找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 2643|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

& O- J- {$ N$ T! C, k
3 M* a; c. X' t6 u7 L; ?* g

x; x6 @/ }" B" C% X

) n1 k: q+ Y0 W' N3 B. n 1、弱口令扫描提权进服务器 + y3 b7 k: ^/ D9 W0 S" V

4 x1 g! ~1 F4 A0 k

! g4 |+ e4 B' C) S 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: - T) B; ]4 R7 p! c; S5 p

" k, F5 _7 ]0 v/ |6 D5 _, s! I
D% K1 K1 |7 M* y & P. ]) X( J$ E0 R" w# @$ x
- _' R1 B |) b. r& x7 n# Y 0 `0 L. i. R# M8 ^. e9 O. [; X. T" z
" i' [% p. {2 j6 F3 _! s5 B4 G

, n; a0 h. V6 _, H # r! d4 ^, S. i# r7 D! ]! p8 w

2 q9 X. E* g0 |# D

6 J/ Z0 F; l3 y 9 l7 k( W6 F! p r! T- ~

* F# P& f, y$ c# d, Z

0 |3 H* r, O" d- m ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ( L8 b( T; J7 q$ G

8 }3 R. A% o( @# l; \# s

, ?' @! J4 g& Z% U0 c" A% ] 执行一下命令看看 5 Z! G" L) b; ^% N! C# P

_. s4 y4 D# P* Z3 b3 G

; E# G! ^8 \! V D# S 3 n0 J- O- G& | r. i% Q! t

a4 k O6 b- a; k! t. ?* q. Q
! o" q: l) ?5 m 0 w8 c5 ~8 u9 K7 F: R4 ]
9 u) b& `' J2 O+ U8 Q8 [ . d, U& T" E9 }5 N7 r+ i
+ V% o: i; O; D8 F3 x. j X

. f! X q& _" L. t 开了3389 ,直接加账号进去 1 L) w4 b: E; Y. L: s& W8 q1 D

5 h- m7 K7 g! v7 T
1 a2 G; `# A: R% Q c4 y. S * x! v/ g5 I) y& [3 t: v
$ e" }2 z) A r: c' Q- C3 e" V 1 W0 d7 E: Y% v+ F$ @6 p( n
; Y4 [1 P# Z2 a( C8 T- v

. o# ?& \! ?6 k: s" m- U( S + P- C" I& g. [3 F# N% |/ j" o; {

( n9 _! Z* m3 J5 {6 f

2 B3 C; e! l7 r& ~- A5 Z9 m 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 9 a8 m4 \' _; p; @

9 ^4 i+ A" b+ i
$ F8 N* C) b% m , P% N6 _ q, g
$ e# r8 P' [- F # ]! O' ^4 W& }$ d
. G" A" [/ F, G( e1 s9 ~

1 @0 b. U3 y1 @- s$ b# `/ a 3 s, K1 A# |# V# d

2 g$ x9 \' b+ L

+ W4 q- `! i1 f% O 直接加个后门, 8 F3 }+ V: x/ }8 |3 _9 k& r

5 Y' N$ h4 q, {( v! l9 m

4 Q4 |3 ]6 T* `* T - D6 @6 k: U4 w1 E4 s

* V8 a7 @2 [( }4 E# ]% O
+ B8 c/ Q" q, z * F# h7 v, n: g- l' S
! t$ g. f' O- E6 j- t2 U! {( ~ 4 @. [3 N1 w5 \1 g: [, I5 @1 l
; S7 b3 X; L6 c

. ~9 L' ?6 W. j+ n- w 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 , H* [, i& _2 o' m! N

# p( g2 S: t! M8 Y) A0 I6 H8 z' d

/ G# ]& e* u5 P& ? 2 、域环境下渗透搞定域内全部机器 ) {5 M- V8 `2 c2 n7 V

0 b3 W5 U- a% k

0 y+ I J: z' L+ L: n) @ 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 ( s7 c" m& m! U! i4 B. Y0 @* c* S

' B/ J) p$ O3 O0 i4 t6 Q* ~
: n E) Q, V' [2 J E- X 9 z% Z% B C1 n1 D' K( u
( Q1 W/ i8 Y7 J1 m, [4 [1 r & h8 H9 `+ C' U# [* E+ H
9 ^& x+ p" r7 F& Q7 E

2 i* [) n! S7 S0 I. c: Z2 y! F 8 q; g8 t1 H& h8 K7 E; d- G+ e# e

6 w6 S- A2 X5 y- x$ m* b9 @5 ~

; U) ~% ?- [9 h' {, G/ t' k 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ! ~ q! T7 \% M' p7 w5 O

" T# l/ P: s9 i9 B
6 V( \- m* P7 b- h' | 6 l' }6 g( v/ d' ]4 x
, P6 I" a& v* [- h( I- E Y& |1 d6 y: A! z3 L1 C6 R/ q
! q4 g9 h+ Y+ _# t0 c

. F& O- K, H" P N3 p! B ) ~0 `1 e3 N2 y+ A* J0 u& i

: r4 O9 `- X0 F6 K1 { a

7 J$ s# }; |& C! J5 N0 G* ?$ [3 E 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 6 g7 O& W% Y: ~4 L# D; m8 J

! |% Z3 \" P. ^% k1 g( }
% X/ Z# a$ x6 r# G# j# y8 K6 O) G 3 V4 L- e0 b4 W, e4 b6 f: G
4 X9 H) H$ Y1 {) t5 I6 d - B# Y% H9 d Z/ l6 I! O
" |& i, x6 H c

, Q; O" n$ j( m }+ L7 V : H: a! T5 h$ S

3 y' p) Z: z6 g

% y/ y5 E& m2 k' D8 m 利用cluster 这个用户我们远程登录一下域服务器如图: 4 |5 w# V; k; n& t" F. j$ Y% }

( I L6 j9 p2 Z! a% s
1 I5 K$ z4 F4 r& E # U+ x! F4 |/ J! j
) g$ C+ N5 r2 w9 C ! y; `- h: c$ A% ^5 f0 c' Z- y
% ~; T* T4 p7 O" n6 h1 ^+ n" ^

* k) ]6 F: Q6 ~$ c7 w 3 Y: c7 U5 ]) C4 }, O

5 j3 s& ~3 j: i; t6 X; ?& s( [1 G

; d0 {, [9 Y* B- V+ m 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 7 K8 u' S3 a0 t% ]4 Y0 h3 v

" J( r: y1 D7 m; u0 t
4 t7 U# L7 @3 ^* U* } 0 a) [( f+ ~+ c+ j! e3 r8 s
" y ]- }. f+ g: e' V2 l& s- }- Y! D . q6 w2 N5 p- y; M$ r. Y
* m9 _- H0 S7 R4 Z1 w

y6 @0 P0 B1 F; L F / L# u) ~- ] {- e( m: z! H8 n

, z& M+ b* ]- V+ v) c

* a& h2 Z- S4 o. Z0 D1 q3 D, O3 ~ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: # t% E# K$ `. c2 B. \% p# r

+ X) E+ a3 c" i4 J: o1 t# E _% x6 ~

2 }, B$ t" s" a: f) o- r " n, R& d1 {; b. j

2 J% A/ m- a" U8 H

1 w# h* a$ {- N+ | 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ' B o+ F: n8 t8 |

2 p9 O6 N3 Y$ B6 X' n; q; [% J

3 c, m% L* K- Z% u3 D3 O blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: . q2 v1 Y. |% n" ?6 J

% g; D5 ?& |5 f
! h. I. A1 F+ ^$ g " w$ D+ M# ?5 ^& K
% T1 `& B& |' m: o# }, P8 L' G! n) x ! l3 ~9 z! E- d0 I4 S
! I& g6 {/ T @

4 g4 v" e: D$ {; m! K$ ?' t- | ; p* G, Y) s. s' U

& G, ]3 v: M+ [* y% E

0 `( b+ C& |- P 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ! G; n w6 t: G9 A0 B& ]7 a1 R9 f

: {$ v" z/ }" b6 l# a
* X h5 W' c5 p$ A! P. n6 f7 J* M % q& t; E* K" \9 Y, ~
; J; Y/ {- \; l' k3 v% i 0 Y5 I5 i1 X5 F/ ? s
, @/ {8 P0 D- z5 W5 }

- Y Y( w: F5 F' w* E . E' E$ O V0 @$ ?% P! R Q

$ M% J2 |& T) Z- B( _' o

; \/ {9 B" B; S& C( W 利用ms08067 成功溢出服务器,成功登录服务器 * ^% B; K. N5 n/ l( C

; j) f; o. M# q/ S. z
; L8 |; I0 A | } ( k1 g) Q% v7 Z; M
/ I) I1 H- x8 Y; H @% s ]* S8 s! g) u1 k0 m& V L7 P' V
; S+ w9 R% q% O

- d% [4 y$ n0 y$ l5 [: I 5 o' x$ K: F; |: g

0 c% [7 q Y+ [( ^. d! I$ ]

# P3 i& C7 g) J 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen - z: Z& M/ O0 B( u

, c. `! e. m/ I' x; ^

) [: Z( m! N+ V S) e/ U9 Z% J 这样两个域我们就全部拿下了。 # {: y) v+ c4 Y0 L

3 S: f1 H7 ?. [6 o

5 R4 S7 K, s. `; C- t7 ^* ?1 F* v 3 、通过oa 系统入侵进服务器 6 b( J1 L7 n* F* W; p0 a& B

- t4 A8 V- } @

: }+ D4 p' i$ G& H J. z7 i u8 ^6 Z Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ( c3 k3 O1 q( i9 q/ y

8 s3 Z. B9 j2 x
" K! ]# }% {# u! t: o # \4 i) g0 @: _0 w( J5 k
( ~( Y1 t" B2 c1 z4 {% l. Y" I \& S1 |! U' N# l' S2 j
( n2 C* m# r# D8 ]3 A

6 C- }/ ~5 o3 s7 S# k* I* Q" G" k w" @* R) ^) g/ @

, A$ }: o0 c2 h4 G, c i

! p$ K9 t8 |6 ^+ U4 X 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 # j, |. U6 s/ e) e, _ V# \

2 Y9 X' \ e% @0 G$ J; F# ~
( K& X7 y' T* q/ w; E3 @ ; D) }* }, d( H# }( \8 @( u0 e
9 _+ |" g" s4 |& c7 C; u " n% P; {0 O' y, D9 S* u: ~
' ^3 D+ i8 @& `+ B

7 e4 n( G0 M% ` , j" W. [% U' p- R

6 r2 q# P; K4 z2 @3 c( ?

% Q+ c% ?" Z1 s/ Y- T" |! F; s ? 填写错误标记开扫结果如下 , g: b# Q1 W- C* G

( D N1 y6 k* B/ p4 d3 R
6 w- G1 l0 b, m- ^: X9 s ; P- S8 r' O1 I' Z0 a/ k( N! \
) o6 }- [; _4 Q 9 r8 w* v( X. J4 Q- p J
5 L( _7 ]' h: _! |, X$ J

t3 H; y7 R2 \. d/ d ! r4 Q a0 F' S- u5 O

( g d( L( i0 Y& Q7 V9 C* ?% {

; i5 v$ N0 h' P7 G' D 下面我们进OA " U+ N Y% J5 u: ^0 `- A

) b+ G% L+ A0 K- A, [: |! f
5 y( {$ d' B9 j7 e' E9 i) |; p1 | " e6 i; i# j# ~1 y9 @+ D
3 ?2 w; Y3 q3 M 3 H3 K9 J! @% L, s( c6 ?1 G2 y
7 r6 V$ {2 M( C

( f% K# b/ o+ _7 Q 1 f$ I5 ?9 A, ]5 N9 f$ H! c

$ s/ v' v) t8 ]0 J0 w

1 P3 E' I* a+ ?& [5 b1 \ 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 " v( u: u6 i9 h: u- x

$ P. I% J1 H% c: r
' Q; I2 F% ^' U 0 I2 v8 X: h( W9 i" }. y. ?
3 ?% S2 p+ O) z) K7 |8 b; Z & |. w, ^. t. i
, n% t. ?& @) p4 o$ [

7 l8 P! h' u ~# w* J 5 j2 N3 m' k* k; U3 X

) O& ~; B, ]) K8 ?

# o- l1 _ ~+ C- a8 W8 @ 3 }' H. i: o+ p) `, ?

! i( k' i5 }' \$ f9 T

1 T! G9 \2 y* t2 e 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ) }; O+ h- S2 C

1 Z' p5 X/ a( m8 Q0 e: X7 Z

/ O! C% T! I! s& i& v* A0 F 4 、利用tomcat 提权进服务器 ( v/ P! M) i& V) v

: A7 D9 R. l5 k/ r; X; G

6 c6 }8 E' A# V$ @$ F! O8 I nessus 扫描目标ip 发现如图 % M. O5 G" M, ~ v- I9 B4 ? o

- D1 Q( F" c1 P: K
7 O% l! O( }* v) T 0 [4 q0 V$ L; Z" [ m
6 T2 P( h5 V% O2 ^/ x : s! p( M2 V' \3 B; w1 S
$ S! B7 g. j/ h

) X2 r& N) g: Y, j) G8 ? ' H0 u2 N- t: Y- r4 }" p% k

/ C5 f4 |* e! O8 H. M1 b0 m2 ~

, [. g" ]9 Z- }- C 登录如图: : N o, ]& Y1 K0 D# V& R, _+ j

, T ^' P k4 g. j- X# W: I
" J% n7 U4 i, l- s% v% ^ + j" ^6 b3 ~- {' [$ B
, w. A7 d8 L1 v0 V' g $ S( K! P/ y/ ?$ d1 f
) h# P' f5 P) V8 ?0 _

/ ` x* A. n$ L& w' Q # ]/ v5 I! b7 F) K# Z3 B

9 J; x4 J3 t# y, e, D: j9 z5 j+ x

6 K" r9 r0 J: U: K% _ 找个上传的地方上传如图: s$ {! I$ l0 _

$ x' Q$ G8 b/ K- d
; b, z1 }8 m4 Z% D7 E+ v6 x1 `) D - J4 H; x# \% D: ~6 c- F
; H; W$ I0 V `8 X4 k ! a/ W! m+ V- M
& w0 |. P) q, W5 G" E! [, j

, h' g9 h& y( I0 s% P6 p. \ 6 M: ?! S) k3 y4 ^% o% \

. c6 F5 _9 J1 c- d# T; V. V

# [0 a, P0 [9 Y y 然后就是同样执行命令提权,过程不在写了 " ]' Q/ R k/ k; q, R! S: A4 h, Y2 C

9 y9 c y, u7 V! ?

' ^1 p: Y$ {. \! ~6 ` z 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 * a/ |5 H& }: _1 G" C

& S4 i. K) ]' B& _

+ D" X6 l- _( ? 首先测试ARP 嗅探如图 & d' c+ c% Q- b& a

0 X7 k. G) e1 ~3 _+ y8 B
1 V& }1 V) f, S" p ( {' P, F; |% y6 q$ {
; y. f4 S0 v+ i& A+ G 7 O+ E6 ^9 _9 h4 s( v( R5 i9 m
' k" H a: a) l

) d& c% j, b0 t$ C7 r$ u5 E5 Z . Z' E% ?+ d/ X2 u2 V/ B

* e% I4 a5 s9 }9 K+ i

. r+ m l3 ~1 j; ?0 U( n 测试结果如下图: 2 |6 D6 `7 T+ ~

7 g0 y' b1 e# E. v( f
- F! v- C2 P$ v ! a5 K7 n" w2 o; z$ m) f# K; P: _
0 `/ ^* I0 ^% m1 t4 B2 [9 j ; ~4 q* P+ |( b+ }
+ \2 x k+ x/ @

! Q' a' x6 `% W; }& `- u ! x. p# ]# ^2 i# @8 |, l8 i

& ?4 U2 e5 j/ m- Y- M' J

& j: W& U* J4 H9 A% p# B 哈哈嗅探到的东西少是因为这个域下才有几台机器 , {) ]* v9 _! \* s+ k

9 X* Z- ^5 G9 w' {$ D

! w1 W; O+ R5 E 下面我们测试DNS欺骗,如图: & e+ s+ k" V! b

4 h# D8 _7 T, h/ _* z- ]2 W3 C0 `: G: `
" N! d. M) T* t0 ?, s9 m4 ?& g3 k 2 d! K- ]; Z W( ^9 `) F
' j0 a6 _: M6 g# v7 X9 o! ? - o4 N0 r- C3 N/ h& ?3 \; p6 ]. \7 w. @
$ P8 {1 [/ q$ J

6 Y2 h- |/ P6 ~3 l2 z 9 w4 C4 n5 m! Z

+ B: `# g$ v: ~1 |! u" z9 S

! G" D1 @/ n3 n* t4 J7 @ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 7 L: n, z% I1 [8 G7 C6 p3 S

. A4 p5 a. ^, X6 K$ F. W
7 i3 S: Q3 R& \# v8 d7 V- c - U' v" ^) ]9 w. @! \' G
. f3 ^: b& j8 V/ u- Y; X3 c7 u # O4 @* W n/ `% J) q
* b3 s: R# I- A6 r

$ f* E8 }/ I8 C" J , Q$ J. L- u- B4 Z

+ s* |/ h7 s. A& _+ Z" {% t

0 l2 `/ K5 O( n6 m9 L7 O7 o0 m (注:欺骗这个过程由于我之前录制了教程,截图教程了) 3 R1 l! [+ J% A

% [0 T( O/ L- _. G4 e

+ `0 w' Z: |" ~' Y% \' Q8 g 6 、成功入侵交换机 $ R3 w, j9 x* O: w' b6 [+ ]6 ~

+ [ x3 L; a+ N/ k2 p

/ p! L! z: i j0 c 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 5 L( p- O2 N$ d7 u

: p! ^/ C4 y$ r& a# l- U3 F5 Y

q8 Z1 W& C& B9 F } 我们进服务器看看,插有福吧看着面熟吧 * S6 i# J: E! {) r' Q" M. ` {

2 b6 ]$ l' V2 s! s
. C+ y( S& I3 I2 x + S B& {) j! L# K
( l3 j1 M. }9 i4 A4 b1 W 4 x8 o8 Q! o" l+ U4 U, J
; v& B3 M7 x' e

8 O) P) F0 R& d / O2 I4 ^$ \; p3 c2 X

0 d- y( M8 u) b1 ?- S

4 s {" [; {% p7 `! R" \ t 装了思科交换机管理系统,我们继续看,有两个 管理员 ( u% Z4 r0 z9 v% `: u6 ^ B

; f1 m7 D6 \. n+ I" q8 K/ ^5 L1 M# d
, g) n/ B# n# ^ U5 t4 f% S- W; b. N: \. B. m& C
4 W/ }/ e6 ^/ m& Y2 b- ] % s, o7 X+ e% ]$ J& |" U2 T
7 j0 m9 n0 v9 j

% m. ?7 P4 R5 z7 b . F9 e3 ~5 ~: |# Q

, C0 Z% Q9 s0 ?: M$ e

/ n$ k1 I' ]/ c 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 * q9 t3 f- w& N7 d) ] k

; F( C! W2 w7 J" ]; A F" s
: _: ^: g8 ^) j3 j. G : V9 m& h C; `' Q
* w% C, E0 t' }$ e" s. D' d, z / P3 H0 h4 `# [: t. @; v b
% O2 N6 M8 |5 l. u9 z: Y6 q" M

% }) f' I; y+ z1 g: c+ ^+ G+ W6 [ # y9 X; ?: P/ Q; X0 `

/ n9 \5 W0 o+ p# C9 n) C, {

( h# o: p# ]" ~6 R 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: - @2 U, I4 i: j# t( ^

# r2 ~2 @- m* d& O. z- B3 }. F
2 ^0 A! S0 n. `, X: N 3 G% A% U% A$ ^- B4 h
" e$ z6 \# X, U# o( X ( B: F0 ^; g7 d2 d8 T4 O, |
! e4 ^' n: E: z# L

' O. u/ M# i7 k1 g# m! o( f d" [2 P" _3 D" K

+ ^2 A" P9 e. O5 z; u7 m) u7 X

$ j B- {4 J9 n" ~1 Y0 w5 |& K config ,必须写好对应的communuity string 值,如图: . D% C" Z0 a; M8 z

: H5 o H X8 `* y, C$ C# N" {
( \# S2 u/ Q# ^, R5 V3 p/ P" g ( r: E( N2 L; _: v* s
( H! [: d; _+ h% B; @; f 0 O6 ? ]4 J% `
) E: r, Y: Z: ]. a6 M

: v; g- [8 }/ f+ P0 F 9 _2 E9 o# d) x8 x. W) R

3 Y" r+ t' Z" G9 e2 r) s7 s* U

% |7 K, |3 |5 r1 K8 K* G 远程登录看看,如图: 8 M2 i2 h0 f# w# L8 a( R+ N

. ?3 V# L/ o7 G8 {
* f5 v! U( F: b( S9 e+ C' `+ A2 J $ Z5 F$ L5 k p& K
" l& }+ D8 f+ B+ y * W8 A% j3 K I2 t$ B( a1 t
: T& } w9 [+ m$ O$ p

4 \3 ~; P7 a' g9 O! q: h `+ k6 V 9 h5 X3 Z- w& W+ q

) P9 W1 m& ~" ]% d, }0 U. P

; |; x" |" R- N, H& l$ ? 直接进入特权模式,以此类推搞了将近70 台交换机如图: ) A m* L4 M& R: o2 g, h

3 t; h: Z/ x u6 \
: v2 F, i1 T$ w: I" a+ q ! k8 f7 [+ X: {5 D+ `
+ J- N: `5 {; | 9 S6 |; r( F! I. @7 s; `4 J q% O- X
% O5 W: R* Z9 h& ^5 [

9 D% B0 z. l8 H! q, \( e8 L* `' t . ]0 j) b/ `( b& U$ V. l+ I7 A

* ^- [ z+ S+ A7 D/ D

7 `, p) I! T ~* h6 }% Q* C- B- m4 S" B6 a 9 o- r- J; b7 a' E) O

; o8 K, a4 Z; }( |

) r6 s R9 R) K6 {. j 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 9 G/ X1 Z4 f/ o) V, K! ~ u

0 s: _. Y/ @' s% o" j9 R) \6 b
( z! d* \' ?" s+ i/ y$ [ ! U: \0 n% M, D1 ^, f' `9 D# Z
0 f* z" f$ v8 ?$ k i; h8 W6 T 1 d3 B! L* e0 _6 g
5 Y2 x( f; |/ \6 L$ c& X/ A1 ~

. e5 `/ h6 ~" a, |2 a, g1 L! x # \3 G* Q+ p1 `- D! ~1 Q

* c% `( S7 k0 m

7 {( z6 Y0 M: H. }1 y; @ 确实可以读取配置文件的。 . o' t* z( w% H" i1 `/ c: {

! v! w$ y x( H1 J+ `7 Y$ x; T

8 E) M* V* U, V, M3 I& F 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 4 _- G1 B. b4 d0 b' K

' u' J* B3 S7 m
# D% h) ]8 A2 k! W; O' ?3 j 6 }8 E6 K6 D# C: d5 v2 r
8 Y' m0 t9 A2 ?: }& O ( S- R* K8 h; k& }9 ?
! p: v1 {+ u$ }0 ]# n& O1 [8 L

; ?& G: k0 P/ F* V( ]) W . d% j2 Q& c" ]# [5 h( c3 s

3 g( v' ^" F1 h, f- e

7 _0 e" ?: ?0 Y5 [1 H- Q8 v ' X& C- c) X7 q: O

; i" W# V1 u" B" P

* O" q0 J( R8 J j g3 Y( u 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ' H: P! h5 j6 Q- n* Z5 b$ z4 x

* K$ p& @6 G/ w
) r! R# q5 F) `$ f% u0 p$ e * Z+ b* h! F- I: ]4 [3 A( p0 t
" L" W* Z. J+ W/ V' r y / g5 G" k; x0 n% K* B- J0 M
1 D+ e+ G) l( R) s; O# I& H

; q( p. \3 T) K1 O6 g; M- A , v4 x7 x" S& b7 v

1 Q4 _4 u* K5 E' d" P

8 V6 p# ^& H( n( ?9 g 上图千兆交换机管理系统。 8 i! _& d6 ^+ J* o

' @ X. e' i. `) y# C

5 k! s; u9 C: Q i/ E 7 、入侵山石网关防火墙 ) U P" ^. X9 e r

4 ^/ R& Y. m( Q1 l8 }: B

8 }$ i6 {! M- y0 S7 ~4 w 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 M% O( a; Q$ H& j& T( p

& X! w# n2 H0 q) {
1 M: ?$ Z/ s ?! o 9 \3 }: o( V. _3 G; X4 `. S6 G2 ?
- Y$ \# D" Q+ w2 m1 L + m _ H9 ?% H
' b7 D3 H7 ^3 a& C( g0 U) z

" f1 u/ Z, v( |$ f3 L8 q, g " z4 Q2 B0 \# i# a# s/ s2 o ?8 E! a

$ ^8 k' d* e9 A q6 ~% g# y* a

6 j: V/ j/ W# B! x) L 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ; ?9 k2 h/ \4 T. ~: B% [0 C: r* i

0 w; V0 L j7 v$ S
; k7 C- I7 b9 K/ o; |. W- E" Q. w+ i 5 S$ `3 J( B& y$ Z8 s. x$ N
4 C0 s( ^, o+ Z / S, M. v7 @1 V$ y' H4 s
& A5 ^+ W' Z- M; I" N# c5 u

% `4 e+ C- w! k% p% O6 {! o1 P+ g1 D ( T0 h/ s6 @. c d

; i5 H C, ~" [8 A2 I5 u; F

8 T. g* h8 b, m. P0 V 然后登陆网关如图:** + [, s7 _& R0 o0 e/ [! p/ b8 d5 g

' w3 O3 ]5 |. o1 @% P0 M$ L3 u% e
9 w& r" k7 K% d ) W+ c* M0 |( {0 z" a! H" a' t
, f' a; x( m5 o, X+ |" f : F$ p0 U1 V+ g/ C8 X
* M. g$ ^- a/ T5 b

5 A& M3 L& d2 [% a/ J% v; s " i9 j+ y8 k! x; j; Z

; W; O" i2 T% R& f# m" q, t. C
6 K- l2 B q, ^& N, ?- i 4 [0 b/ g4 f E4 L' n7 c1 T
4 b- `, N+ H# w. w% w& a+ _( Y& ] E( S" R0 m7 M! S" ?
5 P* g1 S7 f# L! j. p

9 P4 @, ^5 h' X8 N: r 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** , ]9 c6 B5 z6 y6 u, F! f4 F7 q0 t

' e1 b! E; ]6 _8 c. l

2 J4 M% x6 \, ` 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 3 r, P( w. P7 }/ L' ?

! X# Q a7 x6 U: c# T$ C: ]

; l* K2 x1 b6 j" p 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** $ q2 k3 L! Z- \% K; z

4 P/ p/ w" G! a0 X6 [
! R0 K- T. _' a1 W 6 V. U+ {% H+ C. ]& H6 c+ S
% b/ h# h4 h) q, ^5 f $ E: E& V/ o$ |! z; M
( u t* Z% R) O8 Z0 S

' m0 g3 Q+ K& U: C) b : ]) o2 m, u6 Y. V' F) _

4 V- o o, E @* j6 K- ^* S3 J2 w

+ q" }, a! \1 N. F 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 + {) _9 r/ a H$ e3 |0 F2 \

# n! b" d3 c0 w) O

, L# _% x5 h: ]# o5 ?   * l7 z* b/ O; X) c& w

1 y. f- O; D! [3 x9 E

( r% y7 }: f$ o6 X# z
: t, ^! {. b2 ]) r& w9 \1 s' A

0 O3 X1 P8 h" Z' Z$ D ) @6 D/ a" N# d) C% T1 B5 `( l
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表