中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

7 Q6 z1 a% z$ e2 X5 C S1 x# r
/ |) b9 X; E# A4 Z# y4 I* `

6 Q$ r: {4 n" @5 M$ Z; [

0 L+ W# \* p3 T& U6 K8 O2 \ 1、弱口令扫描提权进服务器 ; o' ~: K: b" @8 b. |$ x* L

+ k+ H/ g# J0 }3 A0 ^1 H9 D, k

1 N; p2 L( c6 r8 t0 Y v5 g 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: , c. w" T# f0 N# X( a

! v) z, ?, O" E
5 f' D/ ]# G: Q# F * R6 n7 u0 Z# |, y! o! X
5 ?! ~! k1 o8 o! I7 S& C 6 G' H( }. y# c" Q3 R
, j+ h6 O$ t5 M

, i9 w% {# W3 `+ i; y ( P: p$ [/ I+ K0 z5 D3 Z

, Y/ ^. y7 K; d8 l" `" S

, m2 q. X, p: q! } " o9 m7 f" l1 t% I1 L& w

% ^" e7 f7 w* m+ x4 I7 X, E' @5 g

- ?. [8 G3 ^/ O1 U" }5 L3 C ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ) l, \( V$ J5 k* w) C1 j W

/ t3 o; C6 O2 D

$ x2 g: e; w8 z0 Z: P 执行一下命令看看 ; J. J+ D+ \4 i- ]

% T# a. E2 B4 F4 a* B

( w5 `/ H, q" e( B + a; i6 P) { E5 Y' L0 h

6 n! w+ m, z( G" D
( X" {0 _( Z8 h* |4 k; b, f " ]! r( H4 e3 I, F6 a
; L, Y/ j& ?3 O , E. v* H5 J" k) T" h7 y
" X G6 @1 ?3 n9 q) C6 t1 @

1 S( z" G* |* }" Q! ^& X 开了3389 ,直接加账号进去 : G( E, W: V( v6 q

0 V2 Q0 E- {5 f
1 g5 J# P2 s" ~; V9 F % Q: c: y6 @7 c
5 t$ m# Y7 f; ^7 y& m , ]$ G& r) n" u3 i6 n
$ a/ a J& S: f5 g& V

4 r5 C# {6 m% z9 |- @6 G ) m, J; t4 K2 ]2 s

+ X; G4 }. j$ g& Z v2 Q

- A: u8 c4 E! Z! ?6 J 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( d6 Z% [8 i) e6 W; s! J2 y

# U( d" r9 c# N1 ^) h9 g
0 `& J' L8 t7 y& K + S$ T* W8 d3 e
$ i+ G, k# \2 D& c& Y4 d ) K) F q( `3 V3 \
# |% }2 |. d7 {' |3 |

2 p" b# j8 V8 |( t5 U$ }0 _ 2 e. V' ]5 U, l: ?) |3 n2 A

+ u2 K+ k" `$ H* K, q

$ V: Q$ Y4 j3 G. O5 G B 直接加个后门, 9 R9 S* K1 T$ W$ v: J9 H

) J( `+ ^6 f+ \4 G9 X

* H2 k! J* c. ]3 _5 i: W / V, I# q) ~) \6 l

0 k0 Q+ a! ^: b( @9 N- L
8 {' t6 L" p- B0 ^- \/ c; f * o j6 u5 W* E2 U6 ?
4 B. T2 B# |) A$ ^/ V5 I ( j# i7 o5 M0 H) }) ~3 W$ L
( G4 b0 H3 G6 S: W; v

9 p* Z) A+ P- z1 } 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 & J3 f8 A) S2 ^8 G7 ?7 z3 F

6 N6 E# _1 k# e; p

* Q2 b. w3 Q2 w0 R4 X: Z; r: r 2 、域环境下渗透搞定域内全部机器 " ^* D/ \. i& `% |! R1 G

' C5 R- v5 P" K4 l2 x

( z; P8 ~0 b6 O3 ^8 F 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 . x) ~8 U7 I) M+ a Y7 B d

1 a6 W: p1 e0 c- w! |7 `
7 N0 t2 m" g: y$ s! l: Q5 E " v2 D' u. ]5 b( T
2 K% ~" Y- n% [1 h$ ~) N( A $ p. g* j8 v2 K# v" y; E
# D9 d2 D" j+ I0 x+ w2 w

2 g1 J* m: ]; Q9 z# v , l4 c* {% L7 s! ^

3 g q. Q: K4 J* U! T, A) m) M3 P+ ^

& C, P3 o6 Q) L+ q3 Y& k 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 8 W: d z; h& v, C( V3 m" l

" a% R# y# |5 I7 M0 \
1 ^4 X( e, F! N0 R( n! U' T0 m4 s 7 ^' P: X. Z/ f9 l- I
4 u! x' f/ y+ ]3 S6 ^ , G# U7 e0 ?/ f. N3 @0 N6 o
- O' N, H% k9 ~! {8 \( {

6 N1 V2 @3 H4 [6 p& H+ p 8 w4 Z5 F2 g" @: i$ ]/ \

: B* Q) P- [4 K9 }$ |1 z5 }- s( U

. {! u; K. S0 U3 M 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 4 K1 w" S7 u) k& F- q

9 a/ l/ K M [; A% J
4 g6 i7 G: W- ]2 ]1 p; F' ` : d! L: U7 Y( G8 f. ?
6 ~ s# T5 a6 G* m9 e / z! m7 `" W; q& s) M5 o
: O( V, m' h: M2 Q0 m" R

; j6 H% ]; ^- A/ Q2 I $ w* F% s' S. Q- ?5 K7 L. x

6 u! t# m- Y$ f6 V; U

$ u$ [$ C0 Y9 j 利用cluster 这个用户我们远程登录一下域服务器如图: / z1 F: r' c4 A8 n9 n# ]6 b

7 C$ c) w& W& g% r& r+ D! B
* F2 F9 i3 O0 ^% i9 D( T0 v ; |" E! c' B+ x% t; A
) W- r1 h- v$ p+ v' C 5 W0 Y( J g b7 H9 W
; S) ?0 V) C( K

, o0 b/ f) ? H7 d0 ^ ! F4 y3 p$ b- o \) [: O/ |+ s

: z2 [9 g! f4 }* v4 W. Z1 i @

& m/ x/ E* F* h 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 0 N# F' i" J* y

4 |; M3 m1 |2 w% }6 _2 M4 e1 Q9 i! @' _
& o7 @8 n: Q) E' U1 e7 B8 D+ V+ }6 v : U. G: k) {, m4 D3 R4 v6 G: w; e
) V0 |7 A! [2 D7 |% T! o - m, g( |5 h7 X! @; W9 ?( h* Q
6 x* |) R8 G* g, X% k: N7 s4 t, L

3 T# w: g* J. ? - v& ]1 t7 [4 {7 f, i

# y9 v- @! N) p- `& ?

V* }& Y' M. m 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: " S% _1 s+ g4 C. k( N

5 V4 q, t& v; }; s/ s4 \- @, ?6 ~

: R9 e: z1 L" K, [2 z* I 4 `/ M/ _4 f. u( n1 k; n# G& z: |4 [) j

z' ]6 k* D( v' M2 R

. X5 N! p2 Q: l: C 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping Y# T4 P$ _( K9 ]2 J0 i |

4 V9 u, P+ l- b' U

! C& n) m9 J x( o( @, E blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: / n7 \ I5 m. j4 f

& O9 M. m6 h' ]% u$ y! U/ {
; D2 t- _; f0 H3 h. S. W7 o' ? - Y& I1 v" j% v! D% I) D
' d& W4 ?! T$ b3 O3 H ! z; C+ C1 u$ k1 \" V5 J3 R9 a# O' h
: t- \! M7 E0 P

7 S+ C% G% ~: K m % f) \; S2 h0 [

' k9 p" \- M! k5 y! Z

0 q) |0 ~% q* t, z+ U+ y 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 5 } v p$ ^% ^2 W: q1 U! Z# z

6 p9 a; O5 }; a8 d
4 h' d/ w2 ?1 g; e% W/ e. U7 H9 ?9 ?0 y @8 }/ x' ]$ d7 o4 S( `, n
% [0 u# C/ x8 `/ g3 V5 x * U8 i1 {) w/ n3 z o8 A
/ h6 [; \ N. M

9 M+ C- O. o0 y/ l6 l; q5 F2 ? / l% ?2 M& | j# h- L& J0 c

3 F# Y+ U$ A5 J2 h" Z6 r

2 [( e" ]; b% {$ Q2 E& q1 t 利用ms08067 成功溢出服务器,成功登录服务器 ! R, f3 J; E$ C d( b: z

; E: ]2 E- G- }9 S2 X. _
) x3 ~ g( E0 L ! r2 C) X) d0 e; [5 h
/ x9 R3 |9 p7 d6 e; X/ ^$ [ 2 A4 Y4 u$ x% P( `
( ^2 e, b8 Z- b: j' l6 A0 f

+ w7 O/ a0 I b8 }' W : J% \# I7 D' z- z8 E* C) e

0 v' |% u- W/ [/ k: X; H5 ~+ e

1 C4 B8 Z. ^$ }! n( O$ p( @ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen / }% k" {$ J/ g5 \4 f, i( r

. `( b, q3 X1 J# r

( F# d+ D$ V& w0 j$ q( `# g 这样两个域我们就全部拿下了。 5 y0 R. N: a* x0 c

' N8 `% }. k4 b

. {9 H+ t; G! Q3 t 3 、通过oa 系统入侵进服务器 + A. K' g, B G

: B$ h7 l; P5 I3 x

0 t8 o) p+ [: c+ g; L% r$ [ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ) P# V9 x: e$ K1 G

; M* f4 D& m$ l9 g. W N) Q/ `& B* m
+ K6 E" s1 ~! a' {6 g6 O2 ]* t" x & e& f& y, a/ [
. q$ M9 k6 R/ h! ?) o3 e - N2 U+ Q4 }1 }0 L: q# }
1 H9 e2 @5 k& s$ I

y3 I( X. B) W1 P. s6 ` 4 k6 w Q* O( w/ X% y

5 H" K8 w5 \ y' Y+ K0 K

2 p3 `! L" |( n5 m 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 : ^- u: ~8 o/ p* e: c1 |+ r

/ L) _% [; L2 F/ @
+ C' ?8 ]" j$ `. S8 m6 `# N % _) Z. n, a7 ]" D. ^
. w+ ^9 B2 O4 G* w 3 b* l0 x' t( u1 o$ u& K; K
8 n5 i) k3 V+ D6 ~

& Z; B& P5 ]% j) E& k ; p2 P+ [8 k; }4 S

& d8 P5 s J5 f, s1 y" P/ |

: s$ j( j% f8 H4 f; j 填写错误标记开扫结果如下 & Y2 V2 u K. p: q8 C: \ r" L

, b* s- z- f1 S
8 l- s1 C8 u8 O7 n) G % J7 L6 W. O) [
: V# E( i5 o- B% J. L9 V ( P. d- g) S9 C: I6 f4 o9 _. b- ^
3 p; p2 H- C. i5 O1 M4 I$ M2 {5 d Y/ E. n

) N8 n% Q3 H( K9 ]# i- b: F; L & a- u, j( a" W3 P( Y5 k* `' Q

, l1 w' l4 R1 k

/ W: u5 u" t3 G! k( J8 y7 q 下面我们进OA ( q2 v" q) q# R6 x. V& N8 V m+ y3 y3 M

$ f& j, [( [7 Z% M. r4 Z
+ \0 f5 C- J# E# i3 D4 m# H , ` r" ~9 M5 t; N. f u
% ~* N. ~4 Z' W% G- E4 N : F8 |; r O6 e* b6 E, d4 d
5 A2 j9 U- F& y

3 G, V: {; X0 u5 D- t ' L4 {) Q7 t) U) T/ \

. ?; V, {1 X& _9 f/ t8 F3 n L

$ M) ^6 o3 A6 c" d 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 & ]; a, x5 |; ^

1 l8 k; X/ t6 A2 h# w0 U* Y1 w
+ h9 z) f% f* M8 G9 _' S# t3 e0 z ; I" x* |9 Z0 }3 t
3 N% s! U- J' d* }1 J, J / f- i1 h9 e5 A0 H: _
2 J7 r7 L7 T) W: O- F

8 v+ t+ x9 ^/ D * r h! K7 Z: \0 c2 l3 i" k6 q

/ @% W$ J+ v- e

! m2 `8 j/ B, U, x# | ( h S# U; O/ [$ w; x( ^

, z3 ?# m1 L6 y+ @* u4 Z

/ L8 L8 S3 Z3 A 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 % f& k+ f% J: Q; I. G

- F6 B+ t5 |& J& r2 _# `

* Z+ w, K" @+ c) {% J% i 4 、利用tomcat 提权进服务器 0 M ?- [# m3 K% ^3 F

2 ?: a( m$ y, V$ N) s, z) E1 x7 ?

0 E1 x; F+ p8 B9 g' ~' h" x nessus 扫描目标ip 发现如图 F% u5 b$ d9 `; v, A! w; d n

5 h# R3 G; Y/ q! H6 }% Q$ J+ `
8 q# {8 V4 Q7 J: X0 M- Q 2 K2 p7 ]1 ~' b: t9 T( H8 C2 P
1 S2 a( ^* i' J8 l8 h o6 { ; _# [2 _- |+ m3 @7 U Y/ w8 C
2 b& V) w a' F1 I3 ?( }" T! e8 l

& z% B! F% Z9 A) P % j; c' u+ p) T0 Y

" N4 @/ m3 U: _2 m; S s6 ^

( z' A$ h6 |* K- V7 @# I$ v 登录如图: 4 L% ?# k, a$ J3 {

; Q4 S* F$ `4 e' K" |
7 e' l3 w6 Q. _6 { d# w + ^& E: i+ |9 r! l- L
3 u4 S+ L8 L5 S( \1 K . |# Q/ T# q+ J
. \1 ]( g$ S& x8 r8 c" Y5 T4 {

' {3 W& D6 N8 t k' W V7 h - R7 M# Q- l1 z+ B& g! }

( @# F" G. _+ Q; T

5 s0 K1 B; S, S' \0 `- g4 i+ `7 W 找个上传的地方上传如图: % A7 P- q1 U1 I- n" s

9 z4 h& {5 x" j
& C B, M9 I4 f; U6 C' U& {- d # Q, s, i. w3 `; j1 _4 x: k
2 ^( Z& _" T V - \4 S j& e. c# i& F
! ^! u: c7 t! C6 c$ l9 U4 g

5 d. P, E2 Q' N+ m& Z: F ) k \) }( y0 _ s9 E; \

5 h3 R. `! d( n( b5 ]

+ ?$ e3 b% N. g- t$ F 然后就是同样执行命令提权,过程不在写了 $ X5 m- q* ~/ X0 b% q2 q8 \0 r4 U: H. A5 j

0 t" Z/ a3 H" ^+ T* H

% u, i* [ U; o) Q/ z 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 + V0 Z8 |0 b1 ]; o

' X1 G. [5 D1 x) ~( t: ?

# o5 J6 i" F( G6 X( C 首先测试ARP 嗅探如图 ' Q1 C2 T' V! H* f

6 `* |. Z" O$ i ~0 w% h+ [
+ \# e' Q7 o5 B3 X6 S' | , f1 b' _2 S) T; B$ l0 ?# U3 b9 ^- |
- X( l+ I; q8 w . } U( `+ T+ Q2 t& B m" x4 S2 b
8 [2 {6 L6 ]) w V; J

& p0 t, F; e; J$ ~0 |7 _& T# n$ E. I ( a- I- D3 V) t7 @( r

4 r# _- P' I$ f1 G

2 G y/ T: m+ z 测试结果如下图: 3 M, g' D6 i5 E x+ p8 ]

; ?9 [6 m" Y9 t0 i! p
7 f0 h, ?8 v( q2 N ' P- ~" M' S7 d9 W6 P- N. z
, j! {5 L9 W# L1 ~" A1 E ! d8 t( b0 b/ E, {! I4 W: W& c
* B+ S/ Z6 ^/ E

1 c/ ?4 X+ _* T2 ?& ^5 p3 X4 B+ h % z% g4 ^/ J4 ~8 r# y& ]1 w9 j6 m

( A% \0 y$ M+ _& N0 W4 S

) T0 `( O, G+ w/ e2 O8 m4 X. F- C& ^ 哈哈嗅探到的东西少是因为这个域下才有几台机器 x+ M2 L4 s; Q m% ^ S7 @

1 g$ ]& ?) A+ {9 S" p* m$ A, @$ q

3 q- R% L9 b x% |3 a# S! t I 下面我们测试DNS欺骗,如图: $ F8 ^ x! y! q8 K8 s

2 d* M U+ k0 q
/ w) j6 v; _! k; R# u0 k 7 u T# x$ g# n
! s1 U8 F; X( c, E: G7 {8 v' S 2 c) h* V- H$ |" }2 j9 i
3 b8 N" T: x/ j& D: f. z4 y3 V

7 F- a. c3 n; C 9 a e! i8 u$ G1 O/ F5 X* l7 d& _

5 K6 S# C0 ?) B: J% b5 {

) A) w$ ^: A) o( y. v- C# L 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 4 F! u# w0 b5 w; b5 A4 V

- |2 S h0 b7 u- b
+ T. _% V8 i' J* B( z! B 2 x7 \) h" Q( g0 M3 S
& a% U2 P$ v" T6 o; c9 i0 R 7 o" ^, `! R3 i
# ` |& F, R4 _

+ B3 f) i+ k! {( i0 I* k ' @( m1 y; {1 B( q2 G

2 s5 K" Q3 ?' [: @2 E* Z, W% S7 o/ s( H

3 |/ @% @: O$ X( h$ `4 O (注:欺骗这个过程由于我之前录制了教程,截图教程了) 9 `2 g/ o& n& T' Z7 y+ A) P

8 G5 n4 t. F: y5 r8 O% k% N

8 ~2 g1 a( W: P: c6 ^ i9 A6 s 6 、成功入侵交换机 9 O0 D9 d! ~. b$ i

; i, U% R# T0 w

5 j0 C3 w! r4 {; l; v, |; w6 x 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 0 H# V8 _4 e. K g% ]' T

' v- x9 W! p& W0 @4 q: R- U% R

/ x$ l7 Q; J- Z7 u3 ] 我们进服务器看看,插有福吧看着面熟吧 . d t! N- k1 u4 i0 f+ r1 d

9 e$ Z5 B- i2 o
8 ?5 E4 G$ F4 O; k* n, q 1 U- R. j0 D' t! S E
1 z. p( i2 M0 G* Q/ i: i$ N & f* {. J8 I# o. J- D# s
$ _- `4 O, V7 Y8 |/ `

. S0 B( I( V$ j . g/ A" D7 s( s5 M0 \5 c' {& f7 v0 b) a

' {+ m. v$ d& H: J: g

3 U& L3 a- e5 A W( O4 H0 b 装了思科交换机管理系统,我们继续看,有两个 管理员 0 e c+ h0 X: v% O$ v( A$ ]

3 F+ c; o' m" y3 a. [
' k% f5 ~0 G+ b 6 j% E& u+ Z" Y, K2 F& S
; o C+ T% y6 U" ^6 p / T* Q! L! _1 }% k/ ^
: g/ U- G8 X; G0 i" M7 {

M0 Y" h h9 b0 |( h8 U6 q ; s0 P4 M" G" K/ ~9 `; m

& v6 A/ j9 a" D- d4 R

. f# c4 M; ^; z- K 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 1 H; w0 J# @3 a3 y9 d

9 |# n1 ]* g6 _, ^
) m/ l! p2 ?4 N* t( J * K7 E6 x8 _( @4 b' }
5 @6 W8 V1 M% c5 E( a% {4 k$ O ' T$ j" x# W! C7 C
+ u4 y+ X. ~+ j

+ U, ~7 e7 {* ~/ R . h$ R1 `9 I7 R8 Z; O( }

" x) R- E2 s0 r$ _

/ x! e& W! }" Z ?* J 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: , F5 L7 ?' z& \

- s7 E) B- \$ U; H5 ^, @3 f
/ j) c: o' `9 o $ A/ P/ h6 A$ V' g, S, ]& c' f" p0 e- K
1 r6 j. V; c" T$ R* l, } % }4 F" k2 @: I: m% v) X7 E* |
3 v4 H+ y* P$ m; c, b3 R) B

7 H9 `6 [$ n/ m 8 b K) Z8 @8 \' }

$ N- d) Z( D/ R% `

. T5 I5 o9 o7 d8 _+ O: v config ,必须写好对应的communuity string 值,如图: 3 M; l% {$ W4 c$ E

8 H4 T) ?! Q: q
' l9 E/ n. A! L; p/ F* r" I ) B# q5 ^: T$ e- B2 o! d
; f. ?/ C h+ D2 ]6 f3 f 2 V( N$ E5 w* a( e
' V% V2 ?) v, O) f* C

! o G V2 q7 l, M; N$ x9 _" S 8 F+ N, q8 h: T

, R6 R1 d& p/ x8 f1 a8 L0 q6 ?& T

4 c- R w" D4 Q+ } 远程登录看看,如图: + W5 O: C2 m' B

2 C5 `+ A S# a; ], m3 i
. {% {( m! V1 l) h! M4 t; \* U - I, \# Y) ?3 W0 f4 H$ h: a/ x
0 B/ m( u& P$ R- d 6 I% V! f' }3 `2 p6 q$ ^
: e* Y/ L( l6 A4 o5 h4 c- {+ C

! o' v% l/ v; [% W" Q 0 ?1 I$ [/ d# P/ ^9 o

3 B# G9 Z+ n' d

* T- A8 m. e/ R3 ~- O* `6 z! {! M 直接进入特权模式,以此类推搞了将近70 台交换机如图: 9 b2 C U8 }5 j$ {* t# t! N

8 Q% F2 G* {, M' {: ^% _: M9 U% S' E
7 b4 b+ z& Q# Y I ` e! D; z2 B& ?7 |
% N- [' \& L" K F 6 F" B: B1 g0 D" F/ x
$ i6 D8 s; O, Z6 j5 c! |# V

9 f" x& {/ ]) b; i3 y1 O# M* B2 y 9 Q4 o3 \" _* T C

0 S, a6 ?! {3 D" R; V: Y

+ Q) d6 }! d7 g* A% x 4 z6 Q' S$ t7 U0 M8 e& Q) T

! G+ _9 X* j! w. q4 i! d6 U

& u- w8 Q( |! i' ]0 F3 G- M1 C 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 7 q, O3 }7 i" t1 ?4 I- m

3 r0 v. d! t7 D
0 f* o8 X4 Y6 Z R- ?+ Z( g3 t - i/ C7 E C$ i* o# i
# _; U/ b4 d' k, G, n! F0 x3 F' U 0 q& w+ e/ N6 y1 Q4 E) V& w. p q
3 L4 L g) A9 C# K2 Z4 R! @) Z

n# @$ g4 S) @, c& {/ q , x/ p8 E: d* c# C! L2 O) R

. R: e6 v, j( C% [6 E& G$ n

5 G) P# I7 W. U/ I, K+ T 确实可以读取配置文件的。 - N8 }! p" q4 \% b

- }$ R+ k9 A- x, d3 B5 L L6 P. m

' C* V, O% L6 e3 m. ^. k( ~ 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 , s/ g/ Y3 E5 \

) J9 G( d( M8 n+ y7 B. w0 C
( r% b5 U2 U/ q * _+ c: W2 |8 t+ }6 e
+ u: ^/ R. {7 |# J/ { x K! ? ) d) S+ {* ?) ~8 O) M' c( S
* ?6 t/ f0 K3 n" F& d9 ~

; t% Z" k& t2 n6 x: {; r( |! k' j8 T 1 a5 C" n1 L5 V9 F0 B. _5 Y

8 `1 d) k- N' s$ U& q) _2 _

- t9 Z M) k+ ]' J/ s: l 4 i: u6 p! p- M- l! Y

7 L3 t- G) j7 z5 e# y3 z# H+ _! a

" x4 j+ T$ _# R; F c D, W. T8 k 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 5 e- q6 m4 C8 ^& e( O- I" E

, z0 ?: N# W% i$ P* q8 w1 s) X* K
# H" @+ ]6 |8 ?8 I) v H : `# B5 \" W5 H
0 e$ A' v( j) k$ } " O( F' j* R: O$ B. c
% V% z( T! x9 }. ?& _

+ {9 o6 J b& B9 ~! X6 Z 8 V; q% t2 G+ G- F. S

' i3 ~% y U+ H0 `

4 A n3 a5 P0 d2 F4 `& v# d. ^ 上图千兆交换机管理系统。 . A2 s( _8 G" u. Z

! j* r- i1 G9 Q) r/ z4 X0 \! |% m" P

9 z% p3 h) ^ W/ h" S% ] 7 、入侵山石网关防火墙 ( X5 O4 z0 U5 e% j* L1 Y+ I. I

2 f" C0 l$ j4 @5 i, X# b- o' E, e

) [2 s0 F; B2 V. U 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: . S0 o& T- g: V$ `( ]' d

J& N" G* ?1 w* S( A: b! s5 l* M! [
) p5 v& b. c5 @! w E0 r$ [1 V% P' _5 [1 x
1 |/ Q$ H1 |+ f* S+ [- | " `+ l" e& N8 m& D6 q1 X
U# \; a0 ?8 r% h$ U5 W. a: R

1 H+ x: u+ U" s ' S. h: E2 T' j: o* r! R

' i( N# ?7 m0 I: h6 l2 N( H

1 _) n* x% X# _8 S" X } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 2 t) n% W+ F: f4 v/ B' E ?

8 @9 u- \: w, e2 v
0 I$ |% {/ {$ p: P & n$ _6 J# k% A i/ A- [
# x3 I$ p/ c2 j7 F- R5 D7 D1 J ; X) t" O3 B2 @/ i8 g
# U# [, z- E( g J& s, Y

7 L; f! V3 P4 i 0 E' v, v, T4 P) J

& T1 A9 M' h# z& k& ^

, E9 q8 @) J; l2 r+ s8 k* @) J 然后登陆网关如图:** 7 ]" }/ v" I3 t# l

1 I# J, i. }# k5 P" N; o$ p
9 g" E1 O, y6 g$ `: |, I 7 P. R, ] q4 P' l2 U
$ k6 F" O* [/ q% g2 ]. C $ m' h3 i$ k( u) @2 v4 z( b3 j
4 I! A0 `; D# d5 U! \7 r

' L' N3 |: \; C V, x5 t0 ^* f+ i $ \- F; H1 Q' a$ I/ s8 U

' {' {0 H% S$ A" ?$ Z% n! n. E
8 g$ u4 l# l$ n: e% }: [5 ^9 r 5 r, u! q7 Y* T. D* I* ]
5 k O% n3 U! K) G& d u+ i7 j0 k& A+ y6 q3 |2 J0 `# m
3 S1 z3 ^: I; R! l7 k& a8 G

I; `- L+ W! x# \2 m( ~4 H 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** P; H. T ~. Z) i/ p

; e; s" o* h- ]) l

! d1 i' i9 ]: W d 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 0 i6 S" |% @0 j6 ?; t" t

" Z" A$ F0 ?3 M# j, }

: U" S3 G; F! q6 X& E6 X 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ' g# y# J% [, `% R) L x. w2 f

; B6 x9 B! ` V
" T+ `- f* p M4 v+ I9 f " z; _( J$ p1 Z5 n9 m
, n! [1 w2 z! y3 ] ! o% I0 a- @! g
- m/ r. n6 Q* B5 m0 P% Y

( u& `* S( A; x0 W* E/ y+ e% b / P# e1 F4 [" ?& \: c/ F

, z4 r8 y# o/ Y4 R. b0 R9 W

# L/ }3 I: }" }$ L8 `+ t0 ` 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ! z+ W. I% J0 F6 t# S7 p: {* `7 M1 u

- M! o; _; W4 Z3 F7 Z' b4 T

/ c0 L" k6 |0 [0 X' f   9 {" V. g L: e$ ?8 o4 B

, t) o; @( @# g3 L( i+ d& _7 ?

% \( Q; e; O- y, G$ H+ n" V
9 o) Z9 \8 M( L& G

" X& ~4 b& i+ @& l+ F" M 3 w r% @) e' z8 g; x( u+ t2 a5 y



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2