找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1602|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

) j& G& D* S1 U0 T, O0 w& i
4 O$ H. [. q. v7 s

& ?) C6 H/ s6 o* {7 V, Q

* }) t* m3 f" m+ U0 @- g" I 1、弱口令扫描提权进服务器 8 d7 x4 c3 ?6 i, A

1 k: S3 _0 e. {+ i

, c6 m% v5 f7 Z- C$ g 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 4 c( C5 n4 p) G9 Z2 I" `- u

/ m: R# R" h4 [. V
9 y0 h9 A& O# x0 w3 s 2 {7 w5 C! u5 V# ?
' d) L+ z; k9 I. N2 G0 E8 x
- I8 W/ c6 F& H9 L) V' `+ j5 B
9 o+ _% D1 V# L/ r" ] |% Z) `

0 G2 B' A- R7 \7 o$ c: K0 q0 y . w C# L' }2 k3 Q5 ^* t3 W6 P. B* V

# q0 X+ R7 x4 y6 a( k9 h7 v

) [) ^0 D8 Q- Y; B) j& e7 y % m. F3 I- C/ B

! N5 Y4 ~9 x; D2 v

8 L2 ]: e6 q2 Z8 ?+ [0 q, V+ T2 r ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 6 X7 ~; |& e* U) w5 U. ]8 `

9 V1 ^# s1 ]) Y: D) v- I1 }

# C9 m6 L. T/ j1 T& Y. R 执行一下命令看看 ! H* F4 P3 ^/ F7 y& z2 {

( j6 d$ O8 i6 J1 M1 Y) \: ^

( M/ _" P% ]; O0 a 7 U3 L: k; L0 }) D2 \+ b" O/ F

# X0 ]% j' W: u" ?' ^
% D, ]" I8 ?' w/ c' B( R. L$ m3 F 9 [0 D& ]' ?2 A+ K
0 L' G. g/ b& s z( {, v
+ \& g% y: x9 V3 p- H N
5 m; \# G. l4 O9 Q) S3 {) [

; r5 i+ z2 [7 ? 开了3389 ,直接加账号进去 8 O- S8 z5 W$ _# U5 ~# r1 d

: x# z' `% q2 t1 O+ y G7 o9 W
L/ v1 C' z) \& [2 z$ M 5 [6 Y; m- I! x- }. b& P9 k$ q+ }
3 O; G1 k/ W8 I3 z. ?3 T- t1 W8 h
( q$ G1 C& Q# ~/ M0 i
5 H( i2 p7 j' q' \( a

8 X: g; |, d6 c7 o1 {3 O % Y# W4 \, _- p' j) q

. l# W; C2 E8 g, H

$ I4 D2 k; u4 Y0 v8 O I5 ^. [ 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 S/ r% i# E' A1 O

5 E3 |) x4 y0 {4 w, T5 a" O
) B9 u6 |# \2 w H3 y# e9 C/ t" y( J* y) H
- X$ a. @2 @! z8 V$ W& c. l
' D/ e) W8 }2 D, J
8 \- y: K P9 q: h' |

: u! F0 \' W% ?& l * ]5 v. w+ j( Q1 S

- A+ W& e, C" o7 ]

; {' k% f* K, E/ e7 B) {* z 直接加个后门, ' ~6 F: v7 z4 E f

8 J/ N" y' x4 n

6 Y9 B5 I9 X3 I7 H1 u7 ~5 I/ ] ) b- Q9 J$ c4 k7 z1 @

" q5 u+ I. Z% @7 z$ ?! m" {8 O% u
, |5 ?/ L. J9 T" I0 x; S ; Y% {; r$ V/ x9 J3 Q! O5 h, }. o- B
" z9 B+ |: Z# Z- n1 R! I# W& d
+ ?' J1 o3 c) F) m5 O' Q% Q
8 ~0 Q) U# Z, i

8 w4 s# U1 c! D* f4 z 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 - v+ J* [) X2 ?* f3 A

3 l& S1 h4 W! r

$ `$ @2 A$ f" ^% @ 2 、域环境下渗透搞定域内全部机器 + ~- [: T! s! F6 Q

+ `6 {! \% r& k) v0 z

* f( B3 X. j8 h2 d6 P! T' j; | 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 8 |6 w [6 C! p

2 L- l6 k7 O$ H4 {4 h8 E
8 q/ j. p* H6 k/ Y % R" E5 Y5 E4 X9 R# {) U
. a# ~; y2 h+ u9 ?) Z, Q* b
. p i5 h- ~* q* `6 x
) a! U/ H2 \# w Y6 C8 p- b1 _

9 l' v5 ?! c" n' e ( u+ s$ H- B! O `0 E$ E8 N

( a5 ]4 P2 o9 |; r( N

, f# c }: W: r# l 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ; p# a4 Y8 J# n0 n

$ v. a' c/ T- A" f& {
3 _5 _8 H7 j" e0 r 2 \, H/ c3 |* Z6 f2 s) p. m
' `. i* Z! L9 ^ Z2 h ^2 P1 q
" w h- F! x; `# ^2 |
* i6 W0 h) v* M b/ t

1 ~, H* Z& h" u( B& W 0 l) a. c4 K' i# x% l" f E

5 m' l. B7 c5 U% {4 x: H& x

. l V' J o+ l( S) \: T 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 4 ^3 G7 q* t$ b" w7 ]/ V% g/ [2 t

& V1 X- L' o- ~7 p+ Y. X% I+ ~: x& b
7 a: ~: W* R7 y ' r0 P( W1 u D. A
' ^3 R8 c7 L3 ^7 o
, m% j, M* u& l
/ V0 {8 u+ H. J/ Q

- n( l$ i+ y# `- \/ x . E/ f" W K1 ?" J/ B3 r

" i- J- U+ R8 I. W6 ~

$ C! U6 R6 i. h5 c. p5 u 利用cluster 这个用户我们远程登录一下域服务器如图: # L5 P3 `, L* p' u. O( b. Q

/ @/ y0 f1 m5 e; m' a
2 q9 S5 v4 M+ N5 q1 z3 ^7 r5 T, e ( y, x: Y4 [) Z2 p- y* c' N A
$ I/ F8 K9 r5 `7 X* J s D
+ F* {$ M* o! C) @7 K6 p
% c! J/ i) g# B" F

* E2 d# A, U0 d4 o* H# n ' ~: ^" J) d7 c6 y

; W9 `& d" j: U- N) i

; i: |# t$ N$ Z6 I: I' H1 J 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 6 k4 {4 j' M1 Y, }9 \1 @; t2 |7 D! d

* {' _& |% u& G8 _
1 d5 w( R8 a* s/ q3 a& R& Y% b( o , ?$ ] G( Y( F
5 z* B( b% }7 U
: G; K# G* M/ d! d/ ^. ?
R- j' ^! y- U1 m

% U' T+ J( V6 |! G3 m7 F 0 g4 |) F( s" S& k5 s8 X

2 ^$ I$ E+ u3 x' G, ]

7 @0 X) e3 f1 a1 h 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 9 P6 ]9 O/ k0 E% s0 ]5 o/ A# u: C" B

( `3 `9 ]# ^0 c6 u# M; q; {% B

$ S3 \+ Q$ o8 p4 X) Q, T8 p |9 A- W, q% p6 X2 [

4 H0 m. G v4 z) _

. j' J, `1 ?, l$ G 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ' p( N" ]/ V$ X0 {

1 u+ r0 x; ~) n9 R, s

9 i! x6 J- Z {% G blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: W0 p: g) E. n' ?3 w: y8 i. u

! \; k$ \$ ? @2 \; c2 y! }- s, g
! Y2 N0 I# Z/ ~* Y9 H 0 Q# t( j# v5 k9 [+ Y) C8 ^
. W9 U( x+ L* [+ e3 i
6 n3 F0 o; ~/ {
: v, F- R- R8 o a- P

; s0 q" M0 S. B9 C' c+ A . z$ l+ K9 z9 x

$ A3 t2 h( T/ C

* e. P2 O+ z. @0 ]0 c% e 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 . i8 K0 ]& h; W

" l6 i8 A) L7 N6 @
, g" I3 v2 u( c) k p4 n6 {9 o. A6 {9 u9 |3 ?
* i6 _6 S6 g; |' K- N/ G
S4 L+ V4 H+ O4 R* X) W4 w
( O, U4 k, ]' Q& }1 ~

! V9 U" d: d- O3 D6 v9 n ! i ^' t+ W$ s' o& w, ~, J1 k

$ z: b' B- B$ F5 y2 o4 ~

# L: M& I- t" V. r 利用ms08067 成功溢出服务器,成功登录服务器 * B) l0 `: g$ V! c

7 j2 A% ~% m5 \! @& T7 O
1 }. s3 {6 k$ l# @. c# A* g* @ 2 y1 e$ y7 Z6 _
' e8 z, c ~5 d0 [. T! E, g- D( l
, o' `6 B. B! ~; n2 U, ~% v
+ Q! }+ [+ E$ |( h

/ g1 r% b" R2 L0 e- d ; h4 S$ D& p/ n1 y9 V

6 c6 K' r. G" A* Y9 k

; b: L$ h$ M Z% G1 ~9 t, f! C7 A& Q 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 9 _7 p# U9 {: ~5 D

: `. n5 v7 O: k+ m

! H3 b6 \6 b6 z& k A 这样两个域我们就全部拿下了。 ( X" l' w. K0 ~7 h" R

& d) n- K; R) r! j4 K: p

+ l* n; y% P# Y8 ~9 z 3 、通过oa 系统入侵进服务器 , Q! N' s6 R( w6 y0 N+ Z

; P9 \6 V' Z6 i$ G5 R' p- K$ w

9 v6 \; \: z( k Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 $ e/ v; T) o6 x I: n2 {3 u

/ n" s( L/ U' ~9 M, I. c
; H6 E( ^$ E8 m4 M % r1 N1 ~" r' O/ [
/ {: y1 S3 K+ k0 }5 E% `7 Y0 c
: J2 [6 A& ` D" {" D
% S! F- W, a6 g& s$ S

1 q S0 H4 b, u% C 0 i8 ^" ^% M4 K3 X* v0 s* G, d8 c

8 I% y6 s+ ~. r2 c

. C* K: f9 f+ Z 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 " Z9 J: h+ V7 Q

; i; e! W! d) j0 L( p: {+ Z
& m4 W/ A% {- S: o% u; r , b2 E/ t! g' o( Z" W! r
/ e- p# u( a( o9 S
4 P* p5 Q- S& L6 r
8 |" Z7 t7 T4 J

8 g" n: D" O- ?" Y! b 4 Y7 e d& Y$ S6 x

' W( o- W+ l+ |; \# C3 ?8 @$ G

5 \0 f+ R$ G8 x# R" |, M/ g+ T 填写错误标记开扫结果如下 4 _/ J; s2 q, y( o/ |0 k( n

+ U4 C) F" k4 A% g( `9 J
) T! D# `1 i! T! C8 s0 I9 [; E( a , u3 P9 ?9 B; Y* @* g" W
' h$ Q0 K$ [) z# d% S2 Z. _+ \
+ r$ [& z. R# P
+ }! p9 G* `* `: C, q3 J/ s

|' B9 u& N* w. l) b; ^ - C9 L! H1 {* H% O2 h+ l \

+ i* C, i: C* d' Z9 G) z6 J7 Y, B/ G

+ r# v0 ~- D" [$ @% u6 V0 m" D 下面我们进OA ( j, @; z5 g7 w. |, B7 L* K

_& ^! Q" |9 W( L3 }3 e: x; O
$ V. R/ Q( D' K' M X* R' U* i1 I: m" q+ Y
6 }8 ~" m7 W" @' ], z, a- J
) b6 J, Y: r. O r+ h
8 y: I+ g8 f* J1 ?4 n) C

1 V- Y' U. q$ D+ y" D$ W 7 s- c, D" V. ~$ q; N2 s

0 q7 L( W* v# B- e% v$ e$ c

B J8 Q, c1 Z; a! w8 h7 P 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 5 n6 f% m% y9 x$ M

% ~4 x& R) a2 h, d: K
# ^6 j+ g( k x : d9 v. J* s) d6 X# H9 i
H0 v6 x0 P8 ^/ B, C
4 h% y& G5 }& V# X
, b, K0 j5 p1 T- S, c

+ Y8 }* i$ b# V+ ?2 \ 6 ]. P& ~' G3 _+ l4 Z9 r

$ a D1 O% S$ _6 y. {; G1 O8 j

6 {3 w" K, }' V : k$ r3 _- K9 A Z+ b' O/ U5 @

6 l: R7 o3 G2 h+ T% ^4 ]

% o a) X1 s8 {+ J. v 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 5 F0 s: A) T8 ]- ~0 ^% W

, m! A! a- E% I5 G. |0 T I0 E) M

: ?6 Z$ r6 u. g2 h8 O- B* X% @! b 4 、利用tomcat 提权进服务器 6 ?* Z2 D) f7 w1 E

' ?( j0 l# _% `! |+ ?

_) R9 v' }/ c( n+ X nessus 扫描目标ip 发现如图 + P0 a3 w. ?6 h# o' e$ [6 f

0 Y" w; [" s- ^/ Q
( N" e4 E1 D% _; N " U: y& \" K9 x" q( G, p+ o
' }0 i5 f) j( m8 z* h& c! T4 m
+ y8 \+ z; j; ^# _0 Y3 s
' r( H6 T8 Z C* }; e

% W7 P! c& _; w4 F( \ o& L4 Y, k, d* Z' C

# _ O) t# k+ s0 ]" X9 s

/ }* p T- E& ]" ]% }% {& Q1 o 登录如图: - j6 W2 g2 {$ d+ ~

+ K5 ]" Q* n0 Y. r: l) I
* _% j7 t& C2 }5 q8 u4 m6 n 6 v: k+ q# R- q
% A% Z3 p. p4 d' B3 @+ ^$ z! ^
* _( S6 y- [/ d; [" R7 e
L1 ]7 x+ f1 e

0 \2 R/ E5 Q. r9 m. m - m+ ] `. [1 n* q, k s& Z

; } e6 i7 f* n: A5 O8 O/ ?

7 v% A& Q; O( u6 X6 J 找个上传的地方上传如图: ) e! K- n- t( |0 ^" F3 P7 R! [5 ~

3 _/ G3 J" H' {$ |/ e( v
, ]" c: ~! M8 Y3 {* L + `4 u5 ^" v) p5 x0 G
/ T( y* t& i2 b Y. V
& t( f2 @& C% o; z" u% T0 \
; P6 R4 k9 }" k7 y+ W

2 h% J2 k: j* u/ N3 z + R5 A. i; d9 {! V z i9 D

+ Y9 v- e* n, g

0 [3 a# \$ E+ @ t3 j5 B5 N 然后就是同样执行命令提权,过程不在写了 ' [4 j( m6 m$ n3 C2 ?2 r5 N

$ y4 n7 _ r3 L0 ~* k7 @4 b

* }( S( ~( d0 c( l 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 7 b; D- d/ X; x

# {. G3 ?( B* N- L* n! d

& \1 t, G- @, T# `; j# `7 Z 首先测试ARP 嗅探如图 2 \4 L2 E+ q; t: O5 J1 h7 h c1 q

' k8 _- \% z1 l: x0 R* Q
7 n4 f1 [3 @% z1 { " J+ T0 Z6 C, ^
$ X) r4 m1 k: w& [/ i; m
8 N* Z. f9 f5 R& C; J1 u
. c5 @# n4 c' r

0 P$ n) Z: [, ]; g9 |' ] , g. Y1 K; f& x2 b5 d) }

/ y! x, p) ~& n' n! C' r& M

+ O! z- E7 d3 ~" p, { 测试结果如下图: / q9 w- A: p+ u0 R

9 R3 `5 h7 p% B; b; i0 k8 C8 `) U b: @9 O
0 m; M" K8 ~+ |2 D) y+ k2 [. N 8 d- Y% ?; L! h" X8 u
. R* O+ s: R9 N& D& ?
; H5 u ?7 W% |% G/ N U( v
! \" e& m0 d8 I. Z: i

5 S+ {. U, d! q: S+ u2 g & N+ \7 S* M! v( e

0 X1 D, z1 r |+ `" F( ?

: o- B' h- l: r7 S 哈哈嗅探到的东西少是因为这个域下才有几台机器 ; Q. [' P; Y; e0 L6 G& g

' s9 F8 L1 P3 Q! C) D4 H5 B* n7 b

4 `: E. }7 w- W3 l# m4 C$ a 下面我们测试DNS欺骗,如图: 8 w, N% P/ N! \

9 `3 \ M; ^4 L' V; U, p
- V0 A, A- v- H5 E. u+ Y W( [2 ?1 k+ t1 ~& s, f% W
\. T% W) s; [1 Z" B
q/ U- F. X% k6 e
0 R4 o5 t5 V- o5 B" g( W6 i

7 Z# ^) ^. |( n; t1 L# d# j , m6 q+ d% c7 h6 u# ~5 h

8 A& \# w4 N8 x* X. o \. L

; o5 Q% G) z' d/ ? e5 p 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 y0 p1 n9 D, d- f" H7 T- @

- M1 P9 B' @ X4 a# S9 Z3 z5 R
& P6 W3 e% I, @: F+ q " M9 f% `1 f2 ~
& l, O* ]' E5 X0 G# `
* x4 [3 {6 E1 y$ l( {
$ c! g" F1 @+ p5 D

: ^6 O7 x7 o3 S 2 h: X% ]0 K2 R& }4 n( U, e$ @+ j% Q

9 V' e" n- {3 a; P" b7 {

1 V' O+ \0 K) h7 A- z* d4 I" A6 @7 U (注:欺骗这个过程由于我之前录制了教程,截图教程了) 1 Z. |# I" t: U1 d0 C0 l2 G2 c: F

, f% Z* }& F; A- ~

) o w# p/ L+ m! Y/ S- O4 l 6 、成功入侵交换机 . z8 }. d c! i. g) w K

- n( p6 P! @8 G6 T7 u* c; g3 \

2 W+ e9 {, q4 h- Q 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ( h0 \8 }- l. _2 J% L

- d' V, L5 V* |4 Y- `/ J9 E# ]

0 B' L4 T% d" b0 i @6 c 我们进服务器看看,插有福吧看着面熟吧 ; q) N$ E5 h) l7 O8 r

) T' Y, X4 f! O4 `
+ m) U7 Y7 \+ q! o, g, w, W" i + n! ~8 m# N& y7 ]" i2 a7 m
) {7 O* w6 \3 ?& `( L
. v% S) w6 e0 i% y) E( O- b; v
8 t5 o. J2 c/ z7 l

! G; r2 L; M; u1 x, p3 c. Y ) P2 S0 n+ R4 O+ p. h9 Y+ B

' u( s# C1 U* Z

7 S. w8 A) z! |* K 装了思科交换机管理系统,我们继续看,有两个 管理员 / T- R9 F: [ V

C$ M( a) S/ m, q
9 T8 F% U3 ^$ q) M 3 k" b0 w) b* [! T
1 {* I2 @4 _7 B
% M- g9 k0 X! `5 f( ^) ]5 n
9 W# [/ J5 C% q) c

# ~# E# h s8 c ; K$ I! t$ ^ H& s

" |, Y. ?% H" g+ [$ R8 p

( u1 v1 l! n5 M+ {5 l6 T 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 " Z5 i0 N4 ^9 p ?, q

( v9 o, t$ d- p& h7 u
2 U1 }3 G T8 C, w ( ^3 M: R: J6 l. ?: G
; @" V* O3 C3 l u9 j
$ z1 ~0 D, Q! a+ ]' `
! a) y4 n# I9 N: f4 P

; r. G( ~4 \' @) V% M ; E* I/ c2 @" w6 C- r. ]+ j- d6 g0 }

( v0 E0 h6 h0 [8 C) Z$ k2 k

) v) a9 c( k9 B: [ 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: / E! O& ~; B0 B M( `& t

4 U& H9 t7 q, i6 l) w
+ Y7 C8 f8 I$ q+ d $ A, m, z8 V7 ?
$ w$ o1 N3 k/ S7 \/ ]
1 _7 Y9 U# T9 w5 m; X* _' F7 p
! S2 J! r9 `# z8 ^6 K

L4 c, k }* v9 ]- o0 s x: i. l " e& _1 k y0 S5 b) S, K' m

/ \+ H3 E+ u6 l" @

3 x X3 a$ \8 Z# S config ,必须写好对应的communuity string 值,如图: 3 @: K0 v' |- C/ K( u V

, ^2 \& j0 w$ [. a5 o4 g9 R3 }$ H
9 c; {1 D8 E4 U, D# \! i 6 g. t+ ~9 l0 Z/ d3 \
: |+ K7 b. x( d
* v0 H2 E: g+ N2 \
0 h0 J" P0 @/ V) A4 O

& l& b7 ]9 P; C1 h% @8 o8 U 1 n7 V" A2 r2 {% T

0 k* E5 }* u6 j2 Z

8 d: a1 t. V+ F7 u 远程登录看看,如图: % q9 @' K# p# C6 j) i6 e5 M$ o

1 u. o% q+ T; W2 |2 Q3 f1 b
: f& \/ G+ R }4 ^" X; {" ?4 H ! E8 ?! S2 ]5 _2 Q3 X9 k( b7 m/ c
$ B, h6 X( E# u
6 g7 Q, Q |9 @6 B0 w. H
- E: b; b$ m+ K3 C0 f8 G* _

) ?3 p5 ~4 n' h, v % J' h6 y& J, A6 U* v5 C# k8 c

2 K6 I, Y3 b% B

5 ]. E9 |" \7 {. `7 L 直接进入特权模式,以此类推搞了将近70 台交换机如图: / `% @0 r- {8 `) C' {/ t2 X

5 f& Q \( e7 i; Y0 `
+ O3 u% u6 J/ D% j" K " N; D. B, @5 n T0 N. ^' E
# ^) u$ ?! k) ^4 [& V
) S" A* f8 f' b% n: k5 ?
) p, d6 {; e2 G# q+ k1 H

7 k* y5 I* m$ E7 z 2 w0 U8 A+ x, [1 N- m% w, T5 v

! y# W: w: q2 R

5 B* L' i$ P3 _3 q+ {9 P ) H* Q2 y9 L; Z0 W/ e

1 r% R- m" c2 d2 o) G

; `0 \1 V+ Q3 E4 ` 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** [9 _* H; w/ [7 d

9 Z1 V7 T4 O5 `! p( v! q/ ^) ^
3 ?; s0 x7 U5 |' i% h# S7 [ 8 h6 n. O' _* \9 a# H' ?
" J/ u$ l- Y$ R- i
- K' G+ v) m5 G6 Q4 R9 N
- O" h8 F* T$ ]: A. W

3 \0 y \7 J. l , Q, n: _1 y9 E

: z0 G( T9 \3 n) h, G

( L$ p. r$ X5 @ 确实可以读取配置文件的。 ) W8 ]6 R6 @$ g8 C g$ g6 f* r; M: U

; T, w$ c: V j' j; R/ F: n: ~. I

7 Y# H- l6 J( Q( K: Z 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ! v8 c! _% G5 c' _ A) j6 S# X

# Q1 O. l' K* S9 \5 d$ t
; _$ f% k5 [ d/ e9 K 3 m5 Q" L. Y7 c! Z; t; l
6 C2 g6 m/ P4 b. u7 j' L8 S
! {& ]2 z& }' ~
, R2 U2 B5 ?9 j$ Q

! }/ ]8 @2 J/ Y3 _. W( n% N3 J; y 6 h8 o( ~8 Q! P# e" S- w

* u/ g3 ]4 x( r! J& d

( y4 z. g" V! v+ q2 `6 [ ' y6 k2 w3 C) ~) g8 y* _5 P( H

9 s _ p9 c5 i9 B

# v- w. u. o+ X: N; Z( V& M4 N 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 4 {) M2 q) C8 @9 S1 ]* N$ m' B# ?

) d( @$ I1 m6 m+ c2 m5 a& r/ h
' y% f: X4 G$ k: Y6 j- D9 q5 x2 L, U. o C . z& h: n2 {: s9 ]
- H& D2 ^6 q: N9 N/ V8 \
* P0 O) ?, A# t' A2 s
! _" Q6 J4 B" B& W

1 ^2 h5 d0 M% [! b3 B 5 \0 y: ~/ x0 N# \1 b2 t

5 v- g! V$ W J7 h+ F7 c6 I

1 `: b% s6 d5 d0 [: _ 上图千兆交换机管理系统。 0 K8 @6 F+ c' N; D9 z. L( ]; e* k

, Q! C$ d5 n; E7 o$ {, K' P f; R

5 r y1 W0 m5 P3 q2 E2 e 7 、入侵山石网关防火墙 - o% i0 |5 [: {$ f: B u

6 J2 Z# g, k6 b/ ~' W

; w% |2 S1 H7 \4 o! f$ ]5 j 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 5 J4 N# m' E9 G+ l- ~: C

( g$ R0 L7 q" s, C9 s+ P: T7 ]
7 W: O4 j; ]/ ^0 U, |( M# [ m3 F2 w, Y6 v! f* C
9 ]- ]2 @* B6 e
! d7 V% x3 O, a `
7 Q& c& g) f& g& w

3 N0 i# ^2 V/ _$ b$ ]& Q 7 `7 |; ~& K* i j Y4 D+ E

- I7 N5 Z0 _: [5 _" C. G

& D. g2 Y: x& d6 b, m& H4 U 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 9 A8 Y# L( a: Z2 ~1 p0 L4 O) c, b

6 B. z, @6 b' f" @2 t+ ^% h2 E
/ p: W5 E: U. k ) W. ]1 l4 q- W3 t
2 I$ l. W6 h/ @, J2 h
- x& Z* ^9 R1 ~" a& v' q; |+ o% N1 ?
1 z' @5 A9 _" A; ?

6 e. }6 E% Y7 T8 J - J+ Q( t4 {9 C. w

1 R+ C* W n# ^- K

' ? S5 h( D' Q 然后登陆网关如图:** ! K* r' u s9 m( G+ [( Y; K; C$ w3 K2 t1 e

0 @" C2 Y/ Y# T8 G& }
: @4 t7 H' M: Y8 m ' Q4 A% I2 n8 N9 G4 b- ]
, \/ G, R9 T4 i
5 o5 d2 r0 Q+ P
4 U& y# ^' I, |! {5 p3 f0 ~8 a6 k9 L

4 C1 N4 @- h: [* G1 Y7 Y + e" n" X/ p" c x9 \/ X, K& o/ Y

$ d( I$ X- h) w0 z% c. e
) w, _6 K/ W3 ~* Y+ T6 E w! e ) n4 n7 n" l* R1 A0 t
. c K0 T" j# g3 c4 t
! |$ ?: H: P9 r/ I! j* ^2 Q0 a" V
/ Q7 r( V1 V6 L' `' B n) w, R

' f+ X, q/ S& _* m( X4 Z 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** % s% W* q9 R- S0 a1 d9 C) X6 H

. K1 v4 ~8 N# T8 H

# z. |! O. q+ a/ N 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 6 h3 f9 A- B, k' j! h) l" Z

/ b4 u( l2 y ^9 } |+ |

1 s% L. n. P2 V5 ~) { 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ' u+ f$ H( b& |

, W/ J% }8 |3 H" x( ^3 Y* ?1 G7 a
( {& u" ~$ H* P. Z* e/ q4 t; { ( `- R& C" k; k) `4 Q% n: z
. J! H2 X/ n- W3 y: ^& j, i
# c$ C; F& h/ O h4 a. Z+ u
2 d9 w. J! ]; ` M

) `% o" i/ g2 m& ^/ S7 y ; z; G$ [9 \% n0 E: h

+ H I( ?% L5 Y* V6 n' {; i3 Y A

6 {/ @( u1 G3 _, v) B E 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 0 N- h( d9 A* _ D9 e* D$ g$ S7 s3 ^# P

0 U; j, _0 `4 K0 ]7 [' m4 t, n5 S: T

# n6 a5 \% e$ t0 [( k/ u   0 p! e+ O2 e( \

, _5 R; C% ]6 l$ i/ a% i( z

# Q% a! K" n6 D5 ~) h
- c- I! |' ?& E8 i

7 j' }) |& g5 M: R0 l7 Q" _$ x \ " u1 b, ]9 p' F1 U% U0 t
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表