找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1599|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

$ D/ Q: e9 ?9 [2 f0 K
, t; |5 M! {5 u! M# M. z# _2 d

* T4 `0 l; x$ H) q1 ~

) i: `# J- l3 M1 e: p 1、弱口令扫描提权进服务器 1 h1 N( V5 n% w# C8 B" A# F

% l/ ~4 ]" V! C3 t- s' i

* a% J* P$ Q; h4 a6 u. T& i 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ) B2 ~0 ^) l% \+ \( X

4 X2 \1 g9 o: e" \) l9 ^2 k( A
+ }8 g) u C) H * R1 [' _9 r% g0 V6 g8 {
. K. J1 ^' E& L7 B$ A
/ D3 H9 W( n( M7 }0 m6 p5 J% y6 H
3 B' A1 x$ ]5 e6 A' J* k

2 n; G6 I% y6 Q" g% q' _ $ l; f$ f7 J4 \" ?% P" ]% z$ N

; L2 [ `9 z7 s7 \' y" l6 d2 e1 g5 F

7 J' P# ]* N9 u* V! U # a* m- C- W, @* `, P

) C6 `$ n6 I; d3 ~1 n: H

0 F* A. \* e3 l& u5 ^4 e: x ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 - k6 L8 ^0 C6 P% n$ j% x

7 f! g% Y. e0 R8 t$ @& v

1 K1 E/ C D2 x/ n( ] 执行一下命令看看 ! l! x% m) d% F5 H/ I I7 r: [/ S; D$ x

! |3 Z, L/ i6 I0 Y. ^

7 B# l6 `7 x8 \6 V ; P8 V9 P3 K% r; ~3 M

$ Q* Z/ V+ j. s! D; G
+ l/ ?2 }+ C ~+ i * A$ E6 _. C0 g( b+ W) W3 q" F; y
; q: V8 I0 w; G5 r8 E. F
1 b- q$ ?; n' |$ m4 u3 E2 V" K
6 |& t- q" }8 _5 @( ?

9 i% q$ e, \) K 开了3389 ,直接加账号进去 F* V4 T8 ~5 i5 {+ U

6 m2 Y) p7 a; P9 r7 P
, p8 u, _* W& W& ~ 7 p! y1 q/ w7 C+ k2 R
P t k |: W) g" ?4 B0 P6 j
: H3 {( G0 p0 C, s5 `- N$ y* O
' q. m5 l) Y, e! B) C6 _

9 [# Q) d, U3 z0 F9 O( [- `" M 7 N8 {" I- i7 Q& A5 p

) F' b6 Z8 v! f$ m; H# h

$ L4 N) A0 g+ ?* n% I X; K 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 F3 W6 y1 b& r3 E

& r6 N' W v6 b& O* n3 h- N( a- O; n
l' P; d; R7 [ P6 }! u8 x & C$ U) `" E! M- }# J
9 I& U" p+ D/ Z, ^! P6 ]2 Z N! g
j- w& W) e% e' C5 v) M% D
2 H0 Y8 G4 D! I) t! I$ N6 \, F

2 A' y @* t ^# x _ w% V6 i) }5 H# g

: h" M# E5 t9 y5 K3 u% g1 H

" Z# d" }( V- B' |# ^) Z1 p 直接加个后门, 7 ~2 q: H0 H. r0 X

" D# M( g, U) k) x) k8 n

0 g/ i- a. R- r K8 E ; M9 W! s6 e. j7 _2 s

+ T% L$ o5 Y0 ^3 X! p* ?
# A& w1 d5 \0 Y8 n6 W 1 Q4 I+ [- `; e4 z0 x6 q$ h
. y/ C, b8 Q+ g' C2 J
0 x; f1 i% `! a4 e# T$ U
+ u! O4 e4 c3 T' _$ a

' `2 x, o. L4 v7 { 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 $ y& k* R9 j5 {% N& m

6 ~, T, `: ?/ A& S2 y, L; G3 G

2 N7 R+ m# u6 ^ 2 、域环境下渗透搞定域内全部机器 7 g: P; e) n2 O/ |/ D; k% N

6 j+ l3 B% b' s7 y. ?

1 w8 O3 b6 j/ A2 s+ U# x: j# k 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 9 H/ I5 w1 O R8 O1 M5 j

! Z; |* N) z9 ]& ~( T
8 @( U- Y) M5 H 0 y' Y* D6 @1 k* Y G7 e- V X
% R) w" {$ ~( ~8 W
& c4 e+ l9 x W0 A5 p5 w9 `
h. I. ~ Z7 P0 G* [: ]

2 R+ r( l: R+ m) `# X 4 t; H) y1 i, x- p$ l

, |- x- ?; P% e; T- L

. X# M: k5 r. q( J* A0 f 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 / I3 S( p" }3 [# I$ [- Y1 i5 x

1 |) s1 g: V% p8 V0 [5 E
! a* l/ y+ V2 O0 z* U2 C 8 v* d' M- Q0 [, o
$ x, U6 |. w; `' y
# H3 @4 T1 ^! Q0 V o
5 K' m$ z0 X. l8 V4 n i' k/ L

9 Z" X) F1 u" X6 P6 J2 q + |% \) B" n& v! r$ d

3 F5 L& S8 a/ M# H

/ W: b; ?! I' p8 t! p" i! L7 R 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: # o# |% w3 ]8 ^. w# x9 B

1 ?- j. h: d9 a
( }2 R X5 K* b% B ; _- ]) {+ z) h$ n
7 t, @( S, j, k b4 `8 _
+ G5 e8 q+ b+ y; U
- [8 H% K4 V/ P

3 k& w/ _2 k% T9 \* s " K7 S/ A2 G4 a2 J; |

+ Z; W' w( \! y5 J& N: R' [

, n9 Q4 ^ S$ K& g% S; @ 利用cluster 这个用户我们远程登录一下域服务器如图: 2 [, a `7 P& \. N: f- a

, H6 {) k" H9 b. y/ D' ]. U
# y; b! g# Q. I: [+ \ 5 N0 F# S7 k8 u Y( B9 P D8 ^
' Y+ `7 z8 T8 H% T7 R/ \4 B
2 h8 C- `! m3 m) _" A1 T
. j. V1 G6 n/ w2 H6 u

x9 j! @/ F& R/ e) e8 L 8 G7 A( a: F- q5 m

" H# {" S o, s8 s# { T6 ^

9 z9 t: N9 S: w/ J" B5 {7 l 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: + {4 }- R x" o1 N i5 i7 ?- f" w& t

' s! C( s5 W' e6 d! b
# H- R, {' Q: t5 q9 k4 m: c% E8 _ o$ C* {! H E
) G- j8 m' k6 U2 _ D# O m, `
; {7 R( E% [9 X& p g/ m! F2 g
+ ^4 V# T9 k* x" k# U

" b( y6 d. \7 A) ^. @5 o / P& X$ f& Y* t5 |

V" O+ C D/ M5 j! o: S8 U

3 a( Z0 D }2 K5 [% T0 L! w; _- k) i3 N 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 8 g( M, x' S$ l( t3 N! E

& k. U6 i5 O5 K' L

: e# E/ J* F3 V" w0 T3 |: g4 W5 H ' s4 Y M- T; G& z* Y

# [* u V' I/ M3 X

# f) E* R h9 n; B$ J8 B7 m 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping * t4 ^" q& H4 ^$ U4 ]

/ F& {7 q3 W) x" D3 o5 E. ]

+ d8 N' h0 A b1 c5 A+ O blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: + ^" P" @' O1 |, H

& I" b8 h4 _# l! q' N
0 C$ e* b3 U6 U2 C+ E6 b - D) B( L" }* h9 l: _. q5 R6 s! c
) A- P0 i n! w @
" M7 |0 j d8 T
' \+ `& h2 D& s

. q4 Z# X; f3 }% b( y R8 u2 E$ x / t- B4 |' x# o

% ]* B% ?- m. S, f, `

( H4 J# ^6 I% Z# p, x, n 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 , x2 N( I: O& O0 ^ u3 T

& K% h2 Y2 i. r9 {; o# R
; k& K. U- R% g# [8 I9 m 4 H4 D1 T% r, S/ I5 b
4 e3 y0 p% A- [4 ^0 Z& z! s; r
+ M8 n' H* p7 F! O9 d2 ^1 @
& b1 ]( Y3 S: W' m

+ P4 S$ A1 A. B! C9 k1 A1 t. f 4 M% f4 h+ X$ N; l! K0 L

/ }: T1 p+ E( H* s& a8 A

/ m& ~/ p8 M' R, O 利用ms08067 成功溢出服务器,成功登录服务器 9 ~6 V. |/ w; T5 [% e$ x

# ?% i! V8 Q, ]
J2 R, J* k. o/ N2 {9 t2 }' s ' c a6 S# `. u* _4 a3 n
) d( h! Q0 r; }3 Q% H: M% P! h
- l ]8 {, R) x8 u$ h- m N
# W- D* G/ @' C/ {0 @: f& o

7 C: t; K- n# y) R5 [ 1 [0 n }2 ?" m: X8 T; o

' y5 D# f$ I% j9 _( I

2 m/ L4 W. a9 D3 n% b2 B 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ) w. W# y) G+ S' N

0 A1 G) T$ O$ L7 o8 E

4 `* ]9 @+ M" L: }" L8 j( O 这样两个域我们就全部拿下了。 9 c8 P% R7 b t- ^

" Q! [4 T ?' Y- h: m+ o

' |3 r4 R: o3 U. B 3 、通过oa 系统入侵进服务器 $ `1 x0 A: m; _" U% k" G

, D6 ~7 Y4 S" m/ r

' |8 E& Y# |* M0 @) E9 v Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 3 Q8 F7 U" Q+ J& e

) Q; ^* i, X1 x _' K* Y
J D! ?) j$ _ c ! |* C, r( ? W0 e* h2 j4 H* V
4 `& U2 U Z: W) h
+ ^( r1 w/ G/ n9 Q# B4 G
: {4 K. p# A/ Z6 I0 S$ h

3 N( L$ b! l$ G/ A$ |6 B/ M : Y! M0 I2 y/ U8 t$ m! S

/ @. y+ q! U" m

{; E5 }, C3 p8 y 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 n) x" k5 o! x; m, w& b

D, \( Q" K4 a* Z8 v
* X$ ~! }+ c' Z0 j; A 9 m$ E+ ^' U7 m- J H! W
0 E9 ] y0 z9 q: |( i' s' G
4 {/ X# x0 d$ a! |8 w4 Y
/ q1 _7 x' n3 n

, @# t* |1 b# w* F( D* s 8 Q0 `5 e7 _+ _ O( o

/ L# O" p# V! v

w* {' A. Q" _, k( N4 D 填写错误标记开扫结果如下 i) f+ E8 I2 X/ W

; L- X1 L7 J' ^2 u
, x2 K4 m9 |, A$ y / E1 `4 M; _9 i4 c
& Y& x- \6 Y$ D+ u h
: C2 \; y9 ~0 x1 A, C
& G+ n) w/ j. W# Y" n4 |

) {. d$ h: \) i8 J ( g8 v+ Z2 s7 [

* s. G+ c" K$ ?, a5 \/ y

! T9 C8 B' |. s G 下面我们进OA 4 s" h1 Y2 E$ V" u: S

3 V: | G9 J. P# p
+ X# w" d; w* j5 D! K- Z + ?1 w! L- U; ?/ ~ q' b9 }
+ E5 C) C4 D& O; Y7 x& a
6 r1 G8 [) X% S' U, _7 c. k
4 O8 k8 p3 ?8 S

5 x+ U- t8 j: W , I" u7 U5 s# S' L4 C

0 I Q; D' t8 E1 W8 E9 D7 w

5 ?" M" z+ E% t: X' s) E' ? 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 4 M$ r5 C$ F: e1 G% {

; }' T- a+ ?4 H$ Y
; c2 I: U* \- c0 p$ G2 p+ q, H1 H% F 6 F! u# x1 {3 z( A
: m7 M8 P# X! J' C4 K4 h
, K2 E, n/ f7 u& H2 X
# l7 i0 a. s2 w

: q( ^8 m3 G6 E C* v' R6 T * _$ H9 I7 X3 f

( j; V K! n# K% c

& u( \" k/ |. j9 X2 y! r 6 @4 v6 V# }- n+ _! I

2 u8 I9 e) b W" m

0 b: b: W8 y% ^5 V, d 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 3 M5 o5 v2 D" ?0 ^) Z( p& b

W. O. I( m% @5 t* C$ R

1 C/ B, ?: B* @- s m# E" O 4 、利用tomcat 提权进服务器 1 [2 F0 J0 F/ e8 P

: {' C( u6 D q; w% C

' R; I+ G( g0 t) `, M nessus 扫描目标ip 发现如图 ! m) c* @$ ?9 f+ y5 i8 j

! h5 }4 @! E& [2 L" F3 p& |' Y
; O+ q- [9 K9 D Y' c4 h' J , t- W7 T. n D7 P) G) M) h, U
0 x; \' j# E$ N6 t
* E1 J! W$ B/ e! G! |
- u' h9 {2 i, L2 a8 ?- L W5 c

3 w( c! C8 k& m, ~9 w6 N5 B ( K' N: Q; }: A% {

9 G% i: o2 |. _

$ Q) ] U* ]" \. m* V 登录如图: 2 s$ [+ h4 o( @

, b* D! e$ o& f9 c" G( U! h
. m7 F f3 R( V0 {$ Y) d1 } 3 j. {4 R! p/ w2 d
, s0 V+ Q0 {1 F# a
* _1 |- Q% |2 A+ [
$ a2 y) i( p. \% i* R3 @

& y$ {" Y; X. o- @ 6 g6 r: e3 V2 z9 H/ R

m4 @) \, Z; s

5 Z' E# R( r% Z; X3 Y* r, q 找个上传的地方上传如图: ' A! B+ D- x$ q4 L

, k& w7 }6 t3 H. H4 _6 A
* C' z: v5 P/ U' S ) K, x/ \# Z' @7 [8 W
/ C9 W$ [+ {. P$ R! M$ _
- k0 ~$ X0 W. }+ [8 i. L
3 |' d) o5 l* d( \- M5 N: |) }' p

: ?: J2 q, o+ o7 j4 G/ ? . i' r8 r1 E% }6 d1 t! h$ {. ^. K0 q9 ^

" A; u. n1 c) `8 J4 I

; w7 w# Z) o* m5 C% S 然后就是同样执行命令提权,过程不在写了 9 E/ J0 ?2 {# r2 ~

" H0 M# i5 r5 V6 t) ~

" R/ p! N4 s1 w* Q- E* {/ P 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 ; \- z7 r/ a$ J( v+ Y

: O$ {/ ]* T/ K' X O) L0 j0 K& ?8 B

6 ?! l P5 o: x 首先测试ARP 嗅探如图 6 w1 y: d. d2 F& @

4 U1 i" c: Z3 L$ R5 a
~0 Q" N" P8 g* }' Z* v1 {" L # \6 `! t6 M' S6 N
6 w: I. Z O' }+ F2 J, }
3 C! T: e+ m: E7 p5 [9 h
8 ^8 Y% Y% T# p& ]

( o% V8 u/ f7 d' B 8 [7 }4 I/ q1 u( e

$ w/ C, V$ G9 r. V8 C

$ f; r0 B. n X5 N1 S% v2 I5 O 测试结果如下图: 0 F% i% O2 R9 {

0 g2 o1 F$ ?; a4 D/ j1 U
+ ~! d' k2 V) p; C, C# x( L 9 z6 O T P- I4 \, J: d
+ ?3 M' f3 Z# W( W0 y& h! R
4 W: b/ o, H7 ~* m
: m. s. j' C9 D7 ?' g. V

8 E% R: | p, j4 x& }% {+ b2 b b* u 2 t6 u A4 y ]) l, L

3 e d4 t4 o1 f+ I" j1 _( Q

1 W" g9 M0 a+ t& \- A" B+ b 哈哈嗅探到的东西少是因为这个域下才有几台机器 # E$ r% G+ ~6 J4 K* c

8 E m6 p4 n" H x [

+ c, h. x( {4 h1 {" s* k& E; W- ` 下面我们测试DNS欺骗,如图: / ?. W) \& \. k8 `' y

+ D- C' ]! W% z& n5 L; N( Z
) \+ }# G! j, Y2 r1 T 6 i( y1 ]9 l( `
, l8 N) _4 o- }9 J. ?+ L& I
% R) ^( C3 H8 u0 v2 k
7 T; y" X" P6 _/ }! [& N

2 w s" w- t9 d2 e o 0 b7 F! I$ m, t0 \+ Q" v. q$ R

; [1 B0 H' c+ T; F4 x) X6 `

. a8 B: f* L# o 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 1 `' R7 e( z, G& N0 B* f Z* e

) a6 P/ ]7 S# g& Q6 u( E& S$ N8 g
" k! x9 _1 p( T z& L : v+ R) z' i' g/ S8 H
9 K* Y' p5 D& M }% M1 V% T* M
+ R4 |3 m; q/ [' H
: u8 W' E1 ?+ y% g" y+ \# {

2 y$ N g3 ~' J9 C r# B/ r6 |) }3 e5 C/ L3 V0 {3 T

: ~- @+ \" a. Y7 M" O7 Q# f

6 E5 x6 U6 b( U+ Q/ @8 p (注:欺骗这个过程由于我之前录制了教程,截图教程了) ) t+ d1 Y" y- u1 M q1 {

- R3 l$ a9 y0 O: I

, ]0 F9 F$ X K, t 6 、成功入侵交换机 - D8 ^' X! e) `/ \) h

1 z/ d1 c: R; l9 d$ l5 j: s

: \& B% A7 m% X8 {& f0 r 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 3 V' N5 Y, c- z# |/ E

0 M/ ^5 g. f( |+ N; D

\! s% X) f9 [1 ^! [ R/ e 我们进服务器看看,插有福吧看着面熟吧 1 E; K! |/ W8 O Q& c1 ` f$ ?1 H

# O/ p- f! i3 p, H j ~
& h: f* |7 m1 V8 w3 o8 } 2 K& i* V' N; c+ B
4 b0 q n, L7 f# L& [8 i- b8 @
, L B! N4 f7 Z
7 q" w) t. d7 T% z' x6 N

- O, b4 S5 V. ?6 d3 j. |. S+ T $ U" n- j, V) v2 U

/ b$ n6 a+ [9 o( p9 b

6 E) |. ]) U+ @. B0 u* b 装了思科交换机管理系统,我们继续看,有两个 管理员 8 k" _; U- h0 D

6 H# D/ X1 r2 `1 N& ~- y9 c8 d
, s- Q( O+ V: B# D' c $ y9 Q; [* a1 Z+ d% Y1 h
+ F0 b9 Y N6 r* C: {
( o$ D9 x: t- _0 U0 t2 [
: R t7 |+ J: \: F

& [" n- m8 Z1 h, G: M- d 9 ~9 v( ]; g; [; Q

" b5 b5 K& X0 m8 ?3 g2 t* Z

3 J) j5 x& L' N 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 1 w" O' J3 ^; `; S$ V

( `. g" m0 `) M+ c
, h- f2 c, b7 |# h, i3 Y! r 7 W; Q8 Y6 O- g8 A: v
" a, ~% q d$ Q6 b
9 R$ p+ s- T, g, f: J2 m& ]
! {/ N9 [6 b0 ]( m# P Z' e9 x

) u+ K7 J: E) D, {$ J * u+ I9 C/ @9 z# b' K

, Q! @! O3 F8 W" {( v, c

! ?- \- s8 B0 W. V2 w% z 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 1 U. j2 e8 Z0 O( ^: w r

2 W, h: Z t4 I3 }/ m# X" K
% R$ _5 \, J( A % H7 H& V: e" e( K+ b1 o, l
( {$ b) A3 I8 D) ~( V% p8 b
6 R. W2 o" v' K; W7 T% l
! Y; q1 b; h9 E, \) D1 a2 J6 R

4 y& n3 I* C+ }9 w$ {/ @7 A ) p: w* Y1 ], p! H. L" x4 ~% q

- F: k8 B R7 V9 F

1 y! l+ ^: N) u; S; | config ,必须写好对应的communuity string 值,如图: ; v- b5 N7 r0 F9 i

/ |, y+ {1 S0 H& F7 m" g, J* r
4 T* t+ l8 j, D) X6 f 4 P* j1 t+ {6 |5 X% I, @! c' i
) Q$ F3 l3 Q4 B" [6 K
2 J, I# T5 H% M$ |* S1 f2 @
5 ~7 z* ^0 |* R: T$ B$ x, T v# q

, g" Z7 w; w) o4 ?: \6 m 9 G: k! ^2 p, `

* P$ H4 \. L$ r

6 W& u& C* d/ y1 Q- l9 Z4 d 远程登录看看,如图: : D7 o4 |3 ^5 U) L3 T0 ]

\) p) @8 z% v1 W- U
* w8 q9 i% V7 c# O, i" G: t ; O; t% A# b6 Y, ^3 T1 j
3 _7 h) [, ~7 H6 {3 K2 }" M
# Y# J) n6 O( S) z1 ?1 }( V
& z. E7 V) ?* x! m. l' p, `

@1 o* v, l+ C $ ~; H$ W& I, r8 e- V2 z) E; N

) x; s6 E" v3 R8 o7 i2 @ h

9 i1 h; m, G+ G1 N" E2 g1 F 直接进入特权模式,以此类推搞了将近70 台交换机如图: ! h% E- [5 s( |

7 p* [) }0 \, \7 N7 S( k3 C7 d" e
0 m4 n' k9 @9 ? - t' W5 Q1 g( a Y6 Q# U) z
' ?+ E3 s6 a B u9 N8 H& U
( Z: g" A$ m& M4 h
( ]6 j2 n! k4 I" V8 [, S6 d

6 [' L* ]( s I6 S. ]: ? : k C5 _) Z& r* Z8 k

* }! J) ]: `5 u, f, m @

! G8 z) z3 a |- I8 C! m$ u. e 5 v/ m+ I* A8 b# D1 H5 g

" b0 g; i, \! g

" C; b" B0 I9 y% `: t3 ~4 q3 v! z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** , U, X( F* K" \) |% q8 I

" O- r, K1 `5 A6 q3 B% X
6 U0 |3 N9 [: I3 B' D) f, g% N" r 2 e. W0 l$ J8 D$ u1 _
+ f' F2 `' Y/ c
# D0 G( [4 k1 b+ _: }# i' ]
" l9 y1 C, F/ ~" W4 J. i, K8 a' a/ H

: N# r8 `* d9 m4 s7 x2 R$ k: Z 1 c h. A3 j# ~0 D" ?* i/ ?) C. c \

) u+ K7 h5 G2 J5 |$ |

# Z7 V4 S* R$ I' b. |9 s1 Q 确实可以读取配置文件的。 v0 o+ `" D; Q7 v; r7 }" }

# i+ N' V/ A9 f% Y L$ f

4 j' i/ i7 ?$ J$ C ^+ y 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ' K; ]1 M) z$ V2 g

0 e0 g. S2 h* j
; b9 \1 }4 L0 A. E' ]* ] & v( i$ T, c' J' u+ e- B
2 w, m) V% ~0 j1 _8 R4 ?3 ?' R
; U" I6 S! _) h( O' ]4 f5 G
5 G" s4 J$ P" }- v: Z2 [; W* r# F( X

- U; Q9 l9 c; G7 ~* ]2 M! f ' B* y% p9 a, J4 |1 P

9 Y! U+ d9 u6 T5 p% D

& C" O1 r1 l# r5 C& n + j2 ~6 _6 y7 P& {/ p

9 @+ l* c. \8 s9 _# F

0 K9 o( M7 ~. | 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 , X5 G! K p N

! a* l+ z8 t3 l. m
3 n$ q: E. L6 r! n9 e8 h R+ M6 A) G$ f7 G( E" E# R
# w* ]" w q9 F
4 v4 E" E) \- a! K) I W! s5 R9 ?
- t! h, B" K' d6 }# r/ U

$ W) u P; [3 `7 e+ ]" O& h. L . y0 N, G; U% F; F, \

1 |, v- e+ e4 i% G

" J4 [6 y$ r( z0 [! z 上图千兆交换机管理系统。 0 Z5 @$ \! i! a3 X

; _/ E! m4 c5 }% Q0 O) A

) R# A& x7 c- F' E" w' } 7 、入侵山石网关防火墙 7 n" f3 i. s0 `( e" O2 A* p7 @

# \' X, Q2 E; S; m; F% g% t

: c% W# |# t, o' ?! _. V 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: & ]2 S4 R k; ~1 E8 y) A5 A

$ ]6 U: G9 @3 a& f5 e% A* ^( j
: `7 B1 }! _5 j4 @ ; C' X: ?. e& y( V w1 s5 F
; \- e2 W) d& \7 O) {0 N3 v* b7 j
( S7 K( L0 `2 z; b6 C; q) i. r
; k i% k5 W( M/ w

* M i0 {& f8 u 2 h w$ y8 i; a: c

( H; _+ U! u6 Z

6 j) R& Q* W$ B* u) C* X' V( P/ e 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , B1 @& D7 l0 o9 d1 l2 j

# e! u" }. ` i8 i: t& u2 s
$ s& J+ r% {3 i9 f# X * `* m% l9 g# T6 q3 Z
9 ^3 F4 ?. P2 [* p0 A" M- Z% y
. N7 H4 v+ ]0 N- j1 K1 S' t! o
. F n B c, B( x* \; B

L3 q1 }% K. L$ E) K 0 f1 s) w5 P: K: W

. e+ f1 D" n/ P5 k; Z

& s1 G3 M" L5 r+ {; _* E. i; u: [7 R 然后登陆网关如图:** 5 p/ I% C1 U6 s

1 k/ A+ ]4 C0 P4 G' D# ?
; C6 O( v O0 J- s/ V4 K # S/ I$ _- i! Z D9 d; F
& d1 \0 x; D, \
# s4 m0 S7 g( C0 M! S
# T+ F& Y+ A7 Z: W3 \) p! _

) }! j( i; S$ r, i9 z- W; J ' D9 a- Z0 g$ L" Q: O

9 P/ p* n1 B7 \2 j' B9 S- D
8 S8 }0 l& @( x! N8 A: T, A ( [1 ~: q0 I: n7 |3 l
6 n. n# `& ^- Z
- \: S0 O, j5 T
% G. C9 a: H6 Y

/ R, V+ e6 o. z$ w/ D7 v5 ? 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** % _( i( o5 Q4 a" R2 l

7 V2 L& `* B+ Q

, ]& n1 V$ p* `# v 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ! ]+ R4 R+ O2 g7 Y

1 B! q( F3 I1 h$ t0 R

. F( M! w6 H9 z 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** $ ` a' y$ q+ _ ]2 [

7 E' a0 r: a. a! q' ^
2 p0 I2 G c9 o8 h% r ! ^9 D( I& J x/ j$ ? W0 ]8 _
2 Z3 x; w N/ j$ k
4 B, G- v j4 k/ b1 v1 r
1 g7 f/ C" {5 q- a8 {0 w

( U2 ~2 \" J+ K0 L; D, a , {3 W9 i" t A- Y. B& \! b

/ I$ n* A) K! f. ]( z2 m" _: f! D

" W7 ]0 `, ~1 j4 K6 ]# R 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 $ D3 h) ?# y* s8 Q

( S8 P( i/ B5 `& w7 o: k. q

# Z. M; \: o) t/ h% u   " S; }' Q- }7 b3 H) K8 _4 [! X+ f

3 o8 N9 ^2 a" T4 s3 w" g

: _% C8 R; m; K* v; ?* k
6 ?' o, s, `/ l+ Z2 {! v" T

! d5 Z& m4 M2 W) P5 P6 c* p * A; L6 n X9 N. w" _
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表