找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1634|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

: }2 {7 e+ X$ t* |" y4 Y: n/ o
/ i ]& \1 q4 K* ]2 i' y

0 O" _ ?* A. h( R

+ W* ?3 c+ O6 a; I; e2 Z% \# P1 Z 1、弱口令扫描提权进服务器 f* y9 D6 ?5 S. i; \: V3 l

9 v) I$ _! a0 e( [9 I

% S! @" f/ T8 N' M* S( X8 ^ 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: : ^; i! K2 u4 T3 Z5 K- k+ s

+ v. `2 D& Q& L4 T' R5 h+ ^
" N4 \ y/ W, p" a$ K9 v j k3 x1 M7 k) ]3 Z% Q' [) t
; d( j( I1 M$ V1 \
' r+ [+ E9 [0 N' e
) u& G0 M% _% M- V9 f

; W+ B7 x/ O$ o: V2 f+ `$ z5 E 2 g9 L# `) U" T- s8 i) U+ k* N+ B3 T7 j# N

9 A' T- Q3 g: e9 G; C

% y1 V3 o* N/ t8 l7 u! E# ^4 O* B & |- x+ y$ {3 U. T" O. A

. H3 H: @1 Z+ W# H, R

/ A% F6 K" c% S# n3 B9 ] ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 n9 Q$ W q9 l6 ^2 {' \

@ A% }7 I9 }4 t

& V6 Y0 n/ {% r' o& r& r 执行一下命令看看 + ?2 K Q/ Q, g7 `8 y

6 q: J F/ o$ b' Z d

, f+ J* {# o' d0 T: M+ Q i3 f! f" n) m+ \- K

- g2 {( i& H" k4 c& `. C
4 [; \: j1 {3 f, H* u 2 F$ L9 w4 B7 `$ ^; X z4 q
% T# T& y; H2 N
; w ?4 `4 h+ {3 M4 H3 @! J
9 Q) J8 M- h( X1 \7 s

0 \1 t/ U* G" ?4 M; C" M- _ 开了3389 ,直接加账号进去 ) x! ^2 X2 J4 E8 |8 ^' F

0 i$ ~' z# h' [$ @. ]$ d( ^
0 d3 B" y- o9 v: ~3 r2 s$ T8 l 1 e$ B9 H! K4 Z* Z4 H' P' {
7 z7 W! P' Y! X8 ~; D( x: w* ?0 g4 F7 ]
2 t i1 j. T0 o. m. W0 X, [
- U3 A7 `8 y5 j7 ~- N

* } _) s1 A' W 1 X3 n1 X. k9 s! ]3 {' K0 n$ C& O

# F5 s! f. l" D `2 Z

% G) S# y7 ^0 |& A: c6 c, ~9 B 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 3 I* P5 ?! ?& y! @3 C- ]

, k, \ K: Q5 O) o
( z3 ?* U5 O2 R- I4 V" s1 K: J% _ $ Q; J2 w: c+ ]
/ z3 M u6 R$ Q4 v/ O3 h, L. Y
$ @2 t- e! J$ T
0 Q0 K/ z3 s2 t. [/ h( v0 ?. t( n

* S/ |/ D/ B$ Q$ Z% n$ ?1 w+ y % M# f3 w) c& z+ A

: R+ _3 @* Q% G) a) ?

$ J; R3 b& h. t S, L% _: i) ` 直接加个后门, ( w7 ^6 V- D7 T9 ]- r2 g+ S8 g; ^, g

D7 c) }6 s: U, M$ q1 j

0 R$ ]6 a1 \7 a- u / i! s6 C- x1 ] s! L' i& q

6 H2 y9 X% J2 n
. k+ j. A0 a% Q7 Z 3 u8 @4 m9 X' H e- m
: o/ X& G2 r0 r# V' t
+ \2 M1 p9 N5 I7 Y0 ~8 {6 I# d
2 [, l& c1 A1 U0 x

4 A8 c" w; y7 P 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . w4 k7 Q' R2 z' L7 h2 W1 b( ]* J

& z7 ]; Y- i0 @6 Q; T2 R

! e: _& l9 ~6 Q3 H$ N 2 、域环境下渗透搞定域内全部机器 - N6 U0 A0 R2 l5 y2 I: J$ I

) t& p) U7 G4 i

- d* l2 b! `- {) K' ~5 f, S 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 4 D% w, `- Y1 C

( I7 }" y8 q- I) f+ b
5 M% k0 f$ s, L3 d' V% I7 X d' ~ 3 Q, t9 E$ j# R& s, m
& U- H5 v! x+ t) H
; I/ d/ Y5 Q! x
0 l1 k: q5 R$ Y

! L/ }0 G( K) R 5 f7 ?' G6 U% M i) Y- Y! Q

0 B M" k% G+ i, O! m" l1 ^# Y

8 c4 G5 ~9 i5 D! J* j 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 8 p+ }. m% T7 L

8 S6 l a* `3 |4 r
8 B& i$ }; \1 G3 q! f2 p/ n7 y6 ^8 S 2 w( q0 C$ l& V9 J) o0 W
. t! Z8 I m- ^
# ]7 {9 q0 j! [7 ~
. E( d) x# [ q& i. Y! u3 ]

" h1 x" y. }. {4 N & U0 j- A, W) B/ M: t

, W9 A9 r# `* q8 L7 q' y

& `) | m4 @" {/ t3 C 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: w+ B4 f' v1 s6 [

{! j. y* U+ C Q- O9 F
0 G4 G$ E( O m/ r _- W& l& x$ V
* `, G; e8 j5 h" C% [: v) G
6 [! p, N8 y0 X9 J) |
! H, Y( C/ y( B2 F. I5 I9 v

: @" H+ |( e4 [( ` ' G9 ~# M0 @% Z; p8 P$ V

: C' n2 v" Q% H o$ p J, `

0 \$ V$ o, Y. T# \6 Y 利用cluster 这个用户我们远程登录一下域服务器如图: ) D; u& n+ o, l6 S+ I

. h3 y4 h9 N" ^( A6 G' z
$ E8 r0 G( @( v4 Q& ~6 R $ P' P8 ?2 M# t
! N K$ ~( Z3 d5 ]+ N
1 Z: ]( I! Q+ c _( t
5 c& i1 X% v; f( W( |

3 A3 l% z7 n( _9 H0 _% a& { 6 p# m* ~, v8 u* _6 o6 c

- q6 R' y c: n6 D* D* F

! s% ^3 L- }$ G+ W8 a& A 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: : d! U* ]/ Y9 q' K# N, H/ V

T* x: W+ y9 Q; z0 n; u
- X' P+ l! x) i* Y" F+ O5 K7 F |; s8 y ! L5 f& p" J8 J' K
. X, a+ D' G* ^5 L8 d$ B4 ]
9 N/ n5 P8 Z6 Q5 q
, ]1 _7 q# v/ @7 \4 r" h

5 D; b# I' z' X+ f, s( m % ~; c( `$ L. _' A. `

( h4 {1 f$ O5 @5 k; M

% G" Q: G5 \3 Y) h+ j. o' e 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ; N$ y5 T+ r0 O! k; a$ _0 f

, l' Y+ l+ N0 u1 N# B

3 ]" ~: q' ]% E+ w: v 5 m. I9 A, \' i# W/ E2 H

$ {3 P. N Q, j( q0 N8 c- X; [

2 m+ s, S/ [. F t& i0 T 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ( C: ?( P5 Z# e, j5 E& O

0 R. I2 {) V! L) V' ^ n

+ W$ W# F* }' S1 F: @% p blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: & @+ n9 |+ Z; ?

4 Z) F- X; j! Q+ ~. n- A% d' e
+ o: K; N6 z3 m5 U8 T- v6 Y 4 J$ R2 q7 D0 N( U
1 h9 Y& v" L) d/ ?4 z- ^% |
6 y) j) [; O2 l5 a4 ?
* X& K8 d0 U! d

! x V/ p$ H+ C 2 f$ E6 p R/ q$ V

! j# K& Z1 h- l1 K3 b X! |

0 h0 \5 d- n# E, q 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 3 d; _( f2 R! v4 ]5 \1 E* I

9 P! I% p. q4 X
. M( Z2 y: G: {8 V! j' y2 b - ^# D) [2 o9 F# A, l/ K+ ]1 Q
V! r Z5 Y( K
" x" ^- T) P E7 h
) A6 b9 K* R8 q7 ~5 ]$ X

" }) V0 X# s8 u( y8 l; q5 C! d & v$ U0 y2 Z' x- G0 p8 L

$ f0 k0 y: b) E

% H& @" P5 c( U- }0 r 利用ms08067 成功溢出服务器,成功登录服务器 $ {; ]1 |# B' N# K! [$ @6 B

; Z& I& q* m9 r6 L, f r$ | ]- h$ j' c
, M7 u. B$ L$ ]7 j) t; l3 F& R1 o " u. A4 Q, R! W+ U$ y/ s, a% }! Q
1 N5 O4 {, Y0 S. e- ] X
( D- O- |; P# c
' V7 I* N ~* ^" T- ` q

* p9 V$ I5 r6 P: k& `0 `* ? ; [' T& Q, z( }, X o0 O7 ^

8 j0 |: t' S a% |; N4 M

' T; {- x) v+ N7 A% b) y 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen - A1 u# z* S9 M6 Z5 b- K

/ M. x& P0 ^2 Q7 }5 |# `

6 y' Y) v) E" o3 R/ j 这样两个域我们就全部拿下了。 & l! H+ U; X( h; y V* @( L& S

' l2 Z2 P6 Z* g: j+ _- c8 t* l2 F* e

7 H+ n( u7 v* i0 D 3 、通过oa 系统入侵进服务器 ( I5 X1 W" W( U8 L/ A, {0 {/ Q

# }2 A1 S! [* M, w5 r( J( ]

6 {; c/ Z. g& V Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ; g. O$ R! l- S% ^2 K* y! s- g6 w( t

H* r- `9 [. N
3 `3 c! K5 M1 [8 Q1 @( t' ^+ v " B C- |* k g. Z( J+ G
: D7 @* B" p7 H) j' ]. @3 \
; G8 x1 R% N) `( A
' A/ l; T- _) U7 E) L

; v+ D) b% S5 L. \# a# O6 e0 S 8 L( }+ C% v* y# D- S3 t! i- |- @

% I% T& e' x$ E; @- L

, f5 |4 }) u; z8 a% v* ~; { 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 : P! [4 Z' w. R. B/ N8 g

- n: ]1 f/ F: D; t- m/ o2 U" O$ _/ `; j# l
" R) S5 p7 L' G7 K- H$ l% v # i8 }9 I* f3 k4 }
$ I/ E2 B1 l4 `7 V9 ~
2 \! [5 l5 b2 \! d9 B: `& `) V
+ F% C' o4 g6 l

9 P3 a% k% C0 n9 V# F 0 c( Z5 G/ A9 }- i& y m

; Z' C* A' Q9 U9 Z! d2 J. y

4 h3 b @- j' n# s+ n 填写错误标记开扫结果如下 1 P1 J5 h+ E& e

$ p+ M/ M* Y; |8 c: P! x1 B( I3 ~6 y
0 b& s& o w0 |- }0 e3 v. {, { ) ]4 S4 s# m2 P% s
3 _% M, _& D% m- e
1 S2 [: Z) B; r
* z5 F: E6 m0 d* d; B. |+ u) K8 L

" a0 D8 F0 o* Z9 P# A5 G - q& e4 u! _' ^% |

0 g2 q% F, A5 a& P0 l% o

) K2 w# b3 y1 ?$ |2 n6 o" c 下面我们进OA % Q" q) g2 b2 c( {

3 Z* \- J4 x. `
8 I& Z& u2 N! S ' ^1 e: p7 d+ o2 j, R
8 a2 `' N- a J1 i0 @) C/ C" _8 h
9 G8 z( h2 N# s0 {* {9 {( }% B& \. ?
) x2 H/ u' d/ ]/ G% P

0 J6 ^& V8 ~0 b% N . m! a2 P/ T1 J( A: I2 G

' o' R& T ~- i) ^: K" B/ |2 z, C K2 p

) F$ N+ |( M! u) y W+ f) R# @8 L 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 3 y6 t3 c) [0 b5 L. @$ }+ A

7 k! z/ x: j Q. V+ z
9 B8 a9 b& m- e . `7 T& |. n" x0 ?
& J0 s4 e6 T5 A/ k M
; z1 m h- b& ?3 f
4 C# q: N$ q- o( {1 m

# I. N& I) `$ f! l, p7 ^+ b8 C 2 g. x& |$ [2 K" a1 v# X+ g

) U1 X. F+ O6 C/ Z) y% T

. V8 O) c7 G5 e( i! [" g# D6 m : A9 [/ F l: R

& K& e" T; @$ h. j' w8 O. [

9 \, h8 K( U4 v) Q- x& U8 Q) O 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 - |* D) u5 e0 a8 |4 ?# T, v! Q

- R5 ]$ h% Y' _, F

2 a% m' }: O3 Y- A8 y 4 、利用tomcat 提权进服务器 0 ~* a4 z7 ] a: Z% V& l+ |: ^9 m, j

! e4 i# e8 [: E

2 t$ [0 D2 R8 w" F nessus 扫描目标ip 发现如图 ! m4 c6 V4 h2 D' j

: i$ S1 E! w# Y4 w+ X1 `' F+ { I
0 K/ o6 Q! C, C ; L5 z& m) x# c- }
( p/ y1 x7 l& Z, a
9 i( u( t8 h; S5 _) a3 u
. W3 e# [1 |8 G- }: P# N

- z7 i+ v: c0 f; Q8 S; }8 S ! E7 C4 h6 L5 ?9 l4 I& M

) E9 }/ _1 h( q0 g

2 a# t4 f6 y& q" b 登录如图: ' r: R Q+ i5 t- ?0 N$ Y

2 u5 z% j% P: _- f i4 e
]8 p* C# g8 |- \- O! L , N/ c+ ?' H) j, @
& c( }! y4 n& @" x
* @" w, K) n; P5 T+ q- M* e
" P5 i0 Q" O6 u$ b0 k

- A* a9 [ O9 X C% r6 F ; S- U% I: J, ?

7 {6 o1 g9 r3 C4 A) ]8 p* }+ F

; P( Y6 T3 x6 \% X* J: |( k' g 找个上传的地方上传如图: 3 X# e4 F; T, S) W4 p4 T

5 F% J6 m$ |# u' M- U
1 d) n( L- x# r' \ 5 ?) r+ ~8 v# s7 u; S! x
, n7 L0 Y* S6 O. U
6 s$ X. n1 a8 P- v
/ C- E6 K$ F6 g) [0 Y% a

! u) t3 G, d, w, b+ E+ M ' H5 t2 ^; S9 L6 w% E6 N8 S

4 ~+ [9 R1 M, `' W* v; ~+ @

* D) j3 @ {: `+ ~ 然后就是同样执行命令提权,过程不在写了 $ p$ i% h. h6 z: J1 u j( |! D/ v

& H% N) b4 r% x& Q2 l1 N

6 @3 s1 m4 T" \' J 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 3 D; S: ]4 `" Y3 |3 K# K! C' ~

& C, L S# c6 R: R5 R' e: V' K2 l

d! _ L! ^% R. b/ ^4 T- d1 X 首先测试ARP 嗅探如图 0 N1 P! I2 ^" a7 L" Y4 F8 D+ _7 @

( [: B% }* @$ p: K$ \' T; g& ?$ D# W
$ V& f6 r# |% k9 ~% Y4 _9 `% C: a 9 F# u' X6 E t3 R3 n
& k$ ?* Q7 g4 a. Q* Y- k6 o
+ z3 a# d1 v# D: P0 M# @
7 g1 U; w) S2 r1 x1 |

- o$ X2 v+ U" F$ y0 q8 ?. G s; p! G) n% _6 `5 c+ W* d

2 s6 g2 N0 Y& y1 O5 h5 j7 \2 P& H

" h. P, Q0 P9 U8 \% x8 H" ] 测试结果如下图: 3 ]1 X+ K- `( [1 P7 Z

0 r9 [% H" k" h9 p: Z2 G
# N- Y) s8 N/ D6 S" H' P. T 0 G0 v# |- J9 A6 m9 r, O7 w3 C6 g
( a$ m$ f# d4 v! i0 Q
; }" N* e! D; _' o
& |; W: Y2 M0 J8 L. v! ]

. U* \+ ?. J, j' a7 \" ]4 L X 8 Y: F$ t# D/ n! I5 X

' ~( x4 u. c, p8 ~% [

( O7 q- o3 U/ d! } 哈哈嗅探到的东西少是因为这个域下才有几台机器 # I* T# B; `: @1 M! f. J% h4 [

& @& _! G: A0 w c6 f$ m

5 y- I4 W; S3 \+ T 下面我们测试DNS欺骗,如图: - y) Q2 |' C" E9 k# }

; K7 V& l! S B; \7 U* q- x* S
* r+ ^* A6 F6 j! N, h # B/ `0 { B- I5 N5 h% l
8 \3 C( K, ?0 W- y
3 |& G$ z, z) a3 W
( I( f8 d( c z+ ^3 e6 x+ {' d

* w5 D/ n" N# {7 u5 ^+ n6 C! ]* D ! T8 C9 Z2 B: C2 c

' D7 b% c: _$ o# m4 V1 ]

, O' [- C( t% | e 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) |6 O% ~; e6 Z. v6 F

0 f" K7 X/ p" @; }* m
6 j/ e& r5 A' i1 W 1 [, W$ m/ e; h: d: Z Y. P* _/ g. u
+ \0 o U5 U4 d2 P
' S0 ^+ ]" @. ~7 g, z
/ ]) \$ v" `# U& y1 z: N

3 D; q6 B$ V9 R * I! s- c; \' S# h* p

- o% X/ p( z5 H* D6 u+ w

9 M, @; _, B9 D S6 f' @ (注:欺骗这个过程由于我之前录制了教程,截图教程了) ! d7 D1 x. i* Q' f

# \& ?* v! Q& A

7 }+ T* U' N* o2 M4 l6 U 6 、成功入侵交换机 ! X+ V# O/ z' h& T; A: o

) G8 s) \; ^. J+ l: d

6 g7 m/ Y7 {! `, | ? 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . u* A2 Z/ c3 p- L7 q! f/ }

0 r! |8 b; `% ~

8 V' k: X6 A- D 我们进服务器看看,插有福吧看着面熟吧 % b8 h4 X. M0 X o9 s

8 \* y1 P/ S: K$ q0 h
0 N- Q9 x/ c3 z ; }/ P! A- t4 W9 V- H- G; j
( q2 ?- Y5 a( d: |3 j( S0 y5 S
. ?1 m9 F' n# S' v- h; q5 A
8 I7 G0 i) d/ p

# Y# @: T, `: |1 o" }8 [+ N5 } 1 ^+ Y- j2 d: c/ Z% b) r

8 }3 M* {: u" |

" j; p( q$ k1 c" P2 l/ ^4 J. |5 [ 装了思科交换机管理系统,我们继续看,有两个 管理员 D# M$ B. ` o, r1 L; _9 `

, H0 K% d% Y4 {# M6 @
& w% V% s& r6 s# w3 S 1 O3 V- N# }- m% |2 Z1 e
9 r( Y$ Z6 S- A1 C
- g. N: `. E0 D8 O* P2 Y
% N5 n7 O) v8 F' @+ k) Q) d

! ?" W! a+ b, }" d$ v0 ?" J) \9 r 2 p W7 a/ k; X2 @. M* \

1 h* p; a! `/ Q" B1 g5 L

' s8 U, R s3 h3 d6 G3 \ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 $ s# m( f5 v" A1 x# p& g% V* F4 ^

4 t4 h. x T5 K& Z; `' b
6 q2 i2 l2 N( ?8 Y& U6 {% P! {1 P 0 A7 _! Y7 i' D; M" H1 ~# D
) @% K9 Z- z, `; @( L$ G2 c7 K! z
1 F8 `2 g2 D5 h% {( r' t
9 T) Z& n' t6 S4 D8 u

! l) `7 \7 P3 x. Q: B' o7 z( K9 c" S : u* b, J7 y& R M

! X" Z5 i$ x; w: U& x

1 k2 D# p- K9 ^- \( I- A 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: & x4 h, I# D9 t4 F2 [& n6 L* \

! e6 m2 C/ q4 `. C5 ?: t
$ j) V. {& u! f5 n1 v# u- M 8 G, D K* W) E" I' }8 E
, w, t+ W2 [2 u/ F2 c
, Q* Z! z2 g( L, N y$ E! B5 A8 n; W4 r) i
' m6 l2 u; C! p, c4 o$ t! n6 T1 g

& z0 D- {* h# }, }; U - A* M% @( H' e- I' J

$ Q: ]9 U9 Q) }& P# m3 M, Z9 C1 s

* P2 M) P; J' U2 Z3 G7 g# q config ,必须写好对应的communuity string 值,如图: 7 o8 S/ f. \! W7 z: n( K! \2 q

! v' U* [* q, x: T
/ |4 _) V, ?/ V6 c1 e2 T ( [) Q* l8 K! R( W
0 ?9 q3 {; `' [& l6 y
& |3 V- |' M/ X3 l( G7 U
0 m1 w' f8 q3 ?; c0 U

4 K) h I2 v; t% x 4 {4 t( L- R! k& h+ Q3 I: ?

5 H2 w5 h& Y3 B9 o

* A) T' \' W5 y( m& K 远程登录看看,如图: % j' @9 E1 c% }* _# O! [' S7 ~

2 a8 ^& E! p# Y. ^ i
- h t) j7 Z# H! ]- y$ `8 P) K 0 o9 D& G8 B7 i5 P: [# [
+ F4 z' B7 w. j- @4 Y X
8 B) a+ V( B; f$ u) c8 A6 V' Y2 _
* `: H8 n; ]9 U7 v# C

! H- s7 F; H) F7 E! [# T ; t5 Y# ^5 C/ f5 A

* ^ p1 S/ J8 ?) a: X

* E- w W/ x" r 直接进入特权模式,以此类推搞了将近70 台交换机如图: - h$ F6 |7 @5 j, Y9 E

6 m H j4 _7 h8 a7 A
7 G: O" b2 ^$ G. Y! w 4 M+ g' E) t% k8 `) ?) v
0 C" u6 W. l& J
% G8 N; A% ^' K% ]% B6 h9 R
* h2 C6 S/ J& z$ m) X, s( j

6 k* Q) s: W: z K# m4 X8 l . L6 n. v$ z( B! U

6 V; K( F/ g: A4 {9 S' p$ z" ^

3 Y# ^6 N- ^3 W% u2 m7 l* G ; I7 d t; c6 d) O i$ ]7 Q

" O- D7 {, y- j& w% X

2 |. H9 I8 e4 \/ Q: n' r 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** * P4 G# Z/ l: i! F/ Q

) P! c9 \* _! J, `- V' n
: a: k8 E7 a3 j9 `7 v3 r + w/ Y7 j+ s2 [" t; ^. A% N
# |# G2 _' L/ s2 x4 ~% @
; ]5 B- Q. \$ Z# k
( t3 j6 R6 y8 p% h7 ^( o3 n

, m8 U- l$ I- A% {7 b; J2 o+ G - s* g* f+ u5 h4 w

5 Z) g' [# x# J# D. `+ N

# l2 S, S# X7 ]% r 确实可以读取配置文件的。 9 C, v" c) k* s$ T2 V

8 N3 j, z: Z. H5 y

5 ^1 h, _- A1 {$ ` 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 1 G5 Y& w5 G. m) ?3 t

: f1 O# L: P/ B* i. {
/ \/ t8 F3 I( W: k5 C- \+ y % t/ G( S% c. N
# G) r5 z8 u, _$ Z5 p" O! Y( j0 L
8 h$ }7 W/ B7 k) l3 M0 A
% N' e1 u1 a# H% C( g0 g

3 k; U, J0 Z/ P1 X 6 E/ o) @2 K" A" B9 `- W

! }8 S) {3 ^) g. ^' a

% @5 F/ S9 n: q 8 y B; ~" ]3 L @

/ C2 g% y# n1 u6 i& _9 c; X% x

9 L/ G( d# a! O7 I 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 8 O) t/ }; x( [6 m2 q9 b6 z r

, m& D1 v, A l% A- a
1 W7 e! I4 P! ~. K 2 P6 E9 L; m9 @4 H% M
: S/ p* |1 O4 l u! Q7 c
; {6 I0 P8 J0 ?) S: Y0 x. }# N
, i6 @. X% G4 T8 D( {6 r

3 z" q% y! B% ? 1 h+ M% M6 v- X+ |: |

m* W1 T0 C7 \

9 W) x6 R" b/ |7 p! M 上图千兆交换机管理系统。 # e4 p0 y5 f3 y$ _5 }

. G: ~; ^ F2 D4 J- w

8 e# f4 o" ~) s" h' U- x 7 、入侵山石网关防火墙 / B/ ?8 B5 T% L# V, j% w% N" A

; y) S% Z2 K/ q+ H) t/ K" M

6 i! D& q0 ^) K 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: , w. Z/ S4 Z% m9 D

- V2 v9 v: x& Q) G3 P
$ d$ b& }6 ~) m9 n) T9 T- E # I0 {- W+ H# [$ u( l$ y
( V- n- V) J6 E6 k, Z
+ ?3 P: T4 i! f
* B3 s7 a: p( c; C( E

8 \/ t+ {; N. p/ ?4 z 6 ^) T1 Y$ h6 K

! s% o) Y D) E+ P- m9 i

( Q5 w1 J: r- ]3 m* v 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' s+ p1 T5 ^: V5 h

. _: u+ s/ S" R) M' L$ {
H& m- b. B0 F- H7 X8 O " f. b& \- a* \! u! V5 [, C
: m5 U+ x; t, \7 G' }( X
0 J1 r0 a& }3 Z% G2 u+ r
. v3 Y5 |! j5 l7 X8 e- s0 I9 l& m

8 R, G/ V# F/ m# ~2 p 1 Z2 K3 X3 p9 L* E

1 X1 K8 q) Y) z1 M8 Z( k4 p

6 R" Z) f3 u: g$ t* p0 E* a: [ 然后登陆网关如图:** % _8 m+ B! P9 w# a& |

, K2 [ o+ I. O! g8 @% e5 u
5 N. P" D3 Y( H g' L* U# ~9 c% Q- [& d
* N6 F0 k# s3 s6 a2 [4 [5 G( _
/ c- f* [/ j9 ]! Q8 K6 S& W" [/ i
; R: E! s1 m/ u* v( x1 i1 _- M

. j# {: {4 m& \/ f1 Z R7 ` ' E. y6 F- Y( m4 P. f

) V. j/ w; B4 O" Q8 V
6 X: s$ p: \: p' W 5 j, k2 x$ d7 I% Z
- c8 p( D- t4 g: W( e
5 `# r7 P+ g! O6 r8 w1 h
! ]. Z3 a9 X. B) N7 m

% Q6 \, M2 f B( | e 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 5 D' h" `7 Z, l+ m; K

+ W: o5 Q2 Z6 a+ w5 K, Q

& Y. [+ g' E% ]2 ] 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 : z+ t1 N# H8 d4 e+ F1 R& x

* I, d \# |" k" U' c. |

/ S7 U! {( r5 x 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** : [* c A" ]: { }$ U/ F1 j

" v6 s: v l1 u! w- f% e
* F6 q! O# z7 b! d: d( f : e1 _( K# o T' A
1 x9 D4 V0 ? d0 R3 `$ Z9 d8 N
9 m* o/ M }+ I# _) Y% a% g
" u4 S. |7 I( @8 T# e3 H

# u R8 `, s) u) ` " H& M( K; ~* g' ~0 c

0 a- L. V4 P& L9 h

: \$ z. q2 E/ h3 Q/ d5 i 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 N5 V2 l0 @2 I

7 v! ]2 d$ q W$ u

& V6 C# N+ W( ?6 F   , V. ?2 e6 [2 z4 h& y$ o

: e2 ~ Y! C c) b

6 A. [5 c: p, t! R7 N f
1 r! i2 h+ i7 B

! e) z$ c1 w2 a l2 |7 l: S7 t, f; ^: D+ }+ d+ [2 F( C
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表