找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1601|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

1 h3 ?. a7 I) Q4 L) Q
+ F! u' [3 U# Q F& v- t

5 h1 ?: z1 a7 p9 a3 m8 L. n0 D

8 T# D/ o. K, D9 w& w 1、弱口令扫描提权进服务器 5 D1 w6 b2 J+ x( U

6 D' N. N" _7 v1 L

9 H. y, S4 r1 r$ N$ H6 U4 e1 c 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: % E5 g1 P3 k- x( K! r' |

$ S! u# A) E2 ~7 P6 ]0 s6 A
) w6 H' H5 R0 G/ R + s- a% c% e# }% b" x, [: o
1 N6 x; v9 n9 q: l2 ~. z( \! R
, R& |, q0 @8 j3 e
% L1 \. e& @, X

. H5 {$ x# y& A- g1 n% { - P. b' d- a; y" e

6 g5 K5 G% j4 [

) k# u" i' S, F6 ?! D( x ' Z# S: @& k: h- x5 J

, Q- A3 d% ]( h8 ^2 f4 _" S; a

& M" l. I, ~7 X9 y* O3 ~; D ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ) d1 C1 B4 T+ Y! G q( t1 E; U/ s

6 A6 l- a; `8 f, B$ p. t5 o

6 W5 {% }' W$ |6 S 执行一下命令看看 B+ s4 E3 v2 _1 S, R

# s5 F5 S; H( X/ j) e

8 k) h' C+ p: y j; I: K # @, w5 R( L8 k

8 x6 f, c/ M7 Q4 e
, [& L6 E- T' \) \5 D/ h+ w# } ) z- T ^' l( d- p3 Y+ w; f
' X; A! {7 Y" _
4 L3 w |& ^! U: W2 j3 q7 M7 g; d5 d
9 G+ E& q7 `# [% e* i$ [7 ~- |

3 p5 w8 g. R, l 开了3389 ,直接加账号进去 % T% c: e, P% Z# \

" u8 ]$ w7 d4 x* V. W$ B1 m
B) L% Q ?0 \' U, T3 S, \, Y& N 1 u! y3 k' m% Y; r; e9 [/ H& B0 O
1 G& j& X! G. J
3 m: i# V* J) s* B: m* W
6 R1 i9 M: N( C5 B7 }7 Q2 l

4 ` ]7 n/ G0 A$ X " i; a" r9 N- {3 C4 p6 q; z/ l

! ~1 m$ U; ?* F

- E6 @3 A* g' j$ T 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 + Y" Q. q$ H7 v" D6 r. t! L

" e4 F, U& A% r! M* S
" G3 z6 ]: s% I7 ~. w: j. g 3 M9 j( d7 z; t1 a* q; y. ^/ d
. `! k1 i" m0 h7 \; p/ `9 u
8 {0 u5 T. ]# Q$ B$ g6 _) G
& t8 B. b. \; n* U! r

& a" c' r r+ _$ f$ m & P: Q- D/ E6 R

: c5 Q8 y4 Q% L& x$ |/ S

6 d: K) g4 E3 L 直接加个后门, 4 M" @ {& @- r3 S

, r* C1 D$ [2 l( K3 L( m n/ y

0 _8 W- h; Z$ F, s4 ^ v # Y8 E' b1 I2 j

+ Z9 i8 E6 h/ K" {* K
) d# @3 j" R/ _8 v. Z: O : [; q6 a% [0 S# q
- S- e# V3 _+ ^
: ~ C9 A9 p/ s6 ^% |1 [
, x3 X4 L7 |, f' @

# o+ e4 u% j& E4 G9 y, { 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ! H( c( Y( Q8 Z' B2 F

: P8 E( T* h* f! }& `8 G

0 `- P( Q8 S% y: B; y- g' D 2 、域环境下渗透搞定域内全部机器 2 v" D- n. u- G, v$ F

) f2 G, d# r/ L# L5 M8 X% A

5 i4 ^% n2 I- T" s2 P* s 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 T, H: `; M4 G" u

7 D9 n$ y7 o) F" \' v
' g1 C5 D) `0 N& C K$ |# F9 ? 2 P9 {4 k9 V4 ~( {. }
3 H8 ?. p2 z. h9 X( ]9 b" i/ t
9 r m" J, ?; E. f1 P/ P
& _6 E9 u! f" c2 n2 c

( X8 h8 z8 H; n& \6 Y- q c2 ~6 W * N% Q7 \: O) C! n3 Z

$ l e `, J3 o: N

+ ~* A8 m. l- N 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 % S: Z! k1 e! I4 e

% K% b2 r! `4 w/ z2 b
+ W0 s+ q4 c. ~- \2 ^- a F: S 2 L% j" r$ k1 L- O1 v
/ O, z/ m$ }- U% f1 m( Q
9 T& {% T9 Q3 p" z. R5 D
1 y' I) P1 `6 A3 k, q% N) B8 i# S1 z

! A9 n6 C6 U: g3 W + h" d: V; ?/ ], ~1 L

7 H4 J: d- }4 c' m

/ @& f6 C6 Z9 _5 D: B( D 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ) P/ ~8 i: t/ v) Q/ s

# F* c4 e. q" V: r4 g! U% d' ^
! Y# U: K0 F7 u# I / p% C7 N3 S8 g) ?0 M8 _0 _; t
* s( ?- K( ?* s" k* H2 \
1 w2 g. u8 r8 S/ w9 Y
6 r: o/ ~4 I8 V" E, M

^7 i5 t- ]. d& N$ g ; T# \' o' B$ w0 Z6 s: r" E o

4 A4 W- r" Y5 ?

9 p2 B0 i* I9 F8 ~% }2 ]# Y 利用cluster 这个用户我们远程登录一下域服务器如图: " ^$ ~' l, V* X/ @2 C$ G6 X

: i$ }# ?: B! Z* W8 m1 Z
$ U& Q3 v, X Q2 ^) V # S) P( I' l+ p8 ^. Y
9 m: L0 m; A) m$ Y
/ d e ~. ~# [. A* y6 @! l2 i
2 U& B( Y: u* o% G! A' Y. |

d- i: c. ~1 t, x9 u8 R5 p% W p# D) N6 {1 G& j9 r0 X

4 N- J" P2 u+ `# U% ^9 S

, I/ ]# b5 x5 V- y2 v 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: & @$ P t' I8 M& y5 e

( {) x8 o% y& D7 h0 r* S. A
+ B* }* A; h% x) } 3 K8 I7 o) K! }6 {& N% B+ T; \& z% e
9 n& U. R( |# E' l v/ ^$ \8 A8 @' {
6 |0 s- p, i; U" J1 \+ N% ?% u4 a
/ l6 u( n! M( l5 z; V

* \% f. m+ n/ b* d 6 Q) N5 X; ? L% T4 N6 `

8 |( l) N z! a, x0 E

2 D) _, _/ A" v K4 X 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 7 q: K/ v7 d! [* j9 c! H. j

. R- ~9 W/ P! Z0 X+ C

3 l' }8 d, ?3 m' @: ` 8 r8 H3 B l6 U Y9 L

& L% C9 G% o' S2 D/ D0 v8 u' s- i

Y/ \" J' q2 R3 |! m 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 8 B7 U0 J) [2 L8 W$ [( q3 b

& G5 C, d& [2 A

, [2 r7 O9 r( y blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 3 s" Q; M0 |, ]5 Z% [# O+ ?

2 r) H: \3 ]4 J \* ]* S6 j4 t
( h O5 f2 M$ |5 y9 c - K( c0 U0 o3 \9 I
+ w1 B6 I& K }5 ^5 {
2 Y3 H# q2 i% }6 @
+ J+ Y) K2 H! w4 p

+ g) a7 g- x U/ g7 ] + a. G# Y$ \1 U z' [

5 E7 [( o$ |+ S+ j" Y1 k x

3 y$ n8 m* r, k, z# R' C. I* y2 D 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 & g' h* G8 s9 W8 r) F) Z! T# t

3 ]: T8 w7 G* D, A! z( R
' i! N) {/ v1 y4 f3 v" p( J. n 4 y# ^( }1 ^: z' ~% G
5 U6 ~3 M% h/ x% ^/ ]# }
4 I, I8 ]: g: x
& ?. Y9 @: ~7 N8 N

3 j: p# N! J7 F" `1 @0 ], s6 F 7 G* h% S" |, @% T3 `( j- K

, z+ @! L& }9 l) k8 j

' }0 v; G! q9 C r 利用ms08067 成功溢出服务器,成功登录服务器 5 b% F! u1 V& U: Y2 Z. \1 t

- _8 ^! X6 b3 n! a% J- R$ k+ Z
3 c$ _# X1 I5 l* m, [' j4 i 6 Q* B. E& |( e' x2 R
. ~0 R8 E- Y; T1 N/ k' e( v4 Z
; T& C( q! ~/ L+ `5 x& `6 y
+ O9 |0 b) J/ S

& X0 L5 a0 F" v6 C7 ?) v 9 u! h- `3 G. Y' }4 l

: `; p" r. C2 g& c& A

R3 u. H W" ^; Y! N( a 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 2 F S) G5 O' q0 `# j

- m% J: B7 u# D, G3 b& b0 E

9 M3 a1 Y* D* l 这样两个域我们就全部拿下了。 * U; B; \! q8 S# K' @. I

* o" X) v$ z" J0 x

8 e3 r! M# _: k0 p r s* T6 n 3 、通过oa 系统入侵进服务器 - s( w, C. T- r) L

& ?! @6 m' e" a

/ d: u2 u1 }) g. ]; m0 r Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 1 [; Q- ?: h' c- W _" t _* P8 Z3 t

# M! _4 k' I8 S
' K: e+ ~0 c* m 8 K( s# n8 P& ]7 H: l! D* y6 E
: d9 D3 }) t% j- t0 {/ l% P& P# n% `
5 R ^6 W k+ P- w& o) v; C
0 w& _1 g% q/ }

, D* R: N. `- h 9 g6 y; Y) J. E" N2 _! B

2 q5 l3 e# I# E

# Z8 {& z; u9 E0 [3 G; K 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 % ^5 z, T8 T" U( b( y+ f% j

; a" H- L7 a$ d7 r
; b" Y0 M. c3 \( O. W9 w/ k * K. X, o( ~5 j9 G ?% C5 P& |
8 {# w, Y3 t% y. F7 v
4 J! z. i( i( {0 O# y
0 R' y( ^% ^6 L9 \

, H: A4 @# Y- F# o9 U, H 8 O6 {* [$ @, N8 r% R

/ Y$ N; N0 o+ O

1 `. r5 E# i. |0 X+ w7 N 填写错误标记开扫结果如下 / {' t5 Y, i$ `8 R2 c! Z. g7 p, v

/ A% N1 X! c$ e. v6 _/ o
' n7 h+ L9 C( {* P % i: s% v2 v. s) q: Z
4 j. _5 r. v6 x+ P6 \
5 ^: K8 R! X& P/ z) J9 i2 s
- j9 k( f& Z% a" r$ ?0 f6 z3 ]

0 h* A$ u9 C6 D4 ?1 U( b# J # O& u) X; [% S: U) [/ V: |

/ Y* G# K# ], M+ Z% }: z7 d

6 i2 g' N) t4 ?& H w4 ^9 O! U6 t. A 下面我们进OA + P3 E" o3 q, X* T& ~+ R

5 H" w: s) p( |/ \, E
4 `/ v: }- x( b" @: Y* V& q0 u/ [' b# J % }# U2 u, K) n9 Z/ P: x& [ E
( O$ [3 @5 r, a. w" T7 R
$ m2 b: |+ u! O+ _- t
, a2 t, [+ P" v1 S) j

: b. k! f p+ A" v9 [ 1 A$ h E; ?9 T% z* W3 r, t

, r7 r1 K/ C- a$ c/ O

" O7 g8 o/ @7 R4 u( q 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 6 I7 o+ Z, V9 ~3 \

% _9 E# M. h+ H' ^9 R2 \
' K. o( m/ i, \& j& d * b7 v$ K0 L# ?( }* ^
3 a/ w4 R$ U% \; V {: Q
9 H1 M6 Y- U2 L
( t- ` |! y& u! g) _

* m! B. b. _1 Q; l& E! H $ I* I1 I. s' x B

) S- P" z. g* r% z/ {; i

) k, \1 m" j0 w * y: G. x" X+ k& Y$ P8 T! w

; h# D0 d' K" N( p- W8 d' C

- S+ J) B: B7 i# A) D 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 3 y8 e: O7 R6 V

% Q A5 a4 ?2 U; q9 w

7 b' T+ E& z9 Z0 I" J: { 4 、利用tomcat 提权进服务器 0 [# N I, i1 M3 y0 h

% M8 T& c( K9 u

1 d' K O2 i* v$ n$ f nessus 扫描目标ip 发现如图 % H U$ f5 T- \* P$ C

, E5 U8 o8 }" s0 \
; S6 E9 v. @: w/ R5 ?0 i. ? & J# k' x6 o9 D1 q* c- c
" n. @+ F) v4 |* A" k& w
) t- X9 O4 ~& `. F# N7 J" x: \
2 _$ P: X; h1 @( J" p b

% s) d' M5 t4 M3 Q* w+ S 7 ]; f6 y N; Z1 Y1 i& {

4 I+ `- @7 q1 p2 e+ f' _. e

8 s5 u; s l5 u9 h9 R# E 登录如图: ; ^! C) T' X S+ x

% I ~) d) ~6 G7 ]% S# B
; K2 z! B8 F- N2 J. O: x) o 7 j* l9 a$ u, j. Q
" l8 V) B. [! N/ E
, I! A- z6 h+ y) w& |+ U0 o7 \$ j5 u
' ?6 P: _7 i4 ]6 w' |7 T9 p

, G$ M8 j8 H N3 o4 a; S. S# G & A4 z' g+ y: D4 o

3 ?6 w& D `+ [. @1 K+ i

6 t" ]3 f" F/ m. f5 V 找个上传的地方上传如图: ' @* T! m: ~1 O8 i: z6 }, X h

" Q& K2 z7 E& c$ v& f( a9 w# x+ v; {
$ g5 c& l: v4 I' J& [' d - \% ]- j$ c/ ]+ |7 H6 d# w
' B% ^) e! V& f( ~' l6 e
. R3 O! w$ k1 e2 h, A' G( K1 n) w- u
( W0 M& J, i6 h1 x, r

+ V2 e$ f; o! ~2 \5 h& K 1 b( y2 S* e- J5 H! Q

7 H/ y' E0 {$ l2 M

6 p- \9 }/ u7 d4 {2 F- b V1 {, ` 然后就是同样执行命令提权,过程不在写了 0 \( n5 U O3 E: E& ~

* b* K4 \ X. [' ~' B+ J0 K B

0 {" t$ a& o5 S 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 / j( d' B, H& A

" t) l7 h& k% z8 _

9 C. g" K7 Z0 v' d; c9 M: r" z 首先测试ARP 嗅探如图 5 c) w6 }; r7 W! g) t- \

2 j% @( x$ @+ l9 |. K2 Q* a7 {9 b
1 u( e/ \4 F+ z# ~ 2 t2 |/ U* Q v- S, G1 q% V
0 X7 X! i* C5 H0 M, d6 ]
B' t; F* F- \. G2 u# D* Z8 j
# D2 {" m2 o& F

^, M2 m7 w% J3 l# Z 5 ^$ J4 r: v5 |

( l/ x4 }: D# h9 _2 @% a

1 n+ b9 {) K. a- p/ c' g1 X8 g 测试结果如下图: 2 f) y7 j; r- k, V1 k Q& h

8 Z/ i% d# Z" \# w& O# |. ]+ h
* p; L$ P0 k7 D2 N ; g& n5 s+ ~! i+ C
7 T+ X/ J+ ?; P3 Q* ]& z1 \5 M5 o3 s
w1 d9 `& a& A% X5 B
# P( \3 k; Q( P1 V+ [( {$ f% t

R; M: W' V" t4 ` ) X0 y1 k" ]; X' o7 B8 W2 F8 K6 V

) `" @ g+ Q- k9 d6 k

8 F1 c* l% F4 o1 q3 F* u8 R6 G" T 哈哈嗅探到的东西少是因为这个域下才有几台机器 , i1 s! {5 t+ x9 V$ u$ R

8 P' f$ ^- J7 M1 F% O9 _

% o4 x% ~3 t8 U 下面我们测试DNS欺骗,如图: # [: e: O! O9 m2 v9 \; m7 ^

' d' O! `& _3 c' ^ Z2 X
( N# h# G4 t Z3 } 0 Z; ~2 q% ^, F. U
3 z! J+ K9 ^! }0 s
, G) R. ^1 u6 h5 @/ q j6 K7 j
1 l; F* e) ?7 ~$ ]6 u$ J4 y; d

# l( R# U& @' {, \' f 1 y: u* q. u- W4 r% \

7 G! Z# |8 D% L5 @8 Y% l3 n) P

/ P, y5 \' F T6 W( q' F+ c8 }& q 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ( u7 g R) V# @* Y

# Z1 s" S( K3 |* _0 U, Y
, ^2 @( q7 o- Q I; {# g7 H " O* F7 l5 X- A( L: M# J
+ F% k$ m7 r. k
8 G/ k* P# L0 ~. D. p3 m
+ h: `: o; t8 w' N* t, J# m

2 O4 E$ a. w6 }+ T0 @% X 8 I9 d) v6 G q: l. R- {6 L

8 B, e# I- P& e l% |

0 b, I0 q A; l- b' A5 v3 e- h (注:欺骗这个过程由于我之前录制了教程,截图教程了) ( C. Q, j% |2 G; E# v

. X; k: D/ S) {& w

1 o, h" B+ j# P, b4 R 6 、成功入侵交换机 " @0 l1 `, |1 q9 k( y* L

) a* n' [( s+ X5 L; ^7 x! M

* v7 c# _5 H( \- W1 X 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ' p& C7 V6 J& T9 L9 N

5 _' m+ A0 a# |; q9 U, W

7 C+ L& E$ r% }9 I9 C6 O* ~' t 我们进服务器看看,插有福吧看着面熟吧 ) u$ k( o/ G6 r. W

) f6 ?2 u: x2 h1 w I
( K4 P2 K8 y+ e# t5 B 8 @' B- H( _; P' a
2 c- C6 s( |0 D) V2 L- p
, E. G* \$ ~7 b% Y! z
$ b! {5 @! E/ k* ^

9 ~9 q% ~2 ?" Y6 d 5 V% ]) g& l4 e$ O) w

& h7 O t; O9 H8 J1 H1 {9 _

" K' T3 r3 O9 \2 |; W" _0 C 装了思科交换机管理系统,我们继续看,有两个 管理员 + X3 Q; @. q/ P: `

* i: C7 e$ j/ H4 ?9 H6 M, ^* Q4 e
- T1 l! \& f; d! e8 O& @( f9 T 8 G8 }2 @8 b: k( n/ F* [& J
) p o, p2 r0 _, e! d
% H5 u1 p/ T# m- T
) m1 \/ |- E: ~( E1 |. B

C7 _9 O: r: {! E4 l+ D ( S( @1 c( L: x) k# h" n) K4 |: ?

) u! X0 k) m/ H7 S+ x1 v7 g

% `5 i$ X6 D9 j 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ) f' R3 U- t. t" b3 a3 |

5 P; _+ K6 d# e8 @* q9 W; [: K
. [$ j+ _; L# v2 w+ x) Y3 b7 K # [) ]4 I6 Z8 T: Q U" b
- p$ ` Z" w6 y, ?+ t8 @
, ?) a e) R* q6 ^. O
- N5 }- W2 }$ b' A2 Z7 j) B

$ p& h0 Z+ p3 C& [' R& v ' X9 P b9 n. u

8 @% F" w: d A7 v/ H3 D' D7 B

4 d$ [9 K: R* f; P+ J' D$ g2 D 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: $ ?' b0 D+ h+ a+ ?8 I

9 _! z1 `* @0 N3 w
0 o" r' R1 h4 j) ]0 H' W 3 e2 a9 Z# H( t9 J5 Z" n2 `% K( f
4 Q/ t b6 I' D5 [) f6 h! c! p2 Z
- m7 J2 B0 `1 [& I7 r# D# e: K) d
7 R7 u0 |+ f. W- M

% \# _$ q- O* `8 C6 ?0 P% y. C $ S6 X$ g3 ]/ S: q

, p% ?& A3 x3 J8 [; t" u; a

% _5 _: E' W5 e config ,必须写好对应的communuity string 值,如图: 5 A& s( P4 W `

, G) j+ e$ H0 h
0 D. ^9 E# y) {* _/ O $ o- X5 l. s2 `
& I( o6 B+ ?9 G% V6 k
& w3 y& I. P7 y. |+ T8 o
T" e9 h3 R0 ]) v* M+ U( F

6 a6 S) o: j: l. r % V" B+ Q/ L! v8 \ Y

: h/ B$ b* L: ~% v# k% S

) a- _* o: _( U 远程登录看看,如图: z4 Y" `' N+ K( D, A( C/ N! f: c

8 ]( A) Z1 \" ^# D' Y
3 b$ o- E) D2 v" {. j G & k) w& C m5 N/ [* m+ q: }
% [3 F/ i# e9 @: f) k& y
5 x/ V& e+ L, D* h4 L+ j
/ d# d: M |0 m9 ]8 r

4 k" C9 p3 d& `! ] / ]* ?/ u2 j( z; N" H

8 _. j$ h& ?% w

. {, A! G: v$ i 直接进入特权模式,以此类推搞了将近70 台交换机如图: % ] X) T7 s) k, U! B

8 A$ Q6 f" l* G+ m9 m0 U e
8 i( @0 L6 ~2 z7 I7 t& C/ H + R4 `0 Z7 k6 c# s9 v4 ~
~% ~* c0 d8 V& m8 r9 P3 S7 U% x4 e9 P
8 d$ A% R% p0 f# e7 \
_1 n4 w6 [) v9 @ |! O

. a9 G. P7 `& v0 `! B 0 Z& a2 x& A$ B6 \5 B4 ]$ y

& M+ K3 S0 z; }6 Z

1 ` j& y" I% F6 J, h S0 S7 L - N c; G/ v' W

9 B( e7 V5 b6 ~" d/ r U" s0 e+ r0 R

. E2 z! i; v# X: z% |, Q 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 5 L4 |* A: ?9 Q

7 w+ R5 m, s' u3 r \
9 |5 F; m1 V# Y( { 7 q4 s" \9 Y8 |9 t$ D
; J+ a7 `4 C9 b/ {# b
+ i4 ?0 R' l# W, C
' v& K* L" g* A) S( E7 }

6 {3 N9 R6 ?# ?8 |$ D' E# | f # M3 J$ T; C* k/ V& O% P

9 T" k" G( d* e! b

: z# C/ u5 }7 s) ]+ } 确实可以读取配置文件的。 $ `9 {. T- O( f

a# B3 }5 X) u# ~' A

# I3 a/ m& h8 ?+ i0 ]& H! D. T 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 4 E. i8 k- ]5 o) V2 }

* d6 t! S0 z3 V( n) {' j7 K: K
$ l3 m& Y0 I' t$ T* T9 A " y' m' b) l' Y ^) d
1 Q: g* p' V" }. e6 ?* |
# Y; u; _/ z* v) Y
n8 f z8 o2 F0 y0 z+ K6 p

( J* C4 s o. ?7 g - a/ ~1 S- W5 n8 P: z* e; Y

" _# D, W: s$ Z5 S8 _0 h) x" t1 ?

. t1 I2 w" \6 x: O , V" W5 p9 f+ Z5 g* \

( B# Q$ t/ q4 L; e) n, w9 O" h! z

: K& E% }1 O9 g, T4 m3 _! } 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 2 A2 F: b7 W) ?8 H" O6 N* K% F

( U7 a. l0 `: K5 `9 W
/ Z9 U- B# Y* b' N0 e * y1 Q& c* ]: S0 W
7 m1 ~% u2 Q$ j5 l7 M* p T7 t
$ L3 e4 i/ e6 N: G4 o. l( F
K, f9 I5 j, \* c* o H+ V p, F

) y, `/ g! w) k+ b' h : h& n! _3 w5 k* e2 D) _

4 E! r! A* X( b* {" l

5 B0 X% Q w) K7 j- s 上图千兆交换机管理系统。 * T: C1 b2 c6 H" F: ~+ E% Y

% R% P/ T- T: l# I7 B' S& A

# }/ U4 {% d' {- k" y 7 、入侵山石网关防火墙 9 p* a" ^; P7 Y/ z4 W2 ]

2 w3 G# c( z7 M$ M- i; w. h" _

; y/ _. a, V& q( v' m! }" ^ 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: " h/ O/ y2 n: g1 y

, {6 M) e% ^. ]
( l( h0 `. O! e t! ]% e 2 I" W: E' [( @6 K, a
( ]' s7 G$ y9 t s; K5 p
; e" A; \0 r- |% O6 L
; T% `( Z, J) \6 _1 _0 S- O

7 m% _. y; n: h0 r3 w4 L7 p9 q/ S ) D: m1 q$ {' a4 T' s# m

9 D! k, s) a8 Q" G" D1 r

0 d! `1 P7 x0 g' o 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: . s5 f3 h% `+ K: T" _: N

9 y1 A, Q5 a5 W9 O! Q2 n0 M
8 N5 u8 K; F d7 f) M' e7 J 8 o& a5 ~4 a, @
( p* l; m) [5 n/ \8 ~
: P% E$ i" \" i) ~& l
/ X f. C' ~0 ^* \# o

- n# l* R$ l3 D; B- N ) B+ g# K5 v; B2 T( ?& u3 W* m

6 J$ Y7 M& M5 y3 U* r: Q8 E/ G- l0 ]

' i+ T2 Y+ l5 W/ K" h 然后登陆网关如图:** 2 t% y5 H& T2 P3 V! w8 r3 u

+ K: A# K( Q2 O S
" a8 x. C% e) V- o1 B & u8 g: v0 N- G' _
3 j: L7 J4 ^0 q$ z! I/ E: v% O: r
: U' X r) A0 T2 D; J
8 i8 R- P* V9 b+ Y

5 W6 G( A2 r+ u l( T' C- V ' q( C" c) Q L1 }* N1 d( }8 U

4 x* c% U+ ^: k* ^* e5 E
3 \5 d7 T9 L8 e, _2 j - ~1 ?# ~! u; V* n# u4 h
: Z$ F/ E; J7 O7 y- v. l
1 }/ Q0 ?( R6 ^9 y# @' ~
6 W: k" H1 r4 e1 o- f9 q+ J

! Y1 N! R K- Q0 x* ^ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 5 y9 ?6 j' m( j& o! c$ ^

- \* ]7 x8 ~3 C+ W$ O

U8 y- Z- ^% ]7 g8 |6 y- T" v 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 7 I& d: a0 Z7 x6 O4 ~0 d0 Z) U

A- P: `5 e2 T+ D7 \% r; y( D

( I* \$ p$ l9 \5 N% f 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** . R7 F: z# n1 L9 e$ U3 q+ _( r

$ H% q" Q) ]7 m
# w) P$ e/ d" S + j! G2 v1 r* o; M! u1 c$ p
2 K" G1 S: w1 u' l6 Q. x
8 G1 z% O) x, i; P5 c5 L
7 n& \9 ]5 E. _7 ~& i! |# F

" _) n- q" c9 g: a6 A& o 5 q" a/ H+ i: F9 g1 M# ^

0 b9 y. d' \2 k0 c7 j/ @

- l' o8 |3 r; Z! N4 B) J+ I5 E4 e+ K 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 & `9 {% V$ n# H" Y5 @9 U& A# u

% @1 S: d, K/ P- Q

3 l$ k: _: D$ P' r+ i& W" D   % B4 r* |1 C/ e; z3 m' }5 \. t6 C

6 Q0 H1 X& G' ^+ I

( p# `; m0 n) e: [( Y7 d
9 h8 O0 ~: w* m: x ]

) Z; D& \4 D& B/ h * ?5 y4 h% I& a
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表