找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 1759|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

% Q7 F |* Z0 Z% ]
6 L% o1 H3 o7 g' f! S M m4 I

, [& C+ B3 n5 Y) U1 U5 Y

* R) f: x- W7 L 1、弱口令扫描提权进服务器 3 x6 ~. C8 A. R: ?

7 b) _- w; @# ]& d# d

1 S7 [) Z, n# A8 U+ q1 g6 [ 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ) y+ Q/ M& W% g" g0 @

. B: k, u( ?# q, X2 ?2 b5 a& l8 {" Y
0 s4 i8 S, L4 ? - g1 W, [# r9 v# K: O6 }
" v- }! g! M' `% r* h- }7 G ' Z3 H. Z/ x6 R7 S0 ^7 Q
7 I+ x2 B% e; w6 o# V

7 j5 W f5 X) M$ W& B3 F/ p . {0 @" E8 N; q* v+ R {* W

; E( d h: K6 ~

0 Y" Q! f. w8 {: e; [8 C2 t5 d( { 3 |" F3 X# E; K/ p. ^! t

# K) |; w9 t8 \, O) `' O6 I

( g7 C1 v/ U1 s i* t$ _ ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 / e4 M& B9 B3 F) Q2 o$ R

" U. b, q1 ]) d; f4 [: C

6 f( N6 C9 T" Y8 ]" j5 r: ] 执行一下命令看看 4 @5 z" x4 ~- D6 A4 Z1 W

3 p- h+ f, C6 K

) G' f9 a8 a- J: }) f$ l1 E ) T6 H4 x, |$ x/ j% t+ I8 G+ g

( }) M3 a {6 b2 Q
r+ l/ |& p0 c* m - K1 n7 d) {* r, B
6 a7 Q) N& d8 N& U5 x6 b Q* K( ] M2 h' N# W6 z. U
) W( \" a/ r( e9 s! b3 G: [

3 T# u; W% [2 @+ H8 x q 开了3389 ,直接加账号进去 - ~5 c0 f( D r* f' K. i

; f, w/ s: n- ~% J4 X, A8 N, Y
' r' j2 h0 Q. P0 P ( i. B* \; x+ I' m {# u
0 R& ], D7 g- `+ d% e# F2 h + V! g3 E1 {. \- H7 C1 B
% a k1 C) X8 `% X9 R6 n. D: ]

k0 W: t5 a, a: H% i: Z : y! L. j& @& ^0 P

. |. u6 u" j/ o) b0 s$ M& p5 C2 L

# d3 z2 }2 C, {7 k) [1 B8 o4 |9 s 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 * g/ N. A) W ^4 k- V$ {& M4 H

: l* x- j; @1 x/ |. r; Z
( Q `8 X& Q2 Q* I3 L$ ?. X/ H 2 C3 G1 x% ?9 C: N: x6 z* j
( o* ]3 J& @5 N" H % [2 [/ A1 J) [
; G1 t2 c5 L$ {7 j

' ~) W+ n; x4 D u- C- [ 9 G" R' q+ `% m+ F- C$ Y5 w5 Q% O

) t( V" Q% x: c. s. Z1 h1 A

$ E+ P) T9 f) U$ E3 @ 直接加个后门, ( O; _, k0 a0 r. N

# Q& u- F9 `; b5 O

6 j2 K0 _, @$ B3 p1 n 2 R% D, [" r) ]0 }/ y

* g- @- e2 G% o: g+ _4 Y0 ]
, q6 @3 [" D* o( g+ z$ X) m/ Q * K9 [* T: n7 l. ~) W
1 n5 K1 Q# Z* h F8 F- }5 ] H; b% Q! l9 L
( F, p# u6 ^' B+ E( B& f

. J, x. U! T0 R7 Y4 |2 X 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ' \9 @$ ~# l1 I( D! C6 j5 R% p% x

. p" D9 `) a j u) L3 M) [

4 a- E- c/ n* E* [: R1 q2 H; l$ o 2 、域环境下渗透搞定域内全部机器 ) J! K6 O: i5 q+ \) h$ q

9 U3 V# z4 Q& f h0 b

) `( v" {8 o6 ^ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 2 {2 s- n2 L3 w; R

: |7 K7 z9 t) h9 X: ?$ F' q$ a
! C% T7 k2 p w3 L& K6 Z 9 P" z/ z, o, M6 l( u, ^
) h* |! h$ k- j4 ^' q) k $ }+ g) c$ L' S8 h! B+ \
. d' {+ ^" r9 E& b! A2 K

$ ]. x ~$ u: g( H2 w* Q 9 e3 n1 E% i! W; e, R2 R

' T; d' p, F1 x: L, M

! x+ K: R! c3 c, [% n5 G; { 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 7 U0 x& x' {4 a. R

5 G, w( h- `* g# E: X5 ?$ S3 a
, t+ v) V3 A- X% | Z" H- `! N & G9 @% }# K" p
e+ n/ o' X p$ d( _: W 1 C% B; d3 _ i5 N& w
2 m& Y C" p! u9 q- X

! J, D6 t- A+ W! r % ~" W6 T# f) {

E+ C* ~5 K. [% m

6 \$ z5 R+ T {; p# W4 K" V% D 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: # V( h4 T8 w7 w; ]

' A' C$ l: _; I& z
6 t. ]" g& ~ Z) t1 M ( e! v5 F( z1 N1 P O5 p
+ a8 f \2 b6 P! Z 1 ~ t: a6 g1 j5 e" V6 B+ [+ i* v6 c" j
' E7 ?8 C4 G* j

7 \7 a4 _/ E. T2 A- n " {. x8 \& J8 _* b& m( H# i

7 ?$ J o1 K( Q1 X2 V' l( |

: e4 E) Q4 C6 i4 V, S- o+ j4 n- Y 利用cluster 这个用户我们远程登录一下域服务器如图: - b; ^" a' {" u! b5 B9 S$ @+ q

+ I5 x7 D& N2 T/ ?, [
' q( c% Z( C% L: Q % `3 e0 g7 f- O$ G8 R
+ ?: x# x' w) |1 u# N# b; O * \" C2 K: I" y) k$ T) ?# L( e
! p# o% y* S2 b( A0 r* M: L

+ u/ q6 z6 S p4 q# O" a9 h7 H ( R2 Z3 S" z! x" n

) W6 b6 Q) R) N

2 p' |* T2 A$ V/ c/ A 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ; f9 d3 s( k9 l% S3 L& ~' Q

, r& E2 R( B) S( P/ e) ^
! B& P. L# W8 c 4 S5 j7 h7 L- e$ v% F
! ^' s, ~/ b, @# z- J % T1 @$ U4 Q* j! ~8 Z K+ d5 z0 P, D
# p* j$ R/ j( Z$ ~

% G2 S" J4 U! S s& H0 n : z5 Y- u F6 e

. H7 } D/ Z7 T, ^( ~; a: F; r

9 N8 D' W, c/ n' @. N# J; Z) o/ f 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: # e& A8 |" t5 w) e( O+ u) a* A+ i

- n, `4 g2 p3 O+ x* c

4 D+ p! [+ l t" u5 G& k; y$ L / z" Z; t4 ~1 A' L( H, W4 _

6 b8 a @$ G6 v' L, H& q

! F" ? f/ u) o* j! Q 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping - [. W( ~' q% ?8 P( D

7 B+ i8 f9 K- |. F/ n

+ \# N3 {* @4 [9 Q2 n* s/ ] blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ( b0 B1 N' I1 L. h4 M3 ?

* W: i' m N0 }+ I) \
% ~! o4 e" V$ n2 X; {7 u & o) S7 x8 ^3 _/ G* d4 K; s( B$ M
- u: S3 Q9 o9 ?* ^ / v1 X O5 B& L2 d/ n9 U
) r. G2 d* a( S3 ]

, q- X' o/ G7 j& _0 P: Z+ k2 ] g y' J- d, ?& K- }" W

' s/ I: Y6 G. d0 N/ E2 j# |4 k

( r7 G% Y6 g. v& r- H- m- z 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 % M. c& i) F5 c

/ Y& r, g6 A3 w' H: b9 @
' |1 w# K& `3 \ $ \; k! `2 A" y0 ` b
' N7 B* k, G- I, U- M+ j1 L % l/ r- N. s6 F
7 c+ E$ d6 Q* |* Z4 s3 H' ]/ M

7 _( w U* U r8 U9 e: I6 H% J ; c+ G o5 p ~

. z1 Q/ g; B4 M. @) z/ P5 |, c

$ m) q9 Y# k& h0 i 利用ms08067 成功溢出服务器,成功登录服务器 3 c# l$ Z' E7 }

% |+ {+ V1 H/ e
8 x+ n. J: v& ]4 u% ^ ) m0 W; Y4 l1 l$ ~/ [6 S* \
O0 a7 C5 d/ D8 e8 H ) n9 c7 [# N- T9 F4 D" I; P! X$ a
' ?2 s, } X8 n) m7 k

, D: f6 b1 T* n # i B/ G/ z) @. k5 c( W! n4 p, w

3 e2 F$ ^) W) O+ e% K9 _& q

1 R- ?# w0 L8 l. _, h) Y9 x 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen & C4 A' H" M1 ^" S: x* ]) K

! c) O$ E/ c) z1 w

; r% Y! r8 Y; O1 V3 Z 这样两个域我们就全部拿下了。 " C+ D- E+ ~7 c9 }) C

- a# |7 |2 q# P' f# r% I1 K* M0 W

. n1 w: q+ ~! _6 s T" |* Q: o/ z 3 、通过oa 系统入侵进服务器 3 N8 a8 l: Z l& C

+ W4 P) `( w6 c' z7 y0 q! m( f

+ ^( E/ r6 I" b6 g! q Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ) i+ `( y q$ J8 ~* V4 F

3 E0 A) p8 L% Y2 a# ~6 g
* f5 [. @' P, H* K W! d" U 9 ]' H! J/ o2 e% N' i
7 r8 G* c- P1 v# i7 B9 ] $ a3 Z: _! V5 F$ ?8 S
( S6 h8 [" a8 H4 x$ s, z6 ]

. `9 ]+ j0 Z; r9 T! I# L, O / [/ W3 [+ x* p! Y9 i. q

& k* l3 ]/ ~" W) s S

: M4 ?' |! G. N) F3 U& |: T3 b 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 * _7 v* p( J" D

. F- C1 l' Z; F' u+ T
4 o) Q8 C: r) u, Y/ ` 2 ]1 X5 [# k% o" c
2 l f4 t/ d$ D 3 n7 @" r2 L2 G" Z1 o
8 G- R- c4 ]/ Q1 g! x

$ {: t) e. U/ Q E5 T$ Q 0 f/ U& m9 B$ w5 X& P; H

4 u! F* f2 {5 c

4 c6 j: h r. M/ k 填写错误标记开扫结果如下 ; h' K* t( w! L# ~/ f

2 k2 m' {4 R0 t1 T3 U' _
7 |5 t' E6 F2 p& R' v - \" Q6 }3 o( f4 o4 U$ c
4 D$ B0 x" n) r! ^ : s5 ~. e$ j% u( L4 j( p1 X
/ h) { h: s9 b* a4 S1 y

; T6 |: l+ n, z0 V* J" o 4 c8 s. P4 X. {2 y' C

5 r: I0 K- k# u! |

( I" \* R8 H8 y" z) b( a0 p 下面我们进OA ! S7 w) V5 P; C0 t/ Y. |0 ]( H

) G6 j5 P/ E P% k* s$ X. V; k
4 N$ R6 G4 z( j; Z $ f9 E5 t, Q. W* g! K3 w+ a4 T% D/ D
- z9 _* ~! h3 I% K; j! I5 V 9 y# E# {( e# @6 r2 s1 J
9 @0 X# p4 U$ R- M; u

( d6 Y3 \ E; Y" a% R l % \& p3 b+ A* s1 C$ h

4 i K5 l* ]9 ^3 U5 i9 i

. n$ D8 V0 {; u* k' I: `, k 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 * q4 e2 h5 u3 i5 H: K

; h0 j% G) m/ l; E: H
8 r* u- x9 G5 s7 x 7 ]6 ?/ b! r8 Y+ T/ v% D5 H
5 f3 h, _% @9 p4 p1 X4 {! t( `- c , Q4 J# Y. j# e& ?- c- A
9 f3 E3 x* o3 P6 J9 l

4 _8 }+ ^/ v! e- d w + g" {0 @$ s2 X; J- w$ C: r

4 e# D* V: v% ?, E, h" h

9 y; c1 n+ R$ i" A6 Y. O) l . A$ j% k( T9 b

0 u6 y3 W; L0 N/ H0 ~

+ h9 W' t7 [2 ^( U 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 , Z& x2 c: r3 m

: G+ Z* e: g9 {

: H- t ^. |5 i/ O1 l; T 4 、利用tomcat 提权进服务器 4 ]# H5 G* F2 W3 o$ @" S" M# F

" V+ h; ~- I8 B( U Z7 d

- ~/ d' x$ D0 O9 |1 g8 {* |2 i nessus 扫描目标ip 发现如图 ; S6 O" e, ~# P! g2 I; s

- ]% ~( ^8 w% T% ~. @# e) v3 @
% `. z* s" i; i6 ^2 S + B' u2 A g) F
2 t: `6 C% o. T" b8 R0 V; u 2 V9 s5 s+ M( {8 z
" z* F/ `/ R* M9 f+ O+ ^8 N6 z

/ F* K# n: b+ n( r" C: k) S ! B/ E3 t9 v) e! C0 I, j/ a

1 P7 O6 R* Y q: u- b1 f

/ s5 }9 s* R6 Q# i3 w4 m3 F! r. W! v: \ 登录如图: 0 i+ j! @* {: [/ M7 u% F

* {9 S$ S0 s J- U. w
4 ]7 T! @) w+ g# ?2 ? 5 `0 B0 m. c: G: ]0 m, v/ o
1 e! {0 w9 {7 D. C 0 `8 o: ~, u. |2 u9 p' Z
; n, n7 M0 H( y9 G2 v N

" G& T+ w6 T7 b Q9 \* _* e' r0 K 4 I+ y% g( [+ W& n

: `* G0 K- E3 I0 I) h- i9 }

% ~6 P! R( h" @7 Z9 ] 找个上传的地方上传如图: 1 |4 l d! f6 C3 k

9 O* y" ?3 }0 J9 t1 ~
2 ]* h* s7 K. b- x/ N5 f# r" @ 0 b1 D3 {5 _5 Y2 }& A4 ^ C7 g
$ v( h$ i5 B! H3 g% n ! Y; F( o9 g+ W
# u; x' r0 |% w8 Q

* m* A/ z% B l% B% i* c ( Z9 Z- ~/ d0 S& I; }2 a' N

1 @9 w* ]/ j4 q5 L% c

" N/ R7 ?! ?- D9 e" h( F- q j, { 然后就是同样执行命令提权,过程不在写了 + }4 b6 I" T2 ?5 r3 o$ l

9 H* s/ O8 P% n: J# }' @ W

' S& T+ t# L1 ?' g* v% Q 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 ' Q6 {7 C/ s$ f* A: y

! E* P1 w: E" U( k1 q) l9 B$ r4 {) s

+ j% [! B% a. |! g/ O 首先测试ARP 嗅探如图 + ?! P5 H, [- Q/ `: j/ k

, `+ ]0 a" Y; y: X3 J0 I4 W! ~
% t# \+ f1 a- v% h* x 1 w: @. a1 D9 Z+ [, i6 N. S
2 f& t: C% {: l8 f( n 0 r3 v1 h% X9 N
1 ]5 C% p3 g! v3 v8 ^* j

( f. K+ g5 H3 a6 ]/ p& ~ 5 @& s6 L @: J4 C0 s- V- f+ P2 L

! D% q4 a4 l% u. u; i# x# s

; `% q: _1 z# R2 N. J6 U: C4 s 测试结果如下图: . l& q Y- N1 R

& }$ h6 {- i5 O1 G
! z8 G6 b* s/ \5 N: r& q * l N, Z7 @+ t# m9 O, |
; p6 n. h& y5 P# o $ g3 c5 ]' p) A3 q1 F
4 W6 A& a* {7 K1 {( p' c

4 B* @( n5 S% ]' i2 R. J% B. I0 e: R 1 |. s& O# H7 {, I; s! h

$ @* Q) e- o+ z+ k* C. q

0 L& g7 Y( e0 |) j7 i) t- W 哈哈嗅探到的东西少是因为这个域下才有几台机器 & Q& P3 N& O/ r2 h) ?9 v2 l2 R

4 ]- B( F' @6 i7 z+ c

1 s) U5 X: ?/ V5 x2 r0 t 下面我们测试DNS欺骗,如图: + q0 y8 b" i, E- c& w( k+ h

+ U0 L; Y U& H
, L$ ~3 j9 l+ p' f $ O; `! W q; @" }
7 n3 Z9 k$ u3 a8 M: K' q; w # y1 z- z5 j% ?1 R/ p" Z
! `: l' f& v; ]+ s& ~2 t$ m+ q0 Z' s

6 L h1 |9 n/ r; J: D) l - R: {: k l" g! E& l& T

5 F2 `" w7 B9 r: L. [/ a

. M" Q( j+ [2 k! [4 N/ q0 W: B 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: . w% X: e7 ^4 t# X) C; S7 N8 {0 b

$ V6 t, _0 K% n. Q2 A+ n
# y! ]$ a f1 o7 a% ^. o4 g . O1 O4 e0 }! h. a/ H* z8 ^, `
; l9 e6 `9 h2 p+ n , I' g. O' O) J
3 w! d, ]; B4 p$ n8 M

, v x+ _( d! s2 O. p; ` 5 R7 n+ q/ x/ A7 r

. C# M( s( N+ j6 h! O$ j: z6 S

$ q8 b$ G3 p! E (注:欺骗这个过程由于我之前录制了教程,截图教程了) 1 [9 q' B$ Z7 l4 l5 D

G% C6 Q8 M" ?$ q6 l

# ]' n* ?5 c8 f# ] 6 、成功入侵交换机 4 ^9 c$ s3 N" B

5 o+ q0 N- f8 @

& K% u( s9 }* T1 X& L 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 7 J4 P* w; ], B- ]2 M% b

0 ~+ x& E# n3 F

* [9 n/ q1 f$ G# K, Z+ I$ S 我们进服务器看看,插有福吧看着面熟吧 # g4 M( r2 E% t" B, h: A

) u+ u" `+ G' _
% D7 y, j2 M0 t! b3 I D; S) ] ' u) s) u6 X, U2 [: I- _1 V
4 _$ T% A6 b4 t# [4 v P3 x 1 b% R9 C# y7 M+ K O4 c! M
% \/ j+ P; g7 e$ M5 D; x% r' k

4 Q" [: N i" W6 Z3 S2 n 7 V0 @! j( |2 i/ v

. |8 F, [/ b$ p

7 i9 b: y# k7 g6 ~2 R9 { 装了思科交换机管理系统,我们继续看,有两个 管理员 & {7 o/ y& C% d% ]

. }2 i7 A+ J5 k, a: I& q. V
$ K& D) l* U, @ # b8 i- D0 y- o; z
T a' s9 {5 C0 a - i `4 D3 B% G6 W, m# H+ z
1 ?, m8 i( o3 `$ E- S8 l7 d, D

, M6 l- w8 R$ a# } ' M( i- \9 k1 Z* x% x

2 _, n1 R1 u+ w

: X1 b J8 C1 c. X& y, G: n, ~ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 2 k7 u7 D; h# Y' B) O; a

3 T8 Q; V, w/ u/ A& m$ e# g" i
# [. Z/ S3 @3 g7 k6 _8 V 6 N' W0 f) }; v1 T+ _* Z5 X+ Y: V
% Q1 ]7 `/ k9 Z 9 @: i8 H0 }9 _- Z8 s
0 J# D! {& Z2 Q) L" k

9 L+ C+ w( u B 2 a: f: g* v9 _" X$ r

6 T3 k* x2 A: k" q% t& B' {3 e

2 d6 t* z8 f2 | 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: : h- B( t* G, c6 M

. k& ~3 z8 N! w* ?/ {
2 _0 {1 j! x* c! Y 5 v% E1 h& L4 }9 g- r# L; M# ^
0 G3 m, R( Q' O9 @4 I) ?1 \& q + n+ g0 ~1 v, S( S
- I% p9 g$ K# L7 c" |& w# R" G y W" o

7 o8 x5 E9 y2 |+ Z9 X' K 1 S9 }5 |. m; u6 U# O( `

! U& B8 D9 I9 N& h

8 V; q# V, m2 ?; f config ,必须写好对应的communuity string 值,如图: : y0 z5 c9 `9 E2 S3 T+ R

; j- t: d/ v5 |. t3 R" k! ~
" I+ s9 g8 C1 ?; q+ X1 B 5 ?4 |) y, s$ O7 `- Y) A" J
# W- B. T6 J1 ] 4 U" Y/ g' J/ D( V) ~; s( n" b
$ G8 @/ ]( l5 y* N% Q

$ U( Q0 H8 E* `0 M % z' }+ e0 o: v$ K, x) t: M

- K; g" _( \) q8 A

* e! l7 a0 J% a* B; K. r 远程登录看看,如图: / H& @- c6 m% V$ R$ e6 ~

( {! d9 ]0 \ l! i& |7 v& e
% ?' W9 G1 T8 U+ u; E& ^5 _ $ A1 I9 K, |" a/ t8 |% v% H+ M# l
/ ?/ N7 X( ~1 p; k! t# {+ a 6 B9 i# z& f+ j& e
+ q8 F( @( ~/ u6 A' M

% @) F6 Y* X- H. @ @4 r$ u; b 9 S$ {+ C8 T% Q8 V" I/ C

7 w( n* m* B6 \! ? B2 [

0 Z1 k$ f; m2 k5 M: i0 z7 b4 O 直接进入特权模式,以此类推搞了将近70 台交换机如图: ( ] X1 x' u M! B+ C: D

5 V) N1 C3 r+ ~: _* T) [
7 ]$ F/ Z5 q6 c " l! r" c& p9 A+ l, `/ s% e O/ e4 d
5 [+ w! M9 {( f" q$ a) A # J! f6 q' i. j8 ~! r8 E
( n# L* u5 H! B- K7 O9 b

6 p n5 f, `! G7 E# U2 q7 D : @% n4 w" a- J7 Y, [4 J/ `$ H

/ k3 ^: Q! y* c2 ^

+ G% r x F- U& d) I ' h$ i& ^# d c/ h6 d! v

, G* P; |/ A& g7 A

4 Y0 l% x: b) |+ `4 q 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 4 x9 o& ~2 B+ _) R

4 O U: O# o5 a. M1 d+ T
) o8 X3 z! F5 Y3 \ - d5 F7 O1 [/ w$ q
4 z7 X0 Z2 l% k& S" T* D, Y2 k& F , e, O7 }: N/ m# x
8 ]( ~( N" {7 X

, `5 f, K1 R6 P" S, @1 S1 y - \. i3 D2 D+ B: r- S+ k

e/ l5 ?2 H; L! W8 K% O6 e

0 l- E L( O4 ? 确实可以读取配置文件的。 4 F1 b8 Z% a1 ?. i1 T: b8 Z9 c" j' T

) ^! M! ^' d" y0 E3 b

7 E. J# n" }+ o) ]2 ~ M 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 6 l0 t& x0 k3 i- s* s8 u1 d, ~

' F% X8 {1 { s) s" a E. F# s& d" P, Y
8 |3 }8 [4 x- ^. d. k& i$ ^ 8 ~: t* H( u& u' a) B/ k5 T
* S6 `- r% c6 {0 U, a. Z9 a5 j0 r ( d. X3 K4 i8 Z* z7 v% L
% X6 ]/ u* L. K8 `

3 S2 S9 t. F8 Z0 ]( r% d" T 8 ]5 d" A7 N' x! j( J2 L# z

9 s+ v4 t' Z/ u1 s- t

& ]6 o# M0 i& ~9 Y / `" ~% B! k- L q9 C

) s7 j9 q6 h( t7 i {8 K# V

/ ?( V0 B0 M, V7 L2 a& T# ? 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 5 ?+ B) u2 ^1 _2 k. s& v( \

; k0 p& S% C, d2 x0 d# p5 S9 k- ?5 _5 E
6 u% g8 f7 o0 E, [- N* A# U * b5 i9 J, e! [7 m% d, c
: o0 p! n9 U; ]/ w; e5 y% q6 H " e7 ^ r: z3 I" ]5 d" _' v- q# v
( [! ?( i% Z4 B2 b- `) s9 a) X# n; P

! a, T+ [$ f3 o: t; g 0 Z, T) @; ?% f$ P p0 E. r

5 A) s8 h; f, Q6 i. e" a

0 f) E1 Y" W/ i$ K4 L 上图千兆交换机管理系统。 2 X( u- K/ ^8 q" k

+ U1 K' c' X8 ?

7 r# h; m! m& U' ?3 `! E/ A3 B 7 、入侵山石网关防火墙 : I! d$ K, p% t+ j" F$ t

) b# L! ]& y+ R" D9 |

1 |' x$ b, k2 z# M 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 E5 x7 V; |/ K$ G

0 C) v- Y4 B5 K4 B0 z' \, a
9 F! c( o, s6 ]: P1 H 3 r p9 p7 D& Q d
- G9 ?1 ]# D+ S" l7 H+ o, }6 S2 p ; j- M% |& {4 E7 W2 N/ _+ p. c& e
: p3 ?- y6 |) h& r) Y( W( e. z: [

8 l3 x& x! a( z; P2 I) W- q ! O9 Y" D M; v# _# s5 b

9 C8 S* F; D* M9 r

- q9 h1 F* A9 j 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ' a6 g! H5 r8 e

' n+ O; p- k/ P& e* a
: f6 ?- W0 Z) f; S ! y! I: x4 n# x
3 P' P: U- ?* i% _# B% [4 m# J - O% p0 s" R& b3 z( S5 B7 l
3 l* m7 ^# U, x8 i+ g1 f9 I

) @) Y( G) H) U; h7 T) z9 N( G 8 }* q: n5 u- l# s2 A1 V

/ X$ f' ?$ d8 A+ V

9 N( V$ e* O. p0 } 然后登陆网关如图:** 3 Q* ]; E& q. z- S4 ?

! b v3 c- Z. M% Q# \# I S! V
$ c! S! y1 S: z / u/ H9 i& w9 q$ [9 O0 F
' M* ^4 v# ?6 E# L$ ^ 4 C4 r* }' b% t1 U8 M. B
: a+ J2 l- B4 b" ?; M/ E! t

8 B- y1 V0 d8 c- z; a8 C # r5 J( `/ P0 A5 V

, j- B: ^ F/ e- k$ R
* `! q" k* j1 ?% f" V * D) L0 `% M- A3 Y$ Y9 |6 O( {
& d% }! I! j7 ~7 L 1 g3 t2 y0 j0 U
' G/ x5 e& a6 ?

7 a7 F9 z- P8 G' U/ v 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 3 j8 z8 ^0 s ~5 K$ c5 t

6 ]$ H: [5 J4 P; ?- j, s5 z

6 \( A5 ]2 _) I& `2 A: a 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 , i5 ]4 d9 I, [

1 Q3 @. W9 q6 A% }% w/ w4 r8 C5 ^! F

4 L% T0 l' W: `8 J. B# b 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** + r. V7 r* U8 S1 J

) W( n/ w; V8 u5 D
+ s! @" l. D* P% M. r h- N, o9 f- s$ q7 e+ t' D* t
- p1 n2 ~/ ]8 w9 ^$ E# F3 P0 w. ?! v - n0 z2 Z: w" K5 I! h3 U
4 [) {; x6 e' n. B

: P3 B2 V2 H$ P9 ]5 Z+ n' `3 W. |& o5 n 6 {; S% G1 `# ^ `

2 C7 z2 C2 u" i# t* Y

0 S: O8 F5 ?2 a) n1 M3 @" P 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ' f; K. k6 Y9 S' `8 T

+ y C8 S3 Q3 V A1 e

% M+ ^+ k0 i6 @! Q& X7 x- o6 t5 t3 z   9 O1 A& j5 Z# t9 Q8 e2 `+ A) B0 m

4 L) K& _8 A* _

2 r2 X) P/ q; ^ b: q3 q
S- F1 d1 G5 o+ i' z

6 T1 S) u4 o8 p& O! U* s# w & M, _9 f2 O8 W- A
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表