找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1598|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

: o! U y: v6 u0 Q
# t+ r0 u1 f, [5 H' L8 z

l: H$ [' Q& m5 W: s: c9 g

" V5 ` K6 ~, Y2 l 1、弱口令扫描提权进服务器 3 L0 t1 d f* K

" n2 w, T0 y; V" Q! A$ D

$ [ c' K6 E5 n' s- e 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: y, J1 b9 A' n: k$ E

1 m4 e' z! f, [, O& {- `' I
- Q1 c+ q1 c) A( x + q n7 l1 u- U1 Q M
% h8 w# O- c) k
1 Z h. o4 j. F/ u6 _9 D4 o
- B, W' `( t; V3 u5 g$ [2 r

& w. R: f% e. B p3 y: S P& R9 C, ?; \% I

( `$ m( S9 E. b

+ K U3 y' ]# P2 _ 0 a g5 e+ B& E- M

; f! l3 R( H% g/ K1 I

; H% x3 ^% u8 O1 g7 s9 @ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 , i+ p/ A1 U& \2 q$ e% }

: d1 e9 N1 |4 n# L2 k- t

( Y; a; n9 [* C# ]% U* N+ p 执行一下命令看看 $ g7 h5 u3 y& |0 J, r( s9 B- g

3 q- k9 t/ @, F0 J! s

/ c# x b( f7 K 9 x% ?2 i; `& U* ~

1 {& }' i$ }' i. s9 s1 A1 g4 b
( ~9 P2 O% B' D- w0 f . c5 f1 Z# s) @7 a* b" K
% A5 G. w2 L' l5 H
6 _6 r* V$ U C1 {! T/ z" K
, m* b" ^/ t: e& s* v C

% L: \$ n& P1 q" R. Z+ H) E& R 开了3389 ,直接加账号进去 1 v& Q# G1 c- [/ J& ^

5 J- L5 n2 A4 g1 o
( y3 e( R/ x) |& v% c 6 ^* i, d* j7 T# z/ t/ E/ a5 A
: P# G) {/ x: c0 y
$ j* \; H) L7 v" v
5 [8 M6 `) w) V$ Q) I1 S6 h0 u

' \# t" ?4 B; B7 R$ E& D% Z 7 i* [0 G3 @6 {* Z8 p* b6 a3 G

: D( A# ~6 x5 h0 n4 C

% d" L1 O" L; l u; { 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( M6 u1 }' b3 l4 f3 M# \

+ G2 r7 i, k* U* v
( i) m& [2 I( m0 j2 s 2 } A0 r, j. L' b, z
, K; N# a0 l; _. ~
# I. E2 o. {- g+ `! \
& n: {( h, e; Y# \0 n) X2 i0 I

6 R" E9 w, d- o4 U$ ]$ @ 4 S9 I6 F# X# L6 [

q4 K/ O2 S& B

& V x" a" T/ b, O+ {# }/ z 直接加个后门, 3 a) e! \7 X5 N8 H' o

& B# b& ]( P% t' q8 X/ k

' g- v+ u* Y+ P' a6 Q9 l7 v1 M! d % ?. ?5 [/ e y( W( x( P( |

8 n+ \% \1 n7 _1 `# N A/ H# V7 n
7 N5 d0 T! d: j: R- O ! j! j( G1 ?; H1 {6 w
9 [& ~5 ?' S7 B+ H W$ V
6 H/ b. E. S# M7 w, z; v
' m: \/ j+ `& j& g8 f/ r8 T

* E/ }4 v. d- D: e* d1 q+ x, P8 U 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ; v2 ?2 k+ A$ B# b; C* d" Y

5 c- E& a! T& U

4 Y: g# P$ s* y! Q6 D, l- c 2 、域环境下渗透搞定域内全部机器 2 L; {2 i, G( D9 Y5 F

9 B# r+ Y+ Z/ }1 y$ {: B. u

$ t1 ]$ O V ~6 `4 E7 x6 r 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 - ` Z& H+ ?% O# l/ M/ S" z$ c

/ ~3 p, ^) [4 O* Y- q0 Q) S
|) n3 }' g+ E _! e ( j5 Z3 s- \) R$ ^
) a0 h/ r B" I: l. H
. {* H) J, |; d2 Y' M
9 {, b5 J9 E- v

9 s; J. {9 D2 r$ N- b! ` , \6 k0 U- j; x8 l

3 b0 O* O: R z% F

! s+ T" B" R2 r) _4 }# j' ~+ A 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ( L1 A- i& H4 o/ s/ S$ j

& k, n) i% j2 E' |. J
' n* B8 k, m' S# |+ e* ]: O + \3 E, D+ K2 b. p; G: L, Z
. M! b; Z1 {1 M I" N
8 L5 F |7 }+ Q' @
0 {6 y8 ]7 ?: Y6 N

. [/ S- t5 X) y) A0 v: K " q8 O9 F" x, E* B6 ~# a

1 ?9 W4 a- R I( i3 W) s$ i

+ u6 z) D& O3 F2 J( w 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: + O% n S0 F9 ~0 @% F, N3 I

* b; W' B+ V+ B" f& K' O. n
/ o$ j3 T+ ^. g! C% r) n$ h7 x. J , H4 |4 O! k1 w. R) D' z9 J1 r; L J
, _# M$ |* s1 b; `: m
" L! v. A3 l; N
0 F6 @- T0 a# y- g) e/ j+ f+ P7 l

* f$ `; ?0 a/ Z$ ?7 a2 a1 @- Q2 I % p" n% F8 l0 h7 u; d

) p7 _$ S( O9 o# H+ T# z- m

& J3 a2 T6 y" X5 T" \9 g, M 利用cluster 这个用户我们远程登录一下域服务器如图: # V' z0 ~# E" [/ t4 R! B$ m

D# f6 M5 I9 Z# P# ]: `
" K8 U1 x6 J+ ^7 K 6 ]- B% j5 [: T, X3 }
5 ~6 s& o2 K, P4 ~) B0 V9 t, o
u }7 N) {5 J3 V1 p7 W
$ c* c; y8 N* j. s: ]1 n8 p

( ]( l, F3 w) H& d: m s$ j 7 n& V. `6 j) G6 o

# p* O4 h1 g: m9 k5 h' G- Q

A% E+ [1 D9 }. a) L' Q0 @5 C 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: : O2 F& k0 }0 u) {3 T7 d2 O

% j; H" z% ^* t6 f
! R: o+ f7 E; ?' O0 C/ d * A# U y% w' d6 f2 s9 ?
. K. H1 E4 v) ~
. W% \; \; H) C2 Q( V
/ D0 z* o8 ^" u" m4 q

" T9 `. M6 X+ q: f, j 5 b3 [5 a7 O# L% g2 g

4 d# e& t4 ]; n7 ]3 Z

" _8 S; E9 N; l h 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: " E" S, I3 c3 J9 A! E2 Y1 {6 g7 b3 `

4 j- {* g N! z( l& z( t

3 B/ c' h/ N3 l2 A; C+ y4 | % F) _5 }6 S3 U2 _5 Q- n: @

: `6 S' S8 n$ G0 w6 K3 G5 J

* F, E( g* N' }! }- [ 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping + x- ?* H7 X# ~5 _

2 v; N' w2 H+ w% }8 ~7 N3 a

0 \+ C3 a2 ]2 e% t9 r. {; c2 T blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ; r. w, V t. ~' A4 s. ^$ s

8 X$ n& b) i# F" B) ^
8 J' }. z# e8 o8 r$ J8 w& b " g4 O+ c6 R n: p' l' U3 i, K
3 A+ R! `) n( O
: Q; `( p' G6 X
3 q6 e8 R) i/ J; \

7 K4 v: e8 R7 _0 V 7 s: y6 [6 _, |

) i# l, N4 }* V0 E+ k. b8 |

0 Y+ z$ Q! J4 J. L7 U" V3 C 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 & R: ?9 i: j" L& P/ n, j- E: F5 G

" _4 X" r1 x/ k/ `) o% U
: J ?& a2 r8 G0 R8 |3 L & s2 f: c, j3 U3 f# J: y- v/ k
- v: [: p$ _) o' p
: n, ~* Q& x% O9 r/ H8 q z% m
& Q4 }; f5 \" ?% z2 ^ V1 {" s

6 P* w' v% g/ _' s: n f 4 n/ B8 d3 O" c5 Z

! B- ^5 n% {6 U& D2 m7 j/ B+ h

& |. |# Q; d: q! ]0 _ 利用ms08067 成功溢出服务器,成功登录服务器 + T0 E3 U# C7 u7 U! m

7 ]$ M( ~& E3 h# G$ Q S
. `4 y5 L7 h. m( ~4 g0 m # t9 p. q' E1 [
. ~1 h' |1 M. S" n9 D
' U9 P9 Q) C: {- ?+ _2 X5 F9 C# x
9 w5 F1 k! `' R: B/ S0 Y

4 U( ]# w ?* |- n7 |( r9 ? / |$ R% h( m& b8 ]5 E: O

% {, e; D% u. T6 I* w

8 v, n4 T8 q( A2 h4 H- c9 F 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ) i5 _4 T t' j

) {' k4 x& g# y, Q6 Z

1 C ~0 ]4 B) w/ E4 k. ~ 这样两个域我们就全部拿下了。 ; o) l5 z% j' E! K9 q2 o

2 c3 R+ n0 a1 V! K% U$ r, _ I

9 X3 D% H! _3 S* o' m* e* T7 Z 3 、通过oa 系统入侵进服务器 1 C% K K! q& ]) x# a3 e

/ ]; G6 H4 [' u# J! H( S1 ]; V

( g- f) ^3 b, U, b! {: v Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 7 E. g; M' l' D7 F

/ B8 i) X, g1 n% C% {4 r4 C7 u
( f! j8 D* l6 c+ D- x5 b , P! b3 D* I' a8 L# I6 t- @3 \1 o
3 r, W B" ?3 j. I
- J4 H7 F* U$ j, [3 `4 i% `
$ F, B8 u3 z* @. o

) L# k0 ^. C0 G; a' [! n/ } % a4 G8 @/ O. O

8 r. J. t/ Y! R* y y- z3 ?7 {

- b) A+ O( L7 ^0 d4 D 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 # p7 t. P( k7 f

# A1 @& ^2 |) v8 G1 U: F
' t& k3 c* ~4 C0 @2 ` 6 v* L- f6 W8 b; F7 h& K' c
" S( \7 ~8 ~( _2 `6 S0 H
- L2 B: t" m% n* Z
; Z; T/ X+ j/ ]8 |: ]0 i" b

0 I$ M/ H- p9 s' r _ M+ q5 P' o) ]: I- |2 W

* X `) e, p- ~, p& _

+ p$ Z# X6 }( D& \: h" k 填写错误标记开扫结果如下 , K) F; I$ I% z

% `/ Y3 U; i& z1 w
/ f4 c7 i0 P* c4 Q 6 {% A9 e: ?8 U! o5 K. n0 T
# D% m' a; I0 U9 ]5 c N& ^
" t2 T6 x2 n- s+ {7 n: P
# H3 G6 S' \9 Z

. G2 u& W1 m# v4 _ ( n' W9 c+ V, o* I" \3 `* p; b

# x9 Z w0 }/ y1 [' M$ X6 j" f9 f$ a

5 {; d; p$ |, ^! _3 f! F1 s+ Y 下面我们进OA $ {7 @* {/ Y' n- n z

2 D" A2 q) X4 P( p1 L
$ J, e; x4 n% g5 H( W / U+ c1 X3 J s1 B; @ D2 u
) ]+ |" D* T8 `( E: I( n7 }
8 O3 A) }4 K! [. V: h- G
* E% f4 ]0 |/ z/ }- U) _

3 e7 b6 O2 b% u0 \" W% U: D 5 T, T1 P2 c( i6 G! R) H

9 J& f8 f: t, i" J5 S( n

$ b& B t0 J3 a5 g; } 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 # g0 H; a5 T, h3 G; F- R9 K% f

1 x1 E; h$ g' W/ Y- k: ]) I
6 p9 {8 z0 |5 l0 }# ? y. r3 s" ^ " s2 c( Q, w6 |
' q0 |# ~# {4 ]8 H. c" [ c% @1 W
7 R; ]* V+ H4 i; e# Z6 N. I
5 }7 H7 A* ~/ e% ~7 h

1 y$ `) n8 a. j+ M6 B2 { 2 e p+ Q% x+ G5 X: N

: r$ v+ f7 B; K

$ m3 X- Y g* t1 B: {$ m & j# b# ?9 u8 ]

: P# K# N- a) L7 I' {" c2 w$ [

+ ?& X, ]" u2 E* }. x 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 # X" L( `9 A# U: r3 m

, v" p, h3 C7 ?! P

" @# ~6 P( v- X" ?4 m$ {. Z+ f 4 、利用tomcat 提权进服务器 8 |0 G' K1 f0 |6 L' ~7 F. o

1 O( Y0 ^* N4 E; x( C# ?0 @

# ^* B' A$ @- |2 {/ U( L nessus 扫描目标ip 发现如图 2 ]0 z7 x; N: N* h/ s3 h

# W& N9 i# J1 a1 ^5 c' B( W
2 u* z. z: Q) D: m9 A3 L) j- q $ L& R$ Z+ ]3 r2 y- ^
& ]; Y4 Y+ Q. v
" d. F @) B. a4 E. m7 r' ^
7 Y# I+ P2 b" M

! s' T# l$ [& U: S { 3 R: f& x; q7 h/ _, z$ i

& [ \: H0 A# N4 z: O

4 z2 L+ p9 K7 `( e 登录如图: , Y: s+ d: v0 K% B, ?3 x4 ^

, b% s& P- C) M W. U7 R/ j
' x# b( q( Q; ` ^- Q 5 }3 A! \- v7 ~+ A4 J3 S
7 ^8 j4 U# W* N
9 m) w" e) y1 ^* A
# c4 O8 ^# I6 g! p: Z9 P* f

4 P2 c" j" {4 V' X+ f * K; a" a- W3 ]: t

2 r7 A' ~8 j; }. [) M8 N' U# z

( S/ }$ R! |& u! }& R U4 V( b 找个上传的地方上传如图: N5 M; T+ q. C9 o5 n% F

5 b7 n' }2 H( d9 @9 A" ~
& C1 S8 w/ i. i0 t4 v 0 F$ w3 R! G/ V) t& f
) k( I1 x, b- @0 Y! p9 d
0 C( C# g: z: b( T$ `& D) n+ c
3 C7 Y- T% F! S- @# C/ G

, D$ J* y# S4 g- O1 f , [% h! C( l. O; Q: ~' e3 j$ U

0 ~- a' B% X P

7 V9 r9 } V$ d% x2 [ 然后就是同样执行命令提权,过程不在写了 $ u9 Y9 ?! J' q S6 e0 v

' X ?7 [1 t: I) ~+ W. `1 _( p8 U

% p6 K1 @; N" M* f 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 3 `: _ b0 N* j) A. b

+ |. Z* J# T$ N- `

: H, j. k/ t' {0 | 首先测试ARP 嗅探如图 9 A4 r$ w z* S" z

( v) g% E# q* T: F0 S
" s5 u" X) ]! z9 v: m6 W - p$ L/ C4 {! D, z$ b4 x
' |: _9 n2 s( D% }. u' ]
$ k# T* c: c6 Z5 }+ v a
, ?6 Z8 ^7 V- ?) O

5 G, D; T& O: R" P # [( E" L9 [# y9 W1 W

) m2 h3 r* M$ U5 k A1 [6 X

( l# @( ~' L$ G+ z 测试结果如下图: 7 T+ y# ]( z7 o

/ p# ^2 i, \1 [$ c" d# F
6 B5 }% w7 ?( {8 q# v 4 _/ ]: C T9 R% e5 \, y
: r6 }8 |/ B. p
}% ~4 x* E& F' }( Z D$ x; h1 y f
" W8 \5 M$ S% x3 A% R

9 r3 z- F; }0 q+ ?+ J ; _9 g4 j, P. v4 `7 r9 @

4 r" V. h" z) y3 c6 {

' U7 V7 k% _8 b: A# X9 Z 哈哈嗅探到的东西少是因为这个域下才有几台机器 6 O+ X9 ]; `2 x% p8 }# x, C

* K2 C E s+ k( w9 N/ X' M

2 I3 t4 D1 [7 m; k+ u 下面我们测试DNS欺骗,如图: $ F) m! H' q' l9 i

0 I- S8 w# |* C2 B; A$ q, f
3 }# F" F7 \- ]3 S1 x) w 5 P1 t, B' [* ^( o3 ?$ H, }% E
( p9 ~* v1 I% r
5 N- c. J+ L; S; }% \' ^& @
: [8 C* Y+ D, N. d% ~0 R: C" z

% v2 u& m8 o+ D8 ~ # q1 K- h2 U u# ~

, M/ [0 M4 N7 L+ D$ |+ P, o

+ r9 t9 \$ M4 K m 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) R/ k% @9 A( P& i/ |; y! R; o

, F+ H6 V7 m- Y- y0 O! o
& h6 a$ u! q+ m3 [2 x) j8 ~0 N 8 E3 ^( I/ {; ]2 X5 n
# x$ ~$ z) ]" m7 r; a) _
, G% f8 r3 Z$ v* D, g
. x* d) w7 O/ G

7 X0 \# i x1 [; t n % Q3 i) [( i- P C/ L/ l

z d& _: q) ?: N3 E

' ^5 {( _/ o5 n9 x( R7 P (注:欺骗这个过程由于我之前录制了教程,截图教程了) ' y5 P9 D; Z9 M! W' h

) o; ^0 `0 \: r) x

0 F, o4 r7 g/ W. p- @5 x 6 、成功入侵交换机 / w2 D3 i8 W4 M t) J

! W/ A0 F; U ^4 y) ~* t6 y

4 J/ X# r, G2 S2 V! { 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( W! S0 H9 l' |

/ _' C, E* x. H) y, c

# o: \: _2 J7 b 我们进服务器看看,插有福吧看着面熟吧 2 Q7 J# r2 e% c$ @

9 P2 z4 @" f9 E1 a7 A) g
0 w# e) B+ D1 p0 t& j$ \+ |1 h4 H 6 i) E" o+ L0 v3 I- y/ o$ |
7 L2 N- T2 Y% s4 U/ I- h# r* I9 \
; Y8 z) Q* P6 M/ S' w$ l. Z) q
( n, t: _+ x% m

3 q* e9 y/ e% F( \0 Y' W; m7 r6 ~( ~ 8 H! H I- v$ ^6 F* l& T' C

8 |! ` ?/ V3 ^. @& \* H

) Y0 p- j% d: o9 X/ n# J/ y 装了思科交换机管理系统,我们继续看,有两个 管理员 * O* H8 x& Z1 m/ q. p Z- |; _

& \# F, W# n" z1 O, u. l
( l4 o, P7 ~; X/ ]) v; M % k2 \& ]! m# v7 h6 \9 U$ m
* E+ X7 W6 Q1 H) `( K- ~+ L( h/ L
3 N* l4 X, m% L/ d# b+ A" h, a3 F
1 K, D& L0 l. ?; t- a1 E* K

2 \% ]/ J3 x. D7 k# O 3 ]& j) k1 T$ J3 I# |% i

6 O# Z- `$ \2 x) z

) s0 v+ s m# b 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 " d5 F4 L, ]& r/ Y: v

7 {5 T- L! v9 G% U$ R* q) T7 {8 S
7 F; d0 M6 D9 R O8 A0 O 0 r k5 V/ y4 A. t( c
. [, m& `0 M9 u6 e% g
+ {) k# O! n) V0 J9 `$ g( P: R8 I- U9 W
. n% J: C% ^: Y- ?

" M& g% F$ A* V: ~. w8 a ) c2 A" }7 E& _

+ o+ f& T @0 h) K

$ n: E+ y& R/ e0 }5 v4 \8 A0 F; e 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ( F; ]% h. f; e. l- S7 U" v2 H# t

" a/ _0 y+ ?: X" P- r2 y+ T
; W5 i4 i& W& l# D ; L1 I0 `) J m7 c7 ?
) x% D& ?' l/ A* J$ S; z
$ B! ~. g1 X ^! d4 Z
7 U+ k, ^9 J, L) J+ z

/ W8 o. {- o) Q' m/ k( t $ U0 f9 f( C% r# |' |

7 _7 o! q% V1 \# e4 n

8 E1 q y' S+ z* I* p* y config ,必须写好对应的communuity string 值,如图: 1 P+ B: q. p$ _

, G& K# T- i2 ~- f
2 D d# i. P1 ~5 o . r* w& x0 ]* S& F+ W- N% L
' F% X# I# z! ?" I9 B- L; R7 c: y1 J( ~
$ I" j8 g7 G1 u/ c- W2 _
2 v3 v) z5 B1 M: L4 }

2 a( S! [& A3 {8 b' P/ J( i; M + b$ T! r+ L& E" `5 O; A: N

" S' S( O$ A% S& [ K R/ @2 g% o' n

; ]5 `$ [- N2 r 远程登录看看,如图: 8 Z5 O+ b) a: l

2 v* x) @' ~4 ?% O
4 ^0 p4 c% P( h/ L8 X0 l& _ 7 D! z# x) ~9 g
& Y6 w$ @# Q1 `& d8 b% V; v
$ a+ T" w% w |0 c# y
_4 O2 p( U% p$ ?

+ w8 Z; ?9 E" u1 f , j5 k& T$ c- Y& C: }4 P3 x; w

3 J' _3 ]3 u. B# b

5 l8 H+ D0 R7 |# b, X$ }' L- X 直接进入特权模式,以此类推搞了将近70 台交换机如图: 3 `( W6 d( |3 ?4 ^

8 x" b" g3 G$ ?5 m# g. d7 J; V
y' N: M; l5 h7 @& ?1 Y/ h0 ?% c O ' l! S Z' Z3 S* A
+ a, w) h" p6 L- w) C
) T, V, g8 K8 t/ k- f, ]) c
7 A J! b+ C ~" c w

( r4 w: ?0 ~2 h6 _' W 9 B1 B1 k; B/ T4 q

9 q& [( C2 R: x, v. M$ m

" r# R5 d- J1 K o : w# A4 `& v% a6 {% t* U7 O$ l, k

( n7 j2 Z% J- y# T* p# ^% o# e

9 k$ Z* @8 |& v) R/ ] 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** # ]+ i0 }9 h6 ^% s( I

9 `7 V' s' b ~) g+ `2 R, Q
7 l. _8 d2 d1 f6 B: M 8 R6 E4 C9 ]6 E
$ a: P/ g' ^, w) b
6 s ?! x8 G8 u) J! C/ _
( |4 g" ?4 B) s6 i s9 h' a8 W

$ i' B( i* B5 S ; z% g% q5 k. {5 i

8 m( T& O- F: F8 Z+ ~) |3 b0 J

- W8 \( p7 q* q; T& e0 `6 z 确实可以读取配置文件的。 ! G0 c b6 e1 W

( h) X; m a2 c) |( n V

% W5 t5 Y7 B( j6 q7 s 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 + \8 L. [8 f- }7 I

" @% E0 v6 ^( f6 X$ }
- o4 e+ r% U8 N; x9 t# j & R6 _# C( T$ A3 V
: w( J+ ?1 J; V- h
" x1 ]( i4 \4 N5 T
8 `* T0 F/ f' k/ t

* j8 R4 R% f- _7 M' k9 ` ( S" S9 {3 U& o" T. S

+ k2 a; ^9 [0 W2 K h

& k6 A; I2 c# D( }# | y" s/ l! a3 O, J- h

& [, T+ @( j# \! T

) ], u$ q+ w- @. v" A 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 " r% E0 r, Z1 J% Z7 _9 [* ~

2 H7 J, m2 G6 l+ x+ _
4 @) P- n( R6 |" D0 S * ~6 D6 _$ [' e$ G! [$ Q) |8 h8 }
/ O& P. m( O+ r/ r" t& U
' w: H3 p5 q# I- O: K4 Q) g
. X0 J7 S8 U: W* C' R5 u5 F

* g! w% O7 ?' Q7 ~" L! E 5 Y; s. b' }0 w5 Y3 e' H4 l, x+ C7 O

( T1 b; z7 _8 r3 D" p1 H

3 e: p+ T* s0 M) ` 上图千兆交换机管理系统。 ! H9 I2 i; g9 L# G* B% M

o& \: ~. L- ] |

9 {' O; _2 c4 `8 v" _ 7 、入侵山石网关防火墙 ) `7 o- b( u3 I! c5 b0 a) s

8 F8 H5 K- T# _' A; \

6 R* @* J# P( l, m$ ~ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 8 m3 Y) Q) O# b& G

2 \- h" [- [ ^+ g8 z* m- A
5 P' S4 P8 \4 `6 \2 B' \' l! A & V9 i: w2 R1 w
! L0 Z/ {; @8 ~, P. y
1 ]3 M8 p$ P! w: V; R3 M: v8 I$ E
& g1 q' ]+ ]" \# r/ T. v6 ^; M" q

, u% b+ a! M" n. K) j+ n 9 [8 f+ H. r2 c: \# O

( P% x+ Q2 p) b) Y3 L7 K

1 c' E! Q3 s5 Y. |% j- w7 [ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: & | k' i) X" s) m/ j/ R0 g

4 o0 @; @4 t+ V8 G. M9 o
0 {+ Q. [# F9 x- C, Z ' A5 @- c- }0 G* J) z
; P* o) @- ^! n3 l9 X
/ ?! |& B( i1 Y2 U
" |, |% q6 p+ w% I1 t" v2 i8 ?/ C+ o

9 o \) q3 \; f* l A+ V; E 5 S4 N+ v; @! D4 ?# g7 V

% B, d3 @( b7 A+ t

4 t( n( O# O( M- J9 }; f6 m' U( C 然后登陆网关如图:** 5 [) w; L$ p2 Q- V( R

" X. }7 S( a. d6 L8 R
- i0 ~! a: Z- L ) y: L9 H) I' e2 ?0 ^3 f
U3 Q/ C; `& ^0 C6 ?/ \9 Y3 ?5 \
: `$ I- E# y+ n. h. N
4 x$ y1 Q2 s7 J" o( q$ `

( t3 s! V7 G, O9 e 1 e c- _" E2 h. T2 s+ x

6 |7 m2 f* y& s
% S, r& f8 B. t5 S. Y" t% m7 a 0 Y" H( [' B* L! L1 w* c# M ^: r0 s
# X/ M6 k6 h4 T9 l+ n+ d% U
$ z: ^; ?8 T Z" f- @2 i$ [- E
7 g* |. s9 c- F, v6 L

; A. R' W. @0 D6 u1 m2 n G 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** + t! H" K& p" ]* n

: m/ E' @, o' v$ E/ D

3 U. w4 l1 f, f2 S/ O: X" D j4 D1 A 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 4 O& b/ P9 Q6 u, K# ]! Y3 d* J

1 U( d, g% ]6 H! p; Q; o, A' z/ |

3 r; q5 J* h' @1 s# \ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** + ^( T4 C1 E/ z% a& W$ u/ n* l

* e7 E1 D ~! ?' h& u4 n4 D
4 O5 j+ ~+ y6 V& M/ G0 l8 v 3 T) l5 f7 m3 n9 d
. z2 F# ^" J' v% {
" V5 r; g2 G/ [" a; ^
& S" W" r8 \" C6 X

/ _$ l# x7 r$ z# G0 c ' R3 g; B: [! n: m9 B5 B

9 W8 a' z7 _6 d! u7 D" g, X( K

0 R1 s$ z3 G. E 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 / Z- K) h. S; N+ ~7 J. a1 k

) Z9 H0 R# Y( |, B

; A g- b( m5 j, q# T6 H   " D8 Q$ ]/ {& E

2 R& V- C- D. O$ _2 F s! M- `

. z. R$ F y: N4 ^
$ |. o- V/ o3 A' |0 |# ^5 {

* T5 {, O- q9 a: j 4 @/ V* {, T/ V) I
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表