找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1595|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

+ p! `8 `3 W/ a' c2 o
5 t$ @; U" S) q. ?1 y

0 d( G. @* o3 ~! q! m o

& x4 r! O& a* C% ~ x 1、弱口令扫描提权进服务器 / [! _, `$ }; d- h0 P' r) B

- F- O7 _3 j3 U+ n$ E

- ?% o9 Z. K* |* s0 T) s 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: : |# g- a" ]" M! B7 D$ t

4 C7 f- z6 a8 K9 O- M
/ n! z2 F8 k8 q% C9 _ . p% m; f0 ?, |& F" A2 M& n* O
6 y/ M* }8 @& l) ]7 r
8 v5 l: B: E7 z: X% Q0 H- u% W8 Z
3 x$ L9 o+ \& g8 l

+ i; V' |5 X7 t: L2 h# e& j) m " ^, d5 O2 Q' D

1 \& v" P( G1 e' B% [

2 b/ p, Q, z$ R/ q% X( a 0 m! J ] m2 }' I5 ^ y% H

! D, R6 v1 R0 j+ z- v, }$ s O

0 f8 L! f0 K- G ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 - H" _& |' V j) ?! a8 j) |& @ g+ o

/ }6 @& A7 ~- l. V# o/ a, z/ f" `

* P b: h2 J0 |8 S4 i5 j 执行一下命令看看 N) F* }' M1 z7 m

Q, K4 o, l2 o6 W. p _8 z

1 {5 h3 o# }& T' U5 s' g $ p4 j g; H! W3 L

* n: V6 ` y2 Q2 t; t
& h# ^) u2 y8 m' h: z5 j4 O $ Z1 N* e6 o! m T, M5 D
4 d# ~/ u5 P/ f: }) H$ k
( M1 `2 _. {' p i) E
* j; L) [2 @5 K

Q/ J) n/ B: Z, u 开了3389 ,直接加账号进去 0 a8 I$ ?$ L& ]& d; K3 p4 B& J! y

# Y( f, Q* ^% n. B+ Z& j: A/ X
3 o7 r. l# q3 c0 W: d6 u ! w3 {2 N5 b/ z- A
* B9 f+ q3 A9 \8 P! E2 l& B& D) Y
9 f( p4 ]: \4 z* x
+ j4 S' Q; P. o" M: \

- w3 O( C% W# M3 W, r0 Z1 G 5 Z1 U" I: n' b8 Z' H$ D) t% J

% ?# C5 M5 m8 \, k0 [+ A

; K9 z! D& A, `; V- F) Z' e6 _0 N& q 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ) D, t/ i# n+ @/ M0 ?$ e K" S

! K# h9 f; n+ f$ A4 P& A9 h& S
% g- U5 l& I+ l9 V& L: U i) t 5 a% U; \# ]; R
8 H4 ^0 T S0 j8 h: o. h
( i* s# p0 S" D) s. H" s& ?" U
' W( d- p- K! s7 E, w& ~7 E" e

6 `* x. l5 \2 H3 @+ w4 t6 J 8 D# o3 M0 w3 W7 a/ D) L! O

( F v) P! v* I7 s6 |: v( U

8 }% ?4 L1 {8 ?, e4 m 直接加个后门, $ c# O( k9 O: v5 M& f

7 C; O: q% b S- h( k. C5 C

! d P" ]4 G. G, X. Z 0 |2 p2 X }1 Q* O# }% [8 C- ?# P

0 H& J1 v8 A) I5 G* C7 i
5 }2 {; B" d7 D* A7 T& q 0 ~4 _& ~0 y/ T* U, s: L k% i
$ Y% u% ^( e9 P0 z L# ~
8 O5 w! G$ Q7 I" ]/ N' |- L
' o+ h1 \2 T) M6 }& R9 V8 u

2 G! V5 i: `& T5 ~* \4 X ^0 p 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 1 n5 X# y$ u. D1 H+ Z+ H

# W& S" n. A$ [# j: c

; g3 G7 i0 Z" u! ] 2 、域环境下渗透搞定域内全部机器 7 s! o6 U5 ^, P2 T6 x& L6 T5 s

7 o- F5 i, @- T1 y7 }+ j

2 G. G: ^# l3 z9 p4 \ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 % D: [% e a' L6 O) u

% j' O! J; o' H1 s/ _! F: e3 h
1 F4 {4 f s7 S9 I2 Q' k% d# | 4 @1 J5 d6 _" J& K9 D) l( F4 L
7 a1 B, N) V. f5 V( R& j& T& ?. X; C
9 z0 P1 J0 K* P: a& t" F
" n R( g2 A2 z9 u# k: u( d6 u

" z# t4 L3 {# D) X. t& b 7 p O4 t4 a# O2 }# J

n) N5 k$ d/ d( R. e8 E

6 R% t% f' c# h1 t" C, R+ S D 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * T& \2 r) K3 k, T2 [) \, v

) ?0 A; N; d, ]8 f8 d9 I7 y6 B
7 h6 G- {; U# r) m / {# @6 `* l w
9 e' w, C( Y) e
/ d' u. b9 V5 f" i: E2 {
1 G/ }; m+ P' Z

$ Q& K8 e0 w/ m$ t2 W& A3 n 2 x+ t& ~* ]" o6 u

5 E8 V$ Y1 ]; o) }

* x! d& P- y0 F: U `5 Q! r( ` 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: * N' k4 z- e; i8 H3 i- b

m: J4 X' U5 u0 l
% M. r# }* d' a/ m$ } . n+ |& H- c7 B! N( C/ c* |
- U( ^. t- l- D4 r9 @# M# J7 ]+ T
0 k6 s" S; }( d) L$ _# t& g( s* {- Q
# r, Y3 f+ r8 l7 ^

! H2 m: Q' E, q3 @ ) e) p$ D7 k$ A# M

' z' H, s4 C M1 t0 D5 q% _ m

{$ t: H1 X$ G7 Q! F2 _ 利用cluster 这个用户我们远程登录一下域服务器如图: 5 x( }% u. b8 `8 ?

9 r8 S. W: l2 ^% Q6 }
; }& n' t+ e/ `4 |" r ; ^6 Q: j! e3 O9 k/ m% d& o7 x
+ S; n b! G! K. R: w& J( v- N
7 J. N" K& z6 o& A [
6 K# d; ^2 C, }* G, w4 l6 o

?5 o* P& Q, @) Q # S" P8 P+ v y0 W7 {5 q3 n. ~

0 @( v) ]% p" j1 u

* c: X, a" b. g3 k* ` X* U! ~& f4 d 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: r; L. E; C. j# _

7 ?* C! R$ [6 A( P1 E
0 j7 o3 b4 I& ~& x* ]3 k* P8 c . e3 J0 D) S, u3 h' u, c
3 ^9 M, _; |& c, B
& u4 p, A, ^$ m
3 ~3 J. M4 S* ?2 g% E' s

( f+ v0 R* ~$ I+ Y5 r; y8 }# C " z' R" W v* w" J: n9 Q/ a, d

7 F5 D, `, D, K0 D7 e6 Y

* B" Y. X! }+ ]9 k0 ~' d! N0 n 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: + C% Y. }6 i9 Y/ \1 Q/ U

% M7 N. k, k8 ~

7 E w0 |0 O+ {7 e % [) y$ a# N& c6 M9 Q

8 d" d) s1 x5 U! D

$ L b9 O! [' D9 a# d. d 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 3 \9 F: F1 w" [. J) B" e6 |

; X( G6 P& |- U! N; L u0 M2 `

* ]$ x6 U h/ [; x( S blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , y* ]0 c8 n' B6 t2 L

- c" S J' z6 d3 `# e8 m
. @( \4 B, C9 H# D7 H+ K 9 M2 G7 s/ I$ Y9 K" y3 e* y) a- ]
( q+ ^1 g' [7 P/ \ {- U- l- R
% b$ u4 R: B7 e2 l2 Z6 T( t
; @+ x7 w3 Z1 u- ] C g$ l" t1 T a

) U. s) B4 m5 n/ E, s! M ! ~( A- a) C6 W5 y* Q

) I5 L) J% ~' e6 l: L) B, }

4 Y% i! i& c0 s J4 Q% p' c5 |' ~ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 , _ k& G/ |) d0 c4 k

, F* s1 U& Q/ c5 @, G% j. T: r
7 x% `; e. ^3 E: G % y: R, f. d: \" ~# O# n
t [( l3 B9 c- t& }" ~( U5 I8 ^
% X. w( Z% k2 Y* i8 F2 x7 c
( g9 ]# |/ C6 O% _, n( W2 ?

, E e' {% m+ ^9 W $ q/ C) {0 T! F+ T# [5 D

2 m7 [2 ^4 h! I% N- w# M7 {; d0 s

% Y. I8 }0 E/ I7 k9 `4 W6 ` 利用ms08067 成功溢出服务器,成功登录服务器 & W% f0 e1 d0 h/ r5 E7 \

" S, w4 g$ S6 D7 U
; `& I, r% P3 e 7 F! S# R* M6 v6 k( w
% s1 f$ V6 V; G/ R2 i( K
: q, M9 Q0 G* }) e7 S
5 @1 j0 Z, x: Z9 b# Y

( [; ~2 q* F d9 S5 `! I 7 n3 ?; W7 \" P$ f6 t8 @

& V7 ]- H3 ? ~4 c; y* r! ] c

B5 M& O6 w' |$ r8 Z7 J8 G" Q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen # M- ?0 {1 i4 o* W" P4 G4 X! } R- ~6 \

9 b2 h1 G4 g7 c3 q/ Y7 Q

: i2 J9 b7 F2 \: v& A: H 这样两个域我们就全部拿下了。 . V+ [5 Y, E6 ]% u' f) }/ ?

! a1 Y, X* I: U& X: d5 Z

: i( s D$ x( c* v: Z. B. A& ^. t 3 、通过oa 系统入侵进服务器 # a$ f& ~" r { I" }4 U# j

$ a0 x% A- f9 @+ z2 I

# b h- ~* d% e7 ^' T/ W9 C- y, P2 r Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ( e9 d+ F4 i/ A

6 @5 ?8 [7 Z! E5 _. Y* q5 H, Z
( e& j4 o! A& Y9 c% t % x7 b( j: d, {* A7 c6 |8 m8 A, Z5 `
( G% g- p( |: m3 q- ^1 d. e
, @( E; S( I* U. k# V/ {" H6 H
3 l9 G( D; @4 D) h. H* J

; K$ R2 U2 f5 _ $ M( \6 ^4 {$ V6 _' H

& l) q& Q" O' v# ?1 g$ a

2 B# `$ e3 b! Y: b 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 2 G, g) D4 r$ Q0 N6 t: V1 Z

+ o6 L A d1 g2 S0 ]3 S. R
- A# h: {+ B$ G( ` K( a. T5 R , P- D+ k9 h* R2 f
4 B# U! n; a9 N; O1 D
9 D; c3 q2 \9 q& k; `
" p) C3 z8 B5 X4 z% v8 T

- L5 N p- t1 q" j1 W1 Y % `# t( i+ }6 }$ @( l B/ F

% W0 N& t/ S3 u4 W1 \) X% u

+ q3 c" u( H" N) c8 f* g$ Z8 _ 填写错误标记开扫结果如下 * W- Z5 a, x: Z6 E+ o' D) ]) X+ ?

' }1 {; I J! J. j
& w2 ^+ Z% P% ]0 {" |* D7 @ @ 9 ~ I' Y2 P9 U+ k& M! ^
1 Z3 p6 D# }1 O
/ ^' A! X( D! Z" ?# O
" e* {) w! R6 Q4 N3 N

& q% u4 h$ Q% j) v/ _/ |4 s6 @ $ `$ R* z! {; i) O' C

3 x5 c. X0 X* P+ t9 }0 I$ C

) p( R# E. O8 s3 c( m 下面我们进OA . j" c1 _; P6 |9 `- R

8 c) M. R: ]5 u- U! Y2 b+ N
! B4 O1 z* O# I8 ]4 p ) R. x5 r! O$ x x, }: j4 q# c9 Y
5 d4 M$ L: ]/ S4 ~4 Z! x
* A, F7 m& H3 P3 a6 @$ [
6 d4 i, `# b6 ~' ^: H f# R- K

2 W4 U; ?. R. @* B ' t% r+ B, F6 l6 y: S. j

?8 A$ p, W, g1 y! a' Y+ L

" m7 u! R9 m8 I$ [ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 . L- y" ~6 P4 V6 g. \: j

: o0 B: T8 G* k
% _+ `- L% u2 @& K1 u 7 Y! P' | M, r1 ~9 j; _8 c
! T6 e& u. p: n4 Y3 {, _
( J. j8 b7 X: \9 F
7 c+ W6 k+ @* }

. `2 A0 H: K) j( C* p6 C* o4 J/ k 0 t: v- {9 E2 j" m9 P# B2 K, Z

6 c6 `. }5 P% O, ]$ `

# T0 B- G( a- n1 u, G9 b 2 P6 ~ a% M" z2 O! m6 r

8 U4 ]. \) e1 w- l

1 z: q8 A% G. _0 V% N+ r 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 : u% |0 b3 O" _' g) r1 r! H

% g- {( n# y( E# ]) t A& H

; p5 H! Y; e0 u9 M- u5 } 4 、利用tomcat 提权进服务器 C+ h# w$ m- g! s2 \3 C

* y" @- v# K; K e1 l. X h4 A

3 K& u: a! {+ Z* t: C) b x- H nessus 扫描目标ip 发现如图 ) r2 J6 w* W: f7 J `1 D

$ x- v. T `4 ^
/ y8 k& T9 O$ r 0 b" G: G2 O4 j' l
% }( Z5 L/ f, R6 G# l
9 m( h+ j6 H* f8 h3 T6 U. `7 s
, \$ z+ C5 H: ^, U `$ Z/ L

9 \% z: o8 ~. R$ q; { " a$ @/ I. J) s& k. u3 F

) o; {2 J2 n1 i2 Z _

5 \8 F! V% c: [0 S 登录如图: 3 R5 o8 {% d/ l4 V+ p

( t( d7 x3 A5 g" a- ^" O- }" b
* K5 f, w6 z$ g( q' p 1 u$ K1 E; \4 f4 j( @# K$ X
- x( S# b9 T3 J2 f* G" c
$ S2 R& I- B; o. t! |
0 n! M! }4 r$ V5 b9 T, p2 s" K

) c7 c6 f- R" v/ E( D* N ! O3 M& h A9 T: F

% c) \8 G' b3 F8 l8 \: u

, N. G+ i/ [! ^( D5 x' ]) y 找个上传的地方上传如图: ) A, l: F8 U/ Y$ b. s, \, r, L! M' f

- C" Y3 V; y* g9 L9 d# A e
3 P* \; Y+ M( a( T2 ? ; P6 k2 j) i9 x$ I
; _' _1 N- ] \ o3 H+ A$ r+ S- `
* S6 C5 e( ]8 @% |5 [2 ?5 j
" m3 }" o4 W3 `- Y2 w8 T3 o& v

7 j1 J2 z8 Q0 B) W" G ; k& v( M5 p8 I* |

' b' E! l5 v( J0 W3 b# ~

8 C2 `1 ~: o2 @% I3 ^1 Z. b 然后就是同样执行命令提权,过程不在写了 9 k |& f" P7 r/ h: v

. ~# P' b* i& O6 i0 K8 }8 A4 x/ ?

" |+ @$ S4 n2 k4 V ^0 W& v 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 : l: p( Q4 i' f( f3 }6 G

2 o8 t% d* q2 Q

$ ~6 X; J2 [9 Y' H7 z, g 首先测试ARP 嗅探如图 6 z& A R; r0 y: R& A- V; T

7 K- @! l0 S/ Z: P0 }+ Q' _, r
5 A" i) H* {3 f7 d& c 7 N; w- w' t/ a/ z& k0 K1 I8 k* u
: C2 ^/ r3 ?4 T. q" f
) L) X) a9 g9 P( @! _0 }% ?, ^ ]9 I3 g
3 j& U: u" d) n3 B: Q8 {* c

( a2 A# v* O K/ H9 K2 E % S. U8 x" X" T( E( I2 i

0 }( u1 m) h8 |6 {+ g

6 a8 R) {3 `8 X& ?! ~ 测试结果如下图: 6 _7 @. i$ V; U2 r& s! C

; U% h3 _: e( W {! s# {5 x9 D2 |
& t; b" K; ~# ~8 w; G, K 8 }9 m" R( |/ D8 J$ w+ `6 ^
* H3 j, Q9 y6 R7 r8 {# J, O# Q- j6 o
i4 o! R2 d% w8 A/ H
& v/ j. F& N { g4 z" N

! r+ ~8 G) o: K0 j$ Y0 S . Q3 i/ u R! ~1 B5 q

/ `( Y+ v& Z5 `: a1 k" a0 |" Q

4 f7 v1 B3 @6 E+ H) e s 哈哈嗅探到的东西少是因为这个域下才有几台机器 , N8 ~. d5 d3 b8 K# T0 J

/ `) ^$ W8 ]1 V! x

( S+ C0 E' W0 E H: X 下面我们测试DNS欺骗,如图: ~. z0 N8 \, z, } q W' i

t8 A& ]6 M' B' m! ^: t
0 N* M3 Q* b3 G( Q( |/ t% U & t- D8 C* G2 K2 o: b! R! T
: o& i) z2 Q$ [5 ` W1 S
4 [: o, O8 I: }' P
# d5 ^( h; N h R) T; _

* h4 j2 f/ z. c # T. \0 G. i! k! o6 t+ X/ ~

' g( J6 `3 r2 s7 f( z- R4 q \

5 }4 Z5 x; y: P& ?! ]; ^8 r; u 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: $ y; C# V* i5 t. I6 ?# d3 u

/ U; C) s) L6 K9 Z& b6 q. m: G
6 q5 Y! m# g" l$ v/ x6 A ) R9 t/ O6 }4 s7 ` `& |& [9 @$ K
! z/ V4 H7 k& L/ l5 |+ w0 f
! [+ S* N7 A5 f4 s
7 }0 [& Q' W+ k# |' `* b

. W: m. K) E! Y4 m1 p - I; G) \# ^9 z$ J

. J7 U( L2 g( U" R; P

% D# m) g8 M. a# X6 l (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 v- ?. T O3 W/ e

( u) R1 R1 V6 B7 j' x# H

( m0 S0 d* K0 N N% U# A4 L 6 、成功入侵交换机 4 b3 O- G+ |& F8 V% J; f

( v8 J# K; a! g) S) m# [0 H

6 k( P: v- K& J) ?( ^! u0 c8 J6 L9 D7 C 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 { D5 K$ O, B& ]3 X

}8 X' x3 S6 B5 \$ N

+ h% \) H# o0 i: p 我们进服务器看看,插有福吧看着面熟吧 $ X: L0 `6 u" d j% m( W) S' ]

/ E N$ `" x; M) t4 t) X: [4 ~
. G1 R& V. e" N$ e+ {: ~" R* f _2 F3 @. t9 c8 |5 h( U4 O6 u/ I
4 `7 _! e$ W- I( n/ q' ~) n
4 x+ d9 X8 S* J$ V
6 E9 V s R) t8 |0 |) R9 T

! s1 w6 n. k. R8 i1 O 4 Z2 K6 w. m: u! u: x% j6 l

, r+ L0 J$ ~; p: N. @& I

3 t/ d- g% M! @7 g 装了思科交换机管理系统,我们继续看,有两个 管理员 ( g5 k& q, _) O5 d

3 g6 K' i/ M( G g+ [
5 U/ C4 w7 `6 w" w! w & I. F0 ~, z6 x. G. D
( }: F' [1 M3 s8 L9 Z* I
7 b- S( h6 C# |/ R; G5 v
S- @. M& _6 R! j

* G7 `4 `3 }, @4 c1 x6 i: W / l3 L, J& [. b. V

& K$ X: [( v0 P4 \+ U: S8 C

. [$ x# I5 H* L, y) e2 U7 M. q+ ~ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 1 \. x- F+ c4 P$ t. V+ P4 Y3 A4 b

( W# A+ C- W" j; Z
% Y F; A6 S+ }6 f2 W- T9 E 9 Y2 v! u* b) |3 g" Z4 { q
5 l5 L! w& ?- O0 G$ P/ Q5 k: ^
" u& q" {, B& X2 t- F+ x/ u3 q
. ^; e1 D. ]5 K: @6 q' w

6 |) I' U; y8 K " K% p5 u# m$ L3 V; y" e1 J; f9 L

- ]% L; f1 S; w8 x) X; `

- ?: ]+ q1 |2 n1 H* f 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 6 H3 K8 u8 u- r# Y

& D" i( @( u& l' A! w' j
/ e/ |6 L- D6 q) Y 8 R- r1 ^$ N2 I! E+ y; T- u
; Y$ G4 O- P ^3 e/ p$ Q
, O5 S6 m4 b# l' s& i3 Z. o8 b8 |2 B
1 h0 u) D5 U$ u& k0 d& r5 v

1 W" Z4 y+ ^ H* l/ v 6 y3 }/ o* S7 }; T! y

# V& \4 U! K0 V

0 W5 M- |5 o* x1 o6 Y3 H9 E config ,必须写好对应的communuity string 值,如图: - g2 G$ B! M- a, o$ }, F

4 R# H; b6 j+ o* E
. f1 A. S+ Z4 W1 ? # g+ ~; U3 m9 q( _' a$ ?
! Z. ?1 {! y, B9 z! l
. b4 u' N3 q7 C; `) a
1 A3 {5 s9 O! T7 Z$ D; L2 [8 V% w

& [9 W# i- n1 b6 h. R, W: z' C / J: R6 F) M' M# ` O

4 ^) x' T9 v, [1 L

9 }. Z1 N0 g7 i& x 远程登录看看,如图: $ j% E# C8 |, K4 q1 |: e7 W; U

- ^8 T% M& `; J7 p/ A
0 T: W$ j w2 {4 g7 S ; C8 r% d7 ]4 l/ t) p/ F
' [# d9 D8 k+ } [3 D
* i; F! t; ~. ~5 N
w Z) p2 m6 P9 g; \% L

0 E3 f4 X* f4 T0 L 4 f% L1 X- n* }1 Z

& c' c& R( X+ r0 q9 x

% t$ P# C9 ^, A8 S6 i5 h 直接进入特权模式,以此类推搞了将近70 台交换机如图: ! ]* {% e+ E$ H8 R2 B. m) N

# i$ K9 v6 J& D9 e9 E3 {! u
7 e7 m/ Q: V$ s ; r- Z7 W* s( a5 F
; g+ z( {3 n* `& B
; |' W. l! c. Z; D
! o% A$ o' m& z! ]/ K1 ]7 r7 G7 t1 E

1 Y0 k: a [, V7 h' I. r# N 6 i6 q! S6 d6 m6 H8 ^: Q( y# A" p; I$ x K

7 {( S5 {% \. _. b1 _+ ^! Q9 M

: d' f0 [7 w( b8 t+ E ! F$ k; ]5 R7 X4 s v7 W

8 y2 R5 C1 u9 L) G$ E8 Y

# M) \! G% n- R# x- z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** & a# w ?* ~! Y

h( f1 A3 P) H# u' x* J; A7 A
6 O$ U3 k; }( k* a' K + w' w, z. Y" b- u6 F
$ o$ C: O( U8 l; q$ [& }; ?" O9 V
# Y- E8 \& P& y% P. \% O5 L
, X, c2 U/ d! ~5 Z8 ^& t

, o: g' C6 `6 g$ [" B) I/ T 8 n9 x; J; n5 l+ _: p% B2 S

* \1 E3 y/ f. d6 K; I2 ^7 v

" o8 R4 R" j5 G% q$ {" F( ] 确实可以读取配置文件的。 ! T% y& ^, ]0 l5 U9 w

/ u4 z A. E# {, I5 C$ _

* Y8 R6 O4 H3 K 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 # h6 @4 \) H0 @( J& Q, k t

6 F4 N8 u5 p' K# i8 A4 ]8 H' b
6 A5 N0 k0 i8 U: t2 d 1 [- E" H7 X/ G
+ L) F& @# Z; \- {# f, Y- _2 `" i
# {# ]6 c8 W, J& F1 L2 U
$ @$ ? w: s( j0 O' }

8 J n; G7 C( \& @ # P/ s2 v; U7 g+ e( |, Y/ s! w

: d4 Z% e8 A, Y- \

6 K2 M# M3 ?2 N0 A 1 ?; X* }1 B- _0 ^- C+ |

, O! a1 S' E* X

- ], G' K5 h8 K, I2 r 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 - ]' H8 P* a* W% c6 Z, n D

; I3 w: u1 P* u4 W! Q' n q
& H% E- \& r! |: w4 m( K 7 w h) R/ l1 a& k
' \5 G% E' G! k3 }0 H
) B2 N: Y( J; r; ~4 a+ t
7 V% y- K( ~1 f- p, F" s5 V3 |2 L

! |# F( P) b& E, C! A8 z ' P3 q. E7 N+ d: u

, b; V, U; n6 e& d, ?9 K" w3 B g! Q

8 _5 z' @+ \) L, h) ^ 上图千兆交换机管理系统。 3 ~+ }# Y8 j p; I9 N

; |+ {, u8 b4 Q

: K, q! M1 z1 W9 k1 } 7 、入侵山石网关防火墙 8 e, o6 w0 S; \6 K. M

( N0 y) L! t, q" V6 o

1 t3 ~& }& C: m+ G4 `3 y 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 v0 V$ h# x! g# s+ j c

) `$ I; g L& g8 E! p+ @
0 T1 p$ R4 l4 S5 x' S5 I / n' l& }7 {4 b3 e1 P2 {7 ?; r# g
/ i* D% X6 _0 G( r
& Y, e* E* N) |! q* L0 E8 |5 f
' D( R" F7 D5 ^6 ?

, Z3 [+ @: G0 X5 W2 K8 n1 K 2 \1 b$ }9 s2 ]( U6 r' N) O! p

) u# r* V/ ^- B) S

7 E3 n; m$ z' ]& c4 [1 M. P4 S 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 `, p6 f" @& F1 g

W2 x g4 n( s; d) t
/ L$ f$ r# b3 Y) }* D/ ?. ?' J 7 S" Y3 Y8 ?9 I; d7 R a6 M
5 x U1 K2 G% X: X' W/ z b: {
! U$ O- y1 G0 G; G( |. e; |% V. M
, j. w5 u9 ~8 y( j. v3 O4 m

9 _# M6 M R% O/ d9 m8 a$ k" G& y 8 z _5 Z' R5 J) S9 {3 z& W

5 ~( ^6 Y8 \" I, V' j6 ~* N6 h

: Z X; `3 h. R& V5 S 然后登陆网关如图:** 2 x* T5 N# i& \- ^9 h4 S

1 u* I/ r8 S7 \6 t1 h
" Q5 ^* |* I B& M+ ? 1 y# t% a/ j1 w$ {1 a
$ [$ g( y8 K9 V% C( E
' v; g& `* J3 X9 |# K, r$ @
" A' K5 e, {$ Y" p" F: D+ m- ^

( m5 }' C D3 }+ w ^$ z 0 H( B* G* W m3 D# @. U

6 Z/ l0 @7 T/ V/ b, n0 M7 |2 e
' H# g5 a! r. C+ N2 I 7 S8 v, P5 g! {5 _ h
8 l4 G9 r2 Q/ h/ `* T- I9 f
# X1 w( t' V, u- V$ M& b' U& t2 P4 f
! Z: Y& F! X' |+ U

. w2 `6 h5 l% n/ X 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** * C9 ~1 k8 @2 F: ^) S- m

1 [% n. W! O' w7 w w

3 N* E- u2 c1 I2 T8 o6 h 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 8 p0 ^" F/ Q7 _6 y8 k% n

2 z* w8 ^* X" @/ P

8 s) F$ j1 f, N) P6 E; Y 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 ?. O/ q0 A5 n; b

+ |" ^7 @8 {9 N
+ [1 t" f& s/ ^0 u7 H # h& ]# z2 ~) \, O; p5 T' B
3 O/ x/ E9 ^! q0 k( ]- f$ u
1 b/ q, r* Z/ C+ M0 p
6 d2 h/ o* T1 f6 w

: {1 z2 W7 V. K6 h; `! A( p ) {* H% Y- G2 I# r3 j

( _3 K3 q) g3 t ?/ P; |

# @& D8 V& g5 A4 a 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ) a) D6 m7 Q/ u, ^3 [$ Q6 N/ X) j2 P- g

# j! Y) x3 ^1 P0 T# H

/ U8 n8 {" V8 K   " |4 o6 T6 E% {" q B

8 l2 b* J# P7 ]* `

/ P/ b9 k+ b$ ^7 r
& V& L* P, ~* p4 v) k$ s

" [5 X& J7 m/ a5 O& N* d% S+ g& L N5 j9 f
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表