找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1401|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

3 s$ E! j8 E+ }% ?! T% d. q0 [
8 H+ |% d) P/ C

- A/ L, {! P) @( y. d

& F% Y, c6 t) e9 a1 G 1、弱口令扫描提权进服务器 _5 H, |9 I; ~) N, K

: ?4 t8 F0 q+ z6 a ?0 d: U

4 I5 T# z" _$ N! |7 k Z7 R 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 5 `- u5 z/ }# o- r- K6 m

2 \( [/ W8 ^) W1 T5 b" k+ M
. A i# z0 h! g 3 v$ o' Y/ |- Z' u$ R/ ^* }$ \. {/ R
; |; o0 v% H- ?) F; w; n * n" D9 Y! Q" G3 n( ~8 T
& N3 y: e: B: a! D5 y/ }

1 G) c: Y/ `2 Y; z ; p# s) p' r' A6 v. U* ~1 R6 }# C1 W

$ y. E* U5 s j. T' k( ~: r, O+ }

' @" d) g- ?5 n; T6 W' A: Q 4 L. D) s/ \% a# l8 Y5 x0 D1 C" D9 g

7 b" R) `0 P5 f! g( c8 v

7 [9 f" u* f6 b# X: o1 x6 @6 k0 [ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 : L$ e- n7 k- a- Z% p

& E$ r5 b# p$ }/ a) K6 q

) y0 z/ s7 N5 y9 ?$ a8 l 执行一下命令看看 ( H! A7 T, ^9 b

4 @3 B9 [; z8 r8 d. G- ^3 x

3 C; v9 n! Z! { 5 I. ]/ b7 v$ S6 p6 x% c' w4 \9 y

: ?* d3 `( q4 T+ V
2 E k2 @- r; H- N7 v9 E; W% _1 U , z" f2 o. Z6 |& H3 \+ m0 J' I
; E p/ g# |3 n1 \ , l! `# ?; H# H' E5 b' P$ Q! h
# t `. I) q$ w7 Y* {1 d. }

* m% F* k/ g4 O) J$ v, q/ T3 @ 开了3389 ,直接加账号进去 9 H3 R' h3 `* R+ Y7 V

0 G( o0 M0 _' ]
' _" |$ Y8 h) s5 [5 c" y9 @ . G7 p4 Q" I5 i! m3 K
$ L* z* N) E7 O- r# g* x ) `: C% q, U9 w+ Z
6 X7 w, R- R- G3 ]

/ l9 t; C6 n& ^( U" Z/ ?9 S# B * ~& W' ?' X- L/ d. n# ]& s1 X8 t7 B

7 K0 }7 N' k& T" w8 G8 k* a1 w1 ~; q

! X% \' J6 P- I; } 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 O+ F- g* O; n/ h" u

* j0 `8 J$ H# Y# u4 m& }: R' i
8 h4 f$ B4 R% G7 P1 i+ j$ f! N # W& u0 u. ^4 }, h+ n, W" _3 e2 b$ s7 \, U
' v/ @9 n" ]5 L4 U / K8 H3 h2 t6 i8 d
: y) L$ x- }/ \7 G

, U( b8 V2 ?0 c. E! C+ S% h; N * m6 u, M. A. C& K2 ~

- x* i" J+ D0 G6 a

, n6 y7 v( f$ W" m/ A( B; e 直接加个后门, # e$ E+ |# F: c7 J$ I

. s4 h) N, T: E: i/ X

2 y6 _/ K* X, U * W& M9 P- j7 B- |: V

& x4 t8 t5 `8 Q7 j
% L9 H6 w+ G& g" x9 B " m3 T( y% I2 g2 ]6 y2 X! t3 t) P1 [
3 R! X+ ?1 I* T0 U" C 3 _& T2 \$ f6 `2 h
' j# H, j$ g! _! q" T7 p1 y* d

( o b- W5 Y1 O: \4 l 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 9 T0 Q4 i5 _; S

: p/ g: Q$ H2 \: c1 H

+ P: L+ U5 X8 }6 {3 Y! Q: Z8 g 2 、域环境下渗透搞定域内全部机器 ; v5 A3 ?$ `3 f& C) k. \+ }

( [- q3 |9 S# n2 `3 j+ K

8 ]# Z8 C+ e; ?3 c 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ' u2 Q# n( ]; w( x7 j# R

# a( Q& M4 U" P2 l5 `
' U0 m/ J4 r5 X* x ' G9 M; I5 [/ y8 B% V: _& h
: B& e& W3 _7 ]& `: L+ j8 R " Y i2 V; I! H2 ]( e: Z
% b, R- d/ ?5 u; o$ ^/ t8 l8 T

& j# v: P L! q; Y+ Y9 `* m ' k; g3 k2 O: g9 ^: U0 p1 D) O

0 i" ~0 g: F. q t2 ?5 A) X( [

0 i1 j' V/ M8 P 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 4 ~5 K5 B* n- |9 q) P7 o" o

6 K) z0 a) [, b# p2 `( _5 E
- Z3 F2 ^! f6 J* ~8 H- l ! b( C+ u7 n- _
( ~9 e, {) v E9 h6 o2 Z 1 j: O/ m. [/ L/ _1 u
4 H" b; |9 E5 d% i: H& G& n5 g

4 w1 A$ H" f" n 3 E9 k F9 R$ z) J

+ o6 c D7 J. F- {- `# Q

. z6 a5 `8 Z4 a+ U2 A, B. r4 h 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ; r% i9 \" T& y+ k5 T3 u

* x8 Z/ [, G! d: i _) m: W
4 v$ B7 y4 ?. z/ R4 r: ~ / `4 [ T2 I" K6 e
3 ]' s8 X( P5 X3 y " B0 G* T! x1 n( k
# k+ x; i8 i" @5 p4 y' z1 A8 e

& |* k( p9 ?' B8 I ( P5 v# e: G1 g5 m _

+ X# L2 ^ U6 `

7 T2 ?2 i. `# y; l 利用cluster 这个用户我们远程登录一下域服务器如图: ( k$ w4 `8 n" h0 I0 R9 @; Q1 H, g

/ q. z! p$ D( C
. y2 h; v7 t8 I- D& |2 C + I/ ]; |! F9 {* N
( e* Z; U% M: Q+ i: a6 n$ A . ?; h; `- j; t6 {. X2 `. F- a0 i
- o! }; L' Q2 d b& ?% p2 {1 J/ W

9 z% E7 l- u+ q: { 1 Z, @8 `, K+ A! u/ X& ~( R* j) q8 h( s

* V) L2 ?9 R, Q7 h p) Q

9 z8 {! R3 D9 p3 {* c 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 3 r9 D% f& Y# g5 h/ H3 @! A- Y

( U) u9 o8 \& z2 F% C ~
* S5 v1 t% ^9 {, n. c $ P. K' T$ |& x$ W
8 n9 j2 v) K8 s% a4 U3 g 3 l. G- `5 D y! X- G
; }! |) X* }7 B. R9 } c5 X, f

C# Y. \) b7 F: t+ x4 [0 _5 ]" ^ , p0 A' Z# U" ] J

! Q* f0 j+ i8 I3 c& _2 x

8 N, A4 i. k. w+ \3 r! Z 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 B* g! _! g) Q' N6 h; y& [8 L* v

, }3 }- ]1 O1 a

& c: J7 T; u9 \ P' H2 k& }- A% P" E& b

5 k" j, G; e+ w) U n2 h& l* }! S

4 U- |1 t! a( m% R 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 5 y- V* L+ {& ~; D* ~

/ H- N5 ?" p5 t* C- R& u8 K

/ q8 q7 S# q+ {7 ?% ~ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: " p3 u$ f; f' W o

5 o0 `) D" z/ X* x, |: l
, }8 i) Q# O( o$ E9 v * i; L9 ^" A7 |' |& o' ^
: N/ o1 p" E# C5 z/ `8 b " ^( C$ ?, B e, ]8 A& Y
& Q: T, U8 p* b$ t, R7 s e

/ \+ I5 Z8 P9 h: j ; z% C% ?# n/ o( w$ |0 i, A; a1 v3 r

$ U M. W. h- a

S: N$ E$ C$ }6 s( u2 p 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ) {* v9 G7 \( ?3 F: w

' g5 d& I: r3 U
; J! w9 v2 b" L/ j/ l* a) y 9 u$ ?( @$ _' ?; h6 s; i: N
1 O0 ?& \* _1 f9 h2 ]1 K 1 V4 ^* Z/ J: n9 n+ E9 O) N9 ^2 |: ~
& u- _! L* @1 K5 C$ P" V9 \" X

; M# v/ p# Z$ @ / E) R; N3 p; j' g) B0 d$ _

- I+ B9 H5 w, h( d8 G; c' l

3 w* M7 d( C* W0 ] 利用ms08067 成功溢出服务器,成功登录服务器 p+ v; g+ a5 o2 Y$ J0 e

2 q: p( Y7 ~9 Q/ H. N. r# h, {
4 z' \+ z. F7 S9 G2 g ' L# G5 V7 M( y: t) N
: ` a3 W+ K$ N: d! L 7 x' k" q( |) V. r# |, B+ I
$ p I* [+ b& K: u+ c' d

% G* G- W, h0 \$ a! \! c - ~" E: q3 T* x: m6 W$ o) p" R. \$ P

) y* x' D0 k' z3 B. B j6 m! B

# f0 ^; l0 f4 }+ W4 r 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen % H8 \( n$ c! o1 a( M1 Q2 ?9 X& [

/ V7 I! a) e' a' {$ t3 I6 n

" e7 B w: D, G" T 这样两个域我们就全部拿下了。 " q* A$ f; t2 ^; [- D+ T

; J% L: j! Y/ c0 [5 H$ L2 D( h

- _' A( U$ x$ ?4 n 3 、通过oa 系统入侵进服务器 - V8 C; E) ^: [$ ^5 Z) b' Y4 t

) a" v2 g1 c7 a9 N1 d% N, {3 s

* p) B. N! F4 }3 D Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 _# `) V8 E( s3 {

4 S- q, c0 b p- E
- T% V ]- J' a9 }% k ! \0 v& G1 j: I: n8 [2 k( S# K$ l
8 R1 q3 D* b/ i8 j P E- q 5 S2 H6 g$ p) X9 C- Z8 Q
- M5 D8 [- a/ b% S' Q: g6 O

/ l; |( y5 O% E/ d ( D) V1 ?( m F T% d

+ @7 I+ @ G O' \' R% i

+ l2 ?; F6 B) @1 R# B9 k4 @ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 0 i1 G) o7 {6 Y9 g: X! o8 p& S' j

' A* T$ W) u( L; X
- I' y& k. S2 `& g% e2 Z4 p* ] 6 {7 _# q6 Z5 O9 S" A. z
& q/ [, U) `4 s+ G$ F; L; U$ [ 4 b7 X' j; b1 Y7 D
, t9 g( T* h8 T! s9 M

8 E8 i/ z# H) F. `9 k/ J0 \ ' k. w- v+ |0 {' j

, ?) L- e4 Q2 a0 I

7 I7 w+ \- i3 T! S$ S7 v9 f3 ~0 A 填写错误标记开扫结果如下 ' C9 X9 V4 i0 R4 f

: R# P1 k7 c* k
9 D; z4 L& f4 c) S - T9 Q9 q0 z: @/ z
1 T# W" F0 S6 u# I7 r4 ~- S 7 B: C, Z$ x f
/ G, M- S) f* ]

9 h" Z, c: V3 t) [7 z1 g & H3 P1 U) z% _* z

# |2 i) d1 a( q5 x

* b6 g5 A& Z) ]: l 下面我们进OA 0 j# a. I6 h. y0 a: }5 w2 a, {

1 q5 W, J9 G# B- `$ @
% ~6 j+ Q w1 C9 a7 G 1 Q3 a1 u3 `0 a8 o2 G
$ c& Y1 ~5 @9 ? / j$ y8 z8 Y# R
* c6 O/ U4 B# j" m

/ c2 b0 z5 S4 b- {1 ?, e / S3 k! U6 @5 h, t, h e' ]0 d2 t$ x( M

+ C) \0 e1 s% x+ u' |7 W

3 X* d4 ]* [9 h, H2 `2 u 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 + H" v% x* F0 `! d2 C

; {& {. e8 {, y' V& Q+ t5 c3 S
$ ~' f% J) R" J" v& h ! h0 h" x9 Q& G' U3 `
% u5 `" p2 S j* L# E# ?8 {/ J5 m0 t 0 Z8 N( _: S3 m
4 ^ n3 L. G; M4 c, O

6 Y& k& q/ r2 C T3 c : V; H8 y0 ?: a% ]2 M I3 q

' J+ d# g( a; Q# h7 a/ I: I$ Q( y

0 Q; r$ Q1 f y 0 a; D% q& w' g, a

; x" s2 N3 T! b1 u1 e6 m

2 T3 R8 z1 Q" e 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ! \. V1 u0 b P7 l- \

I8 \0 N& ?6 n/ N

, L4 h% h) l: [8 _% p/ T& n 4 、利用tomcat 提权进服务器 / H* Y7 c4 H! o/ D U# X) n

0 p4 \+ V6 @0 g% S3 R2 t2 ?7 i: x

$ e; L V) f8 u8 p nessus 扫描目标ip 发现如图 8 F7 z& V6 @4 c- G

- w! r( M5 R* T. o1 m" o- O* T' H
5 _" X! }. H! U! S0 \ 3 E* ? @& K9 k1 D3 k: Z9 F0 Z; e
8 u2 h! w* M) R! ~ , R" x. Q% W4 N" _; ^
q; S+ E6 k# g) `2 z

" n2 ?3 C$ Q V( g7 T' l 2 O- b0 N% m6 b2 q$ l

- v0 [7 f: J1 `) ^5 x

0 a9 u1 q+ n) O3 n7 G 登录如图: - H5 V. T+ N. t N9 R! ]

; C8 M* \3 l5 `7 t+ f
7 b; Z* j0 q# O' q% O # ^9 B; M5 T! o7 v, w! ?3 d
, F2 ?# T3 E: n* } $ z5 H1 y- _1 K' F3 R
+ a, h9 S: [: G( }) Z; J

$ {3 |& Y4 V& [% {+ L : r4 c2 C0 E T$ `9 w

) o: d ^* P5 u6 r/ X

+ h& ?! T# M9 T6 z% k+ L 找个上传的地方上传如图: 0 A, E' j" E* D+ @

+ m% `! g9 H2 E6 r+ b0 M
6 ?# h% b+ l9 b! w$ C : ?9 ?' _# N3 h* {' v" x
; C- r1 k' R6 N" H1 A* d8 ~ 8 h2 ~2 A+ M' j, ]$ `& y7 _; \
/ ^6 k* d* y5 h7 e: s. l

# C) M: u, J/ z4 O- E' f( I . I' B5 ~2 C- V+ B

9 |1 f) R, z" h6 A" Z

5 I4 M5 G' R+ ]& b, y K: v; f 然后就是同样执行命令提权,过程不在写了 9 ~6 f2 R: g0 L

* G# _, m* Z$ G* `& k

: E5 U. M9 o: m( C 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 ) m0 r: u7 j9 c% v* }7 w/ V7 U

1 J3 ^) y3 a/ z; f$ L

( p" e0 I( l/ m' V 首先测试ARP 嗅探如图 $ P4 J2 k3 W% d: M* Q# s# V

) T& g- c' s! L: W B
5 X% M. k( Q- o* n % D) J# L- a+ v6 M( T$ U- `
2 ?/ n5 b4 [8 ` - i4 J% `2 g2 ~! \4 [
/ i( _0 A/ Q( M. G( W

; }& K9 x" Q, C 0 G) x5 v: _7 B }7 X1 U

. t2 w" Y! p% s- p: `

) h) z) e1 d5 d, Y0 ?6 T. V1 H$ p 测试结果如下图: * e- c; }- J# C/ w( e

8 w9 [* D+ L$ D9 R( M% ~" \. U' v: v2 x
+ P% z( U7 r; d9 V/ h( m: c' S$ f 7 Z9 r9 Z6 k4 z n$ W
: A# `, @) P' I1 v 4 U: Q: X% g7 T V
5 ]" K' ^8 U' h, a

6 ^; n9 s3 t1 [8 e h) f9 e0 ] , j5 g7 X9 x% c. X+ B) s

6 C) u; S7 H# S

$ E1 p' j" N7 t( z; z" [, f, s3 ^' w 哈哈嗅探到的东西少是因为这个域下才有几台机器 3 O) a& S9 f m) p: ]

+ i7 U) N+ C1 k' |: a

3 g c& }: T" ?; T+ A 下面我们测试DNS欺骗,如图: ! U% d- `+ k% d; L' s1 S

$ F7 S; Y2 p( X. _& A0 r
2 p: E/ m* b0 z2 k/ \2 c" A * l6 U' U: ?& C) ~' X9 i
8 r4 E& w+ t8 A ; \3 l1 _0 e+ }9 X7 U+ ~) A
6 _6 A0 R8 E# x8 ?$ G

, o0 N$ q$ J4 F$ T 8 i" v! p! n) f) |$ a' Y- u( B

p" A9 X; m% L4 [; P4 `

: j5 ~8 l$ P' ]/ U 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 2 ?& r5 q* W8 I- A+ O$ {2 b* K

( e) V' C+ V8 \ U0 E& z" s
" A5 A. a3 A. z( e8 Z5 N# F * Y) H% [" b0 b! c+ G! v& q$ k& l
2 V$ a( `3 j% L3 }9 m4 X# Q, G( W D$ o! H' P, |' j
0 I) j8 [4 I$ ]- v

7 u# T% j% \9 t& Y5 x l% F3 S% L3 t : W N/ h; O% ^0 k- Q

* W# r3 @- C4 V. z$ v( E+ ]6 W4 o# Q

8 U# K) H6 Z( o" b' \ (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 r9 ]. v1 J; o$ |3 D

$ h# V& u7 w: D$ ^. M

8 q8 i" a9 ~5 A0 Q. ~# } 6 、成功入侵交换机 ! x" m. m: D. r, v- E e

7 G5 r. ]! y8 H5 T

: S$ H0 W, Q* Q8 M4 ~) R y$ E8 U s 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . s9 x8 W3 Q0 a& F: |+ H

) A1 ~1 J* c1 K# H: e8 a

$ e: T" M8 b% }& \( |9 h+ f 我们进服务器看看,插有福吧看着面熟吧 ; D5 k. x& @$ |: _( g

! ^6 d: N, ^( s+ j
. \8 _$ y" u; O a1 g+ c! Q & o3 p$ ~7 ~+ D; p' {- a* X! @
1 z, b6 x0 e3 V5 r, ~9 M 0 T, Z( W2 P" `9 A$ G
% Y. l0 _. C% S5 q: x5 @4 q' _

) Q) ^ C+ `* H% v0 G 6 q/ s9 G* T8 f! x- W7 I( S/ [

- ^7 L2 z1 j. K2 `( q

; E8 B. \. J( \0 R7 F 装了思科交换机管理系统,我们继续看,有两个 管理员 ; Y1 ?$ ?& \5 g0 k/ o

/ E$ L! L7 Y( ^4 e: N* ]
* o0 c/ d& A0 X5 `% } J ' W, s5 M& z* p/ \
, C. M `. ]6 X- G1 H ~ 5 R: J, o5 K9 _
7 X9 \ ^/ L; W6 ~5 m$ d' Y l

. k, o: a+ @, @ & H% V# k s9 X( \1 h' ? `+ }

/ T. H% P$ x. W5 S( f, [) P

# _0 R! a/ U! H: y8 v: t 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 1 Y" c* C- H& {3 _) H

0 I5 @, f3 B2 o# ?
, O0 T6 ?: W7 j% H/ P) k5 u5 a ; f9 I* E: J" M4 P8 l) k+ z
$ k4 [0 t8 j1 p4 c5 e # p0 r6 ^' o$ V4 I' ^
0 O# H" C5 ? O1 g+ P" Z* h; C

7 ?( w/ d1 K" F! ~ , |$ @. w* H3 J$ V* {/ l& z

/ i1 h+ ~# ?! u" u N! I- P

. P6 [8 f1 p4 L6 n3 z 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: % i$ l' t% d# _4 d; {2 x

/ `2 K0 i2 R9 `* C+ p4 k
9 V( T' J8 Q1 ]( l 9 f. s; `# Y# o$ ?+ I/ ~% V2 R! Y _
4 _/ f3 E4 Y8 L & }* E5 F7 z0 H0 U0 P
5 y1 g+ A8 x5 U

7 M; M k. D! J6 O! @/ _9 l+ M 3 f7 c) g! u2 X X: S7 @# `

% M/ B& w3 W7 ? m. _0 L

9 f+ Q+ y. m. V8 g: ^7 @ config ,必须写好对应的communuity string 值,如图: 2 `9 m$ {6 i6 o# g8 D5 E

# K |3 F) x z9 {/ ~8 O
" z: Z* X9 o0 E* M: P$ ] / u+ x) W$ I( e( L1 ]1 g1 n% }
; p" O' W! `8 p9 E , o' U& I( z' K! }
0 [) l0 z6 q n" O/ [

/ M6 U& z [3 X, u# \: `8 u 1 r, p% _' y( J

9 m* }6 w; {( I J3 G4 _# K

; d; }1 w4 S. g; d5 G$ L 远程登录看看,如图: 5 {/ T% g7 E4 o2 Q

2 ]9 P* g" n* S) w' J& H$ ]
+ S$ _9 Q, G# o% F6 d5 _ ' U) P4 }% E3 F% k8 [! Z
8 O, K5 x1 h8 U, ^ # v' w* c: F3 J6 t: f, H8 u7 E
! p. u/ W1 c) F

3 E/ |& b) m- g 7 [+ t5 Z2 a6 z+ K% E. y% j

' j. Q# q, B9 ~ _1 i* a) ?4 Z

$ [0 G/ e6 c* d1 N+ ?" A6 G9 m x 直接进入特权模式,以此类推搞了将近70 台交换机如图: + g# u& d; f3 T4 a

6 C. i1 g7 D5 W* G4 ]! d
8 K. I& J9 R" o" O3 M! @- w$ e" G 0 ~; O( e* b5 k+ @& D1 N
# f7 N' A- v9 F- _* X% A+ i 8 |7 |6 k7 y5 Y0 v- ? M6 e/ q; j
- ~ o5 J9 t3 q

* r3 H: T, `- c) r; s+ p * P' g# J/ V6 s$ U. `% K1 o K

! B2 ?2 L! d& u6 e# ^; M

* L, P" w8 ?% o8 `' B! S# @ , O5 x4 i, }4 e, Q; a

. A/ g, O8 r8 |6 f# J) p" R/ r3 g

2 v% {3 E3 ~- @6 e 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** , [" v8 s, j( Q) Q

$ c. \0 V; f& e+ [ A7 T9 q# V3 [
0 F+ H, a/ g M ; Z4 v! L$ V1 v" S' F
6 A) T. P. T9 \/ e7 s9 X) X : r- f0 ^* O- ~6 V! Y1 P9 H
% W3 E# \6 G" m) W

* ]' H3 }( J6 x( B * m' P1 \2 g7 Q8 O- R4 [4 P

; s$ V3 {+ U! N

* [% b9 s2 b: F1 S; h r 确实可以读取配置文件的。 7 s) z& J! T; c9 {4 F

8 P( R! e8 o6 R

8 {0 C- U1 S6 x& Y1 M$ g1 b 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 # E+ z% O5 t. N1 c1 h0 s

$ S; @% A, k/ W8 R: w; `; l
8 u3 a; n( V: v9 l4 y2 [8 U9 U . }( W9 \4 }5 f) k
0 A1 m' y2 }& y3 P7 q9 L( ^ 3 y7 `2 n* ^7 U$ ^/ K& `& w( ~
- ^( q4 R. ^5 m r: s1 w4 t) B% [

( E' _& x& |0 m; v5 } / g7 l2 Q y; \4 v7 z8 V! D i% g9 Y

. T( T% J; r1 u1 p; f4 w

. |9 ^" \+ s4 L# W$ n 3 Z6 F) v1 n% A' f4 b5 q" D0 ?

7 P( u: ~6 ?1 g9 r( O% y5 e+ A; [% U

* G3 ~5 X4 \0 ?9 h 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ! C! L3 ]# q' ]$ w

0 I- u( Z: |0 y# A
5 [: j" }' K9 U, F1 r8 d2 c 8 e0 c0 o+ v% S4 T4 j, U& d2 o4 L
0 {5 g# S% [2 f) f+ D3 K 4 ^' U+ N/ W9 p# ~ D. j
' k$ v7 K' |9 ]

7 Z; a4 z. \+ p/ F 6 e# o, I2 ]4 a7 o- T

6 i" C2 l/ d# ~! i( b6 o- Y$ Z

; f, j* e1 l# H 上图千兆交换机管理系统。 3 U2 W, ^' y* u$ P; u" G! d

) n1 j3 j+ s2 t

8 {! Y! z ^" H9 | 7 、入侵山石网关防火墙 / L6 N! _7 B+ N8 r7 B, f6 X9 n( v

6 Q* C. ^2 u$ r0 X3 N* `

5 n3 y, A( f, a4 Y, E0 J, x1 b" x. X 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: , K1 r" F0 ?1 C6 ?4 n

/ c: E w! F1 t( m" `: G2 I2 C% R
6 d3 X* Z) [; @# D0 {) u0 H % r" J7 D$ a* A) U. u( n
* o( e+ l& o; K9 N3 n N, T ) `( s+ z, R) g! `. l2 A
! n4 e$ N7 Y6 b m' x- L

3 i$ ~2 M5 W6 s1 D/ z ( y' ~9 d% W' z2 p; } c

4 d/ I/ V u/ F! c! S0 @' F" y2 q

' O, G- `( k- T" \5 B5 m, C/ F& ?8 n 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: - B% b& {- r) m* E0 k; @# g

* a: B) [6 T* o- {& `* E
- o) j6 g: E% R & s) z) A$ I7 T) R
# w) w; Z9 r: r * H1 s2 u% A$ L. n f
3 R. v4 m6 K0 l. q# q' U

' ~9 ~# B" V! W# a( Y4 q+ R7 V/ K, X - `/ X- ]' r ~. T7 Q- D! S

4 q# h+ B# \$ T" R3 U1 q! y

7 z1 b4 I0 V% R3 p. Y! y( o 然后登陆网关如图:** 5 y G& g% Q8 \" D

9 G5 N7 E+ a" n0 |; j* o7 h c
+ _) W8 K5 d7 y : d: M( \$ W. C1 j; I+ N C
# M& s# ?$ o8 J. s2 [ t : |6 r+ s7 e2 F
. c+ G% O( Z. N% I) d7 _ p! R

+ S3 ~7 E& Z! a8 a # j3 U3 h) A, ?# Y7 v

1 f( q) k' _# l- w2 j! g3 e
5 i+ u; d* n$ H- @% D 2 o) O# b1 E' L
- B: H' h4 d0 H( H " Z% ~- V/ i$ v4 ]! J/ B' C2 c) O
, g9 g4 V) J4 I

7 U! p2 A& g3 s 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** ) A( `% L, {) J5 @

" Y7 j% K* M* j) y

% X% B6 y8 ]+ z0 K w; m 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 7 E+ f; h2 |2 M( q% \% ~* A

9 o& Z$ c1 _8 P- G& A( X

' X! N( u5 K6 D8 B( y0 |1 m0 w 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 5 D! m9 p+ j5 r+ J

! j a u. z! B# k
1 f; Q: @5 o5 k2 ~0 V ; ]( D3 L; v' V/ l/ ~
7 c) x, T% r5 B+ `# g9 D ( F7 x9 y+ {. Q# H8 Q4 G6 n
/ q1 p i* q. j1 Q9 P

1 k c) r* J% A* l - ]& G- j6 b1 y3 p

3 @" W) D; q6 ]4 X, w& {

' z! @ T/ B* f7 n" v/ g 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - f0 P* M5 x: Q8 C

0 A! ], ]# T" |" ?5 o( R2 H7 h3 ?

z. r6 a7 U h* K& B1 ~6 y, m   $ t9 _/ a H5 t! b. R: n U

5 K) o: U% O& g9 f7 u' ^- Z! V1 ]

a+ M, n V" P1 Q1 k/ k6 b; q
j# Z5 r; J# s' P

& K8 u$ m/ N, ^1 T1 g- O : I; }% R: b$ h9 q
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表