中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

. N' A7 q7 f$ g
, B' K8 E" ^, R1 u. H

( a' l% M2 W8 O2 f

, R- o, \1 I# B 1、弱口令扫描提权进服务器 % H7 J# j+ f: {9 X1 f4 k4 J

. j# x9 y$ j4 G1 Q: q5 U4 K- M

7 A0 z) d4 g* M) W- ]/ o& D! @ 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: A4 ]) P9 x+ M7 n: ?7 X% U

) N8 V: ^ C6 i0 B2 V; M5 B6 l
1 d8 K \# n* p( f& F- U ! X) p* L' J, L$ m6 q+ |
; r. i# o8 `# r- W ' s- e+ y8 f. Y" \& X: H
8 u7 W* e8 i& K9 Z3 d

2 e8 V2 l4 x5 ]1 y5 c: Y- n & A7 W. n5 Z0 c B

& }1 _( Y6 x0 d( f- Z# p. e

7 e- T8 M4 k) `, T% f$ N 2 w8 @1 E r" _* a

, l" C5 |# n; c! E

0 b: o3 y* x7 m ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 , f$ j7 a C+ a7 t

( U8 F# B+ z3 g0 _: p. a X

& u5 A" I% }: @ 执行一下命令看看 6 c* J1 b7 g( _/ ~

1 M2 i# e3 P* r

5 G8 B: o. E, x6 S 2 e7 j- y- [2 e. U' @/ x

% j( G2 L: O5 K1 Z
5 z. v/ s. }6 ?' _ $ E7 p6 Y9 G0 u
[2 Y5 L9 _ B; H: m7 r) @ - |" U. G$ n8 ~2 M9 Y9 p
* n( I! T! \% c" e, Q9 s

; H; k* g) U$ s; L6 ]5 @: M 开了3389 ,直接加账号进去 6 T1 g! M( D+ K) q& R* }! v# S

0 @) p- u; [- n6 h" A) w
- K0 A0 a; `5 }% p1 G- l& ~ 1 {2 q# ]* E1 A$ m* v/ T! Z
0 H5 D0 e) o1 ?+ g+ u, z 1 l$ j5 S9 O* S8 h* v d5 `; n
. t% x5 j$ K8 n% m1 i3 f

5 O5 }& X) k& R * N. v! ]1 V: X% @7 \

8 j4 R0 y2 D% E! W

& f) o1 J1 d# R/ ] 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 - o: @/ j3 n. m. x. e7 s

& a5 o8 a/ P$ q3 l8 N
8 k4 l, p- U1 b- o; z) u1 N, J ) K* _9 b0 n: A, t) g. O
& }7 i# A7 w( t0 G Z+ I$ F # X/ w) E$ z+ s: i. J6 g# K' h/ H
# ?7 O( w' t( v

) v+ C- B8 x% B7 Y* B$ w6 X4 \ " c" O9 P& L2 [& E; L) h

& K/ [( O" f9 u

5 g6 R$ H, H) y 直接加个后门, ( _5 ~2 T8 Q" [ g8 q

4 \2 g' A4 b! w8 Q" f

8 w/ A) ~% |7 b * y) b, H2 L* R' [ C

6 G. u3 Q5 A& e* ~+ O
! u( i! ]9 V2 Y! Q1 D 6 T5 K' i8 R) Z9 R6 g9 J8 H( E+ o
, s, c+ _/ F8 W& ` % f H; i S+ U2 W: n; K: I+ r. G
& h+ A! g9 y9 V7 M1 c$ m

. Q f1 ^4 v2 X) J; L. J5 Z% P 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . ^9 x8 c# @# g4 t+ K, D' |4 p! J

1 ~* X5 L, e2 t+ u

) f4 G( ]8 h m) q- _ 2 、域环境下渗透搞定域内全部机器 / G/ s0 `0 Y! ^, x% E1 w2 J; ]

Q6 \# R3 f% \! Q0 T

# K% `' _5 S5 L7 }1 S7 } 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ( i4 P4 J& ^+ e' d3 G+ w, s

# ^# r$ ~) X( t$ X5 j6 V
" M( a/ t2 B/ d% B, R' Q$ v * t# J* W9 k7 q4 a+ |+ |1 `- B
6 O4 d$ d1 y" [ . b/ z1 T3 {! M& k
2 T$ K; o2 M5 A) F

& P8 {+ E& ^, z - T _4 f+ A e* G& h

' D6 a- U4 k9 A

) B& d) a0 G) @4 Y 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * p/ a6 `/ {' |" ]* g) Q: D

8 ]4 \% `) T, c# S) b7 o8 H( N6 Q
- a+ ?* f& c: U5 q3 ~5 k, p : s& u4 d$ _3 \9 x5 C3 }
6 M1 w/ Y+ } b y* A) V/ W 3 D, ~) W; I) @; l/ R
% S2 e r$ G+ O6 u0 Z3 i @, d- T

/ @* D3 @$ p- O) v, M$ p4 a1 l 5 y. Y4 a" |2 A8 n/ T

4 g! P1 z# h [( b

$ g" @/ M) D) G! O* O- p 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: * z+ R6 f9 V* X- ^7 ]

5 b* W3 r# a5 a- ~
6 } i7 k$ J* e4 F3 c0 V+ w 2 E( P* `7 k; H
9 F) T# y/ V) { % b. ~0 ?" L0 \( F5 B: f, j& W
, T1 n9 K, ? ]" X- k( N

9 A0 W1 y8 u3 k% v, _# @- \ # \7 {0 i# p/ a$ _7 W& @+ ]3 m

2 a# E) M$ h/ l' w6 _

, G$ D2 J+ T3 B5 B8 [ 利用cluster 这个用户我们远程登录一下域服务器如图: 1 W# f& h: ~4 `' `" y5 P

6 {; y$ W7 I+ m8 p/ b
. ^$ S% h- H& w4 ^ 7 v4 L: \- N3 R* g7 j: A+ U: }# V6 _
3 b# G) \9 B8 G8 W3 k T. o . n% g/ H; E; ^) i' N
9 h8 R9 @/ L0 H; {1 m

: ^. [: C' U* a" \+ d. A4 H# z4 T # F, V; s: {% v) V

/ @0 Z7 [& j$ Y1 w

* a' L6 O% f5 M. A8 s 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 5 }2 ?9 `0 r# z: t

1 n& d# m6 \6 \4 J( T+ y' A
3 P- {, ?0 g% O0 p5 r! W & G8 v+ e2 T6 u6 a8 e0 k
9 _5 f+ y7 T- z1 q! k8 ^7 C' \+ I* G ( m c( V; l3 j9 W& |* a$ \
4 B- x* n: @$ i* I( z

1 G0 Y& W/ d( z) j. a- O % i5 ]& B9 U# O

7 G3 F7 K# l+ U& S* ~1 X

* n/ w0 K- ]$ J! ] 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: + U3 c: a4 `: }

4 |4 n. @) ]7 f3 v4 z

& G" o" C/ B* ^1 Q: ] 9 \: q/ X+ h/ y+ y- X0 M* ]4 ]$ }1 y

5 A4 O6 E" t" z5 v9 ]

R, j% e5 b, M) K! c" P, |5 {' F 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 6 Q3 R8 q; K% E- @. A6 z

, D/ Y, W2 j9 q( U2 F( Z& n

0 b8 y( }9 I- B; T! G blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: # c2 K9 o' d. R2 q5 B

. Q4 U& p8 Z: ?6 F$ [* ^
/ R* j- Q) A* _/ y+ B5 [( t2 J+ d ) t6 J! [0 g# o* `. j; A
6 t# {; _' `( m/ W' _2 N' i " h g/ e4 E) m2 k. X
0 i2 }$ ^( T6 n+ `# Y. e) x1 D

5 k& ^- T; ?0 j6 j6 A: p: e , V2 Z" | ?. a- k! O

- l+ P ^; ]3 r" g4 f% V

' d+ U/ h& C7 Q8 K* v% T6 Q, g# i 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 m# A* S9 W2 R# n1 w5 n

1 R" T! S3 o7 P1 l
* V6 r; Y1 }$ W: N5 T! } / i& X6 k( _0 r9 n, U
; Q' n' N$ G, T3 U' E( }* f 8 g6 j4 N6 R. H0 Y. Z
+ R9 I( A, L1 h* w: V0 L4 q( c

% W k: e$ _. ?! b7 k , B& s8 |: s3 m( o+ X9 k- @( R% K" v

. T1 ^$ g+ T8 F& U# y7 M

* D5 o% j$ h! W a 利用ms08067 成功溢出服务器,成功登录服务器 7 n+ \( ]) I2 K' s4 j- O0 W

- X; k o) D$ o' `9 h
- _2 u8 ^, H& I. W ; T( s5 V; W; q+ N
' ^, _+ q3 [- U6 f) T6 k " M2 |1 a$ t" `( y: C$ y5 L0 o
2 m& g5 e1 w# I6 ^/ G

; @5 }1 n" p1 x8 t1 r2 e2 ]! V. j& q : x4 f+ v6 z! t o0 ^) g$ U

% ^; H9 _- g5 q

9 H. K" z! f8 a _) O 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen , n" T9 q' o, r' q4 h: r

' j+ E/ Y/ b" Z- K1 d( _, q! n

* R a+ u& Q) `2 H* W* z4 ~# r0 l 这样两个域我们就全部拿下了。 x+ I. W* _- o Q

+ r/ ?1 N* @0 F, e& e d9 I

# g* a- ^1 c! I2 I Z3 x 3 、通过oa 系统入侵进服务器 + J5 m$ k, q$ P# M" s; c4 e

8 E: I1 F7 V V3 ~

3 [6 p* P+ R& |8 ?* K1 c Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 6 q( [" t* k, W

9 v4 J! |. K7 T& H2 v& I+ k& M
3 W3 r8 p6 C" q9 A8 @% z0 J' H : W5 l8 V {9 d* z. q. [
1 `' Q4 |/ s5 F! M( X* C @ ( `! ~; k' U* H2 c
& q e! U. s6 E# m6 d" j ]! A

1 N0 H% d( A* B7 D7 G( S$ q( T / W% }- T% `" M m% u& x! Q

0 o+ E% L8 G4 L$ ?" ]' l8 K4 r0 y

( `: p: h1 W5 u2 E$ W' J2 @ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 # B3 u3 W" n$ y8 w4 s! J

& a- o) ]9 e2 Y3 m6 F
5 \( _7 X) G B4 F- j: I R( t2 y + d: W, D1 K: k9 I- f
) P& V7 j! [$ O8 { - [6 d, Q( S5 @
8 K7 w- y; B4 g

c [3 E% ]8 R* _6 w) r $ p/ N+ H2 w0 e4 T5 Y/ E

! }+ ^6 _2 K* f$ B. `

6 s \! N- F1 a `- B 填写错误标记开扫结果如下 * c. w! x. N. Q0 Y3 q

: Y" p; ~4 z' z9 V# {( V7 P0 Q/ N, q
+ x; n, J- P. @; M + M0 @. \9 I; C# Y. n/ U
) L# ?! g. K) w0 o6 y% D. `+ {8 G - c( R' k3 s+ K( n8 V; B
5 T0 z3 G! ^2 ]3 ?

' `- A1 d6 D/ g1 b6 n 3 J% C. \0 T% H& Q

2 b4 B5 ?2 T3 n) @; C

5 z# L4 D. U' `9 b: A; w/ f5 m 下面我们进OA . y! [- q9 [4 Y# E+ T: r

8 F* R0 @' n# ^# ]! | V0 U
7 f t" Z. W3 f5 |: Q& b9 \% y1 e ) A9 q0 i" r) H4 `4 z+ i
1 H p) T X; n* x! `- C Y6 g' v; Y / r6 o1 @! e0 R) X; x
+ J! M1 U3 f. l \/ D; I

% N0 |: l: ^4 G+ e) v # j" \" C6 l' z; D6 g/ c: O

- }- l; C9 q: f: J2 a: ?( X" r

/ p* t5 @: t, Y$ `9 w( Q3 R! x4 ? 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 , T: k& ~: j {. w& k& C

. r, u1 R) e0 D
( @# }4 U( ]- G' O; w( M7 ` & v5 e7 P: w" m' b# N
- B! f7 p8 x' C7 \0 m1 S 6 M0 o8 C+ V3 O3 t; F+ {
* o0 y# Z7 R! ^9 c: h7 W: h

) S4 ~# X7 S" [" I9 C. K" w * k8 x" M# [6 Y" A3 y- ~

7 i6 V2 W: b3 d6 t+ Z

% b |7 r" Z8 T+ @ ' q. L/ q3 x1 w- a

: W9 X7 y1 m& n) @; z% E) ~* W3 b8 P

% x! y8 J' c$ _ y3 J) [: R 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , i) m; l! t6 I9 N

8 B- r7 \3 O9 e7 W: ]7 Q( @* m

# d/ V/ D+ ? `5 o; t 4 、利用tomcat 提权进服务器 $ d+ X) M5 N0 D" x# n# A

& J" A3 ^2 ^; _# l. P3 p

1 _; j7 F" s; K! D3 L' k nessus 扫描目标ip 发现如图 ]# n+ u1 E! ?- {/ c

& m0 ]" e l8 e, v
1 c9 C; q0 b- v- o5 A I3 M1 `5 O. e1 r7 ~
7 }! ^& E" ^2 j6 @' y! | 0 K3 j; n9 c6 {" p" g* |) z
4 |9 s( |; X% I1 p

$ w9 N) p, _6 k X% L5 k$ I8 G2 Y 0 ?" S2 z" t/ A1 @, {

* R' w$ ^( Z/ `4 E. k. U- l6 e% k

7 }9 p9 r6 c8 y" L3 `& l 登录如图: 1 O6 [5 `: c$ K5 Z s

! `+ E0 z6 I/ \6 S) ^/ E. Q/ Z
@7 M L2 l4 A; ~) Q 6 [5 N3 t6 T3 O6 l2 Q6 I" x9 N
" ?7 x/ U* {! Y3 w7 x4 Y+ C 3 g) k. a" |9 J d9 p7 Q
* z- r+ W% c( b

0 e" a% i, L7 U' P- @4 P1 q; y 2 c9 r9 q; C6 u8 [

0 a' V Y- r3 Z: V

9 B9 y/ C- {: M* b 找个上传的地方上传如图: ! L0 H% B7 x5 r1 Y( {! K3 Q1 |

+ n1 ^% N6 r. a& h. r; {
3 y; K" Z( {7 O, P }2 k! k$ z9 M* c. W9 M
! `, W+ z \( j $ X3 y, ^ E7 H: C
2 P2 J: r+ K. i: q' s8 _

0 A5 ~+ I. U; j: M# ] 0 ?; c5 a3 d3 J8 i

! D! \- ]# Y' `: U0 d( X

' b$ Z+ o) a& F z7 s 然后就是同样执行命令提权,过程不在写了 ?' ^ ?$ j; r6 L& L: V

1 D& K+ Y; s8 B* `: E1 t! o" p

+ ^( g: P" G, W ^" p! ] 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 2 G) Z" N" Y& u4 J

; o% v5 {: r( h2 h- \1 [: c' U, ^

! M) G. |6 d- ~% d8 q7 y 首先测试ARP 嗅探如图 : m& V$ Q5 h2 ^, G/ v1 \- N. H8 q: D

( N8 [7 \4 ^* F. X* g0 V9 M( m. _6 K" b
7 E0 t. e8 U% a% S9 M: M& s ) z+ D R% p- k3 c: ~
2 P! o8 t. w3 Y/ o8 d1 _ 9 {2 K/ m( v" H
2 m! I$ M+ t. C9 O% Y

, k' U7 ]3 m; Z1 P - l9 C: _" I( C. z3 `

3 |# Q1 t8 }8 d& u. r

$ C( S( ^8 x. O' ^ 测试结果如下图: ' [9 R3 n) H/ X, `) v. r0 A

' A8 P1 X# }5 W. H/ ?5 d2 _" r$ I
+ M7 J2 d9 Q5 R% F/ n & L- v1 g3 K+ Z5 P
/ W I: ?* `4 e 1 N3 r4 p0 q& l& _/ L0 w/ M1 S' L
) i% m X) p* p. U" R: e

, M4 J- w8 y- |7 H: C 9 K2 T# }# l: R# w2 C

6 t4 Z: S* l M6 d R

4 U0 i, K2 H2 z. P* M 哈哈嗅探到的东西少是因为这个域下才有几台机器 * r8 @( x# U# K" Y$ l3 m2 P+ {

5 I2 w) [' n( N* ?; k4 e# a: B5 `

1 B7 v ?0 c3 w) H# F# l }. f 下面我们测试DNS欺骗,如图: % b( m4 t ~# N& _

& @) o' ]8 _1 p9 `1 A
! _6 {! _2 P4 G) ` 9 K- M' {' @ Y. l5 d$ V% E
1 j) k \$ H) s7 l4 f" ^& F 8 {1 v, W. b# g
* C# z3 {7 ~" A" ^8 ?% m

/ x. n# j' e) A H8 y; z& C9 E+ g * C Z3 A9 Y7 G8 y: W

/ X5 ?, N+ W4 @0 S* m- E

: u+ G; C3 f e; x5 h5 L1 N 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: " [' d0 r) `3 @/ J0 \

) V6 A( n) a! k" L
! ^- r! R" i. C+ @/ b. h; [ ' a- d o$ U: p2 b) Q
" L/ i; z: {9 x0 M/ N ; F! K* Z* z$ Q9 O; }
, Z' I" `, J- l' d# x8 _

; ]/ i- [5 j! c! E; N2 z7 F ' d4 F5 U y0 \2 ^. U" j

. R3 Q4 u! M0 s1 E

8 y$ H" v+ g. {+ y5 J: A (注:欺骗这个过程由于我之前录制了教程,截图教程了) * Y7 J: ?/ O; |0 U) h+ w

) [$ V6 z! u- `4 t2 U, W/ ~+ n

5 C" k3 f1 A i 6 、成功入侵交换机 % M& c$ H8 ?+ c1 A+ T* F

- m* F' G& Y& s5 Y' j3 F

2 M% U! |/ @6 L7 C% x ` ` 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 + N9 H$ Y7 F, @. e0 g& h1 ]

; e3 r* B: T/ T5 d) O$ c: `+ @

7 S( X+ i# \3 y; |. S 我们进服务器看看,插有福吧看着面熟吧 " F! d2 O. R2 |

0 w8 s1 e6 N' f; y
) n4 ^; e- d' C% I/ ?' f5 E; s2 E3 K - b$ T& v( h$ ?( I& E! q* P! z7 j$ o
/ w: P! z5 B, ^# K }( A 9 I# C0 S1 A. P7 v0 Z x
- m1 \6 o8 \8 U) E P [0 k

9 q& C: G! y- s. O0 w $ B" {6 g; l0 H( G6 B

0 D. H2 N+ [5 O4 F+ Y v5 D

* A/ H5 y5 }2 e7 a. t% h& H( A! U4 A 装了思科交换机管理系统,我们继续看,有两个 管理员 ; t& f K- C% q h1 F

6 X3 {( e% |; g9 R
" U* k! p$ \, g/ z6 X& M" K5 _ 7 j0 x, P; [1 J7 [, W( T
% r4 T2 ^! b( }# D4 V# q/ o- o * E/ C i% F7 c Q) Y5 C5 z- W; R# B4 v* [3 S
% c4 H4 X6 ~* @, r

$ M( j# M# }3 ]3 m! Z* D- C 2 |# ]- a: B4 _6 L

6 v6 M% J* ]3 {8 U4 f

2 e! P- }+ \" n. ~& M% L5 L& t 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 - ?( i1 N. l1 b, ~6 w2 }( |( B

, x& _8 S, w" L7 B- d& U
6 K2 V5 D% v# N0 K4 U2 d * @; T9 C- R; C
% P. @7 B& p8 V& r4 w # R# E+ _ O* ?5 I; w3 d7 ^ Y
) A( _4 o, U. n6 z- H

5 R% x, j1 ]+ z& X4 A6 | U 3 x/ z0 b* o" J! \8 c) e i+ Y; Q

# a" ^: m0 d- [6 N5 t

" l7 o% ~1 ^( u( f/ b/ Y' J 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: & j8 q, Q$ G B9 L: i6 C

* Q( y+ s1 t* C e
" C ]+ x' e4 _ . H1 N; D l5 z% R4 H
7 v5 W$ w7 b v' m ' Z6 X. A) h! }. q* B% R( ~" g
- ?' ?- u! S/ `6 R6 h5 Z" p& G

' A% `& j6 x: } # G* A( ?. v. ]8 ?

4 ?+ o; _8 s" I( l' E4 W. ^

, c) y6 y$ V4 N- t$ `5 w config ,必须写好对应的communuity string 值,如图: 9 Y: f- `+ D6 L$ [; L, V

$ {# g) n% v! B! N( o- W [1 v
# {' z$ k' a/ h2 y/ s & R/ H6 C4 B/ H5 j
1 b$ a2 P1 B, _% v; C ( V: {; q4 f: w7 x
7 u4 R9 u9 h F% x3 R

( J" d& M7 f3 b6 u! X; ~2 g : q$ x! I5 Z" `' u' C4 p# _

2 ~! U% T7 I0 P, w. u

# M( X, L7 e7 D# T) \7 H 远程登录看看,如图: " q9 w* E& W8 ^6 U& l3 R

5 o0 D( d; r: h! D
4 V9 ~2 r Y+ ?# X5 P9 N ; I6 @ @) A8 x% o7 b) f
- H# M; B& j$ w9 F1 V! X3 P, R& g) C ' r* T, e6 G% m: g( A$ _" [" k1 \
4 y3 N$ |# J; v" q7 v" w: _& S! ?

2 d" C& j, @! e0 j4 r . U M: F9 c/ y! k4 U# d9 k8 p

8 X/ T7 v" s4 s' v4 N

" @; F+ e; T; \7 h. w+ i7 S 直接进入特权模式,以此类推搞了将近70 台交换机如图: $ }6 I% e6 H' p; w% J, h! ?

$ I2 [: Y8 Y, O o& S
3 q; Q& d' B6 M # c9 @- e4 s- R
4 a" i. W, ?' W* Z+ j * e0 Q2 y1 g% B) d
' i& @- {# a1 N

; o4 z) z: Q) m + M8 @* \3 {8 c

4 s3 C$ O8 n j2 x0 N% `7 u! ]

8 r. Z7 c3 |3 w" } ' `4 _- L' ?; e) _

6 p0 G* |* @3 c

: l, ]; o! w1 \ N 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** + F9 ? I0 K/ f$ u

* F7 P" i$ [# C
, N+ e5 w' u! {0 z: |- `0 i & C5 |9 B- D" E) d! E3 _ ^; C
" s: V6 C5 w& P3 @9 g& ^2 j0 j : Q. r: n8 l3 y. |
3 S0 y+ K8 U6 b9 y+ l

/ t+ P# M, [9 L1 x! i" u6 R9 _ # r/ P& A. n; W& Y2 u

4 a& v6 J$ ^2 p2 z7 @9 k2 w

* W1 G4 V, G% O 确实可以读取配置文件的。 ( b& A( b: {( f, M+ `5 g; u

7 R6 c5 f; \. S* e# @0 S

' u1 [) [- ?. C2 ~$ \0 T. _- m; Y, t 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 6 O0 J1 J5 s8 B) S6 d% p+ a2 {

# x" G8 H2 _. M
2 A7 ]: c G0 s3 r2 d" u0 B 3 K( H: n: N" X: G8 ~8 s6 h1 i
1 e0 z# c" i0 s/ \ }. s" }. n# a3 v7 U/ v
: {9 @; y% C6 X3 y

, s6 S/ ^/ E+ p) P3 S D# g 7 g; i) d" b! i3 J0 @! q5 R

: x1 ]! k6 F5 L! D! _. \2 ~

. ~$ N* ?1 L6 q " u b$ c+ Q: L- k$ H

7 S3 r2 X8 O: I/ i9 E: U6 K2 @

7 i8 i3 F7 n J4 N, G9 P$ r 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 * q( p( d$ [. h! f J E

! g1 R7 B2 H. G, f) N& }8 r c
: F1 r) [+ M2 p' l U; N3 \2 M 0 n' R" N+ f" e1 ~. Q* A7 \. @
9 O& I0 C$ r/ S6 r5 A$ V " u9 n) d/ i6 \2 H( G4 L4 M9 b2 o( P. G D
5 t6 P! @, p9 I. M1 J, }4 m

7 X. c, M3 |- O* D/ ? * z2 u c2 L5 j I6 f2 ?

/ i. h, ~+ }1 C( X* t" g: H

6 `- v- q# {# J9 f) W! g# v6 \0 \7 u 上图千兆交换机管理系统。 u! B5 I" C5 \# W

) t8 F; p6 D; s, [6 C |3 h8 ~

3 {1 w0 t6 H4 U" O 7 、入侵山石网关防火墙 ) q. M" K% j G" l' s

2 q2 V/ w$ i, B; @9 t# J

- o2 R, L2 m/ E/ G0 q 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: " O! Q/ ]$ v! ~0 n4 b: S

: M* @) K' s; [' ^) Q; B
1 P0 C4 |+ T6 q$ n# T " Z- a1 T/ A# ]! J& l1 q
* W8 k% a( J h 7 E/ H6 `& {9 q$ y8 ]0 v9 x
, m& y+ w" [) n c0 m

7 S- _4 \! U; z8 k$ F1 ` # M, {& i6 f1 c- }: r7 n" q

3 r% R2 Z9 C U

5 L9 b( u: z- e, T h* T2 D( z8 N 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: / S; C* j2 d$ ^* L* N7 I

- w1 @7 Y) b- |+ L
+ X S+ N9 t$ ]& t3 b; q # h$ h a. {6 k2 J1 S( q+ j
* [8 T4 d1 s& ?4 [- J 0 v- g0 g2 M* p% O& I6 h* w
- v8 _; f8 p8 s1 Q, s- \3 Q4 d2 Q. s

) K: ^1 S2 ?5 I+ {9 b, K 1 b7 V3 G6 @3 w1 }" y* P! L; e

+ f6 V r/ s7 A

) N) I, x6 j* f1 R$ l: A 然后登陆网关如图:** / ], ?( | h- [$ G! ^$ q6 ^

7 z7 }- Z6 g" A# x
% h& e3 h& F. m0 a 7 ?0 ]! L& w6 `1 J I' C, q d
6 ~2 e% C7 a4 \( S' E. i, u K% f' M2 f! t1 U5 Z
) J' e/ [7 h# M: c

0 |( O" i8 u6 C# g6 S- B 6 l5 z8 N) M M9 v$ A

6 @- l, X9 A" k# i4 q
1 R( E$ P0 V3 D " i. Q+ X" n! V) m1 t: H5 e! o$ N. o
8 \8 M+ R( i; |' V * e2 Y" U4 v% x8 Z$ n$ V) X4 q
* R1 F6 P2 T/ ?- {$ G7 U

1 t7 ~1 m1 N; Z! P I9 x5 ^& D3 Z 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 5 R2 z7 l- {+ J

7 V) z7 w! ?. A* b7 `- }+ n

- T4 y) j! D* ?7 Y4 \& Q 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 . u; f5 X) Q' \% x1 R# A

$ E1 b, I! Z( P. r) j& c& D: ]

/ r+ {; M7 S3 r- ?$ f7 L6 a5 [: V 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 5 X3 I( |* A# @6 W, C8 b! l

* H* E1 N6 U. M& v9 x" U, ~$ u; \& x
6 ^, r1 `6 s' O Z' X 8 K3 i) ~) b$ ?5 `4 j" ^( w* X$ q3 D
" Q$ P! ?- ^+ F* Q. ` - p; @! P4 j1 a/ i& ]
4 ]& f6 ?2 A4 x3 Y7 X

! i8 |: o# E, }; r * y7 A! z. n% Z* H- N8 ~9 N

' w3 o0 Q0 ~( P! k$ j8 u0 ^

3 S# L0 b" z4 r 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - k3 A7 ?7 d/ J9 I7 L

?! x4 Z [# G$ O k, @- v

; s0 Y6 o! [; g# L) C2 v   & t+ V( P) Y. @7 y( i

7 C+ w( n. S: E' v

+ T$ u0 F4 h( p/ B5 H2 Q
7 Q; N9 u# y, k& C Z2 e5 l0 g

- O' O7 x: ^: ~% ]7 }6 q; t; F 1 t* L; i4 o' v8 ~: U! k( }% v



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2