中国网络渗透测试联盟
标题: 渗透测试某大型集团企业内网 [打印本页]
作者: admin 时间: 2018-10-20 20:19
标题: 渗透测试某大型集团企业内网4 `' p5 Z1 _$ ^& Q" Y2 f
3 c ?7 K7 Y/ C) |$ M1 v2 r1 F+ e
6 S7 `- g, G- q* [9 C. _: S* d- O
/ C! i( G8 w, ~, }8 c" ] 1 、弱口令扫描提权进服务器 - S% G% I- M* c" F
) r1 W8 o6 v$ W/ Z
/ o0 ~8 Z% R$ z( a2 [2 H; U; B
首先 ipconfig 自己的 ip 为 10.10.12.** ,得知要扫描的网段为 10.10.0.1-10.10.19.555 ,楼层总共为 19 层,所以为 19 ,扫描结果如下 :
+ l2 e$ R2 n% V9 N
. L) j& e' E7 E5 C( J& t8 O. `
8 @* i5 x. ~' ^2 K3 P! o% ]' C/ l! [ + l+ f+ k9 l* d7 Q4 ~: K1 D
/ M k+ i' T' ?2 M) X, P8 ]) O
% v" P+ O6 t# P3 X
0 r3 C- A/ s! p5 k; j' ? / Y2 ~, b& O1 a0 z/ n( N4 b$ d0 l3 K
, o( [5 M7 ?; N! B$ _% m
( q5 H' R$ z- G1 X# \5 C% w) ^( _
5 s! Z, \9 |: j- G- p& \0 X2 H6 y
* l: _8 m2 f2 e& s5 e! u) a, u1 R
- @8 e+ [# @0 h+ _ 6 L! C: T- S1 j& `& v* u. N/ _* C
ipc 弱口令的就不截登录图了,我们看 mssql 弱口令,先看 10.10.9.1 , sa 密码为空我们执行 0 r# A; V5 ^4 F# \# \
" S ~7 R, M. V- ]9 M1 V8 F
" {1 [) N* y/ S- | s3 i( ~' g; | 执行一下命令看看
N2 H/ y1 u. O+ [8 Z: W' ?+ q
* _ F( |3 K- \7 Y# Y
/ U+ E% e) `- L9 \ i4 _8 N6 S
" d& S; N! f8 X! n
) }0 C* F2 L1 W) h6 u1 g2 g
7 A9 f/ A6 n V. v S
- U7 L6 q0 @9 m6 x7 m5 F/ x
! a* q1 z1 e6 S
( a: \, j! e- i- j, G- g# M
5 s8 Q. e3 y1 t2 Y
$ m _7 Y9 k) \. ] 开了 3389 ,直接加账号进去
) a, z8 h o: ^ {' B
; ~. n- K! }8 z$ Y
G j) s, A3 N6 [( N' j
8 N- K0 x. k( R) s4 {8 m7 p
, m. r( ^8 W+ }5 J/ ~; ~* N M L . k9 D) a# |& W: y. A( d
4 r( d0 X; v( T0 Q, s # Y8 B) C' M$ m& x- l N/ r( g
; j0 k7 i1 Y) A3 x+ O
+ v( n9 C2 x+ ~! C1 Q2 z
2 B0 C$ i' Y4 \ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图
% g9 Z7 P4 t# a* M2 y/ ~* x
, y) e: }' e9 T) C / k l$ D% R4 T( H1 T" ]
. }2 z) x: q0 j4 b) v 2 L5 V1 r% y; ^0 P
! [7 g3 Z% M9 Z- Z
% o* J/ m: i- s9 Z- N# V * a( D9 d$ p( K% V: p
4 y9 y: j. |, O8 M
0 X, d3 @; c3 p, o8 R: k8 N& g K* H3 I! v" r+ q3 E
直接加个后门,
# R& L9 H+ O) r8 H! }
6 d F) v6 ^7 b5 v2 o
i4 {, r' B4 O- C. Y. ~ j% { $ M1 V1 Z! d' g0 _. S' s
6 w" W' ~8 B6 R1 H
: t' g3 E' ~3 R8 d4 _( J
7 m( Q, h- _: `
, @" z0 U' \3 @) u% U1 w6 P
7 P6 W; G. @- ]
7 M# y' I5 M# r. u* h9 n, S# c
' l; Y8 a& H. M8 y 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。
2 ^/ L3 e, {9 n$ }
& d+ S8 v- U( v4 G( o9 Z
: b, Q3 Z L* [/ z6 a0 {
2 、域环境下渗透搞定域内全部机器
& c6 i0 `' v+ H8 A' `' [8 X
- }* N2 _/ n! B
% t: i) N% S! u0 | 经测试 10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行 ipconfig /all 得知
* w7 S$ t# `$ s7 B% p1 m( v
' A8 @$ j- g: |: E" F; x0 G& T8 d# J 1 i# [ t4 I; E& a& b
# E& k5 P, t& K$ Q
( V+ M9 `9 u7 q# M' K* d6 {
9 M, }) @$ e' P9 N& {1 E; v+ C* e
! P) v8 o& G# W4 X' B
5 F: I/ V7 j9 h
! t, q2 O2 g4 p4 d
; P$ F: @( `4 m) T8 J9 r
9 c6 Z3 {1 R- q/ X 当前域为 fsll.com , ping 一下 fsll.com 得知域服务器 iP 为 10.10.1.36 ,执行命令 net user /domain 如图
7 p# g; a t) b& E
i, D0 S$ m# w3 Q6 y+ f
% G# T5 H/ o2 h7 ?$ u 9 J/ @5 G& A: X! `2 O
% J+ V, w+ M' z% w7 x/ z+ [
2 |% a, u# v6 ^4 q3 m1 ~9 ?
: R; D% ]) U9 l2 w5 C# u 8 U: _. a6 w) Z3 J1 T' F# K7 R
n4 D& l+ R3 b/ p8 `' w
! \! |7 ? V+ H4 _2 g. A5 ~9 S ; E% S+ a5 X& F! ^- ?
我们需要拿下域服务器,我们的思路是抓 hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行 PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c c:\s.exe ,这句命令的意思是利用当前控制的服务器抓取域服务器 ip 的 hash,10.10.1.36 为域服务器,如图:
% h7 h: {. h6 ]6 \! V1 w
; e) u' d* r+ |* C9 {9 J ) r9 T$ S3 [+ c- ~% ]3 A- j) W' E( Z
4 X5 G2 z; L* e( l) v( ^, ? |1 u4 j* t6 J! s; s
" q9 A5 y% g0 e6 k* L, t
7 _# M% \5 U+ G# v9 A8 e6 C5 k+ y
- `) j) f8 H5 J
' |0 k6 d1 Z+ Y. b# {8 [
6 q5 J+ p1 O$ W9 R J$ C2 x) D5 C
( O7 f3 n6 K! F3 z Y" T% Z 利用 cluster 这个用户我们远程登录一下域服务器如图:
/ e( B8 p3 U b) E% d0 f+ B2 I8 D
9 C# N$ t9 F" ?6 G r7 o; A. J/ q7 f+ ?! u) ~+ ^5 L" g
* b& {2 |9 j5 U! I! w c
, H; Z$ C; w* W1 I# S/ g" \$ k 9 j9 D+ r* j7 i, g
- ^: K5 P4 e1 Y9 c0 V) o( s( c9 w - k( k/ r9 w9 ]: O+ h" T3 i; a$ s
, }$ x- S1 |' V: q
! ?$ x- }5 _& p; E/ `3 k" g
6 \: {, |, u, r7 \ V 尽管我们抓的不是 administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了 administrator 的密码如图:
4 a5 p: r- L$ ~* j4 U7 S9 u/ ^6 f
; D5 c3 S) N- O3 N# T8 z L & l) h5 R/ n4 ~
# ?) h' P9 k8 v* Q: I# A
" d; v5 ]& `5 J5 G, W0 C2 Q4 c+ E6 F4 }
. e% M1 z" M: g- t2 k- b! o# p) R7 \
% G l) ?& ~' t+ O * k2 o# Q- V+ W: l+ H
) l5 i6 k) { k$ s/ N: O. P
% _+ {; \/ ~! A# Z5 W$ F$ c 0 z3 p5 h1 {: j
得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓 hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:
/ c$ ]& v# K, X( f
9 C% c; J- ?6 ]: L$ E
$ |6 T% W& t/ }7 l# V- {
# H% p" e1 A/ c: L* E: Z u
6 ]; a& T& E/ a- p. d# Q8 h 4 h% u+ f; p" W5 z) a( a1 n) R
域下有好几台服务器,我们可以 ping 一下 ip ,这里只 ping 一台, ping
Y |2 @9 c$ f. u* z/ D
& T3 h! v# d3 K6 ~; l0 L3 X7 N 9 H1 ^' U( @8 I
blade9 得知 iP 为 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: % c7 p! Z3 T7 r/ c. u" P6 B9 g
: G1 K5 w2 d' ~2 Z% r! }- D
: g8 j3 `8 e- B3 S' x
9 k$ F5 a8 B. a5 B0 \& }
( H- c4 I1 V+ I$ x& `0 O2 f J
9 J/ i3 o% W3 i3 _+ P
. [7 I7 Z; q- b2 p$ G
! H# N( H3 V3 o: G6 S! t w: v 8 C6 V# [; Y. O' G* y
5 n9 Q9 f7 b8 _$ A( y1 E6 ^ , v4 Y& C4 {" u2 C. N4 {
经过的提前扫描,服务器主要集中到 10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有 10.13.50.X 段,经扫描 10.13.50.101 开了 3389 ,我用 nessus 扫描如下图 ' b# m- h5 @. p- a& n
3 ]) B, f' o/ H/ ]0 x6 }, `4 E. W6 ]
7 [6 L: E0 S! Y& u, ^) I " l# ]( S1 n% M. O
4 A( p/ F3 P; D, p0 w7 e
7 E. b) Z0 g8 x8 z) O% x" `+ m
! O( A+ X, a4 d7 W4 ^" r: j
& C$ B9 D1 d3 h/ _
5 H# U! a0 E; ?2 R$ v
# H) j' y* I5 ] I! i
% w4 j' i5 s z: g1 d, d 利用 ms08067 成功溢出服务器,成功登录服务器
3 s- J# Y5 T1 J
0 Q9 \: ]5 q9 _
" V- R4 ]9 m1 {( t
2 X. h h* a! I
( E& B: J* o0 A4 \' W, P$ G* W & K$ d5 G( l6 s+ a
1 O2 g# e! R; a# o
4 t. V2 k3 b; o; M/ H# T
E9 |8 {0 V; D2 l& {0 }6 j
7 [- K- G# |. z, p
/ j; M& R5 |/ k5 f0 \/ |
我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓 hash 得知 administrator 密码为 zydlasen * W& Z- k5 a. ^$ w0 u8 p
% Q; n1 e1 K4 S/ e 0 |2 I/ r6 c- J1 Q3 i
这样两个域我们就全部拿下了。 3 C. F, y8 O+ p$ o1 b0 O7 T1 x
& V. A( U5 P t, A R, y H; u& ~) O, x/ z
3 、通过 oa 系统入侵进服务器
" V/ U; }& N0 ~1 x0 s
, E( g4 ?: L+ {0 r- @; @0 H4 b3 q
, T/ U: g( Y! B9 \: M) s% w* C Oa 系统的地址是 http://10.10.1.21:8060/oa/login.vm 如图
* w: m0 c* b9 N. \$ U
7 j+ c) D7 |# s/ U% [
* ?1 {8 E# G# r ?1 b7 x$ V& R% T1 c4 p9 d
$ Q+ Z3 ]6 A9 G" h. y
5 O/ B) N9 E% L6 x0 v
1 H, O1 T4 e9 p& G
& ?; F9 l0 h; S: V: L ? $ {( K2 N' ?/ w* q; v
; K8 ~: n4 n% C9 U3 z0 E! E
6 K! G( p+ k3 w, g
没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 / h! g8 P8 M2 y' K/ w
: s6 A( I$ H0 P , z; J7 g* w2 g, {( i/ K6 i" }" k
9 p, k1 k# n2 B
5 {7 ]2 t" w1 b1 d
' n2 a/ `: i6 T. }$ L1 ~
n, f2 Q: t- U" ~) J m6 H; N1 F & Z! e I+ X, o. W# E- |
: a0 V- |* M6 r7 V9 e5 ^
$ Q# ]; I$ t# f- }! U7 Y) i + w# _1 W8 \; G* I" p' J- C7 _
填写错误标记开扫结果如下
" B& r6 S$ c0 M; X
. c1 Y' l3 o" L; e$ X
, {) f0 l- W& V. w- X8 F# z % I) k* t3 N7 R( x( ^
0 h8 J0 @2 r1 O( W/ y& ? r$ G
- Z( y" F# C' K( t3 Q
& H# s5 w: \9 M9 F$ F7 P
+ t$ r: k5 D# `4 m- A! D' Q / \1 o$ R. |* U7 q. s
8 c) ]0 X8 {& n! p) V' ~
0 W. G0 @! y- f) {1 B 下面我们进 OA
4 F- z! t1 P5 L9 c' q( G
( @/ N0 e) m2 B9 w
) K% p5 @2 R8 q2 \* H7 Y8 o; r8 j
7 }2 P+ Q- k' _) m" Y
1 R0 d4 [' P2 j, L
5 p7 Y6 w9 ~8 D1 @2 T. F+ b9 k
- Q# a( I1 k; c, y# y' D! U! O
% c# }# a- A' o1 X- ?
* i! g7 Y! v! u# ?- M' u
4 d% N7 H2 a4 _- w( z6 `
3 O6 f7 j5 g# \" R. e( U 我们想办法拿 webshell ,在一处上传地方上传 jsp 马如图
3 X6 ]. W- ]5 S, Z
7 f9 H. U: _1 O * r) |; z8 A7 n1 e3 k
7 `6 O5 o! }$ H0 o4 Q
1 J, K4 P# }+ L& F+ U' V( J" {
9 d2 }6 x; B: B
6 ~! B/ J* e \" [- G% ?* t
0 M7 D; y- D7 p }& r1 L2 r& ^) q
' m# w! v6 Q: E; w: [( o4 T# b
1 z8 j$ X3 i& K
! R- _) \2 X% O" |& D- ]
0 t0 @4 T$ t0 v+ _) T$ z- A : F: {3 a. R; ^7 l4 V3 U }
利用 jsp 的大马同样提权 ok ,哈哈其实这台服务器之前已经拿好了
" ?/ w7 M4 p9 B! S0 k( R
( G7 ?2 H9 I3 k9 `2 W
# U6 i# P( v7 x. x( G ^- T5 y% v 4 、利用 tomcat 提权进服务器
! d9 l: _0 S' k7 b2 K/ {# |# K& ^
5 D" f) }$ R7 [ W0 @
( U$ r: h7 [& @9 W" F/ i
用 nessus 扫描目标 ip 发现如图 & \3 W2 s4 s$ O3 H7 O
, R0 U: g1 q0 ^, d7 X( n& I3 t
4 B9 ~' s3 |' Q
4 u# i' i7 ]* X" B' l 4 R+ L8 u6 {5 ] c
9 L& H6 @+ E' j+ O/ s
7 S6 `! l9 o# P, a
$ a6 H7 V' R; ~' O% A ( N4 k3 {% C) ]9 n8 E
: H5 d! e* w/ |4 S 1 J& }2 T; e) ]- [1 p* T
登录如图: 2 I4 g( O8 \1 h/ E: q1 J: x
$ z$ f/ P, h# ~0 _+ |7 ]9 h, h9 Z6 A0 n
. N6 U$ k, @' i' h
* z" |- @, D! z- t
; X3 i* D: d8 C, J5 \ 6 F/ |) v0 T$ H: x: y
4 W. W" n) [1 ^8 W
- c% N0 a7 Q6 \9 n
* N: t+ \& D4 e) L! f$ \. u, G" `+ ~
2 y3 ^% c0 u& M; ?7 E' K9 m& L
8 t# A8 z8 l- K8 F# E) ~ 找个上传的地方上传如图: : E7 c9 N3 o3 a' l
6 u$ x9 T) H% R* U7 Q7 h V$ \4 T& U2 k6 Y" a
4 a" t& l, Z7 U5 j" Q8 O+ r& w) g
1 `! b P- m4 T
6 E$ B2 A' G+ G/ b% g# S
# u+ ^/ s/ @- U- y b1 }
2 Y% v! o4 ? l: M2 X9 {/ C
$ K9 e; g) y. }& O! \/ c
" M% p' U1 c, N1 v! {! A4 Q( f6 P0 O
$ k2 ?- P( B$ k# Y) q+ _( b# o 然后就是同样执行命令提权,过程不在写了
/ l% T$ N8 H) o1 ~3 N* _$ d6 z
" Z/ X- e( s: V
! ^: r7 D+ f0 ?! q
5 、利用 cain 对局域网进行 ARP 嗅探和 DNS 欺骗
7 w9 B- V2 E0 R0 P) p, m& u3 { |9 n
* Y2 B. J( q$ T+ y
, k$ X+ s& t, J9 X( S( ^5 {4 | 首先测试 ARP 嗅探如图 ( P. \+ G0 a9 o0 f" N
2 V* s: d6 n m) b8 Z# E8 D! L
1 _1 J! Y7 M( y; E # x0 w; L1 y e) q
' {& H/ m! G% z! G2 { s* |: g& F5 B$ |9 q
/ K0 h$ f7 M. x4 R, w* H # Q) \4 v4 Z+ o2 c
5 r" p- q! J+ X2 f/ _5 F
2 I4 G" a) Q3 g7 Z' h
1 w9 P$ r7 m" m7 ?. V' T" ~2 o! H 测试结果如下图:
. N. m' ~4 c, U, J
" Y- K9 p* g$ p2 _0 H9 ]6 W3 G , N, X, {3 x+ H J. F6 J
" T8 i5 I) S& U% o$ G% e+ m! h
" P' B2 u( T1 o6 C" ` r4 Q+ A
% M6 u1 P. U% K/ n" g3 X
/ e9 \# f+ U4 B) v
2 l# b' g' O" L k: ~* P 3 @$ k, g s. u
) r/ S: r4 V9 a* D8 a" I0 }* ?% b
! P- k& ^" b \/ n
哈哈嗅探到的东西少是因为这个域下才有几台机器 - g0 ]( A! L* Y# d6 v% X4 o
0 V; o. h7 m# M0 O. j ' `9 {2 O; x* W) r" z
下面我们测试 DNS 欺骗,如图:
8 k9 M& ^( n) @$ g) N8 u
8 G7 A3 K8 a7 J* l6 G; l & G4 s9 A( x6 p H* |/ G7 G
$ K0 S- C" X( E* ]* w5 u
$ ]+ D! A, s- I0 s
+ {% u! V2 f6 N6 v$ k
2 [" Q6 F( J8 t' j1 [7 y4 e
2 b1 E, N7 R6 ~8 @0 S5 Q. Y% M
' I: E3 J% _. T$ A2 x: H
% y" w1 |7 |7 x; f5 p
- s/ D3 h5 j$ y1 e8 _1 w
10.10.12.188 是我本地搭建了小旋风了,我们看看结果:
) X7 f0 ]8 c, i- ? n8 I/ H: Y
. k$ z# h/ H- Z* ^
5 s+ M* q" ]3 r: L; t1 S
8 k7 n; J4 S- r6 r- m 1 j" d( O0 j7 ~( F+ s" Q4 v
& @0 N* |+ o( B$ j; ]1 X% Q
1 g; m0 m- N! R. T( o
$ u% `9 a1 L4 E7 j. E* @& j4 s W9 n4 |, z( f& j( g
4 L& o- ?" u- `# D. O1 X 7 J6 B" |9 b2 I, ~" Z! J3 i- z
(注:欺骗这个过程由于我之前录制了教程,截图教程了) - r; F9 A% p M6 L* w1 w
2 r' ]5 B: I3 r$ ] # A+ s5 h0 {: `% M3 z( Q
6 、成功入侵交换机
" V7 u2 G; v) f, A- M( T+ o, ?
/ B( W( ?6 ? w
6 m2 \# l2 y! g" Z+ F. E! S. a
我在扫描 10.10.0. 段的时候发现有个 3389 好可疑地址是 10.10.0.65 ,经过 nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓 hash 得到这台服务器的密码为 lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀
7 G& H2 e5 W r2 g" _; C
8 V2 x4 ^' U2 P3 a9 M2 C2 ^
% u# K2 ?4 i8 e; n" A" G 我们进服务器看看,插有福吧看着面熟吧
, p4 Z* P* Q9 ^
5 d: y4 E. @$ R: k3 v, `* X - Z8 R5 C+ Q; W9 W7 d. z1 C
* a( f z: r1 T3 ?9 K
?3 C; T1 e# h0 f: t
" r: @0 m; j( ?5 B
5 E6 d4 w. B9 I$ L v! O8 B4 A+ U, x 4 `; o3 P5 c7 L) U y
$ Z: e8 c( Z" }7 ^
& e0 D* M. ^" f2 C6 K/ G& q 2 d/ z: R5 Q" |) l. `
装了思科交换机管理系统,我们继续看,有两个 管理员 5 S: s# P: Y6 a
5 |2 N0 y1 M$ z5 y2 m4 i9 P
) j: n8 c6 O, j# q% C$ x- V
7 @7 `3 A. D! K! \ w& c D. g! }* j4 P
9 i5 J+ g1 c5 m1 s* }9 F6 z1 r
3 x/ L- _3 z+ {, {
B- N+ `) m3 w/ R% h
" y1 O5 |* M9 h! c) J
6 O4 Q; m4 f: H: ]9 ?# a3 n. D3 N
9 N; X0 ]. P% @2 s/ e: h 这程序功能老强大了,可以直接配置个管理员登陆 N 多交换机,经过翻看,直接得出几台交换机的特权密码如图
; Y3 G# X" q6 N+ v+ F$ D
: |) t6 q6 v/ e" {' v- g - g \, O) C* n8 H* P1 c4 ?
6 W: P; n# i) g4 F
; j9 x! i7 _( [6 ~$ k9 i0 [
. W* f5 ?9 c2 S# E7 g
6 ]2 ]" U9 X* e/ }! @8 [$ k5 L
. s1 Q! J* C0 d. I9 ` ' G ^9 X" g4 k2 E
/ F8 W$ C$ u, B: w% K# U + F+ H1 Q( ^2 \; h/ l
172.16.4.1,172.16.20.1 密码分别为: @lasenjjz , @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用 communuity string 读取,得知已知的值为 lasenjtw * ,下面我们利用 IP Network Browser 读取配置文件如图: 4 A( u( w5 u B: G
$ F/ n" B: E: _& `9 X) M
+ U S$ _0 Q; K5 F
# S3 f& ]5 ^, N
. C2 s# P' V0 j+ ~/ n$ K 0 j. C$ P! N' L# x
+ j) i; x9 H$ `8 {# ` ! F/ f2 t% | c0 b0 B
' s# V) I, f/ ^& Q4 D
( D- [1 U" @; ?; w9 f
S* A: k, Z6 x2 G. b( M 点 config ,必须写好对应的 communuity string 值,如图: $ y% e H3 V! @) [
8 H/ y0 c. O% I8 o& ] + ` b) L1 p1 H- g+ [
/ d& D/ Z* _. t1 p1 |) M
: p7 V1 O" F, M3 f
% d" e9 \9 P7 u& S3 H1 X
8 I8 p! r) C- i Y4 s9 L. ^3 E
/ ?1 k$ G" V" g- g! t+ f* k
# {" j' K% i/ M5 M) Z. B, X
2 ]0 T8 \+ ^' f* B; [ N
3 g# y {" _7 k5 x0 { 远程登录看看,如图: # d* U' R" E7 M( w9 O J1 t
: p! P! g$ y+ K. m+ S
+ k$ ^0 W$ r- d# W3 X
0 r7 \5 t' A, u3 ]% v. b- `+ v
- B& ^$ g) q5 L1 i
$ Y9 F0 m; Q/ i* [
2 o4 A, C) k) F( K
q; J4 l2 m- `5 \8 S
' v: ~' K) R5 ~9 n( ?7 \
8 N9 x/ E! P; ^) C0 b; \
' l& a# _" g# A! |- a7 q( r 直接进入特权模式,以此类推搞了将近 70 台交换机如图: 3 B, y) p# n+ x4 l. |2 D
% }: g! q5 @0 T4 u9 g, Y" f
: b# B. q" a) J7 _$ f ! p( G: N/ v3 S9 K- `; A1 Y# a3 \/ `! m
" ^& [( O6 _; w, B; U
: ?7 J# p2 E1 A$ I6 T. w; q
/ y! z' [# z* T/ R; C& r# ] . \6 a; V# c! m1 ]- |
3 S7 ?2 X9 [1 c- e8 g8 x
4 R6 U: y2 |, k' a. b0 `3 e
8 n7 H' D# r, X" h# K1 ~
% P* K5 g, J- U# R3 Y% b
2 L& x% K: K, {9 f 0 m- ~% ]7 Q6 I% t; l. I
总结交换机的渗透这块,主要是拿到了 cisco 交换机的管理系统直接查看特权密码和直接用 communuity string 读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠 nessus 扫描了,只要是 public 权限就能读取配置文件了,之前扫描到一个 nessus 的结果为 public ,这里上一张图, **
) z" a b4 I1 c. ^, M
" v( U) O& a: y' T E. P. w' ?. ]
! t1 H$ b: B% G- Z, S5 I 9 W, t" y3 l1 p! m& k
2 y% ^: u$ X+ G3 ]& L6 _
: f6 e; a4 x0 o
/ l; {2 p. _/ Z/ x2 [3 Y$ v: q
9 u6 Z, Y6 g- f1 M
8 V% s5 M$ O: F8 a/ D R3 d
7 n/ S2 w/ ^% i" v
1 _/ r6 f. Z0 B8 s, y& q d$ s 确实可以读取配置文件的。
5 U- @* v5 k$ k
% O& h) o9 ]# M4 p( J5 h0 X9 L
2 D1 c' S+ \( }) w 除此之外还渗进了一些 web 登录交换机和一个远程管理控制系统如下图
- V+ q+ p( Z" j. p5 K3 a$ Y! N, b8 Y! G
( V# |! h+ V7 N4 f7 |
8 s& e- W) H. r
( D8 Q% X9 x {5 q, }5 m 9 A( S7 c7 Y& d& y! x7 y+ X% o9 d
7 I; q" k/ v3 ^ n
0 P' g8 N* V6 t; c( \3 B' P/ y
& L0 S; Q$ S( y n$ G( s7 ]. a/ U# t ; e/ K' {5 f8 w1 D) ^
! h s, x5 x; p8 @
5 Z' d, {+ b) ?# x$ X- {+ c# [
' S1 d0 f3 \& w: k+ k
/ C' q; h' B: V/ x2 D: n3 T
2 W ~/ j8 c2 I+ V: [9 j# |! j 直接用 UID 是 USERID ,默认 PW 是 PASSW0RD( 注意是数字 0 不是字母 O) 登录了,可以远程管理所有的 3389 。 2 P' J6 Y$ t2 y9 e5 O+ K
* N5 X' Q2 W! L% R/ C9 l w" f& M6 e, D; m/ X6 F/ |
/ ]3 @( _, ]$ J+ h
2 @1 Z: P9 K) [7 W8 c2 W: D& S 4 `7 I. w% V" O T
8 _$ U# R+ C% O) n1 v: S { v 7 f7 d6 j5 I/ s8 W' } L6 I
. Y, q( `# @6 f H3 a q1 X8 N1 O
% i3 ~1 H# x& Q# N! x
% S# X, q5 q4 }- }. n 上图千兆交换机管理系统。 " l( M4 d5 Q, U$ ~
+ l. c# J* ~* f2 n7 O, N
3 e- ?9 O( p4 D) a& w5 K
7 、入侵山石网关防火墙
8 E4 C2 O$ {* f: P' m9 P
" Z6 w" A2 t! Q- D0 j2 F. W
: [; s( C& K" C 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图:
1 P, ~3 J" E4 U3 O4 R2 L6 X
: x2 T5 r4 f- E+ f* `1 S1 P
( O3 }& I/ x# n& N! f
" D# ?7 u3 b+ S. \& U* p
4 o2 G1 V1 _# V( L, Z
# I$ `1 o# j5 M" v8 u0 v6 o9 P2 ?% b, n
3 R% }1 H8 ]2 [- f+ b7 W$ r1 p
: z3 f+ _. T, }, W. Y3 V / R5 l. |6 x- a
* u8 g9 \* {- \$ } ' [5 K4 |. O" j0 R ^
网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图:
2 o* d; C& q- }3 [
0 W/ z2 W# A( b% p: [, G1 l# M / w) N, ~/ z4 E A
1 {" b1 _( ]2 s# | q' z$ {* q
9 l$ \# B1 L, x" k+ U3 z" K
9 f3 ~' c- |7 K2 z
" Q7 x) v- z1 u: H; Q* |) t- W
/ P& Z. @5 F! l m) i
5 r* ]6 J9 j G9 r' e/ ]1 d) l
" A9 \4 j. _( k* T, L) }( b0 m 9 d. ^( E5 Q! d* X
然后登陆网关如图: ** 7 s; S& w0 v, G) F; |" m. u. C
8 M2 u4 j L7 p' B; x
, N% |: I% V: E4 t" g
+ Y6 q' Q* H" p9 s7 N
" c; M1 h. f" G7 H- |
; H" Q3 }! w0 U! Q' \
0 m$ o2 C' M, S3 N( B, w
9 ~# a- P' |" }: d% s 9 V5 B, D# @; Y' p8 Q. `
6 t! H: X. l! [# N& v8 B
, y- e9 K1 Z- e# T* P; N
6 X. N1 X3 H# S* s! p! {
2 @# x4 B+ D0 F' s . K1 B& K* J# \, b- D. l1 l
3 \8 ?; }; L2 M5 R0 k* E# N( I
) F2 _( I8 d+ ^$ `3 q* g1 Q, e; H$ l 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里 ** ie 家里里 172.16.251.254 ,这不就是网关的地址么,所以我就用 administrator 登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用 IE 密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码, 73 台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封 IP 好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用 nessus 扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦! ** 0 Y" J! |" H( f! v
4 D( h% }2 ~- z) |3 H ; U4 o; _9 ~8 z
总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人 PC 还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人 QQ : 635833 ,欢迎进行技术交流。
* I$ ?8 J3 \* e1 s% k6 Q+ B) I; p3 H
/ ~' a3 a P/ ]+ O1 I
+ e9 D- B5 ^/ S5 F. j G% M 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和 dns** 欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图: ** ! d! o( |- w+ h7 Q
9 S# I8 Z: N# K% p% y0 V% z 1 u r/ d+ m' u8 v" k
2 W% d2 x8 W7 \* ?" a$ Y! Z
: S6 M2 ?) W C, J 6 E' ]6 S7 ?9 u3 |) N
( P4 U( G1 G* j8 d* Q; ^0 a4 K0 r # J* H2 E5 r% A6 m n5 T
" v/ k. N5 l2 h. \; D7 W' ^/ q: g, n
4 M# Z: d$ w: h 5 c0 w( g+ ]) h& k
注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。
% {% j8 O' {8 ~7 c
7 z6 D- j) ?4 X8 k
( O) {0 T. n. d8 ^7 [9 L% y2 ~ 2 Z$ \5 |5 r0 x" N5 n3 V
/ N i' i, c" S$ X3 v 2 y; l1 S* e' k( o5 L/ l9 i9 h
8 ?# `! m, l7 V, N
% V: M* ^7 g' L% B0 V( y& B ' P' n, P0 I' J, m3 M0 V
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2