找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 2641|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

n3 I; v; _2 m1 i2 f
' c3 x4 g- O7 a

4 W) l$ i' B9 l

% _3 f( D, T/ o& | 1、弱口令扫描提权进服务器 , \7 z- e- u! `$ N0 h0 `! W5 G' |9 H" |' t) m

0 ^. f: e1 i4 U' ]8 H; u8 }

1 f' M6 P+ h+ ?5 D+ M 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: - v% Q7 ?/ o0 F* Z# \. R1 m* @/ j, Y4 F

. k9 z# {& s! @0 l' K9 f
& }" }! J5 a& f " R0 P, |# X5 G
o( m0 ?4 i( ]3 _4 t# l3 B8 ~ ' r! u& e% G3 F5 q: e' P6 S: i* Y0 _
5 E. {% N' `+ L3 r7 a7 f1 M$ P

0 G- o4 H/ k5 A3 z& U w1 \ 6 ^! L$ Z0 r6 b9 [3 y/ c* |

2 h% v" ]0 ~6 m" t. F4 v

- L v0 O( n e4 ^7 m ' Y6 l# Y" [+ t* i0 t" P; ~) n8 }

6 L3 w5 T: h: ^1 p" J- ~4 E, A. p

- q/ D4 N" M8 k ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 W7 v' P' m/ {" d/ T

: [# h% s: ?2 z, M! l; i. O

* _4 E' C9 ~) r j 执行一下命令看看 7 G5 ?, w" O5 B, X- M

2 f d3 C5 U# `' N

: T J- O5 G$ }$ r6 N & s* R1 B" [, m5 l

1 W# R$ J# p. i6 Y
' Y0 v/ e) K: S& E" L7 p2 C; P 6 z& e1 R w6 T; q. h% {/ T
8 e7 x9 Z* j/ X9 X! D) h : r& X( {& |! M
' q) {3 r" ]' \( Q4 _: G# B& ^ h4 y; B

3 ~" t& Q! t9 U8 o. l2 r 开了3389 ,直接加账号进去 ) Q$ V/ d4 ?6 B7 W

# G2 d& d) {; v+ s( {" X
8 }, V1 }! _# Z. s7 T5 h. j( m # W3 i* y3 h$ `7 l
" L) x& }% G5 B' n: b! C T , W) r: z3 s( v& ^9 J1 O% K
4 W3 \3 h6 Y! k

7 r W" `- b. [ 6 N' g1 i- I3 p+ _8 i" j$ o

* u" n# R# Q s

# F" c% }/ h6 G" ^7 E; T 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 9 K& o% Y3 y# ^6 h6 m; R8 S9 I

& X+ x5 P. `5 u6 V# H1 ~
+ d0 \! O$ C/ O6 I. x j- w/ h ) I% y! \2 i) H5 `$ B
6 T/ Y- f% N+ y, X. s- M' H' s 5 ?, n4 T( V" L" ]* u' Y
8 [4 @" b* s0 y S$ U8 e% Z

x+ c# s) u& U2 V3 A/ b( P2 A) R ( |! Y9 g, U: W$ e: Y" ^$ U! k

' C, P; a. h# V; a# Z |/ H: v

: _! r. O! G2 G- W 直接加个后门, & X8 m+ i3 X& _ o

% l3 \2 ~3 h& v P' h

8 R- j* s% B8 l! b; k( q" } " |# \9 w0 T$ }& s, V0 \

, o' f" L# h D5 a9 L( F
: O7 g* s# c+ V P% s9 A 7 K" i5 H7 |% v* S( C
1 [' r1 L v; \ & `9 n$ G% e2 w1 e; Q
/ j& ?; k. j& |3 b

' k$ @7 b/ m% Y" `0 ?8 K 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 2 ?0 }9 v6 `( @4 d6 L- ^7 l

; C6 y0 z* c8 W5 F

/ |& n3 b6 _& q9 u! M7 V, @ 2 、域环境下渗透搞定域内全部机器 e" `+ @' ]0 x! W1 M# @8 k: i( K

6 n( m8 }; R4 y# U, p

( E1 c4 |: m/ N& w) `4 B 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 4 J6 W$ A4 F) x0 e& r9 s

* l8 J7 U2 J9 C$ t
# J9 G$ d6 }% M7 `$ b' a& ]4 k , ~5 y9 w0 K1 r6 x+ l8 g4 z. u, [
1 }$ }( c8 ^' v% i$ s ! N$ c. {7 g3 p6 z' b: {/ q6 f
- @- O2 }. R2 X3 m: C

8 t2 h- U0 p: @% s & Z* L& M" h, i, j) C, V# l! t

: L" Z) ~) d! ]# _9 Q# V

; f1 r3 U! S- G" \% E/ ] Q 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 * {& u) D3 m" U o, M

. D0 D0 H* o. c) L* u
# h6 F, T; C5 @* x& q* j! j. L $ M! f, L1 E, ]' t- s
' c, o9 j' |1 T: B! D$ Y 8 n: z- Z* E+ x; Z6 i
% p6 x+ p6 i+ Y4 N

- B+ I+ I# O2 @0 B1 x, N4 U # ^0 D. Z0 A5 W$ v% T& f) D7 ^ n

( o6 _9 ?2 [ w# P

/ Y9 l5 O R5 p2 d$ [ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ( \9 [* T0 B( K4 v- J2 b; Z* j

F3 m/ m- l9 l: z
" Z. D& f, N$ H, ?% u" H + n1 a8 w h! R0 @. X# s$ z
0 [9 s* t; C* x # n' y* H4 j$ a+ J$ V0 g: L7 ~
# v( o3 P0 K) c, }6 |6 n9 R

/ @ o# z9 x: ~, ]7 @4 L2 j! a4 n 1 K+ V+ r6 J' r6 L( G$ a1 H" o

& P* {0 q- ]" \; R3 u9 p2 }5 L

" C H C ]' J/ u, u 利用cluster 这个用户我们远程登录一下域服务器如图: / _" M$ O- ~( Y4 o6 \) A8 V

- f7 e' X' c, Y. b( L
/ n h5 R6 L) d% q+ `1 V " j2 L) o: O% Q$ ]9 `5 d9 {% ]' a
7 F a9 g' ?& L ! [" Q W& L6 b! E& r
/ v, n5 Y F9 a- U# P8 `

6 B7 Z3 Q0 G2 S# @ * J) \! M; C/ _* r- ^: ^

" E6 A" P/ R, e3 F3 e/ N, d

: Y3 t, J' v1 x5 ` 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: ' G( z* b* C% l. m

7 U, K; P7 j) x/ E; m; z C* j7 Z
$ Y: \: |; n7 N) N' r% R" c1 [ % ` J9 m0 \" [# ^
7 [% k3 r: _) P! t1 D I! y7 S( S( N& n% k. t
4 E6 X* V+ v- Q. X7 m0 P+ `

' u6 L6 k* l* d7 e , z; v% @6 E6 C$ B0 J; g) \

2 V' N# U! b7 L" ?

0 A* \9 m& N' v 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ' S7 v: w6 l( C

A9 o5 B. s; M# s5 z1 C' U& u

4 Z, Z# y& X1 l8 M5 H ( u" u7 x0 \1 v3 y6 U! Y

6 O# |: K" R: e1 @8 X

# w/ C/ y4 x" U7 b5 ^7 t- u, g# S 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ; e3 ~2 o' H1 Q2 [- K; u

; t3 \1 r: ^6 W6 _8 Y

/ J6 o' h. G/ O( W blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: * V3 h* ^7 @9 D6 R

! w5 Z& |' W6 f, [( F) J% p# }6 f# O
& a% k* i% p, n0 _3 o5 f H! I( f 7 D! f& W& j( w. ?
. L& B( j& B* ` $ E$ U4 X1 U) F% n8 T: L. m" e
* S* o# T `/ d$ X$ K

5 E4 J8 v' |8 Y* z0 @ ; n( s7 ?+ l! u+ ?% {

' x7 q7 C) F' u1 ^& _- K% n/ x

' q u4 Q2 K( J9 n 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 1 [8 E [# _! c5 b9 O

/ Z, R) b7 P0 D* c% i6 ]% u" q
+ q3 e* a; j9 s, W. r & @4 }! A8 t7 B0 L% G
+ ]( W2 i4 H, y. u - j2 k/ P% `+ D$ Z; X Q
, ~" I/ K6 w7 r" |& ^0 | L! E8 W

% w) Y( l3 p; V 8 z: Z/ _; O' Z5 q1 ~! {

$ O9 s P& H" i* x% ]% P z* c

! f6 G8 K( r# }& m 利用ms08067 成功溢出服务器,成功登录服务器 ( A4 a& W7 v8 J3 R& s$ r+ q

* u5 R; O4 e! d' A% R# h0 e) N
7 p+ Z9 B6 R9 @( ?. `7 J; h : a7 s9 B* @% e, M! y
; o! Y3 _, P+ C! \! P1 [ . @8 Y3 S! U( X
1 f. i2 E3 x: Y" r! N1 M

" t$ \* g. X6 R- d+ z9 u & h2 j, p" [; v& C# p

7 z- A5 w$ m6 X2 m9 `

! X. J9 Y+ ~/ A 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen - ]+ r0 m8 r) C' N: E

1 V7 ^, e5 ^5 \$ v

# S+ ]7 t9 V8 T+ h- | 这样两个域我们就全部拿下了。 : \4 V% ]2 Z7 T) Z# D; F/ E

) t+ G8 a* E- F( u' ^% ?

5 j& O D3 @& ^+ Z 3 、通过oa 系统入侵进服务器 ! {6 _& P# L% s, i+ P

1 _5 K! x# j8 X; O

2 k& n3 u, z- e3 J- @ Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 9 Q* X) K. i) c) n7 S, R* G9 [

- g0 Q! O$ E; l
5 o& P, o- ^2 t- B% p7 n1 Z4 |. L $ e3 ]1 n# a/ Q9 ?7 V: m8 c
% x: |$ H7 h2 H) ^) ~ ' L/ Y; o* h4 ^7 f% u1 K
1 k$ i( G# F; V

7 Z5 Y. d4 U0 ]. G4 {% L" s . f8 K- L) d; @6 {' A5 r

' K1 y5 f9 S4 ^4 f

* e5 W2 ~& l8 m: W" J 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ) k. i. q5 y S7 C+ T2 p" d4 V

& V( c" H; ~2 E1 ]3 C
# ?$ G# q* x0 V+ L( a ! A/ \$ P( Q% U$ a3 j* ]. {
0 i4 f7 q! k3 Q 6 @8 t% e4 K9 s" Z
4 N! B" N/ _: Y4 z2 P8 @

2 Y' i0 s$ g: I7 ?! L/ e ( M9 e/ _9 k5 P0 d7 k$ {( @6 ^/ R

0 u _- ?, L: r1 @6 L1 F: a

) I1 z! d( z* Q/ z$ P 填写错误标记开扫结果如下 ( X; x& |9 N1 d& Y- ~

" }2 I" q) L- l! {
# K9 S2 p! k' {# g 8 ?. ?7 R0 B5 |/ u$ x
8 y8 Z$ V% c5 b1 U/ d / S. v+ V/ E. S( y2 J
7 L$ z' j1 {" e+ A

/ W# D# ]0 M n0 k* `& e8 j ! x* L- J9 X2 Y: W

$ ?- F. P: Y8 D( L7 e0 M" ^3 x, ^ L

9 T9 v3 v$ J8 ^' h4 } 下面我们进OA 7 @2 M2 l, C, b7 A9 K2 b' z

# `8 I) ]) H M7 l
6 q9 p1 p n: U3 r- f$ [ c G( c- ~# h& l
# j) [8 S. v# l/ G- w1 z2 s" t $ d) l) a; f0 S) |6 n' H
3 D5 ]9 ^5 ~+ |3 Q

& x0 s; n8 I0 [2 P" P6 X& H' Y 9 o; `* _7 Z& Q" Q3 a3 {0 A; z

2 W, ~ s& |" K R6 M; \ N

5 o& I' f0 Y# ? 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 + G) I p( B; N% r7 X. s1 A

! t+ X/ i6 b1 o" U+ ^ p# @
" ?6 N2 @7 W& N# t% j5 z% h + D; L: Y1 I) L' w: E
) o& O3 V4 ?9 D4 k6 x% V- ]% V# Q4 D5 K ! x3 h7 l9 _4 _4 `
" E m- E1 E6 ~

# {1 K& _/ e6 A4 A! n( p( D : k! d' B0 H: d8 L9 L

$ i1 O" y& _* E% ~: u

! \5 J4 o. K4 r! s% D k% {. {/ d; [" l+ H, V

- h* ~7 X2 Z- w& h

4 G6 N% ?1 `: m% R 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ; Z" Z/ }1 b/ n B b

' k! z4 D: M+ N R6 b }2 ~6 r( H

s9 I0 U% y$ w( ^& n$ U 4 、利用tomcat 提权进服务器 2 w# f/ l/ F4 w, ?

. }8 |: F1 r, o2 m$ Y% S# R- O

! V+ Q* r% j9 I4 b) { nessus 扫描目标ip 发现如图 - k0 d+ Z) s( m: ^) a/ V1 f

& X* l6 r' I" R! q5 \
. K$ d/ Q- g. E# p9 q ) x- [% G. U9 t
) [8 Q7 V- R/ f7 c2 Y7 H" N# w & _+ f, {2 y& u/ _: |
2 i0 C: L3 E7 q% q

5 e6 O3 E: ]/ S$ x6 M / j1 g2 A/ K, C8 o" f6 \

7 v7 B) p$ Z' n, |% {$ O

% c. T* u4 }* O- d0 ~ u. r 登录如图: 4 e* I& {, m7 K9 _

8 p0 M# {9 i1 y+ S! d0 `; y
. s0 l. s/ ]( L( W( K! `6 X 1 ]$ _. U5 n6 p" I- i; x
5 C& a% {' {" L5 z1 [* r % Z) W$ T; ?5 g. z
|7 N1 x( E9 m) j

- r8 t6 m+ r: `1 }) X ; k" [6 E& |: y1 v# v8 [

$ o+ w( J! D h& [& W& M: y

9 D- w1 {' {0 } 找个上传的地方上传如图: . ~ [& N8 l. D5 A! S

" S+ Q7 o% M1 Y m4 F7 [
5 k# q* Y: z! }, t* } 4 F) G- Z! Z7 B% i, ^
[* e+ I$ Q* e' R' j* ^ O- g ( D) a1 v/ X) ]" ]0 q; m
6 P+ C1 L# h% H$ a+ g

6 n# o9 j* B( T8 n8 ?0 | % `- W- @0 i: L" x

( o' g4 D* ?: l" L! n8 O7 W0 W5 t

; _' f. Q' @3 c, k 然后就是同样执行命令提权,过程不在写了 # L: k$ j: E/ G5 G. q' J7 t

% k) X5 ^5 U/ l

/ T/ F4 Z7 S9 h/ P* d 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 6 k9 [0 F' b% R) h, a$ Q

" i6 C2 @! t4 G% D0 A6 L. V) B

* B: \& Q8 L6 L8 h3 P! Z+ g 首先测试ARP 嗅探如图 + Y4 A4 Q/ k% y9 v1 @3 X1 _

2 j, u; g# W: o r, \/ L9 N9 X6 T
8 q% s7 b) n0 o# O, Y7 | 6 G+ @& ~" l* a2 ~& ?7 F
/ {: }* E$ m+ r2 ^ I- v 9 r7 }9 u% w/ y+ v$ ^! a1 W1 }
Z ?1 I6 w' i1 I+ w1 d

8 W% r. @: J: ]5 F' n6 n2 s 6 ?3 @6 E+ c' j: f

5 Q d! Z. v( h1 ? ~; p

1 f6 A9 ^- b4 } 测试结果如下图: + h: Z1 t! M; P# v

& y7 P6 O7 a! J' c) S
+ d7 l" v+ |$ _ O/ M! r# M & [1 A7 P g2 i* u2 O; G
/ o: y/ u6 u6 S " O* o+ ?1 w- f
) z8 `0 r& o7 d8 L& b6 \. K

1 o7 o( b/ n- b9 a " {$ m* W. B# m

4 r; a9 ]+ o0 r/ k

" w' ?' k4 V3 x5 M. F% ]# v 哈哈嗅探到的东西少是因为这个域下才有几台机器 ( E W, M4 H2 V u

( K; K$ A/ Y7 k

/ ~% z) O+ g( j- L 下面我们测试DNS欺骗,如图: t, A: V/ h) `8 z- h

! |+ K+ x* u" @/ @% r5 I
6 f' s9 p- Q8 ^0 @3 }5 n / _% c5 h' s5 o4 @
\: Y4 I7 I1 |! j* x, B, K ; c( N; d# Q- S$ F
& I- V9 K+ W4 V/ \

z( I+ [# g) ~2 X 0 ~- p H. X! @: Q: ?6 z* }: h5 e) \

+ |* ^4 V% d0 J8 Q

B/ j2 K8 K; O( Q' ^ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: % }' I* Y3 _' v8 @! s

0 w- K8 S+ B6 z6 h) b6 \
0 X( \0 @: d0 B $ Q6 j0 S$ _- b7 E0 O. O; W7 R& x
0 {" B& a/ f; b- ?0 a5 M 2 p8 i3 h- P3 M$ [9 |% u
6 M) I0 J7 `1 }

6 j4 D3 X, B$ s0 V' p% S( o 4 c; a8 X) Y; ~6 A# G5 z7 j( d3 P

5 T$ `0 G% q: Q ]6 Y

/ q1 q! W, c/ X (注:欺骗这个过程由于我之前录制了教程,截图教程了) + e1 u2 v0 | B/ e/ i% X

6 d, C$ @) o7 u- }, @5 Y$ j/ x* f1 m

: V" s# J' c8 B+ o 6 、成功入侵交换机 4 w3 a$ o2 L( ?" G

7 V+ a+ f6 S4 l. o- F+ v7 `

# c- r p9 M \1 _+ l 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 " ~ r K2 W% X

3 d$ V s$ h+ O8 r) S

& k! b; h5 j+ Z0 x 我们进服务器看看,插有福吧看着面熟吧 - M& D4 n4 M7 Y

* e9 j$ m) c0 Y$ a T6 v' b
% L. N3 u4 K) f0 B 5 l7 l! k! o; @+ [8 y6 g
( P) r. ]; t, Y0 i' F0 S ] , b8 K% D3 }& [/ R/ V5 Z1 `$ T
9 p, {+ h4 E6 Y

( Q, V, |+ x* ~! V% ~ # C) `, L5 R- {

" ]# M( D$ C- V0 O

$ U# o$ I6 E( \! M 装了思科交换机管理系统,我们继续看,有两个 管理员 % D% x# k( o& I

3 S" w! x* G% {, V/ X# R
, r. |) ~$ G' a) ? 8 ?% s1 ]6 y% ^% z/ p" m
9 Y( W' M3 Z+ V# X# W * X* G. d0 U9 a% m" H% I
5 W, i* n3 d0 R% A) ?4 F

% _0 [5 Q! L5 X1 |: w5 Z8 L 3 u! a4 W, l: y* ~& Q) u/ ?

! S F& {+ t# r8 ]9 l3 |

/ Y3 c. d* [1 v; ?+ Z" N 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 5 D# k3 U% s9 v# d

. T7 ]. Z5 O# v! k
7 c# @) Z; C4 ]: N/ b) }1 _ 8 [. C- I6 G& M6 s1 @; |7 n- `* @! I
4 _5 q. z) b$ h9 O ! M" g) _2 A3 B, t% z. f u
7 }$ H3 d; S5 J

5 b$ @) Q% E7 E# M8 {, i& C% k2 k0 k ! j' m$ M [( J& M6 D

/ y/ q' |; A6 v4 f/ y& p

# B6 p# S9 {! G/ o, ^7 { 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 9 R7 o, _3 @" ?+ E1 H( r

h/ v/ ?9 b9 J, w
, F2 Q' ?% h$ o* ]0 x % x" n6 i0 \/ J3 z$ @2 G
, I, B2 d U0 y# ? + I0 S8 }1 G3 j) F7 w* L( f
, m" U+ m4 z! ?

& y2 l, l( E/ X* I* _$ e( r1 v 0 B9 o; z; g/ j. o0 H

; O8 b- w* p( K! H% C

- q, ]$ y9 P. Z7 _) E+ B: x) J5 ]6 | config ,必须写好对应的communuity string 值,如图: + a7 M; t+ D1 u* K

; i' S% P2 c% [
7 D* ~: n$ o4 R& ]& V' @3 N" v9 C/ l! ? / i y; c3 [: h I& u7 _
; N# o9 @5 D6 K! ?. g! n) t 7 f7 i: w: }( V# C# U
3 g- t% ~+ B: F

7 k) ?- u" B+ {+ \& c 3 x; ?, O. X2 P) }8 q8 N

% j: Q# _3 ]3 |, S1 S

0 V8 U+ N' V! K! o8 K: Y. p# I4 O 远程登录看看,如图: % [# j# U4 N6 Y5 s" D& a

4 U$ M: c! z/ g; Z/ x- g
+ O& Y/ x) {) Q; M; N! d$ r % A1 Y2 G0 L5 h6 p& ?
; L3 l6 G7 O8 c/ e 7 p+ B# N$ S3 v6 `# m' X
8 d" P, y% ]# W) R

5 a" b! _* R) b4 g# p" h- | 2 K1 _3 N, S, j

1 A+ a7 w: h, P; b# M t

' r& L: S& m3 B! l 直接进入特权模式,以此类推搞了将近70 台交换机如图: . {( r7 t+ i+ w) s; ], }: m7 A

! L/ d% N$ r9 h+ \; I' s$ c/ U
- @0 W$ A- l- `/ A" [- h/ ] ; C7 v/ j I7 n" V7 h( p+ d! n
+ Y: [. y' @# Z* B+ \. B4 K 5 z) F2 b- n" n5 U! `, U+ d
4 \" t1 |- ], f' G# b- K

/ D& O8 f" [# `) c. o3 s6 m8 Z 7 e5 r/ \ @+ T; Y

5 ?0 I0 ]6 f. x- F/ x$ r

+ h, j1 l: W2 a, P : D* u* l! {8 }$ a1 F; b

; |7 L" M& n, W0 X

& Y2 a6 I3 w& O) O: G) B 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** , l) b9 c6 y5 L @1 F8 g+ ]

! f& Q) E; D/ Q" O9 w4 T
# Y& a! r- p3 h ?! ? 9 H! c6 Z V( V4 x9 ~
5 U! l% E0 c3 I- K$ Q2 R) O . Y( ?# y8 R! m* k( @( l& O+ }% m9 A
) m1 W3 b2 y0 ]+ ^, ?( A

% i% N' l. e* ?, }7 U! a ' P$ l, {# i, T7 y

9 ?3 J$ M$ ]" _ k2 j& J/ N

0 L. Z& e+ Q! g' t& w" I 确实可以读取配置文件的。 5 w' G4 V' \' D9 n3 @

& g# C# t, O5 @) r9 ?8 y+ U$ \

& v6 s( D- i3 b; \& c7 N: M1 ` 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 9 u1 y t. P8 ^# B* u& R; W4 a& u9 y

5 Y; d" s2 A6 k2 m
9 h/ _5 @, r$ h6 u* R # ^$ k, ]9 r! L2 R
4 F; o5 B$ \; Z: H . G T+ z3 C8 E+ E# q' t
@* v* a4 Y- o, N; v

4 L( Q7 \6 S) D1 B 8 P: g: Y* Y( K& C

7 z+ I4 X1 f% e: ^+ g0 l

; k* e4 v. F9 s4 R8 m' Y0 q: M 0 _% P* }3 W* m; b

( P* E5 D+ m7 ~+ X* t0 |

& z5 m% K# x" r% W I) ?, E; N 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 9 G. M$ D1 j$ G8 C6 S

+ B6 F: r$ T4 r+ h2 o
! @2 d& o$ w7 |; ^, Z8 M ( i0 Y" h* Y( ]/ }, `; V2 i
, F9 Y9 w6 y# B. B3 {' R " I8 y6 b8 ?- ?! F: X5 ?) Z& Z' Q" Q
% L: J% e+ y" S6 e' A. @

3 z F. F+ _9 N; c" v3 G / L4 ~9 a. @1 e% y3 M

9 e4 m. d- S; y' G0 H1 U4 f) n, o5 F

6 p% I+ a4 k- x 上图千兆交换机管理系统。 0 E9 {/ U% R7 a/ t/ W

/ p9 c9 i9 I' g

5 n) P7 K& J4 p7 S. U 7 、入侵山石网关防火墙 * S# t' l5 |7 j8 R! J

$ Y5 [7 K' `9 c0 c- ]" G

+ P" L3 l, Z7 W" R" s 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 0 A- O1 r% |' `3 m7 |

' O% L2 a6 }. `, i1 b
+ q+ o" n5 u) ^2 X ' F' V' T5 {( g' e! q
' v8 V( `$ h) ^ 4 J$ _+ I# I$ j& S8 N- y) G
+ C# @3 K8 P8 k; x* |' g; Y$ j

) @ {5 I% R+ Q6 i 7 L4 Y, Q1 |' y+ }% N( Z

. t3 h$ j" @. {: @$ R; j$ M

; k5 V$ T% }! h- d! ~& f V 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 3 f( d, I" S% I- @; t8 o

# T. [4 Z8 \+ k! m& g
' \( }6 j' d( h9 H : l7 D- ?" v& ~
" u# ~) ?, w/ h- b1 d7 O5 ^' e 8 i; |; R- o7 l& ^
" z, J. N/ j8 @6 R! [: k8 _

" z8 K M9 _5 t: h, W7 { ' t; v% }9 e3 l" j

& x5 J) E* W1 b. ^6 {1 | _) d

$ n. a+ N9 u0 p2 I5 V$ @0 t* K 然后登陆网关如图:** ; [9 v' ]0 ~# h

9 P" G/ Z' }9 @' F2 }
2 _/ r. _6 T- I $ v* w2 o1 c. K, j! Y
% {, c m" Q( r% K# Y8 V% M + S0 ^8 v4 u2 j1 M8 z3 w
; b( E3 U; r: A; b: V; U7 o/ Q

; e5 j$ E3 a3 p* y: d 5 m U- i2 c- H' c( t+ @

. V2 I! _: I0 K- T" d7 `
3 k% b4 g% s7 |- v ( f7 b7 ^+ o- O$ \! P9 F
4 ^; i: e0 C" W1 T" Z9 \! S 6 u7 R; T& g4 r# m
% p. Y. n2 A9 e+ ^3 u

& Q! h2 `* s2 {4 c 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 6 Y; r. e" V, w; [; |) s

1 d% F F$ B y. c( m' ^

6 r) `1 r* O0 Q o 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ! V' c8 }- L) T1 ^( \" _

# \1 d/ y" V) V" ?; f9 X6 \( P1 Q; T

7 {+ L+ u d& m; ?* L+ {/ L 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** * U$ U' q3 `" p9 X

+ f. p6 L! ^: x" ]$ q0 S! M
9 q0 L. _0 ~# I0 d) S* x: v - u J% \. k. W+ v0 S5 [
_3 d2 z# J2 E3 Z) j: X 3 s c/ @ C: M; Q
: [2 M( i1 ~! _

. z2 s1 D9 x& h3 v6 T1 h; m # D- g3 j# Z) d( E

' B; V1 v" d k; o* Y. n2 X

; C) g& e P \7 w$ w 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & O4 L1 ?& f0 f9 y- e H0 n; Y

% y6 ~$ S: B0 h& E5 u# I4 D# f7 r

6 R6 y4 P* e, s* c6 R   4 i9 ?" ]* c# w% u x6 C

& H; |. |! T3 |8 a/ f% |

7 K) ~! K4 f8 Z/ r
' `; P4 B# T2 Z1 @$ u# b5 P

) k5 t: N% d. F' H6 ? 5 d4 B/ |! t8 o- V$ v
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表