渗透测试某大型集团企业内网

admin · 发表于 2018-10-20 20:19:10

7 ?+ T' ^0 l; `+ c! Y
& G- ^/ j4 G3 {* j& r5 P$ K

" m1 X5 ~9 v, A$ E" A$ \8 u 1、弱口令扫描提权进服务器 6 ^( [3 c1 t, ?! Y

4 h/ K1 Y: R$ }& e) R 首先ipconfig自己的ip为10.10.12.**，得知要扫描的网段为10.10.0.1-10.10.19.555，楼层总共为19层，所以为19，扫描结果如下: # a9 s* p# U C% y( g a. k

$ d5 j" t, {% v# q1 }) E A 4 s* A: q. t7 ~

0 B2 F7 `3 W B ; V; u4 i7 W; j3 m$ M) ?5 b

1 B$ \7 ]* z G& ~6 K0 Q ipc 弱口令的就不截登录图了，我们看mssql 弱口令，先看10.10.9.1 ，sa 密码为空我们执行 ; \) @% A4 I% t; h5 ?: a2 A! F/ p7 ?

. D5 u1 R/ E& d6 v) C! b 执行一下命令看看 0 T$ O, L# z0 }' t! h

2 |; y$ Z+ y" X1 s+ w 5 K& [/ s; V. R0 H/ t% A

9 v6 F- N% _+ |. R2 n 开了3389 ，直接加账号进去 9 }) Z* a6 _( `# u: j4 Q

- ?. w* g2 l- l( a # [$ a7 C! z N3 Z. O" _

) J% a0 |- j: d! b! Q1 S 一看就知道是财务系统的服务器，我们千万不能搞破坏呀，看看另一台如图 2 h/ L7 x) b, A3 t l

S; M9 a: t& N9 T" s' ~, A 1 ?/ @3 y7 i: l

8 `& z3 ` m- O, K4 W 直接加个后门， : i1 h& ]/ l0 z

: X/ _& c) `8 \" l4 { ! v5 ^$ [: X# {# O9 W. c

% z6 N ^$ Z' M1 q6 { 有管理员进去了，我就不登录了，以此类推拿下好几台服务器。 9 X; N2 v! n h( l8 }" ^8 |

: ?# c! ~ O* x0 a/ ^- h: t* a 2 、域环境下渗透搞定域内全部机器 + r6 \: b; z% ~; q* ]

1 ^% l% L5 h. C1 X 经测试10.10.1.1-10.10.1.255 网段有域，根据扫描到的服务器账号密码登录一下，执行ipconfig /all 得知 ; l0 L4 C* a7 c9 x7 K

! `, h9 D V- W6 Q# R & u( e# u" j+ M# H% x) j: J

. p. S" J9 `2 N 当前域为fsll.com ，ping 一下fsll.com 得知域服务器iP 为10.10.1.36 ，执行命令net user /domain 如图 1 P: R+ @! j0 Z3 \. t6 `( T

, {. i/ M; r* r' G. e S! q. A, d; y: I* A

3 [5 ^. {, i3 g- P6 v$ ~6 @ 我们需要拿下域服务器，我们的思路是抓hash ，因为嗅探的话管理员很少登陆所以时间上来不及，那好吧，执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe，这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器，如图： 0 R" [: C" A9 P3 |9 n2 U- h

. G* F2 k0 }" t" b# r . _& p% D6 h& d% Z! h# I5 }, |% G

& h9 t2 C5 F1 p6 _6 i7 d9 F 利用cluster 这个用户我们远程登录一下域服务器如图： ! p8 v! c, u) Y5 V9 H

4 o# h5 f& W4 S+ ~& G " |# z: H+ {/ s

+ y: m2 v# W: K& L 尽管我们抓的不是administrator 的密码，但是仍然可以远程登录，通过本地抓取域服务器我们得到了administrator 的密码如图： 4 W+ t% I9 F9 Y% R( F6 f6 i* T

* ^3 H- y y( g/ v# S ) _ H2 I! Z, n8 ?" k

* G/ L* e1 [# ] 得知域服务器管 理员密码和用户名同名，早知道就不用这么麻烦抓hash 了，那么我们获得域服务器，那又该如何获得域下的服务器呢，大家看我的思路如图： E! Z1 d+ L7 k) e% d0 h* g0 H" Q

: |0 _9 h0 r# ]6 E * M- \6 y* G5 O! U* |/ O

F M% R: o7 P8 a$ W: q0 L 域下有好几台服务器，我们可以ping 一下ip ，这里只ping 一台，ping , Q% w8 O, C0 \1 p/ }+ }% s

$ s8 O3 p% W. X blade9得知iP 为10.10.1.22 ，然后我们右键管理添加账户密码这样就可以远程登录了，以此类推，就可以拿下域下的所有机器。。如图： % v( F. ~5 c8 M

4 J) \; N; w! b( Q& Q) K' g; i 2 H9 l$ {, h3 M$ y7 p" U+ i

K" P/ C3 O. F0 I& a) [) u 经过的提前扫描，服务器主要集中到10.10.1.1-10.10.1.254 这个段，加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X 段，经扫描10.13.50.101 开了3389 ，我用nessus 扫描如下图 ! T' T/ u2 v3 y

" ^% O4 b( [* \' u2 e) R" M7 N $ @4 V$ t6 a( k; T( S7 F+ {( l4 h

: V/ V9 [1 T7 U, c$ e& A6 J 利用ms08067 成功溢出服务器，成功登录服务器 9 I7 h! }3 m: ]0 K2 q- q

2 Y( `. C% Y& u R 3 [7 A- I) T7 k3 X# b

* y) P& R x% R8 a 我插管理员在线，貌似也是有域的，这就是域服务器，而且域下没有别的机器，我们经抓hash 得知administrator 密码为zydlasen r* y/ v% R ^4 ] T6 G: O

3 m6 S1 W" s' T2 i$ n! k 这样两个域我们就全部拿下了。 / Z4 w2 o9 o( n, N' d/ Z( V% s

* c9 T' M4 L& F2 i) E3 `' N 3 、通过oa 系统入侵进服务器 1 X! t# `) {6 o n# {

) I X, K" H& ]% @# M3 J Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 i- k# Q9 p o$ q1 z, [

9 h- q3 O! M3 Z; Y 9 v: o2 V1 i) r% F

2 L/ ?" D9 F. D' D! ?* v5 O p: ^ 没有验证码，我插，试了好多弱口令都不行，没办法想到了溯雪，所以就开溯雪配置好如图 & P. p' z y7 Q( G$ E

5 }9 `- w( k! Q. A! O + K) H0 j" a: g, q- z+ I% h+ ]

( W# l8 |1 c' a9 s' z8 z 填写错误标记开扫结果如下 ( u! `+ L3 T* B7 K# Y

[- E% ]9 t4 }" x0 K* _ + o5 K3 ~5 X1 o4 M

; r3 K6 Y8 i0 G: a/ K; h+ s 下面我们进OA 2 Q! Q$ Y! m, l5 y

3 N$ N1 ^) V8 G & H& r0 h4 ^+ z3 T

$ K( G; N& S- l u% U a( K 我们想办法拿webshell ，在一处上传地方上传jsp 马如图 . S. z6 M% Z0 ~4 z, T/ V6 t

0 Y0 q- w- B' K3 F7 }# P / ]6 c. N* N z. _+ @+ P

$ i- H1 G; S) N9 V / Z' S: v% E, e% C8 d- O2 h

% u8 _3 E% b7 |6 \1 [ 利用jsp 的大马同样提权ok ，哈哈其实这台服务器之前已经拿好了 0 \6 W: A, j# O7 M7 `

1 T; S! n D, `9 R) Q* R1 x 4 、利用tomcat 提权进服务器 - q+ B( O4 V: i1 r! r( b' E

0 H, V$ C3 d- R 用nessus 扫描目标ip 发现如图 0 |; H, q7 E( g( s

8 p! K* M% Y0 `9 s0 e " X! B5 o& @% c% y9 q

4 q6 K0 I6 h) | S7 p 登录如图： ; o8 J9 r0 C r1 E" ?, P& l2 M4 {

1 i: Q6 W2 I5 _% R4 k# l: Q" c * Q& d3 z0 ~& X" F7 w" u7 S

- ~* ^' Q! I. o) l 找个上传的地方上传如图： 4 w, p( s$ d# r m

" F9 `- C2 o' N: D 9 \' H/ H$ B/ I5 K" ]( J

: v) U' \7 e; a" }# S7 R 然后就是同样执行命令提权，过程不在写了 - P# Z/ E' ~+ W# Y2 M5 T

4 e: L8 I( G! K 5 、利用cain 对局域网进行ARP 嗅探和DNS 欺骗 . ~ d/ d9 ^$ `* Q5 Q2 N

. I% {* Q3 ^/ F+ t. o8 D 首先测试ARP 嗅探如图 - L- E) g0 U! ~2 z

" O) l) i3 s4 f: h. ] - P, z9 M$ ^5 J

" i/ e: m* j! }6 k0 _ 测试结果如下图： D( T2 F; T5 R

2 D( F# l" v3 [& U" a$ R k & S1 H0 T/ S' W1 P7 U2 S

% g, ?+ z( R' W" w0 ~; l# U% J r 哈哈嗅探到的东西少是因为这个域下才有几台机器 # P7 [6 `; H& m C

7 O# C$ R+ b9 m1 Z6 H 下面我们测试DNS欺骗，如图： ) L+ n$ u0 s9 `: B

5 Q1 o4 O6 M: @ + X1 n! G( v/ ]; D

' m: @/ j2 B5 S9 K& g6 M/ A 10.10.12.188 是我本地搭建了小旋风了，我们看看结果： 9 ?- C: H- |# I( F V& V Z

5 r0 A* m# ?0 y9 j4 L& J 5 }# I. C4 A* X" W) }( M% B

) b% ]: e/ T. \. I" L1 K% z, ^ （注：欺骗这个过程由于我之前录制了教程，截图教程了） {7 V4 E" A: h" ]

) `. e. [0 A b& w7 U% y; R. V 6 、成功入侵交换机 ' x* O! j) u, A. |& P* x5 Y

# i9 R& [% g5 p( p4 K0 x9 c- K+ M 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ，经过nessus 扫描也没发现明显可利用的漏洞，后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插，感觉测评我们公司的运气是杠杠的，不过也从侧面知道安全是做的何等的烂呀 9 [0 U7 [4 _* J* @# K

d, U, Y6 i A7 B$ B4 k9 K 我们进服务器看看，插有福吧看着面熟吧 " T; u6 s" B5 l6 P9 c5 K" m

- p) Z( J9 x- C! q) b # z9 {/ u. b" j1 I4 U+ R% X! F% O0 {" K1 z

$ Y8 V1 S; }$ y' E( \+ e 装了思科交换机管理系统，我们继续看，有两个 管理员 4 a j# M7 f4 \' n

Z% z; X# {5 [3 k0 S; j 7 M" s6 z7 F1 `, u% Z* @+ q

8 K( j/ h% q2 @ 这程序功能老强大了，可以直接配置个管理员登陆N 多交换机，经过翻看，直接得出几台交换机的特权密码如图 # ]1 l2 \/ g* x/ w' H

J! C1 H# Q- c# A + B9 U: q5 r% F3 m, v; W$ T

$ e R; c% ~6 p" _( z( S+ v& c, p 172.16.4.1,172.16.20.1 密码分别为：@lasenjjz ，@lasenjjz ，好几个特权密码这里就不一一列举了，下面利用另一种方法读配置文件，利用communuity string 读取，得知已知的值为lasenjtw *，下面我们利用IP Network Browser 读取配置文件如图： 3 l7 @# P/ o) L

# W8 q/ S3 S; h v' h* `' _, h: V( s 9 m+ }& n+ ^# W4 z

7 D% W: ?$ i4 d 点config ，必须写好对应的communuity string 值，如图： ! V* S7 p- \3 I+ a9 ]) D

0 ^: \) Y" x! l3 Q1 f 0 ~$ M, J" h$ h

' S, a9 E- y& n* J" p7 D7 q2 C6 f- Y 远程登录看看，如图： - e6 v1 S9 \. J' B3 f

& I' R( Y7 H! r& n& J0 X0 R ~8 b. N: p! `) Z2 R9 X. P& G {

- B, C( q% a8 n* o5 x; i' i( u 直接进入特权模式，以此类推搞了将近70 台交换机如图： * n: e7 s) _- l6 e% {5 `

. Y- ^. R7 J; @) F9 J' i: z ] + j4 h% i1 W7 Y* c% c ^

) u. f) E( p! p F* X/ w$ Q - m9 D4 q2 _& Z# J' V0 i1 g) y

( ]# R1 o, a( n4 H; M3 P3 F/ X' j 总结交换机的渗透这块，主要是拿到了cisco 交换机的管理系统直接查看特权密码和直接用communuity string 读取配置文件查看交换机用户密码和特权密码，如果没拿到思科交换机管理系统的话就只能靠nessus 扫描了，只要是public 权限就能读取配置文件了，之前扫描到一个nessus 的结果为public ，这里上一张图，** + M8 F4 y9 i1 X$ [8 V5 C

6 h& ^" U0 U4 Q. \9 z% g) [ + ~& n4 q( D @: S8 ?3 w3 g6 r

! Q+ F7 x8 N( P/ y 确实可以读取配置文件的。 , t1 ~: M6 Z: ?1 i, `0 R

/ a! q* q" S2 b 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ) {2 N& i/ b! C1 U6 J

+ e6 ~4 ]6 z% I) @! w/ c ) t7 @) ~: [& d( h! z' F/ N5 h

# V7 ?" b6 A8 s$ I# U0 O 3 G/ h6 _/ Z6 m) G6 P* h: e

X! h6 O. A+ o! q3 ^* \/ d: q 直接用UID 是USERID ，默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了，可以远程管理所有的3389 。 - ^. Z( G+ O5 a* S& B. V7 L& _

3 U: l( D- L7 U W) c 2 b' A+ l. [# \0 u+ q

' `! j* p% e1 } 上图千兆交换机管理系统。 ' ?6 J* W: {+ D

& F+ y/ G( G9 ?5 l 7 、入侵山石网关防火墙 - q) S4 J* L3 Y" O6 Y

5 |5 i. c/ a+ b- _' C( P 对某公司网关进行渗透测试。。。具体详情如下： 思路是通过社工来搞定网关，所以就想办法收集内网管理员的信息，经测试发现域服务器的域用户比较多，所以就给服务器安装了 cain 进行本地 hash 的读取，读取信息如图： 2 ^& a0 X/ a7 U! L3 F0 O+ r

' h# f1 w! Q9 `9 g) v$ R* V: a, w- L: O 8 p' ~& G$ C _4 A$ j

7 i; E. T/ r' s, [+ m 网关是山石网关，在不知道具体有哪些用户名（默认有个 hillstone 无法删除，属于内置用户）的情况下只能根据最有可能的账号结合抓到的密码一个一个测试，最终还是没成功，后来想到叫人写个程序暴力破解，但是发现错误三次，就会锁定 IP2 分钟，所以效果不是很好，登陆域服务器发现桌面有个屏幕录像专家，打开看个教程，发现服务器登陆过网关，里面有 id 地址记录，地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图： $ A! ^5 G! g, n6 j; T" t

) H4 E# Z |1 Z2 ~. \ , s N# }* M' H" k7 U

& m$ P' T7 _( B& F6 V 然后登陆网关如图：** 0 ^' C$ @4 B% f+ B

+ d a: t3 L! T8 v3 t5 p7 J/ y ' v, v2 p4 j) P) I' h/ P

# P& ^" k8 G: H) O8 |7 i" Y 经过半天的努力，防火墙网关我进来了，我渗透进一台域服务器，进去抓了域所有用户的密码一个个去试网关，都没成功，忽然发现桌面上安装了屏幕录制专家，我就打开看了，发现有个录像里**ie家里里172.16.251.254，这不就是网关的地址么，所以我就用administrator登陆了域服务器，然后打开网关地址，妈呀网关的账号直接就在记录里，可惜没有密码，哈哈不过这也不错，真心比乱搞强多了，然后忽然想到用IE密码记录器查看密码，于是乎下载了一个工具查看密码，这样网关就搞定了，彩笔的是原来这个早已经被我搞出来了，是交换机的特权密码，73台的密码我也不可能一个个的试吧，本来想写个程序，结果打电话给山石人家说密码错误三次直接封IP好吧，有时候有些东西真的是需要耐心的，当然也需要一定的智慧，当然也有一定的运气成分在里面，就这样网关就被拿到了，之前用nessus扫没扫到漏洞，至此大型局域网渗透就完结，哈哈，大牛不要笑话哦！** 9 ^' z' M2 j0 ~+ k+ ]; `0 p

! H, N% v$ q% v3 p2 A. ` 总结：本渗透测试过程没有什么高的技术含量，全靠运气和细心的发现才得以有此过程，整个渗透测试过程全部录制为视频教程。。。由于时间仓促，所以渗透就到此为止，在工作组下的个人PC还没有拿下，严格的说这个渗透是不完美的，本来还想再做交换机端口镜像的教程，但是考虑到网络的稳定性这里就不搞测试了，还请大家海涵。。谢谢观赏。。鄙人QQ：635833，欢迎进行技术交流。 + J, v, X/ _# l0 ~2 G

6 I2 Y4 h) L9 j. G 补充：最近公司换领导，本来想搞搞端口镜像，嗅探和dns**欺骗，但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图：** - M" `, f1 w4 f6 F

+ [4 u4 S( ] u7 v* \* @/ G/ N 6 n8 K: s) {( u

8 k' [( p# T% f 注：已经给公司提交渗透测试报告，并已修复漏洞，为了尽量不影响文章的观赏性，故不再打码处理。。。 : z6 s% ]' U0 B0 |9 R5 a _

3 C+ [$ I# ~/ Z + \5 }% q8 a2 T k% u4 S

9 ~. F |' x- \8 L$ Z
5 t' |$ G( `8 B9 X4 c4 U

		自动登录	找回密码
密码			立即注册

渗透测试某大型集团企业内网

浏览过的版块