中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]

作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

; z' g# \/ I+ y- \
5 a$ ^: o/ E# Z5 e c$ J

: G5 d1 Q6 \4 u# Y! T. M2 u3 ~

0 N; w: t( ]9 ~# m, |3 \ 1、弱口令扫描提权进服务器 9 \" Q# z9 n3 O7 [: ?$ x, c

: R6 `- }& @1 F

/ [% A( U, d, }# `& i4 o0 b 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: , X5 a) g9 M7 m& n

$ k/ F, A3 i: E" x( [0 `
k% d% Q4 P( ^# A+ B: X: V # G$ j; f' X& x4 l; o
/ R& k4 m) e) d$ n) N6 W
3 y8 n8 U* y, j* i! ^5 P
; ?' Y/ n. ]' k& S3 E

8 d. \6 X. L; d9 v! N$ p ( A) c& V. `& ] T- J

; w6 }* [2 Y1 E

3 |+ i: J) F1 G " Y/ m. |8 Q8 D# l- D' w% `

0 T4 i3 J, Q2 y: s

4 v& h" B7 a, i* p1 L1 c ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 1 B$ v' I1 r! _( H$ f7 k4 p9 T; V

8 D ^ {! u S: ^. E& G

; `+ M& q9 K" r, ]( s% i 执行一下命令看看 . _ i3 P/ X5 c' \' G; B$ }6 D

( e1 |/ [6 o4 I& r8 {

5 T8 J2 f/ V/ L" S; }2 J2 W ( H3 I, G2 P b. V+ h

q5 f! L& ?' P: [
+ A$ I. C; w; U6 c; G' @7 k C+ o! L9 p) v# `& V: @: g0 ^
, v- ]% E; v( D n5 R! f
+ ]# t; O! O# q2 j9 S) B; x0 d( M
, w% ]& b& Y$ F8 t* M/ w

6 u! ?+ t/ O* b( A& g 开了3389 ,直接加账号进去 " q4 Y# h' G' Q6 M

' V: E9 }5 [7 t! J' |5 o/ G* S
& g5 v9 H N) e+ z' l! G7 l $ c( r& M* J2 n& j* E- l
9 C, C- N$ I/ Q+ i* Z, n) h t% M
& H/ h: J$ B; L% {' T4 i9 d, b+ i: n0 z
0 D0 c1 P3 F1 I6 y

" {* N3 j6 m# t9 H4 @ 0 D7 {4 I5 g0 i4 Q* a% r

- B0 n9 [; J' c9 Q/ a, c4 y

; _) _. }# L6 X, o4 L 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 / ^/ `( k8 d) A# X1 j- @! n, }

: D3 p! s# Y) c9 O' D- o: i# C
, C! U( W7 [, |+ g' m) y1 } ) E$ ^1 L! u0 R6 p& g4 \0 C
! r, D, O7 M9 k9 a7 e Z
( {' r2 s" X$ I- s- m
& r6 x+ |9 D+ U2 B5 k; W: O8 v% `

, S# h& @" u! R* U6 u4 s6 C: S/ N' g $ {7 l0 |: Z- G0 k$ u3 X# G+ g% k

9 U' y0 _+ U6 [. O5 n- E0 x

: i P s( O* e 直接加个后门, - m/ o5 [3 ]- m7 s" l* X

: f+ E& B. R \8 i/ {

6 c1 w, k( ]6 m' \) z) p ; K6 E# i% q+ E& l% A

# z' g6 m' q$ ~% `
. j5 Z% ^: g7 x6 s8 Z& T6 @2 B % C" M! @% e# |( L( [
7 `" h. ]+ B8 {/ A$ m8 d4 K. t, Y! T
' m: C- z! v( M. p7 p
; V/ f& x5 U" I1 _

7 h/ ]3 v* _& f% A; p 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 J( U+ G# [# X a. ^

' e- \" K+ U4 b/ _: N

5 f1 }5 M1 t* K 2 、域环境下渗透搞定域内全部机器 ! D& C, a6 v, I* c: n7 F% E1 S

" h$ q* B ?7 x( E: D0 N

% T+ p' ?, T+ n( ~. V0 X X 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 g) t& n8 e5 p+ ]/ R

" ^0 i Z' W0 @- _, \" ?
0 ?; R' u& U: l* a7 c 3 T8 p) ]1 S8 N9 Q, ^% C* T& O
' J) O$ D- V; l) N# ~6 F4 X
: I5 }0 k M( ^, t% s! E0 D' ^2 C B
: C2 X# C# ^* D

* H6 w" V. u9 C8 t! O * T0 t2 w# @. d

[; ]# \3 Y' a/ y" x% e

$ D4 L5 G# P* D! x! X, ^: k 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 4 h6 T& h' E& h; }, r/ Y

1 l) [4 G" ^+ U# Q4 h, e' B
& a. }7 J% L' Z5 K% N% Z7 { " f5 F- Q4 H* } r
- D5 n3 H( o- Z- y
1 G$ k; O) R. X0 F
. [6 k4 f4 i4 j) u m8 r3 n

3 b5 e0 X2 H( E0 n) L $ c) K+ k6 _9 ~: v8 _

0 Y) n# e2 E) p5 L7 _

1 n7 u: l, g# T( u/ p5 ^; w 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: : J. D: j3 I" Q. U1 o$ H# U+ w: w

) W8 Y9 [1 X/ Y& F, x5 t' d- O
+ A' V7 y7 u7 [ 4 ~0 m+ m0 J" f0 ]2 A- O
+ F A3 M& Y- f, m w
& r( q3 A3 D6 P5 F
$ M3 n3 b# V w+ @. A# X- Y

& u4 U) q( c3 u( N. W- t 4 u7 H8 i @, ^7 t

; @5 ]1 a# q/ J

, t3 \% i+ d$ x$ |+ C 利用cluster 这个用户我们远程登录一下域服务器如图: : H* e$ K5 ?% o! z4 f! A: m4 |2 J

5 g+ Q/ N1 q' \- d5 V/ @
) D6 a* W! s3 w$ N0 X * B4 f- ^2 V+ r/ `; w
) O6 }" O! K( b* N* ?" |
; M. Y8 U8 L. P9 ]: n
3 c! F z. w. V3 g' O) F# }

; G8 c* G$ p. _& z- G0 M& R) M 6 g% o, j/ A0 {' P/ O

! ^3 {! w1 y% Z# e( e# u: e, b

; ?5 J1 I6 G- n6 C1 J 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 4 I5 e) w% E% l% O

( w9 L# v- Y$ }2 l7 p' ~) Z# b
$ w$ x( B0 u; V ) H1 S: ^( Q* L
: n- m+ b5 ]* F: y0 {* q2 j
9 n) ^8 e. Z, w' w2 T" H, I9 r
6 q9 V+ \# n7 Z$ n

+ n% y, W: o1 D. ]1 I7 a4 y" O 5 U- |& h2 \( R

6 P- Y/ o; n2 P) Y+ t, D0 x

2 @, G( u$ C: z) z4 v' _ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 8 N) p9 F( a, i3 D8 E5 V

7 f( I: R/ a; z" n+ w$ M

R1 q. [0 W/ E" f4 |1 g & D/ o4 ~" |4 v% p

. `" f L; ^* B. w5 T

j" ~! r; N+ I 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 5 M* b2 O% a3 n Y4 b, f" _ }1 V

: ?$ q8 H$ V4 y

" ]2 U5 C7 ?, [/ Y7 v" s/ l6 Q3 T( i blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: * a" \: ]( w) B3 Q

3 ?8 Z7 n v& [
2 G6 V$ o2 G& |/ ` + y. R4 D+ V1 f3 T9 j
( ~2 i% m0 J' n, O' @# l- y
: |8 e0 i* ?2 T2 l. H
) m6 y" q3 X$ |6 k

% y5 O. `, A* V9 H* F' u ) I* p7 S# |1 R8 p, j: }7 K5 Q) m

9 t4 c" j$ w: B4 E3 L

& D2 f2 |( ~6 e% R7 U$ h 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 2 z- O) q( ^- F- n

- D3 \# c0 k0 ^
& V# P. E7 Z0 n! d; c( n/ R # N9 y# `4 ?0 U& L0 z5 h
% j) T- e6 ~/ q" k
; [' p$ Y" O. o6 L& g0 \& J; d
) U: c7 t) y* n. _

8 ^. {4 A# v0 } G ; N! x4 K3 ?- q& {* E( J

2 w' q* l6 J0 O3 i7 |1 |

- P" W$ r; n% E. `2 o8 z7 _2 u 利用ms08067 成功溢出服务器,成功登录服务器 ( E9 e5 |; @- ~, M5 C# ], Q$ h

4 E. v4 o# o9 c7 e1 [' _* X! X
9 c9 C4 d3 e4 k2 Q9 }8 q 2 [' U" E7 @. a- N3 C: e2 X
( \( p+ J. J" n9 Z' ^. c+ L
; \: N! Y9 j" B" M: c( A
4 D6 `% a7 S4 {+ p

6 g e1 M- H- ^) m/ D0 G* z! n . e7 d& H' m; p$ b3 `3 w1 X

$ e7 |0 b+ h; \& H& B$ J* t' F

" {* R8 }0 _4 s! K1 F6 n S% ~ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 4 _. F' W& T# y

- k' p p- Y6 B2 K# @, V

5 V9 ]7 C8 ?2 C9 k3 ^ 这样两个域我们就全部拿下了。 5 ^2 i5 Z. A% F" |

: t/ S7 }; T# D6 ]# {4 A

/ w- n4 p& Y: z$ ~0 U 3 、通过oa 系统入侵进服务器 + i# m& Y( |6 ^! w' V* t* S* ?& B

/ f1 }9 q$ Y4 x& {- d: i

6 b$ z/ f; V) V3 V" H Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 + c6 g$ n: w- |

$ K. u: ]) O7 ]4 L" X: d5 W
/ p5 s3 p! \& H% k, q " N9 |# ?# U2 w. L
; K8 b4 I V+ ?/ a o( O
) f. }& s" p# V1 i5 J
7 Y$ I4 C& V. F6 y/ H

: o7 {' C; C4 D( X 1 \1 l! i3 r, X+ _* q/ r! Y

T# Y3 E Y2 x7 r3 D# x/ z8 Y

& t8 z: f! b7 d' w! b: K I 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 # x M8 K0 v' c5 Q7 o' T; e

' F1 ]0 J L2 M3 r) ]% D
5 P- p2 j4 W H 9 A k5 a( t% r/ z# K# Q
( U' |6 R6 G* } V& V k5 d3 R2 \
' Y, t7 @ q! e) k, Q; p
! ~, K0 O* ^( w2 s

' c! K1 s$ Y: a, g- o( c * {; V. {/ e5 Y$ U8 S

4 Z/ I0 Z& W+ i3 c2 o

; w9 z# |" I0 E; D 填写错误标记开扫结果如下 1 a+ w+ W9 R, B1 U( C+ ?* d: g" s

7 Q8 O0 F6 d+ I4 z$ S9 x
6 a5 B3 m' G% g7 q% u7 T' j) J 6 b: u' i- e. r
- L* x: k* J; D, V9 M, U1 V# `: n
4 R) S, n( j9 t* G( S' m' b$ I1 Q
# m4 n/ V. T+ _! Z5 w

% w: A* W, e' H' D- n& O9 U! E' l # `( n) Y. X9 D( x5 s

( [, E3 v6 N4 ]0 d& L- E1 R

* R3 j$ P1 J& m2 H9 } 下面我们进OA 2 `: j+ q$ J8 p" M, }

V$ W- f/ F- k b4 f
( f6 a' p. i: Y* J" \ ! g, k" j* `1 u) j {6 f7 _
; f J4 B& ^2 \2 L
9 v) A1 q1 _0 J6 d4 W1 j; H
2 K4 i% a. @* n: Z( J' A

6 ] r3 W5 X: `! ~ 7 x5 t4 g/ c+ v. N! \

3 }$ b$ T9 m9 j% z B

# `: _/ O, _( U) ]* |" F 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ) |+ w F& `" G( i8 m T: P

% Y# i- B; [. z5 B& {0 T1 F6 x4 \
- I- M, Y- x8 @ 4 Y! J5 n' s! R8 ]
6 b/ x% o$ l* \
9 k9 L: G. [/ c( I" ]! q H
1 D- n9 g+ K# }6 x0 \- U

( a/ y7 ?5 H* `6 [0 x' S7 e. W 4 D3 F& S& n: J. G; r

5 J# C1 k) q- z" ]( ]. C

, W+ Z6 `5 N6 f! f9 D" x ' ] I# S4 X3 K( o

5 b, a- B% x5 }: G e

U, N! N/ V+ O+ N6 |4 q 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 8 v3 d* P" N# `: c0 |

: c8 v% F: C& R$ e- L3 ~$ v

/ H' e' o7 F# _* [8 A 4 、利用tomcat 提权进服务器 4 i! Y! X" T: K! I# Z# x

$ ^/ \# S- a! l3 @2 P( E# l6 m

/ }6 m) t$ e/ N- |- ` nessus 扫描目标ip 发现如图 2 O2 S) v1 {. z) }' Y

# X F: h0 U' B/ i9 h
! H) j0 H1 V- C$ R9 D9 J ?! Y! t # q1 }1 f. z# w
7 O# ]/ C; D" s; E4 j$ u
. S6 N8 D" x% E# c
6 V/ D" v, Z( A

# w- q% t7 S4 [9 ]0 D' b- U * ~, }3 H0 K' D8 a

0 h T1 v2 F% `$ E+ l8 O( k2 R2 M

! g+ p+ ]* k2 K 登录如图: * p5 B' E- O0 d+ ~' m

! L2 b1 c5 v! g K5 ^
; `' T+ K% r- b" a9 e! z' G' i " I0 B9 k* z' s; x8 T$ W9 V
, N1 q8 h5 C) s- q+ u* W
3 o" D. H7 Q$ b" @7 k
) z7 }) H& w9 p7 q

: s3 G; [- [ r0 B ; h! x, l6 Q$ {

, x* D/ R' Y% F

7 z+ q% f( @6 w2 R 找个上传的地方上传如图: 6 m1 ], S% ]) H' Z

6 _4 v5 I1 t0 d% L& I/ z8 z' Y
& ~* p% w8 _2 C% ^ Y T! y* a# M6 q
6 O& Y4 P! x* x P
: U! j+ K" z8 Q
4 |0 x5 n+ A% E, s0 j" c

- t& G/ K% |: h$ T - M1 j/ a) v$ [5 L- H* B; F3 @

" `: H V9 t) a5 y7 R

. f. P7 t9 ]4 v, \- W, E% j+ X$ \, K0 T 然后就是同样执行命令提权,过程不在写了 1 \, j9 y2 I/ Q# m

+ t0 S: x5 @" X! w

?* ^9 ?4 I" z/ J4 Q8 f 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 + d6 I6 d0 V3 s0 p1 R

2 C, Z5 k$ Y) w/ k4 @& j4 J

$ P4 F# i4 R* J9 n# z 首先测试ARP 嗅探如图 4 U. h* A1 u( F

! s# }6 r$ o6 P# I1 v# Q
/ j; K4 r6 s4 B- Q5 G& l 6 Q4 S/ k& k. y' C
' ^" ^7 }# F5 N% T" ^2 R# ?' r
, T/ c! n1 \* i! H# p
3 B0 ^" n' x5 f% t, H% k9 Q

( V' A3 k1 o" g* D7 ^$ E 7 ?! I1 f1 C) i! p

7 J( L* O" O/ y- v N5 k, n

& m7 g& Z+ u) o+ j" S+ B 测试结果如下图: % K' n, V3 }* e& I( C( D1 R

( e( {! D$ N" \+ j R) [+ }
7 N) z+ ?) O3 f! o/ e% m5 ~ & N: _/ x9 |0 l' V8 w
2 L; |7 ]1 M( b3 Y' i- R4 i$ B. t
. M1 D* E4 W- U# x% `' _9 \ u* Z) c
' D* W$ u! b3 |# w

( B6 C4 B; O/ y% f" g# _ & g( k9 E# j/ x' [7 P$ @* W O

! L5 p O5 F1 \, H

9 L# M, ]9 `7 U( ` 哈哈嗅探到的东西少是因为这个域下才有几台机器 7 `, u H0 ?8 n

v W0 G* J3 G2 ~# O% s8 y

$ c3 E# n, F# d2 O 下面我们测试DNS欺骗,如图: 6 O' b7 X3 v. y5 b, s: m

& N+ {0 T0 n" K
1 O. d; y% A2 Y2 ?7 {! d1 n% a $ q& j0 v* l) L1 W& Q
8 z7 L L/ [/ A" N
$ R( u2 @( m* }$ v. u3 b& v
$ I9 E5 U1 I5 w1 H" H! X

. t- k' J& |' |( p 3 F( K1 G- @& m

! X$ Y9 E* N0 x9 S! N4 B! T# x( P

" @8 g2 H1 D) I' ?' B/ v 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ! C v: I5 ?$ k8 K

6 p' _8 ~8 T h- ?
4 o" P# b& k$ ~- O( y 1 P P% _/ q' t$ s y8 R$ Y! v
1 w+ q' u8 Q9 k. _
( X9 D: p) g) u/ p M8 c7 a( L
3 S. p" B6 b( R

5 _. Z" H8 |7 i! v7 u1 b 2 _/ c5 W5 Q6 B2 {7 n

) S, s- G2 y; o5 p- B

" f7 z& b6 t: D' L1 z! w* r9 } (注:欺骗这个过程由于我之前录制了教程,截图教程了) ( ]# L. }* O& @

# a6 `- p2 \+ N. ?9 ?; {

7 U, r6 e1 Q4 A 6 、成功入侵交换机 * h8 h) Y, s. q+ |4 A" t3 b+ Z

2 O1 k3 |7 b2 x5 T8 B$ M: ?

* A# X' }# ]: q* }1 ~4 J 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 n0 k; A$ `# n# g/ m0 v" w

" Y1 S1 T( E& `6 o* s

. P2 w5 _- F2 S. X* V 我们进服务器看看,插有福吧看着面熟吧 ) J; @( l4 ]( |5 H! k

; |) A, r& Y7 S S) N& d
4 }8 Y# h7 _0 j ' i: r2 Z+ L$ t3 ]4 q
7 _, ^* ]6 A9 z) l0 ?( v0 a
4 ]5 z; m4 D5 z- e
2 L7 y6 h& _+ h; q# L I( Y5 I

$ s+ t' W. B" ~1 a/ ? C. I' P: o$ T

, I* L4 z% H6 d: Y5 n$ ]4 u

) u8 {9 Q5 m- s3 F 装了思科交换机管理系统,我们继续看,有两个 管理员 7 b4 t0 F/ }- A4 C7 g p" ^ O3 O

8 a" ^% |2 a( ?/ U: N- f' o
8 O Z/ _; g, Q5 } ( ?1 x3 d& Z- {3 H. y
" r) P, O4 R# N* n2 l
% B, f7 Q+ b- X1 B7 ^% F
# I; ?4 e" n5 J3 ~8 `- y9 M, P

( d% @! I4 Q8 G( B l. F5 @$ a: X) t$ ]

$ [; d$ z& ^ L3 K# h9 g

# {9 |; c( r( ?' c 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 . b0 K% q0 W+ T) Y% y

" J+ [2 \: @) I$ C' j
+ s- j- R2 r8 L' | " F6 @2 v7 N! p, q/ o2 |2 c
" z8 m6 j9 D) Y7 {8 G. V3 O
+ B4 \, I6 Y0 G$ [+ p
6 k7 s# ^9 `) u

6 X7 f% g( I+ v/ B- d( h7 S 0 e0 _) n' N& p

: i, t% X6 z2 |2 t( C+ h i

0 Z% @) G, j$ r6 s$ S# r) j 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: ! @* R( H6 ~& g

0 x! Y# n, x7 |& T
/ }- L+ L+ b( B ; G( R! [" K1 V/ i
9 n: i/ u/ g* L9 P& w" n6 T
# Z9 i- A& `+ |+ ]! R, a" ?
# M c1 y$ L. S- V" B, o5 A

1 L, v! u- x: m5 j. g " [9 q& m6 V7 K# N7 ^$ W

& B) |; _5 x$ T9 J" o; S4 \, q

! {; b5 l! {- o9 ^# m5 e config ,必须写好对应的communuity string 值,如图: 0 C8 K+ n4 E, z" C# p5 I2 C- g* p

% ?0 {& v! w$ O4 t X, _: k* \* M
8 U/ K) r. G0 C* ^( Y . v7 w7 B3 q& }
& n+ x# D. L% H' o4 O* B; y# G
1 P- M. D% ~1 g8 a Q
1 i `$ _0 `* F

4 e, B( T L; ?3 Z$ a, i$ P3 }( E 0 |$ U% }: S, \# k, h& c

$ b( W e3 ~4 l6 H6 m6 ~5 h

0 i/ O O. }% }: d* Y 远程登录看看,如图: 9 R7 P; {2 p" u* p) H# D

7 g7 H$ @3 p! s5 ?7 o5 N& [
& T0 W* @6 o; T1 c# | 5 a0 [% I+ y/ ?- q
0 {9 |& s2 B+ L9 h( W% _# y2 s
) e( K9 X8 V# w% O$ S% S5 e
& m: {' z, j- B6 Y$ m9 N

1 V1 W0 I8 b4 {% {9 X7 \# D& c - L3 i9 T9 b) v5 X6 j

; l+ ~# O4 c6 }6 Y3 v3 N4 d0 w0 n

1 Z, S1 d. N* d3 h: a/ u6 _ 直接进入特权模式,以此类推搞了将近70 台交换机如图: 2 z1 ?% A* W5 r4 Z' W! v

* k) `( P9 F. |; [# T8 E l0 j
" U! w Q. N, Q: y $ j& @% s9 \ |( {0 h
+ @4 @/ R$ n: K! }/ b
1 P7 ^" {. g Z, g
. b) U$ G( P8 l& c6 j: P$ N

3 j1 X1 B) K1 [2 Q! C. V 4 E( e- N- i8 }& S9 A

* ]7 `5 l0 E) }5 w# l; a4 p

( E. t" x! l( ]+ w% Q2 \3 r # @, N4 H; r1 u- n. W- M

9 G3 Z$ o& a7 U2 ~8 J8 `

) a1 M; N7 S* W: z- i) X* n 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 8 ^/ u5 N. ^) e$ l

- K- y" Y) [: e4 x; V
& ?, e+ G4 q j$ e / _) E6 P& C# w+ C8 p
7 U! w7 x" t @" u/ a
& D0 J* z# a S+ ~) _2 Y' Y# R
: p0 r$ e, o0 ]7 [* }2 L8 g# L

6 }! v2 O! S: Z( ?9 O . @: V/ `6 a& f' h; u; W; H+ B* A

0 ~% |0 J. D9 k0 Z3 n

3 j+ [" }, Y: _" t! I' W 确实可以读取配置文件的。 6 ?3 B- {: V2 c# L1 t1 _

) T" p! e1 t- {! b" i" \4 w2 X

( V0 T0 | r7 L- J# Y 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ; B) @/ B6 |$ f! a1 N/ a

3 Q& o% [" G# z' `, W. E8 q
* Q) S/ v, a- L [5 [8 v6 Z' B " ]0 o+ ]$ g( G9 t3 S- X" x$ X
$ d- c# h: B; ~1 `
g5 m5 [3 x7 O. H
; i" ^6 L* O7 C# P- o! d0 `. [

1 C) o" m* ?( F$ K s# B/ `# p- U . e. h$ Y: f2 D9 r0 X1 S z

. i- _1 c0 i9 Y

: A$ R8 G9 w; Z* x. K+ | G( r / F$ `# {1 k" Y, a" {: D7 h l

! ^3 M4 ^- V5 ^% J5 r% T

! o9 G3 d8 K" O0 r 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ; z7 I& B( f7 l3 l) @1 I* h, i

( v; E! o5 L, w8 @0 B" u
E! ]7 }9 [5 Y2 A0 F7 d % d5 I) J' I3 V* i
7 ^8 q- i5 _$ Q0 L3 b% I+ o5 q
6 {/ Y+ _1 Z( ^4 p4 d, ^+ {+ K
* Z# K0 m: O$ N& [, V, H

0 q( i: G/ ~" o0 C" f # n0 P. _7 N. J

/ S! \% j1 Q( s3 k6 b

; _5 a+ g E' ^% `, d& R 上图千兆交换机管理系统。 P' G, h U% v

1 G1 j! w2 b% y" ?- I* B5 ^& c

+ d0 P. b# S/ P8 h$ T 7 、入侵山石网关防火墙 ' a2 b; G; N4 J

6 ~5 Z+ `) l( \: {0 a

q3 e9 |& j: N7 Y 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: $ V6 T) ]* w3 N& r7 v

) Z" X) Q1 S( G+ G- c& H
( v+ a" t$ M! p) |) s/ K) P - }$ O" b& ~' x! |: a/ A
0 P; ]$ Y6 O6 I( B8 n0 O
: o- F; L/ \0 e& R4 e
% R' b' K5 K- f+ T/ A3 O% _

+ G; I6 _7 E7 x, i. Q 5 z4 F# c8 Y7 y/ n! l1 C- d X

) y" }/ d, x( S P

" E! q/ O" W7 y! R/ r 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: " K$ l. K% g! n% E* _' ^

, J9 O% I# D( V1 l' |, ]
. G4 d. d y" G6 m' g7 _4 q 1 b7 o1 W) n) s6 B' m
- Y" m5 b4 l+ r& c
* \* a! m8 S" O3 {& ?
: s4 ^2 A- Z9 _: ^' ]* i

3 O6 C+ l1 @' j0 {/ s5 T x 2 d2 g5 c+ B6 f7 ^& @4 w2 q

9 N3 s' d. o( }& X, \

( k3 \% R7 Z: r: C7 g 然后登陆网关如图:** 7 i% i3 M+ N5 ~! T5 _+ ^: [- k

! h2 I0 ]8 Q, d+ D/ A4 B
+ Q% k& g3 v, i& h # A2 S G0 f4 Z0 S) N! z* q
! a5 z0 p# X' ]' O- X: v) u3 g7 Y
C. U' S6 ~, S# e# B1 a
; M& W* b+ P' }- B

+ K6 h( ^5 ~& D9 ^# c. f% O $ {4 o$ G' F$ q8 K$ D: R

) {9 I: Z2 E& F& Y: r+ e
2 C3 s! T9 h5 ]1 p# S 9 ^7 D# J! L z$ D' D7 M5 Q
5 Q+ w7 l) |! f0 F
$ T8 D" w7 o! D# u2 x$ k ^8 Q' k; Z
! g, C: w4 F# f+ o5 Q

- F9 Y/ J; f- L" C4 s% u w 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** / T) t( ]0 n; h$ u* f

' F) m( o1 h5 F4 g, i* E

+ x, ^ O; u$ k' v0 z; U& q 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ( z1 Q6 p! [) D, B6 z

/ D1 q" K( S. m% H# X6 m [

' I, r6 R! g6 y0 f! h 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 2 j# u B% k! Q: ~' Z* B

* |1 K. n& }% {& g: Z
; k1 y% g8 z" | 2 @( q& D& L% r
8 V- j+ A: s# H/ _2 U+ g; B
/ X4 ]9 Z/ `$ O, u. `
' t9 W! v+ \9 T4 g* _

" P. |% D1 e: d/ E 2 g ?# I$ w" i7 s

# a: M+ M- Y0 `2 Z) F5 i9 S/ _

2 }2 m" ?% Z- \2 l* E( p7 { 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 ~: F$ k' s3 f' {3 _ i! ~ z6 h4 {

3 C$ Z, O1 }* }

1 I/ Q& w+ F: |   0 }7 J8 J4 u" K% s* ` [; z5 c. Z

9 T# \ @- ~. _# w& Z# q: h

" ]' `7 G; `( T
+ d1 V3 G0 @8 L# X

8 R# h: z; }( @* A0 G2 @; Y. m9 Z# D$ W( d




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2