中国网络渗透测试联盟

标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin    时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网

4 `' p5 Z1 _$ ^& Q" Y2 f
3 c ?7 K7 Y/ C) |$ M1 v2 r1 F+ e

6 S7 `- g, G- q* [9 C. _: S* d- O

/ C! i( G8 w, ~, }8 c" ] 1、弱口令扫描提权进服务器 - S% G% I- M* c" F

) r1 W8 o6 v$ W/ Z

/ o0 ~8 Z% R$ z( a2 [2 H; U; B 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: + l2 e$ R2 n% V9 N

. L) j& e' E7 E5 C( J& t8 O. `
8 @* i5 x. ~' ^2 K3 P! o% ]' C/ l! [ + l+ f+ k9 l* d7 Q4 ~: K1 D
/ M k+ i' T' ?2 M) X, P8 ]) O % v" P+ O6 t# P3 X
0 r3 C- A/ s! p5 k; j' ?

/ Y2 ~, b& O1 a0 z/ n( N4 b$ d0 l3 K , o( [5 M7 ?; N! B$ _% m

( q5 H' R$ z- G1 X# \5 C% w) ^( _

5 s! Z, \9 |: j- G- p& \0 X2 H6 y * l: _8 m2 f2 e& s5 e! u) a, u1 R

- @8 e+ [# @0 h+ _

6 L! C: T- S1 j& `& v* u. N/ _* C ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 0 r# A; V5 ^4 F# \# \

" S ~7 R, M. V- ]9 M1 V8 F

" {1 [) N* y/ S- | s3 i( ~' g; | 执行一下命令看看 N2 H/ y1 u. O+ [8 Z: W' ?+ q

* _ F( |3 K- \7 Y# Y

/ U+ E% e) `- L9 \ i4 _8 N6 S " d& S; N! f8 X! n

) }0 C* F2 L1 W) h6 u1 g2 g
7 A9 f/ A6 n V. v S - U7 L6 q0 @9 m6 x7 m5 F/ x
! a* q1 z1 e6 S ( a: \, j! e- i- j, G- g# M
5 s8 Q. e3 y1 t2 Y

$ m _7 Y9 k) \. ] 开了3389 ,直接加账号进去 ) a, z8 h o: ^ {' B

; ~. n- K! }8 z$ Y
G j) s, A3 N6 [( N' j 8 N- K0 x. k( R) s4 {8 m7 p
, m. r( ^8 W+ }5 J/ ~; ~* N M L . k9 D) a# |& W: y. A( d
4 r( d0 X; v( T0 Q, s

# Y8 B) C' M$ m& x- l N/ r( g ; j0 k7 i1 Y) A3 x+ O

+ v( n9 C2 x+ ~! C1 Q2 z

2 B0 C$ i' Y4 \ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 % g9 Z7 P4 t# a* M2 y/ ~* x

, y) e: }' e9 T) C
/ k l$ D% R4 T( H1 T" ] . }2 z) x: q0 j4 b) v
2 L5 V1 r% y; ^0 P ! [7 g3 Z% M9 Z- Z
% o* J/ m: i- s9 Z- N# V

* a( D9 d$ p( K% V: p 4 y9 y: j. |, O8 M

0 X, d3 @; c3 p, o8 R: k8 N& g

K* H3 I! v" r+ q3 E 直接加个后门, # R& L9 H+ O) r8 H! }

6 d F) v6 ^7 b5 v2 o

i4 {, r' B4 O- C. Y. ~ j% { $ M1 V1 Z! d' g0 _. S' s

6 w" W' ~8 B6 R1 H
: t' g3 E' ~3 R8 d4 _( J 7 m( Q, h- _: `
, @" z0 U' \3 @) u% U1 w6 P 7 P6 W; G. @- ]
7 M# y' I5 M# r. u* h9 n, S# c

' l; Y8 a& H. M8 y 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 2 ^/ L3 e, {9 n$ }

& d+ S8 v- U( v4 G( o9 Z

: b, Q3 Z L* [/ z6 a0 { 2 、域环境下渗透搞定域内全部机器 & c6 i0 `' v+ H8 A' `' [8 X

- }* N2 _/ n! B

% t: i) N% S! u0 | 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 * w7 S$ t# `$ s7 B% p1 m( v

' A8 @$ j- g: |: E" F; x0 G& T8 d# J
1 i# [ t4 I; E& a& b # E& k5 P, t& K$ Q
( V+ M9 `9 u7 q# M' K* d6 { 9 M, }) @$ e' P9 N& {1 E; v+ C* e
! P) v8 o& G# W4 X' B

5 F: I/ V7 j9 h ! t, q2 O2 g4 p4 d

; P$ F: @( `4 m) T8 J9 r

9 c6 Z3 {1 R- q/ X 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 7 p# g; a t) b& E

i, D0 S$ m# w3 Q6 y+ f
% G# T5 H/ o2 h7 ?$ u 9 J/ @5 G& A: X! `2 O
% J+ V, w+ M' z% w7 x/ z+ [ 2 |% a, u# v6 ^4 q3 m1 ~9 ?
: R; D% ]) U9 l2 w5 C# u

8 U: _. a6 w) Z3 J1 T' F# K7 R n4 D& l+ R3 b/ p8 `' w

! \! |7 ? V+ H4 _2 g. A5 ~9 S

; E% S+ a5 X& F! ^- ? 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: % h7 h: {. h6 ]6 \! V1 w

; e) u' d* r+ |* C9 {9 J
) r9 T$ S3 [+ c- ~% ]3 A- j) W' E( Z 4 X5 G2 z; L* e( l) v( ^, ?
|1 u4 j* t6 J! s; s " q9 A5 y% g0 e6 k* L, t
7 _# M% \5 U+ G# v9 A8 e6 C5 k+ y

- `) j) f8 H5 J ' |0 k6 d1 Z+ Y. b# {8 [

6 q5 J+ p1 O$ W9 R J$ C2 x) D5 C

( O7 f3 n6 K! F3 z Y" T% Z 利用cluster 这个用户我们远程登录一下域服务器如图: / e( B8 p3 U b) E% d0 f+ B2 I8 D

9 C# N$ t9 F" ?6 G
r7 o; A. J/ q7 f+ ?! u) ~+ ^5 L" g * b& {2 |9 j5 U! I! w c
, H; Z$ C; w* W1 I# S/ g" \$ k 9 j9 D+ r* j7 i, g
- ^: K5 P4 e1 Y9 c0 V) o( s( c9 w

- k( k/ r9 w9 ]: O+ h" T3 i; a$ s , }$ x- S1 |' V: q

! ?$ x- }5 _& p; E/ `3 k" g

6 \: {, |, u, r7 \ V 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 4 a5 p: r- L$ ~* j4 U7 S9 u/ ^6 f

; D5 c3 S) N- O3 N# T8 z L
& l) h5 R/ n4 ~ # ?) h' P9 k8 v* Q: I# A
" d; v5 ]& `5 J5 G, W0 C2 Q4 c+ E6 F4 } . e% M1 z" M: g- t2 k- b! o# p) R7 \
% G l) ?& ~' t+ O

* k2 o# Q- V+ W: l+ H ) l5 i6 k) { k$ s/ N: O. P

% _+ {; \/ ~! A# Z5 W$ F$ c

0 z3 p5 h1 {: j 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: / c$ ]& v# K, X( f

9 C% c; J- ?6 ]: L$ E

$ |6 T% W& t/ }7 l# V- { # H% p" e1 A/ c: L* E: Z u

6 ]; a& T& E/ a- p. d# Q8 h

4 h% u+ f; p" W5 z) a( a1 n) R 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping Y |2 @9 c$ f. u* z/ D

& T3 h! v# d3 K6 ~; l0 L3 X7 N

9 H1 ^' U( @8 I blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: % c7 p! Z3 T7 r/ c. u" P6 B9 g

: G1 K5 w2 d' ~2 Z% r! }- D
: g8 j3 `8 e- B3 S' x 9 k$ F5 a8 B. a5 B0 \& }
( H- c4 I1 V+ I$ x& `0 O2 f J 9 J/ i3 o% W3 i3 _+ P
. [7 I7 Z; q- b2 p$ G

! H# N( H3 V3 o: G6 S! t w: v 8 C6 V# [; Y. O' G* y

5 n9 Q9 f7 b8 _$ A( y1 E6 ^

, v4 Y& C4 {" u2 C. N4 { 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ' b# m- h5 @. p- a& n

3 ]) B, f' o/ H/ ]0 x6 }, `4 E. W6 ]
7 [6 L: E0 S! Y& u, ^) I " l# ]( S1 n% M. O
4 A( p/ F3 P; D, p0 w7 e 7 E. b) Z0 g8 x8 z) O% x" `+ m
! O( A+ X, a4 d7 W4 ^" r: j

& C$ B9 D1 d3 h/ _ 5 H# U! a0 E; ?2 R$ v

# H) j' y* I5 ] I! i

% w4 j' i5 s z: g1 d, d 利用ms08067 成功溢出服务器,成功登录服务器 3 s- J# Y5 T1 J

0 Q9 \: ]5 q9 _
" V- R4 ]9 m1 {( t 2 X. h h* a! I
( E& B: J* o0 A4 \' W, P$ G* W & K$ d5 G( l6 s+ a
1 O2 g# e! R; a# o

4 t. V2 k3 b; o; M/ H# T E9 |8 {0 V; D2 l& {0 }6 j

7 [- K- G# |. z, p

/ j; M& R5 |/ k5 f0 \/ | 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen * W& Z- k5 a. ^$ w0 u8 p

% Q; n1 e1 K4 S/ e

0 |2 I/ r6 c- J1 Q3 i 这样两个域我们就全部拿下了。 3 C. F, y8 O+ p$ o1 b0 O7 T1 x

& V. A( U5 P t, A R, y

H; u& ~) O, x/ z 3 、通过oa 系统入侵进服务器 " V/ U; }& N0 ~1 x0 s

, E( g4 ?: L+ {0 r- @; @0 H4 b3 q

, T/ U: g( Y! B9 \: M) s% w* C Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 * w: m0 c* b9 N. \$ U

7 j+ c) D7 |# s/ U% [
* ?1 {8 E# G# r ?1 b7 x$ V& R% T1 c4 p9 d
$ Q+ Z3 ]6 A9 G" h. y 5 O/ B) N9 E% L6 x0 v
1 H, O1 T4 e9 p& G

& ?; F9 l0 h; S: V: L ? $ {( K2 N' ?/ w* q; v

; K8 ~: n4 n% C9 U3 z0 E! E

6 K! G( p+ k3 w, g 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 / h! g8 P8 M2 y' K/ w

: s6 A( I$ H0 P
, z; J7 g* w2 g, {( i/ K6 i" }" k 9 p, k1 k# n2 B
5 {7 ]2 t" w1 b1 d ' n2 a/ `: i6 T. }$ L1 ~
n, f2 Q: t- U" ~) J m6 H; N1 F

& Z! e I+ X, o. W# E- | : a0 V- |* M6 r7 V9 e5 ^

$ Q# ]; I$ t# f- }! U7 Y) i

+ w# _1 W8 \; G* I" p' J- C7 _ 填写错误标记开扫结果如下 " B& r6 S$ c0 M; X

. c1 Y' l3 o" L; e$ X
, {) f0 l- W& V. w- X8 F# z % I) k* t3 N7 R( x( ^
0 h8 J0 @2 r1 O( W/ y& ? r$ G - Z( y" F# C' K( t3 Q
& H# s5 w: \9 M9 F$ F7 P

+ t$ r: k5 D# `4 m- A! D' Q / \1 o$ R. |* U7 q. s

8 c) ]0 X8 {& n! p) V' ~

0 W. G0 @! y- f) {1 B 下面我们进OA 4 F- z! t1 P5 L9 c' q( G

( @/ N0 e) m2 B9 w
) K% p5 @2 R8 q2 \* H7 Y8 o; r8 j 7 }2 P+ Q- k' _) m" Y
1 R0 d4 [' P2 j, L 5 p7 Y6 w9 ~8 D1 @2 T. F+ b9 k
- Q# a( I1 k; c, y# y' D! U! O

% c# }# a- A' o1 X- ? * i! g7 Y! v! u# ?- M' u

4 d% N7 H2 a4 _- w( z6 `

3 O6 f7 j5 g# \" R. e( U 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 3 X6 ]. W- ]5 S, Z

7 f9 H. U: _1 O
* r) |; z8 A7 n1 e3 k 7 `6 O5 o! }$ H0 o4 Q
1 J, K4 P# }+ L& F+ U' V( J" { 9 d2 }6 x; B: B
6 ~! B/ J* e \" [- G% ?* t

0 M7 D; y- D7 p }& r1 L2 r& ^) q

' m# w! v6 Q: E; w: [( o4 T# b

1 z8 j$ X3 i& K ! R- _) \2 X% O" |& D- ]

0 t0 @4 T$ t0 v+ _) T$ z- A

: F: {3 a. R; ^7 l4 V3 U } 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 " ?/ w7 M4 p9 B! S0 k( R

( G7 ?2 H9 I3 k9 `2 W

# U6 i# P( v7 x. x( G ^- T5 y% v 4 、利用tomcat 提权进服务器 ! d9 l: _0 S' k7 b2 K/ {# |# K& ^

5 D" f) }$ R7 [ W0 @

( U$ r: h7 [& @9 W" F/ i nessus 扫描目标ip 发现如图 & \3 W2 s4 s$ O3 H7 O

, R0 U: g1 q0 ^, d7 X( n& I3 t
4 B9 ~' s3 |' Q 4 u# i' i7 ]* X" B' l
4 R+ L8 u6 {5 ] c 9 L& H6 @+ E' j+ O/ s
7 S6 `! l9 o# P, a

$ a6 H7 V' R; ~' O% A ( N4 k3 {% C) ]9 n8 E

: H5 d! e* w/ |4 S

1 J& }2 T; e) ]- [1 p* T 登录如图: 2 I4 g( O8 \1 h/ E: q1 J: x

$ z$ f/ P, h# ~0 _+ |7 ]9 h, h9 Z6 A0 n
. N6 U$ k, @' i' h * z" |- @, D! z- t
; X3 i* D: d8 C, J5 \ 6 F/ |) v0 T$ H: x: y
4 W. W" n) [1 ^8 W

- c% N0 a7 Q6 \9 n * N: t+ \& D4 e) L! f$ \. u, G" `+ ~

2 y3 ^% c0 u& M; ?7 E' K9 m& L

8 t# A8 z8 l- K8 F# E) ~ 找个上传的地方上传如图: : E7 c9 N3 o3 a' l

6 u$ x9 T) H% R* U7 Q7 h
V$ \4 T& U2 k6 Y" a 4 a" t& l, Z7 U5 j" Q8 O+ r& w) g
1 `! b P- m4 T 6 E$ B2 A' G+ G/ b% g# S
# u+ ^/ s/ @- U- y b1 }

2 Y% v! o4 ? l: M2 X9 {/ C $ K9 e; g) y. }& O! \/ c

" M% p' U1 c, N1 v! {! A4 Q( f6 P0 O

$ k2 ?- P( B$ k# Y) q+ _( b# o 然后就是同样执行命令提权,过程不在写了 / l% T$ N8 H) o1 ~3 N* _$ d6 z

" Z/ X- e( s: V

! ^: r7 D+ f0 ?! q 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 7 w9 B- V2 E0 R0 P) p, m& u3 { |9 n

* Y2 B. J( q$ T+ y

, k$ X+ s& t, J9 X( S( ^5 {4 | 首先测试ARP 嗅探如图 ( P. \+ G0 a9 o0 f" N

2 V* s: d6 n m) b8 Z# E8 D! L
1 _1 J! Y7 M( y; E # x0 w; L1 y e) q
' {& H/ m! G% z! G2 { s* |: g& F5 B$ |9 q
/ K0 h$ f7 M. x4 R, w* H

# Q) \4 v4 Z+ o2 c 5 r" p- q! J+ X2 f/ _5 F

2 I4 G" a) Q3 g7 Z' h

1 w9 P$ r7 m" m7 ?. V' T" ~2 o! H 测试结果如下图: . N. m' ~4 c, U, J

" Y- K9 p* g$ p2 _0 H9 ]6 W3 G
, N, X, {3 x+ H J. F6 J " T8 i5 I) S& U% o$ G% e+ m! h
" P' B2 u( T1 o6 C" ` r4 Q+ A % M6 u1 P. U% K/ n" g3 X
/ e9 \# f+ U4 B) v

2 l# b' g' O" L k: ~* P 3 @$ k, g s. u

) r/ S: r4 V9 a* D8 a" I0 }* ?% b

! P- k& ^" b \/ n 哈哈嗅探到的东西少是因为这个域下才有几台机器 - g0 ]( A! L* Y# d6 v% X4 o

0 V; o. h7 m# M0 O. j

' `9 {2 O; x* W) r" z 下面我们测试DNS欺骗,如图: 8 k9 M& ^( n) @$ g) N8 u

8 G7 A3 K8 a7 J* l6 G; l
& G4 s9 A( x6 p H* |/ G7 G $ K0 S- C" X( E* ]* w5 u
$ ]+ D! A, s- I0 s + {% u! V2 f6 N6 v$ k
2 [" Q6 F( J8 t' j1 [7 y4 e

2 b1 E, N7 R6 ~8 @0 S5 Q. Y% M ' I: E3 J% _. T$ A2 x: H

% y" w1 |7 |7 x; f5 p

- s/ D3 h5 j$ y1 e8 _1 w 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ) X7 f0 ]8 c, i- ? n8 I/ H: Y

. k$ z# h/ H- Z* ^
5 s+ M* q" ]3 r: L; t1 S 8 k7 n; J4 S- r6 r- m
1 j" d( O0 j7 ~( F+ s" Q4 v & @0 N* |+ o( B$ j; ]1 X% Q
1 g; m0 m- N! R. T( o

$ u% `9 a1 L4 E7 j. E* @& j4 s W9 n4 |, z( f& j( g

4 L& o- ?" u- `# D. O1 X

7 J6 B" |9 b2 I, ~" Z! J3 i- z (注:欺骗这个过程由于我之前录制了教程,截图教程了) - r; F9 A% p M6 L* w1 w

2 r' ]5 B: I3 r$ ]

# A+ s5 h0 {: `% M3 z( Q 6 、成功入侵交换机 " V7 u2 G; v) f, A- M( T+ o, ?

/ B( W( ?6 ? w

6 m2 \# l2 y! g" Z+ F. E! S. a 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 7 G& H2 e5 W r2 g" _; C

8 V2 x4 ^' U2 P3 a9 M2 C2 ^

% u# K2 ?4 i8 e; n" A" G 我们进服务器看看,插有福吧看着面熟吧 , p4 Z* P* Q9 ^

5 d: y4 E. @$ R: k3 v, `* X
- Z8 R5 C+ Q; W9 W7 d. z1 C * a( f z: r1 T3 ?9 K
?3 C; T1 e# h0 f: t " r: @0 m; j( ?5 B
5 E6 d4 w. B9 I$ L v! O8 B4 A+ U, x

4 `; o3 P5 c7 L) U y $ Z: e8 c( Z" }7 ^

& e0 D* M. ^" f2 C6 K/ G& q

2 d/ z: R5 Q" |) l. ` 装了思科交换机管理系统,我们继续看,有两个 管理员 5 S: s# P: Y6 a

5 |2 N0 y1 M$ z5 y2 m4 i9 P
) j: n8 c6 O, j# q% C$ x- V 7 @7 `3 A. D! K! \
w& c D. g! }* j4 P 9 i5 J+ g1 c5 m1 s* }9 F6 z1 r
3 x/ L- _3 z+ {, {

B- N+ `) m3 w/ R% h " y1 O5 |* M9 h! c) J

6 O4 Q; m4 f: H: ]9 ?# a3 n. D3 N

9 N; X0 ]. P% @2 s/ e: h 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 ; Y3 G# X" q6 N+ v+ F$ D

: |) t6 q6 v/ e" {' v- g
- g \, O) C* n8 H* P1 c4 ? 6 W: P; n# i) g4 F
; j9 x! i7 _( [6 ~$ k9 i0 [ . W* f5 ?9 c2 S# E7 g
6 ]2 ]" U9 X* e/ }! @8 [$ k5 L

. s1 Q! J* C0 d. I9 ` ' G ^9 X" g4 k2 E

/ F8 W$ C$ u, B: w% K# U

+ F+ H1 Q( ^2 \; h/ l 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 4 A( u( w5 u B: G

$ F/ n" B: E: _& `9 X) M
+ U S$ _0 Q; K5 F # S3 f& ]5 ^, N
. C2 s# P' V0 j+ ~/ n$ K 0 j. C$ P! N' L# x
+ j) i; x9 H$ `8 {# `

! F/ f2 t% | c0 b0 B ' s# V) I, f/ ^& Q4 D

( D- [1 U" @; ?; w9 f

S* A: k, Z6 x2 G. b( M config ,必须写好对应的communuity string 值,如图: $ y% e H3 V! @) [

8 H/ y0 c. O% I8 o& ]
+ ` b) L1 p1 H- g+ [ / d& D/ Z* _. t1 p1 |) M
: p7 V1 O" F, M3 f % d" e9 \9 P7 u& S3 H1 X
8 I8 p! r) C- i Y4 s9 L. ^3 E

/ ?1 k$ G" V" g- g! t+ f* k # {" j' K% i/ M5 M) Z. B, X

2 ]0 T8 \+ ^' f* B; [ N

3 g# y {" _7 k5 x0 { 远程登录看看,如图: # d* U' R" E7 M( w9 O J1 t

: p! P! g$ y+ K. m+ S
+ k$ ^0 W$ r- d# W3 X 0 r7 \5 t' A, u3 ]% v. b- `+ v
- B& ^$ g) q5 L1 i $ Y9 F0 m; Q/ i* [
2 o4 A, C) k) F( K

q; J4 l2 m- `5 \8 S ' v: ~' K) R5 ~9 n( ?7 \

8 N9 x/ E! P; ^) C0 b; \

' l& a# _" g# A! |- a7 q( r 直接进入特权模式,以此类推搞了将近70 台交换机如图: 3 B, y) p# n+ x4 l. |2 D

% }: g! q5 @0 T4 u9 g, Y" f
: b# B. q" a) J7 _$ f ! p( G: N/ v3 S9 K- `; A1 Y# a3 \/ `! m
" ^& [( O6 _; w, B; U : ?7 J# p2 E1 A$ I6 T. w; q
/ y! z' [# z* T/ R; C& r# ]

. \6 a; V# c! m1 ]- | 3 S7 ?2 X9 [1 c- e8 g8 x

4 R6 U: y2 |, k' a. b0 `3 e

8 n7 H' D# r, X" h# K1 ~ % P* K5 g, J- U# R3 Y% b

2 L& x% K: K, {9 f

0 m- ~% ]7 Q6 I% t; l. I 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** ) z" a b4 I1 c. ^, M

" v( U) O& a: y' T E. P. w' ?. ]
! t1 H$ b: B% G- Z, S5 I 9 W, t" y3 l1 p! m& k
2 y% ^: u$ X+ G3 ]& L6 _ : f6 e; a4 x0 o
/ l; {2 p. _/ Z/ x2 [3 Y$ v: q

9 u6 Z, Y6 g- f1 M 8 V% s5 M$ O: F8 a/ D R3 d

7 n/ S2 w/ ^% i" v

1 _/ r6 f. Z0 B8 s, y& q d$ s 确实可以读取配置文件的。 5 U- @* v5 k$ k

% O& h) o9 ]# M4 p( J5 h0 X9 L

2 D1 c' S+ \( }) w 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 - V+ q+ p( Z" j. p5 K3 a$ Y! N, b8 Y! G

( V# |! h+ V7 N4 f7 |
8 s& e- W) H. r ( D8 Q% X9 x {5 q, }5 m
9 A( S7 c7 Y& d& y! x7 y+ X% o9 d 7 I; q" k/ v3 ^ n
0 P' g8 N* V6 t; c( \3 B' P/ y

& L0 S; Q$ S( y n$ G( s7 ]. a/ U# t ; e/ K' {5 f8 w1 D) ^

! h s, x5 x; p8 @

5 Z' d, {+ b) ?# x$ X- {+ c# [ ' S1 d0 f3 \& w: k+ k

/ C' q; h' B: V/ x2 D: n3 T

2 W ~/ j8 c2 I+ V: [9 j# |! j 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 2 P' J6 Y$ t2 y9 e5 O+ K

* N5 X' Q2 W! L% R/ C9 l
w" f& M6 e, D; m/ X6 F/ | / ]3 @( _, ]$ J+ h
2 @1 Z: P9 K) [7 W8 c2 W: D& S 4 `7 I. w% V" O T
8 _$ U# R+ C% O) n1 v: S { v

7 f7 d6 j5 I/ s8 W' } L6 I . Y, q( `# @6 f H3 a q1 X8 N1 O

% i3 ~1 H# x& Q# N! x

% S# X, q5 q4 }- }. n 上图千兆交换机管理系统。 " l( M4 d5 Q, U$ ~

+ l. c# J* ~* f2 n7 O, N

3 e- ?9 O( p4 D) a& w5 K 7 、入侵山石网关防火墙 8 E4 C2 O$ {* f: P' m9 P

" Z6 w" A2 t! Q- D0 j2 F. W

: [; s( C& K" C 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 1 P, ~3 J" E4 U3 O4 R2 L6 X

: x2 T5 r4 f- E+ f* `1 S1 P
( O3 }& I/ x# n& N! f " D# ?7 u3 b+ S. \& U* p
4 o2 G1 V1 _# V( L, Z # I$ `1 o# j5 M" v8 u0 v6 o9 P2 ?% b, n
3 R% }1 H8 ]2 [- f+ b7 W$ r1 p

: z3 f+ _. T, }, W. Y3 V / R5 l. |6 x- a

* u8 g9 \* {- \$ }

' [5 K4 |. O" j0 R ^ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 2 o* d; C& q- }3 [

0 W/ z2 W# A( b% p: [, G1 l# M
/ w) N, ~/ z4 E A 1 {" b1 _( ]2 s# | q' z$ {* q
9 l$ \# B1 L, x" k+ U3 z" K 9 f3 ~' c- |7 K2 z
" Q7 x) v- z1 u: H; Q* |) t- W

/ P& Z. @5 F! l m) i 5 r* ]6 J9 j G9 r' e/ ]1 d) l

" A9 \4 j. _( k* T, L) }( b0 m

9 d. ^( E5 Q! d* X 然后登陆网关如图:** 7 s; S& w0 v, G) F; |" m. u. C

8 M2 u4 j L7 p' B; x
, N% |: I% V: E4 t" g + Y6 q' Q* H" p9 s7 N
" c; M1 h. f" G7 H- | ; H" Q3 }! w0 U! Q' \
0 m$ o2 C' M, S3 N( B, w

9 ~# a- P' |" }: d% s 9 V5 B, D# @; Y' p8 Q. `

6 t! H: X. l! [# N& v8 B
, y- e9 K1 Z- e# T* P; N 6 X. N1 X3 H# S* s! p! {
2 @# x4 B+ D0 F' s . K1 B& K* J# \, b- D. l1 l
3 \8 ?; }; L2 M5 R0 k* E# N( I

) F2 _( I8 d+ ^$ `3 q* g1 Q, e; H$ l 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 0 Y" J! |" H( f! v

4 D( h% }2 ~- z) |3 H

; U4 o; _9 ~8 z 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 * I$ ?8 J3 \* e1 s% k6 Q+ B) I; p3 H

/ ~' a3 a P/ ]+ O1 I

+ e9 D- B5 ^/ S5 F. j G% M 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ! d! o( |- w+ h7 Q

9 S# I8 Z: N# K% p% y0 V% z
1 u r/ d+ m' u8 v" k 2 W% d2 x8 W7 \* ?" a$ Y! Z
: S6 M2 ?) W C, J 6 E' ]6 S7 ?9 u3 |) N
( P4 U( G1 G* j8 d* Q; ^0 a4 K0 r

# J* H2 E5 r% A6 m n5 T " v/ k. N5 l2 h. \; D7 W' ^/ q: g, n

4 M# Z: d$ w: h

5 c0 w( g+ ]) h& k 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 % {% j8 O' {8 ~7 c

7 z6 D- j) ?4 X8 k

( O) {0 T. n. d8 ^7 [9 L% y2 ~   2 Z$ \5 |5 r0 x" N5 n3 V

/ N i' i, c" S$ X3 v

2 y; l1 S* e' k( o5 L/ l9 i9 h
8 ?# `! m, l7 V, N

% V: M* ^7 g' L% B0 V( y& B' P' n, P0 I' J, m3 M0 V



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2