找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1392|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

q- v0 I" c9 a x5 ?+ w5 S6 n
3 r# t8 h6 o& f6 I$ A* E

/ x3 O5 ~5 i. I

& Q, T0 O2 X5 Y" T- o 1、弱口令扫描提权进服务器 . s5 B, {- U9 z v

6 W/ T3 z1 `- m6 f N

E) s/ N4 S- u9 a9 I0 z 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 1 n) ?0 P( g/ L5 m8 m6 n

P" |9 z' A$ g/ E- u
: d8 _/ H- e: M- u & `( p( B$ v8 b/ [1 m' \% a- r9 Q( I
2 R8 y' M0 c+ {1 `0 j+ y . T2 X% [# T, t! M' ^2 T) u
8 s! H& ~. ~- n# P& z5 f

, ?; l5 {$ _3 ] v) @/ l * ^4 D1 A9 _. Y1 K" L9 d

6 t ^8 h1 J2 z' p1 j0 b& |; `/ {

7 H$ P* t4 b* \0 E5 M" @ & a2 ~/ [" K1 q" I& ^) ~: d

. [6 v G$ D/ j) ]

9 y4 @% ~; m3 N1 i: O ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 * b: O: E, u* r" h% e* A7 U1 S

$ c( O }( t* `, L" z

2 u. {3 ^8 s" }/ Q! a 执行一下命令看看 $ `3 h. g" `7 S7 C

% e4 V# x9 g& n& `' I& l [: y. c0 N7 s. x

. P; p7 F* r7 s + k# I+ w4 ?0 r& p

5 \7 |0 x8 d$ `" s; L
7 ?. ~6 u3 Y$ }, e) w- j ) d1 |% P f& e: m% H& z
! `2 s0 a2 M k . H" V/ c5 V. E7 d5 |6 g; \
7 @8 M. D4 B. V2 d& R- t, t3 N

: i9 [2 z9 p7 @: B 开了3389 ,直接加账号进去 % D% r. ^' K; H3 p: [6 V. G* {* ~2 ?4 U

1 J1 g4 ]) U4 e2 c3 W4 b
E5 n; l" t: u3 J ' R' p9 b0 V2 h# g
( U, y* q$ k- G/ w% d4 V' k, i) s9 Q + r% W- O& E$ i( L1 i
4 F4 S, H6 C4 N8 g

; _+ t3 B& s5 O$ }, }. H0 o( K9 R ' y0 L; B @3 R8 e6 s2 j

/ }0 u t. l7 ^9 s: U8 l4 b

/ v5 {% a% N' n% n9 p3 f 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 4 c2 l3 I0 M$ n9 V4 Y: p/ B

; K4 D; p$ J6 L' f# W1 r
% Y; d2 `0 T/ s- O1 w; z ! S, K7 I, R2 r
* `* L. n8 G4 j: U , {5 ~% M/ _+ {4 }
/ |7 _8 @- p/ c( W. m' F

q6 p, y' ?" Z m4 i 4 s2 Q, R$ \( ?8 w# |( u( ^

; \1 G2 w6 r& R$ y7 v, G& `, q

4 P. D' e4 X5 C0 P$ b" c5 m1 m% M: r 直接加个后门, $ k1 ~7 O J8 A3 p8 C

8 Y+ o" m5 {# s4 S8 \

/ z: M' p) Q. U5 C5 V 1 S$ F3 U) N3 |1 q7 m& p/ V9 b

# q/ L. v# w/ k2 @- B; Q
8 R! V' @+ u7 F8 U; c' t @+ M/ ~" @ f4 i; L( W
3 h- W0 z2 ^8 T + ?: y! ~$ G$ s, }
' f+ ]! F* f3 \. j

! E. M! V5 ~- C 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . Q! ?. j J1 W* {, a

! t' |9 X' y( P n! L

1 S- m1 ]" p5 j8 B 2 、域环境下渗透搞定域内全部机器 & c2 T1 e- ?3 t2 @, ?

3 b5 Y: p H) J% o- n. a4 k

i0 H, M; B1 `* M9 K* y6 m/ e 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 9 _* y3 }$ x1 B. L, N/ K& ~+ M

7 _+ }# |. h' Q7 o+ j9 `) E r
* p$ X& d! ?$ g# Z# K, k; S 0 ^: G, X6 G, E) O
% u! f2 O8 K' n! s ! ^6 I$ ^5 c1 I' V) t% E9 |
: p% Y" p/ e4 B R; j

% H7 W# g+ ^- S4 K ! P Y) S u; _! S

% o3 s* H6 J( G8 Q O# j

, p* k5 j, L4 ]0 @ h0 A 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 9 V6 ^ v3 k+ }) F3 B

# c; ~0 N7 c8 `* X
6 L6 S; f, k- e) S0 g : k" F" y, z/ U
" [! `& W' R' e5 z; c2 w# ? ' p9 ?' K; F/ |1 ^" U2 z' n# @- n0 O
) f$ M8 F. C' e

6 Q$ V: `0 P# j! A& j C * I7 ~9 M% J* j4 b( g

9 c, [# b5 q) H; ^& P% W: J6 m% q

0 e Q3 _! i6 I, x7 f1 u 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 4 ?, m j6 z1 x8 t F `# |( a

5 a, p9 V5 w5 D
' x( ?) E9 r8 |# V * f0 I# }! x4 I% f, W5 V( W4 W
# N7 Q2 G2 Z' e& a/ y: ]5 y# u% P ; U3 U0 b# u) w% m* ^8 N3 {6 [( K
. @+ { m1 G/ o

2 h# S& l6 F5 f% P; ]+ S) ?# _ / U: V5 v' j7 i; y" k6 x0 F8 E* [1 R

' R( @& q8 k9 `0 H$ D

9 m3 s+ J7 Y9 _2 X: E 利用cluster 这个用户我们远程登录一下域服务器如图: 1 T9 @0 G! S6 C. h5 ]) F& t" d

" ?* d* w' [! m+ T) m' I4 R5 L! y
" x Q# j. k9 q+ G. f0 ? * L' b8 Q# h/ D$ w) I! U/ m
7 P$ S5 x7 ]/ q5 m; V* G ( z6 D- o* q( ^. I! W* G4 q5 g3 V
9 J5 @# E D% O T, d) M7 l- c

4 o+ E0 l, M+ \' O2 p' l ) V1 y: ?7 F1 n0 C* o. ?* q+ e

- j7 n$ A# h. u

) F* g, l& B9 ^8 e( M! K! g 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 9 i+ f' f, ~4 d6 r* F6 I

/ x0 L1 J' e0 u2 g% }# M" E
( J3 z j" B; b5 x2 ] 7 r/ a# E @, s7 w7 k5 V
; _/ s) a+ u; q4 A* Y3 y0 G5 J1 f 4 f1 a$ G( O! g! o5 w: }/ D4 S
. `% d6 O, t, s1 U% p

1 h; I4 _) B/ r( e) @ ) ]/ P6 `' T0 M) I& w) k0 V

$ v" @; I5 p% C0 k( [7 j

6 w, F0 S7 ~7 O' u, o 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: + r) T& S) i; {+ t3 F$ f

6 `4 A3 O, I1 D4 l* f& x& d

% v* X- @# n+ K * |9 q% ?) W6 e7 ^

6 Y& b4 F+ E" D- Q: R% S

" ]& f8 h( I2 l2 a 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 6 U1 X6 v. r4 x0 O3 n/ M

% f) K& m, o) r% ]* p/ c3 q& n

) _1 d6 ~- C0 ^, O blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 2 T& E+ n- Y' F4 B# S2 Q" `

/ T9 Q' n5 t5 p2 H$ z
$ |; J6 c7 T1 e" s ) D- Z# n# d! y4 @4 h2 P
1 w# U6 F% _: X8 C( _0 A: V2 j 7 T, m0 [5 S, G; T. t9 ]
6 q1 h+ f4 p3 Q

1 m, G3 J4 i4 n m$ \0 w% l 9 D" c- @, T& X+ n7 m

; @# O) B! p. }. k

" r/ R' o+ C" V. e+ C- r E9 B 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ; ~! Y Y" I6 R+ e' b3 h

/ a" N3 a7 B j, G, `
0 `) t9 M& Z! a( A1 i {2 |+ T ) C$ ?0 m4 w8 a. @3 T$ {
+ w. f( s; @; T' s0 p. @3 U # C _# Q3 M# M. `
|, [8 u" A+ J2 F/ C

$ S. e" A `6 h0 R # I& k1 s& H% a

& J( l( k8 g" _

: U9 Y& m+ q1 b! f! A 利用ms08067 成功溢出服务器,成功登录服务器 ( ?# h2 q1 x8 x& C8 W, p

2 b4 R- Q1 {6 G6 Z a( }
1 u1 g, ]' H) o% o0 n/ Y7 f! q ! |! P. s! @& d! X$ I9 e
# `* b a0 [3 k" m . ]7 q( x: Y/ {. `
7 [. x4 w3 A0 ^: F0 n

- g- Z$ g: O: w9 D h - U7 D5 ~% F8 P! |3 n

, h+ M8 @% y+ `% y

% c2 t6 O, T, s0 D 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ! }4 ?+ Q* z7 H; T

/ {$ a8 T; Q& J1 ^/ m+ d2 O, I$ `$ {& Y

, G2 f# E) d/ I# u1 Z 这样两个域我们就全部拿下了。 a* ?7 J- E! M. O9 n

/ x; P9 B9 T- U/ R

7 S6 @- o7 L5 `5 t* l0 _ 3 、通过oa 系统入侵进服务器 ; N3 {) a, C `2 a! p

" _3 L" Z H- F; _3 A

. ?, ^) S' A/ V7 ? Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 2 A8 W4 l+ G- S2 ]+ w/ o# X/ H" _

" h1 c& d( l# D
( ^' D6 ]3 p. ^ 8 W. b: I: G+ j7 \9 W+ @* |
2 @ J, h! g' N9 {0 T( ]4 E ? , {$ w9 \! D4 T6 X. x. _3 y
% ]' c6 n) F6 Q

$ @% U+ I0 J' N9 i ]7 d 1 H0 |' ]# R3 |* d1 g

2 w4 l! W/ |* M$ w

& V+ p- N5 [+ n$ O, f, y! N/ M8 a 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 3 I/ Q; o. p1 Y2 Y; D+ p2 G

) u. T( ?7 n6 c# ]
- Y" a+ C/ i$ k) t5 r * ?5 t0 e6 e9 W9 l' @2 G
! ]' t4 p+ J, A7 h3 \6 j 3 Q- \) d. c r/ l% N) G7 @
% Z, ^4 C4 a& N

5 @, E! `# V5 @9 u 8 h' `! g0 ~' }$ a! h

/ c" `, @8 i# A4 s1 }5 ~

* \2 S6 ^1 C$ K+ J 填写错误标记开扫结果如下 1 J( u' j" X: I# v5 M6 D- B

' i X2 A% ]3 b3 \' j5 h( J
1 v, E$ J# a- z- L & u3 w. T, U" o. I& c( X
5 q3 p1 E4 |( j/ I0 A5 ^& ~) K 5 g% V7 b. w/ c
/ d" d7 k# Q/ v. |) C# s

7 Z" Y! G/ Q5 }! d6 P, }# K1 d " R" p; W& i! u4 n' |' N& E" y

* O8 ~- [9 F4 w' }3 b

" z+ `$ @8 c {6 C; J. t 下面我们进OA : A3 j; ?* F$ N& M/ r) o4 T

# v1 J: S* J/ R) c) p2 s6 @: f
* Q- H2 {- M8 K) H% ] 1 l% v& ]" U( j4 Q6 C @4 }- f
/ i, W1 ?1 P* o6 ~6 n! r6 f. m 9 ~% k! f+ |9 W. \. ~. I
& ~$ E6 e' e( n, l; X

, S* L9 g/ `% Q2 g/ Q , a" z' j3 L1 D( w

5 U- O. U0 P' v1 c1 d8 A" |

( S6 i! j# V. m( Q# t7 C9 J 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 7 B8 \/ e6 A1 d/ t, g+ F- @: Q

" K& S) K; z3 G; z6 ^9 ~
i% f* l a6 v, n+ q6 |) ^ ) R; d5 ^# `9 V* @/ ` ]( }
! F! ]; m1 u0 W; x/ m- ^) q . t: j. Z$ b5 v+ \4 C2 F" p
6 S k9 X% Z F" A8 K) A

: O+ |+ ^1 U# \ f - g- T6 O/ u. _. g

. n8 i; K5 _) u, D

- b+ s, L& }* L' \/ n5 T # _# I. C# ]* ]" g! F0 ]$ @

7 H* t; E( G7 A7 I

, E8 Y, a) H( o 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ; Z% X1 L* M; {3 Q. I4 L: Z( T. I

- E+ ?0 W. u. k/ n

$ U% `+ J% h6 ` 4 、利用tomcat 提权进服务器 8 Q) A4 b5 S0 }: k

/ s5 `' {- y0 v4 O

5 `) p- @8 u6 k" r: Z- v! N nessus 扫描目标ip 发现如图 n7 R# y; N: T) k2 o) K% e

% G( @. ~( K, e
) t1 U3 j/ B5 @! |% V" {# G . S7 X' m W- H, A9 m# ^
7 a' Z6 \, P. s/ _4 [$ V & @2 W& m9 [9 {- F- m+ L& C7 A
3 _3 w4 e- o! d6 J( O$ d

% C4 U# z1 k# v5 y ) M- ]2 Z3 Z3 y6 \. O7 d8 T9 }

0 b U8 o- ~" @0 q5 l9 w/ I2 {

6 ] V3 g% L+ w5 D7 ~ 登录如图: 4 K* g$ ~3 h% Y$ L6 {

* u+ l. n2 }! U$ T, w: x' ~, }
& T: _7 J( R. a. W) |( v9 j * L+ Y! |1 t' I8 _) I$ F
6 O- {: q1 f( [8 {; A - e% t3 r8 `, f r
9 J$ P4 D5 S- s" J) ^

# M6 l, ?% s5 |* s 6 V: A1 }& v3 Z# o0 I. ?

3 l( Z# r8 d1 [ A4 c) S0 ~' i/ s

; _& \5 s; i; R. |, A) w$ q: c/ R 找个上传的地方上传如图: , [+ C' n: @% a) G$ A

+ i$ V3 j: v6 o( a3 N
* O1 |, |/ F8 V& V2 U1 ] ! k. E5 R+ \: f2 i; ~2 V
- M* i. H {/ k& I 8 \; f& V+ R9 a: I8 @8 v* G6 U9 s
4 C1 O4 u5 w) {( x- K8 k/ {. |3 E

: Z4 C/ U9 `6 E! z: x8 d2 a , ?8 a, ]. N% p" \$ w: I

3 W4 r1 ^/ L: w1 s. b( d

9 }& o- y. @- u5 h& K* s5 z 然后就是同样执行命令提权,过程不在写了 : ?; z# q* `; e' K, q7 s

/ c5 {) T1 p0 h: C4 j3 n# g" T

6 X, }+ @( m: c8 p& l1 Z9 Z 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 + @! }% a3 ?# C8 o

) O- ` j, _" q7 o; Z: {

# }) m, m6 x7 k! V! J2 k 首先测试ARP 嗅探如图 $ o9 f4 S1 D. [

! t$ e: V8 _- o' N% K
2 s! U6 L8 ~ C+ O 4 d. R# F' i9 h2 \
- |9 q6 X3 d: o8 K7 X 4 U2 @: E4 z% T% U) v6 W
" h7 p) j5 M6 Q' s5 o. s, ^

/ |. s0 s- T4 b1 w0 v" C2 P # E! n- c. t9 ~: P

1 {" ?, o2 U+ h

4 Q6 U1 b/ w; a; _ 测试结果如下图: 6 M! e! |' G- t( t5 d

( w' e. c; T2 ]
4 R% t q1 j; B7 `! C, h# Q, a ( T8 P3 q8 y L7 J D
0 D( m% f, z" J8 h( A0 x : T5 ~. Q$ o8 Q% y& Q u7 n
: H; Y+ C2 S* {/ Y$ T

6 r- a" y3 q! B! X! Y" ]. w4 K! G 2 O9 V! G# O" ~3 R+ l% q h, c

$ Q* Z) s' v5 F

* _3 A& Z4 b0 n) M/ T0 g) E 哈哈嗅探到的东西少是因为这个域下才有几台机器 & I) t: d5 H5 Y

% F g) M" a3 }' P+ Q2 \

2 t: a' s9 g+ j* w 下面我们测试DNS欺骗,如图: % F# ?3 }) E# Q7 x* ?+ `

* r& x; t- M8 h( G
7 Q5 A1 x+ r: B4 V& [- f+ _' q 1 ], x; k8 r7 v9 Y& T1 `
2 X- h- l3 x' N7 I5 M- _ , z" a$ C% m/ K! J, o
1 T; U6 \& j/ ]4 o' |5 v& n+ c0 X

+ ^: b) h5 w$ s( x9 @: u; X9 U r" V * k2 h9 O" d9 x

% E1 Q3 D9 k8 g; O* S( l

3 U. p$ D+ t7 c8 u7 G 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: $ H" Y X7 x5 @( c9 L4 S; b/ Z4 V

) Q' d4 w+ ]: V S
0 i; W: q* D1 E# V- ? 3 e- n5 a J& i+ A- ~3 Z7 j# \
0 ~$ s; d- _) Q- e& J9 Y + F2 M3 I4 t$ `/ b0 C5 T, c2 G, P
6 V' s9 j+ h! v7 ]

3 k6 W* f. Y0 G. m / f+ W3 O4 B7 r

- Y( j& g3 F) G

4 c$ o9 T5 w W5 ]* f (注:欺骗这个过程由于我之前录制了教程,截图教程了) 5 W; c( X/ p; e- b0 u6 b

; M( R0 X; f: w6 Z. C

6 g2 V4 H+ v1 Q/ \8 ~ A 6 、成功入侵交换机 & A4 k% u5 ^3 t" A

! i* F' D( c7 Y6 x/ ]

- ? C7 V! p8 S# C' G7 i 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 " Y( _9 l7 T: e: F% t" n" _

2 N. x2 |3 \, Q5 d

5 |$ S+ Z8 m$ @6 H6 R* w/ I3 m 我们进服务器看看,插有福吧看着面熟吧 ; A% x( I+ S6 g$ [1 q# [1 l3 M

- f v# J9 Q( F6 Q6 W+ U
1 E" K4 S# c2 ?0 U2 I & U# C0 _/ }4 b8 o
" A- ~$ i N8 e; y' |5 f % s8 `# c4 L' D" J
) c/ W) d$ ]1 |, G# z

- O& ~: o, h+ } , t' a0 ^/ y9 ]& S+ [

@) T+ V6 H' g0 g' }) ^% u6 t

9 M: Z% d& n9 o' d 装了思科交换机管理系统,我们继续看,有两个 管理员 7 q( g3 Q. w) u1 |2 T# {* E( b

; r, F& ~% x% W: _- d
$ J3 F+ f6 W" o2 s8 c4 M C: V/ c Q 4 ~1 V: ]* N$ w8 T
( [% m+ K. R0 m3 R4 @! o 1 {6 `% e: O) X8 N
* z8 _6 ^. J$ r# l# Q9 h _0 V

3 p4 G) D1 p4 X% C - Z' j% Y- P4 I: V& k

' [$ Q0 ]" A8 s5 Z8 T/ a# i/ g

6 a3 i! q' x# ?5 Y) w 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 # {* o6 l, \- m2 L

: H% h/ ~$ S3 d2 m
) V2 o# Z+ ]# x, t" i$ H: ~ 4 r- o0 S& R3 X0 i$ ?! e: e
, w6 {) ~: e3 p" u ~ ; _7 r! z d" ^8 m
2 z; L0 M8 n, w% k3 V

8 s/ Q# ~/ i* x0 l) w! ]: | ' w: ?$ `+ @- r" ` l7 @* P1 l

- x2 v- y9 E2 X; [" X0 O5 C

8 K$ R" y, ]0 P5 G: d/ E 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: % X& f) T d! W% I) R+ ?' M/ |

$ C7 ]0 y" |! R- k& Y
- s. X0 d. ~' r; k# y8 }5 O W# P1 G2 e- W+ G( N& q
$ T) C9 w% X/ X: O ; G* J# y% r+ J) c' w* r6 K( g s1 d
) Z' L7 _( r0 C8 u0 M" K

0 v. e! y: d) r . b) K" q2 a* S$ K6 N3 J# W- Y

! i* V% d! E; l7 F: z

: m. G9 n) p: F config ,必须写好对应的communuity string 值,如图: & @) d) n) I( v7 [. B2 |( ^

/ p, p# b" ]8 k' y* @
1 A3 @2 g& E; E2 Y& b 3 b4 m5 F; ?, I4 A0 R
; I( H! r" w; E: h( d1 V9 Y : F, }: q% ], U7 s
. M4 z6 {& I8 R9 S/ j

; Q# v. t( H, a: e7 m + Q. u: M( _' x7 O

N6 t. b+ z/ z! n+ e+ o

# Y8 y6 C+ x7 [, [ k 远程登录看看,如图: ' X7 x% @( i( Y& c( C: L! `

3 l" C7 e h ?' e( i# K" [
4 y! `9 ?: m" O, F3 _& w6 l $ @' ?) d! `1 g Z" V# S
: M0 l7 i! r, |' T' b% Q _ 9 Q7 z( V+ W9 E, H1 b1 } L. P
- u: b$ H- o8 M

2 N7 t7 g2 Y* F( H" H3 a 1 _5 t4 @! i% [1 [0 e1 \0 ~

9 |. _' l4 ~) E- x l, C

# T+ m. y& K; z- m" {& |" S 直接进入特权模式,以此类推搞了将近70 台交换机如图: / V, F* m' S5 g" L5 Y' |' b" [

) N; @" A+ w7 B% m& b
2 g; }1 m: T8 c- v% _- A9 ` 1 p$ ?/ V- w1 j7 H5 }5 u
+ _0 Q; t( V; N9 K6 t- k+ D& q& } : o: U4 w d4 J- f7 ^& T
, v% y; R) w8 j. J3 |

+ L- H. f4 j) s7 ]4 x * S3 v8 s& l) b* v {

! u- o( m3 q7 f; |8 t; g/ f, m3 |8 N

: s0 l2 t. d+ T( t; a4 W6 n# {1 u . R `$ x2 q+ m- ^& L: }# @- U

8 y& C) N+ Y" g: V

1 O/ Z4 V- l5 J 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 4 A6 G0 \% f, E9 [, A! g

& D2 d& i V% M" Q: {" F# _# h1 M- F1 s
+ x" |8 Y9 o+ s. Q & {; d5 N' G2 J$ Q$ e4 m! u
( o( c: D+ _$ s1 u- r" B 9 S& m* j. Q7 U% f3 ^1 v6 ?0 Y
" v9 a3 {9 x6 z' t! ^

1 J. ?' i/ b1 d6 o : m- D) o; ^, A9 _

2 o) v) \( u6 `

3 e; u% n4 d3 t3 j 确实可以读取配置文件的。 7 E T- \( K3 U0 v' G

7 ?2 n3 K- B1 H9 \. Y- [1 m$ [: o4 T

* D6 t/ L3 q; e' s 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 3 W M# S( ~5 |8 M. S; A& n

8 C9 H4 e+ t3 ^/ ], V1 M6 S
. I% C) E/ E. v: D ) {( h0 _( ~) U* d, W
. K/ k) [7 \; q3 V4 P+ Q# G * y+ X9 w1 J6 a* D
5 c* s+ ]( {* d) h5 L# c$ t

% ^( Z# ]% \! V9 [7 ~* B3 d ( D" r& w9 a9 u5 U; `8 g

- w, L5 u3 U. U2 x# ~4 U

! H z9 J8 P- y5 c" K : ], G+ c4 M+ `! @; M

5 o' {/ d; j- i/ }+ V: v

1 f) s/ J$ Y: h( F 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 & r$ ^. c3 l7 M1 q

. A# @5 v) p; }; B4 n" p) S/ v7 L. S8 M
% i: U( J1 d& S, r4 |& ~ - ^: m7 y* o3 E5 e7 n, b" Y
6 |# s3 Q& R5 c( t, y " c9 Z6 e0 H- Q! b+ m4 V. Q& k
9 Y( h; j% u/ `8 i# i

; r \& `+ c5 R! m) I" s 9 p/ ~$ @4 I( E3 L* G+ g" @+ a3 @

6 w+ j5 T+ @1 x% l. m* F

6 i7 k6 ~9 E5 S 上图千兆交换机管理系统。 * u1 {9 C: G. [, B/ f5 b- \

; j* E/ T6 o5 T

1 _& H7 M$ y& E& L 7 、入侵山石网关防火墙 $ g1 b/ \! d% S; `

) [0 N8 l S% u" ~) }

5 G$ {% g& Q- M3 ^ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: $ J9 R" U: R$ L- @& F4 \" V8 e

$ u/ l# K% A, d" {, ^
1 G" z6 b5 |% N& w+ X3 E: M: C ' @' b" G% h v# n
8 _. p0 x" Z: L) y: N8 x( R8 e : H+ i, L: W! W: W$ d
" h8 W9 B! s+ D( p5 d, p. q1 J

; @- E, ]- Z- X 8 N; F+ E; v! ]4 R

* N/ t& ?0 C9 k" ?: ?! I/ [4 s

" F/ V, S4 ]. y F# R. G 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ; C! q% N( E: u" _7 Q q9 }

3 i+ l. A+ }$ ^7 P2 j4 u
' \) S( Y9 D6 w D0 P# N! N & @: x/ r& F# K/ F/ J+ I7 ~
3 A) i* J: g' o; n8 O " x1 n; d0 f {9 _
' n! Z/ B1 i- n

" m3 X( ~' G# s2 _ * I0 ~6 _9 T4 \% Q9 U: L8 c8 e

- z7 ^2 l/ `- }8 O

& _5 ^1 q* ^# o 然后登陆网关如图:** - c8 B3 W3 v1 D8 n; ~+ d6 f4 i$ K

9 q* i) H q$ c) g, ]$ t
. S3 ~7 b" C- ?: q( J6 v! E0 s 6 R/ m* C- r7 ^) i1 x7 R
0 t/ z* c y3 e9 t4 _ ! @, e6 O4 Z, X. V7 M' m
& D7 |+ G5 A/ g6 d( a

- k; U# N6 ?% `( F% r ' k: R. ?% u2 _' @+ G. O0 h

+ x( S4 G2 l$ r; P
8 J. `. k) }! E6 R {2 d; i # B$ x; E) C' _) E1 q
' b# i U* E; t% a: i 6 ^: g# f) r' O) t0 D+ F4 _
( I' t/ F2 w% x, a4 E' m

. i2 z& A; a+ P, k$ r" L0 B 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** / x! n9 E1 _. c, H# q1 S5 v, n0 q' P, X; ?

# {- T6 C7 J5 \" @% `5 x

; }* l- ?1 g. @: o# j% B7 G 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 8 ]1 Q1 _- r; P7 y4 A- x2 g8 v

% A9 Y# ?4 W8 t" N# \! Q! [- z8 Z

r( y$ I- `9 U# ] 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 6 l3 B9 P: ]: _2 ^1 ]7 T6 B# u5 m

: q/ |* p! L/ U: G5 U8 m
5 X: P& i' _# j$ {$ I1 F q : a& i9 J2 {4 A% g5 K2 i8 `% ?
- y. v6 W( r* G) i/ D+ \6 {6 { 9 g+ ^8 m9 R2 K/ M o
' ?3 P( L$ F9 x

) I1 w' A0 R- s- w% B * l5 F$ |! L# M6 X

+ t: j! J$ A+ l+ ^; {% a7 i

# W2 ~! I# X# l) P X 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ' x- ~. W8 Q0 e: D, F

( z( C7 z0 X3 u7 [7 P3 P

8 g1 J3 U. g+ C+ u: O   % ?! B* g3 v0 B( `0 U

+ {# H% B, ?4 k7 U$ w) |6 R, l

, b# W; F' k& M+ b b8 s$ s: u& ~
+ p# b8 V# C+ e7 J* k' ?7 ~5 h

J, l0 ]; u( \( i- c6 k4 h2 a* @0 S% j5 T% f5 L3 C
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表