中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

% f q" N' Z O1 \9 z9 y
# \& |: N7 b* e8 H/ ~3 @$ |

5 J; I; p. j0 _: T0 j

( F* V( b# Y! P: R 1、弱口令扫描提权进服务器 0 [) \4 \8 a. W& u

* M0 x. W2 ]$ i0 ~6 u

( o4 a6 I3 H6 f) M# `; A 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 6 p: W& V( i1 Q+ X0 X4 k

% _1 M6 }3 e) s+ o" |7 e$ S
# s* l% ^ K, G 0 v* i1 S; f& p
8 }+ m/ m- n5 c& v$ E8 \ * C2 X! i& E7 W' M) f
2 X0 Z2 B( E8 t

/ C V& g2 x) ] 6 F1 { ]% f- {

; I5 ]8 ~% {( s' Z5 T& D

. B9 W" K+ Z S3 u4 \$ m8 _/ N # o1 G! o2 m8 Z% t8 {, n1 y5 }

8 [. p" s+ \2 W& V' y' U

7 Y$ N9 K! B- H. I( \ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 6 z- O1 ~* m- {# d! r0 `3 @' B

- w8 V4 G- y+ f' S

. p9 X* o! a6 Q1 ~ 执行一下命令看看 . H$ E) B' x$ B

. Z9 f" |' `( q: E+ H$ g

7 J* z* Z3 g# i' ]) f 7 d' x/ }* g0 Q9 ]- U5 n1 v

: y1 k& d1 U1 C$ Q
! }" M0 B/ K5 U/ } ; Y9 X1 g* v* a1 M; m
' Y- M5 J: T8 k% M( {5 c + g7 J1 v; A9 e. l) G+ e( I& Y. }
2 B6 S# [1 R! {( b

# l3 O( Y4 O4 c! g 开了3389 ,直接加账号进去 2 V/ U: [/ H( T3 |+ K

+ Q6 J) z" s9 R* E9 O
1 B# t- i5 ?6 K+ g, R! h' p 6 P' y; z* u4 N! h
: k0 H. e" d9 @, v9 T 1 w5 p! n* M' y) C* \
; J% W9 U0 X. z' `, }

$ n2 i0 ^. m" w * s7 }* j% d7 K$ x

5 E# S' n- X7 E6 f

8 I+ \7 d3 R/ I6 B. w- d 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 - v; V% w. o% w0 y& N8 [ ^

4 @3 t3 S- U8 _- n9 [1 o: c
0 v7 _: w6 J- h+ b& n) l: j6 _2 r 2 i' |' X! E1 K9 o' `
7 D! e4 h E3 z$ I : [) Y z/ Y- e3 m# C
- Q3 l, W' s1 u8 p/ c% i

' Z: G; S- `! g+ X0 K3 ? . |! J7 F: l( \, h0 U5 d* \

- k. [* c( q) P$ t

" H% G2 @" O: ], I 直接加个后门, ; m- M. D! {- M% k g

. A. q( }- x3 k7 j. t: E$ \; O: y, g

. ?3 E1 h" Q& o5 ?1 L- {2 D G7 @ 1 q0 O w- ]. Z/ s: q a7 }8 {4 h

) @% r" J5 b6 `' K3 y" g: Z
_ p1 {. h" s" _! A/ K8 k ; R. _7 n& O8 E2 y9 L
! a. |2 M }9 C' q : o8 a6 k# U' A4 S
7 L; W: q; n, v

7 M& }) d N0 V" N a) Q 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 1 k6 b! H4 e% Y8 d

* n- z/ w4 F0 b4 X, k% H

& V5 z: _& k) b9 a 2 、域环境下渗透搞定域内全部机器 # ^ x/ W5 f0 i/ e1 }* y/ n$ Z

' ?! }% E# p$ _7 n% ^% D) N

1 \% h- j' a$ u 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 9 r4 y* x6 j S8 ~0 P1 p

% f) N0 v" [& g9 E; Y
+ E0 [& S( w8 m% Q2 X; i) U' C& p 3 N+ R4 O+ Q# q: ]7 ?) U/ r U7 h
' ~/ R( {/ E/ O : I( `! Y2 L1 f3 G5 y) T
: H- l/ T/ D- F1 V6 r+ |: Z

7 t1 j- l1 |" U 4 U. i9 g# G8 u0 u8 p1 s3 P* k

6 X8 `- P8 P7 f) F0 z' z; V

/ S/ K& l* Q* v: c m; f6 C0 s 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 9 Y6 f! ?. Q6 W

7 I! \7 @/ H/ n5 g$ d8 y8 O! G
7 f, A: K ^0 E# n4 l1 u% f( H* k + L: j& I; B$ v
. T* c* q2 L1 a# _' N5 _ 3 O( e; `) a3 o) g% `! y- K
- E4 l7 n! S6 n) M8 b* i! f( ]2 W

C S/ F& M* C7 r( h( _ ' r6 h7 E. S; v. I

) }7 I' }% R9 B6 L9 V! J2 W

2 z% @) Y8 a; i4 T8 l6 D0 v 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: # m1 H9 |- O4 x2 O

1 P+ F: ?/ C3 P
! i8 a2 u$ B) v3 d0 q" | 4 W1 q* H5 i7 S+ y% m) N& l/ ^
$ j& @- o. \+ ^+ Y $ G, y" j @3 D2 f
+ M+ v* [! r1 z2 c8 O& h

/ J* p8 _4 ]" i+ W7 k9 ~3 A/ _+ q ) q3 E4 Q3 \7 t F8 X/ W0 r

7 g4 ]0 K4 z. ~4 } `6 Z/ l7 U

, b9 s; `, D0 M9 y- a 利用cluster 这个用户我们远程登录一下域服务器如图: ! R% t: f6 V' d6 f/ K' o

6 a4 }1 I2 T+ G/ o
. Q$ a6 @5 y5 N1 }5 q( J3 M _ ; C/ R: f5 L Y( H( e) j
* C6 l( |* U) D5 H3 h: T . i& N3 B" J8 S) a2 v! N: `) F
4 Z+ H8 j! s/ C- r" r/ o6 v4 V, i

4 `' S4 w- W2 T9 z) S 0 a0 i/ N6 Z$ g- y1 J5 f

" {' z s+ J8 A+ C

6 a0 I5 A6 J' v( `' M- E 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 7 B& J/ k: u X5 x0 D

, v& V _# ^; ]2 ]* E
" x% }9 Y/ Y: M* E / ~+ d) T6 c8 z9 k
$ G% u% t( _; [$ P9 s ) ]4 V" J1 S, I5 j- A
/ ?0 }" R& V: i/ B$ i; C' d; U

# V" p* w7 K; z) G% _ " C x# ]1 K, r2 J5 y: a

; A" u3 m6 |/ K! r8 X; e4 A

3 \0 R. c% A, w" Z 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 q3 G/ s3 B8 f3 F

9 N \2 s# a) A/ N4 ?$ @. K3 s# `- R

! g/ d/ w% D* p: g8 z 0 k3 I! j$ F I5 n; T- h8 \

& F1 v( ~& e2 N% B" K. l2 e

@7 K) h: H2 D 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping $ A' P2 p) U- Y6 e

& ~% S2 d0 `5 C# ~9 B

, c) J! J" J+ z3 s3 ?+ t blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: . V' k8 b. a: j' \+ O

9 L( y+ N f3 G7 Z, [
/ R& M, s" p; V4 {/ P: ? c8 }" d' j; W & b# s2 R/ J3 @. J* c
$ v) x5 [' }* o; b- u . _6 m6 Q6 p: ]0 ^) ?
) f3 R1 J+ @: ~ r/ {

( K0 N! V4 u3 c# h6 M* n ; d' R4 H) m$ T4 y7 a

7 C2 j" p _+ y

6 R r/ ]" r$ E 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 . [ K; [* r9 G0 B p; n9 _

& n$ V0 J- Q' h: F' I0 I O$ a
$ b. f! R( |9 P( \0 U' @ 5 @; t! t; m% P# d# D, t* A4 b9 G
+ C0 h- B6 C2 W0 \& n ' d" q+ R P- R+ {+ {" J
: W' [% d7 R/ K: z$ E; Z

" Y, k2 E1 o' \3 x$ S2 [ " \; x1 t- a5 D' k1 T

6 v' O9 v+ A7 j5 u# b' t

/ e" a, o9 j$ O- F7 [ 利用ms08067 成功溢出服务器,成功登录服务器 $ h5 M; v+ x- O4 K- f# I8 |7 Q

6 g6 W6 C2 _1 P+ k; e$ w3 B
5 j9 n' Y7 }" w( b; h+ {' G9 P9 o ; [! ` V, l3 y( c. m
2 _/ `6 {! s5 R% z0 I . u, G3 x. m) U4 t
( h, {6 N& ]6 r9 D* i6 R2 r: P

~+ `8 L& K/ `" y: ]% |* K) ^ + x) O9 T6 z) T+ ]2 y

- {+ f/ `! d. {" a

3 Q$ L, ~' V+ ]/ Z6 B9 g# [ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ( d8 o, J: L5 c& V2 t% f

" ]9 ~0 M7 t9 j9 Z

6 R6 r3 ]2 I$ n 这样两个域我们就全部拿下了。 5 ~, e6 a9 n" u O( V% P

4 Q& p* c' \# u, p1 U1 M0 l5 N( D

8 `1 ^& q# A) t' [ 3 、通过oa 系统入侵进服务器 3 i; R4 D* J6 R

3 B& I8 m& q. T: j

9 S1 |$ c! C b8 _; i. P Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 - O4 m% g# d/ b2 N4 V

7 u( e' s \ H/ `7 e% U' S/ O: r* H
" a J3 }' Q& `9 n $ E. _* u. i% s
: U: ?" O$ c& g3 w: t " J O/ x4 L8 h( s' {" x& ~
+ i! k- W5 R4 d- Z8 B; j

7 m' y1 o+ u1 x: t 4 E" E4 w/ p$ V4 l! t) n

. M- t1 R. j# }' |; h& I I( R

! O8 S$ T5 |! }) e 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 2 M) [5 x) n& n# j

$ Z! k. N% l& E$ l* H- X3 ] V- y" s
% i) P! `+ R; o% [; |$ b! y, c' T9 @ % M* N+ y) i# D3 r( i. \) r% D: R
6 @" `: m' q- S0 w4 T& d" h 1 ~) T+ x4 k2 Z8 Y
& O1 {6 O6 g: N% i, ]; D; J: d

% N6 F q2 o* g8 f& } $ E6 L4 M9 w. R

- n0 J2 R$ O* h% W$ n; T5 Q

0 n M0 g' B/ u: K& H3 f+ ] 填写错误标记开扫结果如下 4 i( {0 k' s/ S- S" F( e

. c9 l4 K; x6 y) L ?7 o7 ?
3 \5 K! P, V- b7 @ : c4 C7 \/ W' ^$ `! {
0 g; q: R7 H) I# r( }2 m 3 I5 a2 w: t5 h9 J6 v V. G$ O
( L5 `1 {2 w( I- z3 o- w

6 e- W9 X, h/ e4 T % F; T. Z7 d* ~& p: d% i

% {) h8 l; ~6 i7 T

/ u' B& \% r. \9 V 下面我们进OA 4 n N( Q8 u5 |

3 E3 u+ L! J5 P/ E/ U1 Y
( s+ m: X% ~. Z + o, ]$ t6 f5 L; T3 K' R8 |
" I0 V7 A, v8 ?* H ( d( O3 B3 X% ?1 @ }( K
8 k$ ^/ G6 _; b' {

$ n1 z& q3 U, ]2 x / c9 x) x6 W* [* O

}/ l# L+ Z3 q; J, f

: }1 L& Q9 M9 e' l 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 : b- N5 O9 ~" q: F( M6 w

& a5 Z! O; u; k+ u- h- K8 B8 @
8 f7 T( g0 G& t 6 D6 F; D# n c4 _
! S% v0 [' _2 H- `/ d8 U ' K4 B4 G5 v% V5 y8 |( i, W' b
4 w, D/ T6 E: U6 I* A

. _+ u a' |. x" @0 t+ e/ f' y , U! n7 X; i7 j9 @

! x9 C" o& W4 s* ?

* t- b" G- _2 t. K5 I, C0 L0 v6 [ # X) [; ^ k8 {" F! @( @% ?# N

$ `6 V+ o7 u+ I8 W/ g

( x) d- z% M3 s% f: } 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ! h4 j0 o8 o5 G9 U0 O1 U2 {

% f4 Z2 x8 H1 r! I5 i- k6 a

4 J" {3 j8 m/ P0 U6 l 4 、利用tomcat 提权进服务器 : R! s$ |' F& \8 m

5 C' n4 l& `1 q: A/ R$ Z: B1 @

! i( q# c7 O" R1 p y nessus 扫描目标ip 发现如图 1 v2 J, I( e. }* q2 f

( v4 X1 i3 x. }5 m
$ T6 `* ?; [1 M6 l7 y$ s! G ' g- g& |( A* @& b) u' M
3 Q* t, E& q' j3 o" a% ~$ D 6 ^9 U" N1 ]5 L: r/ ?$ G: W
$ _* B5 d. q q5 G7 m& i% w1 f* Y1 p

3 \' R0 L- `2 Y5 ^ c ' ^) L+ D7 m# C0 v* y7 v

. q% S5 @5 p: F1 @

$ v" ]* C4 u4 S3 u3 m+ T5 M 登录如图: 0 E' V, \8 q' z- j- h. n, u; p

( e0 \2 Q& v/ }" R! e/ V9 }
[, \' Z/ r v+ O0 t 5 R& Q N* l! t# @2 I) n; M! E
5 b! q) O9 @% g 3 O. |0 Y6 |- g
^& s6 L# j' A$ [. W# T5 J

, Z& i' @$ {! h) C: s 2 H6 C; {- r, \. l. U

8 g1 M z* B# i* M4 l

* P: x1 |7 Q; Z7 p" k1 V- `! d 找个上传的地方上传如图: & C2 K* a6 ^1 k6 Q) N @; W

: X) \# y. d8 }( x; u+ x$ m
6 A2 e$ T9 L0 J$ e+ @' A 8 t; Y1 [4 s% l% f3 t
( u) q6 Z/ t+ N9 ~* R( f/ ?5 x ( I3 N/ }* N8 F+ X+ b* {
: j& ?9 M( B7 Y

" H" k- e- O( B( f& r4 }+ v 3 v8 i( g/ M7 M, ] q/ g

* r, O# D0 k( @% |2 k$ t

$ s4 O4 ^+ R- d& a- Q 然后就是同样执行命令提权,过程不在写了 # c# n3 J" e# J/ U1 `$ C- A+ o

! e* r: D. |0 o2 i* f, H% V

, f: u" e0 l6 o# U 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 2 u8 T* l8 R q- @& c* p! k

7 t$ P* T0 R: O4 h4 O

. p# ?3 W% y5 v0 u/ v$ s 首先测试ARP 嗅探如图 & B5 \. y" q/ c$ y* S% @4 g

: A( y# q) J) P; I
$ c4 ? C" d! F# a. D3 ?9 p / O, D2 Q, U' _2 ~9 V+ ~
) d4 L3 ]. H T 4 b3 |6 d2 W: X4 _; D" f, h
& H* H! e6 ]4 ` k Q3 U& N" `

: R. O. g0 Z. S% f# T% ^, r i* G9 l2 D3 O' Z

! |7 ^: Z9 ?; G0 U+ N* R

( h5 a3 F! [6 {/ M 测试结果如下图: 8 S7 r( O6 B5 _$ V5 k

- G2 E p# L9 L4 a# A- y
# t. E# {. Z7 M' P3 M2 R8 S " O1 {0 o& h! x/ Q* F" V
$ N& |& ]0 f/ u# w; | . W3 A" h7 ^) A1 D8 z4 ]! F4 U
3 N9 o4 s: w, `

' O6 F, J) B. o* r$ J7 Z/ b , u, L! B ?- X5 y0 Q3 d! p7 b

( S; L. Z& S9 C

' i4 V/ l; w" G) x, f2 R 哈哈嗅探到的东西少是因为这个域下才有几台机器 ( ?" Z$ G4 I, K

- G4 v* E) ~3 c) q8 k) }

0 R3 r+ ^+ f* C 下面我们测试DNS欺骗,如图: & f7 ~; C/ ]2 o3 w3 H3 E" p% F6 c

/ o8 f' b' y, Q
6 w0 N( L% _& R0 o2 k ) ^$ i0 q9 K8 U4 E
; r @7 Z' c0 }% S 6 K8 Y" |" k% ]) U/ O0 M5 y% ^
/ @3 H0 B$ g/ t& B9 p

1 X$ e" Q, F+ ^6 }: V; _+ J" w3 I ! u- K+ ~, W1 k. r

* Y$ M" K, U, z& S& ?4 u0 |

4 H, U; v% r9 J( f& l& ` 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: / [, r% _9 `0 f9 v

! z/ t& e/ U" b& a* |; I
3 `& x0 c4 \" s / m8 A/ u: R7 Z- T _
5 R, l; M. D) w" l' F5 K - v! W7 v: E7 a: c' Y3 [
: k+ A/ i n; ^

. l2 B( X% g4 A H ! J0 K t& C6 i! j

, ~2 k' B9 N4 R4 Q4 U( D

4 g' [% K7 F' Y9 d0 {3 {; } (注:欺骗这个过程由于我之前录制了教程,截图教程了) / U- Z* q+ _; W; ?2 C. p- _

# s) H' d. A- _

7 m" g$ P1 \- G8 D g. V 6 、成功入侵交换机 g, E+ {1 R6 ~5 q; K8 D5 Q4 j- X

3 ]- o0 K9 Z2 U$ a

1 P. q! Y6 S1 W+ g5 {1 z5 b# ~ 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 # O9 t% X: y- s$ q' F

7 j m3 {% S+ E9 R0 Y. u; a0 h

2 J6 ~+ S) j/ H$ _& d4 Q4 M 我们进服务器看看,插有福吧看着面熟吧 3 V% Z5 Z- X4 J$ a/ i& Q( c

- \% D4 U6 i0 m1 b6 {
& X6 S1 A/ \5 w # K+ K/ {+ n, x2 y( T5 J
_9 G3 g# z! W$ K6 ^! | * k/ ~* F+ O; Q; P- J. w$ y6 c! f
1 n. n4 Z. t/ H( X' E: S

" `5 x. y+ R/ c7 q ) C% j, J) W) o8 \

0 D/ ^# E( v2 ]

0 @) B5 N l0 f a0 g 装了思科交换机管理系统,我们继续看,有两个 管理员 ( s) R( b: D. c' C

* Y3 f W6 U7 C7 c+ M
% ~% m/ q) o3 ] Z# N+ }9 e: d . S) t4 X5 Q4 Y3 J
! f+ V8 m5 j7 a& A9 x + J1 v- p+ H3 S6 Z* j
: N" _% T* a5 B( {

; I& k) y" V$ T& o2 y1 y5 ]) D 6 u5 y( k: T: I: W* j o0 ?2 z. D5 r

( p- O" g; b0 @4 x

' x0 P- Z1 J; l# s; N 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 1 f; a% ]4 x3 _& s$ J7 M( e

2 {- S& c( ~& r2 y& W
8 n1 y, k6 G8 G2 Z4 c" ?) a : Q6 Z. `9 ]1 g2 T; |
" Y& U, K$ ]6 w7 M7 J, j) \ ) g2 u7 u) F) B0 W g5 _; X
2 Z7 {6 E) E! h3 _& h+ M

: t: q. F2 I ]7 b& S , w8 E/ X) X: W! C3 J$ q

( o, K" J: u7 L: F" {

1 P: {& _' M( l 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ( i. v( s+ E* y( j$ g

& @4 Y# [) y4 t% j! H
' m) e% a$ o+ H# y R ; R, S5 f8 k& e* a1 v
% O- p/ d, w8 A ( |+ e: A! |% q* {1 f
' C, L3 J. i* C/ [2 h

' `6 O! T8 x2 a# @4 R8 M ; C1 u1 i `5 X! g

4 m# [$ m% W8 [1 a% T6 o7 o% Y! D$ ^

1 t# V5 S) c8 @4 C config ,必须写好对应的communuity string 值,如图: 4 x, _% s% v# o: F- v3 a5 E+ ~5 p M

% p$ ?/ ~' D. ]& @6 j
; y3 p, j: x0 s( p4 D/ H d' L# e1 {4 f0 q& g' X' h
' E7 e. H. Z4 `' T, q2 H) l* Q5 ^/ L : J) k( A j( E/ I
6 r! Q# ]0 K# W1 S( ^9 B+ M

) e1 I0 I* V+ _4 n9 D4 G9 x + [ U0 g' a8 Q }+ {, F7 {

" ?: t" X" B5 n4 {$ T l, @

/ n8 O9 s* @7 _' |# f9 O 远程登录看看,如图: / e/ O# \ X. Z" x

; O% B9 e: j5 ?* k" R
: a* T) `5 E7 U( [, Z+ a 9 v) A/ v9 ^" z" y1 b& X+ _/ S$ E
) u3 c( y9 V$ D7 v; t8 } + x0 Q. i' o. l0 k, _! @
8 J. P) I& z) s$ M$ v/ F7 K; w

: I# @+ I1 R# n; B 0 g# f5 ?$ K$ i/ b @

, B- r. R, A9 U1 o$ W6 }2 j

t5 N9 u/ i" J& P; o: I# F2 N 直接进入特权模式,以此类推搞了将近70 台交换机如图: 8 O2 G2 s9 N" y) U# E2 y0 ^

: ~% |- P6 z. T0 v
$ U5 i# Q) F+ j6 P & u1 A) [; t5 ?1 u' y; ~
/ n( T& h @2 I5 K5 ` + L; k6 u! M) q; g( A5 G* b( q
7 [9 w# E& ?- H( l7 Q3 Y

9 r+ ~1 Q" r. D6 u2 H1 M / }( i3 u9 P! y( {3 [1 s

- [; W/ S1 s& m r

8 p8 J0 A: ?: l; c9 J/ ~ f A 4 t* v+ L; H3 D; j

; i5 z" O7 f& }5 x3 D

! R+ ^$ W( X4 G) P8 J8 h& F 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** " E1 R5 n7 b' A2 F0 Y) y8 w' Z1 s C3 S

1 |2 W: a1 q0 _& a3 z' ?
% I8 v( n' o. K5 r & L& P7 r; ^- E7 q4 [7 N) G" w
8 l5 a0 c3 R% c. x% ~ 2 j- |4 b4 Y- R ? Q5 |; D4 A
. ~, p6 R. [7 A7 y* o% q" v

/ r) g% C* u: r8 H) B: H j 3 l: Y, Y: G% Q# f( R

. ^9 Z1 J. I$ b4 ^( p

& x4 N8 q% @6 h! a4 U9 T 确实可以读取配置文件的。 1 v! g/ z4 ?! m( A

$ |6 ~) r5 t/ R3 l8 g; S5 ?0 O

$ \$ k& q/ d" M1 ]9 t9 y# S- T7 u( R 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 8 Y; T6 R" K U$ t' U

: |+ F! N& H6 g% B7 {/ s
0 Q) y4 X8 O3 ]2 ? 1 q( g% i: m1 t' T/ U6 s
; B: f& w% n8 m' R! ~ . [6 x8 n/ v! z
: f0 D! `; d( N7 [0 U: Y1 y* f

& O' B' L, K* H0 F5 _- {1 ~ % U" J3 A0 [. Z" X: W% Q

% D0 w8 @) V3 @

7 I1 E8 ~; H5 G8 n' C5 Z; E' U; y 2 e& P. j2 H# P1 g0 n" T

- @7 i4 f% ~) ^/ x5 {; ~

" m$ B1 H/ u7 v4 S8 } 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 & K) D7 o- `( @+ `. v; R) f9 u

' o3 ~4 ~# t5 _+ C, _: Q
4 o' t3 ?5 [0 P, O& j9 `- p , ?7 _1 \8 K/ I7 y4 I5 m) U5 d
& j" z! z/ t/ h: e( W# y - \5 b" O5 D3 O
7 D: B4 B4 q3 d D, R+ d- T: V

% w% ^8 A( ^8 R/ J7 L 2 k# I0 H, B4 o

. u" k$ o, e$ @2 h' m4 {3 ^8 H

- `6 I7 e* k5 s. h0 o* ? 上图千兆交换机管理系统。 . O1 U/ L( h1 V; m

* Q+ G4 K% z- L% c0 K$ D: C" V

2 y9 M, k. t5 o 7 、入侵山石网关防火墙 6 E9 r n S3 E; z- x6 v+ U

7 Q- T# X; E0 b9 H; Z9 x

2 { n; X# T3 O% o# H: L* i 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 6 i; m8 i0 i- c; d3 K

! W, S0 `. ~* a7 M O( f* i
0 F: R% R* b) A0 ]3 f7 W$ Z 9 {9 k. C8 l7 B6 g0 S( T
0 {& @1 @& q6 o9 I- _# g) n : [9 O/ F. ^7 U& m
5 d- Q1 y9 T: C" i7 ]$ S. j/ S

; j6 ]1 p2 F) n, N5 b. c$ o2 v : z- V6 V- {. ~4 i3 J$ C' t8 F3 y

9 I# _! {8 r& O5 O, n

( [% ]: I, w; \. } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 7 l; |& R0 h/ K4 M ]

' x* U( _" l3 g4 C6 S
$ {: C9 a. I9 G( q$ C4 E 0 u/ N: r# {% v3 M% F& |& e0 G
( ^, v/ w: h0 T- r0 Z6 x ) P7 t3 [: f5 ~) w" L
: |. D5 ]/ J3 H$ {5 e' ], }7 `, e

; V+ h4 E/ A1 Y* ^- b * O2 ?! _" e. a: O8 }: B E- X; S

9 f: S0 B: z7 `' s% N

1 u* R8 ^% w: p3 `/ ~ 然后登陆网关如图:** 2 n# F1 q- } z! u, v$ N( j1 @

; [+ B/ M9 n5 D6 v
, z/ i, u$ X9 O% Y' p) g7 T ; E' Z1 E. B! @2 j* n
0 X. `! \9 ]6 s8 S# C , H% x' d [: X/ L. ?
: |+ w7 d# X9 d/ F9 r

1 h! _0 ~5 A- |9 v0 p4 d8 ]0 m% Q % D' v% | k R4 F3 Y

i$ Y6 Q |6 s' j/ P+ i/ z
( f! F3 M1 ~" C& h/ `' E/ D6 S ; f+ y5 ?' S9 n- R: i- N n
0 T& Q& T1 ^3 K' }: A ( l2 W7 F( T- x4 l9 C2 U
- `0 M6 ]3 a! |0 } I4 B/ G

, g1 B, _7 v2 e. f 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** % E$ b/ R% ` n3 L% _* r

" D9 \/ t2 h7 A0 T/ h

* R+ q" T3 O" ~! ?3 z 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 4 {. Z1 `; F' p' m6 ]

4 C4 K3 U" N% t& q; I3 g

! h8 q j# X5 A* N$ p4 b7 W- x 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** % C4 Y$ {8 a4 u5 @/ C

6 S2 I4 Z6 [6 U, q, w& Q, h" F( U
2 o0 `: t/ J5 G: P9 ~" d% \3 S( J# | 2 U) C6 e9 `3 s- E Y
% S/ w; ?6 | f: p. a 1 P/ i8 z7 ?- Y9 Q: l5 }: Z
6 e& V0 X, V+ J p- y

/ u* Z7 z0 T" }) ]' J$ n: Z 7 O! Y" p3 m3 y1 ~! {0 K

% r8 I9 j" u' G

/ W+ `- W) G6 S: H$ \8 i+ ]0 e+ l 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 $ g. B& g! ^( x; ]4 ]6 S- j2 o- C

% n8 w g2 v) m7 @. X

T3 `$ g, q1 T7 C1 }4 Y   / D4 N7 w" @0 `+ V8 k9 |

7 ]4 {/ @6 e2 j3 G+ k$ |

+ A1 ^- X' r8 Y& J+ U4 h3 O
, }$ b( m4 b. X, P9 G

; o$ H" y+ N* Z; T. W `* L2 a ) b- ~1 b% {! V& I6 {



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2