( ^

6 R7 H ?, ]5 K& Q# o4 P) W' j

6 H( t- H1 E0 W) }1 [1 f 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % k; i; S5 \/ B

# ^5 p3 G V( |$ I
3 d# i9 }) K6 n/ \ - u" n( L8 r q: d
# ^! }! |6 I* h4 Z! Q: [+ I
* K3 G3 g2 S7 K9 @; D
. u3 H+ G, ^, c4 ]

; \! P7 x* ?3 Z2 ? - W, u* D) J4 @6 f. b

X3 y( b4 D4 H# f8 t; f- U

; U: A; @& ^' t8 F8 z (注:欺骗这个过程由于我之前录制了教程,截图教程了) 8 d" G' j7 k1 p3 @: [4 G- L* ?

& ~' r& d" |0 c3 R: G: {& ~" j

m1 L6 R/ c a 6 、成功入侵交换机 ; X: p4 t& r6 \ |

( b: @2 ^$ H9 t" r; W( S8 M# @* E7 X

! _4 U% o" W& |, `3 v9 d4 ~$ Y 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 " ] T% `' e! N4 B3 _

* c3 s# H t+ b1 H7 B+ D5 f# }( B

: C& ~( I- X) O: ~) C. Q: ~( o5 F 我们进服务器看看,插有福吧看着面熟吧 # p; `- D& O9 x* [8 d" W2 p

3 Z6 p7 b3 [ G
2 T& W l# K2 o5 c# q+ O( B% t : H; q& N8 Z4 x
2 L6 z* z! C: a& o
# [9 i' i0 u2 d# n# i3 u( o
w% h/ t' o$ H4 ], K C

4 L0 L( o! z9 L6 | 0 h$ F/ L& E9 U) l, [$ d$ D

, Z2 r8 U& X1 o& c( ?

& J! e N' ~2 V- n: p 装了思科交换机管理系统,我们继续看,有两个 管理员 7 ~: P* z9 `1 t1 t j5 G/ p& x

: y$ `8 Q0 Z5 s( C
0 ?* k) ~0 E3 J; c ; S4 _' _' F1 y. c
0 {) J, X8 i& m1 w- s% G3 _; b
9 h' T8 Q2 J- v% L% r0 W
8 D7 `$ x: g0 N; y

0 q( H" x3 J! d6 a2 i ' x6 C; h+ F% r

0 \7 o4 q$ U! l5 Z. k" x( E! H

' C/ \7 ]- k! u 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 $ ~+ g$ l& U* z! B0 ~

2 K1 t: v* K/ Y' x5 A
1 i* g* G2 }9 p7 E& @/ p 9 l- }1 [/ I- h3 Q
# G4 W- O9 J: ~2 L, V
$ l% T# N( | H$ Y) d- |( S3 T( d
& W! b v! p+ L: q4 ]. } _

" A( ]( K/ V V8 ^8 u/ a9 ~ - a+ w" }6 ^( l5 X) N' S

7 D# N! x0 C+ W2 j8 B

1 }5 E5 O- {$ E% f' ? 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: : ^& p2 f! n/ p; H! |

8 T8 J0 R& y; d& k& _0 {& Q) j
. i3 P8 p2 H1 ~- k$ N: A+ K9 G- c7 b* B ( H7 g1 M) Z5 j
* z0 h/ c* _, K- I8 U
4 p, P+ I$ I8 t( X) `4 R& E% S
0 n; N; m6 e D5 b; _( R

/ ?- w! R! Y. w : r% ?1 E. f/ n1 _0 y1 k0 U5 x1 M# q

+ k* ^- Y% I3 |( b

# |+ g( j! s$ |# H: v6 r9 Q config ,必须写好对应的communuity string 值,如图: ' ]0 L/ t5 ^( ]& L; P. z

? P9 E) q5 C; a. x
) H" ?+ i3 C0 D0 b: \) j4 | 7 @1 H9 m z# b
# Z3 K2 ~9 |( X3 u) M3 Z) o) f
6 D# \6 E6 J- ]. e$ ]: \ {
' O- k* ^ f0 D: w/ }. r

% B! L8 M' i2 E3 w5 d5 ? ' A; I. } Q" ?. ]( e6 Y1 n2 r0 U

% l7 \8 ]. X8 N4 \

. e a& t+ C( k j% w 远程登录看看,如图: 0 w, A: ?$ Z+ m5 c7 e

- E% v$ h8 D5 p, l0 w/ P
% \( N _6 b2 T# ^! q ( `9 l' Y4 t. M5 Y
U F9 ^$ H6 W, S8 x3 f
1 n: [" d% ~9 V/ u0 _* A/ B
6 W5 a" W0 }; b# A5 b0 v9 |) `) t

( H! v' ]5 b7 v ; \8 Z& c! A v

# `2 }% y( F* E1 }8 f5 f9 e

+ r5 s2 K9 ?1 v% y/ b9 @/ Q 直接进入特权模式,以此类推搞了将近70 台交换机如图: 0 b4 R; H! C- ]. [7 Y

% w, z, Q0 y7 u& S2 i/ ^% p1 e
Y H s0 n! x& c ! Q) r, P1 F. i3 s4 f& z
& @. B: o) r: i2 G$ ~3 P
! `9 ], s8 f" h- U+ h% e1 h
3 t# i+ n4 z2 k/ h4 K! w* r

. A7 [+ b$ k- m9 d# O 2 v) _$ D8 h. U: } ]

$ p1 o; C6 h: b3 ?

, G" e0 h( V7 }7 f5 v5 h : x; a8 Q1 ^8 r* @: _+ ]3 J

) |: B/ w# b) c6 d( W

+ o6 E/ j! ^* i; q 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** : r% S9 }1 z$ _3 u* R0 C

' ]' y' Q* @" F1 V b
9 P; L6 f; }5 i . v9 C. f5 {. |; l
4 ^1 R+ U$ f4 Q1 Y& {; x! A- u+ A
% H- E/ I( s$ b- j& H- [& m+ {
! J4 o3 K0 ]* L" j

+ l9 t( B& E: R3 q* k$ V+ c 6 p# p, Q0 l7 a2 L# v

# Q9 ~7 ?, l k2 Q6 q8 E& H

) O" E" O. m9 {. L$ z+ _) U 确实可以读取配置文件的。 J) [3 P6 l1 m% a3 y6 J

1 x) {2 O5 v4 V8 a+ h. t5 [2 k

3 X, w. }/ j+ R3 L8 C7 Q. e4 u1 S 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 7 j$ ~ z' O# h7 ~

/ J; Q- ~! B8 }0 \/ s* l
9 z6 J7 ^! u! o1 y% J 8 Z: _+ l% t6 i# H! y7 X
% W! [7 i, r: N* g2 ~
1 ~; B$ E% y. Y+ d* s
% x" m: `2 w8 }

5 ^6 m- |, h2 N; |3 h1 l' b * j6 J: C7 N# b3 |. C( H+ x

% f) B. w7 A( `8 a: C

( Z% L, U: T' r( Z1 n % r9 u2 i" a) _, R) X$ x; k* Y4 v2 E6 v

4 \9 s' {5 v/ l" \3 f

) y4 x1 E$ G8 ]3 U6 U2 m 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 - ?5 z/ z$ T; O" u& M4 E

) o3 U7 [: i7 u% }. F- w
) x3 U# P" E5 _) ?; Z8 r , v& z- L* N. G& J6 a3 T, ^
& V5 Y, T. V1 o, C' S
% {$ j+ L; e5 u* E/ W$ v* D6 t
" c/ W4 s. B( f4 C

) |) ^2 Z, \" S8 j9 B $ S5 \8 q& A; [) Y5 b

! q9 W: x/ H4 P+ B7 P+ Y6 o# G3 I

6 ^3 r6 q0 n. W9 ` 上图千兆交换机管理系统。 ! o0 D1 c) t, }1 Y. L: S4 L$ i" e

! W) w( J6 ], q- `1 [

3 F% _% I7 @" e 7 、入侵山石网关防火墙 & \( n) t' K! ~/ ?

( A9 T) c5 ]) e2 F# K, N' m

4 y9 i2 u2 e1 Z3 Q- M. ^2 p8 R 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: : s1 Y x# W3 E c

) a$ p7 D" w. |% E2 b- q. i
# D$ s, H- E' [8 p$ N& ^, u5 z [ * {9 w' N M% w8 l0 o6 {
: n8 {0 t% I$ P& q1 s8 |
+ W) D, p y* R; z# n- F9 P
6 x$ E* Z# J" `; L0 U8 z, T k

: _& d+ w0 Y, N, \; Y 6 ^* S. v' A" ~) [

. N/ j$ R3 z2 \1 H+ ?

$ r+ T, E' a$ ~7 W+ v9 ` 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: . ?0 H. r3 {/ F: R+ o

! ] b; L& V* B( q; }
/ Z. y* Q& b/ v; S8 P . ]0 a9 ]6 A/ |) i) T
3 X \0 }) Y# m7 |
+ p+ s5 |6 E- e. [- x9 U1 \
* F5 v5 D. ]$ R1 q$ I

# t1 w8 ~9 l: P1 m ; ?3 S3 R& V5 U X

4 N+ u4 P9 Q) q, ~9 h7 H

7 U- d1 q1 T& z: p2 P( h 然后登陆网关如图:** - S& M$ p; S& u4 @ K: d# H

+ a% c3 [+ [ Z9 V$ g( Q
3 b8 x2 ~0 R" s+ G( Z+ P# m * `: z" }& I8 ~' g; `( |
/ P \9 O; ]* \. F- M" h- N/ [
H9 N( w, C* D' H; e3 M! C; G
. G8 j' p; I9 H* A! c ]+ @

/ k0 R! ?+ A" a3 h3 Y / O' Y% w5 W. U0 U" z

`+ M; c' B0 W- E0 B+ {
@& q0 R" Q0 h! o+ C' F. L / J) X" k, }7 x5 m9 K$ S8 f
" B. C- ~' W8 q! \5 P/ I
1 }/ j. \: M, ^
) i: ~ G& S3 v: p# T

1 @7 K) L/ G: {9 e1 K7 s8 u! Q 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** * q* w k! q8 Z( |) B1 t7 }

0 F9 A6 r1 p4 w- a9 M' X

! T1 c% v* s: a& E' G 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 6 M5 C; ?$ `# o5 \# u8 F+ c5 T2 z

4 x% u" D7 w2 _

# Z' Q% S9 ?! b% |. ^0 d. ^5 `5 a4 m 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** " d7 a1 ~. a2 V- S- p7 ]8 e

* R. G" H6 o4 r; I, K, k
1 U: B) y+ L; m o5 f, ^1 s! P6 t ) i. I9 M' A, H* R' h; G: E8 p& t
3 g( T8 a7 I; ?. ^& n% v
8 g" t6 s4 g( g! ^1 [3 \ A g
4 A# f# G9 f) y& r9 Q5 `' ]

3 W3 Q! D* y! W9 ]) O: b 1 Y% T, V' A P1 ]) Y

1 z/ v+ E! ^: `4 i

, O* @! r6 G5 l$ g. o. N5 z% c/ P: H 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 5 @) k2 j' k8 }) R. R9 o' x9 C% G) H

/ z5 i/ I ]- L

( h4 ]1 T9 Y/ ]' }* D' H: ~. N   1 h( k- I. f) o c

; `/ S/ ?- w# A" l

4 u) n. |$ o$ I
' k5 L+ U- V/ N6 S4 A5 z

- Y( s- O1 e K3 O! l# F 4 O1 n/ G. B& `; Y) b; v7 r- f
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表