找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1597|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 S1 w) B9 r$ q
% G! e& t: m0 \6 P) Y

% L' J( J# _1 [7 }+ g$ }0 N

: O- z: I5 R% H5 ?/ _ 1、弱口令扫描提权进服务器 + H( M& M% Y1 `

, P# q+ L' h+ _; |* N( A; g

8 i) D9 a% b% E! o$ a 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: , P4 j$ ^/ v$ a+ Y0 h

" U; y+ }+ j4 _3 h1 C$ d- f5 K7 D
; M, A0 e) p# c! D _+ {) R; M6 s9 f- B
% h! @/ m7 \- K0 L1 B
2 g* |5 A9 L# a$ f
% y; o' n! L; u3 W5 L% t) l! ]

* Y$ D' o* z" C. j; t $ T* O0 V3 r3 K/ U2 p

& ^" o7 r# k5 q3 m

0 C+ @' R" }- b$ y $ i6 e8 G/ {& J' b$ T; i

2 A! w/ P, r& m4 s+ j# i

! _! {4 a/ q) P: X0 j ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 2 r' ?9 V) T, Q s ?- Z

: q* G6 K# a/ M3 l0 t

d$ Y' { G! [) {; P1 n3 _ 执行一下命令看看 i* u6 J& O3 s3 w

) i0 T7 O* x& t

, d. e1 @# q6 o ) y% m" u- O, l* i7 n% }

8 o* `! L# i: c& Z
0 R+ q/ S& x0 Z8 | 1 q# A! L# [) R, W9 u1 \
2 ~0 \9 l. Q6 R; L
8 u+ @) I" q' w/ x8 h/ m& q
5 n+ x. k4 y; L- X; l

% n P7 `8 k: J I 开了3389 ,直接加账号进去 ' ~0 f+ y" X# S( _

3 `8 F; ^& T6 `
9 S" b( f9 }6 ] 7 z# ^& N j' a) \; N. P# G& D
; y. h, W! H/ k% X. Z8 t
) R0 T* C2 T _! D7 h
7 f1 P8 n1 b v0 y+ @2 m/ i# T

( ~1 T! L8 l1 w2 g ( `# e# n1 t% m ?, n

. j7 w) f, Z1 K

) Q6 D& B- n% `, t/ X0 v 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 6 X0 F0 N- K- g0 L4 |) ]

# w4 b3 A* J$ J" ^7 H0 G
* ?3 E2 Y3 G! B$ g2 R. z2 q' E $ F" x4 m$ m: M: I
) [3 z8 e$ F; o2 l/ B
9 s, @; | q5 i/ v M* b" i2 k. b* x- f# B
5 X5 @0 P1 t& {/ Q. L/ n$ H

3 [3 ?! I4 w; L( t- X9 B # O5 D! I, z$ C; b

: U) \4 ? a: s; S0 n# ^

) f0 p$ q3 o% T# x+ a* ^) F 直接加个后门, ( L+ h- N# p: t1 q: h

- W7 F- p2 F' g# G

6 q- d1 d* ~: C3 R ' H8 d: k* C9 M: [' _0 g; k# V

1 I" d& @6 U# X5 v) h. G* o
; x3 I# W8 }5 D6 e( f1 e ( m c' p6 g5 h6 p8 h; `5 b
8 j' X; _; Q+ A% q' A- _
G$ J, K5 e3 h
5 r, u6 ~: k# ~8 N1 ]

9 F2 W0 D$ ^& A) k) B 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . s# j, t9 a) L; |, M8 ?

* J5 G+ m) I( _* b) X1 F3 n

0 ?# c* _" Y1 m: b d 2 、域环境下渗透搞定域内全部机器 ) Q& P/ @! f7 u9 n" f

# D% L5 L8 q! }: h

% m, |" A' L; X$ B; S 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 * ~9 N+ `% Y5 r

. f4 l9 W6 w! r# h3 h
* y0 c9 ?# O5 t9 T+ i 4 m. B3 P; m/ `1 k$ w$ w( K. Y
1 U4 S! x( p* t' m8 H6 E; L
1 D ]: @- t6 ]
: u: ^" K' r+ E. k1 q3 E! F; Q! g

/ X) n9 u& ^: ^( Z2 v ' S' Y6 D( Q" N9 M+ U! K. K+ ^

, ^$ X2 a$ k# \2 U, Y

- p0 O; a" U# |7 D" m' Q6 Z 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 $ A, L8 ?9 T- B9 h: K

2 U3 M! G# b0 ` v
: O b) y. K8 p N- @3 r6 x6 p4 T 1 U& l6 i( G3 E( D6 V" t
- \' B" D6 y3 B; B% |% E' a/ N
2 T% J0 E n& b7 {: P9 d
& o$ B! y% T- k0 I2 F. Y

' Y+ N* |" N3 ]# h# o1 b% } 6 R. k* h) f: x. E, N0 j/ p" e5 \

. {' C! D3 l2 s! D5 l7 p" v8 L

4 ~- ]( ^$ Y) o2 J0 w9 x" ?; ~ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: * B* `6 D$ I# l

1 z4 u7 C3 Y& \: }0 m. B3 @
* s, E5 ]6 A2 s( X) t4 e 7 i, O* X$ v+ a# ]
' r. D9 D1 d5 W J( A
4 p! r4 x4 f; ^" I
; G0 a. ~0 L- q9 r. }/ A

0 C/ v" E- s- B+ w5 x. ^ : A) y6 J2 ?6 a. v q$ H0 `

/ \+ m+ t1 i3 p+ }# ?( n

5 l# D8 V, g! X$ P 利用cluster 这个用户我们远程登录一下域服务器如图: - `9 U4 V1 q) _( l1 [# u; r

/ f# ` M. C8 g+ L
`" E. B0 g0 @6 [, b9 P1 y 3 J" B, m; e# G( ?; y' a
: ^; E1 A6 W, ~8 s6 }- g
# |3 S2 Y& ^, r# n, N& S+ G3 R
1 u# G, L7 k8 f" `

( C9 x2 v2 L. z9 G 8 c/ ^% ~" }3 O& i% r5 R- h: t

8 {* e* b% b$ M

% }1 U/ J, p. `% U- D3 H 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: & w! X9 x! u6 E$ l' T, |

6 I) N/ e! Y4 f8 k3 m; I% O
( t, ?& j5 o# w1 U2 g: l7 ] 6 k+ {. z6 r4 |: u) m- Y% ~8 {
9 R' U% @. [* V" o: M8 M) ~! @0 T. E
. G4 G. l7 N, q+ r; d# |( `' r3 v
( o- Y; O5 b: g* {

0 a' b. X! t4 }+ D) M# @1 W& U + |5 `* u2 ~) {; y3 {

* n% h! g- w* w8 Y9 ^0 }! \

; @3 {% x8 U5 r8 m6 J 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ! U* X U# I) c( q0 }8 F

5 C; l7 q; P7 N. @

( a7 X; `$ X" U# x7 a 9 A% @8 u9 F3 S7 V( P& {

: V! W& k' d$ ~/ u: e

2 t F4 k5 `! o, C 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 3 @" y$ C3 s! z# x$ n3 J/ U/ a6 z

$ B2 w' Z% r. U t

6 h: U9 H& k- l0 T# S2 a4 @ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 2 o! O) T, l# @- a1 w# y- P' J

5 j! j5 \9 B+ F* S# x8 }
* Z7 E6 x) T) H: e' T ! A) }& p- G2 M/ D5 Z+ w S9 m4 v# z
* Z6 C8 _% @( j) r' G+ ~9 A/ G3 e
/ q# u/ v j! s( U. S
( A' |& T5 g8 }4 |) v# `

' S+ B" Y6 K6 ~ _& N* \2 {# p - r4 T( x& w, R' e

& D4 W4 W# Z: y' e' i; f) R

& \* z8 D3 P/ `* b- U( [, ^ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 7 b* a' z/ W; |, M

O$ n. ?6 a! b# [2 g' U
" r- r2 k3 c$ @0 G & L. q3 [; n7 I u( Q
% \# T- r; l8 F) l& p/ a8 Y
9 U6 ~( f' t! a5 f4 p
8 I2 p$ m& R' r

6 J/ M5 [) x, I 9 C. }2 _- N! Q( T9 i: f5 K

- I3 Y1 P4 J" p; S$ z l' h w6 L

# I8 h4 _' S5 }/ D4 b8 W6 j 利用ms08067 成功溢出服务器,成功登录服务器 ) H5 K2 S+ l7 n9 f) d

* O0 v0 f8 y) ?" o+ M) \8 ~) N/ ]7 F! X
+ q+ z2 i* a0 C3 ?3 n. l % `& Y, ~9 [* l: ~4 O! a8 K
+ l9 k4 u% y( |( G2 f
0 f" C6 g8 c( C1 h
- {, H) P0 ^0 ~0 Z/ W3 {

$ u# M1 _! `+ c. ] ) }; A. o5 a/ n4 \+ i! q* S

2 }6 Z) C% \* m/ l8 X: n* Q' z

0 w' a. T* U& X 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 3 {2 U' `6 ]1 v% s2 x, J

6 K4 M. [: i$ [" |

+ l. i% M# T$ r5 i, L$ s. Z2 T 这样两个域我们就全部拿下了。 5 }7 j( T. {4 e1 K

& d) b9 v; g3 B6 F8 u) D

; T, v8 t& b6 u, Z D! {) L+ z4 j 3 、通过oa 系统入侵进服务器 * `9 N& S1 ]) D8 o; m* z1 {

: M; b% C7 Z& ]& x9 C" l3 c

! i i3 ] {. Z9 a Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 + C. V/ w7 o/ k% V+ F

/ w) a! c/ o8 M, I5 o0 c" N8 H
5 ^2 n5 t2 L! B) m 9 t' c m) f4 ?9 ?9 k
( l: x( j* J R
4 l) }& h8 X; k
! J1 A0 U0 N& j' x/ C

- S6 x; X1 `0 c$ t8 k. B ; g6 C+ X- v1 g) R+ m: w

1 L5 \* x* m$ Q" V& h( n( A6 h

2 j" W0 e$ B* m# n 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 % `# }1 ]% ?2 H D/ K* e% |$ o) @

& @; ?" g) N& `% F4 U; }: U
( C9 I# _* G) g$ G & ]9 G- I( `+ U8 b" a$ y' U
8 q) R* o9 u6 n4 ~' a
% R) k8 v' s. c) ^" x3 D2 M
4 p* F3 L! g& B& |/ r9 A

& ?( t0 z& _; ~0 n- c R ' j' [9 _3 n4 L o

) ]$ h6 J0 \7 _1 a( k$ n& W

# B( @. H6 ~9 u1 h* t 填写错误标记开扫结果如下 , o0 E/ X! `% U* p8 T

$ h7 g/ _+ Z6 ~ O5 k7 m/ F. M
) b& c5 j; S; F9 g E, i & O8 f6 D, I- l" ^. E
" ^/ e! M( s' |6 r& b3 Q
5 u4 E g, g/ m; Q. V3 a* B) G7 c: j( W
& w0 E( E5 ?0 [" L: |7 ?

7 n, l1 @/ d2 B+ a9 N! ], a 5 v; l# j8 T1 Z* D( o1 O- ?4 d: `

5 T8 ~3 e* k. ]% v

8 f5 U$ ^# K' [0 [* c( u- F% L 下面我们进OA 5 f$ H+ F& p9 S% l

: f7 m9 L2 B2 f3 E8 k
! {7 H4 q9 A* L. }9 R) G, j2 I ' o; u/ g f X9 P, {
9 j6 [* P0 J; R, T$ P! p8 C7 M# ]
7 k% X3 h: P5 E
0 A2 Z; @9 s0 S0 R" g! y

* T- C; G; \* l, [0 R+ T 0 ~) Z, t# X$ u+ h8 c6 ~5 k5 _

& H3 @: B4 C1 h7 F! U) Q5 e+ X) g$ w

* X, t; e( n+ x4 Q. [9 e 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 3 y: t5 M$ {% U; m/ _& ~ n* a3 J

+ l/ ^4 x; s9 ?0 d6 x1 j7 N
; D9 ]/ H, S% O7 N3 E 0 _/ W* x8 X: R2 m3 [
+ k% {0 u9 C6 |: \; R# M
. A) c1 g. N+ w0 `2 P% @
* [2 V4 Y, C- y& t' h% k5 o

% [% l0 `) j9 f$ l ; r5 Y5 d; o1 w% Z, b! m5 E

! q: |; a s Q" I

3 [# E/ R5 Z$ k6 j: O2 N ' [7 X1 ]9 M6 O a. q3 ]4 F% J9 F3 ]

* P, L8 \* V0 m* ]

1 _( a$ w& q1 @' ]3 E% z; f5 Y 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ( U0 k# L) _$ q6 f# J/ [

Y8 ~/ V: ^+ t' X

{+ s& ]3 I* X! g0 C" T4 o' ` 4 、利用tomcat 提权进服务器 / i9 X/ S6 x, i) f v" [+ j3 F

, r. @) z. r# D7 n0 z/ E* A) w

$ @# g# x3 s9 t7 B' ? nessus 扫描目标ip 发现如图 ( Y' \# }+ c9 `( B. C, U4 o9 O

7 R9 Y, v1 X* U, u" L
8 p7 i* A3 N9 ]8 [" k8 H8 S 1 x& [8 I' q& K4 T2 ~: G* O
. i$ s: J; ^( P* ]0 z
4 J! Q! ?+ f/ G
! Z( K4 i# l! ?8 U: i5 |

3 r) v2 h* U ~! j4 p# n' ?# R * c- b" U- P; n4 f$ J

: X, s5 i8 ]$ i+ Q

: Y; u1 w+ R. Q% {6 { 登录如图: ( T! |; S% p( z5 f( A

+ @4 @' S4 f4 L
, n: f" Y9 K+ {; e2 Q& { * C7 I0 d% j' q0 N% Q! o
, ]! ^+ E9 X* p, U% L
9 R4 C9 Q. ^0 e! V' Y! A/ r4 Q4 ?) S
2 ]4 ^$ _9 J+ B

: R( x3 P) F0 s# }% i b3 i) r/ y 1 |8 y j) C' ~9 x' Z y/ p

' n5 |% M' _! T

0 `# K! w& N2 @4 z K 找个上传的地方上传如图: 2 C9 V) F' C9 f) D0 l

9 ^3 i1 e6 J+ u$ V
% B. d3 m1 U- _ + P& c. g1 s4 R8 i6 K! ]+ R
! I# `- w+ ], u d) i
& f H7 K& O. K, ^3 a0 r
+ U* W- n; J! q

( e( v7 n# \0 ^/ T& P9 H* B / X3 L; M- e0 P6 t3 Q

7 c# N8 v q* C

# P X. R9 O0 V7 e& N$ o( {7 G 然后就是同样执行命令提权,过程不在写了 4 h" e" {8 d, V1 ]4 @. j/ x2 J

( u7 R& n) }4 G u2 n' K

9 P7 f' j" _. c# [$ j 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 & B4 r* Q4 k7 B3 N P8 F4 ^! y

( W. N& j; W3 p% h( f

2 T7 `2 l: A8 M. g- I" k 首先测试ARP 嗅探如图 * x. r2 t$ s" B, Z* Y& h

1 |6 C B9 M: C6 M2 H
/ \2 b6 X5 ^8 d3 o1 e. m# n ' Z. Z7 u4 I, q, n) K/ b
& W s8 T7 ?( C n0 O) o" d
2 E" o( V% r" d( ^
0 @7 n4 d' ?2 I2 F: j8 c) q' `, N

! R& k% ~" U9 `0 t' G4 r" H8 ?# I . r( `7 R6 u1 D; j3 j1 q

1 M. Z4 y: q9 E

0 Z: l' ?0 S8 P8 S% l 测试结果如下图: & _" k5 y. A4 E

8 J5 ]+ x3 P# d
# r8 L# W% i+ c0 n 5 E4 ` ^9 ~5 ?8 r* e8 w" D
/ p0 B W( f, I" L( q
' v5 z" t3 s9 f4 J
5 W* [# V. e* U7 g. ^6 C* L

% S& x9 Y% _# l6 W2 N, p8 j+ h - q7 w/ T$ J* e; }: V

2 h' N% s* c8 g, L+ i

, A. {& [5 b& y a& d4 i7 L. c 哈哈嗅探到的东西少是因为这个域下才有几台机器 % S# G5 ?7 ]5 H5 Y9 B8 X

N/ {5 `9 J$ h4 F

$ i+ Q) s0 V0 E2 ]+ I) b 下面我们测试DNS欺骗,如图: # H/ G/ e1 l1 S, F6 `

) [% E8 t1 S v e1 j
" n& q1 }" g4 a, W m& `2 B 0 c8 t2 k' g) k7 O+ ~- V
6 O9 ]- T6 f3 R6 L( Y
2 u$ R, p* N$ t3 r* }
% C; C' ?0 f4 Z4 @* N, X

! q5 s4 Z l9 P , w3 W" |3 e# h: F, F! j5 [+ n# [

* \% G; i. c% l) y: p% W9 G8 x8 x

- o& L7 w4 @5 G5 y0 s 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: , h. `8 p. v2 F9 s; L

; ]# |0 O* e, T8 x% m4 w3 e4 V5 f
+ G) N( [: t5 q8 f' q9 G ! P5 z5 t' v0 Q- |" I& m
, \7 e4 E2 X9 b% \6 J
" ?/ e5 {, N$ u" l1 H/ f5 I
4 E7 o! G# Q6 u5 q; L' C

9 {/ ], Q" k4 P* \( x & n6 H. y G3 W" x8 P8 X8 H1 \

0 |+ Z% ?' o9 h" k

9 f5 x% Q5 K, I4 ~* W' @ (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 f, m7 f7 Y% q" {

( G$ w# L% b. ?; a! ]9 @6 m- D. q

0 }* L* `' Z4 J, m5 q3 H 6 、成功入侵交换机 7 G5 P0 [3 k7 J: G, K7 q/ O; |( q

! N, {. t- g% c9 q/ x }5 j

+ |1 E0 V3 Z2 W4 U- g1 f) Y 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 : ?, O7 w" P2 M5 g- [2 C1 k6 u

/ p5 _/ t# u3 w$ Y9 }. c. h

% Q2 K! l6 u& Y6 v 我们进服务器看看,插有福吧看着面熟吧 # w1 v. [( q5 l

: A; w; ~% T# p/ ~4 f( t
1 r8 l+ }* T4 v" ]5 i5 e/ e$ t % b# W* [3 ^8 S
6 o; D3 U8 x3 S1 b5 C l: m, o8 w
5 G# r# i9 E7 p6 [) N* S. v
3 H/ A9 ^+ K5 F5 x

* ?9 O: I, c0 z , |; l: C) i8 F

" k# u& E" d) C) j

# o2 m& u H4 P; w5 q% c 装了思科交换机管理系统,我们继续看,有两个 管理员 4 n3 v; H( ~5 |6 @* M

: m8 l# V& W2 E0 ]1 ?- U I( m8 v
& |. _% v. D R0 S3 | : ^# I$ j/ m. {* H
2 g! u! A0 [ R1 v7 P' G3 R7 T
) E, d: L, y$ N8 g4 }
2 p8 b3 J! {- x& v4 x: a m( \

* r# E. Y0 [0 d( Z! _4 V 0 P$ v* J# i% e7 L4 X

# @1 H! @) p, j! W# b

7 G4 j: y1 r; X' c7 G1 H 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 5 e! N) `2 ]0 }. V3 j2 G

6 @& J" R+ J5 x* A; v9 y" ~
1 N6 {$ ^9 B2 g, ~1 K ' L. _0 z6 f: X' _& s
8 c- R f! T. u0 U5 w
- k2 P4 \9 b9 B* b! b+ V
$ ^- {3 R: o o0 h) J6 h

* P; F8 ~4 E1 r: `9 x: i: D$ F 1 ^" v: ?' g, C

( G! D/ l) O: A4 I

6 {8 z8 ~& r \! I* [- h 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: . F( \! m6 y: |4 n, ]9 q F

# q* ^ A$ c9 b. {+ Z) O
* J9 A' o% O4 j: V# j* K 4 B% }' ]: [0 {% J( J
5 C# A k2 m4 p- L6 ^
- s- \' R8 c: V* Z9 @! g
# S s- L: _: x' f. g- j) Y

* B* v+ R" P) T# O; J d9 X7 x2 O' _/ C' |

6 l% x' M2 z" G2 I" W) |

/ Q7 o5 ^7 x3 W/ M) N2 ^9 y* u config ,必须写好对应的communuity string 值,如图: " n: G9 t) J$ {7 ^

) R& O' O0 c% ^8 d/ A! Z& |1 }
$ }; C" f1 x5 M! j & C2 ^8 ^# k0 l$ s5 L
$ h. R- L8 K6 K
' [. h4 u0 J" ?4 ~; ~ W" m
. p# C; _ j6 \% y* o

, Q0 y3 M) j# A4 Y ! Q" t# _ H- [$ _' s# F

- G/ j7 v' t a2 F( l8 h1 A

6 K% U; C$ C# f& A- W' t 远程登录看看,如图: ; F3 X# R5 O- F, i7 [# s

; q" C' T2 }6 a
0 N# d' K- S( I # b1 `* `! H+ @8 p+ N
1 L, P5 L* x, \5 I6 R2 S
4 A: e, m/ O. a! e0 g! U
" U5 u% A/ {* q4 ^& y

# K8 X/ M4 ~# N& `/ l ' a0 B P( w9 T# E* j! L, w

5 b( D; W; Z7 t; h1 U* p

% N; `) ^5 g4 i; v' Q, V2 Y+ ^ 直接进入特权模式,以此类推搞了将近70 台交换机如图: & [9 ?, N& D! i' G

! o7 m! v+ f- e: a1 C* g1 I
; C% s0 r7 U+ W& j- X # A4 s9 ~6 L R+ x1 g: u
2 f. L6 J* U1 d* w& `
+ f- G; R d) \
' ?, u0 V* ?; V& v- L- C; X

" `1 ?+ w9 K4 M: U9 b 9 w5 o6 t5 ?$ x/ m

, g" }. ~8 ?5 K9 W+ V

4 T& k* M- q- ] y5 e5 d% W 5 s( _1 x3 \8 g, M: B9 ?; w; O

2 k$ A/ N5 F) Q/ V: X2 D4 s0 d

) G2 T/ Z. h- g! z- N U. C 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** ! F8 O' x( R% I6 G+ N

1 A# q, C s1 c
. I- q, K4 q9 [* x * p: p; Q! B4 N e2 E/ T+ K
x: Q1 s* D) j6 k' b3 O
, @: H% X/ `: `, y+ J/ ]) J
: Y0 \4 C9 a, P) O

+ V& j1 y" T8 M0 B, O ' K+ x; T3 J. H9 ^. F% ^7 k

. K7 E6 \. p9 ^% [" \1 G! P' q

# J$ x9 {! R! }6 C2 K9 m. q# H+ n 确实可以读取配置文件的。 8 s$ [5 s1 A; H7 A3 w

% ^9 R2 _( A- P- ^4 {

! q1 G- |+ }' D 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 + ^8 b+ Q* N/ a; ?

6 I& i; A, i$ }4 n, v# l
5 g6 s: ^' ^, I2 i 1 v( z ~; T; I g. V
& |5 b7 C* x2 d4 _$ A+ O1 F9 D9 G
* V, u' h( _) ^8 D) t8 C
: h# g7 N) p4 b( A' W

! Q% o7 [- K" E 3 b% y3 @! L5 _- Y

5 H6 K, ~2 g, g9 Z* t/ ^, i

0 Z; S$ l3 \- n- [; {/ j f7 W" a; n ' ~( V6 @: N3 U+ ~ ?3 L0 |% @/ A' H

( v& I* p8 x" Q5 Y% @

; e5 G$ c+ d8 I* |- L$ S( i; c 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 * P( F9 H5 {% p2 P! w+ P# ` R

. D) x* T4 ~7 L& b# T
* s# U5 f7 j* C 9 E1 y8 L& @6 n7 S% x- |7 u
: D) O ], `# i$ g9 e u, m/ E
8 z2 n, A4 C+ \: S9 {! \7 D6 e% l
- Z6 b! m% c( _

' _0 t. }+ t. V5 L - C% c' ]* A# b

3 W0 J, {% d. j

2 U( b9 q- u2 Y8 u+ N 上图千兆交换机管理系统。 9 c0 M* x5 b) {. u9 K* o( G

0 F5 d1 x, E2 p- P) o. |- l8 V. f

) Q0 X, f/ ?8 z- [5 u3 j 7 、入侵山石网关防火墙 # o, Z* }& D) I/ B% l. s# Q% _/ u; O2 J0 i

" b' q6 @! ^' y! g

6 P* \3 d2 |, \: w2 @/ t+ L 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 f1 V" \9 ^! m6 X, n0 o3 J

$ y, |6 k6 _) n! Z4 m' w
5 B+ c% m0 N- ~ % M" P3 o% F% ^
5 s; r& p( I) R* v$ n
8 f4 J3 }/ r {- @# o0 |& t; F
1 r( e6 \) a; \" Z. @9 s- S* {# R1 o

' n, |7 h! U' p& |& x: p 1 p( \: J2 i! G3 Q( Q' K

- o* O4 ~" D0 x Y1 y( k/ ]

% b9 K9 }' `6 Q( |0 ] 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 4 _- H1 c f' F1 n; H6 j

( L- q5 |0 D% {4 K& r+ F
5 a) E* X/ \% j& D% `2 `. a 5 \& H+ ]6 Z0 w3 i- p
' n- \! I: j: I+ ?- p
' h1 |5 R4 `; }& b+ N" X
& G. s" P, L! L* a# y4 ~/ n; f

1 V0 D# i5 q' J; J% H 3 ?) U' V/ U8 x& v. V/ j/ U% B) n

2 ]) ?8 u/ }1 @. v1 Z8 T

" {: M8 [1 M( b- N, Y/ e6 H, W" ~ 然后登陆网关如图:** - }0 e. {( [, I T

h' D+ t1 v0 w* s. o0 {- w* c
+ D% N6 v4 x. u8 [8 E8 _* o n3 j/ o8 M! y6 `6 E |
3 |+ h8 t* N' k8 k# E2 T
3 d/ d& P, J/ i/ Q8 `6 E
( y! |7 M' }% P# u. t# z

9 G7 L1 h$ a7 g3 O& N, x % |! a7 y* @5 r ]$ _. P

& |. g8 E% J# q9 }& \, g: j' q
7 m. u0 P, y+ `, I6 D+ f9 Y7 T5 H& ` ' z2 m1 L1 N: j7 v" ^
7 Q% C8 `" }* {- s% d' A
- U* N3 J/ b1 `8 j' e
( v- n' o# A! ~; A& E9 P# a

1 H6 Q" Y7 S7 h1 E( g i5 T" h 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 6 }1 n, {, @5 Y5 b7 c1 X

9 q/ d7 n U1 d+ l2 ?+ T

6 p* |. ]. y) R; x 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 2 {+ C" q7 Z- s) e; L6 A' ] s1 B

; k) E' o+ M5 D! F

' P1 y* S$ L/ l, E 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 j4 O" R) V$ l3 O: P- s$ I

( a( Y0 @- d9 }- {
: X# e) a3 h8 Q! k" t3 l' Z . b6 [( r% Z, r! v. S5 T0 u% Q
6 r% {7 ]/ I5 L! G, l
( \* P F; Z& v/ Y, u8 f
! a+ S" Z* w% {, e7 M6 @

* w- e9 }; x% m& l) i5 D y ! _" }/ } \# G% B4 ^; `; N& p' G

8 P3 W5 Q4 V" D9 E% x5 q$ b

0 w8 \8 m' F# X( K4 v! H' T7 G 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & q6 {! {7 B0 O$ n

5 q0 |2 {5 m- G0 b

0 e l- r2 ^. |% `   + `4 Y1 N3 U. x8 `1 W+ u/ p5 N

: L1 ]. h9 U; m; F

1 _: k7 A8 ]% }- ~
* R1 M) I& G. V( S( W4 g

' a5 ?5 f+ a( \ G' B0 p$ v5 P4 p# [) e9 r1 e) u( r' P* P
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表