找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1361|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

+ P$ u6 \; X2 E: z! O
% T8 d! ]8 o# h \7 F& x

3 J& k* E3 ^% r! G# G) c8 [6 A

7 @ p+ S% q' P3 z8 S 1、弱口令扫描提权进服务器 f( E8 q |% [: n

: w$ K! b( t( m$ F' }: o, i: {5 [! t( C

6 W! [2 h% U0 `2 ?. f6 W 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ( O1 ~: D6 j$ d$ j- p! j

4 ?& ]: K0 n# `, Q
7 H8 l1 {2 a# y 0 t! E& V3 z! \& t! U# _' T% x7 g
( [# Q. k0 i" T( P# V ) K9 A' [* j( x8 R% K. M
, L' B# `* s6 @ k

; z8 E# `; A0 S9 t4 }2 v ) \1 ?2 r" L3 R3 z4 o

2 w5 K# J" h3 o5 `

! q" j/ Q9 `# K' E9 l 4 s$ }( m9 F4 A: M

0 |+ s; j; E( S9 L4 l! I( l0 ^

8 h; O& @- c; p) ^2 c ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 9 {) t D! A/ M, b; @* f4 H7 }

, i/ T5 G. ^8 c, y

' T' d* p7 c7 _2 Y; g% d3 F. B 执行一下命令看看 ) h. O+ J5 u0 p6 q: E3 z9 s

) V7 A2 y [3 ~

- W+ ~/ z u. t# f$ K3 f, [" r1 L - F, N0 q' }/ a

# \" A4 O4 s3 M& d
2 W' t# M' c& E7 W0 i$ u4 A 6 L3 o& k4 Z! h+ k; z
' L$ i- Y4 b4 u8 \$ J ( F, X6 a \# D. _8 Z
! I, L7 C* T3 R: K. j

6 I) s; z* P* e N; K 开了3389 ,直接加账号进去 # V. Z% q7 G( ]3 \, K

1 E8 I; q/ y& m9 ]
+ U! Z- r+ @/ }& { % u& r7 J8 Y# _
! u0 G+ M# R$ b' L 0 `' y. j, Z: k: T0 F2 S+ T; w
4 {: H% M9 ]2 Y+ O3 @' o+ P

9 G' U0 n0 }7 h2 t6 K; j# Q6 ? # t: k# v M5 N( S- F$ E7 a

* \* K+ y: F4 V$ P6 C: n, a

- b, \' e% B8 W 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 . O* j" y2 g" |. Z$ s) F1 o% P9 l

3 }/ |- K) F0 G' p d
: u2 q8 x J* P' Z/ O1 j 0 k: _2 |, {1 T. W3 q& r
5 V) C( M/ y/ g V) i / E5 k( R! ~- z: s7 j% h
. T0 q/ |& H/ d4 }- j9 E

8 Q) P' ~; ~, x4 A% E. } # a4 h1 t$ P0 S8 I, o6 T m0 V$ x

; F5 T- g$ {( T# C4 X" T5 a

0 r' v6 r) c' J N9 ^ 直接加个后门, 2 ^2 L4 l9 A$ \1 e

& z+ p& q3 c( t5 q7 D) [* x

3 Y- l/ W' ?! k3 H/ \ 5 d5 C4 S: D" D

- S7 Y N5 h' ~, J
& T' | ?4 s1 c' e% r, N) @- i* F $ W! b" m1 `' T% M6 m& {- i' ]' p) c
; P! E3 [1 f* A: X! i$ V% Z ; u- |+ H/ O# k# }
- S/ k( f6 }" f4 g

2 f8 p/ b2 T! ~5 o& m' j 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 % V. L/ y( g8 C8 H

; p" T4 ]* @$ L* Q. V% `

, ^& h$ i5 F( c& a 2 、域环境下渗透搞定域内全部机器 q- z1 o T& r7 Q1 f; H: O8 f

. I0 L& P9 y; x, ~" K( K

) `2 E% ` Q6 O3 o 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 7 p; D) s& I7 i- T6 O

/ _3 S, c) x [; G# Q9 Q
$ h( _- H' D0 `- j V/ c' M 6 e8 s1 A8 J+ H+ P# ~. i% Y4 t0 S
* w }: r/ ]6 N6 a 1 J6 P- o7 s# J$ p
: K) G7 _" B' d5 }

6 m7 [5 y+ G& @( m1 j ) q$ N& `3 @) o

: X6 M! s8 r8 E4 W

0 J4 ^; W) h( Q B- P! |$ G3 W 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * S1 h# C8 \1 P: c

* V8 m9 o6 \4 v% j; Y3 H
! R( T$ z6 T% f 2 ?- `# m- ^1 b0 b1 I
& k3 J4 N/ K4 _8 a$ \) o 4 d5 e6 V! E$ y: m: B' @# P
; B( s( G: x \( X: E. V

8 k. A& G; W) q% X7 Q$ f: [' N, k + R( `) d4 `6 M* M- c

& @5 j9 f( N7 G: r R

4 p- X9 {. G6 W5 l. R9 M1 @ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 0 U8 \" v+ `0 r- `% V# C% ^3 o

7 ~( p. ^- a" O& Q! l& a
! x P8 c# ?3 A; Z1 Y/ G " S- n1 A6 J/ b+ u* Y$ b
4 `# o: E- }4 j* E) I+ ~ Y9 B / c( H; I7 F" x9 G; l
, z8 d) T! K$ ^2 r1 ]% {4 T

) t9 E0 h4 y6 g5 }* ] 1 \: ?/ X% m$ G$ {% R

+ O' T3 f( |, O. V9 t( o

# k2 N0 {; Y: E/ j 利用cluster 这个用户我们远程登录一下域服务器如图: c1 K# x# v% r7 W" O* d

* z [ K8 x1 q9 u- `+ e
$ U' \& B* a" t $ m9 R) F5 q* D" M5 o7 \" T' C
$ Q: `, r, K( e. W5 c6 L3 ^; } 4 r. y5 j+ h( I
& n0 d% R4 [; @) n

& A s* t8 A6 V 2 E6 ^/ ` ?6 e, O! E" H# L

: p1 k; M5 c) G8 p) R

, k9 {: f9 ?/ q0 z# M/ `8 ]/ ] 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ( g, w" z0 R! {2 x

5 s" }* V1 @4 J5 P( v6 R( G
" }: P$ o3 Q0 S0 m 0 M. y% e3 k% U# D" T5 K
" n! h& r9 c+ G. I f8 v6 r& n% [ 4 L, _% w- {6 p
/ ?3 { e) P+ u) k

( J" D8 P9 D) g2 B. f+ d9 R ) c8 [: o$ Z+ a& {' [% t

0 z$ z5 C+ `" {" y

& ~9 d& j! H8 d$ [4 [ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: / l2 j; s* I* V# M" D7 v

; K) P9 v8 v& ]5 Y

+ R0 F N6 h7 U. K8 u: e * a9 F' B% ^# u- Z6 J4 s4 f+ k

% t8 ?2 r0 E6 y& s0 d2 i

1 H3 O/ t# y2 i& ]9 P' F; j 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 9 ~( R3 c1 \5 t+ R% v4 K& d, f

3 e& ?( s4 p7 m; y2 `" b( k

6 s' B% r U4 l+ g$ o$ b1 F& T) H blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 9 m) Q* F. Q, z; w1 B) b

Q% s% `6 Z* ~# U& ^) U& j
8 X ?0 p( F& j- U& U 4 ~$ m1 g0 S- ]
}/ U. ~) h$ H + H; F7 Z& o8 F$ f
6 M* h* A1 E! }+ B- l! c: J

; U; }$ ^3 S9 n. ^8 m5 B # M, y$ w6 L; p# p

/ H& T2 N. p$ N/ a+ b) P

3 E' j p& [6 G6 H4 l4 F Z" S 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 # y: G/ T% S5 n A

( o! x$ z0 V" W
2 A' \( t7 }$ K% S; C, I " L" t; V/ ?0 F( A
" O: \- [/ Q7 z* D. G : {0 y1 O& q# b+ V$ {
0 \# c- F- Y8 t2 u

: N2 b3 u9 t* v 0 X$ s, n/ x$ u. E& E

% ]; ~; _# o3 q/ o. c+ B

1 Q6 E+ \0 P M$ n 利用ms08067 成功溢出服务器,成功登录服务器 ! [1 j+ G" Q; c7 r+ u8 e

9 Q# D& r! @/ G$ `1 n' I* A! \
7 S& U/ _) r/ g! y$ ~/ o $ U$ Z! k% |/ i: {$ _+ n9 {/ v
# `2 a' B" T& R# U5 k" {) X / y* O' \! R$ A8 t$ w
4 s7 r) a) c4 n7 g+ n

1 E; f6 K0 I* k4 C 8 r+ Y5 z# x; n1 Y

9 S" `* Z$ y& {, W/ V

4 `, l2 h4 ? U$ { 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ' q U0 K* N2 o+ q1 \4 u

0 d4 m* a" E' _1 s5 \! B V

) Y, n1 N/ M5 x9 T4 M& }5 e 这样两个域我们就全部拿下了。 8 S7 v& L# \, {

; e+ d8 K) E0 G1 O

+ {2 X0 x- t6 A# x. D 3 、通过oa 系统入侵进服务器 4 b% T- i. A7 L. U8 P

& X1 b4 K- L7 ?5 O. F

& b! p+ S7 t; n3 C2 ^/ a Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 * ^; s& J* g6 r6 ] J+ x

; b8 S/ i& c" w/ G7 @
' O" S3 z! l- U, K & N u9 x- N( ^3 b v- `- g* f ^
. T0 x+ x, X, k3 R% V $ t. M h# L4 M/ m. R5 J- v
* k6 k/ j) v" G: j8 w3 H' ^

! F& ?$ t3 P/ S9 z * v* D& s% U& n4 p$ L

2 n/ N9 I( t( q. T; A0 u

" p& R- b) t& ^, s6 Y 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ( i7 N1 h; S6 T- ]. a( z! S+ ~8 L

( N- m( w' r& m
: G( ?5 k& C( a$ U9 }/ q: ? $ L' Q& \* t( F2 `
2 z, T Z9 R6 q2 s1 _: @# S6 T3 } , }) X, Q5 N3 n: A; M6 L: `
, J, ?0 ~0 q- z9 L+ y8 h5 V2 P

6 q6 Q& A) E6 K- h" f. _ . Q8 t6 a. Q" w$ J# U. m

4 I( G3 y. W* P4 z- [( q l* ~

* A, G$ j: ]0 e, C! e& u 填写错误标记开扫结果如下 I2 N7 S* g r" i9 m: A

4 m% ^' c* ] V% l! t% }
8 Y1 V6 Y( [( E# y' p% n8 r3 ^ ' G. W* i! r( W6 D, I
1 e* M& z/ N* x1 L$ ` $ g1 U ?" w7 m' A4 r* F8 x- M" e. c& M
- k" D o$ X! k5 c. I0 Z5 X

5 E; V; i1 H. @ 6 Z' P7 D5 y! J+ |# M* m

8 G# {+ D9 S0 [, o6 x8 Z# W* a

: u _, l1 p8 F) Y4 m8 T 下面我们进OA / B {; G8 V" L

7 [' l9 o" B; X9 D7 {
+ W: {! A' D9 e+ \: b ; x$ q0 j; }/ j" s
& @6 N' q! o9 | b2 H. x( P7 j
6 ]# a4 v3 E; V

0 f4 d+ r c1 [# M$ q- p# N , I4 h$ r( S3 P1 `% a

. d, _2 P9 U( }! n4 o6 {

" X) _6 B# f& ~9 N 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 5 W( S/ B$ _. Z+ L

5 k' `) x0 z5 X3 y4 Z6 G& Y/ _
& ]# {8 ~0 \% i* }6 | g . y, [; T9 |8 O% B7 d
! w( P2 Z: J$ r; j* z3 m 8 L- E1 [; |, ^# {) r$ O
5 H* o* z, I' \8 b! k' k) o0 r3 z

9 R+ ~& D t- U5 {8 l+ e; t 7 R8 k7 S& ~! Q7 X

2 S, e3 ~2 ]* _! k7 ~# l- a J

* C% l- Y7 Z, l . `" e0 C8 B' v" G

" `5 J! S) {( d' t; n+ F# ~

" F H) p+ {9 `) V& Y8 L e 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , B% u0 r8 Z( o2 |$ @6 f$ _

* L! f- s, u2 t: g+ n; @

& ?: x$ U: ?7 S* |3 U- K% i 4 、利用tomcat 提权进服务器 ; d3 }: ?3 e0 C

% n5 W& w' T% ?# c% k9 w/ r: v* }

9 i% U# b1 Z; Q# s" x nessus 扫描目标ip 发现如图 2 p: ^5 e( P" N. c" R

1 z* ]* p% U. I% w
$ `7 u# L3 a2 f5 ? v ) m& I% D1 r6 f7 k4 B3 S
H8 P& u4 o, a( c. R& H 9 _) M8 g2 |7 o4 d
0 I8 U8 Z- h/ E- y, U# z" l

1 I# D, O I+ ]$ r0 q ( \1 O; V* N8 Q+ c: ?

R0 }& J& N4 x( l" Q w# w2 L

2 Z: x+ P, P4 U! M' L+ Q 登录如图: , [8 R' N7 G3 y

/ a. d! S7 N5 N6 N- B" C4 j
9 B# S- ~4 l _; ~! F& o+ l- ] 1 _5 y- ~8 u" }; x" J9 O7 D3 e
6 e4 W5 {; Z! H# f! R) d% O ) |; U. q4 l8 [/ ^
! ^, j0 }, x+ Z6 }& q0 a$ c

5 L( H! u, d* c' M C1 u: q/ U, p! f6 O+ |

! q" g7 p2 j& D1 [6 i# h; }

, W! D4 m2 u3 J, u$ {- j* V7 ? 找个上传的地方上传如图: 6 h% G2 N; ]7 f9 Z

: ^7 M; ]1 B. m. |5 K
: m9 V6 A4 D4 y$ E$ {2 [ C4 K0 d8 ]6 v5 d$ a+ g7 B
- j# b0 w# Q0 V/ V5 I + C$ \! |. U) q4 t- e- b
& J6 d2 m2 A6 r

& @0 t& i% c. h# f1 O; X * `/ p0 |. L: c/ J

# E. Y* ^3 r1 M s c: L' [

5 s. `' A5 y N4 i+ o0 h 然后就是同样执行命令提权,过程不在写了 p5 @/ \! G, X- F9 K7 [# w

2 T* O! @4 r: g6 B0 J5 r

9 `/ `% b/ J) k3 Y$ m( v 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 . m5 \* f3 G+ n8 x; }

' [7 t# i1 i$ H6 _3 F Q

- Q& m) `. x+ _( a; [% L 首先测试ARP 嗅探如图 9 @! e% m7 X# ?

1 L# H& G2 W1 Y1 S( g
3 d" I0 A" Q8 c p 9 H/ T# t1 g2 w% P
6 ]1 K' o3 r* O4 |' B( ?9 V 7 S4 @' s2 n8 P7 t
2 Z- r( L1 g* h; {4 ^

6 z+ a/ b4 S$ L& q n ) O$ Y+ q6 T% ~

9 {$ v5 s4 f# I* s- y* X

# F( `3 a3 m) G7 @( B/ n: R 测试结果如下图: 4 X/ T$ M* j9 m0 N

* w, f$ u$ m5 M
" o& a$ W- b. @- @: t7 `( Z . D) M9 N4 e' s8 @" \& q: z" X
8 K, {( S; K1 C/ k9 Z5 Z 5 U9 J m0 s4 G- i
: m4 p: _6 `0 F; Y7 ]" u" L

2 e% G0 Z; t: p+ \/ l7 e/ O 9 P7 i6 Z' Y5 z2 i

) v; R" \3 o, R9 x) C, i8 E+ ?

h7 V/ `% Z5 x 哈哈嗅探到的东西少是因为这个域下才有几台机器 + A: P# d# x) @7 ~2 L s! E' l6 F

) F4 P3 ]0 X: @' F. U2 x

* x7 ~- q% r# _/ y4 U m1 ^* t; ] 下面我们测试DNS欺骗,如图: - C9 T- U# o0 D% E2 T+ }; S* ~

/ ~6 `: B; h& F
2 h) y. D% B7 ?: S9 z" f$ B% D; L & i6 h- l5 e% V* i( K
' m. ^' u: | U- w( v / s! A, {2 D+ T$ }4 \$ m
6 i8 N+ s( n+ |8 x5 }

P+ u0 x# ~4 I) H1 u ) ?: Q+ X! R3 x+ v7 I% W

( D/ f$ A, s2 [ n& f9 R( B

! o* |! H8 d. ?! e& L) V 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 0 A- N9 G8 v, K: K

0 b) I. F" @% F O. u8 ~5 w
' a/ b- y+ T/ b 9 t( H" J7 y& _, t& S9 |8 v$ G
( }0 u4 _; V, n5 _ / }2 [ L0 e5 Q% d; \
1 ~% a; a! e0 Z; [1 s+ {

{6 a6 m! @: N B+ t& r5 n P/ ^+ H% `/ h % i! b/ M, d" X6 n+ @

+ G( w8 L7 J2 M9 i- P* d" q

% D" x! n5 N2 v$ [ (注:欺骗这个过程由于我之前录制了教程,截图教程了) p! |3 J) W$ Y. \" \( _' E

; W5 v! B* x# ~3 H$ ^: g

$ O6 p. }; T( P; z' t7 v 6 、成功入侵交换机 ' Z; u- [: @0 i, B

" a$ F3 J0 |3 u; p! s; S o

& Y2 T4 \5 f% U+ O# O, `2 d1 I 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 * _2 M# D0 w8 [

: |# Q9 i) S3 r3 E# v" x* D5 R

' b" g3 c8 I) c# M$ z- f 我们进服务器看看,插有福吧看着面熟吧 $ j2 L, p9 @7 g9 |( p- F

% h: S* q' m/ [1 I9 F9 }, w8 \! t
1 ?/ D; Y7 L' G. l$ t- \ 3 F( t7 T7 T5 }/ w: ~
# w; v, u6 r) s9 f0 j- Q* C / t2 I7 w+ X) y }! s. a/ o
1 D; A: S* J( r4 v( Z6 `

: _3 y2 ~3 P% k1 W + X, ~) ]0 n8 I" i/ f3 q/ E

% J% Z/ A! I5 F

5 g+ y4 J% Z2 G 装了思科交换机管理系统,我们继续看,有两个 管理员 0 R( M ^) M: s$ a" x# B) [

9 k' @0 J2 G0 U
; v. R- o, w8 D/ _9 a# z# ? - i! b" N/ }# W9 b# O: p# R
' o* A) A( V( S, x ' V% P' L8 W4 ^& r1 ]% H7 g% a) o
- N4 F% a! K8 j+ k0 @

1 }, d" T3 q7 ]2 a: X, i 4 m( h/ I3 ~5 P& d9 m7 T" r

0 Q$ p7 U8 a- d* R6 ^ F

7 z: k9 _) b/ a5 w5 q { u 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ! g" c* W( i# r! s1 b* f1 y5 f

6 a& }9 `. l8 O7 G: N) w
/ _0 s: ^: `$ o/ W, P$ T$ O 4 p4 E4 R. f3 J! \
* v+ ^6 C# y5 j 7 J- r, [' M0 Y4 [6 ~0 a
; q1 \8 S' e/ d0 ?9 D$ A

3 h1 C' S) f/ H# o" A* A+ g 0 H( ]4 y: l( O; N

, z: G- w/ O9 l4 j

8 K- w4 Q$ m% a! ^5 H; Q" P 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: / ]$ c3 ~( |- s

4 L2 l) P4 A4 P4 {5 y
1 J% X" @1 h% ]8 |& J " z& L/ A# W* T1 c* |8 c) i
& p8 G* L7 N: \# Q4 Z 1 v& ^- k% h. ~
! r N; }) L# ^% v; ~5 U! W) W

3 N7 z' l/ Y8 B, F6 W8 l 9 i5 I8 [9 R( V7 t' W9 H/ I! M

' a; ^8 z1 ^# N* R

9 I1 D) Y% L/ y8 }/ I7 @( D8 q config ,必须写好对应的communuity string 值,如图: 1 a; }* q- }, R+ f

( d; P4 X$ @. f1 S
/ f/ z( @) j3 \5 } ; w9 |: E9 r7 j
4 _# K- p4 a- A. I, @9 ~- X 0 Y' e" i' @* G. P
9 M9 c7 b3 _2 h6 s0 H) c \ k. `

4 d- i, @; Q6 v; J# M ' S0 ~. _7 u7 M& A! P

' O8 o% }/ a" F! B4 N! |- X u

6 A$ J( q; Y. x3 R5 N) S2 G 远程登录看看,如图: ; R/ X$ _8 J% j8 \# V

; K" @) P" u, F
* |' c" r6 }4 n3 w ( F8 Y7 x5 f0 X% @1 Z2 R
$ I9 a( ?9 D# o% G% V ) x4 m* w. p; T8 m( }& B
9 b; O* O% H6 i9 i7 ~

5 v' W: Z. T0 {0 N- r0 V e $ d% d8 k; d$ H* @1 ^

$ o* ~- }2 X& a5 ]% v

1 N7 m9 H. s6 C: X 直接进入特权模式,以此类推搞了将近70 台交换机如图: 1 b# h7 w# f2 e" _0 o7 E: _

' O; K- j# k' N) R0 F. h& q6 b
" W. r3 y- |% ~& L4 X ) U3 Z8 Y N4 v; j! |
9 X1 w: a6 _; P6 ~" K 3 H7 I9 q/ G3 P2 q4 t9 `+ W
0 s! G; d T9 [3 ^! Q a9 J! a

, h7 R& Q2 w& }+ y3 Y2 a( | ; H" ~ f1 a ?2 g% R9 A

9 e/ D) |6 V! G

9 X0 J5 T$ L5 m4 @' d( A, \ + r2 E! H9 ~6 |: B8 Q

9 n& ` n# o! [/ l3 i5 o! I

3 d; \% Y; G" O$ l- v! C 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 2 F, l& L4 B4 @) P

( c O6 |6 Q$ y1 R; D9 ~
, K. h5 M4 [; E# m( E : V& E) H S$ Z- A, F* }( S! {
- E) i$ z9 b. a' J. h* u2 Z+ ]( ? 3 l" J8 P, {! d* m; x
+ h& g2 b3 \8 B

4 h$ [4 p9 C- h7 Z: o }; m6 q3 }/ [; _; ~

, p5 t- s, `6 P: L% A

1 v1 ~0 I' o8 h 确实可以读取配置文件的。 - h6 L' r# k0 b, V6 z, }1 F

$ P" |% F6 x: f) W7 y+ J' D2 A

e6 Z6 t" {0 N$ k8 K/ R" K! P 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ) H) M4 ?% W; E, F( K

) Q" O" \# ^+ P: I% A L3 K
3 U7 q6 B& n" e4 \* C# T ' a3 i8 U t' O6 a
8 }8 f8 e& U( C3 P+ @2 t9 H5 { 3 M4 l6 n# {. n0 S+ `
: V/ f; U+ k( ^, J1 b

; `0 a, `& j( ~' y- [3 @$ P 3 ?, B! {3 ]% `

g( M) k) \% Z$ m1 q- I

* ^" t1 \/ M1 q E t7 w- \ 2 q% W: }; A9 x: e' F

( k4 u3 c7 }2 T$ U. U

+ G; ~, F5 L. u, ]/ L 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 / c3 s9 U( G- B

5 r3 f* \- |% l
. F$ V+ o2 ?6 `5 D$ X- e * I0 o$ c, u# r" l5 y
8 w: [7 H0 Z5 O/ V# ~. d: W 3 X( N! M( V. ^* U" {1 t. e- ^! Q
, _% F+ V( Z& |* Q6 G L6 p

2 u6 M, |( ]4 E2 @ 3 H- A* `( W- ~' `# m

* P& C7 Y: [) q8 _

3 @; S$ q C% b( c+ R% z 上图千兆交换机管理系统。 9 y5 N1 ^3 q4 a, g2 @4 X

; B0 }- b- J8 ]: N' f' J

3 h3 S' V( S1 C$ J4 c; k. A 7 、入侵山石网关防火墙 1 R; p9 T' X9 ~( D* l; k! }9 T

' S6 q! J' j# |7 s

" ~( U7 r( B* a" o6 G0 Q! h9 ^ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 k. S* d5 a& h( s

. a7 `+ f: {0 w$ o
6 T6 p* T- B2 G% X1 D( | h3 B, y, c% I/ j
! h5 ~2 C" b% | 1 c! z; h* _- T8 V
. D7 ?2 c2 |3 F) T4 m4 i5 i

5 d2 I* w8 x7 n0 Y6 w& I ' l9 D4 w% G/ t+ y

# r) j7 Z' J0 _" O0 s

1 b, Z r4 x$ o( k% Q: w/ @ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: % r# E) A" m/ h d/ w

1 l7 W6 v* A5 j7 ~6 A4 e
: v/ k' W4 j/ z! |- |) y+ u! M 4 O( u8 e& G1 S! L, E j+ D
0 w6 [6 }; h4 _/ j: h( E " j$ ^4 J$ ~# v: S
, r$ i: F* w" l

( ]+ f8 W& P( w7 |. ~ " N; S' Q; K; o' ?

- s. i' g; g/ S2 V

0 b, f$ X- y: n2 h& V, r6 ^+ q 然后登陆网关如图:** : P) n' N' [- t* d; P, n) j- V- _- G+ P

$ x, m- E7 H- j7 n
& S) r9 T; v2 o& P C 2 L, l8 k/ R$ C) m E. M6 B
; `4 m9 }4 f' C $ Q; D m. a( C' t9 v
0 m% C9 A3 V( N9 _! o% x4 v: J$ `

" W" P( [" w. C' b: h8 h$ r I3 Q 4 K4 K4 B# c7 \7 ?# Y/ E* B

4 S% F7 F# D, e$ m% X7 w, U- d4 @
3 J6 J+ Z3 ~* i6 g* Y& C 5 {, x3 a+ r& w9 I/ i# v* y7 S- x$ h
6 H# i: o$ h( W* Z# n2 v ! l* O( D9 ?# d7 w+ [' J+ F( e
c4 T: F; f% x6 ~, W

5 c. }) s9 r8 _: v 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 3 p6 }& T9 |! \! {9 K8 H, D3 ?

) Z$ P% |* U) c" M

+ `+ q- _7 @4 ^4 A* w 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 1 ?4 d. o5 ~7 |& B

# {7 a, t0 F6 L" q

# K$ M4 n3 F3 y$ P 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 7 u) Z; I, }2 a3 O8 {% D

7 p8 d5 {! C2 j5 L& l& S$ I
" U% ?1 z1 `, C- e . x2 o7 D/ b$ R9 d8 X
* f) d- z0 g! X" t1 c* \ " \0 w7 z6 I% |2 }1 u/ a Z
+ ] ?, x. X7 p

j2 d* _$ E' G$ t6 w3 o. Z , R; v# j# J' ~/ D" p

6 l2 {1 V4 s, m0 X' V; L2 c

6 |. ?: U/ b( e" I- T& T* x 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 - d0 {: ~! F' m

( H% x J4 w5 \

( |+ b5 Q6 b5 f) m   4 E( c0 ?8 ~& U5 C

" h0 u2 n2 V ?' i/ Y. f J4 O

% h) h& p! U! h* p
2 c& ~# {9 j8 `9 Z1 Z* F

! m' K' _8 P$ E2 Y# G! J& }5 W! d) D4 `+ H% C& S
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表