找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2043|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

6 Y) h E$ p/ w( j2 g9 q
0 b% \. h1 X; x, T8 G! V2 \ I- I

$ Y1 m, ^# f/ C/ r7 V% H5 l) d

; i" d: u6 v* @! F/ J5 L/ H5 A$ a 1、弱口令扫描提权进服务器 7 i0 i3 c5 a9 P3 Z9 {- c- @

! R8 D2 D. I2 h8 K. z

8 ^0 v7 y6 A6 X, b& J% ]8 r+ O 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ( ]6 U5 H' ?2 f/ l5 j, R

+ D" e) A+ R9 n
9 p' N5 s: L% _) ?, d, q 8 O& ]8 x; r( g5 V
2 G: m0 t% U) K" X: Y# C+ \% ^6 u ( j( h# x. `7 w* O
# j1 d1 p5 m9 j& C* D9 ~5 ^* M

4 A# d" U3 G- ^0 P- @$ T ( Z2 V" q4 s @) k) \8 G

" E& }; [& `& u% P+ w

6 m) G& @, }- x; Y ' n, }/ s$ V" q& [2 Z# u6 Y

7 o5 b" X7 b5 b0 q

* {, _3 ]+ n- \1 E7 F ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 0 k4 \7 C/ O- t8 j/ J! _" a( a

( X. U* ^! P! q. {! _2 m; x

, P5 y/ I" Z* R$ |8 M. K 执行一下命令看看 3 n5 s% g+ |! i" R$ ], y& ~9 G

. s8 N0 M. b @3 r, s3 U

, e+ l4 \6 U% N2 e 0 ?( w# ?% Q1 K, a' k! f; {* Z

* p* L! g0 |$ `
3 s% L- O" W6 b( y4 |- M5 d+ V ; W5 x. {! J( ]6 `% Q0 h) h
) `5 }0 `0 B) y; j5 j - n' c& i- s7 @; Z5 x
3 a* I$ E" s5 r: W. S" j h" T/ T

2 q N; ]2 o: z' V 开了3389 ,直接加账号进去 % g) E# A9 A5 \5 M U' o Y

7 o+ |7 Y. P- J3 b; C3 [+ T: l
7 }. D4 B& [0 k9 c ; C" s2 Z' A; M1 I. B
; Q# y+ h& Z1 j' F4 ]. |: H : R, v, [2 K. d$ y: t
2 f" L+ O5 Z' I( i

: b2 a. w6 M8 R% B. ~7 |+ a" G3 i: O% l, h - d$ d- v8 W1 q! `* P3 S, h1 s

K; B8 U( ~- H; c7 F

3 @( N4 g$ C9 V/ x' s% Z 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( n1 M/ b3 ?0 ]0 F

8 V0 t2 _$ r/ J* {0 u
* r" u/ D: d. \; S/ |' Q 8 D9 s; X) L$ D! g, T& ]) j
8 N8 l0 z+ |, t7 |! H V9 f 0 R# m& M4 q" a
: Y* g5 w/ J9 y1 S4 G4 g B

, P7 K0 z1 ^) n5 J& ^- c 0 e' t8 Y4 k2 [! K9 r

+ \/ k) V J5 M( o3 p

( ]8 u0 f* v& l; K 直接加个后门, 9 Q' R2 V3 Z; q/ }. C! v

- _8 u; }3 \* h$ w7 [

8 K1 u4 ^. k) O& H. k6 P: X% u" z 4 Q9 P' j$ C2 {+ c9 N

6 e6 h+ C8 @) o- [3 j7 i" e
" j2 i( Q1 w ], j; K 6 h" o, I( A* c% c
' ~; d+ S- y( X) {! @$ Q * a T0 e, |7 o* D6 k
. ^5 t. U1 I ?( b1 u) }

8 q+ V3 z6 _; ^( v3 |: s; e 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 " y- q; y- R! e; N, ^; y0 ]9 o

' g) S {( ?) g0 G5 i: Z

/ P+ V2 y9 f n* x+ c6 @ 2 、域环境下渗透搞定域内全部机器 2 ?3 c0 ^. }4 b7 k1 R) t9 J' t! E& I

' D& o! R, O& Z+ c. p, N, @

8 q: Z1 @2 @/ ]+ D5 G+ Z 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 1 k& y/ o' o, h! {+ A; ^

. m; y0 K+ B2 r3 G/ U; I
- l) T& M2 c% P3 T ( c# p2 @% m0 x# `
2 O2 I( c: i# g- \ ' U- Y: Q# `1 [- o$ r
# M3 T% Y# M: n* K1 i5 S. ]

3 M/ N% O" ]; w* t8 Z _2 T1 J6 N+ N8 @2 w+ V

. C+ L# ?) ~( O* f2 v( E/ q

, S9 ?! U8 x% t. M! K 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 : i' u2 v+ [4 j; }; w: S

5 T4 N3 Q1 T2 s3 j) Z) _4 _$ W
; ^& [( S( ?) q: T 1 C* y1 i! u& A
5 n+ m' x E1 a) f4 k7 Q 0 B/ ]' A6 i* E2 h& j% q( Y
, q4 x; m9 E2 H5 u

0 ^% T) ?( f6 A% u( v+ @ ( H/ r0 X/ n" t! R+ n5 q; @

! E4 n& O: k* ]. V

6 P" [) E2 {, C( z 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: & J7 v6 l t. u6 O* \

: W- _8 f. P( j5 I
; G' s' m+ W. G) f f* @* T! S( d- v, `8 G
" |2 K2 b- E' D4 ]' L0 v R" Z; |3 \9 _8 @; ~) H
- l6 n4 d, E1 v5 W' w0 L

4 x# P/ z0 ~. Y9 X9 r 5 V' i$ l B) M+ d

6 S( J5 |& Z. P. [- _' ?3 f

0 H$ D1 X* o$ t$ ] 利用cluster 这个用户我们远程登录一下域服务器如图: ; l/ X) \) q6 i. b v

g1 s# w* r/ ?. x5 u' D6 }: g: R
6 Y& G9 ?$ y, X1 s# K0 l! e 0 e# Y) o" E* p- n2 K$ N
$ M, y* d6 K4 H* ~2 I1 b % m9 ^) K+ ?' l1 F, P* Y2 P
& H1 J; O+ R4 W) h

]0 x& H( L6 a ) y( k1 f. l* ]2 z' H; |" Z

9 E2 [4 i+ l8 f' M. _: \

3 J! p0 u8 D$ w. V+ G 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 4 U7 r) P8 G, `7 Z& E& T0 ^; Y

1 E" R ^' y& h0 r D3 V. Z$ l
0 @% F4 g* h, D ' |2 r) D% D5 }4 _, ?4 {/ z" {" {
4 C+ u% F. t- j) r5 T ( t+ R) \8 E( z- I. M+ C, u6 g1 p
/ b6 q! F- f) m' i# L# c

) _. v6 t; ]7 Q& o4 D! k7 M+ n 3 x3 p# Z& n! `) [6 c

7 l% Z' @' R* l. B8 }

+ o8 ~; w! }0 ~. n 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 0 B! j8 m9 X9 h1 b2 a

# `- ]$ `8 ?$ l: y- o, d

+ S4 `; H% V2 K% Q2 c. J ( _# k8 U- a4 x Y+ h# P! C' E

0 @& c1 {% i" [) ?7 V7 f; [. ]/ E

r: h- e! `" ^3 G- i, y l3 G* A 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping Z' K, }3 I0 ~% E) K5 O

( k% X1 |6 U4 z2 C+ L1 G

0 e7 j) H4 o) ~+ W9 O blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ) y6 [: t$ n9 u( A% m" h# n4 E

' @3 Q: r( k) v4 v( {* w( [
% S- i" I' a: J+ h, ]& r ! g/ I( S0 g& l; W. e% Q
: L. G" F7 ^1 ]/ j6 n$ ]( Z 8 j: k" t9 S% Q5 _$ K
' L' d. q1 Q. ]$ ~; J

]3 h! L/ I% l' V5 \5 f . x5 X. q: [4 _6 H7 \

' Q3 \; h* I, A5 ?

, c7 U+ m3 i9 J$ o1 h 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 8 z9 O$ {' }0 z9 E

, G. v4 R% \4 H
' m( c5 P9 H8 A& u ; G+ h$ h7 K8 K2 N! \8 E4 r
# X: B! Y3 h% K8 H0 u / e0 _' S2 U. c8 b; Q2 _6 X
7 J6 i* ^" w3 P) {

/ c3 k& `! d& d1 o- g 4 l1 [' S* a5 F+ u+ l

& c F& J7 D6 o2 A3 g

* p3 Z. ?: M7 g H, c0 O" K 利用ms08067 成功溢出服务器,成功登录服务器 : V* h/ P2 R/ ]

! D/ `. `( n7 U
9 [9 G/ F- I! f# w7 a9 U2 [( R 5 a+ \1 T# P; o/ g8 l/ d
8 n) ?% |5 l/ _ $ j: d% a2 p! v
) T6 w) S* u/ H

8 k6 {0 |# i: Y8 k. }$ @ : [ {! z/ o' ] s i/ p: l7 Y

, }3 j2 M2 p" K* n0 V! y/ H- _9 D- j

: v7 Q- V3 U) V4 v* r3 L" D 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ) D* r* e/ O( {8 e% y

9 {3 \+ z& d$ k

0 C" @ L( d; ]8 a 这样两个域我们就全部拿下了。 * D# w( o) E+ l

( T: ^" i$ V1 k" c

2 G* m! z/ a! K0 N% G* n; \ q 3 、通过oa 系统入侵进服务器 / I/ Z* h6 \( K4 }, Q9 `

* z" ~, \) X, f5 _1 K4 \1 y

( E( |8 a, D+ ]) ` Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ) |3 ~7 J+ A' I3 R* p0 S: @ G! R

3 J( l, ?' i6 g# w4 R. k( n1 I- n
0 C0 q* S, @+ Z4 | . L$ J, n/ E$ X4 E1 k9 |- h
& X+ c t2 k. x; D# m+ R 7 R3 G' ^, s0 e$ I
( H5 a8 `! n9 B

0 d7 A9 h( e1 [3 P; G$ @ , c& ~$ @4 K& v

# P% [" G3 G' e$ ~

% N+ `/ B7 l- A/ ^ 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 6 n# t( e% t3 R$ Q) O* O

1 Z/ b4 B* U, V7 i$ m, ]
. s. X; O* A7 h; Y4 a, s2 L - }% P5 W1 L7 Z) s; d* E
! ~4 U/ o1 q- e; v; m/ n & E9 z2 S3 m+ d4 q' f, D
) ^- u4 }0 Z. G5 O/ |9 p1 y3 q

5 X( B& _- j$ H: O( K & D1 p# F- ^4 _' O" B6 v+ V/ s/ U9 ?

2 w/ A& ]% O# f; ]5 b1 I# T8 o

- J4 f1 l. F& V; l( R 填写错误标记开扫结果如下 8 e( S9 l: _6 a: ~) v! Y

6 f7 o! p, Q" [1 V" O, H" p1 n u
( G8 v5 P4 M8 G 0 D; N. B. z9 }2 B, @- L9 a1 X
7 ]6 E4 N" Q' ` ; _# Y4 H+ ^8 }, n7 o' z
; B! O, U6 T6 A. T8 Q: V; D

0 \& u, _* F- x6 U' w# o 1 f0 S. ]7 J ^" n. ]

" |3 E( [4 s' Y+ Z6 n9 q# F3 C

# V; j/ g/ R( B7 D8 ^- Y 下面我们进OA " _7 R$ L- z% J& Y! t9 \# P

: b$ ~1 M8 U/ d7 e
3 ] S+ R& g! m4 m* R p& ^) w9 ^8 \0 e. W, N
# P& z/ d; K6 n0 A$ Z. N/ h3 ` 9 G, p/ _$ D) g( k7 I
! {" \' Q$ W# d+ Q5 C/ J( U5 a

/ }+ S# @% j, \, D4 G- g . y) A* ~& r( @3 B: l( Q

% C% R2 W# K0 _7 d9 U3 K; B o( t' Z

$ V/ C8 w0 \0 E) }' N" z 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 : V' x* | x! I: A) D9 M, V. m. F8 p

' B% Z% f9 d& Z6 }) L5 E' D
6 x9 v( _* @- y. q% N 6 [- R7 W& }" Y2 }' O) o
" j4 M/ g- _! M5 Q+ |4 B & D' D0 f+ w; L4 J$ H5 j
6 N1 c$ h; s& D! A2 d" q: X. V

1 d2 d, C& _- s; O3 Z ] E 2 I+ S( Y! F. b% u) _ Z5 F$ l! O

% |; q# W3 X, L) [! ?1 H

4 k* W; p( Z3 g0 G. M' \ # W7 l! l+ `8 k# k4 Z( s

5 r1 ]1 x7 s' x

3 F3 u" e4 a9 V2 c/ d/ e 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 0 Q* |2 n3 Y, |: K

- A: s z8 Z( @

: K- T/ l- X0 V3 A0 [) y" F 4 、利用tomcat 提权进服务器 % \3 |3 o% x6 N% j# l

t7 i3 g* O' |* {% T/ q" T

* G# [2 F# x x4 x0 t nessus 扫描目标ip 发现如图 l, ]" b) i) P' t* E8 C( l

4 F; P* \& \4 k9 ^& L0 M
1 c) `3 g+ k. T1 k * {9 V8 W5 [: e0 h$ Q
" v! T* u. M0 k, _ : M/ x' \, d+ f0 l% L7 P/ T
3 o f+ x9 ^& k. d6 k+ i" b

* F) ]4 _/ d! d* n7 X & g" m8 e* B% r1 [3 }" m

; z& U* N' [+ p9 l( S8 ^0 |! k

9 _4 M" s/ t. f3 \ z 登录如图: ) }+ A3 Z& L2 \, B9 i$ Q* N

3 s4 j4 _5 K9 r4 q( R
2 m2 r0 p. ?* j* l$ c: h 2 m8 |8 E" M$ t9 `; N u
1 N" i, k4 d: Y3 Q; F& e0 _7 ]! y 2 T& p: S% y6 X" ^/ ^. O
; i$ A+ y0 M4 E, E

# F. ?& c* l5 d% h ( v. o3 V( k$ O7 N3 X1 d' P) p

6 t$ E1 Y8 C! j+ e5 F

" [& R" `0 r7 s% M# }$ T/ Q# S 找个上传的地方上传如图: ' j0 |1 x# J/ t0 _" }

% N: \- j1 W( M- \: ~: v8 J4 ^
& D2 w$ ?3 E$ G& O; s7 X 2 o9 u( M7 m1 A! g4 z: i, I l
( g. G: `2 A6 @9 }8 y , f5 Y/ |' n$ U ?4 {
. H1 N4 E6 r2 q9 E( E1 p% ~' y

1 Q5 L1 k( E* b+ R; d ! ?! v( l$ _! ~. Q. T) Q/ w2 V/ s$ w

+ y, |" J6 o7 K v1 P* I/ g5 s

# Q1 g9 M$ h/ ? 然后就是同样执行命令提权,过程不在写了 - \, O+ z3 U+ Q" p+ j

. P0 h( G. p8 U$ \' d

2 T3 D( ~. k2 e: P 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 5 b3 F2 y& `+ `# j

8 G5 g# D( f7 X0 m) [

$ ]; ^4 @& p8 P, y5 @4 C1 \8 ` 首先测试ARP 嗅探如图 % t7 N. | @, `( G

, b4 q( J ?6 J1 k$ b! S
6 s9 f- d9 E; X, C, y1 s 4 }+ i( T" ?- M
+ n! Z* M; h8 U: h9 _6 j ( u$ L" S2 p9 j; s+ L+ H8 c
% [- n9 a. G3 E4 O) V4 Y

) p# k Z( L' T# N+ m4 y' K U R% L& H, K

, i: A' \7 b1 f+ c# l i v

: F" G/ ^: x0 Z- x" }1 _' V 测试结果如下图: ' E5 C" X. q6 |8 A8 J0 c

0 q$ p% V$ u8 e* @1 |4 w# D: S
2 P' u/ Q+ [ e4 D / Y6 c8 {6 B. h- ^! i' p% t
/ D+ r3 }! a5 |. h7 e2 }; v & k6 x4 [8 F- ?3 Q- E2 O
9 S5 m" u) m" P5 L$ c

, t4 I4 X- A' v6 o1 k B* @ 5 y ~, N+ Q: K e! \

, e* j+ U$ K1 e% t# f0 w. r* e

& ^( G2 e! s1 e* m 哈哈嗅探到的东西少是因为这个域下才有几台机器 # c3 @; P4 D+ O+ F

5 t6 U f% i( o) v! k. C, F! K

! A" I' P! X; N8 {4 o 下面我们测试DNS欺骗,如图: , r7 |# O0 K4 S- i+ S0 y; `

O+ f3 q. h! F
" k0 v! n( c' D& P 7 X' J$ @- S% ?* M
" Q8 ~# L7 |7 j& p7 f3 M) F+ A! s* g ( u3 B5 X* n: D# C% U: Z
; t3 d8 \4 ^& D$ E- z+ n

7 w+ A: e p: U/ ~; |8 I3 q/ E ! u% j, g) k7 n' b$ D. u; z

$ H' P5 j! K' @5 y% f- a+ v

$ N5 D% `; @4 t# R8 ` 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 1 G/ O/ a. ~- C$ k

3 j! z' ?2 C5 e/ i& }0 j- Q
/ M) \: S" Z* y2 K. Q7 Y* A + o& U" ~* D) i- c
9 D' ?7 F# v7 s4 L & f, i$ R" Q$ E, @+ o
9 y6 d, |$ N5 h# Z6 }, D! i; Y; o0 e

: v% m4 Z; m, [# J' k; a4 i8 b c: i 6 b! L) T5 ~* r

4 Y. \* y! z" u7 R) M" T ~

; m9 a6 Y9 ]9 Z+ r (注:欺骗这个过程由于我之前录制了教程,截图教程了) % ]4 B: f- n" L+ f; [6 q; y

- E/ ? i6 A0 o. _, G" o" P

3 D$ Y3 g/ c* v- \' m; A- r 6 、成功入侵交换机 5 L v$ b4 C9 w2 `/ M

2 C' W' z! S/ i9 X' A) h) J

3 y; C% ^' I# _8 y 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 . A5 J3 z1 P% Y2 L

$ C2 g% }1 t% T' a* E5 J$ H

. ?5 I$ e: l+ |* r8 K 我们进服务器看看,插有福吧看着面熟吧 ' C7 W/ G: S3 }& @0 `

, q( K" |; `% [9 u% o, X
' P/ h; b) W! T2 X8 g" `/ L6 L9 f8 S ?) [" s) _+ [- \: N1 L+ e h
, H- R4 h3 O- I/ F. J# {& R& K 0 h" s( ~' L5 i2 j5 V
6 m/ q# W( h. j4 G! `4 F

1 \- s/ Y7 ~1 A4 y& C. | 4 U* @5 y+ z5 e; v

& c# a& K# k) N- n

b# D3 B/ P1 X0 |" z2 p$ a% D 装了思科交换机管理系统,我们继续看,有两个 管理员 4 c; S5 \. B X- T2 x+ m6 `; r% K

* F9 u! _: j J6 Z8 ~# R# E+ Y
" D7 x8 U1 x/ v# W8 i/ e , {8 \% Y! P& H) f
; ]) }( R G" w9 {$ r + D' u/ g) ^* m
* ?6 o( [; X: o* @

3 k3 F8 J* C: B* K2 P7 I' | 8 K) p8 _$ [0 c, f; i# `" e2 |4 ~

* n2 C8 s. o8 Y* l' K* ?

7 ]0 I" w+ T2 x) M. a: r 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 8 }" b3 `( s& q! U

( u2 J/ w6 @" k1 ]# r
+ M! c6 M" @! {7 G$ l3 p 9 }* c2 [) ^- `3 ^6 I
" C5 j' s: b- m0 W( r - M) p- }1 {- C5 {" j
# H1 c( }1 @& Y9 Y

% J/ J& M, e& M* t 3 C0 _3 c8 k( x% K( W1 d S

/ \* h1 ]! x' l1 I

, t \4 M; P( x7 J7 o 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: & p9 \/ `( P7 F2 y; E- m' u

( D& s- K* P# S8 Y
8 H6 p. R( T6 f* j/ G9 s: y $ V* }6 }$ `4 g' \) ?7 d" C
% V* u$ j* \9 S/ X/ a' P) O + h X% f" o3 x3 K+ M4 z
$ {' A3 x( s) P B/ x9 B

5 H' \9 Y* x" T& Y" l5 H0 o 2 H3 Z0 P) E, l

0 z$ E( [1 `7 O! v: r/ }4 f

: G+ r" A" C: C" B config ,必须写好对应的communuity string 值,如图: : ^3 J1 l/ K8 j* s9 {0 j( G! A2 U

& u" o7 q [% b! _9 {+ f" _
7 A' e& `) x! m/ f3 t+ K 8 p; `3 e$ W6 M( A. h4 m
: @ ?, a' }+ Z9 m8 ]) L( [ ) H' n! I, p$ e1 ^" e) ~' P8 r
8 ~" W# w: {. D* [0 Y* M

" P7 k# o, }, s( \7 @1 A ! ]: B( b& h, q; n2 [

. b& n( u7 g2 y9 d9 k

4 I+ I8 @* g( N7 P1 F 远程登录看看,如图: $ r$ x- G) n! D' v- [6 @

9 C8 _+ p; e. S9 h
$ U( C5 x4 R, D9 O% {- x r5 l * O. I! G: F9 q6 w, W( e- ]9 y, N7 M
% h% A# |6 k3 N: ?; D6 o; _ 7 G- p4 S, T% A7 q' x
$ V; z+ H5 e% w

; _+ w( r: X1 E }% D" H 7 {3 l* d# A- x! ^! \$ n; D. A

/ {$ E( v3 F' Z, d7 [

3 i+ R6 L; W& X) \ 直接进入特权模式,以此类推搞了将近70 台交换机如图: : t5 g* I# H# a( i; |+ J& D

2 V% i! {) b' I, e. N! |
1 i' `! q0 _8 l& j8 G' `7 \ . U( R% G8 ~$ h. Z3 ?
% N1 o+ ^3 ]; h % r- U* ~7 Q8 O* a
+ Z' ?& u9 x9 E4 R) G [) Z

) C4 V6 L4 v' o9 g0 K+ m" O1 W ' ^% N3 f& h2 C% G' Y1 Y

+ h" f5 |9 @" ~

! c! b- o$ t- y2 d5 w 8 D: i/ I' `, q) ]. h4 h

: H( p0 }9 i* n0 D. H

8 U" \) | {7 D! H 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 0 d) {! I4 y3 f" }8 g" e

: S% U* I: G$ F& `5 {" F
: m [/ l# H+ w/ G; w3 [ - N3 G5 d6 d+ B
" K$ ~# q$ z" U( G : M+ H c; }% B
% j$ t+ D) A0 [" |, Z# l! F6 A+ c

7 j! `9 j* v# {& {) f" p) ~ ! n# J: h2 J2 }9 ]

' t, l* V! J/ a& k* c

- [6 Z# f0 T+ Q 确实可以读取配置文件的。 + r0 q3 V- z0 @0 I F- X5 Y2 z, a

; B6 I8 t/ @# o+ p( b; a+ p

- n4 J# _4 O$ b4 ^5 L' s: @ 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 $ V6 _- [& p7 D! t0 y; X" Z

5 y1 H) \ `1 {6 J9 [
+ _ l& E9 {7 D4 B' `. @ - |& N8 C# h" p6 E" T% b/ g
) i% ^& v. Y7 x: Y. w - b/ f) d2 G& R, Q( X
: A5 y: `5 V9 \# S) [; A

: [7 V7 ]; C! F+ u9 ~ ' D! }1 [# r4 G- L

2 U5 P( e' r7 R( j

! L3 ]( O. g8 V: w) ] 2 {/ ^) U4 i; {+ n( n

) t$ z2 u! ?$ `$ J

# i' R! b* q' l% [ 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ) |' w2 K4 g- k7 X& B. a

8 h+ N8 ?: K {& s) b
; y# v" F9 e5 I4 z8 a u * `- V3 a R+ {4 R% R0 E! r+ A
$ `# {3 q$ a8 R7 Z, [1 @( J9 C# G O2 l5 g- Z. `* P2 q( a4 I3 T
& ~- Z0 M" V0 z' f

8 w+ u+ K6 P1 b h& R , ^* R2 o+ G+ Q' |: J1 \ n

; j3 f, l3 o5 Y" H( Z% B, u H

* F& @* O2 e2 w, x4 A- X+ c/ t 上图千兆交换机管理系统。 % _; Y# _; I3 @3 \; m, x

: [; I+ n$ p+ Q8 h3 Q8 P% L, Z

6 t0 w- A' x% z2 ` 7 、入侵山石网关防火墙 7 ~7 o; Z' l% m- M0 N: t$ a2 {: i

0 [+ s* [' q+ [9 e

, w5 h2 D8 w9 {4 G1 Y! V$ F( l1 D4 O 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 1 m" M# J, A! s3 ]+ z* c, _% e. s

# ^* Q0 w9 e9 Y
. l5 I5 _8 X" n( H! C$ g + B$ s; i2 J( ]* T$ U' X
/ v; H. ]1 C2 j& _1 L# w+ T8 p 6 g- Z6 E6 }1 o# _, B0 u9 s! p
% M# c; x: G2 Q) P

U( n# x: C/ `2 T6 h& ?6 V 4 ?# F+ a% ], ]! t

! @7 {. J# f- [6 m

# }: K5 v5 T1 [" e( J 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ; Q8 r! a% ~5 J

, D+ ~7 r' j% I% N6 t# _
8 k- H1 C+ \8 B, W8 b- D ! q1 i: W4 J# u" g5 O
0 p* O* c: M0 V# a0 r- d 6 L8 u" T0 ~% ^( Q b3 U' e1 m
2 E$ l. m( l/ b; W* U- M# Y. l

* D9 e0 L8 \- a ]4 `) t$ H4 z7 U 8 \) ]7 Q$ X: A. z+ ?6 S/ R

5 j- [0 |2 z) g' {4 {$ _5 Q

9 V5 V$ [. X' ^ ~- T 然后登陆网关如图:** ' s7 V" `7 S" ^/ S+ v m

9 R% h' X8 W0 O w
# |- v! R, p* h: g5 D 0 L$ [0 u1 T4 \
! Q0 C/ H$ g- |8 C1 ^* ~ - h0 Z7 n& C2 P& n1 k& u
4 k+ Q* P7 N) v

9 r! q* w/ m! z2 H0 F6 s2 a0 c % ]) R% K" L2 r, n, @( P

% S1 ~3 b8 C6 u' R6 @
* d: t9 ^+ j" L& A - r* c" U; e, _% T, A
" g2 S6 r8 r x8 X4 V. i + L' b; @) Z, S5 z/ M
' L% G" p! J2 I5 r9 M7 p2 V

& l' ?3 ^" q5 C+ Q" k1 d7 t' v 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** + l( R# T7 {4 _$ P, W& Z) z

/ A+ C# W9 D G( w

' j8 u2 H% U) f( _6 X8 F+ Q' ^3 e 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 + `: h( n! l8 O) h' T" H1 {* D

X, r+ ?: H- M

) f$ { k+ ^7 U! l8 {( Y) J2 j 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 7 @# Z: M7 k6 u: e

- U0 a+ P# J' z7 ^
& X' a% F0 ?: @8 m% {, T% F9 x 8 p6 b0 v2 q; L
! o9 C! d8 I' I& C# y2 W7 H 9 a/ J: Y2 O1 T0 q3 d" l
% `4 o! J% |: W' E

2 h5 j0 X- N+ M, j# M $ r- D& I3 Z3 u3 j) k

; h$ L% f5 [8 k2 E

/ A9 P4 x* Z% c( A1 C/ v 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 ! @. I8 h; x1 B6 R7 r

5 {( e% j2 A, C6 i0 E6 A

6 L9 I- ~ S* @* p. \   6 W- s y. y6 q/ r" t% n2 `/ R. E% [

2 ~# x" k! s2 I

, T% x5 e1 t- g# z
4 W0 L# U! Z3 [! y

- F4 x2 A2 G% g; i1 _6 L+ P8 I # S% W! m! ~; ^6 Y# P# L( h6 b! [2 M
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表