中国网络渗透测试联盟
标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin 时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网
; z' g# \/ I+ y- \
5 a$ ^: o/ E# Z5 e c$ J
: G5 d1 Q6 \4 u# Y! T. M2 u3 ~
0 N; w: t( ]9 ~# m, |3 \
1、弱口令扫描提权进服务器 9 \" Q# z9 n3 O7 [: ?$ x, c
: R6 `- }& @1 F/ [% A( U, d, }# `& i4 o0 b
首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: , X5 a) g9 M7 m& n
$ k/ F, A3 i: E" x( [0 `
k% d% Q4 P( ^# A+ B: X: V
# G$ j; f' X& x4 l; o
/ R& k4 m) e) d$ n) N6 W
3 y8 n8 U* y, j* i! ^5 P
; ?' Y/ n. ]' k& S3 E8 d. \6 X. L; d9 v! N$ p
( A) c& V. `& ] T- J
; w6 }* [2 Y1 E
3 |+ i: J) F1 G
" Y/ m. |8 Q8 D# l- D' w% `
0 T4 i3 J, Q2 y: s
4 v& h" B7 a, i* p1 L1 c ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1 ,sa 密码为空我们执行 1 B$ v' I1 r! _( H$ f7 k4 p9 T; V
8 D ^ {! u S: ^. E& G; `+ M& q9 K" r, ]( s% i
执行一下命令看看
. _ i3 P/ X5 c' \' G; B$ }6 D
( e1 |/ [6 o4 I& r8 {5 T8 J2 f/ V/ L" S; }2 J2 W
( H3 I, G2 P b. V+ h
q5 f! L& ?' P: [
+ A$ I. C; w; U6 c; G' @7 k
C+ o! L9 p) v# `& V: @: g0 ^
, v- ]% E; v( D n5 R! f
+ ]# t; O! O# q2 j9 S) B; x0 d( M
, w% ]& b& Y$ F8 t* M/ w
6 u! ?+ t/ O* b( A& g 开了3389 ,直接加账号进去 " q4 Y# h' G' Q6 M
' V: E9 }5 [7 t! J' |5 o/ G* S& g5 v9 H N) e+ z' l! G7 l
$ c( r& M* J2 n& j* E- l
9 C, C- N$ I/ Q+ i* Z, n) h t% M
& H/ h: J$ B; L% {' T4 i9 d, b+ i: n0 z
0 D0 c1 P3 F1 I6 y
" {* N3 j6 m# t9 H4 @
0 D7 {4 I5 g0 i4 Q* a% r
- B0 n9 [; J' c9 Q/ a, c4 y
; _) _. }# L6 X, o4 L
一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
/ ^/ `( k8 d) A# X1 j- @! n, }
: D3 p! s# Y) c9 O' D- o: i# C, C! U( W7 [, |+ g' m) y1 }
) E$ ^1 L! u0 R6 p& g4 \0 C
! r, D, O7 M9 k9 a7 e Z ( {' r2 s" X$ I- s- m
& r6 x+ |9 D+ U2 B5 k; W: O8 v% `, S# h& @" u! R* U6 u4 s6 C: S/ N' g
$ {7 l0 |: Z- G0 k$ u3 X# G+ g% k
9 U' y0 _+ U6 [. O5 n- E0 x: i P s( O* e
直接加个后门,
- m/ o5 [3 ]- m7 s" l* X
: f+ E& B. R \8 i/ {
6 c1 w, k( ]6 m' \) z) p
; K6 E# i% q+ E& l% A
# z' g6 m' q$ ~% `. j5 Z% ^: g7 x6 s8 Z& T6 @2 B
% C" M! @% e# |( L( [
7 `" h. ]+ B8 {/ A$ m8 d4 K. t, Y! T
' m: C- z! v( M. p7 p
; V/ f& x5 U" I1 _
7 h/ ]3 v* _& f% A; p
有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 J( U+ G# [# X a. ^
' e- \" K+ U4 b/ _: N5 f1 }5 M1 t* K
2 、域环境下渗透搞定域内全部机器
! D& C, a6 v, I* c: n7 F% E1 S
" h$ q* B ?7 x( E: D0 N
% T+ p' ?, T+ n( ~. V0 X X
经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 g) t& n8 e5 p+ ]/ R
" ^0 i Z' W0 @- _, \" ?
0 ?; R' u& U: l* a7 c
3 T8 p) ]1 S8 N9 Q, ^% C* T& O
' J) O$ D- V; l) N# ~6 F4 X
: I5 }0 k M( ^, t% s! E0 D' ^2 C B
: C2 X# C# ^* D
* H6 w" V. u9 C8 t! O
* T0 t2 w# @. d
[; ]# \3 Y' a/ y" x% e
$ D4 L5 G# P* D! x! X, ^: k
当前域为fsll.com ,ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ,执行命令net user /domain 如图 4 h6 T& h' E& h; }, r/ Y
1 l) [4 G" ^+ U# Q4 h, e' B
& a. }7 J% L' Z5 K% N% Z7 {
" f5 F- Q4 H* } r
- D5 n3 H( o- Z- y
1 G$ k; O) R. X0 F
. [6 k4 f4 i4 j) u m8 r3 n3 b5 e0 X2 H( E0 n) L
$ c) K+ k6 _9 ~: v8 _
0 Y) n# e2 E) p5 L7 _1 n7 u: l, g# T( u/ p5 ^; w
我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:
: J. D: j3 I" Q. U1 o$ H# U+ w: w
) W8 Y9 [1 X/ Y& F, x5 t' d- O
+ A' V7 y7 u7 [
4 ~0 m+ m0 J" f0 ]2 A- O
+ F A3 M& Y- f, m w
& r( q3 A3 D6 P5 F
$ M3 n3 b# V w+ @. A# X- Y
& u4 U) q( c3 u( N. W- t
4 u7 H8 i @, ^7 t
; @5 ]1 a# q/ J
, t3 \% i+ d$ x$ |+ C 利用cluster 这个用户我们远程登录一下域服务器如图:
: H* e$ K5 ?% o! z4 f! A: m4 |2 J
5 g+ Q/ N1 q' \- d5 V/ @
) D6 a* W! s3 w$ N0 X
* B4 f- ^2 V+ r/ `; w
) O6 }" O! K( b* N* ?" | ; M. Y8 U8 L. P9 ]: n
3 c! F z. w. V3 g' O) F# }
; G8 c* G$ p. _& z- G0 M& R) M
6 g% o, j/ A0 {' P/ O
! ^3 {! w1 y% Z# e( e# u: e, b; ?5 J1 I6 G- n6 C1 J
尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图:
4 I5 e) w% E% l% O
( w9 L# v- Y$ }2 l7 p' ~) Z# b
$ w$ x( B0 u; V
) H1 S: ^( Q* L
: n- m+ b5 ]* F: y0 {* q2 j
9 n) ^8 e. Z, w' w2 T" H, I9 r
6 q9 V+ \# n7 Z$ n
+ n% y, W: o1 D. ]1 I7 a4 y" O
5 U- |& h2 \( R
6 P- Y/ o; n2 P) Y+ t, D0 x2 @, G( u$ C: z) z4 v' _
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 8 N) p9 F( a, i3 D8 E5 V
7 f( I: R/ a; z" n+ w$ M
R1 q. [0 W/ E" f4 |1 g
& D/ o4 ~" |4 v% p
. `" f L; ^* B. w5 T
j" ~! r; N+ I
域下有好几台服务器,我们可以ping 一下ip ,这里只ping 一台,ping
5 M* b2 O% a3 n Y4 b, f" _ }1 V
: ?$ q8 H$ V4 y
" ]2 U5 C7 ?, [/ Y7 v" s/ l6 Q3 T( i blade9得知iP 为10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: * a" \: ]( w) B3 Q
3 ?8 Z7 n v& [
2 G6 V$ o2 G& |/ ` + y. R4 D+ V1 f3 T9 j
( ~2 i% m0 J' n, O' @# l- y
: |8 e0 i* ?2 T2 l. H
) m6 y" q3 X$ |6 k
% y5 O. `, A* V9 H* F' u
) I* p7 S# |1 R8 p, j: }7 K5 Q) m
9 t4 c" j$ w: B4 E3 L
& D2 f2 |( ~6 e% R7 U$ h 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段,经扫描10.13.50.101 开了3389 ,我用nessus 扫描如下图
2 z- O) q( ^- F- n
- D3 \# c0 k0 ^
& V# P. E7 Z0 n! d; c( n/ R # N9 y# `4 ?0 U& L0 z5 h
% j) T- e6 ~/ q" k ; [' p$ Y" O. o6 L& g0 \& J; d
) U: c7 t) y* n. _
8 ^. {4 A# v0 } G
; N! x4 K3 ?- q& {* E( J
2 w' q* l6 J0 O3 i7 |1 |
- P" W$ r; n% E. `2 o8 z7 _2 u 利用ms08067 成功溢出服务器,成功登录服务器 ( E9 e5 |; @- ~, M5 C# ], Q$ h
4 E. v4 o# o9 c7 e1 [' _* X! X
9 c9 C4 d3 e4 k2 Q9 }8 q
2 [' U" E7 @. a- N3 C: e2 X
( \( p+ J. J" n9 Z' ^. c+ L
; \: N! Y9 j" B" M: c( A
4 D6 `% a7 S4 {+ p
6 g e1 M- H- ^) m/ D0 G* z! n
. e7 d& H' m; p$ b3 `3 w1 X
$ e7 |0 b+ h; \& H& B$ J* t' F
" {* R8 }0 _4 s! K1 F6 n S% ~ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen
4 _. F' W& T# y
- k' p p- Y6 B2 K# @, V5 V9 ]7 C8 ?2 C9 k3 ^
这样两个域我们就全部拿下了。 5 ^2 i5 Z. A% F" |
: t/ S7 }; T# D6 ]# {4 A
/ w- n4 p& Y: z$ ~0 U 3 、通过oa 系统入侵进服务器 + i# m& Y( |6 ^! w' V* t* S* ?& B
/ f1 }9 q$ Y4 x& {- d: i
6 b$ z/ f; V) V3 V" H Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 + c6 g$ n: w- |
$ K. u: ]) O7 ]4 L" X: d5 W/ p5 s3 p! \& H% k, q
" N9 |# ?# U2 w. L
; K8 b4 I V+ ?/ a o( O ) f. }& s" p# V1 i5 J
7 Y$ I4 C& V. F6 y/ H
: o7 {' C; C4 D( X
1 \1 l! i3 r, X+ _* q/ r! Y
T# Y3 E Y2 x7 r3 D# x/ z8 Y
& t8 z: f! b7 d' w! b: K I
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图
# x M8 K0 v' c5 Q7 o' T; e
' F1 ]0 J L2 M3 r) ]% D
5 P- p2 j4 W H
9 A k5 a( t% r/ z# K# Q
( U' |6 R6 G* } V& V k5 d3 R2 \
' Y, t7 @ q! e) k, Q; p
! ~, K0 O* ^( w2 s
' c! K1 s$ Y: a, g- o( c
* {; V. {/ e5 Y$ U8 S
4 Z/ I0 Z& W+ i3 c2 o
; w9 z# |" I0 E; D
填写错误标记开扫结果如下 1 a+ w+ W9 R, B1 U( C+ ?* d: g" s
7 Q8 O0 F6 d+ I4 z$ S9 x
6 a5 B3 m' G% g7 q% u7 T' j) J
6 b: u' i- e. r
- L* x: k* J; D, V9 M, U1 V# `: n
4 R) S, n( j9 t* G( S' m' b$ I1 Q
# m4 n/ V. T+ _! Z5 w
% w: A* W, e' H' D- n& O9 U! E' l
# `( n) Y. X9 D( x5 s
( [, E3 v6 N4 ]0 d& L- E1 R
* R3 j$ P1 J& m2 H9 }
下面我们进OA 2 `: j+ q$ J8 p" M, }
V$ W- f/ F- k b4 f
( f6 a' p. i: Y* J" \
! g, k" j* `1 u) j {6 f7 _
; f J4 B& ^2 \2 L
9 v) A1 q1 _0 J6 d4 W1 j; H
2 K4 i% a. @* n: Z( J' A6 ] r3 W5 X: `! ~
7 x5 t4 g/ c+ v. N! \
3 }$ b$ T9 m9 j% z B# `: _/ O, _( U) ]* |" F
我们想办法拿webshell ,在一处上传地方上传jsp 马如图
) |+ w F& `" G( i8 m T: P
% Y# i- B; [. z5 B& {0 T1 F6 x4 \- I- M, Y- x8 @
4 Y! J5 n' s! R8 ]
6 b/ x% o$ l* \ 9 k9 L: G. [/ c( I" ]! q H
1 D- n9 g+ K# }6 x0 \- U
( a/ y7 ?5 H* `6 [0 x' S7 e. W
4 D3 F& S& n: J. G; r
5 J# C1 k) q- z" ]( ]. C
, W+ Z6 `5 N6 f! f9 D" x
' ] I# S4 X3 K( o
5 b, a- B% x5 }: G e
U, N! N/ V+ O+ N6 |4 q 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了
8 v3 d* P" N# `: c0 |
: c8 v% F: C& R$ e- L3 ~$ v
/ H' e' o7 F# _* [8 A 4 、利用tomcat 提权进服务器 4 i! Y! X" T: K! I# Z# x
$ ^/ \# S- a! l3 @2 P( E# l6 m
/ }6 m) t$ e/ N- |- ` 用nessus 扫描目标ip 发现如图
2 O2 S) v1 {. z) }' Y
# X F: h0 U' B/ i9 h
! H) j0 H1 V- C$ R9 D9 J ?! Y! t
# q1 }1 f. z# w
7 O# ]/ C; D" s; E4 j$ u
. S6 N8 D" x% E# c
6 V/ D" v, Z( A
# w- q% t7 S4 [9 ]0 D' b- U
* ~, }3 H0 K' D8 a
0 h T1 v2 F% `$ E+ l8 O( k2 R2 M
! g+ p+ ]* k2 K 登录如图:
* p5 B' E- O0 d+ ~' m
! L2 b1 c5 v! g K5 ^
; `' T+ K% r- b" a9 e! z' G' i
" I0 B9 k* z' s; x8 T$ W9 V
, N1 q8 h5 C) s- q+ u* W
3 o" D. H7 Q$ b" @7 k
) z7 }) H& w9 p7 q
: s3 G; [- [ r0 B
; h! x, l6 Q$ {
, x* D/ R' Y% F
7 z+ q% f( @6 w2 R 找个上传的地方上传如图: 6 m1 ], S% ]) H' Z
6 _4 v5 I1 t0 d% L& I/ z8 z' Y
& ~* p% w8 _2 C% ^ Y
T! y* a# M6 q
6 O& Y4 P! x* x P
: U! j+ K" z8 Q
4 |0 x5 n+ A% E, s0 j" c- t& G/ K% |: h$ T
- M1 j/ a) v$ [5 L- H* B; F3 @
" `: H V9 t) a5 y7 R
. f. P7 t9 ]4 v, \- W, E% j+ X$ \, K0 T 然后就是同样执行命令提权,过程不在写了
1 \, j9 y2 I/ Q# m
+ t0 S: x5 @" X! w
?* ^9 ?4 I" z/ J4 Q8 f
5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 + d6 I6 d0 V3 s0 p1 R
2 C, Z5 k$ Y) w/ k4 @& j4 J
$ P4 F# i4 R* J9 n# z 首先测试ARP 嗅探如图 4 U. h* A1 u( F
! s# }6 r$ o6 P# I1 v# Q
/ j; K4 r6 s4 B- Q5 G& l
6 Q4 S/ k& k. y' C
' ^" ^7 }# F5 N% T" ^2 R# ?' r , T/ c! n1 \* i! H# p
3 B0 ^" n' x5 f% t, H% k9 Q
( V' A3 k1 o" g* D7 ^$ E
7 ?! I1 f1 C) i! p
7 J( L* O" O/ y- v N5 k, n
& m7 g& Z+ u) o+ j" S+ B
测试结果如下图:
% K' n, V3 }* e& I( C( D1 R
( e( {! D$ N" \+ j R) [+ }
7 N) z+ ?) O3 f! o/ e% m5 ~
& N: _/ x9 |0 l' V8 w
2 L; |7 ]1 M( b3 Y' i- R4 i$ B. t . M1 D* E4 W- U# x% `' _9 \ u* Z) c
' D* W$ u! b3 |# w
( B6 C4 B; O/ y% f" g# _
& g( k9 E# j/ x' [7 P$ @* W O
! L5 p O5 F1 \, H
9 L# M, ]9 `7 U( ` 哈哈嗅探到的东西少是因为这个域下才有几台机器
7 `, u H0 ?8 n
v W0 G* J3 G2 ~# O% s8 y
$ c3 E# n, F# d2 O
下面我们测试DNS欺骗,如图: 6 O' b7 X3 v. y5 b, s: m
& N+ {0 T0 n" K
1 O. d; y% A2 Y2 ?7 {! d1 n% a
$ q& j0 v* l) L1 W& Q
8 z7 L L/ [/ A" N
$ R( u2 @( m* }$ v. u3 b& v
$ I9 E5 U1 I5 w1 H" H! X
. t- k' J& |' |( p
3 F( K1 G- @& m
! X$ Y9 E* N0 x9 S! N4 B! T# x( P" @8 g2 H1 D) I' ?' B/ v
10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ! C v: I5 ?$ k8 K
6 p' _8 ~8 T h- ?4 o" P# b& k$ ~- O( y
1 P P% _/ q' t$ s y8 R$ Y! v
1 w+ q' u8 Q9 k. _
( X9 D: p) g) u/ p M8 c7 a( L
3 S. p" B6 b( R5 _. Z" H8 |7 i! v7 u1 b
2 _/ c5 W5 Q6 B2 {7 n
) S, s- G2 y; o5 p- B
" f7 z& b6 t: D' L1 z! w* r9 } (注:欺骗这个过程由于我之前录制了教程,截图教程了) ( ]# L. }* O& @
# a6 `- p2 \+ N. ?9 ?; {
7 U, r6 e1 Q4 A 6 、成功入侵交换机
* h8 h) Y, s. q+ |4 A" t3 b+ Z
2 O1 k3 |7 b2 x5 T8 B$ M: ?
* A# X' }# ]: q* }1 ~4 J 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 n0 k; A$ `# n# g/ m0 v" w
" Y1 S1 T( E& `6 o* s
. P2 w5 _- F2 S. X* V
我们进服务器看看,插有福吧看着面熟吧
) J; @( l4 ]( |5 H! k
; |) A, r& Y7 S S) N& d4 }8 Y# h7 _0 j
' i: r2 Z+ L$ t3 ]4 q
7 _, ^* ]6 A9 z) l0 ?( v0 a 4 ]5 z; m4 D5 z- e
2 L7 y6 h& _+ h; q# L I( Y5 I$ s+ t' W. B" ~1 a/ ?
C. I' P: o$ T
, I* L4 z% H6 d: Y5 n$ ]4 u
) u8 {9 Q5 m- s3 F 装了思科交换机管理系统,我们继续看,有两个 管理员
7 b4 t0 F/ }- A4 C7 g p" ^ O3 O
8 a" ^% |2 a( ?/ U: N- f' o
8 O Z/ _; g, Q5 }
( ?1 x3 d& Z- {3 H. y
" r) P, O4 R# N* n2 l
% B, f7 Q+ b- X1 B7 ^% F
# I; ?4 e" n5 J3 ~8 `- y9 M, P( d% @! I4 Q8 G( B
l. F5 @$ a: X) t$ ]
$ [; d$ z& ^ L3 K# h9 g
# {9 |; c( r( ?' c 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 . b0 K% q0 W+ T) Y% y
" J+ [2 \: @) I$ C' j+ s- j- R2 r8 L' |
" F6 @2 v7 N! p, q/ o2 |2 c
" z8 m6 j9 D) Y7 {8 G. V3 O
+ B4 \, I6 Y0 G$ [+ p
6 k7 s# ^9 `) u6 X7 f% g( I+ v/ B- d( h7 S
0 e0 _) n' N& p
: i, t% X6 z2 |2 t( C+ h i
0 Z% @) G, j$ r6 s$ S# r) j 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz ,@lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ! @* R( H6 ~& g
0 x! Y# n, x7 |& T
/ }- L+ L+ b( B
; G( R! [" K1 V/ i
9 n: i/ u/ g* L9 P& w" n6 T
# Z9 i- A& `+ |+ ]! R, a" ?
# M c1 y$ L. S- V" B, o5 A
1 L, v! u- x: m5 j. g
" [9 q& m6 V7 K# N7 ^$ W
& B) |; _5 x$ T9 J" o; S4 \, q
! {; b5 l! {- o9 ^# m5 e
点config ,必须写好对应的communuity string 值,如图: 0 C8 K+ n4 E, z" C# p5 I2 C- g* p
% ?0 {& v! w$ O4 t X, _: k* \* M
8 U/ K) r. G0 C* ^( Y
. v7 w7 B3 q& }
& n+ x# D. L% H' o4 O* B; y# G
1 P- M. D% ~1 g8 a Q
1 i `$ _0 `* F4 e, B( T L; ?3 Z$ a, i$ P3 }( E
0 |$ U% }: S, \# k, h& c
$ b( W e3 ~4 l6 H6 m6 ~5 h
0 i/ O O. }% }: d* Y 远程登录看看,如图:
9 R7 P; {2 p" u* p) H# D
7 g7 H$ @3 p! s5 ?7 o5 N& [& T0 W* @6 o; T1 c# |
5 a0 [% I+ y/ ?- q
0 {9 |& s2 B+ L9 h( W% _# y2 s ) e( K9 X8 V# w% O$ S% S5 e
& m: {' z, j- B6 Y$ m9 N
1 V1 W0 I8 b4 {% {9 X7 \# D& c
- L3 i9 T9 b) v5 X6 j
; l+ ~# O4 c6 }6 Y3 v3 N4 d0 w0 n
1 Z, S1 d. N* d3 h: a/ u6 _ 直接进入特权模式,以此类推搞了将近70 台交换机如图:
2 z1 ?% A* W5 r4 Z' W! v
* k) `( P9 F. |; [# T8 E l0 j
" U! w Q. N, Q: y
$ j& @% s9 \ |( {0 h
+ @4 @/ R$ n: K! }/ b 1 P7 ^" {. g Z, g
. b) U$ G( P8 l& c6 j: P$ N3 j1 X1 B) K1 [2 Q! C. V
4 E( e- N- i8 }& S9 A
* ]7 `5 l0 E) }5 w# l; a4 p
( E. t" x! l( ]+ w% Q2 \3 r
# @, N4 H; r1 u- n. W- M
9 G3 Z$ o& a7 U2 ~8 J8 `
) a1 M; N7 S* W: z- i) X* n 总结交换机的渗透这块,主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus 的结果为public ,这里上一张图,** 8 ^/ u5 N. ^) e$ l
- K- y" Y) [: e4 x; V
& ?, e+ G4 q j$ e
/ _) E6 P& C# w+ C8 p
7 U! w7 x" t @" u/ a
& D0 J* z# a S+ ~) _2 Y' Y# R
: p0 r$ e, o0 ]7 [* }2 L8 g# L
6 }! v2 O! S: Z( ?9 O
. @: V/ `6 a& f' h; u; W; H+ B* A
0 ~% |0 J. D9 k0 Z3 n
3 j+ [" }, Y: _" t! I' W 确实可以读取配置文件的。 6 ?3 B- {: V2 c# L1 t1 _
) T" p! e1 t- {! b" i" \4 w2 X( V0 T0 | r7 L- J# Y
除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ; B) @/ B6 |$ f! a1 N/ a
3 Q& o% [" G# z' `, W. E8 q
* Q) S/ v, a- L [5 [8 v6 Z' B " ]0 o+ ]$ g( G9 t3 S- X" x$ X
$ d- c# h: B; ~1 ` g5 m5 [3 x7 O. H
; i" ^6 L* O7 C# P- o! d0 `. [1 C) o" m* ?( F$ K s# B/ `# p- U
. e. h$ Y: f2 D9 r0 X1 S z
. i- _1 c0 i9 Y
: A$ R8 G9 w; Z* x. K+ | G( r
/ F$ `# {1 k" Y, a" {: D7 h l
! ^3 M4 ^- V5 ^% J5 r% T
! o9 G3 d8 K" O0 r 直接用UID 是USERID ,默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 。
; z7 I& B( f7 l3 l) @1 I* h, i
( v; E! o5 L, w8 @0 B" u
E! ]7 }9 [5 Y2 A0 F7 d
% d5 I) J' I3 V* i
7 ^8 q- i5 _$ Q0 L3 b% I+ o5 q
6 {/ Y+ _1 Z( ^4 p4 d, ^+ {+ K
* Z# K0 m: O$ N& [, V, H
0 q( i: G/ ~" o0 C" f
# n0 P. _7 N. J
/ S! \% j1 Q( s3 k6 b
; _5 a+ g E' ^% `, d& R 上图千兆交换机管理系统。
P' G, h U% v
1 G1 j! w2 b% y" ?- I* B5 ^& c
+ d0 P. b# S/ P8 h$ T 7 、入侵山石网关防火墙 ' a2 b; G; N4 J
6 ~5 Z+ `) l( \: {0 a q3 e9 |& j: N7 Y
对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: $ V6 T) ]* w3 N& r7 v
) Z" X) Q1 S( G+ G- c& H
( v+ a" t$ M! p) |) s/ K) P
- }$ O" b& ~' x! |: a/ A
0 P; ]$ Y6 O6 I( B8 n0 O
: o- F; L/ \0 e& R4 e
% R' b' K5 K- f+ T/ A3 O% _
+ G; I6 _7 E7 x, i. Q
5 z4 F# c8 Y7 y/ n! l1 C- d X
) y" }/ d, x( S P
" E! q/ O" W7 y! R/ r 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
" K$ l. K% g! n% E* _' ^
, J9 O% I# D( V1 l' |, ]
. G4 d. d y" G6 m' g7 _4 q 1 b7 o1 W) n) s6 B' m
- Y" m5 b4 l+ r& c
* \* a! m8 S" O3 {& ?
: s4 ^2 A- Z9 _: ^' ]* i
3 O6 C+ l1 @' j0 {/ s5 T x
2 d2 g5 c+ B6 f7 ^& @4 w2 q
9 N3 s' d. o( }& X, \
( k3 \% R7 Z: r: C7 g 然后登陆网关如图:**
7 i% i3 M+ N5 ~! T5 _+ ^: [- k
! h2 I0 ]8 Q, d+ D/ A4 B
+ Q% k& g3 v, i& h # A2 S G0 f4 Z0 S) N! z* q
! a5 z0 p# X' ]' O- X: v) u3 g7 Y
C. U' S6 ~, S# e# B1 a
; M& W* b+ P' }- B
+ K6 h( ^5 ~& D9 ^# c. f% O
$ {4 o$ G' F$ q8 K$ D: R
) {9 I: Z2 E& F& Y: r+ e
2 C3 s! T9 h5 ]1 p# S
9 ^7 D# J! L z$ D' D7 M5 Q
5 Q+ w7 l) |! f0 F
$ T8 D" w7 o! D# u2 x$ k ^8 Q' k; Z
! g, C: w4 F# f+ o5 Q- F9 Y/ J; f- L" C4 s% u w
经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!**
/ T) t( ]0 n; h$ u* f
' F) m( o1 h5 F4 g, i* E+ x, ^ O; u$ k' v0 z; U& q
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。
( z1 Q6 p! [) D, B6 z
/ D1 q" K( S. m% H# X6 m [
' I, r6 R! g6 y0 f! h 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 2 j# u B% k! Q: ~' Z* B
* |1 K. n& }% {& g: Z
; k1 y% g8 z" | 2 @( q& D& L% r
8 V- j+ A: s# H/ _2 U+ g; B / X4 ]9 Z/ `$ O, u. `
' t9 W! v+ \9 T4 g* _
" P. |% D1 e: d/ E
2 g ?# I$ w" i7 s
# a: M+ M- Y0 `2 Z) F5 i9 S/ _2 }2 m" ?% Z- \2 l* E( p7 {
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 ~: F$ k' s3 f' {3 _ i! ~ z6 h4 {
3 C$ Z, O1 }* }
1 I/ Q& w+ F: | 0 }7 J8 J4 u" K% s* ` [; z5 c. Z
9 T# \ @- ~. _# w& Z# q: h
" ]' `7 G; `( T
+ d1 V3 G0 @8 L# X
8 R# h: z; }( @* A0 G2 @; Y. m9 Z# D$ W( d
| 欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) |
Powered by Discuz! X3.2 |