找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1403|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

1 C7 q+ T1 z" s6 U6 s" Y5 c f
8 _* A" c0 S. k+ M, v5 o L

* e1 J" D# e9 ]

/ |3 Y$ N4 I9 Y. d* n; q 1、弱口令扫描提权进服务器 ' {3 j; p& ]/ Z; E6 @

, D8 T! M; i+ J" U

) ?7 ?/ [1 W' k0 s 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: & a# h! ~/ b4 [) O0 G& ~- |

6 Q6 A1 b. H; a. j/ F, J0 k
0 n% u ~! V2 q* B2 {) z( K. `! L ' _1 |+ \' {- m6 t
" `7 @' x( P% u: V- I
/ d* W! t1 d, P
9 @9 a0 `' x% w$ z7 D1 g6 w' Y' V

( r& A9 f* m, p9 y$ h. ~ 3 Y# d k9 S* g3 i, Z% c4 y2 |- l

+ I3 Y) X5 ^- C }

( w5 s; h5 c9 g / k; a3 a [+ X* B Q

7 ?$ D2 J! T* T* a1 K' {

; Y: ~3 G# @( H* g( W& ? ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 4 ?, C+ S Q6 ]1 \; m" `

5 @" h; V! Y* r$ |

# c4 D; K2 U K, i+ D8 T2 q% N, ^ 执行一下命令看看 9 H* Z# _$ C0 q( K$ g6 p

9 X4 v7 @. e8 e2 L. x1 g, Q

1 m9 X6 A6 p3 \ ) {) s9 m' i- Z: x

2 n5 I' b% [2 G9 `6 G
0 v$ T' Z4 B5 X! ] " \* L+ F5 L) W0 n
3 r1 L7 p- o4 L
# n4 S1 \3 V1 P2 ?2 {4 o
, r: _) ]; U- m4 ^. w4 J

" w! [9 i1 E1 X, y7 y2 V/ n 开了3389 ,直接加账号进去 / A& ^9 B7 B: V/ H8 B. D

1 j4 M* s* S/ d6 A. \
6 W& f8 D! \: F( }7 N ! X- T" e- ^8 E. t& F+ w
; W& }3 e% x3 D
( w: T/ r1 w5 @4 L# P+ n
2 P5 e G7 V" o

! q7 z% x* C2 T" P( L" |4 x 1 t3 ^% n3 p* Q* I* P. f

2 h% |* E; B. H! h5 j; ~5 Y

* H' H7 b2 h& x9 J: u, B% E: B 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 7 q [$ F- w+ J1 m* [ X

0 y2 t0 V2 S4 V; m
# h/ `6 b& b9 m9 H8 S9 z9 Y P 6 L. z; g5 X4 L7 a" A* N9 V
m# H% J& t. ?+ w2 d
3 P6 k' x% n' w- i
& d: |& a; r! X

& V0 F- x9 ~8 Z5 `0 q 1 g2 @; N6 t! v& M' k. n0 d+ w, F

( e7 v$ M: g" T) y9 h8 o L5 y! E [) }

/ r# [9 g6 i, b2 N, N" W' N" p 直接加个后门, ; O) `) r7 P2 \/ l* {7 s, B

# S" s6 @% ?: e1 d/ q' I

! k" h7 H: Q- {5 H# E( V0 F" \* ]& x ' c) P' [% u( k* G+ o( l6 H

% l$ F7 ^# V1 L& z$ [: Q
; X2 M& I- m* [! Y' i' `# h( a [3 i) Y7 ?' t- Q: N
2 _5 n) Z9 _, \6 @3 `' b) C
$ _" H) q8 _) c0 Q' K4 N% ~
. K* S( N# D9 |7 Q

1 ^ X' f V- w+ c) ~' U/ p2 b1 B 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . v8 R9 a7 C: ?

, P1 {9 |: P% t! `1 Q

* O1 U' I, f2 ]; K1 Z2 F' \ 2 、域环境下渗透搞定域内全部机器 / U! z5 A5 m, R# z

0 J5 s" L/ e! s( u1 g

U Q6 P; g6 H! t* B9 @ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 , E& Y9 @% Q6 B

# C( a' I1 g% ~! L! G6 W s9 Y! R) @
5 B K% H9 z0 K8 X9 r r ( } o7 E6 ]; Y& p( z
; H) J, I2 A, v5 U/ \6 \$ A3 Q
( h! j- s% {. M7 l: f
+ o! n" n' K& V: ^

5 ~0 |9 X/ d$ N+ ` 2 g, L X1 n: ^

6 w" n/ B! h$ U" t6 K% i8 a

5 B7 c/ x0 } o# K 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 . c$ D6 Z4 y2 c/ X6 p

& m* H3 T! Q1 A6 I! x, u/ {
) S4 b l" B5 O9 Y2 m/ G 5 S; E8 L: f) A$ a+ Q
- w& b a& o: c% z; k
- e* b# S# W+ k1 G
. Q; N+ Y- c# F7 C8 ]

' d# \' A9 _1 Y9 i7 h) {: y/ i ) a! w9 b6 B/ R# T

( b5 u, N! S1 `

3 @& K& _$ A7 O 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: / t3 r. S) Z. f/ s, P

# F7 Q1 E8 h8 c0 f. P9 _3 R3 V
q! z. n- ~" q% \& W( b+ H- V 0 g, Z+ `5 F8 ] v k* Z- X* w8 {, S
2 t2 ^: ^, N8 Q6 L, ^/ `
% U( T' K: K7 M
$ q2 M' H2 M' y7 W- T

1 k1 W* a1 i: f# y5 Z/ p0 u 5 X# G" ^8 Q; f* @7 ?2 q

8 w2 z k- z8 s1 T% C+ z

) J8 I! W: Z1 Y 利用cluster 这个用户我们远程登录一下域服务器如图: : C! t4 N' V6 u# _+ z

" ]/ g V( Z& f* p; L
3 |( G/ o* d4 i$ w & f& y" d9 J) h# l8 f
/ z" ]% J1 h3 v" w7 J
2 d9 [3 ~6 c+ |# c) _/ ?
7 G9 f' S, j, I( h7 {# R3 R

5 k: |- o; R# I4 H: q P' M0 _* ?( n2 E 2 e* |8 { B0 D. W! s% b

" }: {8 g" M) U4 f& @

N9 T- i. V3 G2 C4 Y0 L) H: Y8 M8 A 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 5 ?3 S, H! Z0 { z& k$ D) X

# c, Y& b; J( T, U3 U
$ D8 k! m8 i8 ^4 @6 n & Y% r, `( i7 M! M* d' j/ Y
: f, a; d- y- {$ U, s% A _% m
3 M( `* R- C- u1 ?3 A" I2 Z8 O' ~
5 d5 h8 p! Y& r, h+ G& `

! O8 C# Q. r$ l; x+ d" A ; t5 y) v0 F h! \7 s: w3 ?+ l

z: O: V1 L+ L7 E6 {8 i

. X* T- j5 K: y* H 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: % ^, u9 F2 \( v' c$ {

" o& [8 }( }: _5 Y

) d0 j& w, \4 _, h1 t+ {. k- [ ; J+ w- e, D4 i

9 ~8 ~5 ?: u2 h+ O& J- V$ {+ Q8 q

. Q1 A6 g: F6 a- a- c 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping + M% N! M5 b1 [6 }4 Z

" D* _4 t% z( B6 O

# e3 g9 Q; J/ n' @. c; s, P. g blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' M1 e: R0 i1 V% B8 {

. }, x* B7 D: a! r4 g7 Z
4 z& l& W g7 k% J. | % v$ a: S" h7 c# f; V' p
# z* \4 J9 S) q0 Q- X
4 a P! y4 Q: r0 |, P
* E" q: H3 o2 ^5 M: O5 C

+ j8 v5 a8 M6 F4 W6 u9 l & @* t5 q3 j \! h! B/ ]& f

& k% H+ l5 d1 \' M# A8 P5 I

0 e7 Y8 [+ V2 j+ u% F+ y6 z! ^ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 : c* P6 }7 ?. |& k$ g. k5 Y

& G& `# F% g5 g/ d; _
+ C" f' b8 y- | % i' ]& H5 w' }2 _2 {5 Z# b# [- E
4 k J' u* b2 V, o- N, A
# ~8 ~' w. I* ~' Y- l! z8 _2 j8 f
5 B1 N( F2 d! |" E! k& L

! o+ z) v: e( W1 `9 d- r 0 [5 @: V2 [5 h+ v/ Q

4 l) ~9 r$ P# J- p' Y; G- [

8 a5 z6 C" [, d+ D& N1 E6 g 利用ms08067 成功溢出服务器,成功登录服务器 9 ?" I" U2 ~1 o' E6 D4 B

! q$ ^7 b8 ~) a; n0 Z
* |- h5 y) o9 K' M1 R ! d \6 E! ]; H5 r# L& m; S
* o4 A& U8 `/ N; |! \: Y
B: e, ^3 m5 M1 y" {! ]* a! c' h
1 l5 V6 a* y) G

, k: t6 E- H4 ?- Q 4 d7 L6 m: U% C4 f6 q) b

% p$ i9 L* ]7 B( a# C

! L. f' w! R6 J 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen & l5 P) d4 [4 [ D5 n1 w4 U

1 ]4 C; l" o8 D

4 Y5 \3 p( ]' U8 c7 }6 ^+ C0 f8 V V" H 这样两个域我们就全部拿下了。 + x4 o/ G# t! {! D

' ?- h: b/ s7 G

" m& t. V: q8 \+ }( k 3 、通过oa 系统入侵进服务器 ' B& e. x6 |( {8 Q* {, K

5 q; W3 `2 ?. l2 e

?# ?. O F" I) D$ @2 `8 S Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 4 ]9 j; i" e2 q! W; C" K7 ]

; |: d! g4 s/ ]" s% o
$ n9 e E7 i& A1 G* F' c5 B 3 G% A1 e. R. i! V
' _6 L- ~ V: a- V! G0 | z: B
* k, D8 P7 H! u: u; U* G. P
1 s! d$ N* i8 W: }* J# l

( E$ e7 {7 X! H 1 B F) ]5 {# @' N! D

8 J% v7 M( N( e* M2 ]! L; D

+ l/ ^( A; c, O3 M0 }7 ? Z- N 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ' t9 C/ t1 Z0 Q& w4 ~; U

L+ i3 W9 _+ @
# c; e0 Y" `2 s) O, c , V7 m {6 v n
3 z1 a* k! d6 ^! k
! k: O+ r" b( j! \8 f+ f9 N! u% `
$ b& l$ V9 o! M8 O

& g% H4 M9 _' `2 v( D, w( S 4 Q' e4 B y. `/ Q8 k+ X

2 n+ {3 k0 }/ C" l j! O" G9 X

1 f4 f$ e: R0 m$ _+ @$ {0 ~: d 填写错误标记开扫结果如下 - Q B" c6 c5 a% g# M' O" ^0 ^

" z2 A9 O3 g Q, @% {% v4 T
, i" @$ g: r3 G, n& A) j( K. O2 S6 R 4 r1 q0 V8 v% X$ T
, |% L5 G' [7 y7 a ^" k
; w, Q/ s( m" x0 r0 D
% Y' ]5 W$ p' n" I' A! o, {

9 W" r" z$ u$ n! l6 p A , X7 B' a+ p8 O

4 F2 ?, R$ F" i+ C+ H5 C

# j% F( k d) W# w$ y 下面我们进OA ) c% l: W3 U+ n8 `4 A5 m

0 m; \* K; H0 s0 B# q$ q; _
% M' }* @6 N9 A 2 ^( C6 x1 {7 b- m
# X. n7 x+ l) Q; d3 X
2 n! }; e8 P/ N6 K
( I) E9 i* D4 a8 p9 d

& f* u! r* G/ `% t1 { 2 K4 h2 b @! H2 C& n* S- `; h4 x

/ y9 N% [3 {0 b: }

; F6 Q _7 n, T7 C0 b, U3 s 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 2 V7 r& e4 I; b9 r% M2 Z5 B

7 n9 ^2 b; Y8 v( I
# V" [0 V7 _3 d9 l. Q. u' l# b 3 J E. z' z" h+ T6 F
' p, e6 I% \* I. b
0 E S$ @, n* T8 Y8 x8 }& ^
7 y! b* v% L$ {+ n

8 x) {0 v3 o1 m. g: l4 P0 D, D I1 ]8 k/ q- C" B: ~! y; z

& O4 l. W: K, K7 v9 R- G

+ u/ a& N' f5 h) v" ~4 W + R$ W5 v% ^1 N$ }; h. `2 O0 `

* h5 ^6 Y& B0 }) B

3 I' U( V* n( h3 P 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , U) w3 R) [$ C& A1 S

: M8 W# W) L* i' M+ [5 n

6 ^. m5 Z7 p8 Y' I4 B9 x& B; m 4 、利用tomcat 提权进服务器 / n! M/ {' R& X: `

+ M- U1 e, a9 I- D+ K$ M1 h

' K0 I5 z- X: n4 Q4 s+ F nessus 扫描目标ip 发现如图 8 {" h( |0 x2 X, M; y. i

' ?% Y1 ?% Q1 J- T- r3 t
% d) c7 \- \( Q S# e * m! L7 O4 b$ g* [0 o; b) N
" L% [- f# n3 O! ~
i- r/ h; N, E1 J8 d3 D V
5 u6 r1 i' H- M( u a$ y* r

$ C# h3 D5 \! o' }1 ?0 V7 k & e4 A0 k5 {" v. w0 h' l) O

7 L# U# n$ {$ |7 v' \

: [, Z' G, {3 J; _ 登录如图: 4 E: u, q5 B p; v9 V, V% l

6 y9 M# I* J- [( U2 @5 Z# D1 f" V ]
1 G# g' [) h- r) a. P+ O ! n5 p7 [- ~ i m
# m0 [6 L T2 o3 X) t
2 w T: @" ?* V
% S& S0 z6 b5 a. X1 g

" c& a% t3 }" o# }6 M % D6 k2 c3 T) W6 I& f

9 d! V/ k1 f: ?

! L- H& _! ]3 X: C 找个上传的地方上传如图: 4 a6 o( g" y% k

# W( n7 `. \( ^1 P# r
9 @' Y1 A) F# l% u- ~) A' `8 j 4 s8 X& t# v6 u7 s
2 V2 Z$ s8 [9 ]. J. N
8 `8 ^' ~. C! T7 f$ b# Q
+ ~; V% l* R! ?9 B! F

5 t) j8 f/ n2 a% ~6 h0 m H0 C( g $ R- o, R: b5 q

; V6 _$ `* ~4 s

# c# u, v4 c! r/ q5 @ 然后就是同样执行命令提权,过程不在写了 : G2 F8 I* ~, A" l

* n. U& S1 u; V; q! h4 p

3 S8 L9 p3 [! H4 r 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 . G' u0 P1 S2 p( J4 L, l

; H; w2 o' T& |. z0 @, C

4 T5 P, g# Y) F+ ~/ { 首先测试ARP 嗅探如图 9 P% T W% k5 R" P2 ] C$ m8 _

) o/ I# j" V3 ^" T6 J4 g, }
- a/ e7 C' Z6 Y6 H0 y ) d7 @4 [ w) c" G6 ~+ o) v
3 j6 h7 }) I# m9 c9 d" ^+ f: e5 A
8 P* F" R% Q0 ?7 p) F" @
/ X4 _5 s' A( e) {

u) q9 h5 f2 J; i M ( r3 D. b2 j% @& @4 r2 X) w$ |

4 N/ h8 M6 [" H+ u

3 f. v8 l9 F# J- P: F. O: e% I+ m$ ` 测试结果如下图: + Z1 X- T# H" I2 j3 S9 W) F

) @, G' Q: h% D7 _% t
+ n, H" {0 `: O) D9 v3 ~0 N: o , n5 U7 X. U. P" Q, ?4 T
- m) Q6 \1 R* U% G: L
/ D: T1 W c6 i: ?
* U8 P4 Q" e& ^9 q! Q" z$ s

I4 x5 N3 M R( p& y & Z/ ~9 j, h8 k. o: \( j; b

' W. W% o' q7 M+ |4 S4 u' s$ r. I' o

# c0 m K7 W. |: w' z: e# O7 E 哈哈嗅探到的东西少是因为这个域下才有几台机器 & ^1 l; g8 k8 u/ m

) q( }: b( a( |8 E2 x5 j& V

6 F% V# b+ }8 K 下面我们测试DNS欺骗,如图: ' E1 D9 |- F' o

4 K/ c& {% ^7 E+ C/ s( _$ w, J- {
" F: q v, {) a. f# \ 1 e9 e2 z; z& m, S7 A- `0 G3 {) L% e
; K/ i5 |* q6 X& R; n
" J2 u" S' Q# E: \% q
" E8 x8 f2 K- D" E/ D) B

* {' k% W* u9 Q" w; K$ C3 e) D& x & h+ K' g. i/ G2 D# K& i' v+ s

" l' R+ p; [# C: t0 ]- j

4 {4 a" c0 i* Z 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ! o6 \1 L" y- X8 f4 [ U

" \! T* ~; q6 N+ q$ b; Q
" F( w7 h2 w" R: j 1 N+ @' u$ O$ [9 w0 H/ L l
+ l& f1 f8 b! w
) u: [* ~( [9 B; c3 l
: Z/ u/ w1 _8 ?

+ [+ a4 B7 z/ I; e5 a$ f: a 1 V, l9 c; H: Z/ h' V% `% u2 S1 N

/ L6 g0 b4 h: o

- ^8 H5 l4 ]5 F* k9 Y) ^. X (注:欺骗这个过程由于我之前录制了教程,截图教程了) 2 q" s4 m: |2 g& L7 S X

k) f- \( T* T( o" p3 P

+ k4 @; x1 H6 O9 r 6 、成功入侵交换机 / F5 M, g7 u# a% m+ ]

) O+ }! L9 i! j2 I

. W' M" ^' Z3 B/ R8 ] 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ; p9 L+ I+ ~/ D. U

; l4 O9 d' B8 [8 b% U

7 n% D) E B$ |" f 我们进服务器看看,插有福吧看着面熟吧 + [4 l3 o' D: R; D) a

( K2 K+ l- o+ i, u" G6 g' {& x
# C; x3 g [# k- v+ m: _ . F; F5 f, M: ^4 W4 v) Q A. i
9 C7 `( G0 i- |* R4 \' V
5 v) U) V. w" m' f- L
3 n" u* f& ~+ O- `# O! j) E, d

S, J1 b9 W( B4 b8 w5 k3 N6 f ) C$ W/ v3 z1 A% x7 }2 L

$ X3 h0 ]( O, Q) p* @& L# N- n

% Y* Y1 t, Q6 b, v 装了思科交换机管理系统,我们继续看,有两个 管理员 & j* K. o% u2 {6 F7 K' f' G4 Z

# G. `* ?! Y. j8 P& `8 G6 V
& l) \; e8 F1 Q S4 ? ) a9 k% t- c+ Y6 @* c3 z' i
' @+ ^; f; j6 s
3 r) N% G; `. h6 L# e! _
5 K8 {( \8 L9 p0 ?# V

0 ?' K4 \9 u* ]" v3 S * x6 t1 |: e3 q7 n8 I7 n

- c6 F2 |1 J% f) p( T

) N( j) @4 \# e1 I( }0 S 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ( {! S% N. R, |0 J

, E' w |* Q, u: J5 E) ] s
: n7 v" d4 W. C& K & b, a8 f2 Y. @9 {6 ? e" t2 E5 }
. b* o+ Z. E3 D7 {* i+ ~
( M$ `+ O' w0 W6 E5 X3 b( J
* E C& [+ h; I! [

( p* o4 L$ P5 j! e6 S 5 ]( W! W$ r3 J4 H% O' m

q" e, L7 x+ P" x6 ^

) u( c; h2 l5 ? 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: & A5 z1 a0 k# Q. N8 i9 R5 G. g

% i2 u; F( |: t3 ]
3 A! h% ]( X8 O& ~0 L - I2 n6 w0 ~. z
( B0 J4 h6 h3 X" a- o+ {' W
} y# N8 I" o* c' O+ S3 ~% x
8 V3 W5 I N: W# E

8 _2 q$ K+ w, q, O 2 F& F8 T, s, K8 N# Q7 \# J

$ r% f3 }$ Z3 @& ?

1 D) M% b% G, B! _3 ` config ,必须写好对应的communuity string 值,如图: ! e$ d/ x! A1 P3 T1 ?! U/ k

! C+ ~: D' x- ]
Y9 q4 `4 m" C3 K 9 } ?& Z: ?1 n7 j* n% f
6 T4 C, @) j8 U7 ?8 m
, v2 j d6 [& m4 @4 g; h2 g
6 o9 @+ f5 m8 k* W+ n x

F+ U ^. f9 }" k2 V; i# M 7 S$ Y& M: k$ j5 D! f

6 w8 b3 X) ]3 x8 i. S$ T* m

+ A' c2 D! _9 S* H) X: u! G 远程登录看看,如图: - R# [5 R$ Z$ }3 Z" D6 t5 z3 O

\7 W2 I6 y7 t# r
$ \8 u/ o' x* G( q1 `* ~ % |; s, I& x$ k4 G+ p- h' R
) Z9 |/ q7 F1 x1 v# I
( I: m: Y6 [/ u8 C7 C
+ D" A9 c6 N2 B' H# \% M

9 e0 N' X9 w" J' i* @% q ( r5 s0 T4 o) z( G6 y) z6 Y

& u9 ?& T& v' R7 z$ K! E* K

, C, a. ^0 W/ |+ ~3 N1 v# h 直接进入特权模式,以此类推搞了将近70 台交换机如图: ! ^3 n; v# x* m) f g

7 s; K9 k: P8 s1 q& G# i3 d
8 F' Z5 g) Z+ U& w5 h 3 [( ^; [+ L C
4 ?" A3 ^3 b! t9 K) |
( |( @& x; ]0 e+ r) z( h
7 ?+ S. V! P$ U1 ^

# z1 r* u9 q4 x0 n6 N+ ^ ( \7 a, f" y1 G; P( _, w

; ^! w- T$ f3 w7 C" b+ k& d

! Z" [* Y$ t/ P/ z, q; ?9 A " F9 g- y$ b! s1 \. P$ Z

. ` p$ Y: H% X' Q

2 a% ?" Q A' }- O/ W 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** - ]( D1 l$ j1 f) A* c8 b

) ~" \, K5 o. H; }! U0 m# s6 k
J! a& m) h0 D 2 O* L9 {8 b) ^# C
1 ?+ m: B6 G7 D2 |; C0 n7 r
8 t! d/ @) y9 r, x2 ?
6 k! V4 ?( I: {# Y

/ I, S0 X: } G/ [& }- z 5 v V' r& |2 e5 w7 {9 k- f

/ x1 m U. P* ?

, V C. O& `7 M: t0 T 确实可以读取配置文件的。 . e* `, a3 A, _( h& }& @

) _6 {0 K3 c! ?& H1 M; R% _: o

8 l$ B4 _ v9 Y: x% O% A! \& J 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 $ U1 x4 j. r$ [

$ y3 Q3 G, x: M% G
$ h* {2 s; }, \: X p ! j* R7 r, Q e0 _
/ y5 z# A% e( z# c$ {. s
: \' K4 e! a m: W! o
1 z2 E! j, @ v+ u- |3 p: W& N/ K

, b' j S" R! x' z: v2 \- T 3 O5 U, m4 ]2 Y( w, W6 Q

6 H6 K6 l! C$ L+ r" k3 p2 U2 V+ E

( M( L; |: ~& |% ^5 ^4 @( k! K " H% X: C0 x9 M' ?

+ w$ a' D- K, S* w5 ^: ]# ~

P$ m9 i1 g+ r# Y$ K 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 + x w" r7 |+ `) A2 Q" P

8 P3 ^0 F5 I. w9 {5 I
R5 @! N6 C. Q9 W Q( X* K9 ^% G g3 @9 g
6 h& Z$ i4 h: ~+ x$ B$ }, X
% n' ?1 w/ i7 `% H- t7 q, _- K `
9 M' H% S Y; b* }! W9 i& X% B

4 C6 `- i; E w) c1 ? 5 z' }$ t3 I* Y% d

& z1 }2 [/ p! ^; n' Z; p: O- ~

$ G( V8 T; q+ \% ?! f3 M 上图千兆交换机管理系统。 ; t( w) P# q, r' w

+ R: q! B4 }3 W! \$ h& {

5 {+ Z0 m2 ~% ` 7 、入侵山石网关防火墙 * S# p0 m: W2 n; R, S& P

. m& w8 w6 s% N* P0 C

, Q" c" z4 }" n- r0 i 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / s7 ^: N% q( G4 F, E

& J1 q( o: A; \5 n
+ Y5 [5 X' b; ], {! Q% ~- C 0 O& `- ?3 f& q7 x, H2 v4 L% H% v, B
, \% a! M% w, l6 ]) ?
; |5 p; w: P* d, @$ d+ ?1 O
7 X. D9 p @# ^2 n5 I( _

( F- V; O6 H" |" } 4 ?' t k9 y- M+ u& y

' K$ B# b4 q/ Q

' D* _5 h$ `% ?# Q& M1 z 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' c$ H/ L8 c; ^& t7 N1 H

* C1 @0 I) ]% Y. Z' Z* w
0 {: t2 d) n( P+ L. K/ N0 _ ' I6 h8 k( }) {* g/ g3 e
4 _( W0 U% z" c- M: Y! u
4 S1 Z7 q: N9 W i0 _ N' l
* l, s& Y @4 k( f/ y9 N

7 s! i C2 Z8 V, k0 h9 F0 | * W8 m* ]8 r9 J5 o X

5 t5 h0 ^- t7 A" l3 G4 T

; y0 r3 L* D# r" p5 p2 `+ _- a0 q1 E 然后登陆网关如图:** + L9 {; d$ ~3 D) h7 O

4 q8 c/ f$ B" y! R6 R" |4 [
+ p7 }, h) Q: }: W4 V, c : `! v! p( v6 s. q' m- n0 k9 x
2 ]! x, a t: C" D0 j
9 ?* u' n- u+ _6 s
2 H% H: Q: N# w- F. N: n9 q+ x. K

! ]0 I; d* T6 D# l, Z ( g9 @' a3 m" f1 q- g+ q# @5 h2 y4 V

! g, j" W1 w3 X w1 F
B; [/ i3 w$ F m% V " t2 M. {/ V, K3 W. `8 a; ]% x
" X% Q" T4 F6 M: H
+ t1 N* K, t1 e$ Q. m3 k/ N# a2 |
% K5 K; g! z4 L9 c" q

6 ?" l/ K8 p* g( X* h! ~ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 1 Y- O& T1 I& A. k

- Q( Q7 w5 W" S5 J$ R$ r

6 y* A$ O* R$ x9 v- L3 N 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 # N) p1 O) @: w$ T/ b( A' N

! f0 [0 L" w1 k+ `% K

# j) @6 }% Q* x' s 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 6 G _2 M3 G) p3 S8 m; j; V y

) Q7 j, v) H/ O1 v
4 d# K; [0 r/ D+ w3 @- b% E 1 t, z q0 s, ~# t1 ^ E( C
9 W; k* d- z6 `2 O9 G# r4 j' m
6 n9 a4 ?* `* o. l1 m0 ~
% q e9 g3 e7 N, @$ B" K! F

9 P: k% L5 g6 ~& i ; |* f2 C- |; y$ }) m- B9 T

; a2 P" s T1 G! W. Z) e6 Z

P- b( b7 l) V. Y1 B1 ~ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 Q2 e4 @4 {+ d3 a% R

2 K4 V x$ p( f' e. S" H

5 u' I; T1 L( l4 T: J4 j1 b0 b   , H& E9 m- ?2 l9 e

, ^1 l2 T8 e$ N6 [. \9 `2 W* i

+ ~' M# L+ {7 K. U5 [' [
; p3 r$ O/ ^: P" P5 y' h

5 p0 E) k4 r# o1 q. K0 J 0 |2 v h! d: K% ~! j
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表