中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

1 f6 R- k' N3 ~1 x
' g$ w6 }$ y. X/ v. K6 s! K

8 e! r/ R6 J/ A7 F/ h

) m( X v7 ^- \& q5 s 1、弱口令扫描提权进服务器 8 V. k. Q u" U/ O4 ]

3 K- R+ S4 r; Q- ^/ E7 `& Q

0 L+ `! S7 Z2 P$ i5 `8 y 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: & r4 M7 H1 ~& I' k0 O1 o

7 `7 f$ ?) w0 e4 U0 ^) {" s d
9 m0 z, V$ n7 O" `& K1 E7 K $ r( Q. V$ c: i/ b( Q
+ T8 Z+ {1 a9 {* _# J4 |3 p$ Q " h( g, ~( H: l# G9 \
6 [. J: V7 D/ W4 @7 ^- n1 N* Q8 |$ ]

: ]1 b- f7 e3 z3 u' G( \5 C! f6 [ - l3 q0 Y1 v B, S

! I$ T* @ x/ ]1 O. K7 Y6 S

# _6 W3 \) z ~/ J $ y' F+ Z9 \# K# f

' J5 Z: _ F/ C$ q) I2 r; q

; Y# q1 G' I$ |: d1 z L6 F ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 5 u' S; _/ I. ]

& m- s1 \2 U9 c. z: z" O. S

7 q: F W) H3 v 执行一下命令看看 & L' D O! B, h; G; E4 Y! Z9 p0 ^0 ^

% n0 j& j3 z+ V' M- U4 O0 S1 t3 M

6 u; E( a" o/ @7 N( p " A9 W: ]& U7 T5 v

& O( t+ [% M; P. Y5 x7 w2 ~
, c0 V9 a S) W% a0 N : X& a* R6 A* C! ?
( m9 W6 Z9 ` M6 Q; u5 j , K' \0 w5 H6 f
& |( i; {4 t+ {/ |. w$ Z+ \

3 |3 I* \7 A7 ^ 开了3389 ,直接加账号进去 ) m' t# @: f, ]& c h. ~

4 t: y4 E* Q5 m
+ @' A" o" U, ?; m5 o0 M# g$ v + r: Q- O* h& K5 S. F
( |* B% v# K- U, ~/ l2 P! F 9 d. |6 _4 l& S. E$ q
- a: {$ i3 ]7 w3 H! ?

' n- ], O! M' s! C: ? $ b3 n$ ]& `! I

' L& a) }- z3 w7 v, L5 q

) v: E- N& U3 z8 ~ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 / E8 O' u6 g! ]& Z1 s( J( K

+ G6 @- e# t W t0 g! B) X9 u
+ z( m4 E9 P& [ ~; E2 Z4 W6 ~+ |0 v1 `
; f6 | `0 N" m) W 2 L$ N2 B! u4 V) M s+ u. a, K
2 ]2 C, R1 [# d. [0 r

' ? f& u$ `1 w5 [0 b 5 s" h! `& O6 M; o

- v" |# F( M( s) p ^. g

, g& v+ _$ y3 D/ ]$ q 直接加个后门, / K( I, U" N8 M3 I, O# I! I+ `0 Y

R! M$ [5 A2 A9 T

; u. i9 r" u) C2 ?4 c" \; u. \+ k ! u2 K9 a) v: N6 @

: Q* g# t: q v: ?7 L9 X
) c/ x6 o2 {1 p, E8 n! x, f% R* x6 ~ " L6 G% A: g# A/ q( d0 W( k% Z
" J4 @1 B7 n. Y2 k % q/ r& }0 H& \; e
9 Z) T( r+ T# J7 G$ T

U! R% I! a( _ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 9 `/ u, f' @, f# i# r" ~

a1 ~- R( i6 T x

6 G5 o$ r! Z# T( s; b# R: j$ w 2 、域环境下渗透搞定域内全部机器 ! k" f( X6 Y7 e I# S. N% c

2 g' k$ m& ~: D: j6 M

+ Z. t8 x. E# r$ d7 Y1 p, ]9 } 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ) [; ^9 Y6 S! K. [& G

}2 s9 D1 t' ~0 Z/ R/ w
3 {- N9 q& |+ U6 y7 E 4 v9 K H% _# M) _
6 K8 h2 f. s* H( S" H- E7 k% M ! B+ `5 o5 L; P0 U0 c+ ^
7 O- k, ~: f: N6 ?( q- p

$ {0 ^. W# Q% a9 H% J 4 J9 a; [8 \6 J& e

# t) k, j! U5 _) P, D- ~& H* b8 P

1 s0 m; ^! s0 e; Q% D 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 $ v r% Q! t. K

) ?4 S, S' K- @& t6 s# a
' ^1 j5 T5 q t$ I8 S: c ; A: G$ u- j1 r; J4 ~" e
6 [" q& u0 n5 v* E1 {& o1 A7 \! N7 T n! X. |3 ^- c$ E9 S) h
& ]3 }) A W. D9 N) m

2 n8 O7 M; T# B$ Y* v/ x$ z 2 S& G1 j5 @: I9 M7 L

/ j: Q+ b# X4 i9 T

S( I9 }0 u& V6 A3 G3 e 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ; U! v: e% N9 H9 T% m$ A+ x! ]

0 d& n& ~2 L* ?, _0 V c1 ]' N4 o
2 K( L" S" {# k: x& ^. a # }, u6 r5 B! s' j8 ^6 u: p1 k( J3 Y
* I6 K( g9 z0 C/ L+ _ 6 a# {' a9 y2 F6 g% s3 T
' v9 _# o& x: n5 z j* m

7 L4 z, W/ _8 d+ V, f" l 3 E& `, m2 R1 c: P- y

% Q6 y7 D0 K. z& ]

# i8 D @1 K8 Z& [ 利用cluster 这个用户我们远程登录一下域服务器如图: & k% P6 U! t- u0 f+ O+ ]

% S a l7 j0 e% {
" q* F4 F& J. G; t8 c& }% ?! ] W# f, v- r) r( I0 \7 {5 f
) f% r1 C4 b6 K8 F5 W/ j; o 1 f5 A- |3 z. \/ L6 M
" G) h) j, t+ a) B' T6 t

& t8 w2 e# h/ d) }" c9 I! g , v* e1 A. x- [9 Y0 [2 y

; M1 ^, Z/ k2 [& F. E8 |4 j8 W

; @+ ^) i$ ?( ]/ ^6 D$ L; f 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: , Z# e6 U! ^4 g' W o ~3 T- W

7 V7 n: U1 a& f6 R# J% b
$ M" O) L7 T7 V 0 W# K6 c$ [& k) ^- t7 R6 {" `. v
& K$ y' ]& }3 ] [; ^, U: { ( m& \9 c, A- F3 x: a
9 {' W+ k" }" ^

^6 {( D1 w5 m4 @ 3 ?0 L( [5 `+ ~6 t) t9 r

2 G/ ?( q7 |3 w3 x! c4 M7 p& c

6 w9 y% _8 z5 n6 g 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 5 {( R, |% k: o1 L+ J l! c2 a

; O- K' Q' a6 f

( [. u% _# r/ r# q( R : ]* q' F8 i$ i# h+ Q# f9 @

/ u2 Y, m1 @4 u$ I

9 t: l9 n2 N/ a' }: n+ S 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping * p f! D/ z- Z$ j$ [

+ b2 D1 s- {* v6 J1 ]" `& b2 i

; L4 u* k& R: ~+ r% C6 {1 e' k! U& u blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: : N I1 {* }. R& g+ }/ o( ~7 u

. K3 i& m. B4 C) v. _) w0 |& _
: ?- z, H" i; w+ }, B 1 t |+ T8 h4 `2 n0 H
* c! V; J! S7 \( d A g 3 H J5 U3 K! z: s0 t; N
. ?4 ~$ {5 V+ v

- x% o# `/ U, u' L0 v 3 v; d& t+ s3 L, b' e

: Q) i5 G4 }) r w% W9 a8 H* w# i

# W M! ^ Z# {0 Y 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ' y$ _; Q5 r4 Z. q

" ?" }- F3 l$ f, Y9 D% u; v
" J6 T. J: O0 D8 G7 a9 s- i9 [ l. b9 Z5 h$ [) |5 s5 I# B3 ~3 W
, ? G, C( ~9 N9 c0 E9 l# p1 _ 5 Y- ?+ _6 N7 Q6 C& p% S/ U% i% A! ]
& y/ d" m3 F$ K! W9 s

; |& L& e+ z! W; ]5 d- E . l2 q- D# B" I, M

, s0 K& b" P8 ?0 D' w6 {3 u' H$ j) L

' |+ H, L5 _0 v7 V% r5 c 利用ms08067 成功溢出服务器,成功登录服务器 $ Z8 q5 V" W$ v) E4 l- d6 q

# T% I, _7 x+ B8 ]
# c9 d/ }4 _7 g$ ^3 [# u ) [$ j/ {: m, C
4 F% K# V u$ P: I9 e0 K* ^ , D; F! a3 T: Z+ t
0 j7 J' U- R, r& e

) D# n3 x6 F' B+ f @* v% r9 y0 t9 ~4 V

9 l/ h( X! z" `

3 e7 c% X& G* t$ F$ W: k5 o 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen . ^" M' L# ~; d- ]+ I, l/ \5 v* I

6 ]- M( H. s- ~4 l' D6 ^% A

$ ]) G1 v5 K7 B: f9 |/ O 这样两个域我们就全部拿下了。 % G1 N/ |* i q" _2 H4 e6 D

8 y) n5 o# e) Q

6 p3 g9 h/ R8 p" e) f5 b' K# O 3 、通过oa 系统入侵进服务器 % a% ~. t# R: ^" \) ^ ^1 Y. \

" P% u* y- `0 X7 A" K& [8 y

3 P7 F5 L; y# f' B) N4 X Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 3 n& m: n( f1 z$ z

7 y) E! w6 d( A) K! {1 B0 u
: q8 k/ {: d; c . b p3 o8 f' m$ t% i8 e
0 g1 j1 F( A6 h3 o/ r' ` # j4 _% q! o# C2 @! }
, l* X: W" Q' ~$ Y+ Q$ X

/ [: ~: r: b' y; H& q * s1 u2 s/ l% c( f" {7 Z0 u" |) ^5 x

4 d5 \) E+ o F7 P `: ^% H

( B" x4 C, D0 [' T" b1 d 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 7 @: Q+ t, I, t7 L9 a; b V9 R

4 C2 G6 L$ N) f# H& Z
2 k- d' J) r9 o+ Q; t' _ $ f0 N$ l0 z& n
' T4 d- z- h7 X( ? , e5 r; ?7 R' E" l6 V ~2 S
# |1 D) C4 Z% \# O% A

8 M" Y; w) q% b5 T1 D# ]3 u7 S ' w( M$ L) Q; y' O% A8 t& n3 {: |

/ a3 }6 Z8 c) p, L; C, \9 E

1 h% p- d4 i9 J' |& Y2 n- y 填写错误标记开扫结果如下 4 S' @5 ^, B/ K6 i! L V0 X, h

+ T5 z |7 I' Y& V
# u6 f$ A# r& ?. Y2 x, A ( X2 |6 Q# U; `1 ~* n& p8 b
0 }" t7 b8 M- I' m* I- U% D % H1 [) G# t$ \5 Z8 A! j# L
' O3 q& C; k0 s7 d. |8 d" }* Y

8 K3 X& O4 s1 I) | 8 {$ V# ~0 m# Z A( W! i: I

6 e' M$ S# c3 O5 Y# \% Y

9 |: p% o6 x% K8 ] 下面我们进OA % M p6 Y& E3 ~1 k/ D- Q

2 D$ D* i! }, Y& R
' ]' x7 [2 [ G% _ 3 f) h2 Y# q6 M" \2 F
) k! m' D$ e6 Q) v( R$ N* I: N. h 2 L, x4 J" Z1 `' R
: u/ V& O0 K. |! n

! T& x3 v6 r3 X: G2 _, G @% M" b" X* s6 k

% E% Z/ j W W( J/ f

& o& L& [, X. p9 t 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 . U, q. o `" ~/ j0 _1 ~ t

% \6 I0 F% E7 O; \
; O1 y. _$ ]5 o0 j4 M % g6 ^3 D" X0 O. a3 ]# x! t
. B2 n# k' t) z/ ]: Y8 Y ; M% v& G h' ?# `0 C2 z6 T. V
! U6 l5 U0 B! B3 X

& ^! l) ?2 _9 G) a " y% {2 e- P& M" J1 A

/ R) f2 s) q# l1 P

' @* v% o2 w2 z X/ [, x( S) @ 0 _2 c, C" C2 f7 y+ X8 C- ]6 D

8 w1 ?( u7 P7 B7 u6 M9 B' L* q7 j

& \9 W9 {, ~3 S. e$ i! r. J# i 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 + O* s! c# n: d/ c/ M. F

3 j$ K, M: ~3 _' T" D' J- J" ~

! i! s0 E, b6 y1 H 4 、利用tomcat 提权进服务器 * j) d0 x- q# j: f

; b+ ?, X" V* I: U" V0 S

) r n9 i* h6 L/ W* y9 m. P nessus 扫描目标ip 发现如图 / L a/ ~& [* }, f5 y; S

5 u; ]/ S) \2 ^( _8 D4 r
- l* a ] Y+ Y! b; J 2 c% ~, n, s N4 p/ m3 N: A
% G- c; I( ]4 F8 Z4 ]$ Q/ \6 ^0 q & N" }7 N+ m' L; y7 u1 o& o
& P. D3 f4 @- X# d8 I7 r

1 `# l% l# l5 w! @ 6 R' J: ~' a! C# e6 A5 U9 K

6 }+ j8 [! d$ m! C

3 E2 k& Z. {7 h6 T 登录如图: 7 K9 B$ L7 G+ N+ L6 P- n

' h& j+ I' A6 z0 E0 ]& a
1 I8 z) v7 M' R3 P- W6 E $ h. n( Q* G9 ~/ U7 A
( c# w( Y# y8 ]+ K& X5 ^ 4 M1 }( v h5 {
" g# @5 [8 J. c+ ?

! Q- d; P; e. f8 i' Q4 Y 6 B7 X0 k+ S# v' I+ R

* P. t: n' D% V4 W

* H5 t" ^4 X* U! D8 ]( e 找个上传的地方上传如图: ( e* u; p1 q" k) s$ t( H+ C

* d4 f9 p# z' I5 Q) G8 W
. ^1 n" `! Q0 k& E & H& A- ?9 |* t
0 j/ U( f1 A) D6 W# z $ j1 X1 w9 e& f8 H* l' t" h
( U; u P2 P$ Q6 h% b( }4 J. Z

' z6 P0 Z8 k' q 2 Z+ j/ L: e9 b" {

/ P. {+ E4 _4 @% h

2 ]# r( Q, p2 U' l 然后就是同样执行命令提权,过程不在写了 ) ^2 p( L5 H* d) w" [

3 ]+ m2 f2 B9 C" O

# J7 L) h$ L# T, O# q, _ 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 $ a& I% h9 P+ Y6 Z5 u) P, V

9 P; m4 r0 t2 ?3 T" |+ a/ {5 Y/ `/ I

- y e" _7 r- P2 O 首先测试ARP 嗅探如图 7 \8 H- a# c) V# Q* P! H% V. |

" O- A7 E. L# J; P2 Y
( S8 H( s2 W8 a7 c1 Y A r' X, X ' l, j* h( {% E/ K. \5 V6 ]
* n1 ?( [$ G, n! R; R% Y8 _ 6 e+ J' R& @0 |: I" f' W) o j
! p% I; D& ^; c+ _- M9 b

$ ?. T' Q: x8 R- v ! E! ^; z- n6 P: w4 t+ F

6 M0 t9 ^" G1 ~/ }) A% r) O

, x! x' e+ J% _# W6 Q' @. [, h 测试结果如下图: 6 w+ ~$ n* T! z1 ]6 K! m2 G+ C

7 K5 }9 _+ ~- b
" u6 R6 I$ x& \7 e* m( Q 9 X; i- C: l' R
" E& D( ]/ x- O* m" \8 [ |) I# o6 a' m# a" n7 t0 q
% M" R P( T% H! D2 E

9 W. H9 m( d2 G5 z1 C7 m $ L' _( J! U, G) ^4 @

8 e! p) `+ g' j' Z8 h- o* ?9 }6 z4 l

8 ]$ d: {7 x) D& Z7 C% k8 ]. \ 哈哈嗅探到的东西少是因为这个域下才有几台机器 + k' S+ S- i% Y5 r

: z# F; y' b7 n, O2 ?# H, V

$ ^# B! n2 V0 P( z 下面我们测试DNS欺骗,如图: . M0 n" s h- l( H

" u" B) x6 ]; |/ E7 V6 ]
, `1 P [& _8 b 7 e$ G! \! H6 v% L( q
! I: t# L% G- @' W5 @8 C3 q2 K + _2 b8 z" G8 x- K8 C
" H" m/ S3 }7 {$ v% @) h1 d4 a; U

- O2 p+ W& y- H% f! ]# G' @ 7 |# w% W1 N4 h' W6 G7 O

; C! g& E" [- v

0 k9 E9 k0 g1 s9 _7 t* Q 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 v4 k# a5 T0 \# H J1 d! V

; g2 T! |7 O( P! w6 _ {
& V& M( ]1 | K3 b. b- a9 q 7 U' h# t z7 [# W2 G# a) j
! [3 U% Z s1 y7 _# Y \1 b K 2 S1 x: J% ^1 a* o
' D+ o5 x m0 d* T

, y7 Z0 F8 Q3 G& s. o 4 h3 x ]* S3 _! u

) J: M% f. X- b) F- U! m( b

; r2 Z9 A/ R: P# K0 c5 o (注:欺骗这个过程由于我之前录制了教程,截图教程了) + S8 G* t W3 }, z" A! Q3 s

* F- D8 b; ?1 ]1 v5 u1 L

n0 J7 V1 F- N T/ N5 B3 b/ R+ x 6 、成功入侵交换机 - c6 `" [; T; u f' _) c6 X# |

! j9 Q* c) b+ L

& O& V; \# Q8 | 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 0 v& ]6 @0 _: N# x5 e! D9 x

3 G# @( j% T/ Q

3 M& C& R; h2 Y# D! ^ 我们进服务器看看,插有福吧看着面熟吧 7 D! R0 {7 d" A1 n' y3 ?

7 s+ [/ c( ~. }4 z3 H' ^
0 n2 g) T' C2 e, A / b! A2 x' s( l' K' ?" B" U
/ l; V/ N4 v4 ]" S 5 J2 B/ y) {9 M, M# L) ^! o
" j/ X8 t- x3 r' O0 ~

1 g1 U: o3 Y" g 4 s4 ~- O; X9 m/ e, x1 W* P

) b9 _+ T8 U& J4 A2 a2 l

- ~3 v% L9 W- I! L) V 装了思科交换机管理系统,我们继续看,有两个 管理员 5 F$ v8 J& ^* A$ [. z) t4 }+ R( K0 N6 L

+ x V! @0 B$ r$ u
! t9 g/ @$ Z# T, {/ S: ^( H 4 x8 u! ^" D& l3 n% q1 h+ z
9 |- i6 h5 h8 \9 n U7 S $ N" X G: h! t3 ?
4 u' d+ E5 r% |% @ Z

* {' f. |" h# [$ k* a l 7 ~4 C: ?4 k, Y; C7 |( W

6 ^# ?/ A( F/ ^

. w F0 x x5 h/ Z* L( G 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 3 B( N' W6 U6 T! T) Z3 l8 N1 s

" K2 p" X5 q3 f" d( U* L! x# M
- M5 u1 G7 H7 ~7 i - ?7 G/ t( |1 e
( @* N1 D+ M; r) s' C6 F1 G9 }& D $ B' F# C5 }1 v9 T8 o4 c9 G
' x8 W9 B& e" ~6 u9 B+ `6 t

. Q) z# Z! N: \8 y: S8 J U+ I ! G6 H" j g! @9 @9 H/ [% p1 d2 _

2 I$ c( J& h% J% M

7 O! Z, c) P- Q2 O% L# H 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 5 z* b! {! s& I

. g L2 Y, B. `) N! M3 z w. t# s
5 Y1 x) v F4 F8 q( |' }; G3 ] 0 n1 B, i: `! \* H3 i. y
: e+ J6 v& @6 B, O2 @1 d7 A , T' m8 I4 t& e* d; v
5 Z6 \0 }! M# R+ a

# C3 F$ K4 s/ E3 Z ( M) j$ x8 @% G; C9 G4 H

8 n7 K: e3 O6 e) @8 U) p2 J" l

# F) j& k4 I- \& V" b config ,必须写好对应的communuity string 值,如图: % i+ W0 D' k* L" F) B

# N& S' A: V% |: g# E3 Y
/ c. p" ~5 o; U3 A5 h" S7 G1 ^ 2 Y" L1 M2 C- V2 s2 K
/ V& X1 b8 B& I % E; M% _: A4 q r* t
6 c( g4 L5 B7 v+ n! K9 H

+ o% A% d; q, [, U2 d( r" s3 ^ & w+ y8 y/ e2 o7 i6 A

: L4 }9 y& R& ~9 g1 i+ T( q3 \* b9 l. t8 m _

7 @/ b" p4 \6 O9 c; E, L 远程登录看看,如图: 4 \( e& _, R* |9 o+ n% D- F7 f; S: K

) ]0 r& @/ i7 ] g5 d* u
9 ^ s% d X0 n ! X! p& S% l( s) n* z7 @: r
$ l! T& C; R% B3 l3 Y - j" G9 M6 f8 g5 i! _2 g% q
* g" t* a5 c7 }9 O5 T6 v& z" a

6 I+ t% _- f6 Q9 g0 s- u ( {" K. d; s) X$ I

3 W$ f3 ?* z t" y; r) Y: C6 U

{- x4 d) _5 R 直接进入特权模式,以此类推搞了将近70 台交换机如图: + G0 X, j$ n9 B* c, K/ T; E3 O

! ]' G% n, J* f5 e( y! l4 m3 x' U9 e
" P/ j1 E- X* z$ ? * a/ C# V% i B% t
) k6 ?0 T: j" ~6 ?5 T+ a7 k ; r; D3 }% T* x! I% r; M7 V4 c, k1 S
( {# s R. C1 @+ n V" W8 c( C

& |4 g5 f# Y1 s) s9 ^5 a 9 q9 | R+ F0 f. M( a' f9 s

3 B$ Q# u& o+ \* a9 l1 O

- ^/ ^$ K, L [ 3 c. L% x! ]- r: N+ p! k9 Q

7 m4 x! S5 C0 }* t. k/ I2 f/ [

0 `, e! x6 _ k% v 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** % q& {/ u( d& I4 E& G" Y" [2 w

; g7 Z! H& c# d) h. H0 h% p! b5 `) A
8 K+ g6 k: a" a6 t2 u3 L; ^ I 6 {! u/ l4 B! O5 p Z
/ k D0 F; z2 j7 X, | / ?5 `6 e8 N& O& i. s
, n3 Y9 `' o7 d' S$ W! w

' `/ g0 t) |; x- ^' s $ z$ v5 P$ u/ b" M! y

# f: K2 n4 S6 u/ A' T

& i! U2 B# r1 @ 确实可以读取配置文件的。 + j3 E# Q2 M$ e9 o! R) e- }

- Y4 V- Q+ ~. J8 n c# x7 |

8 {& h2 B+ w9 S 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 " g1 Z5 t( @! p2 o, G, D/ V

: \% q" |! g8 B+ f8 D5 u
' N' J; K+ P- g! ` } 5 k- U! L' S3 V# _' l& Y6 |
1 z& o6 H0 U& _6 T2 P" `: v& a* g7 c 1 V5 W: `1 E% I2 }$ [" R: Z
2 @% c5 ]4 a5 H3 }- ~6 c! x

+ f' t3 j2 z0 ~% I 2 j& O' P% M; k% s% ?1 z( R' n( u

$ m- B# |/ y8 c

8 \8 E: D; e3 u' ]6 o) d: ~ / s$ J1 N# z$ g& A- P- l

2 c# S' D$ C# G) [& X

( Z L4 b) m5 L5 U( V* a 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 " T4 g- f" t% d

/ }7 D6 x( ^" q: ?
0 r5 b% a" p% {) _' m 9 C/ p7 g* ~/ t+ d; V/ B7 ^: W( R
4 b4 g, G- J, I$ n+ W8 \7 B. r% N {1 c' B, @- E3 h5 J6 ]
6 q& {: R* y5 `8 k. \. ^

% \% p* r7 u8 I q 6 T$ X5 k' W+ u4 U5 w6 [6 p3 K

7 h6 P3 q" k/ A& {

2 C) b+ E3 O1 x 上图千兆交换机管理系统。 ' N7 ]" h3 D1 \* G% I8 H' @8 E/ C, O

( A3 p7 ?6 ^! D

0 n: i5 I' l2 S8 @1 b7 p$ z; B 7 、入侵山石网关防火墙 6 }/ g8 U6 N1 ^$ b7 y7 J* m, H r

3 k+ _: f5 `7 R% p3 W( M: Z1 `0 f

3 B) L# h( T! `& L 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: & A i/ t4 S2 O% k

6 p$ {$ S- M# q- I& F
" U6 |/ d) G. d4 ^: } i 7 q) A2 H: K$ g6 M$ J+ H# B# ~
0 S$ M5 T6 b8 s4 w / B# B. Q) y: U3 \: K) c1 U
3 M5 v4 A9 B* L% h8 E

" W4 l. x* o& e4 _% k$ H 2 @* Y, ]9 c- h

^5 A9 ]+ d9 ] t) f: f0 W

- e- n# P, C$ a- X4 q. y- L2 L 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 6 `/ |7 S0 ^4 q1 w! W; H

9 ?4 P1 I0 i6 f& Y1 U
5 k# g, |# L6 i. h; b, o3 g C6 ?3 ] D5 B$ }' i; X
# I4 L$ F5 m1 [9 t# d' [; } # R: Q# T5 W& R, G! j
. l3 B2 U; S# q" P8 W

: V2 V* G2 H8 @* c2 U ( C" |& g {9 }6 d; g# p9 B/ J( O

5 `' b( p) H u# Z, T' k" b) P3 o/ m- b0 l

0 w$ X* E/ r* L* `6 ` 然后登陆网关如图:** 9 U/ o3 |+ e1 `6 s ]

2 U4 Q( A+ k# g5 K7 ]& J0 L% T
! U6 Y6 k7 M2 n- l& g. P . ]/ o# T4 ~: \+ P' L7 k1 X
7 U! L( y! V5 s: C1 _, f , y; }% K4 b$ |$ S0 s
4 h4 ]% R& t: z7 D6 T

2 I7 t9 ?2 k" ]: O5 O" l 8 w `, m& {# M( \8 }. }

5 `1 A& U2 q% {3 M# @- ~
8 ^1 }& r1 b7 u% J; ] 5 y9 y# h, o5 I6 a
* d: V8 R8 Z5 n$ C' m o5 I ) p+ G9 Y. O5 I$ ~/ O
4 @% j+ k4 W/ b

1 U( O- K% f' V' o 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** * w3 ?! Q/ [$ P( ?/ o" w

0 J# s. f3 f8 F7 l C, A# D

+ k% {, l" b% t" U4 v- X4 P 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 : ~1 u! @! m8 v/ V5 @; ?* N' K

, B3 |3 a/ W% C

; [1 }& g" V0 d# G. ^. Z1 w4 g 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ; n- h8 {# e* G( A0 T

3 U8 V" J, a+ e
, s5 ^! r! F6 D$ J0 _3 ? 8 y) z) j9 R- S, b K+ U f% C
3 h) Z" C2 A! i' Y( V5 G $ ~. R( O8 E* \7 E7 f
7 H) f* o' V! O: g8 f5 c- V% t

' W4 D. F- m, P$ o1 u & M1 k& f! M3 ^0 b7 X& I6 k

M. k D' F# w Y- [

; z& y* I# ~ A+ e, k 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 + y. D( m1 B0 z! ?5 u% y @9 o2 b

) @, q0 A4 ?/ y0 |. k; @

) R8 S$ b0 v+ f) d   : H% }# a6 P7 C' M. M

" A/ s2 |2 S% l2 ?! e6 U+ a8 W |

2 w; W( d5 w# A1 q% j. {) L
1 q+ W5 M8 U0 x; j

; A4 g% \* B2 [- h: Z9 t & u. t7 E9 ^$ G6 E, e0 O



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2