中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

+ B0 @2 m; p& I4 y6 D
9 d% e$ C/ ]( g! |7 v* H

7 R! S: p1 O' M3 }# A# ~

2 A( Q7 s/ t$ B0 p) | 1、弱口令扫描提权进服务器 1 x4 J) M6 o! t

) a; g" O* M$ ~+ x( l( t

/ \& @ q' v3 i: f 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ! x; v# @6 ]: n, @

, ?- _4 Q4 j, _% @8 ^
0 |/ s0 ^! ]0 x* i3 j . Y( y2 \6 c9 p+ m9 U( `! s
7 t1 d t3 J' {6 v / b) _/ |/ Y* {0 ]
/ Q7 D' G) o% ?/ A" N* K

' [6 F) x+ B, _% [ - |- H) w2 ^) p. ?! u1 e' `

! N! m5 O9 T3 Y& [: q: O( c

4 t7 d, i0 b: @3 T" s+ ? $ e( r/ l8 V5 }# |6 {

+ e- F3 W% _. E6 Y7 N) p2 O

( ^7 O. Q0 v& \ L0 \ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 $ f6 g; \$ ^* t: e' r

3 `4 ?, W8 B- {! H

, T0 m/ {9 X- \! j8 w. K! e; X 执行一下命令看看 ' m1 C9 u* j* i! X& q4 a) o0 G

* m$ P9 N2 X: h3 k: E6 ]/ G [4 c

+ S- c" h; K! g' [. c8 ] " o5 O8 T, Z* n

. b) |; @ ]+ [' J" B* V) u
' e& M; S- \1 j. h- U$ X& Q , Z' c, h- K, P# T& \+ L# M7 @
# b8 S+ f/ `2 x% K0 E+ M' w # G' {- E+ s* y( A/ ]6 N
% [' a, q$ k/ U, F( i9 |

% S' j. C; g. F7 r2 V% G 开了3389 ,直接加账号进去 & c5 U2 b4 d2 ^* V9 b" I J8 T( S

5 F) y0 |/ q6 P( S7 v0 e1 q$ l# N
. R# Q! D+ P& h' p9 D9 Y ! q+ Z) t# V' z8 U4 l+ i2 w
, Q# |% |. h- ^5 w! f( y6 N V ( ?$ }( N: } `9 l$ c3 h! D }
3 o4 q: {5 c' e! y6 G

3 q( O; N+ u: f$ O1 S % ]! `; v+ z2 G$ r; x7 t' i

: e! l0 M7 _, j3 @4 y u3 ]2 w

, @8 C1 t4 m6 a 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 + B4 W3 j+ K' v; _2 i. e8 [1 j- D

0 C( x( `4 ~' w' H
* g- w; F$ P0 q4 A' t # ]; r1 [+ p. m% g+ d8 T) c
C F. u8 Z! I0 z2 ? 9 w: W; o- f0 Z' j0 l, x3 \4 `
# y2 Y3 d8 {/ d8 e

! \" I, M( O1 ?, y3 D : Q: F2 j+ C9 ?2 L: O$ i

! F1 V% r+ D! U0 H. P# P# |

; x5 y, ?2 X H; ^, e& o# H 直接加个后门, ; ^6 Z+ [' h9 Y% [

5 c# s' Q$ Y7 C6 m+ |8 L0 r

, V: Y: Z; ^, i2 Y 7 s( N! C4 E- `( |9 C( I3 r

' |; V# {: }- z+ k6 ~
5 |4 i( a7 c! P, u W 7 ]. {$ J B2 ]0 e5 W9 I
8 j/ ]/ Y4 t2 A$ p6 V: z" w : S" M/ H5 b* q1 B- H0 ] i
% o1 D( J9 ]5 ~

* L9 L. A0 \9 i5 _8 Z. F6 N 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 * I4 a& L: C& |* |% i" Y

$ Y' i4 @2 c' b& Q# ~% L: M

/ _8 w6 Y. ~/ t) |* x) C T. p 2 、域环境下渗透搞定域内全部机器 : F2 i; W5 L2 S" M0 f. F7 m1 `

' y9 w' ]1 ~4 k7 J0 Y

$ x4 h0 W: u7 ?# u% { 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 1 K/ e5 W0 ^3 X4 ?$ m

6 u( U6 ^( F w% e/ m% l1 P
# h! ^+ q& d! M2 g" r2 Y$ e6 } V " e! }5 i/ E, }7 L1 e9 ?+ x( m7 m
7 ^% B a9 `, Q3 @ - \/ Y8 y% K" V& Z
. l b, r8 [' S4 t9 W& W5 m

5 F5 d5 r8 B* ]1 P 4 C4 J2 ]! e3 w) {. O

$ \, P7 K; \% u9 |) s( l9 \

+ o( v0 b( e0 S1 o |$ ?5 m# d- c 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 . p7 u! {2 q8 z- N+ D; i' h

5 T$ D; k8 S3 |+ D7 v+ U; d. X
, y# {4 ^, o- C _& I$ W: I2 c 6 V( |( @! `( F' o9 X9 z
& G! h; O4 d7 m 5 n* o d& p2 H. C1 q# ?. [4 J
+ f( |0 L9 A6 C7 F

5 a2 _& @: ]( e6 S 5 I) |+ l X: S: }

& Z A8 i4 x1 K- Q

0 P, |/ \6 z5 [; M& q; n4 z 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ( b9 Z' X2 r1 I. t3 n6 C

% F3 j7 q- y- ~8 ?; @3 c; g2 R, H
0 P, B) D0 m4 n, G i9 x8 C: e+ T( a
2 j! }1 |: C% g1 @+ N9 x1 g H& X! V6 Q; D) @9 n5 q. W
# V" r* y2 b0 Y

) X/ t$ \# a) n5 p1 z 1 C9 `( E' W( N- d$ x3 [! g* s/ k7 {

: a3 \. X! S* @' }1 t; J% E$ T

' h+ |% F. ^& |, t& R6 f( G 利用cluster 这个用户我们远程登录一下域服务器如图: / w- O0 M' s# c6 O% M" `8 o' p# ?1 `

4 Z7 I3 i! r$ l+ C$ O" y
) i, z# {( a6 d) L9 y 9 q& o! `2 f$ U* d' H. E' G9 L/ h S
7 W2 l! s& W- U4 C7 E- @- \ ) h& C* F. _# i
* l! C6 C9 `, }( y% T

3 J+ I0 t! t/ h G1 W2 o3 I 0 h1 u3 H7 s( j7 x: E! H

0 |$ i+ h. x B& i7 V+ t

6 P( B H+ L1 I, U8 o5 i& y 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: % W9 u/ M, k0 s z ~3 h& q: g

( d5 N- z1 i( a! }. e2 m. \9 z3 J' \
8 ?1 j* v8 d6 K6 ^ ?& a y& _' |; P7 ^$ E
) i1 u8 v. {& Y/ z Y" N ) [2 g a% @2 W7 x( i0 ~% e5 a2 O
! D! V8 u- T A: T5 \2 ?8 D: O) F

/ k) n: [" I5 S# M. l 9 X$ @, m; ^! i

0 a. G# h% G( ?7 @

& g* M# j) J$ f% q1 ] 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 4 k" r! g! J& M% q, Y6 Z

9 j6 h4 H& n6 l8 {5 ~4 v- j6 b

9 l* m J! g& O& _ * X- v4 K$ S! S

' [0 J8 l" y+ K! d: w1 g

/ {- g# {& H6 r P" K 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 8 t8 V$ z# g7 g

+ Q9 h7 ^! t1 R, d

' B4 X* \# I0 ^: H9 W0 { blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ; D; @4 i2 f) _6 z U$ L: _* g

z3 S2 H& I+ [$ F8 b; G
9 { C O6 _3 B + `. \% c, T7 Y7 B
" k" V* d+ ]2 P8 L& K 2 f8 b" t% B- @. {
" F; O" \1 ^# j* b

) ~, Q+ Z% G7 O# Q ) ~4 J% d$ Q& _& P) V

. p# }$ ]+ ]5 Q

; T/ O! q7 H5 X5 |9 `' w 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 4 N7 r+ Y! t) z5 c( b) t

8 s+ o2 x3 F* j) I5 q
, J' B9 {! x" L7 \1 `! Q k6 x3 s$ Q8 s: ~- L0 a/ }: S( I
3 O$ i5 [. d7 w& Y" ?9 W6 V; i9 s * @ r5 Y$ J4 U5 X4 ^5 \; B! C/ Z" i
/ V% {- S1 d" d

+ T R8 S) u* ^; F7 H c/ x3 A# z( l! U ! ]) K$ G+ e+ R6 L: ^! w5 R

/ ]& f: @, b6 E2 N& W1 R- J/ ?5 `

2 f4 ?7 h# f; @2 C! r2 t7 w 利用ms08067 成功溢出服务器,成功登录服务器 - d" S8 B! J) I+ `/ D

& e! }: M- e5 H5 ]: |! t
1 u) |) C0 A' P( p/ |* \4 Y2 A( P 4 d. _; Y) Y; y1 _. r5 t& p
+ `2 G# r( x9 } + D L& t# ^; j% H
8 D; m- f h- U. i A0 Q" O4 Q

. b3 w8 }: p7 H8 J $ O6 ] L& I5 @0 a

9 c7 p; Y0 _4 \1 r

* Q% Y9 j Y" _. s1 b3 c4 v( O 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen $ J% v8 [% ?+ |) i# u# T" Y1 @

, ]3 D9 z0 b; i: h8 u. A

+ a$ V/ ]+ q$ Z" \) `3 N5 Y 这样两个域我们就全部拿下了。 1 [: h! E1 ~8 s4 h8 E4 C% ~5 u

) w, s% J7 h5 z% v2 G, S

- a H) v& ]1 I9 B3 h& V 3 、通过oa 系统入侵进服务器 : u: _& _# ^ u1 Q

2 i S+ L/ D9 i- T3 S T- E1 {

! Z: N8 J& A7 q6 o+ @7 \" O- b) i Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 % k; B) |' Q# |# R! j Z. N

7 B; i/ }7 G1 Y+ ]0 Y+ E, I
: l) p" d6 x9 z# T- \/ L 4 h' @4 d9 o/ U5 g
- w1 Z6 A3 @7 _ g ; A* }; C* Z; M- A! k: Z- j
7 c# L: @. o5 m1 F

6 Q: k, r6 w0 ~, d/ o1 C0 } 4 G" ]! q# ?; I: Z- w- d: c2 g

0 ~! M" H/ u* ^" \/ u* Z

: L% a6 N7 ^0 l# U6 k 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 2 N7 v' X0 L& x$ v9 Q2 ]+ q

; k U& U8 v" {6 F6 _: n2 |
8 f( c6 @7 b V, `3 F 6 z: B/ N u3 x. N3 O' R: e
6 ]2 G9 e6 f5 u' p , v$ g4 @2 L6 G+ [2 W; p
( z4 h8 T- A; F

& J. x# B1 d! ]# X6 ~6 \/ b/ J+ P ' J5 e( }8 `$ G/ t4 t* g/ j F

2 \, V, A8 u* {& X

7 z( J4 P9 a+ l1 r6 _ 填写错误标记开扫结果如下 / W# `1 z6 I* z% M6 y

. `+ F: i, q0 |' K
3 e9 R2 p6 T8 r, |* R# Z * C$ G7 ?# J! N8 u
7 O( t3 ?: b- a- k: h% { # ~$ V& J: x# x- y
& v" |0 _* m2 ^3 Q9 s2 ^, y; y, {

, X) b6 x4 \4 b# d 1 j! b; ^ |' ^( J g, C N

- G1 w# b4 R* v* L! J8 G4 h

$ s' T e1 T+ W5 y) P1 L 下面我们进OA / b x8 L1 t: F

* v7 b) I7 r8 l! W, V
8 b& Q& y/ ] ` . ?' F: o7 h ?: v6 k
* v+ w* C) a7 q: h: T( ?8 E5 F + u! j* @9 s q3 `, d) \
1 Z0 _8 O3 x6 Y; ]2 `+ J6 Q

# k3 u6 Z5 v5 A, W , v/ K+ r9 ~& m) y6 g7 L

" L3 {# K: S0 O7 s( Z* Z" N8 S+ F

4 |4 r4 x5 n% Q: c2 k# s9 s) x 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 * q7 a0 z# D+ \; j: b* L8 F. H/ k

! S5 E& x0 o- Q* ^) _
9 S$ w) a7 \' t" \# @, |: D 1 ^. y, v( u y( B4 O# M( Z1 @! R
" s& K* d1 o1 o 5 W# r) @6 @0 _8 Y" o
$ V1 [/ p- _7 r

) R8 B( q8 M" b+ C1 n: [# Z , A3 N9 R; ?3 a) ^- u& O

; Z1 J& h" C+ K8 O5 ]$ W% u5 V2 i

) k: p% U6 H6 S" f3 F" w 0 s4 V6 ?3 l! F/ ^4 c( q% A

4 U3 ]+ z" s$ K

3 w* A5 W+ U6 C+ n# S# j. m 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 % o, e5 Z1 \% n E0 T

; B w8 b% K3 h+ T6 d; U

# ?7 ?# K# i/ w5 n 4 、利用tomcat 提权进服务器 ' Y$ x7 y9 R, ]2 k7 q7 j- g8 @

' j: ` v9 Z4 v5 \& ]7 p

P. K7 [0 m& _2 ]( }4 g" Y5 n nessus 扫描目标ip 发现如图 8 W/ A- L2 ^8 O

' J) k* v2 H. d* C7 n7 ?
# B6 l, M5 U; ]* o. W- \ ; N$ e& c; E( u0 ?$ f1 z
3 z6 B% ~0 h% M2 {! ?$ }; o , l) ^* d4 g: b3 ]4 C5 D5 e7 B ], D% Y
" g" L" x$ J2 h# M! j9 }

0 B0 D# m$ @" b+ @ 2 P `4 y4 E' v# ?. R

' W8 E- i. l" b* A5 j4 F

7 u/ B1 ^+ |7 h% y3 S4 a 登录如图: 4 x8 \5 O0 L9 L1 s5 n

' n( P( l4 V/ u/ [
$ ?4 J- Y1 x; F ! p* S: n1 y- w! T
M Q; {. Z; S0 p7 ] 4 _, {8 n5 }2 K
) K, g) q- \! g Z: @, t; U

7 e% }6 y4 H+ i; u" q 1 K8 I, D" ^) N, Z

* b. B* c# \+ i

* M% d |: {1 k0 J" u3 K2 D) O 找个上传的地方上传如图: 6 O3 Z& l; K' l' M7 T" p3 D* V

* `0 Q! f8 T! A: _" F; Y
8 g8 G) i b# _3 Z 3 {! g2 f: Q0 O* B. F+ ]
9 P$ a+ M. l# |5 X6 ~( [( g; g, g ) r8 v6 c$ E; H9 \" V% b
; S9 S9 H) d U A4 A" ^) l

( ~% f9 _. B; t, D! v3 @( S G E: o G. u( L# i; a$ ^

9 Q- y5 H4 O( `

! B! t& N; P# ~# }8 o' q% L% n, k. D 然后就是同样执行命令提权,过程不在写了 ! F& B0 P% k# W* P2 Y/ c" ?9 A

! X* \7 p8 B! H2 I5 m, T

& j X, F2 d' G0 c( a' D/ z 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 5 b/ l5 b5 z0 q) g) `; N

" Z, I7 H' o( o! P7 e8 x- p+ V

" L0 O, r0 q- d 首先测试ARP 嗅探如图 0 [# p( c, Y8 w, e! M8 ]

& L1 ]: q9 o1 Y
J& O% Y8 |6 Q! |2 u: b" K { 3 C5 c& Z: c {* y6 Y F
! T$ \0 h. u2 V $ Q% Z; ~) o0 I9 g2 A2 m
1 l, Y7 |- u5 {, A m+ u- j$ o

; @# ]1 i7 N8 F% ~1 o/ P, X* e) L * @) A+ A& R6 B0 b

4 Y# U7 ]* W; N$ l+ l5 r; o' V8 h& m

3 {7 x! l1 s. J l3 a8 ^: u# J 测试结果如下图: - k. j# B6 N6 x0 @

! X9 ~& |4 B0 o" A3 k7 }4 T
0 h6 ~: _3 {* B 9 F" W4 }( W4 [/ W4 T$ A/ n4 h
5 _0 z& e# Z v6 s' `! N 8 W G/ E( U6 q! M3 y% H
, S) L; m. ^/ ^1 U% \

8 D7 q- M+ f' y3 | + K) r6 W* h. g2 b

) }- h( A+ R3 [" i

0 K% h5 f, ]# u) l) U( P1 v 哈哈嗅探到的东西少是因为这个域下才有几台机器 4 g3 _6 { i1 Q1 {9 ~% u) n! {

" C- f/ Z7 N( { @/ z3 l6 z

3 x0 b, ?& |2 N% K. f 下面我们测试DNS欺骗,如图: : J1 N4 J5 H5 p0 j$ R$ c, S

" D4 m {6 q. o2 {6 l. X
0 p y7 A8 ~* S/ Y _# n+ Q 3 W6 n8 P }1 N
1 \. {5 ^: }2 @9 n0 I9 S: B3 ^ + K; k+ P- }; q
0 Y r. G. I. N9 o" r

5 [" G- t+ E% j. b. b8 A 7 X& }/ L0 i' m' Q( ]

) j6 x9 t) l2 ?$ q5 Z4 C

/ ^/ z. U: L% k2 E/ g 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: / q( r: ?( [0 B1 q7 T+ G/ J

( M# l% \6 i: j7 Y, j
3 N) ?; e* `$ ~$ }7 h 7 m/ C. o6 D7 q& n( d; H7 y
7 q4 d/ Z5 Y* W D 9 k" d$ W% T/ _0 ~4 Y
6 u& q8 h ]) n) Y. [

% l* Z' ]$ R! _, Z) ~& W8 w/ s c. h5 R- j( C# S* U3 V

! w" { S/ h! i9 C9 @

8 N. L$ b, c" x, N. f3 ^, X (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 W- X& J/ X$ Y3 K' s5 E

% a8 N3 V3 Y8 G7 z/ }

8 f: V3 M4 o' q/ b+ u, d 6 、成功入侵交换机 + [$ g( ?: d( m- h* m, p

, o* J) S2 t( p8 v6 j0 I

0 I+ g; W6 \4 H! I. E1 l8 ?' w7 Y3 T 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 3 f( B8 x7 n' m) x

0 X L8 V( ` y, H

: [' ~7 u3 _- t r; x6 N+ L 我们进服务器看看,插有福吧看着面熟吧 * d+ Q, A0 P) g: ^

7 @) m4 ~" [' {# e4 q
/ C2 e3 d6 ~5 S! J3 ]; b# p( B 4 p$ H+ }- W$ G# X& ]3 V
B% E2 d9 j6 J Y; X9 s( `1 m. } 9 O9 L$ j* Z# X9 |7 [ R$ u
2 `5 [0 n" f) G, A/ `

$ |8 e9 l- G# m5 \$ @ 9 ] Z# m- h1 B

* ~$ T' I/ V8 ?$ n- J

1 ?2 ?& S' v0 F( I; F 装了思科交换机管理系统,我们继续看,有两个 管理员 5 s, p9 b. g2 ~5 {# C( Y7 Y3 @* O

; n2 u3 z3 d5 W) q% N) o
' `- B% m5 o, w- J : I8 w% O: y) s0 Z
# J9 x `, F7 C& D$ w# E( C7 c ( Y) Z/ s$ z+ E+ b( x- z
( a. |, F' _. K+ w$ k# |7 a7 c

* e; P# f* D5 Q7 [ : X) P. @+ ^8 S+ F' g

, z. z6 v7 _( t0 D& p

; t9 n z* B$ s 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 . X W9 ?$ V+ [) ], i, F8 {$ f. ~

* N! f9 T% r8 e. u
7 x* Q# r$ t% ~: N; a/ ~ ( |, z) _ F5 y- y! I) |
. q ?5 e% S1 F- I4 ? * J( N1 X3 Z8 }1 p
, d D8 J0 N9 J/ p7 |

! S# j$ X7 r" p; I ) Z% K* u J; k: X

8 O P/ _' o% i7 c- m: D6 q

: j: d) ~1 J/ m( ?" {6 ^* Z& K 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ) w* ^! A8 |( r, A! q7 }8 P0 U

% d* ?' W! T& m/ _! d" e7 q$ L
6 [$ I; P: w5 a: d - z- K* |: H* M7 Z7 j9 x6 z
8 x7 k, D- Q& o% u( Y$ A: K7 x' O ) M P5 G2 e6 `" w4 A0 P% _2 _+ T9 X# A
# i$ w6 \4 d& o9 |8 d

3 C. x: L; K( `* i5 R9 G + G Z4 Y9 |% p3 C5 z' m' w

9 K1 s6 H, ?. i2 F' A

" t5 ]- n9 Z+ V ]2 [5 F config ,必须写好对应的communuity string 值,如图: 7 u0 ]' q: D% D$ [, F

0 ?) q a' n3 R
8 ^) b+ m8 {8 ]7 H) C7 `: d # ]. H' o) D4 `3 L: h' U$ B$ r
3 S/ X; L( R/ G. `5 Q: n ) o: d* F- J7 }' n7 C( z) i3 g
) E/ I) d3 P; d( n) ]1 f3 p

7 v. V2 Q. j3 p. D5 x ( A/ J& [$ J* m' A

% t+ p; C3 d% D" K! j

' O- Z9 S" c4 j" a* q 远程登录看看,如图: 3 g2 \# [1 s/ C* H5 ~# V

" X% A5 t( i8 Z+ t! R& g
- M- M/ C$ T8 b ( V2 i! i9 a' T1 ^% K8 I8 N5 Z9 K5 B6 Z
L. X$ k& d; Z; Z $ A! d& b( F1 U! ?& S' K ?/ E
1 G5 m" h+ ?, v7 D

7 J/ S3 Y9 n+ t, J& ~ 9 {/ E1 D$ c6 B( `

& h$ t: _6 L5 n2 m

( p; Q0 e$ ^/ s2 b, V% e 直接进入特权模式,以此类推搞了将近70 台交换机如图: * i2 S8 [, U3 G* ^; g9 d+ R H

; X( V1 `/ v. m2 K4 c# T0 Y
& ]' U) L5 p) K9 h# i0 f ! H, L. s0 G+ P% }3 u3 Q
) a4 r1 U* ^5 }: x+ U , c0 s0 j2 X p( r
: p0 i* j/ j! w* f0 D2 K; @

9 C; }. F; D7 _# I+ H: O! Y& m: m $ z. b* Q6 u. Q5 e

# [' F4 d; w/ L, F9 z9 a5 O

( f" Y5 Y. q g, P3 z * f8 N' ]4 g, f+ a7 ^5 W5 s5 j2 f+ J

" P! l! i3 D$ p- d

/ K7 {2 u8 W% l$ K! S0 \) P% h 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** + y4 m1 c) X/ k( e0 N

/ v' j2 g, {, P6 y# X2 z. D
( q( u2 [0 ^; E: ^ ( R4 A! a' K$ \. M! C& M
0 @, N, d+ J, Z. h4 Y ( i& J8 U$ }+ d9 `- j" r! E5 t
" }, i! j3 N. [( q4 Y/ S

' B# o; i4 }0 G7 m ; C* J0 T0 h) `& I1 i& t

7 f" W2 {' s8 y

% M4 _7 ? c$ A0 ~! W" Z 确实可以读取配置文件的。 0 I4 s1 @& M9 ], R

! T A0 U7 L& i2 W" A

# I! X, ]6 e% k* }. ~/ X* _0 U7 o! d 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 # h4 k" ?+ C; W. ]7 I

T* U; h+ D& j" y8 c# R5 P
% D! l1 b/ c2 J9 ` 3 U, Q6 `7 \* S0 Z1 t' Z. ~
: ?8 r( d- x' W" l2 O1 u3 y ( G7 E$ W$ p N5 T0 H: E
% h2 E4 v( K7 o3 K

/ K- O6 Z7 h, ~* z ~/ L % l+ `$ N0 j- P

3 U& x; J9 n& q7 g' {

7 e1 q7 a) e8 V; i , F. s$ m: `) j

5 q4 e+ g/ m2 P# r- X' U

3 D1 W o, l! A3 u 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 [) P7 I3 X" R2 Z

' O6 d- n$ \. D
0 b& Y# _1 M C0 a0 @6 N; J) M% w 8 ^8 p0 }0 Y! i7 y6 W
( R$ Q# I/ R7 i0 d6 g0 F0 B & Q. p5 y. m5 a! v5 ^& T
) G% ^! V& ]) V4 f/ j9 v9 [

9 A' @+ T/ y6 F$ P6 h 2 f2 y8 c3 M& N# H8 X" p

- ]8 ]1 z" O0 }; w9 _* T

' G9 S* Z4 n$ e) l" P6 J9 @ 上图千兆交换机管理系统。 ' M7 \ M$ f0 I2 ]

& f# {+ P6 a( g, T9 v/ Z: {

9 m4 c5 Q% T: _- L! ? 7 、入侵山石网关防火墙 * r0 ~. C) R$ ]% F$ s& |

6 k6 r! ~+ ~+ r0 N* v- z! y1 J

- r3 B& t: T% x% X( [0 k 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / r$ u( E2 ~' `

, t, G; |6 l6 K* I$ a" @
: B# E+ x. z- d; \+ i ; _. ? M9 o( K% D c
1 q% z0 x6 m; S 5 ~0 f" R8 g; n
. t" [8 J, I) K( N- ?

* c, |8 c4 x5 b4 `) g5 C4 j & L! N! Z: t# _, A% t! k5 Z' N

: g6 K' y, ^! J; v3 W p: F) Z

) ]. Z1 f( M) U& D4 y! i 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: * f7 F3 N0 D3 V

. g. L: T6 w9 _2 ?) _9 h
& t: M$ A* h& T: ]" A r ) V; r+ v1 h* J( S% [
4 o* `8 m7 b6 n) q . M4 z5 |$ X. V8 z! |
; `9 b4 x# W( B# T8 r% o" t* @1 Z, _

7 @$ u) \7 Y. g; t6 k3 K1 j / o, P! ]8 [6 F @( A2 X

5 M8 j1 u, @2 h8 D+ |2 a$ }* B

$ K2 V# W" R1 q9 { 然后登陆网关如图:** |$ U; D& R- n3 B- g

' h6 |6 j. [4 o [0 C F9 c; C/ L) l
$ j6 r% U3 Q8 Z& ^! V ; O/ ]" Y' t( ~0 Z6 A5 x7 t% I
* U. u5 h9 ~: Z# I9 F) ` / Z% U! @; s# E; \1 W$ `
( W: e0 F i; x& A8 Q' U; Y

, I$ t* w- I- R+ @! u1 {5 A5 x + U' j5 G1 ?5 n: R- j; J; o

2 H; _9 S8 W3 [ H& M1 \3 ]
) B! R* R3 j3 S! \ $ H6 p. {! Z. F/ q' A% U: S( W
| A5 H1 W% @6 z% ]* ~ ; V, I1 e* v" E( w
5 l/ {1 [* j# ~3 S3 e( c" |+ ?; y

+ f+ p3 j' X" l/ B0 y5 c% W' X% J 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 9 |+ P y3 _" P- n0 V! y [

# F/ L+ m& D$ m/ i# s" l

' G% t# `. M* u3 W$ |0 h" x 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 9 t3 V/ V2 f5 m; R

5 X* e& h( H2 @3 s8 B

0 f) x3 X6 l, X4 m 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** , L3 ]/ c& z5 A. m3 E: ^7 f7 }

8 Q6 Q: D" U# Z& [- s' T
) D% M# [+ Q% X8 [ 7 l5 S0 U7 {+ |7 l
) v2 y/ ]( r# g) o4 o) | 6 p9 u) q W5 D9 n
- g9 S5 ]1 U$ j9 v- V" _

O1 l# d( _3 M9 m" k 3 |' w, o7 y8 O

. D' c& K5 N, J; S3 S1 [ R5 d

e0 A# o# G) E/ @- K3 P& X 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 8 H Y, @$ o& y3 r4 l* j

* R; y1 \" l0 z# ^0 P! J* D

0 p! p, w* E0 i" G   7 U/ u! L( h% v4 x Y3 P0 B

% }' c3 D& p0 E" X

2 {0 @4 N( H1 h+ } ]5 |" ?/ A' L* M
& k5 I. Y6 A. S8 ~1 g: h

: z9 V- m; a$ P- J% _! Z1 L' _+ K8 v 7 A8 M: ?# ]8 p3 j# X, P



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2