中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

6 @" p4 i8 I/ _6 J- x
& A& D* o5 h8 m9 ~" K

9 C+ X+ N- z& S7 D

' {2 Q( H9 T/ e5 n D& R 1、弱口令扫描提权进服务器 - {" Q, `( g3 f# B' o5 q& j' E* D

. _" y$ u/ @+ {/ y2 P

9 M" o% F9 L A `( b Y8 D- ? 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ' {6 [4 w7 q; l2 _ K+ ^+ w

, Q$ M1 T4 k/ a+ ~/ k2 @ v+ J0 _
$ \* f4 [$ r$ q/ M7 L 8 [3 r' x: g) W3 e' Y
9 c( _" g) }5 q" M _ ' ?) F; O1 j6 i: {5 Z1 v
7 v; f9 I; o" a" J/ f4 D- J' h* }

4 e9 N6 ]3 [1 p: i , M }2 M. s4 G, M

* B0 _5 P- g! L/ Z: @8 b( h

# D K) N2 k+ v, B1 p( |# C/ j ! w0 h9 O+ `0 A4 n8 t, c3 c

) n$ `& ~: [- q6 e% K) H

) F4 q8 Q R! M- b ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 4 ~# Z }+ u5 S0 X9 N

9 [9 d0 k1 Y. H7 T- [7 x$ u3 q

! S) F- \$ ]1 j1 _2 k/ Y 执行一下命令看看 - A1 F$ {- A4 L# }4 O. w0 R

* m9 b$ }3 c2 t2 R9 T! d

/ d% K/ }( X2 f3 w $ [* j. Y" }! B& j, O) D

+ l2 t% f+ |: x
& V) A9 |! g; B, s6 t- r 9 R7 j3 O/ B$ l: [) k
8 N. p0 C t# k& `, d. w 2 v, N$ D6 i/ D" k/ }
9 @, s" J8 t: o* r7 T

4 o" A& C2 j1 W0 [) q: J! | 开了3389 ,直接加账号进去 0 K) S! `, j1 M+ @. _

& L% z3 R% `& F/ z: Q' A
6 d0 {+ [ M7 B3 W ) O0 }' X# A5 W7 S% s, m# R
. m$ o# T j7 ^# k2 j6 k 5 m2 O# l X8 n9 \; F; M5 i
: r" ]! _+ X6 `

6 P; I( w* G% z+ y- Y 9 `9 o5 q# `# J/ P0 H5 C* X

' B/ V5 M! Q1 |* E9 _' f: [4 r5 c) |

$ s$ n, ]% E5 y4 G2 s# i' M 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 # R# q) {2 k* S3 X/ e) ~

5 N$ \$ O, K- f( q; q- R2 Q- n
+ @* N8 I% D1 y $ G- p3 M" ~( x9 i9 z* t# C
" I8 m* l9 ?4 _ J5 ] 6 @8 z: D. f/ E+ P( j
5 u0 S9 }% b% @% k5 _6 `* A

$ E j' V4 m2 ?' x9 Z$ s8 x- h' j + J/ x, g& l* ?

0 ]+ `# W/ Z0 Q7 I6 X* g& S: M

- y R3 n; ?# f- g4 A 直接加个后门, . P& H$ p* e# G; k& S2 g3 }

; A( Y' W8 c, L

9 q3 g6 |! x8 D! i. U8 C8 Z% @5 U : c p7 A4 \1 p' J. ^

# ?! S- q# C: x/ a# A
% O5 k4 E- K9 [ * N6 [4 s7 R% E
( a" o+ H f7 a/ M! ]- ]0 @2 r , ]) H; }4 b" ?+ v: V
) j/ ~4 v# E" U9 W

2 N" D% \4 g& H% o! f 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 7 W7 _" N( i. D1 W: V% z: y6 p

$ x2 Z& b- |5 Z4 n& I. _

- d- m8 V! C% j. G! L 2 、域环境下渗透搞定域内全部机器 . N: r, N O$ ]7 w8 N

) S0 F* G U! k, L% v. I0 _$ N

9 b2 [0 w- J% W 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ' n A3 O! H' g

7 Q9 M" f/ @1 p$ g5 X
7 u3 J, b& D) p: S / P2 P; P+ K% }7 b0 ], B' D R
/ m& P: K" V6 S; l6 N ) m" V+ p) l. U# T; e! \9 w) T9 }
8 Q1 q( x+ u+ J6 x; a

7 R3 e) t, {9 s V4 g2 J' ?7 { Y. n$ V; y$ o

0 a, z& |8 d; N6 ^; _4 k

% U9 \2 r* y+ y. m' i' Q* K( W* \ 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 3 Q, \- z. [, g: O- j2 J# ]

& d( M) f' ]* T) Z4 ^
5 a6 a# A2 q( @# i& u" [$ C7 H/ ^, C % W$ I [+ F! Q
* e; K4 g6 A$ m3 k ) K- E- h6 n5 s u
/ m3 o' M, c E4 k7 t1 c

, @/ D& E+ V# l2 T" _% \3 o % V( Y4 e! l4 A% w8 F7 ]5 s

! l0 X1 f8 y- j. R) Q, [4 u

4 h5 C Y' {0 t/ l* N 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: # ~5 I, o+ z# p: H3 n

5 C7 D c% Z% r9 {
3 q S0 x1 b; z/ i7 ]$ g* y + B* ^4 w) @- ~2 r
$ {9 j. r" D# X - s, ~% p+ A9 K3 z7 f g
" @, B- ], A+ M$ |" t3 |

2 y# N( w! ` P6 M : f/ r, ?% }% D( V

- s5 V) a7 Y, x7 w; `; [

; R) t) t; S# t8 _, Y' ? 利用cluster 这个用户我们远程登录一下域服务器如图: 2 f- s8 e% }# d

2 Z/ w1 s5 q9 V6 p
* Z* A" x& L+ N4 E' D* } + m. R+ ]6 j5 H5 b; B- [
\) a6 v% n1 o9 o7 }% C Q/ o4 k z; x, m9 W6 h$ J. d+ n) [
4 e( H+ P. U: E$ L, ~

: Y4 n$ J6 o0 u' p; C4 B / r) ]" U% |+ K2 r9 d# R

, L* f) _: i! M+ G9 U& @

8 L( M1 A5 ~/ k7 B0 U 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ( P1 _4 M; c7 ]" U

& a) X! H2 G$ ^) Y3 Q
0 j, \ Q) H% m' u% {% [ . r! s8 L5 |5 `' y" {0 [
7 J2 `* @8 b+ f3 t' n. p 0 d# _- a/ G/ i5 Z6 x( j
4 T B& T+ j+ K* ^ P: Z1 t( a

5 p- X9 X$ f! w6 G8 H, [9 g3 I, G, t 5 m6 U8 ~1 P; \+ O+ o3 R' f( ~0 V

. ^" Y* |8 b) i

; v% m0 `2 g! C( Y 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 4 [- ^' N+ |* g4 v

2 G2 f; |* l& C+ \

+ ^5 k' i( ?7 k* d( @ 6 D# W* B3 e6 w% A

+ X! u- ]- K# D3 {# B. {

* d; T8 D5 w# r* n9 p$ [ 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 8 W& }* v+ ?5 H3 @6 K0 G/ Q1 }9 B

" f1 x, M ^2 `0 N9 u

: ]: Q: U1 D% ~+ V( w blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: & p" {+ f, t8 c3 b

) U8 Z6 f4 t0 o$ B8 [; a
" p; \) A: Q$ J( Y1 m " H( F6 ~( z+ T! X
# g I2 \ ^4 P 3 O$ v# \' x5 y5 L9 U
1 F# [$ Y6 i& K

8 F% K! q n/ Z7 B1 b" ^! | , f9 s0 e; Q: i. l

g0 z9 e2 I" @" O' w6 A4 l {- H* r

$ M1 ^- X7 `6 v8 i/ q# \% V 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 8 L" `% R# e0 P" v2 |

2 X. D/ j) q( s8 y" U0 A
; ~9 v; _5 N1 z% [0 L6 Q 1 n+ P+ @9 E1 V# W; {
4 ^7 m+ |- M) \1 Q3 I9 G% C $ p7 ^) c+ t- v5 C" K. m
4 P, t: r9 h, w) r$ {7 A

1 M; ]/ a+ v1 y; m ) q# \1 c( l: I, M4 A5 p$ r

" Q2 }# i% l( u) q

5 C3 G/ Z% b( O8 L: }/ r 利用ms08067 成功溢出服务器,成功登录服务器 5 |4 w8 @" H( y' v) {) `3 F

7 p. Q' }3 T1 O4 J, C
P F4 ]8 e+ n" m ( ] Q+ m- f C$ z* T
, ^# g$ O4 r3 @6 K - ^3 j8 U" I& w/ D, y
" C8 {4 ^- o ^* N$ B: m' j

/ ^; @. H$ B7 F& c) j 5 }) Y9 p, @" D; @. F5 i- c0 r8 Y

# J% F" v! B" @) P) {

3 ?' c5 h+ U; P- ~& N" ~' q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen # p: u( F) z; ~9 i" q9 E

3 o+ \0 a4 C8 x" f, y

. s; @& p( f1 D# e1 x 这样两个域我们就全部拿下了。 8 U( O' S0 z( f! g" ^7 S

) X& X" q5 \+ U# h, T

0 b) M5 K$ W( i$ Q. c 3 、通过oa 系统入侵进服务器 7 @/ E }, X' `3 Z' Q

; U! N4 c7 z3 ~7 A1 S' g

1 }! a4 T4 j4 @ e2 G Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 $ o4 b9 d" f& N

- ~6 l) @' v3 _) ~, Q' R
+ b6 J. x" ]5 E6 o$ d $ |$ ~# y9 F( O9 R* [6 `' W
- \) f& P- D3 b1 k/ g/ N+ I4 _ % z7 ~. c }7 t% d; _3 }
( i0 ~7 d0 s9 k& M$ Q3 U7 @

7 z* r1 B5 q0 F7 R; F2 _' h6 ~- M9 F 4 S: o! |* V" C. c0 F

6 A& g7 y7 l; H# O7 ]* Z/ n

, v5 v. T @$ t 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 3 R3 X7 }, |7 D4 }3 k7 g P

/ U; {5 n$ r* a/ b9 I6 z
e' y: A4 i( a0 w $ C4 H7 p7 L+ s7 X2 `0 O, C
6 t' i; j9 I m5 \ 6 j" q2 Y0 Y* t: [, m) b g
6 {$ u, t: W+ g' T

) S$ U2 G9 L! D9 c, R5 [' ]% D - n# N2 Q! b7 ^( N7 d

. V/ }/ ~, o$ a- B

$ o% n6 O1 y4 I' L1 Q6 F 填写错误标记开扫结果如下 ' j! \* z4 _3 s. E6 \

! \. Q& z$ E" T- W+ ^) ~4 M2 _! P
1 I" O) P0 N6 w0 U5 ~ 0 c) M1 H6 v/ P; z$ K- L
$ h* D7 ]/ [' T0 B! o5 h2 X6 e. i* D+ |8 } ( q2 L( q; m& B/ D2 P5 g+ d+ h
# V: g$ y8 m& k9 g( I2 u2 Z" e

, V; `& U9 [" K+ T) D0 r9 z * [5 _6 t9 @7 K: l9 K2 l/ H7 N

$ g' j) \7 d! [) ?% Z

, p' o; R, |4 A+ K# d: x; |7 y8 g 下面我们进OA & E6 a+ y6 ]" V0 C; T

( X& {$ h* n% K- |& B
9 a: d/ O' X, F* U' S8 J * k& C1 }2 {7 s) b6 q* I# q
$ R8 ]) A( a; Z . r; g( d# z5 x+ \' R
8 n2 j6 _2 ]+ X& R- h% f

) D' a) Y6 W/ A: |# [* Z2 h U & x7 l: c1 j4 e* f! f1 P f' N5 S

7 u b9 P' i( f

3 s; D# ]5 o+ z8 G 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ) z' _# R% R3 a4 X

d+ m, I% b7 z5 o) {) K
$ a* [4 {6 s; E % y" `# H+ q( G2 C+ H$ o4 x2 F
9 L' I. N4 K- C- m, |" V2 ? 1 A0 G% T- O7 o1 ~' E. L% Q
: l5 P+ A% S7 `

1 j2 w6 Y, g& ?3 K. p4 J 9 `% {+ q9 O8 w9 ~* H; V& G

$ v1 H* A# ^- k

5 X; e; O8 K* Z: K 8 U9 i8 U/ u( ~# k$ @

. D! I, O, m- A2 A6 w, D1 d

2 ~ K) ?! ^" X/ ^. L6 g) V 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ( _* W6 S' n9 {/ @. `

% U- \1 C! e) ?1 Q

' n3 T! J& B& N. v# k% l+ _ 4 、利用tomcat 提权进服务器 * i) s7 x0 v' g2 \( Q* _

( a4 n" Z2 ?% i0 g

) `' j$ Q8 K6 _! x* w nessus 扫描目标ip 发现如图 * {) X) X. n7 ^. M5 {8 e4 C

) t' g3 y9 O$ {4 n4 U' a% v
9 `- b7 N% h2 _ v + y0 r$ z* [4 W8 Q/ y. n
5 @9 W! B& o1 B: h, X & U4 g' ]) Q8 |& z) i/ P0 A' \* y
8 U" s& I7 ?; }$ }2 U; n3 Q& B& U7 K

. t" X/ G& s) W+ Q- S0 Y. {' U 2 N8 j/ ^: H' o, N9 o: J5 p

]) w O- X, O8 {9 D I8 F

+ H" p! {4 \ s) F$ f0 I6 u 登录如图: / r# u! s/ }9 R7 x

/ Y* E" T7 s: x7 L& G7 `
5 b( b A5 W1 k: C 6 i' w e0 {) f3 l; ^( E5 y7 _
3 t8 M; z' f+ U. C4 p( Q 7 K4 `4 E4 ?' `3 R2 M5 G7 A" x! l
& P W+ A+ A9 K

& v: g% a0 A" p$ ?) @; S- N : {: ~& Z3 v- ?* K5 I

; t9 M0 |# k; T: ^% n, I* \/ n) O; }

8 a# N3 K4 S ^5 {5 Q 找个上传的地方上传如图: . Y' X7 F# u/ H; ?# J \0 F

* V+ B! P S1 a. k7 D+ `2 Q
9 \+ a# |$ Q" ?( Q0 b* U ) B: S1 e/ A) U
$ ~2 |$ L7 ~# W% c% E & N( L. _& P) H
: w' r+ n, h4 j3 \; Z- s3 i

5 _2 o( _" j* P- Q0 I1 B: F: o0 O ) j* U8 ^( e6 \# Q: k

f1 R) @% c. j8 z) e0 J

' n* {1 l' b! R 然后就是同样执行命令提权,过程不在写了 : E% s9 [6 P4 F/ t: `: h4 \" q9 @

/ C: s' m& {# v6 k+ {* F1 K

" U6 ~7 ^1 ?& \5 m3 u 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 5 n" `7 q! e+ `; n) j

& \9 v, C/ e# ]8 `4 R* @

, S" N' U6 g- |# F+ H. C5 [: j, T 首先测试ARP 嗅探如图 / u# [0 O# q$ g; f

3 V: f* N! L% U' {
2 D) X) h# H. G: W! F % f: y; p! t8 y- \7 E
- f0 d! K: C! C, \+ c% Y3 Z 2 A: P1 `: w! V2 H' T5 V- [8 r# T- v: p, J
, `6 f2 z$ E1 w! m* ^+ n5 y, a

* N) p/ H7 ?# S1 {0 q + _/ K+ h; I9 K6 M- I i% v

+ z; V( M, b/ X2 r0 a) u. V/ h2 a

# K) }6 j% r' X/ o 测试结果如下图: % ]% B* I9 w$ v5 x* _, r6 O

+ ^+ u, m' o% i; t$ f+ C3 M4 d& n: T3 _
0 J0 z& P( g; s9 U- A9 I/ X7 H9 F: ~% I " F" N6 F1 w7 Q' h8 O/ s
* j; R# Q3 P& h0 o' y 2 @& ]# ?2 h+ S1 _ N6 N
$ ~8 Y4 {) ?, d: ] o( D

# L; M; ?! `0 b8 n' I$ I( E ]7 C4 l L4 L; M! O: B3 q

9 |. k) w7 L- _) M

& l- d! u' Y* R {% M& P' n 哈哈嗅探到的东西少是因为这个域下才有几台机器 " N7 O1 ?& r) H: P* v

' j' V" d' q9 L! N+ Q

; s- e& A1 f4 g6 u 下面我们测试DNS欺骗,如图: 4 g0 a& |; l) ?6 p$ J4 p7 u, x; r

% S1 h: m! E! Q
9 u. p% C5 ^# H8 H4 U& h5 r% u ) g; d9 ~' a; v: L
. j. h5 J; u( R3 E% E 0 h/ X( {4 f4 |
1 E! ?" k5 v$ r x/ ]

8 }3 `/ G+ Y1 B0 I' D/ I+ c" b! a 3 l% z. V: Q9 ^& o# _! A$ R

% H9 y4 c) k" [ I

/ } h; y+ I: R0 `+ B0 i 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: " N( C2 h5 m& ` K! E9 a

# `" d$ {9 I& s) X7 l# p
) I* j/ _% m3 }/ |& ?$ p& W; ]6 u 1 i" _. w% t+ K1 ]% n6 r7 D
2 z, w2 w9 P4 w# O6 t / I+ Y$ j Q- q1 S/ o
7 K7 o- s2 F+ {

/ q' m8 g" [! }9 t8 A; P3 G; @, G# G & q4 D" C1 j, m7 r) m' T( `1 I0 s K

2 g! m2 ?9 V2 Y8 t" V2 }( S

4 c/ H. w4 I* G- R' O, S (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 o) `+ A) D. I& a- n

' J/ p# `7 o7 k3 i' v1 p! v

2 S$ K4 M6 Z1 U3 T 6 、成功入侵交换机 5 o/ ^( b M6 z5 C6 G8 j

" T+ e/ F7 X3 g( B; \( @

. r$ ~5 k0 A: Q. P! N 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 q% ]( {* V' [7 i# [) I. i. d

, l" B" _$ ` [+ k ^6 q& I. A; D

; L2 | q9 c6 V 我们进服务器看看,插有福吧看着面熟吧 ) h" f. \* v# L$ ^- n, p

; ?3 }+ ^( i# w( f1 o
: I: k5 D' r9 W5 m5 k( W 6 I0 o0 ^1 O6 h' G, p: z
/ X. b% D1 Y# x& T' z7 i $ @7 I- Q% o4 w, A
1 I3 f J) _) h7 Z+ t* ?

- ]3 [5 \+ K" }) x1 l+ ]0 x% l6 w - C4 O& c$ A* I& j2 ?3 h

+ p: Q- k" v; a& D6 p/ w

2 `. S% |: v, _( _% o 装了思科交换机管理系统,我们继续看,有两个 管理员 * v8 c5 o# i3 L6 y9 e

; {5 ]& Q( Y# b- S) F4 Q. x
2 z& H2 ?" e& {$ w0 J $ G9 f% D( ^7 d# c0 T
! ?: k0 t6 L5 r4 E& b! I V + t* }) U/ A6 }% S; x
; A( m! |7 n& u1 q0 p- T

. r, T8 W' b+ F0 N1 ]. Q 5 x* O" J1 L1 x# L% E

& E6 _" \. T5 }# ?. [

0 | \: _( ^$ v0 x 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 + U# h2 X1 [. ^$ }' j

6 P9 x2 u0 O l% e1 q8 E* M n
! X1 b% F7 Y+ F, O ) f, h+ T; r: V* Q
" i% `7 j) t- E% d# Q4 W9 G 9 g; q* J h- @! A# t& z* T
1 _) R! k! o) l' `& m. E4 l

2 |9 P( b' M% r8 ^8 K( ~/ O - n6 P4 N" p' o9 n& F- [( P

/ x/ k }% H; N2 `9 } [

* n$ [4 }$ m% D; m" \ 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: % k4 W3 j3 g( r9 m) M, p F. Y% t

w& g! z& I; w( l
3 q6 `* I2 B5 ?( W2 U- ?8 [ 9 ]% w- M. D Y6 f; o C2 [
, c2 [. \4 f! U' ` 2 h S2 j0 A" P% ~
d' n: D, X8 x3 U1 U3 M' Y

$ D: e" g M6 p * S% l7 f! G' b) E5 D7 V5 h

* d7 a+ _! L2 Q7 f" v' `1 j

; {1 D# o: j% y4 }! C9 x& f config ,必须写好对应的communuity string 值,如图: # U+ D8 b- d# [' n

0 _6 S' l+ E% k; e3 r% [
9 _0 ]9 o0 b: M% A2 j , _6 ~* P! s7 z/ o1 Z
0 M2 V4 m. Q- M! I+ {$ m$ ?. V5 a- T 2 \1 I+ H7 b1 p7 `' U; h
1 y6 ?" M( P6 t" t' w

( d4 ~) p8 T- E3 D( p2 S 6 s4 H( m4 m/ z2 w* Q/ o1 r' M" q

: w6 @6 N2 x3 v1 v/ J- [7 b

1 U4 x) R Y! s9 y0 M 远程登录看看,如图: T* B, U1 U) m- A) a0 A

6 _+ J) F5 }5 b) g3 f: I
: J h7 c2 A0 S / c, U, _7 c+ Y) |7 u! `1 A
4 V, c% a- q: Q4 H7 e3 d % } w5 T3 Q( h. ?* e
5 q5 K! T: I% w& Y

7 {8 v6 x; [& o( Y! L. R ' v9 b; s7 \5 D; J: w2 \

: Z% x4 o1 k& ~. C4 `

* F) i3 F- S* G; I! m, i 直接进入特权模式,以此类推搞了将近70 台交换机如图: 3 Q/ Q) `. l% H* |& Q: m' N

" [* L. d! E0 g( \& e. ^
/ W8 u" r, b7 z6 o l3 h( E& P: S7 g* k+ I, D* X8 S
" C$ E8 U [# d+ Z4 p 4 y! u+ U/ Q0 R
! Q6 W% _" c: Z2 e/ E% m

4 I! ^4 K, k$ W: j& h ' l: m4 G5 _; g* t

1 @% ?* n: K7 `6 E, q# z1 k+ l: N! r

& s. }, C' m! v * j% w: \3 P% c2 A; N& ]& C* i

q( m% v& ~: K9 V

/ `. v* c( ?. R) P 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** & n$ E8 i, l+ ^( A8 y+ F

, u0 a9 f, M1 H4 M, m
- l' T+ [8 |0 j: I- k: r, X1 g! X 7 R$ ~& b" ]7 u( h7 E% h5 T
; x- E6 |5 m2 k + m: ?# T' r* p7 ~
A/ y8 S8 @* ]

; M& C! U& Z0 w8 ?; n7 m s$ J # J# M0 ^( B7 m+ U6 J( I

8 o8 R2 z* j* T& w3 ^* t

" p+ l# F& _2 ?+ d2 A) B& `9 Q 确实可以读取配置文件的。 ' Y# E/ s1 i2 e5 h

1 z$ \9 K& Q& ]% f" @

. b6 D4 q* m, p' n- Q3 M 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 * [) b d6 L! ^# j

' O) y. g @) D0 {
. ]! O$ ]0 Z M" `( R, B/ A0 d 8 l, E# x! \# j% O8 P
; h5 H: K o/ J2 ^, f; U6 {$ G* f 5 K v$ G* O' J; A
! J7 v4 _& m, g. S' X

6 S! j* {' o. @) U! {1 \+ f. w6 x 4 M9 |4 O. \; q% j) u8 d& s' d/ h5 H

, M/ L% y% x+ [$ N, ~9 x, A: N6 I

, P( H5 i6 I: ~. w 6 \) P& ?9 X7 Z) `

+ h U) q7 u0 f9 @

; ]4 f. d8 P. @% \5 c6 J1 Z 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 5 T9 [2 N* a/ b' Y3 f

6 J' E! @/ Y( r' }4 Z
e- n* f- X- L) V" A" M; S/ v 7 D5 x1 i p9 U5 c( {0 |
; ~, v, P1 t" @! w7 K, y 3 l1 P& y. n7 ^* F
: z9 R6 f5 w P9 U

! b# S* i- b3 }- T 5 e1 l. }' i, ?: ?. c

+ ^5 G1 [ ?+ \

; Y. o1 N2 a8 |# g# H6 E 上图千兆交换机管理系统。 6 ^. _# |# Q0 d8 M; ]

' C2 _% T8 z$ m- N" ?1 J, B

3 ?9 K' e7 u) f: _ 7 、入侵山石网关防火墙 _( g7 [1 o3 r+ h5 s

$ R. X: e5 S2 k) } E: ~- q& M K

9 y T2 X; h# B3 d 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ; }$ X* [+ N6 L( R. [# ~

3 m# M T+ ~% }
7 E5 L0 w- T* y7 \* j/ j ) Q5 R. ?( L# l, M
/ \6 u& ^7 p( ?6 h6 n3 ? 9 A: f+ A" L- E2 B; k) P5 n9 b
. I2 `8 [; r6 v9 ^* G/ A. Y

. {. y1 S1 q) M: Y5 G0 R 7 v) H) |4 ?" f% M+ u6 A

! l9 D/ F6 z; M8 K6 Q E0 d

% N) e. U+ L, c" }9 d# T 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: , @5 ` M3 J" I; K

2 ~' h' }7 y+ {' c! J
8 L- ~! F7 `: s- H& v8 U" y # x( ^" p0 B4 [% P
& Z0 @% B% ?0 B- e& d% T 3 U. x B0 G# V1 z. }
1 Y6 ~: q4 h6 X8 A: s# i! C# B

$ N# G( H0 W2 x/ o& U0 t' _ / o" Q; s& F4 ?+ E3 v" m$ v8 X( D. |4 v

9 `+ ^' ?4 ^% n' f% j* q( b; j

$ ~% X: L' b/ Y2 g* S 然后登陆网关如图:** ) W# E3 Y* y9 V5 W

8 i8 s( }& ?& Z* K$ C! R: o
8 P7 ]3 U" Y8 X- s: G( b # T7 s. l+ L7 z$ Y. o" A+ L3 ? S
6 s! U; g; ]6 ~% }' T; K ; _; E, R o1 g
* w* r" o# e4 @

7 i$ E4 b, A5 y( H& I2 y * n2 I3 q0 L& x7 z. v* V

; L+ H2 ~% k% F* e, m
/ ~$ k j o, u2 q* }; z: T ; Z3 J2 u# C, T6 y1 J5 V
& G2 Q, ?7 a4 G" s3 m $ Q9 ]+ w8 h# L! C# L! w
1 M& n! v4 ~* S9 A; }8 G: j6 A9 \

% w% Y9 V; c2 w$ U7 q5 A 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 3 V n. {/ k1 ~5 w7 |

# r" L0 A# g% P, k8 F1 l

% L5 f, O8 f5 X) ^, p' D 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 - j% ~' ^) q, n" k! `

% H5 z2 m6 l* R2 F' ^

0 l$ T7 G6 p* H3 e* y2 R 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ! M) _4 d4 K& E) N' b

0 `4 W9 m7 F" l% P6 [
0 |2 B5 U* k% T1 }' w, j & `9 d! V" z# u
3 _( E$ c' o; A 5 E. x( A. x- u5 l# }, h
]* R& O( J# v5 X6 N! A

& `1 _ T: z- `) E: C' }# u - @$ ]( d; s7 b( b$ h! k& Q4 v

# q+ J) `- I E2 R7 U

0 J$ o2 p3 Q V" T7 Z, ] 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 " f: O, j0 q4 u/ w9 U; z! c3 x

$ w3 @( ?/ j6 B/ I8 v

4 F+ f/ [9 R! ]( t4 N+ r& _/ f   3 h* g# ]% J" c, f1 ^- c2 v

6 I; U1 ?4 V& F: |( n3 l, C' N i' F

. G- w- T3 h2 V+ A. n
9 c# _3 C7 k* a% H3 S% _- W. h

1 l2 l3 t. ^1 C: g9 h , @, ?* m; {# n- H& F$ m



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2