找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1604|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

/ S+ _9 T& \4 c0 ?: [. ?
1 |" O* F/ \0 J* a% o4 B6 Z7 _% n

0 @; K. L- \) L+ D

! f3 y3 h4 b/ W- W 1、弱口令扫描提权进服务器 . \- [5 |6 t1 w/ M

* ]! n( n- B) ^! |) j' [7 x

$ l3 i: Q$ U! V" h7 @+ z. G# i 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 7 ~, R) }- J0 D

) t( \# [0 X; Y M5 {" }0 j4 ^
3 z3 X) u; \ E ! a4 \5 n) p# ~2 Q. ^4 X
2 H+ g. h9 p0 H M2 i' M' j; K
! R( R& J) Z* N$ w0 a# l* l
: Z: ~* i. |( J6 q8 N( T5 N

# L6 F, b6 w4 Y* y 0 { `* I, \/ w: U' F& z% A1 ]0 k

+ P4 u' h# K( r, r7 P2 w c* y

( v- b% z7 b/ E5 T% r & X3 j4 U) M s. o: F" z, ~) i

9 n& ^; h8 P$ k7 c" p6 e7 B

% [, ^% x( W' o1 s! W ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 1 V% h* M6 }: s2 K P' x8 O2 d* b* H

9 z: b2 U% a& ?; o4 Y

* Q+ l' L6 X' T, ?0 v 执行一下命令看看 , h4 ]! T% L9 Q1 |8 X4 K

, K5 X0 I) X7 |7 X( [

8 d H2 r2 E2 f% D; k 9 a0 T: r' S: p1 D) J

$ M d% Y* z c* g- W
% A( C0 u1 R B + i6 n+ h; u5 L3 }# B
$ G: |( F. p4 h& ~: N. r% M% O
6 ^; o8 H1 b1 V) L, d( I4 I5 [ o* R
2 D$ I+ k! E! ~& j$ R# g9 E

2 q3 H" p5 a# A8 s 开了3389 ,直接加账号进去 0 y# B, E2 A7 Y

6 a; s" v) A3 s4 Z. w2 s
# @. v0 R- o# L& Y- G x. ?. o' `2 T& A1 a: D
4 b- @) Q# h& {* v
; E9 N5 A# X% |" k' L
2 G* W( z/ q( @' N) D L. L+ H

5 P( z2 ?8 P& `7 p # z: j- [: W5 I; x0 ?( P

' s: O* C% e: `' Z

8 C0 y9 r( w* A5 l; g i9 ] 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ; A7 X0 m- O% y2 `! ~

+ j3 z) a% P# B, q9 z* D3 K
4 C7 T: N0 d' t 9 L' P+ ~+ Y+ i- d4 Y4 l/ b
, ]4 b/ z: H2 ]4 X( i p" U) ]8 c
7 h) q' ?) q1 p
0 d2 i m+ C& G+ I

3 T/ l! C- [5 i9 X ; `- O, {6 U* x( V# p

- s: R( i- y. n; P! Q

' P% ?: u; x% x1 K$ P) p# A 直接加个后门, + A' S/ g2 @% G3 v( p0 h3 `. ^) ` x

- n5 ]1 x# @- f# N6 [" W I

1 j# i; A; `5 H' P " Q1 E0 C( M: Z! `( i- a L7 p

4 I9 A+ @& o8 w: u; T" R
! W& y6 ~& L: ?# o: A6 Y ! g$ z* x1 X. Y, f7 M$ ]
! O3 ]- `6 \4 n
3 w H/ L' p+ U# Y: ?
* j; R' }) V, j1 k

- |7 _2 O B; c! Y1 f 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 1 ~, g y. F- b f! M9 g0 y1 j2 I

3 o, O- C- M. O* X* o

# X' e4 `9 o2 Z$ N" S* b 2 、域环境下渗透搞定域内全部机器 - y$ o% J$ q( h- i8 t. a

6 d& S u7 \6 s: x0 `3 v" E

: Z, o8 z+ n$ g/ _ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 6 S* L8 p9 g. O: i

) ~ d7 G, e7 T: [" i0 [
5 d; @ U9 @4 V' B8 [5 k + g8 i& d) ]8 K, j/ j
1 L6 N z0 R& X
4 ~+ A4 @. w$ |9 p* v. N7 j' V
- c2 n* f8 {9 j! N

+ p+ F% H7 c! X! Y% m1 K( Y ! j$ _& L" `0 x" R

' Y, ^5 j& v8 X/ K0 c/ M! a' E! J/ V

9 R1 _9 O% q$ W p 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 8 M2 f. U& f% F) _' `

8 U A' o/ g* U; v* \ S
, s2 k: `+ _0 |( y9 |3 S: B 9 Z- z2 u6 a& V3 a1 ~4 w0 Y, Z
& X8 _. x, c1 ?) u D1 F
+ W: n5 m2 z9 D2 {/ ?) r
' @1 j8 b* w+ e/ O7 @8 ~

v( G! e$ e) W R& o . O. d+ E" ]- O& B1 e; d

( }8 q) {0 g* s7 M- ~

- l4 o8 o( M. G- i 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: & G* L0 q& W# R6 n9 j

* g* c4 r5 G- a
, g% O7 [- [ a! h, ~8 l) n- ~ T5 H( r; O& U9 x6 e/ s
5 x" m9 r* ~& y8 G1 A' U
" h2 `, q' |* Z2 }8 E' A% P
$ T A7 T R; f8 Z% _

% Y [' M8 [/ j6 l& d 3 d6 s% T/ P0 ~7 `0 d6 K4 H

! \' j$ w' h7 U

! x; J7 Y' Q. ~- K0 ?9 j' I 利用cluster 这个用户我们远程登录一下域服务器如图: 9 g5 d" V6 M" l* s5 I' k$ `% ^

: i; |2 o/ X0 v T- w
' T5 ?- k \9 ~& c; d2 Q8 W- [ # }/ u1 A( ^3 i! v
' x* K5 |2 J$ o( }: u$ V
1 ]0 ]$ M3 K" c% B+ r3 Q+ n
/ s: M: S: M/ m. X

9 \ v# e, s) t / v- q6 L& D, }& i) z# ~6 e

* v4 e7 m- {* l' I7 q5 R

$ l: P* q+ O2 W) O4 \" f- A% K 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 7 \3 O. {! x z: r

- A3 i5 A7 T2 w
/ U5 y8 J9 T l* [ 6 w# I3 W! l o0 q5 b2 i1 t0 H: N
3 }, u+ H6 @3 m- p2 F; M& m' ~0 Y W
- l6 }$ w8 E9 v6 x& c, @9 [9 r1 X
5 \% S( d$ ^4 Y9 u0 k2 x

+ E; ]8 N; T# e; ` % v; l. j' s/ e- V

$ E4 C [1 U; m9 t

9 l n: c: Q# G% n' [* |% y# ? 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' N. K- ]) E1 K! H7 Z* [

7 h# n! l7 N4 o7 ^* Z% y7 g- G

+ A) v1 |8 Q1 A3 H$ H 1 P t( k9 ^7 w1 O

+ Y; f5 _0 G B6 v/ {

{2 A* y% ]& w" N" G c 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ( L. y$ W& ]2 w* U

) j9 R1 [* J/ ^

2 R2 s& y+ Z- {0 i7 c7 S- A/ l blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 7 k2 k8 M0 X/ C2 ~8 a, }

# F' {4 }% G* G
+ F( L% ^ l/ Z - I3 f; }. E/ G1 Y1 ~7 X
0 n) H6 J" X; R3 S, U+ j3 B: A
$ `3 r6 A0 O- s* e+ s- b! l, P
) v7 a9 R' h+ M

4 _* V8 I- P; P" k# ` & U! Q! Y* i3 I( h

! e* D c* N& ~/ n$ e) K

/ a- z( M, Z. Q$ }1 { i 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 , o( L9 V% k2 ]* l& E/ Y

2 C$ ]# r2 D2 c. \2 A) m
3 c( G f3 H1 v% g Y( F ( B# N i5 ]7 \2 Z1 i4 Y7 Y
/ R7 J/ q4 ? X, q( U
0 `: y6 d5 x2 u4 W
5 j( x# Q1 A: x& w0 K5 {& _

5 g! ~7 l$ Q, w0 L7 c $ [) a. J# N, O# s+ R1 z7 @# {3 Y

# g1 k0 ^+ ?5 n: H5 N/ t

6 r4 J" \3 D0 J2 V 利用ms08067 成功溢出服务器,成功登录服务器 + }2 }# w, i0 [: b. Q

- e+ @8 s% I J0 {8 d0 E
0 p% e4 A/ E& j* V4 } . G7 [9 e# C* i
+ _2 g2 u! i, t5 a7 Q
4 k" y) M5 F2 S+ v5 v# z7 d
9 Z* h. q) f; g! r% v

3 z3 Q* g) y- m7 S$ s& U 9 H! y. d7 V& ^2 n7 m

4 R$ W4 J4 x! n/ o

: \2 s1 I! X2 v. { 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen , |# s* T6 X8 k. q* ?" O" A2 ]

) c5 M* a6 A2 W+ ?% R4 H

; b! q4 r$ O. Z# L6 x 这样两个域我们就全部拿下了。 ) \& |: V8 r6 v8 y/ C1 z9 |0 |

& `$ d. ? W0 d4 m) ~3 d& V+ Z, @

. H* p+ T: B( f0 v; J; B: m4 _ 3 、通过oa 系统入侵进服务器 8 f1 `4 ?! Z4 L$ @5 W

+ G3 j1 L0 j! _$ e5 S

& [# Y1 y' h; @* k2 X) i+ c Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 # a8 p- }# K1 G

@: y4 ^" [& L& a. B) P% e+ k
. }6 R7 r: A2 t & q" z' A: g |6 g/ [
$ X* [, i8 |( {! z @& e T6 K
( e% a, K0 h& y9 P
# G3 T/ _( r( p( x' ]

. ]: G6 V- T* R. i8 }+ q6 A0 x0 D # |4 i0 g4 ]+ O! U3 f+ o

( H- C* y' J: t

1 h$ d* }$ U) c% ] 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 . {" b% G8 F( f; z0 h

0 _- }3 J- v' a/ V$ M
0 w3 d, l$ Z, v8 G7 M, c8 L 7 r( x, ~* \+ a0 M3 G
2 [% x9 X! W6 m& Y
/ d' v/ i# ~& W2 Z5 O
. G4 K4 n- }* u0 ^7 ]3 A8 O

; v8 o2 x: C/ i( _5 Y 1 x: q) u( Z4 A, O9 M! P

" c9 | u, C0 J' {$ l$ G

1 g; h6 K! `6 t 填写错误标记开扫结果如下 , J4 j' z: s3 t, x, T9 u& o

# T2 G+ A! V6 Z% P m( [
# U, C; `. e) u8 _; g $ \8 i& A- k: j% A# T, r, ?
1 w( \: [7 {# z4 S% l1 g# r: B2 j5 [
' i l/ `2 w, b, f( N
" t* |5 }$ O& {7 z: l* k

. } q' g! l/ z; Q . v2 H5 R1 H; p5 M( `4 L) d- }% j' Y

& Z$ g8 p3 k. p# {' C1 N

: J/ l+ U: @& H1 Y4 ~) \ 下面我们进OA / y& V8 b5 z0 u

2 a' s& Z' T7 s6 z! d
^( ^( U9 U( B # d: X3 q" V) [* r# A' d9 ~+ `
: t" Z% L* f5 a
, o$ c2 l/ O) h9 G H
$ w* q+ P1 z6 A& K' \- p5 x5 L

, v! r* V" @& ? H4 N ! g- ] n3 n' H6 A1 u

# D! i/ f& f( p; M

% `4 R8 J' D3 v, z 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 4 c( L, x& ~/ p$ q3 y

$ {. f7 R+ ~# X# E- b) ?
2 @; c6 l, o: r3 P( z& F / ?- l, O) J) U! l5 @$ f" y
. y. n& A/ F9 Y6 p8 M6 x6 ? d: l
J) u5 L: f! H1 L
! B# g& _5 c8 X4 ?6 q$ t0 |. p

6 a; r. U2 H, G0 h 5 F# x) P; i0 p. h3 A

E2 I3 p5 V0 `( f7 A( g. C

; \ s% A8 @0 b' j 8 t/ L; s+ U+ p( p6 x1 u

( q' e) P& T4 M( S5 | ?' a

; Y# G3 a$ }' c: @3 p7 E 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 . `1 v) Y o) W: A3 |6 J

3 ^! \% S/ K$ O$ j$ r( E" G9 R6 F

7 f' f1 [! s+ \( B1 w8 I* K 4 、利用tomcat 提权进服务器 . e# V+ g1 B) p* p3 }" X; g

0 A1 x" T/ o y* W

. c) g( V3 L7 [& q& A- W nessus 扫描目标ip 发现如图 ' _" l+ x' G$ `/ x

) R4 j( W4 M" H" ^; V& K; A$ k( f
% h1 I9 z: x; D5 ~( ?) h9 `$ b , N* ~ F x1 h
7 y# X* Z$ |9 p' \$ F
- x) o* l3 w* y) P' w! O
1 }! m$ I+ W, ]$ @2 \. @6 i

* ?$ C: w4 O% ^5 p' F, ]2 X* a) G 3 V3 C$ G* P7 z D& d( b9 T/ p

$ ^' e! [( B8 \- G0 i( ~! J

* ?9 N5 L* G5 ^& b 登录如图: 3 A% n6 P9 k; i% s6 \4 h

. u: c" ?) w4 x0 P
% |! l- | S* U& b1 i$ x % K+ t( q% @! G- m8 U0 F: x9 N
9 Y, a: F' y [0 C9 v
3 z' t5 M1 V0 C; Q0 { k$ T; O; T- H# Q
4 M' l1 ^) X) q }& S" m' v9 a. V

3 i) G1 V6 ^$ @! G% |6 [ + X7 i1 d6 A3 \

3 ?# s9 W9 U, b" k1 y7 y4 [

* A0 r, n1 o; S/ E' M) s* ? 找个上传的地方上传如图: , u, A/ G- q! D* V0 o+ H' r

9 I6 c7 o* H, o) X! S* S
& n# m. i6 f1 j$ B- k6 g6 E 6 l3 q+ w R3 t. E/ x+ k
F1 r% X; `# g
) a( A. ]; ]' s4 k% ^* k" @, N
y1 j" u# _( y# [% g: l& H' Q

$ l( x) ? s4 j2 y5 f; t . _8 A( y1 {+ h& O2 j n3 g

/ t* j* t; E4 f8 W' |

" H. _* B. N# a0 S& x3 p 然后就是同样执行命令提权,过程不在写了 - l1 s9 T% q( @2 |8 P" H& x

& V2 J$ k" l U! [

9 O! b# I) m9 q- D4 | 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 $ M+ i: t, g# |" {! X

; q6 i$ {5 [: |* O+ {& @

6 ]4 o7 F9 A2 m: i% Z. q 首先测试ARP 嗅探如图 ; X0 Y9 X; q5 G3 V. m( Y; g

. k( ^& A$ n, d1 X: T( G, B9 @0 W
/ s' C) @. ]7 J& ^/ j0 J* U 2 J# o9 }' n6 o% Q; t
8 v( |: I& i/ ^
1 }9 R3 T n1 t9 h
$ n+ g/ i# Q/ B% `

- m0 ~$ R: [5 r# A1 w ' \) y, {# K9 ^7 }2 V. M- Z

1 o7 c6 W0 ^& {$ U% s: }

# }, J4 z0 J4 V/ a. E; a 测试结果如下图: ; y/ a% @0 l4 E* s; Z7 {0 y+ Y

/ I6 |' W6 q) R, N
$ G# ?+ n9 G9 M1 G+ x) H; s( c * m" g% h% |! J! h6 g" E1 F
/ U8 H i& m3 B0 l' f4 G) E
5 B/ q5 t& c* T i5 t
v9 _& ?) G* s. k& X( J2 ^1 [

8 q9 m/ W5 I( I& ]! s2 {/ T5 J 3 i0 c ^ N: s% ~' l7 r j

2 x0 n4 Z6 V/ D* t

9 X& ^2 r* y% r9 D* S 哈哈嗅探到的东西少是因为这个域下才有几台机器 3 h/ w0 B* z$ Z& B9 J: d

! C0 w2 x/ u9 p# ^6 i6 m

* I- d# U: e9 ^" `8 I3 T- X 下面我们测试DNS欺骗,如图: 7 O! N6 g( H: b# d

) o$ ~, X1 b0 C$ a$ n
: N/ w% O0 h' t# w% w% K$ J 2 |/ H3 U( T0 C8 S5 ?# V; q7 h# ?9 r
; T2 C- o/ c _2 Y J
" S$ c- B) `( g' L
6 j: T0 w7 Y/ v7 F$ Z

* V; v9 T8 h$ C8 e- k " h4 \6 r, v( r5 o. u

. |0 L8 r( H9 N1 _" R5 J! S* \; @

' p% I# n3 t: V1 N 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: $ [# Q' f2 g k/ S: S/ k4 C

" j2 L1 D0 m' h( U7 A
' l* v6 p8 N+ j2 D ! j+ |; E" _+ ]+ p0 h7 O
& Y# T' u" d3 x5 R9 i! R3 L$ W+ W2 g
$ q: k: v- o6 Z) ^$ I
9 o+ K9 L2 g4 g5 \6 o6 P, Z% a

4 e$ P% x% s3 g' U % f' y3 h+ }4 y) P7 a7 ]6 P6 k

: d( j; o; k0 L! h" R4 w2 \& ~

8 s( ~, a3 ?5 [8 u2 ^2 z (注:欺骗这个过程由于我之前录制了教程,截图教程了) 1 O! M/ Y6 [, Y9 H& Y+ p' D

! P5 B5 u$ o* e* w* N

5 M, L( q& c7 E* c 6 、成功入侵交换机 6 j2 ?2 a# c; Z+ j4 D- `7 @

5 L; a1 V: f4 K7 p$ d5 e Z

! i1 B% E' f! I2 k/ z" C 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 3 O$ w4 |1 Q8 P/ l+ m C; { A6 s

6 `0 G: ?! z) I* F: ?8 H. H3 K: Z

4 `0 u, a% Z* B5 [9 s4 ^- c- ^* [, v 我们进服务器看看,插有福吧看着面熟吧 $ b" Q o; _5 T# ?

3 f+ Q5 o& U% _7 f% [
9 A* t5 d: z9 S* k# x# L1 T1 Q - n8 u. H' w' E! X' u
7 T; Y$ ?1 n" V) P7 `
8 A5 `: K' `. Y4 f% O7 W# S" G
( x: l+ {0 W7 M

) Z+ ~$ W5 ^) Q7 s3 t. L9 K; F9 k * B3 B7 @& e+ {1 d/ z9 M( C+ x

. `8 ?; `+ S$ b: j! Q+ V7 E. O

: I* t" i' c' D6 G 装了思科交换机管理系统,我们继续看,有两个 管理员 3 S) a5 x( d$ [ A u2 H# n7 d% w7 w

: P0 u0 I/ M- J" k3 F. B) h
9 Y' Y8 f' {9 C2 B/ o ( f1 _% @2 I' i
- e0 h( t9 P3 q' \5 z: G
* J s5 m( H+ Z/ S
4 [3 v8 k2 I. Y& M

6 [' v5 Q: b8 W2 J8 U. B ! ^6 T! k9 t, B8 q- {9 w

6 T6 C# `8 b% {! y/ t

D; C) y/ C% g4 m4 I0 i( ^ 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 : |: w7 A4 d# V8 ^) n/ w- ~! d" a

1 |4 M3 k p+ Q {2 u, c/ J
0 F6 X( q2 R: e4 M' p0 O; m 0 ?! ?% o) G% s0 l; W. R
. ]! J, d. T/ Y% o& _: g
% |/ j* L/ S% D
' f" C) y; c2 T9 s3 R, x

" v" u8 Y7 o0 ? ( t1 u- u! K" N) S9 u2 l/ Y

& t2 l3 n5 S- H! q2 \

% J4 d' p" F0 O* {: e2 Q) j 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: - L) _! I! p2 @" x5 }

& n6 t5 Z2 ^- \# l4 S, l
9 _* V+ F# w3 A) h# S8 ]9 R! `: { / f) Q! Y: p* E
, J; }$ R+ o& ~/ P4 P- M
% G1 l* Z6 K2 j' U8 \
( u0 ]/ j& x3 |) `

, f1 k5 x1 p7 C' e3 W) Z/ U 2 k- e2 E7 D. p5 q5 c1 d

+ _: z% [/ o( I& `

+ x. C' O7 M, o config ,必须写好对应的communuity string 值,如图: # y6 C$ v2 } F3 ?: X# h3 r

1 F+ n# F, ^0 Q1 _& c3 }8 Y
. M& Z+ ]3 A/ m, \ . t" M, z& W9 V6 s
' ~- I9 H3 }# g3 x$ r' {
9 ~. W( j$ R2 `/ }
4 }9 ~' O7 k7 B4 Y& T8 o: c9 P

8 f8 t, u- g( H# Y+ j . W' W& S- n& L1 I9 L4 w7 ?( N, Y

- V0 q1 d! ?# j g

O9 r* j' V5 c! X C% p" O 远程登录看看,如图: 7 u3 N" ^5 G% b k

" d- J7 P9 e0 T* H0 }; \! q6 ]
" r' O/ y/ O) r$ L4 N# L9 N ) v4 `( r9 N, g# z
- R9 s8 L% g: h# b9 r l
3 A" K% x( |% g4 M6 i3 [+ N
1 {2 q1 ^' ~0 c! t6 i

9 A9 C- P. B$ y8 `- i ; ]/ v; @; h9 I& e W2 R

! _2 s' y+ G6 N$ ~( O

4 d! A0 G7 g) r. _8 S/ q 直接进入特权模式,以此类推搞了将近70 台交换机如图: - W+ c4 n- B4 b5 y

8 S) L0 b" Y) d' }+ R
' R _# ^) A% W" R4 j) @, [ ) n) B0 e1 Q N. ~7 y; ?
* p7 H6 n. q7 l
K3 |" x1 ^ w g* a; V i
: d0 {- X' l3 M- n! k# o: _0 v

3 q8 H& }0 s5 ? , `. u s: J+ n: k

9 P7 p; [7 e0 z) Y# c

G9 h& T8 Z) r$ H7 }' s ' n" |% ^: _" `6 s8 }

" k! k. d: _4 i. M4 U. j, v+ Z

' T5 ?! ?, o' n, X8 b2 I2 S' N 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** . L4 ]2 h( P2 V# x

+ A! P, z3 A( j
8 v+ |" H2 ]8 n9 G8 z : L" R+ i- X* q8 r4 Q+ @0 [
/ y7 s4 W- J: z7 }5 L+ A6 f# n, i
! A. I$ A* l5 \9 V, o" v% B. R4 `
2 k; q% }$ H& x! i' U$ q0 V

- y$ U9 F5 J, t9 d1 g/ E9 c- o 1 N3 Z% _4 H; _3 D2 X( \

& P) M# e) _' T

5 K) m( j2 f4 a2 P# b1 x, u 确实可以读取配置文件的。 % ]; l( @: e2 @ R' x$ g3 x

. R6 y" S& b n# }- |3 G7 g) e

6 j6 ^' o3 `' R4 A 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 4 h& _& [9 B6 X8 ]7 D# u7 {# Y Q

' i$ g4 D% J9 K9 P" j7 X9 m; y
2 V2 w+ Y0 ~- d+ o$ ]5 E ' H' L3 Y% `1 H P
' ~/ X8 a. v0 ]" a' X" c
( ~# |6 I+ k0 {/ L0 @3 \
; O# i' m* i4 p$ f

' t/ @, U+ |3 M% v. ^" i 2 p9 N& Y! @9 _0 H, @

# H# v8 y! n/ P( R; w8 R

! k3 t% k4 P) U: G( S4 B " n) V' x3 N* K+ p- H$ I2 |

$ W: G: n4 X! W) f% z0 b1 s; F

* h; S' k: @- l7 ?1 L 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 9 V5 n2 B3 H o! ^% e

9 { A& D% F" |- V- w; k j' V5 P7 k
& U8 w0 B8 h* S) m) | . M7 H/ R- S1 G6 i
* O% D& D1 Y* D; n' `+ k
$ H1 H) ~7 n8 Z, G* n3 Y, D2 C: B
M( t# E$ l! p2 k0 |& s& q; ?' i

$ Q% i B9 P6 I b" h2 T 5 ?9 z! x; }$ A% l1 |+ e2 X

& R* z" T/ h& k' H

: W8 j; a) Q- N' a 上图千兆交换机管理系统。 / I: t, Z# a& B3 Q4 s* x

1 _+ ^5 z: [6 T; H+ o6 n

( F; S, g5 B: [3 u, R 7 、入侵山石网关防火墙 . i) N& c% t/ `: J

1 s; [& {9 Q4 w# E# E3 x

1 c3 ~7 x8 f' j" ~- x: f9 D 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 i3 G7 f7 B' X* ~

- C# U& {9 N6 w3 t* V4 Z8 L
* O# \! t. P0 `& b6 c1 J : D: h( j/ I6 i" Y
6 |3 o# `. s+ H; Y! l
' M" T5 R7 g* Z% w
+ B" p3 \8 i: M" |

3 H0 x7 l( G5 y ! R- n3 Z- D6 ^. |' H z9 F8 `

9 ]3 p7 D$ F9 [, U) Z+ L5 b

2 |; j/ h3 u' K 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ) V6 H, f$ M! ~4 c) a

5 u Y" [0 P t) p: A) q
6 ^2 T, L% H: \/ _! c' g 1 U0 C2 o0 V: m8 H& ~5 P
5 O4 {' D1 }( I/ X( I0 T
( ~- H3 R" l* [( L
$ o8 n4 [7 n$ j

7 D2 l6 L8 P" x. y7 T # p& I# X& @8 E6 l1 Q. k& q

. k3 O8 T9 C/ G$ M: B

& i6 R( D1 B \" k8 C* U4 a* o7 h 然后登陆网关如图:** 3 z; M/ T3 r: n4 o. b: s# l

) L( \6 R% F4 a5 C L' k! [
) P' Q$ L" s* ]& a " F+ m/ o5 \$ ^7 E8 e' A) G
' m* h% d6 X* X" E0 M
1 x$ a% Z- e* N- z+ Y E
5 w( u; @- B% p1 H9 ?* B

$ t8 m- I# }3 k2 h. o " H; v2 y" }+ u |% O

# U% ^; |6 r9 S+ |* F+ k
9 b V( _1 m n8 j d' g+ i $ q# j% P+ O5 j( b; S. M- [* D6 u2 P( l
' f* |' c. d* }- y9 U- ?- n$ L
6 |9 q6 q. G/ o1 S9 `* w. E6 g
4 [- E6 _. k: B' G8 i- N

; b; `7 Q8 a9 A& r0 E8 E9 M6 W 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 9 B! i1 o- m# E. `0 O0 |

( x; [/ P6 T0 c

$ G* R" z; v# W" S3 ` |+ F 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ' j g# `1 r6 y4 \

- B# _9 o% `! \! W( T

+ c$ p( i+ l% T, y8 c 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** + e' g' X0 I& y! A: v5 [3 x' y2 } Q

1 D3 F9 E6 D' n8 \4 J D/ x. E
. ^- ]% o- V/ A: x9 o6 R$ P$ ]3 G ' Y: v: a6 o1 G8 H& w+ j
7 R/ { ?) {. L& O
7 R0 Z2 V+ A# \: l( W# z
1 E7 X1 q; [0 j6 P7 q

7 d% |3 N0 \. C% Z+ n! s & m. l1 C# P* w. Y4 L+ ^# Q2 f

* h; {4 |) m% p( ^: w0 k

: u0 g$ C9 j0 O& H0 L7 ^. m 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 0 o2 j! G. g4 ? O- Z; z

, M$ S! R/ e5 y" U- g& J

{: d z" J- N# u   8 P6 @" Z2 x9 C. i* i& x" v- s

# h, T& O( W D7 J

) p, {; z7 O- e( d) G
6 Z+ G6 U. Z# b5 _+ Q6 H

7 l/ Z( G) x: q `1 l# h- w6 G & M+ P# V b+ ~# c9 g) w
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表