找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1600|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

" r5 J7 G- o: U" c2 t& r
+ h- m# A) @; Y* C; t7 T

$ J1 C, e* Y# e

* z# w* f L9 O7 ~+ k8 ^4 V1 r5 } 1、弱口令扫描提权进服务器 8 K4 T; m3 y7 e3 X

( Q" |0 S& O, X- o* I

# l" Y- O( F' `+ k 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: / H8 V: q3 [0 u; u; A

& N- a+ Q8 d. {6 [( R" G- K6 y
. l3 ]( w8 b0 x9 I3 i. @0 p . |' u0 y* Q! @6 e- v( N
! t. f% W1 M( e
0 @, E3 B5 B5 R5 w
1 `0 @8 q( u: `2 d; m2 m5 t

) h' U% x/ U- i 3 ~. J8 R# X# P) K! b

. ]! C) c2 N7 M/ v) p3 c

% ~" \' G S9 t. k5 C# D - f, ^2 D& V$ T4 |0 c. x6 e

7 P7 c& ]! z; y+ H4 q, G$ B! _

5 \1 P* Z, {/ n) `! t- { ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 . E. v( |4 ]% Z7 a" t8 M4 s

D, x0 O$ s+ q+ T/ ~

8 N5 W- [+ I) n+ |4 F# X: ~ 执行一下命令看看 " a) {9 U8 d( ^. f3 @5 z) R

( { `' Z) Q; S& d/ |: b( M

! i% W5 g, z7 U0 A W' n; h : \$ Z7 q# p; u( T6 \' \

, `. ] G# b) h3 a
7 Y# ^+ ~. m6 l , V& w- e$ @; q% u$ z
9 O1 N! L* a2 ~* \% t. B0 [
" q! T( r( J4 v- d, C, h
* }* B! X+ E# m" X* Z

; A I6 v8 z9 m/ f" I. M 开了3389 ,直接加账号进去 - z6 s3 A! w' e1 t. c* m' L

* G0 ^6 ^4 k s$ m: v
" }, f7 _# H3 `" L6 b4 b, x 7 ^# J4 o- v: J, H
# a% ?* n8 @" U$ I. @6 s, t
4 u P* T" M5 f
( v/ J& H X# G$ i# s0 `3 j

% B3 I4 [0 [$ g, J& a0 T" y7 D s- i " d% @2 a+ v$ P9 H

2 n" v* I& b f8 o# @" B

: w. B6 N# t2 ?- P2 H: w 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 4 Z7 } }( B7 l- U

, q; E+ d% U! x3 \6 U
8 R3 [; K. v* K3 p1 H* K6 Y3 U 9 O( C. o/ W1 @" m$ S& c" w
; I1 l" J8 p2 w
9 l+ h! k" A" W, p6 y4 i
3 O3 \, n3 u9 f6 |% X/ j% q2 A

% r5 y8 C5 w8 X2 e& S3 Y$ s+ w& p. L $ E5 S. L3 Z; O, E8 n5 l- w/ {

9 ?7 X9 o! F8 S+ m

# C7 a3 A6 l! ^* X7 y; T- r- g 直接加个后门, / E+ r8 F+ D/ _. I/ `

! C# Y' \# ?" y( t( O/ u, k8 v

, ^% `6 }( x6 V# G. s, s 6 c4 ~8 d# |, [7 f+ u5 u

9 k! P3 u8 h7 q; @7 H" i
& v# Q: w6 x" |7 a5 B, M3 x0 t " f r6 Q: s: ^2 W4 I8 j
9 p4 ~; `; |4 Q0 G
- w/ y: o' ]0 M! |
7 P8 l2 E5 ]6 O; [0 z6 p

2 G |. c: u# N7 V 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 3 z( \4 v- ?/ c7 e. q1 ~

$ e5 Y* E v8 T+ `0 U7 E! y

; n o4 _) ?. w; E6 p7 j3 j 2 、域环境下渗透搞定域内全部机器 ; C" f2 @4 y7 x4 G% U

/ D0 w: K4 a& _0 w

6 q+ N7 n8 ]& c! ?9 N0 ~ } 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ' v' ^$ P+ t/ B! b0 f, _+ l1 W

* R; C. @2 J& l2 Q/ U0 K
/ L s5 }2 i Q4 T ' M5 q4 e3 k* L/ Y8 o5 L& g
0 T2 Y* [) [: [ Z. j
. e$ O( j+ r+ o" x
# J- p. [$ }* `/ D

9 c6 O0 d i9 R ( V$ i3 n& X- Q# ]8 R' r9 w3 n$ S' d$ ~

5 M2 t2 S: Y- F0 M6 n p

9 t% r6 }. n8 p$ a3 L 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ( \- R' S1 U* D+ G6 l

# a. k5 z! r$ r: k# s
6 c5 G+ I% H f1 z; x 1 _0 D- f# _# d' f/ ]2 }) Z, h0 L
3 ]* Y2 |( q8 N6 O7 _+ V
9 E9 V# C+ Q9 @9 k) a% |
: E- C8 I P, ?% t4 C/ F- {( g

. P! |! A2 _* y* u" m + i: o$ d' U6 ]0 c2 o

, c- X) }) _. u

& _$ ^0 T5 {+ |. B3 v* V6 P 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: + M N9 K* n. ~; _2 ^" }% X i, y8 s) J

) }" }- y# Z7 P9 j
9 F- x$ m, d$ ] ' N% r, Q5 k7 Q" I
, a1 A i8 e8 e2 ^+ b* W, ^; k3 m
- p4 ^' Z9 G# w* U: E/ v
9 X0 E" z9 {$ Q8 i- Q# d

5 A, { P$ j! s- o7 j * h0 v9 h7 d# y, l3 g* [

; n3 w4 s5 S$ T- B

o; A7 Y! b5 P, x9 B 利用cluster 这个用户我们远程登录一下域服务器如图: : M6 Q1 n* T$ ]

/ v- |5 V& k% _. F: p8 i
" m# m; q0 n& S7 M % _3 ^/ ^/ r5 P: d5 u4 e
' m% q' G0 h- L8 p' v2 s
" A0 R- B) [1 E" x4 b
1 Z" X. Z- g0 f4 k$ j! d

1 t7 X! g0 V- g' A 7 s8 G/ J J+ ?% a. a

! C4 R( l# T% S. V$ {& S

3 |/ d; X% V) G 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: * m! G2 d ? Y6 ~% r/ e' o: a

. B2 C9 m. ?$ a
( d5 {# P8 b* v0 { / I- c3 Q" e3 J- q
3 a. Y7 R# |2 [$ j0 ^
6 B9 B1 O6 ?0 d7 S( a
: B- _) l; ]( Y4 U$ p

" D9 v! b' L5 Z# J# E1 y. C / c9 y7 X/ x O

0 J. |9 r! m2 S* \

% j! S; j* c- l2 I. y. i0 J) y) L 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 u) C' T: A8 g8 q: }! N( |$ D( a

8 h/ ]( O, k9 V$ a

! \, d2 E+ r% Q$ B" V5 `! w9 a6 D 7 ^; v) p- T2 z. n) \- @

d6 S( l! |4 B2 i1 @3 l) _( e! \

3 Y7 S* q4 W; p2 p 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ; t) Y' \) U/ Y8 M" j

6 g/ V: s4 D2 W# X' D: ?; V$ Z' E0 b

0 f* a. ^! e8 ~( E+ h blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: , r( `5 S2 n. I. M! x

5 K) x8 x7 ]5 H6 g: n( B k. `* x
+ \# b" T. p% G 5 J+ _, c q2 K2 \* r! {+ |- }
, l. J1 D9 V2 l
" V# g: M H2 o J
. \1 S1 r7 R* u) V2 s; \0 W- y

6 Q s6 q( _# Q+ r% \' \+ D ' U0 b0 h8 o7 v% z) h% V

3 r# k5 j& v$ ^" G/ M$ j" z

. E% o$ e. k2 ~- H+ F 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 # }& l$ a1 D: A% y5 n4 p! |) q

I) l8 u3 a6 c) W% o
: R$ U W6 o' }+ A$ T% m # d" N; V0 y2 l: u, A
! R" o' v. \- n% }& _
4 w; P N3 R' @1 H% o( o. c
7 [7 }! }- P' Q5 l* e

4 L* {8 w1 D% o, n+ ^! E1 z0 ?) P 6 O V4 y/ Q7 w8 K7 Z

& s& W5 r3 r0 `! f3 H

- h5 u* H& h+ z. i$ ` 利用ms08067 成功溢出服务器,成功登录服务器 / p9 J& x/ J4 F

; R; }( F* C9 V
( u" G1 P3 H- P ) W) ]6 N1 }" B: ]) s
5 {5 a8 [% M) t' F# j! f! w
' Z' w9 K& I6 C2 G
" h% B) c* u" M2 G! x d4 v5 I

1 p" y; @; K: V9 O7 [ ; a ]6 v# k2 `+ G5 {5 A/ b- `

1 i) k1 A+ c; S3 ~$ Q

2 x# J1 {) ? J5 o 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ) @/ P! |& Z2 h5 P

2 ~- i) ]; W/ ~8 x

" z/ X+ Y2 A4 O6 o: I. w 这样两个域我们就全部拿下了。 3 z0 p9 _4 C5 l, Y* e6 j

- {+ x$ J9 |( a1 c5 G9 i1 M+ ~( Z J

# q5 P. O6 H% H& t6 G 3 、通过oa 系统入侵进服务器 7 T8 s0 r% }1 [- `8 T; ^; V8 f

0 {! _ A7 j @4 ?1 I1 o

# H9 a3 v) x' _* | Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 3 w6 p% {" Z) |7 @0 Z+ C( ~0 c

1 j/ q. ^* a0 r, y
$ F# P" s2 a4 j - v1 a% j( K! e% L
1 R# x$ I/ ?* \0 H$ _( @# L- `
% s! T: M2 z3 @( J! S- p
* |* x% c* y- Q# U3 a m

. c! m2 G! S2 j3 e * k$ R; w, V/ s+ f- N; Y6 ?6 Y$ g6 S

3 X# _9 z, E( f( {

) {( B5 V ?6 x 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 6 O: t+ i6 Y8 x4 a! w

$ F# i6 ?3 L4 K4 h
" b; N- X# `) C& |, v % X+ g! a# S Q1 G0 ^- ?; |' w
' a- y+ S% Y9 T" p+ K4 t' L6 R
- t3 R) l4 @: n
. G! @! `! v2 _/ o

0 Y2 `' n/ b: n( R! ? - o2 Z4 p: h8 U1 U7 J2 j, K

7 A7 w% |' f* J' b3 N' D6 a

% C. k4 y; m9 \( k 填写错误标记开扫结果如下 + I. C' z( X* M% f

9 d; D) Q& L, G7 ?, k
" `/ M- j O! q6 a+ i$ r6 p: J5 c; t . m( t2 h# r; i3 r6 j3 W8 D
& Z3 e C4 D4 T0 V
3 p v4 F. [7 D2 y/ m
/ H0 n3 t L' h5 ^! _% i5 a$ N+ G

' A$ u2 T( n2 m; u' @) c * J/ f& ~# h3 V0 ~3 O0 n

) |/ X; a) J: w5 ]# \, z- W1 y1 [

! \) o4 h4 S, [; f7 D: Y 下面我们进OA $ }) X& N* ^0 X

+ Q! z& T# L. H1 ^6 `2 N0 G
! N- N" s0 x; [% K% `0 D& M2 @ w3 ^ / p, z; `7 E. H. }" H
/ ` f. v# ?% F- C3 T
1 u5 M1 ]* x" d; q
# L+ O' N; K) z m7 I1 _% A

4 G+ h4 n( V4 ?9 J5 G 1 K; X! }, o5 @+ I8 Y2 D k8 q+ _

& ^8 c+ F5 v8 U6 l

( ]3 j9 f+ g0 l# }: ^. k! K 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 8 p' ]2 j: ?1 | m) q

- U) x5 r$ ?4 T: ]
1 Z8 \* @) b: c8 s# d 7 O$ l B: q6 R5 J. V3 p
$ I4 Y% S- F( b+ j0 I
) d; o! L5 W1 d8 B* I! s
& _5 ^" k5 E/ N* d, r/ O( _3 N! w

, X% ]* P, F0 p3 ] / r }+ k9 D7 ]5 t

7 |$ z4 Y l5 x

4 b1 ^1 v+ o, T4 X) P" _/ N+ W " \; M1 X, \1 R9 e2 o

$ m/ n; E* J! U5 R4 b+ c% n

2 y( a+ A1 r G. X* g 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 : I! C6 k- t+ ?4 r+ ~

; ? P0 `& `4 z. X" a6 M4 X

: Q1 ^, [ E0 O% d 4 、利用tomcat 提权进服务器 ) X j, O/ C; U4 B' ?2 X

- @- i1 h3 |) p' m* X2 ?/ E

3 L% @6 c& n# K4 d8 Z" @ nessus 扫描目标ip 发现如图 1 i" b1 M9 I3 O+ z. b5 a

9 z2 p5 D' o J6 }
8 L/ n; E: Q& e& y0 |6 m" S* B + _6 `' u0 A% I3 E4 w
/ W- \( w3 p. z, K) `. M5 P( J
2 ]( @$ `3 y4 q/ A; y y; C, e4 w
7 Y7 O; x# @) \% u4 H( H

6 Z6 t+ b5 S" d3 J% ?+ Y# R$ Q ; N' O$ j" I5 `- w9 h9 E: ]1 N% R( E

8 d- f$ `2 X( R& j9 S

: s6 y I/ C$ f3 K7 Y i" F 登录如图: 9 X( A$ J2 z$ q8 V' e6 r

{ @6 [, Y) r) n4 w: V
, U M- m8 B1 S5 I1 [! d' A$ M ) S, B# E, W# F6 V
* v e n# W M) `2 u
! q0 K7 Q, F* P z6 m, F: B0 p
0 d# U) L& f S' T+ o) B! E

1 A! c" P! s+ w% l9 T % M9 Z' b2 {3 T( B/ [) t

8 d7 `; z" c* K0 U' q" g

1 F3 o2 m7 N- S7 K3 | 找个上传的地方上传如图: , ?, z) \" u2 c H3 M

* y" X: H. R. Q6 x/ X( {
* [/ C7 S0 _- O( k* G: t; J ' ]5 X( y D/ }# n/ h; D
- b5 I1 A$ ^' o8 S5 m- @' E* P5 s
- c" S# r( M! @# h2 U( P. T
{* n: H: B0 [

. G1 T! }5 Y% K G H$ ^% B. u4 B - x' F8 P7 s4 P' a

) ^+ R. l& _3 E4 X

* t# R* ]3 K! X+ ?* ` 然后就是同样执行命令提权,过程不在写了 8 G( T o. B8 m9 W' ^) K1 {9 `

, P$ |4 I" O) Z$ L5 \# H

7 m# B' @% B+ t5 L( c0 D9 } 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 / Y2 B2 q0 |, K' P. `7 z) _

0 H" v1 U' f% n1 y: \

1 K' U2 w5 S1 X6 I; Z 首先测试ARP 嗅探如图 . c0 |0 D( U6 X) `4 x

7 R9 f" Z/ {: }% K' z
# m" S: g# I. |8 ~7 P0 o, i6 [ - F% {, J' o. j# p
$ |) q U" ?6 @# D( e1 \; Y& l
+ z3 f/ h5 K2 Z8 n7 G
: C( K# ^0 x. U5 d1 ?% G& @/ ?

0 G6 t, k' O6 P' q8 ~1 j! f 2 o0 A: y) C" W, o4 i

4 m1 F$ N9 g$ n* Q& Q( x0 n/ ~

) K/ l. C/ p+ ]5 b) {& m; @$ }$ p) p 测试结果如下图: % }5 N* |. G, D& H" M3 W+ t

& d, q% |. Q2 x8 L" ?0 \9 r% f
$ i- b5 L+ x; y# ]( Q* b: J0 \ + w* Y! V/ Z9 E# a+ _+ z# n
4 p! |( I t' w; G) r1 K5 ]' L
1 _! b8 J% h. ^7 E
" U/ ]* t5 k4 Q

' ]4 i5 U! @9 [8 ?: C* }9 } " O" c2 D5 Y7 D8 L% p- Z" ~6 _ S$ G6 i

3 c0 f( r" a& {% C% G3 ^, E. J

. @2 ^, Z6 a3 h" t) p 哈哈嗅探到的东西少是因为这个域下才有几台机器 8 ]6 A! u8 R N% ?

' \% f" |7 ~6 S5 R K; R6 s

! |# ^# A$ X5 i) O2 d- r; ? 下面我们测试DNS欺骗,如图: ; C+ _2 Z' d( a

# d! b; }2 ?' n* c( Q0 Q+ e# p
% M, Z6 j8 H# D5 i1 v- W) B _0 ]$ f$ o' Q7 _8 r# }/ d" \8 r
" z5 \+ L$ T+ k
( a% y: J% c# p8 ~ ?1 d
+ S* c" S' y5 A4 H8 Z. r

4 f' v* F0 b( J4 D * Y- ~: b" B* r W* E% Q

; L+ b" X2 `$ e" s7 i

# V# c+ M6 g- g- D, `/ _. g 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 0 U; ~% q5 D6 R1 F

6 ~+ L; V! y+ u; G/ S5 R
: W- n" n& ?9 H. c7 Q . F" N* w( t1 o$ E9 i
1 @$ `) M5 o0 {+ ~
! P/ B& b4 C7 i& K+ {4 i
% m' F. n3 }3 t% o8 A/ m0 V" Z/ g

' e' i8 x6 s# z! E1 N& X 1 r j, p. `5 o! Q# W c! ]- v

2 r* u* j4 Y( @0 t' E* D

4 K2 k0 F4 Y1 ?0 j h/ L; q (注:欺骗这个过程由于我之前录制了教程,截图教程了) ! A% P. J, u; S% Z3 U/ e( e$ y% m

5 m* l1 Q u' I' [9 g. c

. z8 l$ K/ P S% v1 T: u 6 、成功入侵交换机 % G8 |* ^1 R3 P

+ t% s4 v }* p

! `2 I7 ?0 }% T! [ 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . X1 k$ ~% c3 Q+ X7 K4 C

5 M; h- Y4 r3 x7 ]/ L

% k( H2 `2 }3 w; p4 H 我们进服务器看看,插有福吧看着面熟吧 + K8 Q7 n3 K! W: S9 W) r

4 ?5 | H; I$ r4 D
( y; C. i7 \" S& x. S # d* l! U8 G' U! T) j2 K! h
. |! V; w5 D7 C1 ?
+ ~) G; s7 A* ]9 e, n3 `! j: i
: {7 D! [5 k6 m% v# u

6 m) k8 { ~: y$ m' ~. y 0 Y. _0 @& d0 s" ^8 I3 o. G5 `

& C! T( Y6 ?5 E& ^) o

$ H7 R# f( V& q9 H* o3 j- ~ i" r 装了思科交换机管理系统,我们继续看,有两个 管理员 4 a J- U$ [6 ?. |# T |

1 }0 N" d- ]- o8 a- U) ]
) S2 i" K& X4 W* { + J3 P7 s0 Q) x! O+ ]+ o
" q8 V& q6 F+ F0 i/ c; {2 l5 D; p, N
$ C, x8 g( l2 B" X" p
" o3 f7 c# `/ S( N

3 H( E* `7 L, S9 P 1 ?4 K0 n- X" @* C$ I2 `, `( z

! v' i& n @% t/ T" M7 u+ u

0 k% B) g) t* p0 @9 U; K7 I" } 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 4 _% F' G7 Y, Q; d9 a# O

5 S" G3 `- l# U+ x( B
+ Z* g+ E3 _' P 1 C6 p8 a& }4 e' Q+ \6 r
; h. {" A/ }3 l3 o2 s
& |) n# S" f0 u6 E5 ]4 k& E, M# Z
& n' p* _2 M. `# t

0 ]; c+ A Y/ X! t2 l1 }3 | ' c* _3 h% S0 v# M3 J. F

% ^! ~2 _) F! E, h& k

8 E' L+ Q: Q/ H2 a 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 9 Z+ v- \$ T& }: t- [. }5 G

% N/ y+ x7 C( |% Q0 A/ ?% Q, W
$ h/ I3 a6 N9 b5 c. D- A* I ' M2 h) N3 Y3 z+ K9 P c
k& O8 S7 m: L
6 }7 }3 m; J# L; a) z ^
7 P* M1 u" W% z3 ]" m. j) A( }

7 P6 F# p# H$ k& r , J& x6 P c5 ~( m, g6 N

, j* W) o7 [ w k, t5 y4 i

0 S3 g }8 h2 X+ b3 Y config ,必须写好对应的communuity string 值,如图: ' F6 w0 s' {1 ?. t* n4 h$ _

( P* X+ E) `/ A# b8 y0 m7 Q% ^9 ^9 l
& Z6 r# F9 @- c1 T0 o- t, l 0 Z* p+ L+ \+ y
' k' E6 T$ l4 M
# X a3 w+ N, s7 n* T5 [
6 _9 R9 q9 w9 U

2 Y) ]2 }" T! ^2 p/ e' E& e # L$ R1 s K: b5 @

, c" y0 O/ s: ~8 i4 x) Z! P* D

% \& M7 A& n$ u/ x' f 远程登录看看,如图: 6 [; C, Y' | z. @8 h+ j

7 g! ?" X4 V4 K; c
3 b3 f) [ Q8 I E& @- D 1 ~" e c5 ? ]: N$ u; I: Y
4 [/ H" r7 \: K7 P3 }/ r
( [; w: J# Z0 K; E5 R
9 P- x- O2 k- H6 r3 e. g; y$ o

1 ] n: a- T* i& L, `5 \ + g% J& w1 n& R( P! _

2 C* c! ]3 ^% y5 O6 M

+ A3 O! i+ m v) l# t. A, p 直接进入特权模式,以此类推搞了将近70 台交换机如图: ' ~& \# p c, P2 \. G8 Q6 T

9 g" K/ B. I V2 ]7 ]
# x( ?7 U; G* n8 d8 @! v4 m 1 P# b. s8 P. F$ a" t W0 x
6 o: h$ W; q- J4 |
$ I7 K, O% K$ H
( O3 `/ |' M. c h+ J5 {

4 Q1 Z+ ?7 R* X $ P- i7 q5 q4 R9 k1 S0 S

; `% S w0 a' D

4 C2 o* @! o- Y6 j 2 j1 _) O- W7 Q1 a1 r

$ S& i; Q1 d [& D3 U7 y) c/ C4 K

; @& x( r% c9 U5 P 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 5 I) e5 p6 c( F

: x! ^, y( }% w7 ^" q
6 \4 p: |5 c; Y# @ j. Q: a- s4 T: Z. e% j' V1 X
$ a# u k" ~! A- i) O, G
; S R; d% b* M' }% r# Y
+ \) [( Z, C% T

/ {1 \& m1 p; ` o- P # W, s- K, b2 }6 J$ ^, d7 D

, ?& g! d) r: H3 ^# q" U

3 m# O/ P' R& W6 v, v) d$ e$ J' N+ w 确实可以读取配置文件的。 $ E/ J! E- [* W B* m6 S

; L4 W5 a% v) P- w0 p6 Z: s

+ l4 [& T4 }8 h* j+ e 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 2 s* y! P: C- q5 H$ R: j: P3 s& [6 O

% s. i5 J A7 l$ N
7 w8 a: b7 \! q 9 H4 A7 s$ [. ]8 l% L' Z' S
; l( s J1 {- Y7 C4 H9 q
, V W. V$ J2 m+ V7 i' c3 X
. P0 J8 l d- s0 G8 W

4 @" f% f. I- w' Z6 ~ % N- ~0 B* U. b) y' N

5 {7 [3 i7 J# E* o

9 n7 e" p. t) Y4 l 6 ?. H6 e, C% o. F: ?

$ H% S/ C6 k2 R& r9 R1 S

1 k! S) V* T* E- H. q 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 w- d$ `) U% I2 g& H6 I

9 h1 ?9 R1 H% ^) L2 j
4 q' ?' K0 T1 O f& l; b' e 6 d$ a+ L/ M* d j- J
/ X$ u+ ?) {, s
6 h( x4 q0 \) ]8 ?- h6 W5 D% ?4 L4 S2 J
5 x q% \4 S( \- t1 W8 [/ |

9 |8 K D- g# K: Q6 y 1 ~/ h+ K3 L- v6 i0 D7 n, H7 ~

# X7 I7 W5 Y9 _' l0 f3 a# V5 W

, @0 l! [# D9 N& T- n: [. [ 上图千兆交换机管理系统。 : g ?; w3 W( \6 e% e

2 c7 |2 Z! m8 l j. Q, `7 B

9 e' `* X) ]" f. C 7 、入侵山石网关防火墙 ; l. k. x2 K. t" i' i

0 B* M, M% y/ ^" l. }5 w; V

" S8 h( e3 v9 p' i' a 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: # ]2 t p2 j4 R9 n+ w' E

& N& t5 i& F" J D0 A* J: C
& \6 c# z9 j8 U8 j5 ]3 P6 n6 L + ?& Y9 ?4 |- G: L
4 Q" z, V e/ K2 H, m# O7 l0 U
! c' |( E" ~! w" @
' f% Q7 f& o7 ~1 }0 L

0 x0 d3 G( K4 M2 L( `# {6 r 7 P) T, w9 G @1 J* K

M% v/ W6 U' K- Y, T% j+ Q! a

: _+ J& I, k2 P" x 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ( [: b5 P/ x( E5 H5 n' h% K; ~

9 ]6 [2 `5 O0 S- j3 y3 L
9 C) U4 x2 ^7 r4 Z" ^) T& s3 o 9 |4 V3 E3 Q$ T
0 |. Z( Q! e7 v% _5 M% w3 Q
' j& u$ d% h( \/ b
4 ]7 n( [5 u/ z& O5 o; R% X

4 ]. p; b& D. J: R ) o0 F' o5 G0 H8 f, F

6 n* Z: n, r4 D

4 b$ Q' s' |* a2 a2 M7 V 然后登陆网关如图:** 8 B, @2 N) P6 K5 H) } ^

# Y" Z& L2 S' C8 p c0 K; I4 F
, M+ g) O& k6 u/ q/ y' K " F4 m, n( O9 t( W9 Z& _
+ I/ a9 z! z3 l2 Z8 u; v7 k
4 c3 W( ?! c" \5 x( ~: M
5 } u/ h5 ~; _5 r" X# _

( p* m. p# `* p% l2 V7 N# v+ H+ i + Z- z, w/ X8 [" X- r

0 }8 S s! p" w
# b6 r" Y. F1 k) N 2 r2 e( {- h W8 f& `) _
- l- I. e1 `3 _; y9 n$ C
- E! t. f6 a# }5 P8 Z3 D( u/ X
' J5 p4 _4 f; i6 J9 ^7 \

; O6 [3 O4 e. d0 O 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 2 O4 T6 L: Y- ?/ v/ S5 |

. }9 V* c8 [: h2 x; d

6 T! L& M& D. f6 ^+ d 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 N' O, x7 Y- ~7 l

7 [9 \) B) f$ E) m# d7 x

! J+ U) D2 Y" q: J 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 2 a; Q9 [* A/ ~7 U! D' x

- f+ R* M* P2 Q* ?, u
$ e7 |! u8 w6 b; F2 N $ O. ]6 o/ r4 e) [) w9 {& z
5 T4 q$ Q4 t! u$ _5 A
5 F) |4 R, u/ s, R
( u i7 A) B- O. u9 P

! g1 }4 D! l! _$ ?) O. Q 0 d3 u3 l5 b1 s4 O* N

0 ^3 F4 M$ |) s6 K1 q6 J3 N

: s% Y. M8 O: J, W1 X 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ( Q7 R* L( \- c. A0 L

' W6 U Q" D( X% z6 K9 z+ ^

1 H9 l: r- { i0 d: I   ; T7 H6 ]) H* [* E

# C& U; |# q- u" W

. [ E' C2 D7 U$ F
. Z* T: Y( N9 m/ j* r- ]

/ i Z2 w6 e0 F6 ~3 X. T u , L6 w4 {' A- u+ R! C8 P$ G
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表