找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1596|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

# j( E4 P$ r4 T$ u$ R
, `$ u3 }/ ^. E8 K$ v2 ^

% l4 ]; h) F+ q9 m6 [: q/ Y' {

+ o: W9 S# b! [3 W 1、弱口令扫描提权进服务器 0 E+ d3 v) q2 s" G' v

( N+ c- k3 ~' R) e# `0 N

2 R [ K R) ? 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 9 g) H2 C u! t6 G1 ?

7 {: r3 X/ I2 c+ W; r
+ g P) j: ]1 r# n / n% N* j |9 T4 ^& L2 q
- h7 V6 }- I. C* V1 ]
) P# e. `' s7 }6 R* n1 f3 n
! K4 X& a3 k' G. Q

& l0 _% P# v% F ! j8 L. N0 O+ }# R# h' L _

" ^3 l$ B* H$ E

+ [9 f K. n A& g) D; e / B6 L# M% c1 a6 ?/ k* ]

: `' H6 {; A* W- D6 G

7 |; s6 }3 k6 k+ W ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ! L( Q% i+ d2 c6 d/ v3 o8 B

3 k& L3 x3 A( w, k7 j! K' r6 K

: T9 J T8 o0 M# m4 e/ } 执行一下命令看看 " R/ {. L" k+ F W6 V7 d

2 | y5 E q% t, ^' f' @

: Z; l1 u: e# [+ d# P* Q1 e* @ - F" v/ r0 [4 G6 Q7 B% W; X

+ }7 O2 u4 B, Z( k* _1 r% W
8 { C1 E t3 z8 [ , P }& m- m3 ]: V7 @* D2 `
/ }5 B* S9 j& h% e
) C* o- m) z* {6 e# e! y% H
Q9 o+ }# \! R6 N1 }6 ^( N

7 Y, _2 P- x q' C; _( ~$ }+ W" X 开了3389 ,直接加账号进去 . _3 J# L- C5 E9 ?- c$ w- q) N& r' t9 U

( l0 H7 E0 M3 a# r X
* H0 z; {8 s q/ g+ L ' g* _6 d& ~. f* d( ^
# f7 `* q+ \: g6 H! x: L9 F( [
0 a4 R. z0 A' b. E- d2 E, l G' Y$ L E
, ^1 W3 D, S3 i

, r' b& }" Y: ^5 l3 R. H0 o- m3 p 2 j' ]4 I7 l& d. v h/ P' _( d

4 S( e, \: a. z) a. q

1 X; B( p/ Q, H/ w# H 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 U# t* d* E+ ? T' f" ]# S

& _; k) R1 ]8 H
* W" J, x6 ^( P: i 1 g% O# n, ^/ D
9 W' r6 h8 }6 l+ @( G* ]
" B" N; a0 q/ |8 I0 `( I/ ] w
: R, I e2 O- n' G

' v$ R5 b8 p% H7 q7 i $ j5 J) ]8 e3 c4 V. e& j' N3 P6 V

, b; o @" G U& u# g$ m

h8 j- y# W( w2 L' L5 C 直接加个后门, 9 d! }( M( l; C, P4 m- D% h

( p3 g" Y; K# |* }& Y$ t: ~/ c4 ]" @

# i" Z' A# _, c, _3 d- f1 G) M 3 a0 D, u2 S5 ]0 W2 I

7 K+ N/ |! S" c* v) q
- v8 W# b3 k) r0 L* v # z6 J9 |0 v4 v+ G% T2 C
- | q1 q7 l' ?: x! q- b/ G7 P/ p, y
$ N8 u" I/ m, B/ H- F( g
$ A/ Q9 X; L, t) D/ ]! H6 k

; ^( i0 F+ X5 U. [; q 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 C! k2 b" r4 Q' p* ^) O/ X% Z& _

, U- C3 F' z& u X7 j

+ m9 m0 o6 N* C3 z3 `: j# ~! e: x 2 、域环境下渗透搞定域内全部机器 8 K* Q7 b8 m; R. a

, R/ |. U+ |+ w- R) [3 J

+ A* {; x; q7 E( A' D( X 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ) e& y7 p; x: a! c% J8 o/ K

1 W1 b q: B7 U7 h# B8 p; R+ h' G, o
& {2 ~' R0 B& C7 d& Z $ l. d) E# r0 I0 d# y. m$ Z
! H2 M1 f! @2 {7 H! e
' f6 Z+ g, C" O1 T
' f, j# G, k3 [/ `+ x

% x1 c, W" V5 z+ w* W z- N7 L% c: P) L- f7 W, I

7 g, D) s2 j5 z) h* f' x

# ] m' P: g& o, @( C 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ! \$ k# l/ t R, C/ g- F

5 p+ D7 @ o- F& E% X+ @5 O
5 ~& G- j- o' u' p0 W3 c* q! m" y . J% L9 v' y& h- W0 ~
& U! ^% |7 N4 ]- J7 N: R
7 V- K0 g3 u3 s" a' C/ Z
% Y' j3 [( O* ?' y

% G0 O5 ^: {; P/ r/ x% L B# w$ I* S' S. u% U

0 H1 Q: Y& p; R

8 f& d$ D. f( l% w0 w: x4 Z& J2 N 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 7 r! t5 w) i4 l: B& e, y! M

2 I6 p1 f6 D5 O) q
# [& q: P y2 p( M+ {9 u( T & _/ x# G- E5 g
]+ x' Z, S* E+ N% a' U
. i+ N0 }% q! X9 n
& G* w7 o$ {( s1 b- N( A

% Y( A6 G4 g& p , A! i! R8 d) C/ c

7 ]1 P" q7 U2 s2 |

5 f. t. [4 L# d9 u 利用cluster 这个用户我们远程登录一下域服务器如图: 8 L! `9 H4 `# c) H j$ v

4 I# J% _- C) \7 J- ^
- [, X. U4 n8 G9 n+ E" q 3 k; [$ _2 V) A/ O- u9 N
% }! v0 @. D: e1 |; B3 I* T* q
" J: }* K9 i9 F1 t! l: x. B4 g
' H( H$ o. t; p5 ^0 W

) v$ C" D/ e$ \4 `# v0 g 3 w: J; u) ?% y9 X# D8 R

l( Y, V4 @- t( k m; v6 }5 x

, f' z4 d. ?7 _* y$ b% N; Z 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ( k) |# [9 d$ F" e7 r- G

I3 a% U/ N$ F& O) l& C$ h
" n5 U1 c, B' s3 [9 ~) N 1 m) @, q4 e; d/ e8 W. f5 x% w
; e1 \; j5 n) E0 c, E' h
* L4 w0 b8 w# ]! B/ H, m: z ~
. [* f$ Q i0 Z: z) ^( R2 M5 C

# K& ~- R& A7 s% E; p8 Q' V & J- B: v9 e* I2 u# n) u' ?

4 g% S1 y, ?" b& W5 C3 M

' H- S; B7 E: c% X( z0 p4 ]7 @: h! M 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' x% W, D, H4 M2 j0 i. k I

# R) h- n4 N7 M5 Z3 z7 I4 ~1 d

7 p3 j" O+ k. S1 p+ u4 d 4 f+ K& G) {1 J9 Y) D

0 ]7 N0 f& E9 P

: I2 e5 g7 T. q, m% h5 v: E! y 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 0 b; V9 ~2 o h H7 y

7 R* c! C6 k P5 \/ L" o

. J$ l- O9 e7 K blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' {4 | J9 v' v4 k' R4 B

% I3 G! G; E) o# W5 i
; f* T7 Z$ t" O( N ' ^: A+ X3 D+ m+ Q: p/ T
+ d- R: `6 B4 f+ h$ y. F d
; y6 Y; a F& f& f
. @# h& i! {/ ~8 m3 _5 [

+ `. D. U" s4 K7 y 9 ?, i& P9 c; I' }( F7 a

2 s2 w. P4 a9 H% V4 b6 x

! Y/ j8 F" N! M8 }" \) v 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 : o# ?/ R+ a- A* y1 x

, q; U% | v3 d a5 {. C
! T- q7 G7 r3 x( F/ c 4 H0 S$ U: Q% z8 _0 w
$ q! x+ z$ v: o. _, h' [ ^) Q- w/ ^ I" [
1 A0 }/ r* s0 K. X
( W* w& u; N! u% `1 _

4 X, y( l/ l! M5 Y7 P 9 L* T! I) J8 {2 B# s

# F- L. O Q' p' s

' G8 v. Z4 B k 利用ms08067 成功溢出服务器,成功登录服务器 , s& p, F* @* ~& f. t6 T) }+ \/ R W

5 U( \$ j; b5 I; T2 |+ `
6 ~( P% J, x+ D* _* J l ) r" r9 M# e2 ~$ h
! R1 ^7 M4 T) k1 X; `
( U M' q( \1 L2 _3 ?
$ p( k8 o/ R/ d5 c5 f: m. w) h& H

6 S1 E! D9 A8 B9 f; p Q " X& {% Z [- X4 H7 V. H

3 P7 m1 d7 M/ }3 e2 }+ v

) t n- }. t: ~1 f! \ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 9 I2 S; N' A3 O9 ?# C

! _9 g+ Y& Z* u0 X- N: w

, ?! G. b% h8 t! R8 O# e' T 这样两个域我们就全部拿下了。 ) ^! k" Z* x8 G0 c1 P

- J7 ]3 ~. [ S+ A

. P8 \4 S8 X9 F 3 、通过oa 系统入侵进服务器 % `/ C4 ^6 _6 k" ]& M9 x6 e- D; `! r

$ p$ \! d3 |1 ~! Q" R9 A) k6 O

9 n) X, T% |5 t$ Z9 q0 O. G Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 z- r6 y0 \5 D2 h$ s+ z9 z

( ]5 b# U% T# E3 [
8 V, W A$ ?& k : y- E! g$ X) J# q- A* T
6 m' V! T5 C7 r" I( v$ t. C# |) |
g6 |: ^' d, ^! A$ f
; a# a. S6 |0 a

M- q+ D2 z4 ? 0 h/ T) r8 T9 H/ E% H2 h

4 K3 _( @+ I$ b- P4 j$ C X U5 a

; X: ~1 o% w! x# S 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 8 U" L: R$ V' n1 V7 E4 q y1 \

0 l! S$ W9 [/ E7 N" j# K9 O: `
8 u2 m, ]( L% }) D, A # q7 ?$ }3 |! n9 S. ?8 X. n! M
8 x& G# _) w# s) @& ?
+ A D' w/ S1 q) a- l' f0 O" f
! j+ h6 X* F4 M- Q3 @$ h0 D: C

. k5 K. T& @! }, K- C1 e ; V* I6 j& L" t5 I7 E3 n2 f9 E

+ g P9 s' L% i: e7 M+ K

% l3 y* L' H6 q2 ^9 A 填写错误标记开扫结果如下 . A& Y- I5 }! X4 m' B

% \1 g# Z; ^7 d: c
, @6 K+ O2 |4 U+ j % U4 f4 c) Z; y7 E
) I8 A. y! t& H# N4 O4 C7 z' i) y
w9 y; S2 e) c2 D0 u
9 {7 ^# ~# r4 \' y, d& T# x* h% M7 E

/ o5 D( t+ W6 e7 _3 H% O ' u9 ~) a! N# y* L

: O e" g1 w6 Y: C* H

B9 v ?* H5 D* S 下面我们进OA / Q! |5 D% y. N

% B1 ~# k; H9 @* T2 G* B1 i
( O2 k2 R" G" ~; Q& h9 J* s ( q7 b0 \5 n1 H6 a/ H
9 @, l& e( Y1 R" h: r& X
_/ c2 O5 m* ]# F
- v: I0 K$ S: ?! F! g( ^

6 O ]- [5 J6 Z v# E$ S 1 `$ u9 O+ X8 c$ Y) ^$ m

3 n, V& o6 Y5 f0 {4 S4 }. Q

0 Q: \9 K7 z" \- k- q' L 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 8 x8 F x9 |; V: o2 V+ t# h

- Y. \( R* `+ a, u9 l( Q
0 z9 T7 C7 V3 C* g! C+ _ " r5 O4 k- Y0 Q- y% W9 _
% M+ p5 h1 D7 d
: P# L, M. }% K- \# \5 R: ^
1 \$ {) ?+ O. s/ ]

6 O. b( N7 `' T& _3 E2 d! i 1 j4 D$ ^; O% W( o' G' L

: v. T# ?' [1 Z. }2 i6 A* T

. M: i- X; G' a4 c : A1 b1 K7 c _+ [6 d3 L

7 c8 r* s3 D. M$ }0 s T5 [6 p

$ ~8 E/ t, x: E, }; j& K 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 9 p; Q0 p+ y& e0 C

5 t5 o1 y$ S' P' Y& V. A

+ w' @; F7 Z) z% X8 S" k 4 、利用tomcat 提权进服务器 " I, J/ g" |2 \* M" L2 N

, Q& P: C6 {! M/ j9 a j" Y

/ Y$ ]/ E. z6 D nessus 扫描目标ip 发现如图 2 j. n/ ~" @0 Y

' Z8 F; k [% M/ O6 ]7 A ]
% p g u ?0 h) y! y) X& r! W ' x& g( c( D% p0 o4 b& B
3 ]% ^3 U( [! G* ^9 L
8 N4 N; A* z% q, W" w& h& R! E
, }3 p; n/ W, z! X; z& c! k

; m P0 s! o* k7 a U; v& }% _8 m : K. r/ L/ O5 M' C1 Y: {

' {1 m0 T3 V" X( X+ P+ N! T: |

& L- j9 q- s1 H5 Y0 z# K* g 登录如图: , U- B6 j" ~0 d% m% \$ s

, Q" q7 f4 ~' e* E0 c
2 e/ U* w# t# C7 v+ x5 v : Z/ N: ~# R# _2 h* F! Y( W0 F
0 h" M" P g/ x0 z
0 A+ b8 l/ w1 e( C; G
3 C% Z( N$ U: ^; G) j

# j; ^) q3 f8 m$ u ( B A4 v7 ]: g7 g0 U

0 N9 W' Z5 P# r" t- V

+ d% f2 L5 p/ e0 x2 i- w 找个上传的地方上传如图: 2 Q/ w, A6 L `, v; E% Y7 z# o

/ k/ h/ x# Q5 [4 K7 J
; S3 z _5 _' B+ i; Y2 J+ X1 V ; q- v, z0 Q, M0 T' L0 i
; X; _& G7 G8 `9 L! Y
) `1 X4 L6 D) h: d
% V1 s/ E# W/ D$ V, X. C

" F) t% M! L# W5 Y2 Z ) y1 U9 ]7 ?2 Z b4 Z+ R- T" ~: C

& q6 S1 ]& o( w5 j1 f$ Y2 u

4 u3 Q% B! v4 m. } 然后就是同样执行命令提权,过程不在写了 % H+ {0 e' I. D4 `& @; m* f* W

* x: E$ G' W- z% \* D# j

( S4 H& z8 X/ o5 j H, L/ P 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 2 I% V5 i. l1 c( Q5 |

. M/ D* D0 S9 s- S

) M9 D% J4 F6 |1 S" |7 e8 S8 C 首先测试ARP 嗅探如图 & l4 R" K: o4 p+ \4 p# o9 f# ?

3 p z( r! p0 ^: d. A @: m+ N
. ?: E& g8 f# B1 A , b6 ~8 J: m$ D
C2 i- k9 M& D! n% j) Z! q
$ T g- D$ P4 H1 d
I8 d: _1 f) e

7 f! Q( ?# t5 A$ I$ z( Z7 C ; H% V- v& n, J. y& y' y

p8 a' m0 c- C p9 S

7 S: S% w; y* Z5 w 测试结果如下图: ; L& V8 F$ K0 p" @! [$ k

1 K4 x Y: t8 u3 `/ a! o* o$ x" C
- ?3 D; Y5 z$ s7 f * r4 H' e: O+ \
' G0 o; L+ w. R& v( S4 o( O
3 D7 @1 g6 ]; k
( G& Q& \- ]7 S2 q+ {% {

6 [; L4 J% I( }0 k# J( F( ~( w 7 w4 O( e6 e+ F( h% J

+ n6 s/ U( ]5 v9 U% y

) D, U1 K5 y9 ^* B3 p R 哈哈嗅探到的东西少是因为这个域下才有几台机器 ( G1 ?" a) A7 j4 w5 @( r. }) j% g

3 U) {& g2 C+ `; F5 C3 u

' d9 i8 s$ Q, v! Z3 {" F: Y6 v- T 下面我们测试DNS欺骗,如图: * p+ ^8 w9 X9 S' c

: b* o9 t! ~, N) n Q/ y
! t" h2 F* j( {# c4 I! F + z" C8 U% y3 j% y
o! q) Z: {; V
& P8 Q" L) v2 f- C
% S/ x% v/ Z1 s# P* R: p9 v/ s) K

* F3 W3 K* `1 E& G# Q3 d( d: O $ d( F8 T4 _( G0 r T _1 _& q, G8 w

1 F" W( p5 `! g0 x- ]% [

. q+ B! ?( F9 B( F! i; s2 `# C 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ; O5 A y+ \4 A2 ?4 E

6 l4 J( D/ [9 f
( @3 s, o1 w; B! y- s7 e, J - L9 C, A/ `& C7 M, G/ h/ d
+ m. N6 Z0 ^0 h, W3 v
, p! Q) T; k3 V9 A) h# J. T" [
% E$ Y% E9 E" l4 I! b/ R

; L0 {" Q4 N$ Q! [ # P$ v1 [7 q3 w9 j0 j: C3 B4 H7 G. n

2 F' P/ a2 M. H) o3 h

4 M, L4 w8 I. {9 p0 @ J (注:欺骗这个过程由于我之前录制了教程,截图教程了) % Y5 C& Q& _! i+ }, G

- f$ d$ F6 A# c5 H5 L- r

$ N {1 g: ^. \4 X5 W! j0 i! z5 g% D 6 、成功入侵交换机 + }" H4 w1 p7 }- w( O. u

1 O! I2 F" q* V. V

. Q- X) y- j$ m2 J' O 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 1 Y9 m; Y" Z' X. p. G' b

( d7 I1 H- m: |' z% c

2 t0 c' j y% J6 n' ` i r 我们进服务器看看,插有福吧看着面熟吧 ! k& X3 ?9 J. ^. Y, O; V: |

9 C2 I8 |5 ^8 E% k$ a5 V
+ e! G& q% B5 O8 ^0 K6 o - u [$ E4 x; ?& z$ }# p
4 G) d* b( F6 ?' A6 v
' g# L& R8 m5 e5 a0 [
, l+ O$ y0 `3 _9 E. S4 Z

" }$ w# V: s8 X& M6 Z( O4 u 7 g9 q& Q8 j' g8 D$ ]

3 f; K6 W7 w! |/ ~; e; W0 L+ y

. m$ H; I, z: l, Q! r+ t$ L2 X# J 装了思科交换机管理系统,我们继续看,有两个 管理员 * v) V: Z$ V0 S/ _" ], ^) X

+ P- L+ H, ]' B- G: h+ w
6 L% D* w8 O! q( l; Z! T$ i3 T0 j , } b2 e5 e$ Q
2 k A8 S7 X2 c: Y8 M* ~+ ~6 f! u' d
6 N8 B6 u) x. g
* Q% p8 Y- ?. z" K9 s2 t% H. H

8 `' s) G! R9 F; x 3 @$ s( z0 ]0 J H0 r& `5 {( S

e+ ^8 N* e5 l/ ?

" W9 l6 B% D$ q( j" L 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; k6 |: S) N% ]/ J' N8 y) X

% p! H2 u6 C$ S4 V3 ^
: R+ p3 M+ |, Y/ G% O' w + V* I9 _% { N2 M
) d2 Y& U& W- i( f: O: [% _- H* @/ {8 |
6 _0 ^: x% x* |5 B! x3 r
, x& x) S, O! ]

0 t! e) Z6 \1 G" h/ P- B 3 _1 |0 D* ?" [' J H+ g/ w1 a

8 C' Y2 u5 v( F

# ~- }' u( Z+ g( v 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 0 z# y# @) S; I' b

! ?0 g$ O" b. ? ^3 C
. ^4 `, Z! V5 M. ^) ` ' F; j7 V3 F% Y/ x$ L" e; F
; t" h/ Q# |5 `1 i; y) y# g
/ H& N/ v. E x' E( _% T0 V1 `
8 B c7 I7 @+ k$ u$ G) \

' M7 {% b% o$ I7 z9 ]; { . s U* k5 e1 G7 C x* [" J

* f: c: R }/ G. C7 B# u

0 E, z$ ?- m: @* m9 Z0 k. \$ v# R config ,必须写好对应的communuity string 值,如图: , _. X- \! W9 @0 M0 {; ` l

" S& }% V2 I8 E* X3 `
5 M5 h0 j! z: e7 L: W2 E 9 N. e+ F/ V D8 b4 S2 v9 R6 ]
( L+ }5 C3 j- w+ B
: F+ R. _1 S. z; {. W! c
( S$ Z- d% G% q* m2 h3 n1 A

: P; t- ~$ { ~" r; z% j 3 L& w4 \, s6 R2 ]: V# J! S6 R8 K' I

, w' `( A% `; e" b

% @- [- f) J* p! n 远程登录看看,如图: ' y( h( s( Y6 b5 `% W: e. y1 X" D

, |6 f% L" }- B2 M* |' p3 u2 O7 L
! F7 f" x1 J1 C+ D2 t1 ? , j, d6 W5 L( Y
8 L) {3 Q0 r/ d/ ?% q2 ?
. ?, t! [- `6 G0 t" h: `8 y5 @4 G
8 W) X |9 ^$ |/ ~4 B7 {4 }

9 u/ f9 W. b; a/ t* Y9 f2 m, v: u$ } / R: A- e& h% o, t& Q' D8 O$ X

1 ?/ D5 l R, J4 v7 c

5 S% @" Z( f2 v; `. I5 b 直接进入特权模式,以此类推搞了将近70 台交换机如图: , G9 \" k2 ^" n. h, w

" e5 G% B5 U( ~3 Q5 m$ p6 I
3 X9 J) ~1 u f0 p$ D! z ' R( X$ l0 t5 @, G. i
$ b/ Y6 @3 T! h3 D" ~5 q
6 H) i; k& _8 ^) C; L4 K' H9 s7 l
- F& t6 p- W% G, z

) n, l$ [- }) n% [9 j2 v8 E) i1 H 3 Y5 R+ F" J- k, N; g8 f$ H" `' o

) q, ^' j) O$ k( ?

% D0 X* p6 ^, V. N& u5 d * M" n2 E% G2 v) v: O

+ d4 p: y" ?2 K: X% ^1 W5 |

6 A6 _) N7 c8 _: r# Z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 4 L9 g' P1 {7 X

* `7 X' u1 M) ]# m9 E: a* n
7 D$ O7 W: O) s/ M' s 0 H" x+ M3 U# l, \; t
* |! q, o& K" z
, o1 q# f$ Y+ @) M+ d9 G
v) H) B: y1 b5 [1 {* Q

. e: P; O8 P' l9 x* }0 X3 ` " ~2 h- m" D; ^! L+ v& k- l2 ~

2 A+ [, Z( z6 t

# e2 r/ n4 O! U1 s, a3 g 确实可以读取配置文件的。 7 q9 W. a2 p) r) s' s/ W2 [

' m5 b; P' I: P, T( Z Y7 i

) A" r7 J% U* c ~1 d( N. Z 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 3 |$ s0 D- S& k, E/ ]

: Q1 C& a( ^3 i8 j
* }+ d+ l& h) V5 J- t8 f4 O) d, ^ r " Z) y* t) A8 y9 ]' c: v6 f7 Q' V
4 c$ \! ]: \3 o( v8 C$ l6 D
: Z3 K) x" I4 E' M7 {
7 e$ u+ J- o+ K

! E3 j/ y% S7 F1 G! S ^ 1 A' {# d. [9 n9 M& `( Q0 w% \

+ t9 T$ x, J* n+ o J

. {- {& B% z, b6 U; E1 H ! l- y4 T' t3 A

0 p% I i& C( h9 Q

+ c# o( A7 r$ U3 t6 [8 w1 m4 c: b' q 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 0 b+ v T' s: h2 S- d

( q" v9 Z$ Y! Q! s! d
, h4 Q) |: `( X5 m, Q- A 2 k0 ^. P; v1 w
. ?7 V# X' Y; \! }4 i. C3 P. s
. ?9 c4 l/ Z2 b" Y3 o0 Q3 d
2 ]* p+ \+ P8 v) {

- J2 c+ M6 e$ L1 p x 1 S, I- K x1 W5 M

4 W* [- j5 A8 [! F, e; t

9 s$ S* L, A/ K2 y9 Y 上图千兆交换机管理系统。 5 N9 \" L1 s1 R/ S

m* O* A: a/ I+ i6 j; V

1 O' z( g( l4 s1 n$ B$ ? 7 、入侵山石网关防火墙 0 G& O% t2 S) z: q

; ^* z l2 D, D/ x; \% U7 W

$ l7 E- C$ A' G& `6 o4 l 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 7 k( V& n4 ]0 D5 ?. O9 K1 o

9 N2 N% n; b8 b c& P2 r
5 C+ D \$ G- T( c 7 j, u# l4 p( h6 m$ m8 P6 t
' i) F+ A1 ~# [. W. R8 y4 W: S
% _ Y) H1 E. z. I5 O& k
# Q7 G; Y7 T3 C U* y

( j! d0 d7 U0 H0 Q s! B0 W" S+ a + N( d+ j+ j. C$ H( c) |

2 R6 C# u7 ]6 u1 u+ D$ I6 O

. i, s% t. N' z& R) i+ F 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: / x/ Y: O1 v) d8 ?$ o) [9 r: p7 c% m

& X( l. ]( [5 K* n6 S
3 R0 Z# u! s& @' Z" ]- j 6 O- Z$ ? T/ c( p1 u
' _1 y6 |8 M J# J6 F
6 F: v2 Y/ E( t& W$ M
) r( J$ W3 S0 i: S6 w# H! M: T$ x$ h

8 `' N9 d! l9 u( L: q% a3 F ! Y8 _& J# R+ W6 [

" x: [/ ]% E. @& H

, J) C/ v$ m6 O 然后登陆网关如图:** / S8 E% ?. T% u0 n

& _( C) f) t5 m4 R# a5 f+ ^2 H! k
8 B, v4 h# I: V4 p & G( t, h( B8 T" X
4 A) ^/ M: c$ ]) }" o& C/ q/ q
# J: c3 W+ V8 l! }
& ^+ O V8 U3 Z2 g. P b# e+ h5 i! x

9 v! V* Z$ c+ i/ s8 t9 W/ u 9 A6 q/ n" @# n( K

7 R% r: m9 p. U/ v& ~6 `1 X1 Y
J" C/ R) \9 c% ]/ g0 b3 a 7 j0 j0 p! s2 L# }
3 T0 G/ y6 c: B6 ]0 r
! {0 e6 J$ w; e# p9 R8 ? C& q! f
& X6 W6 }7 P. m. D

* @" [: W) |9 p6 e' [ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** $ a+ l% c: l0 m

Q' U+ z; u3 Q+ f0 b( Z% E

: L) ^9 ^1 R% d; k 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 " N( s& \& V1 Y

% {( m* K, p, D: h, H r

6 i3 s, C- t) j4 E 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 9 L: Y" X6 I& p) c- [

/ E+ C2 E4 \5 {, W% b5 I
' W8 p. b- V: g; }% Y % v; g' m! k0 ?
$ n* R8 Z( R: H1 ^: W3 b3 m8 D, A
6 S B5 U* C. ]
& q# O( X' |/ F) |

$ |$ @# N M0 Q, ~. B' k 4 o* w5 U, @- y: a- b+ b% }

8 t% p' l7 V8 R6 a; e; S* c

5 Y6 q6 g) \: y( ~4 b+ Z- o6 N# a3 ] 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 7 }( P1 p3 T* K, j$ g+ {

( ~5 ^, A, G( e$ Z" j( _" L

* Y+ g3 ^9 F* X/ z- R& C: x   * l" e: {$ q, e

, M: X. j! x1 b7 h

# U+ z1 A+ U- u
+ H, i8 [7 }$ v% {

/ y; N3 w, [0 Q: ]$ x, m' P $ N: e3 y5 _9 A9 ~3 e! W9 g7 U1 O$ l
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表