找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 2395|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

; g- i$ b) u n+ k( {
r) g( Z" p. S0 k

' Y* X$ m# j6 W: [

- K5 v9 M) V+ t8 A; F$ ~6 T( u& | 1、弱口令扫描提权进服务器 8 v3 L. A; c' s) F

4 w9 [4 C9 K; f

( q$ i7 T/ B1 o 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 3 e- @; E; @2 a0 K4 P

9 D6 ~% o9 \ A1 v* W, U% l
+ t( z8 w2 I! q p0 O& c - }5 W- Z$ }( N) a5 M6 l
3 i x; s0 C+ [. E+ o; h7 p " d+ ~9 [. @% M: S' S6 o
6 `8 _9 U2 N2 h

+ `! f* R+ z. Y7 q; Y ! G& ~; m% i3 Y

% Y$ A/ l) G# Y; V, `( Y: R

" ?' K: |6 W7 G" ~3 M) s' a5 j 4 O$ D+ {( R: f5 E; o+ i: C

& g& o: i0 o+ F1 }1 |# C$ D

& R- d/ q9 E( m/ n! N/ D/ F ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 8 b `) @. V& b, c4 v. }

}! g: T& ?+ X3 u

# ?- X, q. v( P6 A- K- Q( W' Z8 V 执行一下命令看看 ( D- _: k) A; [0 T- u

4 [4 B4 W( Q+ E2 i9 M

9 ^% S5 D8 b5 E5 U- h! y& Y & e9 p: Q+ z- s

" U, {! I; l w1 h, z( D }9 l
; x' B0 S9 \: H8 o6 ]( i 1 y% \# k# Z, Q% {: b
" B' E$ T% \2 h+ ]/ f ! u% L( w7 a; F6 Y2 B3 a3 g7 A
5 Z7 t' n8 E/ O9 E

' u+ l( _( i! t) P; n 开了3389 ,直接加账号进去 5 b/ e a k7 h

/ x- W. ~. A: g3 k7 i9 T* ]' M
/ P p+ }' D5 S3 U3 \. O 8 d, r7 Z7 y' z: O7 |6 r! {
. d2 V) H! a/ E! u3 {7 W1 l6 K, v " ^3 Y. {, c6 _1 H5 l
6 p3 `1 q1 s: F" H) H& z8 m4 F) X0 \

) E p& b% |% N, \ " r2 D" t4 J5 R. ^

3 K1 _; d* N7 b& n

) E" z: _; Q% N2 Y 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 + q- X3 G. D0 ]! _8 h% w

_' _5 E. ^ u7 I$ D
* V: H9 [9 G! a9 x X2 w' {! s8 L8 ^7 R6 P" \, M
6 ^1 B$ j# o6 x; Z9 p+ y7 s 9 @+ v- q# l) y9 k2 t9 c
9 e# K/ [- o2 n

+ G' L% T; K/ N. V5 O. z , {% F9 I( s& @) K% C* I1 m9 b

* v( D, I" U( v: I& W5 V7 D: N( l: {9 E

9 w, N) l. u) \0 U. N 直接加个后门, ; W6 P6 y: I- s6 ?9 I

( _+ m3 k* k! ]) d# k

( H- m( g9 S- I! l& V , [* |. p7 J5 D% |8 U" N

" C& O- s# J& e' H
3 ` L h, p4 A* W1 {$ A 6 X$ I, `" J7 d* C4 A5 o
% [& J; u1 z, L. R. q- b 2 D% F+ F# P, E- X$ G
% G% u$ l) _. M

4 D% _4 M) ?/ }6 d. k5 e 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) M6 c6 K% Y/ s1 [. F# i# V7 }

. M, Q, R* e+ \+ @3 n

! ~) g& O4 F. y0 L2 g 2 、域环境下渗透搞定域内全部机器 $ {/ m/ e) ?" Q7 J# J* q% x

( ]% x+ ]8 U; G7 H) i/ v

2 Q7 U( y' B+ h' @ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ( B6 ?! A1 }! {, G' x" |

. u- d( B) D# \: v/ j3 B( f
% J) [, }# t1 I, {% c ' U& ~4 A; x8 \- L' \9 X
9 Q0 a t1 [" S' x ' ^2 i( q. }, v4 `, Z3 m
! o9 | }3 m/ ~7 m$ k) ~

$ ~- n+ m! c3 d9 T$ ^- E1 _" @ 2 y1 U w2 h7 E5 K& S/ q

7 M6 ]5 ~8 M. K0 B/ y; ]' V+ b

' H) `% G; Y8 p- ` 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ; T% |/ S+ `: M, C) q0 G

7 n* n K; z, l$ p, j5 {# f
$ e7 i$ M4 z2 j# I5 y & g8 m9 i% M" B3 E$ F! U
; V, s% ]5 _0 ]3 N& [/ K3 K7 f ( c8 e: f4 @* k0 [$ ?( o. C
( v4 } `4 Q6 A+ g6 o# N6 _ t

' E O6 }$ J* F! K6 V 2 E1 v" F6 ^9 X6 f+ W

& {% n$ P* x% |3 j; ~1 U- q: F

' |) d8 ^1 K/ \ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: / L/ n/ @# H- Z$ M

+ O9 j0 O8 T1 ]1 V
$ @ P; R+ R, ~, N6 ? + b. V9 ~1 M+ M) K! B) u
& L. q# r4 ^; Q7 d+ L + q4 m+ ~0 p$ N, K! l/ ?
5 l( S. D% w/ G7 r

# ]( p8 y6 r# ~' q6 O1 V! o 4 X5 g+ h8 z2 Y' p- n" b! h

% f7 `7 o0 H6 U

* f0 L! C# x1 q8 \5 F$ H. a 利用cluster 这个用户我们远程登录一下域服务器如图: 0 V+ q l8 H9 d+ ^- I; e# N

+ B9 N2 Q* E, k \0 P
/ _ q! s! n8 T/ I% t! h* d . [; s$ W- w) w& W l! G
) p6 w: Y8 @" [ F" n9 x / V8 x' L4 K3 M6 x4 z# g
. T% Z8 _$ l% {

. p7 m% S7 W; g; r) ^ 8 i( ]1 `+ @' n

& i7 v2 n( L3 J* H, T

) s4 ~) ^% `: k& [ 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: / I' P8 M4 t% K; E: \* N6 q. |

+ m( K k Y$ S8 Q5 L! ^
/ U8 |1 U j) q ) t0 ^6 D! k; K; N
/ n2 i* {5 g7 K; F5 h" Q / s% Q! P0 b9 }' P
$ Y- ~2 Y- {1 M; n: [- {

" r2 y5 r" ^# t- A" J - C* u; d' v$ @4 j

1 u( @' j% w3 X

; k. Z; f" D h* x9 ~( R2 }* \& o 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: K/ G( g! z+ U0 R8 a( z" [

( W. s, `# |# M" Z0 U

! e* \0 m4 i2 @# U( e0 o3 h) \( C. ] 6 p7 v- N/ x+ J( g6 @

, u- {6 k8 y+ x) i- Y' i

# n1 Z% w1 V# }* M0 i 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 4 l6 Q" x3 \. u/ I* K ?2 [- M: ?

$ S1 t/ S, y0 `

! y7 T5 \" ~! x# V" g R9 i blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 4 L- ~! W$ C/ f& p h

$ b2 T" H% m3 S' N2 _, P4 |
0 t% @, M: | p, v" }6 N" c " r' P4 n( N+ o% E; e7 W8 | C
1 {- o( L. A0 i- L$ B: g 3 z- G, U# y$ L" m5 L
$ Q) r* [6 W7 n8 X2 Y9 `& I' M# s

$ T- {* Z, D0 C' v & i8 t2 J! ~; s! M0 j2 T, a# R

9 j3 w' s# a6 y2 u8 D# c

, q* l, m5 D8 R* ? 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ! i3 G: I# n% b/ p5 `

4 K4 o( N' ^1 R, L
+ _' ^8 @# _- M; d $ v% Q% u& ~. G
) f2 ~8 }/ ?% \, L7 Z) L& ` ! G$ |! _. s- t
' n) ~% v3 ^ P! D

2 E x0 q, }! D0 i9 C' t 2 F9 w8 X) D& k a; J- U# Z

; Y% k# O7 e3 r9 V

7 R& B" ]( c( Z( x1 M) C 利用ms08067 成功溢出服务器,成功登录服务器 & s: L" @7 l" i1 z2 P

, j( f; D! E/ s# J; y
9 {( I q( O, U! ^ : E6 n# B, |2 l( ^6 g* [
+ |9 V7 h0 B% h1 Y( N' q$ n ) U# O" |1 b6 \1 @' A
/ H+ g3 ?3 D4 l. S9 |9 D: m) u

& J* b' j3 T# N# n 6 ^" U/ C) W: G$ q) I2 B

5 x$ x3 \# {- ^! w2 I

- p1 D8 X5 J$ m. k3 |# U 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 9 P7 Z0 W& {+ D% \' d

) h/ K" S$ i& I9 q( w0 g2 K( c

% r0 _7 k2 _$ U) Z [) K2 S1 G 这样两个域我们就全部拿下了。 0 k+ e. u* ^# X8 f d+ c' p

6 R' m( z5 [+ m

) b: n$ ?9 u' A6 I- b) G 3 、通过oa 系统入侵进服务器 9 |# N& G+ V6 e7 t6 F

) F9 I0 X. a( ^9 m* f3 n+ X! ` b

( Z# v: s) t5 c: d' E3 C- P/ ^ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 % I( R4 ?& Y: ?) |

( ^3 R5 p% `! K G- L5 k" p2 n3 p7 D) H
9 v* d; q0 F/ t' h$ z5 b. {$ y, B $ [% c( J$ X0 Y9 } x* V) J
8 S3 ] ?1 s' L* P* i" d7 T0 W 7 D4 w' ?( }& o8 D2 {- Z* y
X& E( D, Z* F

3 K8 k: q+ f, ]6 H. U, D5 K" [# i 6 U+ x* f; i; X0 c: ~; G

; H( [8 `6 v+ _" E

2 H9 ^7 ]8 K1 p* C( m 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 m/ _5 s3 v- d, \9 W! J. G

[& y0 A' ^7 J- v9 [ n2 e' s2 C
0 F* d8 q9 S% ]0 O: [ 5 n+ I4 M4 S8 t9 S% _
, d+ l/ m; M& r: J / Z1 S6 n: b; {9 S
4 w5 g0 f6 k( s- {$ w$ J

3 p, O1 o2 m4 p4 A; S- N! h3 @ ) @5 U/ y5 ~, y! y, E) `2 q

+ S4 J& U3 l, `& P& o

4 A) e: y8 ?* N3 c* P; w 填写错误标记开扫结果如下 . ]7 \8 l! P0 Q4 Y

4 E" Y- s' ~2 p( A* l, A$ v
. z9 O0 J) Z- n 5 h1 s. ]* _% z5 h o, g5 b. x
* |+ j! J& N3 f7 B / R% w1 t6 K+ P2 j' h2 I* I. L+ u
h# W1 K( V" L3 y" U: F) t

$ A( v! i, j# q5 Y$ K 8 Z! j$ s. f; D7 s: U

, v- O8 U0 a$ s V2 a

2 q5 w4 ]: k& Y$ }% b, ~ 下面我们进OA ' g; u6 H" h/ J1 g# r

) W% p) Q7 O' s: q
" s G, i0 k! G6 [9 _ 4 Y2 |" k+ T: [1 k( ]2 y/ p! R5 d
' x, O2 R' Y# q$ l0 z + o# @& |! @( c8 L
# l- W" P/ T0 y, P" t

W4 c1 V) h* n; X ' A r& k, j i6 w; L

# Y* b( |. ^* D5 }8 u" p" a

! | q9 L) [0 ^ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ' G' Y* _7 @( d" r

; w6 a) w2 S3 B; ~3 z5 ~
- h& }2 x, D# o7 b; |; U9 X 0 u7 o: o2 o# ^: ~4 d0 ~7 A% D
/ g- y8 ^5 l. O5 p3 k - a- } M8 w3 M$ R5 ?; \. C& `
( `* X: S! X0 @( i4 h+ o* R

1 M# R$ g9 x* S! i7 @ 6 K3 a) M7 T7 z5 E5 _3 f

9 I) ~; h" |5 g h, A

$ o- D+ j1 D3 u4 o" C3 a7 _ `( k ( d* s) Z6 k! w6 B, M, G

8 j, V9 g- G; I) j/ @

( x b3 ^% V( l! ], F2 h, Z. Z8 F 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ' P3 x( S' y U4 x" N

1 g7 [2 E$ ?6 ?5 Y k; l* `- }

D7 F+ v. k- F9 Q( f* c! j 4 、利用tomcat 提权进服务器 % C2 ]9 j, i: @8 U9 e+ f3 t

9 e" V ], f9 P0 X; }( ]. x

/ B4 s& ^: `9 ?; q nessus 扫描目标ip 发现如图 B- h9 [/ E; i9 A

; Z( Y: x: [, V# s& A0 c. s
& O+ R' t: a% w1 R" d9 ] 1 X4 w0 Y: }! j2 C$ q3 j
% {' f# n0 a5 }/ h$ a' @3 F " q6 N _: {) B9 e, k
5 H3 H i( b1 k1 X, x- L' ^: O

+ w6 `$ ~! l0 g+ G n7 E$ O , i1 j- z8 J2 L) y; h! G

, K$ V& N4 a4 z1 c5 h0 n# a

" O& f# b/ S( e- X8 S& G, _ j% R 登录如图: % o7 Z( c$ K; L: U% e! I* I6 O# W

% i2 S2 t( ?) y
6 L! x" {/ C4 W8 F; R8 o; G. U % M) k3 v) O' b6 `# A
. V* @5 o7 q4 U7 F6 F! N3 H - D9 t. s0 v: A
7 o& M) {6 P* a4 N

5 Q( F J8 y) d, M& o+ X1 M 5 ?, [ G& ^2 C; n' X' ]

0 y/ m4 o" K* Q3 q

$ f6 O% ^9 q1 x& K a! a- f 找个上传的地方上传如图: * C5 x7 \9 H2 ]: F, k# c' }) y% q

+ q a1 d, k9 ?$ w$ w( X
! P9 t3 _8 k" v1 q. ^: O * [$ ?, n& l" I$ K5 W
6 t/ R# F5 n6 a ! b# \ a! v) q/ C
( @7 e |4 l+ M) ^

1 A8 Q0 ~. e1 L* R " m* H. ]! x! `. X5 v+ G# Y

- c; y- A$ w7 ]2 \( C

0 D8 Q0 i4 ^ j6 r* T 然后就是同样执行命令提权,过程不在写了 2 J5 P) ~( S! v7 e( b5 k4 y5 y4 D

; ^9 C: a% `- o9 @ O7 B% \; K: T

1 \9 c& A+ L1 k5 f 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 8 A. [& [! O+ M! A/ e

) k$ `+ I& l5 N' W

. @3 L$ k0 K4 i2 D 首先测试ARP 嗅探如图 1 `+ i6 ~+ J9 C' v. }" z

+ I6 @8 \" ?/ V- w* s
& Y, D# c7 F S! f/ F7 u$ R) ]% K- ` & P' o/ N5 {- ?& i& Y8 K
8 S: D/ f! \+ k8 _& i( V " B8 l/ q; ?9 ` g
$ y* z2 `" O# k

; O: V; U+ s. F. j k1 K5 D. w# h% n3 h& Q

1 b6 S. j& E" u

; c% x# ^3 }0 ]5 M T 测试结果如下图: 1 F: K$ R5 y3 R6 N

: F% ~' Z. ^* v% L$ ]# Z0 o+ c% Q
; ]4 x/ y2 }* V9 U% B: g $ ^/ [: B* d4 P1 ]! w
/ I# C* s X5 l% I. | 8 C2 q- h3 X6 j7 f
8 I5 U( J! w1 y$ J1 K" M

+ s, h' v. n; b- O" Z 5 ]) m% `" u. z0 Y! ~6 p, S* Q

% y; O% {5 N. S; f, u

|4 Z5 e$ }: f3 G 哈哈嗅探到的东西少是因为这个域下才有几台机器 9 Y, r: v+ y) x: q) h

$ h: C& j7 ~- c. B

: m! Y' r0 C, [1 Q. A! O1 } 下面我们测试DNS欺骗,如图: + |3 a- g! c) u/ O0 T

$ ~( W2 C. }! b
" i- T! u( J; X$ H7 x $ q9 J+ ^% c# ~. T% U" s& x
; y. T/ d% O9 f, D6 B 5 ~- ~( P8 P1 G
" M% C* R" W; u9 r

7 m C! Q8 @) _: m$ S8 W8 ]) v $ p% m( ~6 P! h( K4 o

+ \, w3 E2 _' y1 K2 B3 y' v4 y

/ v. D& ~# J/ D1 A$ r" W 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) P& b6 r& Q& b' d, O4 r$ X

# n: c& R% }, n* n
# v2 f2 @4 B5 G* F1 c0 V2 E ! i w6 P# _9 k& x5 W
9 S3 m7 E) ~* l / y e& H' d) W" Q' }
N3 n$ W1 X6 T- `! r

L5 }. q! B. I7 k# Z$ d1 g 3 K* j2 n7 u! k+ y/ @3 }! c' a

" j/ h$ f/ S# e: k

2 V2 N' g) d7 r I! ~* g: e (注:欺骗这个过程由于我之前录制了教程,截图教程了) ) y- b; W8 O( h, K Q. g

! `. S+ ]2 t6 M: X9 f

, M, O% _2 f; ~ 6 、成功入侵交换机 - A3 P9 I$ \8 J$ L! e

- s' E! X4 X- H* O/ e" ?0 r

! ?$ O$ h7 ~" B4 A/ A 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 & l6 O6 K4 E0 M: e2 N7 @

0 x- H5 N6 t9 b7 j

6 P: p& R y# _0 d% s 我们进服务器看看,插有福吧看着面熟吧 2 S: ^0 c$ Q5 H7 A: a- \9 C- f9 _

/ K2 B( g8 Y) F7 r) N+ M
0 e' Z/ J' f ?0 |7 k# C$ f 6 q* C' k- o7 T2 q! l% W
3 g( |0 i/ a3 A) \5 A % r% c5 p; u- u
5 C. k7 r, {7 @' v

& I/ a3 X _$ r1 G/ J# _ 3 n6 m; t% w) k. i

2 R% P1 [, w) G# o

% t! z6 C" {# v% r7 X$ E 装了思科交换机管理系统,我们继续看,有两个 管理员 ; c: b( Z1 }' W

) ^$ c; i, x+ f, B
- n/ v' t% w# P0 e ! ?" `1 W9 o% f8 ]7 m
8 c" L( s8 B8 Z) Q* k 6 {: y8 o; d' Y: e
+ X' O8 L! G# F Q

* Z5 s3 N$ e. y2 @6 n & S7 j g6 c+ Z6 Z+ T

5 S: @$ b! K& h0 h1 \ F: B ]

' F( r! P2 Y, H8 Q* W 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 0 c8 E7 ]- U. h. }* p1 h

_9 K k1 @7 r& o2 |
, h$ N1 O. _5 d - z! v) g6 y; b& U: X) Z
" p8 @) v: n2 R7 e) a! x P2 e+ W' k5 {) }+ k+ E; o
( S- n) ?0 u0 N; R+ U1 `0 N

& w) @9 ]0 q1 J1 X2 R & Q U- K7 I( j# P# e

0 N: l: G1 v, i' D/ o

O, W, D' M" |' f; T5 [/ u! b 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: - {) O& L. @5 p% {8 v

$ N! ^* ^. n4 f& d5 ^; a1 d3 x
% h& @3 _+ J8 z: Y# v9 ]' z ' m- m" P" s/ J: L/ v" A I
' j8 s0 q3 u0 |; ?. V $ {/ D# w; D e3 I- x
* [5 }$ T# U" |% g+ v

" B$ u5 q2 g9 l/ N8 L1 q; @$ M5 B ) G( F/ t' [- O$ p& ~

, e. X8 k: X! F" w! T

& _" ?7 e2 b" a$ V1 \, X config ,必须写好对应的communuity string 值,如图: . m8 Y% e: v* i2 R4 Q

, i3 m* D. L- P/ P7 S
1 m- `/ z$ R, j) a4 l! a 0 n- d7 n: P1 e' ?0 Q/ |6 S
) a: W5 i1 Q2 K ( R* {2 |0 D% q" g5 _" A4 @4 G
) L' n. [! C3 x

: W, ?: e1 s0 g G4 e, Z% u( J8 m

) N" R2 W8 U0 t; k+ d/ S2 t) `: _: C

+ {* u+ e Y0 P) V9 d8 g: Q0 c 远程登录看看,如图: 1 u, f+ X+ g% f! R6 f

6 p. D! N$ J0 P
/ {' F7 L7 p) m$ ]( @' R ; g! G6 {3 [" P, _6 t6 b
8 ]; Y- ]5 D) Q/ p $ ?4 C; s. Z& j& r
( z& U# {7 M/ c6 F0 i" q

0 z6 O! d( P% G8 C1 U3 }! n K8 ? & w% h, O" k) b5 c* ^3 i' `

2 _9 d9 S2 x/ K9 s: l/ L2 G

0 Y: l$ y/ [# [ 直接进入特权模式,以此类推搞了将近70 台交换机如图: 4 K( x8 F! H% @: M

/ Z- k& s7 j3 G+ y( T% ]6 E
0 J& t0 P! [/ u! E0 x O + {' [1 f& H2 W/ o1 H6 _* b
& H$ j; N/ J9 G- @/ k & V5 U6 m1 F# n' @: t# X
8 S( M; n* m/ Z+ m

8 ~, j) c5 T. A/ k $ g) v! Z, F, L' ^

; Y4 y6 v2 L5 P8 f1 V1 e- s% ~$ j& _# _! R

- l2 L4 [/ l9 L' D ) W5 K8 ]9 `8 h4 Q7 D/ A- b! K

1 L4 u8 |! F2 @3 k1 L7 }

: K7 p R' c R7 @ 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** " N& F4 o9 ^/ N; C: A

, a0 H' i% y3 Q' N# D. d2 J: l
4 x/ m" R6 f8 M6 {+ \( E# N5 H. l' T 8 x# x& h( V2 B8 o* ~/ T
* H2 X/ B- d( B " U( t6 e7 P: f8 K* ?: |
2 r( K% s* N1 v, ?) I/ C8 L9 m

# q- y5 D2 x, s 4 P9 Y/ n( ~# n p* T

- ?& m* \9 ]4 Y6 Z: m2 \

& m' k" ~+ w# F8 k3 G1 ? 确实可以读取配置文件的。 4 U1 U" R' I" W7 H ^7 a/ X

4 y6 q' M; y; U9 f8 o

/ _) T) i! o4 f/ v- i$ o& G4 n' b0 Y 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 \' Z$ S2 m3 z

{- _, R3 V3 ^- ^
8 s2 [& e8 z3 A2 w & x, n- B: N& M3 E) E
$ P- L C/ C: Y# S/ s. e 5 t7 ^3 v7 N2 d
# U# s$ W8 L; q7 s, M$ ~

6 W) B" e0 H0 w' o) n Y F! R8 D . Z: {) ~3 K; t9 ~. \

7 V1 x5 t5 y, p0 T6 L. p

) G* ~# o. t0 j* X; S8 H& c 9 o0 p+ W- q- a1 I8 K9 T

$ I$ y. D2 `: t/ A2 t9 t% T/ w+ U! m

. ]4 ` V6 z4 t6 ~- y 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 $ L& V& p! Z- C- v" ]* J' w& Y+ X/ c# U

( j' _6 f: n! `8 Q
6 C; E1 e+ s! _ + w8 @6 i8 g# S0 h/ Z$ G0 w
5 w3 \& w: C& r! x- C2 [ + e! A2 j. a. \0 ?
. t* q8 T& k6 u1 e V+ t

+ p8 h0 ]: a) K- r5 y " S& o; V; m7 d- m, o

, F1 C1 _/ l r# S0 L) w

/ l( N' b* H7 Z5 c H3 n+ ~3 A 上图千兆交换机管理系统。 # o" F1 o' l( V. F" I% ~

: g# Z& T( b. @

/ T7 ?3 z/ j- S R% O2 D- R 7 、入侵山石网关防火墙 8 G7 c1 {( M2 e2 O9 W: b

$ `+ _; ~. f7 ^ O( O3 q+ H

W3 u9 k# h6 _ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: , I* r2 h8 a, i% Y. |" t

6 U9 z X# E# E4 S
1 i2 F* x. _% g) |$ F3 ] # u O, b- k4 Z3 _0 S
, B& o. L ]* O8 a, Y1 M, }5 R ' ?" E/ R* ~' p k/ E
/ P. L3 Q& Y7 x& ~# g) D- K$ ^

* x" ]1 L: i& L, J, M# t : C( V. Y4 [( t1 a* V6 W

9 t' d' c: ~) J0 o/ n

$ n) X1 q( l6 x) }6 q- f' z 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: # @; E$ o# V8 g

8 e& I8 R( s9 o# u4 T9 V2 n# @
$ z9 u2 U% q8 d0 B6 d4 G ( q5 _$ x/ n) ?9 N, k9 X4 p
' U& K3 w* D2 P8 ~$ V. N, e 2 r s }6 k* W3 N, c" e0 |
$ p7 M) W/ C, a. \. c: |) W$ n

4 f W* X0 V, P+ a 7 I# K4 M! v3 j# m6 f0 @8 s8 \

! J# p; K8 }+ m

) h6 @! V% P+ s" F2 z+ t) v! { 然后登陆网关如图:** 7 w8 m& l# W g: W$ l

9 y. N1 n( T- P
- s( c- t% I P: S2 e7 P 3 W) e# f" l6 u! T5 J, q. X! `
4 C4 t& |# X! ]. c* {& H6 v ) c( f! o7 [6 z$ ?
# s% s7 s7 F) |5 @* k

) t" I- l4 z9 y4 Q 2 h% S, H* f! Y1 H. C1 R

- S) e2 q9 H% G6 y+ T
5 s5 i8 O$ p; o% e- n W ! m- K: p7 {& ]
: d* r, S3 K" K 6 N( b$ \0 i/ h6 E
' A4 V' T* P6 y( N4 I3 n

* |0 L/ Z: N3 y( d' [7 N) O 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** ! |9 Z) O/ a# ^$ s) _" `6 L* s7 m

, f3 b9 ^+ Y" A) x! R$ W7 Q3 [/ S

, ]0 H' H4 M) ~) z7 |7 w 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 * w: R; q6 J: \" I4 j1 _

" H5 d/ B4 T. I6 T2 r

3 r" x7 m0 c9 N" y X' e" n9 N. H 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 ~" E# v9 K4 K5 M

. r" [% I& q( B ?; ^: v
X; c: T9 i; a8 J7 V+ q9 o 6 Z7 I" z( \" [9 n
+ D6 }$ V. [4 X$ \ , Y. j) q4 X" d: n N. Y5 |
8 B' d/ Z$ K4 v

$ O& l+ ]) z3 }) o5 @9 j ) |# M. K+ R k* k! [

5 a) R: @# I( A( ]# S! {/ [- m

" o. b/ }. J S' |: l 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & C c& ? S+ u. ?/ B

+ n+ a+ l) s; D0 p

$ w7 M; |5 l+ W5 a& v; [   1 k0 D. D: ~3 w+ \

7 f4 V: n1 m$ F8 r, r

5 h9 W" B( t0 _. C
S% r1 _6 p; | w' E$ b

$ `" h D$ x0 ?9 t- [ % o4 B7 E6 p& [" e
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表