找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 2398|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

7 x6 @& u5 B/ q/ Z* V I* M0 J
" A0 w2 v R Z+ f2 c3 L

; f1 }/ ^: J b7 j, P' O

6 X) |& V: e1 s+ ?2 b 1、弱口令扫描提权进服务器 9 P7 D7 }6 \6 [

; u5 \& b$ C4 M2 y0 S* B! v

! m' c( e, A* [% _ 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: : A; l( w/ Z! \1 Z

1 M3 U+ ]' K! `2 x7 _* z( _- {
% p- V( c; N" I! U * u. j; F! H4 I! i" N/ e, o+ E: \
! W2 i9 ]. N7 O 1 H! s+ B" t( D' m
1 x" O: K. p5 h) ~* q

) L9 e( R3 w* k X& o4 y 8 E; c5 l1 c' R1 I, U

3 p5 j# h N( o6 S

2 Z% l- }+ c- R8 A. h/ L- i " a- Y& O5 x1 W9 q

- f; ?4 d5 a! B

0 h5 V+ i6 I# \, Q! X+ @* a ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 2 ^2 O, o/ j) J% }

# ^/ g! M s: `) w9 m0 T

; w \2 a& Q3 m" H 执行一下命令看看 3 I$ v; K4 D9 D+ z) y- r+ w+ U0 C

6 u- U1 I% h: c* [" R3 ~; q& M

4 k# f9 y6 u3 ^- H$ G : O: W6 l0 i+ [8 D

( M1 P" y, `( K3 B; Y
; \: j2 A/ m$ r" X0 e 5 A- T0 ?( C4 w5 }) Y0 v5 o6 ^& [4 f
1 ~* z6 W6 f ? U " [3 Z0 Y, |) E3 p4 H0 d' t
- f% W; A3 P. A' E3 ]6 D5 O

8 E' A& ]* {6 W! f, C 开了3389 ,直接加账号进去 + q. v' v0 W4 n9 E

: j! L4 ^$ K! p: K+ E
* i# c+ w- e" _/ h 2 b0 v& I2 @9 Q0 Q% ^
7 J; m" {6 x$ t: f; X . l8 T% L# {' }' t ^
9 Y2 m/ ?- Z+ q) t

' q! C: U- P6 i! j# m5 d + z- ~+ Q7 i8 S0 u" H" P

% u2 p n s' b& R, }2 A

! N" J3 v, k7 _' z; [& ` 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 p* P) M* ]# q0 t. T# M9 x- o6 U

+ Q/ [* @# M i; \ I' E
( O ?" N2 _4 d: q9 [ , [* D) m% Z- g+ f; r" z- a% W
0 h+ { m% Q: i9 J6 Z n: A) f 3 g" |! v# a/ g" V) z3 m% o
; v: E6 h3 I( s' y

8 J5 h5 S7 ]+ l4 S) Y" F6 I! J; x . y& X) e: b/ g$ C n

$ v9 V; I' M" z( @

+ w0 K7 l0 j$ Y) I. T5 V. r' o7 J" z 直接加个后门, 3 B! s2 B; Z# H; D" t. F3 p7 }) K/ K5 o

; V& |$ d! Q* k, M- s$ l

' A2 Z5 F8 A. W x. F$ u - \( s+ z6 u D D& J4 D% e' u

2 q6 ^) Q7 ~0 N0 O7 X
0 \* L2 X; m; r" b+ | 4 w5 b1 C$ w* H
, | z8 w" V, v. i$ L 5 |2 ]+ x6 w* Z1 h3 b
8 p5 n1 L3 j$ X0 G# B3 z$ z

% s6 n) ?& l' E5 P 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 / z. L/ [1 z2 g

0 N; V' v+ L* R W: F- X$ s9 z

- U, q# r, k. O+ a5 n% f 2 、域环境下渗透搞定域内全部机器 6 Y/ H8 }4 Y+ Y( u9 C8 P

4 z( H( c* P) Z# Z v# t' o

g! t* r5 s1 a, X0 i Z5 H 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ( {1 S2 E( o, l; p2 \0 Q9 m

4 R9 g! y7 |" Q/ s, O5 r
6 V8 O2 c7 x& f ) _% }5 J4 i$ X
3 ^9 d, A( k, ^. K/ n! ?) F # j& X$ G7 J+ }
/ r7 o7 J4 U+ n1 b

! c3 l2 s" ~' L y7 B3 o C , p7 R1 a1 m* \* u h; M0 ]4 v

5 L$ O% c! b7 T+ T2 `

4 k# V' ? \# H/ W( q: E: n- v 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * n+ u7 p T% @( k. b) {7 j a) p4 k/ G

: `4 a* d6 v8 A" F( ]" b
- p/ D4 s! S' D# i! I 9 {( l, o }2 k" O$ g% Q+ k
# k% R5 E8 b4 g' o" \ ; @; b$ Y) O, P) S$ \
+ o, ~; p; e0 z" p: {

/ S+ H0 I! X5 j3 }2 S, e" k* W + M! a5 ~) W# ^, y4 W. j: p# L1 g

6 A H( f# u6 _4 I* _; k* X

9 D0 Z* X/ e" t0 p: R4 X+ B# r2 a# { 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ! z K* v5 {4 e1 D6 Z1 Q

8 x8 n4 X+ Y5 z( j* t1 F
2 p0 ^" Q' L' I, ~" P% @: { 3 C+ f9 S! H4 ^. V4 \9 ?
( i5 m h! X1 v0 W) |' U' F & Y4 G% Z( d9 Y9 _$ O
' b3 K! K/ d% v- T3 F" @5 w/ f

' d2 }' @6 t& r0 y6 {1 z ) _" g& p% U9 h, E

# G& H: T# V/ H0 Z& t1 c: A

( n! F0 d! U* w# S% V! I, f: u 利用cluster 这个用户我们远程登录一下域服务器如图: 1 R4 |. f3 ~# Z7 Y0 k3 i1 J! [0 P

' N& C. [0 @5 L# u6 y
! z! ]+ u i6 a* n 5 k0 s* G t$ I9 B
8 X# t8 F+ y. E' f* B 4 b) s, S8 b$ r! X0 v S* W
2 C" [" `" T, G. E

; o& A' y- E1 Y) U# }( s # u' T: |# e2 s1 Y

* K4 f# J, x" I" J- U

5 x6 s: v- L+ R% Q 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 1 m) Y/ e& Z5 ~) p6 B& q

) c0 a# m& |3 e9 q* {7 Q
& o6 Z5 `" d9 o3 b1 g) [' C ( r. T m4 F# d0 F: ^8 e1 M0 L" t
/ ^3 ^5 ]) I& {8 H! v $ ]. E% U/ H& X7 n: u
5 w) l. L L. B- Y

# y' w2 z2 y6 J! F' k* O$ p0 X ' e3 Z# s6 ^% W7 X; A6 y

2 B4 X! J- `# N+ {0 J( i u8 P. _

1 ~( v# Z& E, j 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: $ t: Q4 f: G$ H' s- a; s& h; d7 j* W

# b, U0 i" [& V. H* X o2 `# R

0 i& |& z" O- `6 q7 y3 Z7 A f, ? % a. H: D0 w: r; I- V2 P# N

0 Z# x* w% ]9 W# Y( M

3 u7 W$ H; _- J6 w 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 4 D3 s* h5 U% I+ q

( k& D" D- M% G1 W/ [: ^( X

h0 k2 _/ j, e% _' j3 Z# Z: G blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , i6 ?8 x1 L8 l8 L$ v: {

/ K2 g5 j. Z. w o
3 G# q5 i- X& y' r, E3 ^! i- r : y/ ]* G8 e9 p+ W
: [- C S4 F: G7 ^1 g/ B * Q& `4 K5 Z1 d/ s+ M" c
7 ^* h* L. H6 Z# Q6 G# t& E

. O$ z6 A; `# T3 E, x+ D ( }& @, h9 S4 m) g- ~7 Y, S, ]" h

9 Z- }0 d; `4 R

( \* e' O& F5 b' V* w 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 & Z* e% i1 c0 Z6 r

6 g" L6 I" p& j' v& ^1 ~
5 I# I! {. B( l E9 B 7 t- o* |3 c5 f0 @- G% d, \
! [ w. A) \* b' w9 B+ z# A { ' s( h1 g) q B8 ~5 _ n
$ Z) r" H% Y0 @) R2 ~$ ?, u

- @0 m# j* }0 O1 `5 X2 i $ h1 N1 M- X/ d% i8 w1 }. x7 [

8 d) V- j+ U0 T$ b+ Y

2 T. D9 s/ V$ M6 F6 Y/ w 利用ms08067 成功溢出服务器,成功登录服务器 , j& Z- Z, z9 L$ a& r

9 ^$ q, Q4 i) V) `
3 H! e0 Z! j- r# X & _" I; X: i: m
# b# O2 x0 k! F " x# h6 A9 g3 h; W
# D! Q1 X* _; g) @

2 H' o9 [. Y( e+ E- n) V1 j; J 5 k: I/ ]5 S- F5 ^0 J' e; u+ e+ @

6 @; n6 q6 S$ f; z7 g2 m, {

% n( R4 }2 Q0 `% r 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ; [1 Q' E- K& \! i

G$ }7 _9 h' v: t/ M E* f2 x! M

, Q( r! g( Z( K) ^ 这样两个域我们就全部拿下了。 0 A0 v) l" b. A

8 f% T! O. `1 b% ^4 [6 z& B) i

1 q1 N+ M& F1 l- |9 l- g 3 、通过oa 系统入侵进服务器 . t: ^6 @/ q" @& q8 \/ N

2 H: @0 N5 h1 ~; [

( X3 j! c3 ~0 |, e Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 9 j4 t! p! W- m" ?, [ t" t6 p

5 \9 P. x+ l1 k- z5 K( l" w
2 n1 ^% j5 G- z: k. P7 j+ a( B * y5 l8 p' m6 l3 u: a; S
& E5 N" l4 e- B' X# f / P1 R3 H! O; X' v G2 T9 P
/ y' w) D7 w, R' n$ V* e

2 i" t$ ]% m2 w- Z; S+ \2 F / A9 ~* e$ n' t" s& v& X1 I1 z

: n' U0 L+ A' p9 k9 w: ~+ {. C

( u" g- N; A* P0 O1 C; M 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 7 C7 k2 `9 s3 s; N m l5 c3 W

0 [# |2 r+ y N# q
3 {5 w% m- Y$ O 1 f3 q7 X. }- P! A. u, I
1 C) t0 V* P9 @7 z : a% m! ]$ y- E- @ g
' E4 ]: q& o. C; l4 S9 [

9 G( d% |; U' h$ C; ~! ? - V$ [4 O, G5 t8 H6 U5 F; ~: H4 M: G6 e" ]

& b3 S A1 v2 V% h q% w! A- H" |

( s4 b2 q+ U3 |9 P 填写错误标记开扫结果如下 7 k0 F" M7 @3 C. c: H) n8 n9 o% }/ K

. f& n; c1 \/ }) g
3 u. a9 z) [" Q' H2 `+ J7 g% I3 Z6 r + C9 L8 K( K+ ^0 M
0 Q1 e7 p) P- ~4 ] 5 z) L+ S- ?6 Y& Y% `1 C* F
# j$ j: {. L; j! d5 d+ `

/ q/ U- T& h6 k1 x9 W3 z ; H+ I! M* Z% J6 x9 ~

" l7 V: O. I2 g( C# d3 L

+ w3 h X& T1 ^1 M 下面我们进OA % P# i/ m# p% z! Q& B

8 w- I4 n- u1 M D
& s. v. ~# Z1 K- u; a) A: g* @# _ 8 N/ L& F- k$ W' d. T
: I( _% U( ^. k( e- B 5 c0 V& c* M. N {% P! r! @
5 A& s+ w' w" D! p ]3 ]

% l& V) F" m) f7 g0 O* g8 w8 H # V& _' s+ b- l/ v* K3 P, k

. {8 Z! K1 n Q- y' M; M1 I$ R! G

( L1 g) m+ [' D0 E5 l0 Q. w 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ) h# l- ~- C& r( B8 C

6 ^1 r$ |: E( W: d, w$ ^
) J+ v l% d* P! v4 B, { . m; G) R( O" x1 J- r
' p! d" z5 q3 O0 D2 k' b( z( c & |% J7 l& A0 X$ ?& ?
3 m" O5 ?1 `) G7 g5 ]$ ^6 ]3 F) `

) o7 B) t: D0 B3 g$ b ^% v x- O) t 5 [, \, q! n" T

0 |4 R0 M9 J6 `! j6 `( b# s1 W

# V/ I" j2 x2 l3 S9 G$ w" _9 ~ . n1 d( g/ e# r& C. B) ]

6 J- [# H8 w! R' O; C% z

^* V% { z8 Q$ ^& v' j# X# C 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 : p3 g% k1 Y# {1 r

1 l( U- J* m$ y# `# p2 t

5 L* _# [! {8 Z3 X7 X% L) Q 4 、利用tomcat 提权进服务器 % x" V: s9 @; E8 s& ]. c" W

1 o7 d8 t+ z2 j( a3 N. _

4 U9 w5 r0 |+ P/ N/ Z8 D8 I+ \ nessus 扫描目标ip 发现如图 ) G! m# W- D0 g% p3 c; Z3 U

# }3 M; f" N a0 q' N/ q* b+ i
4 v( I8 ?5 G. L8 D T" s ; a% i% ~$ K/ f' T+ ?: O' s
5 E, U$ y4 \. [5 r1 c" h3 R & d: M5 V9 c; G' H" a$ ^3 |
9 F( E* g% {1 T

$ ]" D5 X9 ]# k0 R$ { L# z * J3 T3 S, j# h% K! A! k

( x6 o3 b( }8 H: J a

2 A0 Q; _7 D* F6 {7 { 登录如图: & h# Q% Y4 S: m

8 r) N v9 J4 y1 d }
/ _# o2 U: a4 R# R4 M, B7 R . q0 D+ ]" e4 |' T; d. N
4 O. R. C% v! p, t* R4 V ( G* m( v) f- u! k
6 ~. s/ x0 b. D" M6 _

/ { q3 h# L% Q* ?4 s/ [ , S0 \/ }! @; K% h- O

; f D; x+ G" e3 E9 U

0 }, Y: |1 v @ ^! Y 找个上传的地方上传如图: 0 z# Y- O( j9 S, u: x# g* n, x% _- {

; W- ^) j$ _5 `- [
* K. H8 E$ E9 f! G* ]* l ! D0 _# P% j4 z/ I7 Y% L1 w0 P8 F: V
- _5 j" `0 ]# ?7 ?' p7 F( k) O( @ " r6 o4 r$ N' l6 m( T
! T- m* T6 l P/ o

1 \1 i- o6 w( p: R4 W$ t6 J) R : d% |" J4 N, f4 K1 s+ F" O( p

1 q$ o0 h& C- U( z/ x6 N

2 F0 I! L4 |! w7 ~+ R X8 _ 然后就是同样执行命令提权,过程不在写了 ' m* m+ S5 C- A* e$ _

. l+ K! R- o" I* ]1 t' z- |$ ^

* _0 K# `1 b1 q4 I 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 . f' C. E* P% J: w4 E) G9 k3 B" M

; C+ z8 J* w8 }1 z3 c8 h

! F! h+ m0 ~ A+ X2 \ 首先测试ARP 嗅探如图 2 I$ A9 `' u. ~, p. G% D

) T% u; R# t4 V9 }! i. }
( ?( n4 u3 u s * X0 n3 n8 X' L4 _; h# b* |4 E: r8 Z
, n( F6 j0 q% _$ ]6 b; S) g$ m } 0 B" D$ D* |0 @ w
' Y' {5 ~/ a" I7 u/ F

, n7 e6 N5 V# y1 c3 X; Y6 z 8 k9 f4 |; h' `5 n* m K6 D

. q3 n b) E$ \3 t4 [* e

7 {& E" g4 D! T# Q; i/ l/ a 测试结果如下图: + a/ M# Q, U+ A* g

7 o- ^, L4 @+ B! E% N8 I
& Q2 D) k$ C. f; Q4 e, ~ # @3 K/ x: Z! f
6 f0 s8 M/ A. {0 P/ h' d ; A. c; n7 H; E- L2 ?" L
5 G* q* s/ l P7 [, n5 j3 g( N* \

3 h5 C' l8 C+ C! O, h 8 m: D, ~/ Q# n7 K7 H3 r

# v2 u+ X0 k* \, n

+ Z* R# S. @& J1 N3 X2 ~ 哈哈嗅探到的东西少是因为这个域下才有几台机器 4 R. s& l. t! w5 S/ F4 f+ D0 n3 J

: P+ k @6 L. ]

* V r; l7 G7 O7 g- v9 g4 t4 } 下面我们测试DNS欺骗,如图: 2 a' P1 Z( |- q: T5 D

$ t" G- ]4 N+ ~/ N; e$ U5 ]
$ j8 ~ q) I0 }; ^3 H& a - x3 [) h3 B& R' q! G0 e
$ _1 e# q! M# v : ~5 g+ M; S& Q4 ?& l# J& s Z m
) w/ q8 n' Z" |9 E# G2 b

# D: V: n' p/ G3 m. @3 W- r 8 S, N$ V% ~' p$ T6 I2 H5 b4 F- h

5 ?1 X! N _6 @% U1 L9 I8 }

2 c% c: t; N7 Y 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % W% N& @* t* {' W. G7 T

9 f; z" P% C% d6 ]
9 g. L+ _" _$ U9 |# }; c8 e & d6 J/ o2 |+ t5 a& v% K- d
t5 Z6 c) e3 {3 B - r( ^* \* Q8 j9 E' i0 ]
7 ~* X3 @3 a# |% s9 {3 K& ]4 k1 |

. {) l4 d% |4 v: F( r 7 E: L) [( ~! C4 N" i' G

" j: u) r% F. e0 q. D

2 M& m2 F. K4 {6 Q) W9 T3 v' o9 C (注:欺骗这个过程由于我之前录制了教程,截图教程了) : b+ y7 V" E7 F# N/ V, H

: o; M w C9 [! ]- \ ~& h% f* l

) m1 d7 @# |8 H6 F+ y& W8 I5 T 6 、成功入侵交换机 7 q w( V3 T0 i* l0 n8 b7 V

- y5 v6 Z3 [3 f& Y) W0 Y5 S! |1 O+ x

9 l7 t; \' b9 u) H$ J3 Q 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . U8 l) ?9 r& i: @5 o

5 k8 ?+ S- ^% ?/ Q, _4 r

4 O+ S, s6 q: G" t7 N. @3 C. L2 w 我们进服务器看看,插有福吧看着面熟吧 ; q0 x8 D7 i' c: p

' }; d2 A2 e$ u2 i0 T
; A6 f8 l/ x3 G6 r. E& _ 8 a. P" _, v7 P
) t$ ^2 g1 C. n$ M" H4 D 9 w# z# |$ C3 \" ~1 D, c
+ J: ?' c, [9 @, p. m& j

9 A1 [6 ^7 c: j / j6 v. W M; y/ C

# A5 C3 Y; F1 {# l* q+ U/ K- u! g

3 Y W/ i- Y2 v1 v0 A Q5 I* X6 m2 o l 装了思科交换机管理系统,我们继续看,有两个 管理员 2 `$ b' i- U9 d( T% r9 w- o

8 p+ m! b9 R8 u8 w' H
$ t& ]9 |5 p, J! N3 i$ t& c 7 j2 s# f3 \9 v0 ~- t# A% z ]
* g. O' D; \9 _ ; o( P9 q6 c9 |: G
. ~, Y U4 [8 r

( F4 w: L1 p+ q7 B + s3 @: P; u* S

& i1 A# y$ b# f: D2 M

5 e2 G4 [3 F/ x 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 * I* D/ F% u# K

$ W+ r, o& Y" P3 U2 A: h; w& j* b2 r
6 E5 Y3 u8 X! n9 O( _* C , B6 S4 {7 u2 G7 r1 m" r0 @* Z
; Y1 D. C! G! B1 S; E$ z' {; | $ N. a9 P( U( `
3 T5 h% b& }7 J7 j- Z$ C

, }1 v4 V. ^9 n: N0 I' n . w! f$ O! \- `7 `

2 H9 }0 c$ @+ F

4 ?( m" X) A1 Q; g5 ? 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ! x0 L5 U4 I3 f" O2 l/ e) V

; g$ v o, e0 O3 L/ g
3 E5 H) g j! D 3 a0 h5 ]5 D% [+ f& Y9 f
6 u+ J- o3 ~" v+ G: i* U% J1 m9 U & `/ w5 C# w a8 ?/ z
& t! Z' y7 z4 J, f5 ^0 c4 e) n

$ i. k5 e: e4 w8 q5 i& M * H* Z V2 ^+ A$ H8 G3 l

3 r! D4 v* A- S' Z* R

. N- K" R5 j) Q5 A+ R7 _ config ,必须写好对应的communuity string 值,如图: 2 i. t' F2 ~: r5 Y' R* E

8 k, R$ S' I& ^: C
$ t! j- L% Q3 ]8 ?- u : J7 O* b: R- _# d
' p3 ~; |- r! x: O; L" n ' X0 A5 e2 x0 @' I$ w
1 A2 ?0 D6 K8 {

- ~* }! \7 L; y: s. y 8 F2 R+ p. i2 O. R4 [8 ?' s1 S9 z1 v! y

9 j H" l. b1 {) \7 Y `6 t6 F' y

7 s5 L. z- k: z Z" S/ P. c6 C 远程登录看看,如图: ' |8 n% [0 H* E u# e

* o. u) L/ K( o/ L0 |# M4 T6 W
' U4 y* } g5 z* A# Z 1 y! z( T3 S" H; M: w0 Q4 \; I
4 Z" |: f* D d! J ! q( ?8 g( |" }; {8 f2 {
6 E7 c0 L* j8 \1 F+ F' n

+ m% e5 v( y9 H5 y& P6 a5 r/ B4 p ( N6 Y3 N7 k+ l' y/ q- {

% Q' J% D9 N& e" g, |( E; |

# c$ }5 K* ^9 N7 c' j. S) i# ]/ K 直接进入特权模式,以此类推搞了将近70 台交换机如图: 8 F# O2 m$ I1 @' k2 u

' e0 }2 [; ]$ ?7 G2 i
5 E1 A- N8 a6 g S' P! u4 v# ] ' y4 V _' b7 c9 t/ ?
0 U8 j+ X4 m3 t+ [2 L5 t9 X8 u * r0 j4 _* C1 W" W
! ?6 L8 e; Y2 s1 \' ]- L

" \$ M# @, [( `' V! u& {: a: @ $ C$ t, d p, N3 F) U+ ~$ i

* T& v) E0 x, n) K

/ D }+ l |" f+ ~" \ & ^% J0 M8 c! F+ m# J

+ P" `. T$ i) Q* S' b

% }4 e% c) B" B9 A7 i1 x Z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** ! y. J( r' H. V) `6 m+ L% ^3 w# _5 S; K

# R( _& [- Y' G5 w8 \1 G
* U v. x$ L" o) Q' w6 m# `' R + Q& v: i7 w b- W3 K' ~
: K" p) O/ a: O) D/ Q! D : J& R5 L8 R9 b. ^3 |8 S
5 r& J: {8 h: g

7 @, W4 b' D( P" P" _2 i# X6 F ; I V; }3 t D: l; N

! C' I) x2 }, e: h0 F

; ^0 K# @2 c$ {5 w2 d 确实可以读取配置文件的。 % F& K6 R: C0 p

\, `6 H9 T9 Q9 x

" v+ q" \1 t+ R* o9 ]& B 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 , i- @" e8 @; u4 c

5 V: T- J% |5 ?
4 e$ _8 r) b. @4 A , E( l+ h% `+ D e o$ X5 Y. z7 {8 m. y* p
" a( H' r' W1 p: Z4 `8 A) X1 x 9 n# F! q* {, @/ ~3 t4 ]1 u1 a& O
3 x9 B+ N% @6 M! }. G3 R o

& R6 S% i0 u; l9 i: o- [3 y9 b 5 I' D( E( ^2 \

& p7 i; w5 I7 q7 e3 t2 q+ Q% D

( b/ P: R' G2 Z$ Z) d , G# `* D0 C' @1 i

' }% O9 k; Z. L. N

F/ `! ]8 l* H9 G 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 5 [+ F, ^- p* G2 s1 A7 P

1 D7 j& J. H5 v* ~( C
; t4 i9 e3 k! S: g7 G2 g 2 t1 c# G6 t0 V* ^9 d3 v; ~
0 g0 q0 b" O- l- ~1 U% b& u9 x * ]8 Q" F% q2 M; o
, t/ A' c6 Z3 J9 \

0 ?6 @2 v. \5 A. P( w$ f 0 x) {6 L% |# s+ V# f

' _7 `4 H% D- {& B

# u2 U# O( q9 T# } 上图千兆交换机管理系统。 9 Q% r$ H2 b/ ^, U6 e, k

3 |+ [/ D& W0 h4 t5 ?

) S( z' r% C6 g" W3 t 7 、入侵山石网关防火墙 . Z& C, L" g1 B. u1 E# [1 A% ^7 i

4 ?% s) q& X3 h; ?

$ e- L/ @9 q) m, }9 y- t( y. x: a 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: . j0 W. _9 s+ l& \1 r: v( n# t

) l7 Z# a ]. t R1 s: c+ Z
4 l- [3 U. }; a5 ~ 4 R' V6 u9 A+ A1 T. U J, M( k
+ B8 u" `4 g: Z8 O1 I ( k. s. x- }8 v6 I6 p) @9 |
9 O4 J+ ~2 w2 y ?' M: Y- x+ v; b

1 A* v" _7 I$ d1 ^' R* [8 F 2 i% g0 e& n3 ^# O8 \' \

: K3 G' i f& R6 ]8 U

& K& \/ S- e9 f) M: P' q& O$ \+ l 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: & F% }9 t: ^1 N- j4 B& N6 U

$ B( C% D: F# g* e: v# ^
% Q3 Q% [( a* w4 v2 C 6 E( s7 V* F& r6 M+ @
2 n; C5 T& H) j3 h# i+ ~* n 0 T( a/ n- v: }
6 `7 z/ W9 k! G( g

* a* R! ?+ ?# F - K; R, |* J. g0 @) {* p0 `

" H. R7 B3 t7 b* _/ g8 R

8 `- ?: o; x% G) ~ ?5 p 然后登陆网关如图:** , S _- {6 P( y6 H. ]4 O# [ J

! t% A0 L6 s# ?
1 E$ N x' Z+ ?4 B% u6 ]2 n + w' Q, R: |8 C2 S( u& j. L
( B c, j' w- |; f: j% @7 U ! h2 F$ n- M4 J$ F) j6 t& F. t9 ]1 g
( C% R# X; M# Z2 w/ p$ S, ]

( V* a `! R7 ?% A/ \# e6 j ( d) a* i: p: E9 ~

& T% v0 z: K/ e$ f
+ X6 i- j% ^5 v+ V1 S6 {8 J 0 ?8 s4 y1 a' k
4 F/ ~" j q* U; {8 ?: _ 0 f5 G9 j4 A4 S# m j; |
0 W3 T5 B* ~3 Q" \

( w2 E6 V" [$ Z" K( J' v 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** , Y' ]2 k/ U3 i; x; _: B" s8 _

K' ?* R) x/ G" s/ X4 U

7 F/ f: c$ ^# ?4 f* k 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 5 E; ~* v5 a0 W; d9 b6 w* ~

9 a( C+ e; p v; n J

U0 I) ^$ J8 c+ Q8 _ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 5 g. S- f3 ? s- F5 s- ~0 ~ W7 U

: E, V- g# J4 T6 ^5 `6 o
1 T, _. u9 ^4 u E7 @ ) s* U3 y: I% p" ~, f3 L, [0 l, B6 `
0 j- T; Q/ X. i3 K+ t6 B; H0 E # L* g' ]8 x; |( \$ D
& a2 R% [/ r' P/ E/ u

/ I0 @) Q' D) M9 s/ w- E% C8 Z% { - o s! E) w K, D

% E N8 s! d" T# B5 Q) Y3 C0 ]

; x, o/ U% `5 J& M7 h0 _ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & [9 ?! Z: b. H2 b, e3 y# I

# \ m% l* m$ Q4 m

3 R q+ W$ k2 z" H* y! z6 N3 V$ _   ' m. X$ ?0 g9 _2 G: w; A* r

# f5 h& M5 _: \0 q9 ]+ X% I2 @

4 k# t* v$ h, z& N
4 e1 E5 V0 s. u6 U

* `) i+ U9 q% @4 C, o7 n/ U) q; F2 J$ Y1 A) h- ?
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表