找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1364|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

3 ]/ z2 u6 _8 P2 W$ {- J
) D: N3 A) X; S! ^5 t. J/ s7 L

- d. y+ l1 x) `; E" s+ G

4 j: x5 `8 c8 {* d8 u8 C4 H 1、弱口令扫描提权进服务器 " X z5 ^) \* M0 |2 d* \9 N

7 }2 }& Q3 m0 V& Y& S0 f! u$ v* U

$ [% }5 g2 H4 A# }+ }) D 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 2 V9 z2 ?0 |/ p2 \7 W( U

) ^' r: ~- w& h
( s9 k5 e7 k3 S/ P 3 V2 x$ K; s/ _+ x5 ]: r: F5 T- f
: u) I" u; f! y r( q* K" `' V3 d/ q% k" ^
1 B& ?( i5 y7 y u0 D. [2 |5 E/ z

8 [1 A5 q" d# U' E 8 x( L% j# E7 \: H

6 z: [9 j& y( A

# N8 |6 ^7 {3 s9 }# S6 x7 U. H/ Q1 ? 4 @0 e# O1 O, c2 P' \% U [9 r- D

. g- i6 {0 ^( \" A2 i5 p

4 H+ \5 J# S' J$ A ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 + Q1 E$ {( h# x- F' K, `

# l A9 ] l5 h) f Y- {

! M' v8 L Y6 W8 k! J5 h 执行一下命令看看 7 b) S8 b9 j: K: B5 w) I

6 P+ Q4 d( A. X; [7 O' x

9 C& A: G f7 W3 u 7 }# T" `" I9 L* r6 o

; M& T/ n/ h/ ]+ v. f/ N; K" c4 m" h
& d1 C0 J0 y& B4 a" E+ n6 \ % O3 _6 A% J7 i! F3 N* R2 L5 i9 c4 ~
' b2 n" X( k. K6 T ; \9 o3 Q" v& {5 ?! Z" ?3 O( h
2 T' c9 u% W& h# z5 g5 i, {

5 i/ Q. q6 T9 r. X6 u4 x 开了3389 ,直接加账号进去 ) `: @5 p( ]& [$ a; Q

& S7 V/ e5 J7 t: W( Z
7 h. Z* o: ]; ^4 o- ?3 _ ' D ~* \( c) z( A
+ A6 Y* i; ]1 K8 P) o! K . Q; `) `9 T; O# E' d
3 B' G& k: I C/ a) j& Y4 ?5 T

$ G. Q# ^ W/ d4 l5 t6 } 6 E& f f7 S+ x2 {# h8 }

" i# o4 [3 y. x# V

, S) B) P' R' Y1 D; O 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ N6 `! b% ~- X a8 I

! H( X3 ^4 I* i& y' E
6 Y- g, p" B ]2 w" t# t % W4 g0 k9 C# I: @6 P- E
8 I3 b. P) p, Q, v& y. c , N: r5 Q) v7 y- J
, _) K( P8 I% M

3 [" W+ \: s. N M- h& f% Y4 ~/ f 3 C$ @) H4 j6 K- R$ I8 v9 I$ G- N* J

! o4 P: r& t, T9 H5 O1 n: ]

1 |8 x, Q: B2 I* y3 Z8 [ 直接加个后门, _8 s0 f% i1 u+ @, v: o% x+ }

3 E9 z8 `* N/ x L7 f9 l% q

6 H) X$ m7 N( ^7 Q* s, c4 t & d2 s1 I. I/ a

8 F3 W9 Y% K# j o9 s+ c4 ]
5 }7 q5 V- {. ]; d" @ - k7 F' {; J5 f- v# | _ G
1 h" F; z" l. W: N , f9 o) J. k1 U, k7 R' u% n' j
: R9 n3 V9 }' w2 Q* ~; S

# @% r: L% h! g5 X- h2 ~ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ) N- x9 Q! \+ B& P% @& \

- |6 f1 g# C( e* {

! F( p1 @9 ~0 Z' \6 n& i+ J 2 、域环境下渗透搞定域内全部机器 ! k+ V2 Z0 B0 ?

" D7 h0 A. p: H9 I+ p$ @* U" k

H2 e0 x+ n5 j% Y k! t 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 & i+ X0 v; Z) ?- \4 h

8 ]1 o0 X2 d1 V4 D7 ]# `8 o
y! z$ }, z6 _$ C& a1 z $ N6 `! C9 e- ~& c. J+ I0 C1 b
" T3 w5 R# A. [8 I% b! n t% \ 7 N" R& D; b3 \: J8 E
1 ~. i% ^+ `( f% `2 c0 g

! v. M1 Z# B1 B: l " h& u. S* C4 H. v4 _: C

1 n' T: ]8 [6 j/ S4 k

, b' }' t# }4 I4 s% x" m! S' g6 F 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 2 ]8 ^, G4 u7 z* g

# B4 O2 m' a5 F7 z
! H4 W4 _8 B1 N8 n* s . ~/ u! z$ @7 w2 K' A
- U, y, t; E/ x6 A2 V 1 C( Y( V$ \5 b: n
6 b7 ]) h4 M6 |' w1 u" a

! k N& L: v, T7 h# i* J 2 m1 A2 R) a+ `3 q4 K

2 e2 }: n$ V& i& T; Y0 i

+ ?/ w$ l; t: _. B8 d 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: + j4 \0 I, B$ z6 H

; w* [, ?; ]% k } Q" }3 h% L- w
- T# {& }4 D/ b, C3 H, ? 2 A' o7 K# f1 t! l
4 h/ J ~* }& l2 j; \ * e6 O9 p/ @! d: W4 q" s- w
% F# b1 I4 q; \$ W

q7 \0 n) l# U+ v5 R6 v$ _# y, Q - c+ k4 ?# v! B. c2 O4 R

9 }8 H( K$ d! P% G9 E* e

, S# L7 f0 U c7 R& |' M, l 利用cluster 这个用户我们远程登录一下域服务器如图: + M7 d7 P. p9 e7 N8 Z0 w" x

0 |- F A1 U6 E" a2 s& B7 z4 o) j5 W
! Y6 Y% a Y! X5 k1 g, ?; {3 D. w/ _ 8 r8 |8 {) j h5 N6 i& \: h
) C+ ]) X9 ?7 n( a4 l * j& E( D: M- r. u
1 ? s# P0 w7 o2 W; d8 R: A

. J6 I c* q" V9 a- _3 I5 q0 W # F- v7 a1 h3 e

1 O; D$ c3 g# R- T

4 K- A% P4 T" Q& ? 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: - z+ }4 O1 K# ?

: D: _; x. k& |3 k7 h- Q& F
6 R0 k7 y0 H+ V8 A, l& Z ! H; U! r! v; r0 y
! w$ s+ L0 y" Q1 ?6 W6 q $ R! v. E# k" ]7 E4 q
8 `. G2 s/ V6 r7 E2 _

O- r- E: |' T % B! z% W2 b6 w

- X0 B% B0 o& o& N$ @: I

0 q- t) l! h- v$ d& R% p 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 0 Y; x. i8 D! y; P0 g7 x

) T! d6 i- [5 ?; r( c$ \: j5 m$ |

; N9 |( Q( L$ [/ {$ D% z* h Z ( X, O, ]9 F# B O0 h

2 u% I4 Q* ?; t( t2 i0 Y

8 R7 Q0 r! x% M. y/ o3 B1 X) F 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 7 }0 i6 x- m7 c0 P% M. A& y

: n) Z* ?2 @2 e# z) j

1 G! d+ u5 ^6 @* U blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: * P2 w' L1 [' h! B

% T- B( n- Q( a
* \- w5 ]- q' v7 e. [ 9 r8 D* b9 b; K" z9 U' Z4 i8 c
5 q$ n2 t5 I2 a# D 6 D3 @' l" V, I
@, d5 @" j( n, z6 j

0 U7 j9 M5 w4 g( u6 k! N & t. u2 x8 T1 I% n) `$ O5 `7 O

2 Y x6 J3 i; V" R/ d

J# f) Y5 o8 k 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 " D, ?, Z& q+ g I: u3 w2 @

- O, { ^' z+ s
9 E- J1 ^9 H: X& v. ` 5 R# m( i! S) }, V! i( k
) F8 X% _; S | ! v% q1 w; W$ v* H9 T2 V. Z! G" P
$ f0 c$ }) Q, {7 y+ L) @) R

1 R6 h1 J# d2 Z5 f # ?! O+ a8 n- s$ o

7 q/ y8 g& C' g R8 P6 {

; ~! b6 g6 K8 k0 d+ S' Y+ S 利用ms08067 成功溢出服务器,成功登录服务器 4 A m: D4 }4 g: D9 W& [" o! K

2 G, n+ X4 [8 e3 F4 \+ H
; W3 q8 [ O; X3 K" U& q 5 S' q; B5 t3 b+ B2 O! Y4 C. K
, X' G5 ?5 x# o [ $ X; o$ S D( d" I1 D3 ~8 ~0 x
4 W8 L3 l1 T+ ?9 s7 a& c7 o% G

% [% X) J. d$ |4 X! B' @8 _ , u9 s* I/ `, Z

) o: {9 B W/ X. K9 \1 F

* g8 g( E# [0 K 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ! w8 ~; Z. D8 G* |, j: k( o

1 {2 @# w) x# N

# R, U! L5 Q3 o, Q9 @, l3 @5 Q 这样两个域我们就全部拿下了。 ' G; w F) X7 U2 J

) X/ A7 f$ z& E" S8 U+ d

6 M" R6 @$ {; f 3 、通过oa 系统入侵进服务器 ]4 C6 \- E8 \' Q

& F4 G5 L5 u3 i' M

' L( B. K# P( R6 k1 C2 [ h% R/ p Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 3 f0 H% b& q/ d0 H6 K8 v

' ]& T# ]7 W- X& N
2 F: t* M! A6 M$ z + l% y+ N- Y, G( m0 T- n
& L% _6 P# T/ x9 M# q * y8 o0 }$ ?* l' D: B
4 }& n; v( _ x7 K" R o

. o- ~) i2 e, M; f2 v- L8 P - H4 E- |4 ~- ]1 `$ m- B

1 A+ ~# d }+ k6 T; ^1 u

- {4 D2 E& G, s 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 : [% K+ C) g3 Z

; d( D0 z6 e8 D# G) n) D
! R0 [6 h' ?. D6 q+ I t0 E5 m6 y2 g
# h# L% x4 i; S- c* S, Z1 B- ? ! {- K' \. F" S8 E! J/ m
# J! ^5 m$ e c, t6 C1 l+ l* e/ R

! ?, [8 n5 O/ _; l: \7 O8 `( x3 I9 n : b: |- a) ?" X

6 e: K! m8 Q& o8 w! b& ^# _1 z. ~

' \4 m& H- {/ T8 h 填写错误标记开扫结果如下 8 W0 v6 t4 [, P+ F4 u9 q6 p. H

0 y7 t8 s& R, b# [7 u3 H
$ x; T! y8 m. n$ [ C ~! T4 j ( Q# T* i$ P& Z7 ~; H2 S: ~
: }6 a" d& ~/ f+ S2 G ! B* E0 K2 _) D8 o- a0 n
, u1 ?9 G; C4 I2 L L# a& _

9 H) R7 v, V% g) X 6 \- D7 Y/ N% s6 R, G5 e% e# ?

" w0 h+ ~& h& z% E( ~6 Q0 s% w

7 V' Z' C; y( H 下面我们进OA : V0 q; \6 m1 f. N/ g9 s

3 q( w6 g4 y+ f/ V
5 X! Z' J' |) ~- T& X : X W7 r( u; y: p; M4 @
4 I2 J& Y1 ?& w2 r4 Y+ g7 O6 n0 a/ { 0 N9 |; l$ |- H5 D- y
2 y8 c D( G4 U! H/ }+ i* o

, h9 C* ]6 t$ t9 t0 C/ t. X5 G $ X% N/ n. j4 C6 q2 [) ]4 u

' u* M0 Q4 y! G7 f( C7 l& d4 B

" O6 } _+ l! H5 o" N# F 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 / C5 [0 I3 N0 y1 I, @; ^/ {

% q# x H3 ^, Y2 O3 n2 a" D
2 G3 J) f, u# T# c" C) B+ b % n: Q0 Q; h6 y1 I& e5 p0 |. X
* h7 F6 i9 }6 r0 P Q- Z1 g( S6 N0 P' r/ s/ Y
' I( h% m; t6 d5 v. h3 e( V0 l& v8 S

$ y: R/ Z, F1 R; L( M: ?2 C % r9 x- s0 i9 E* a9 X8 q

0 V% `1 z/ }$ N" z9 q. c8 s

' G1 [' u _" @% _& z9 \# C: a m ' } }- F& @6 W4 Z( F$ w9 G: s) Y

# M; u- V+ P0 @" _$ P3 G! `. _3 l

- P2 H: s4 Z8 j% R6 L2 ]# f 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ( N, n" d) J, S/ o

( b7 U* z i) g# H0 b" z( t7 r* m

/ j' T* N: _$ J9 H 4 、利用tomcat 提权进服务器 $ D& H) M C2 _9 m6 J5 b0 b1 `

) G1 B. z( q. n# [1 A

$ o+ @1 r: }5 [" l; e2 |% a nessus 扫描目标ip 发现如图 1 c; ]) ^% e, U! H

; v, J' G0 e$ t5 ~
; }1 ]2 g$ _ y* c/ z " j( F2 Y% t6 g$ F( ?" I. i
_8 G* j# Z# t' ]; B / ~6 j( l+ W; |2 N* B
& ~) R3 _1 Y3 q" [6 u/ x* E! c

4 t9 g i5 c7 Z8 A" @ $ _9 T! h( p* p# g9 @3 a

6 d# e& H: ]& S& X: }( }) N1 ~$ M

9 [& W6 B3 k1 \9 l9 e0 h 登录如图: 4 w' B# p7 S: s; f3 S7 `4 X

" P1 R( [- k) Y) q q
5 j: K( f5 v( G 0 z& [8 y/ w! i2 r
8 x2 w$ G; L0 T( Q8 B* @" I; u 3 O" b* j5 Z$ |: m; M* K$ p( R
0 m9 k% G# p" ]) x* `4 H5 _

- R0 {" S b S b. x' y) ]" M3 N; e: U1 A+ c+ f

' |0 t6 k9 L4 h. p5 Z" Q* n

) z* y: I# Y: ^' U 找个上传的地方上传如图: 6 z& w. f2 w6 f2 w# G6 [% ]

/ a1 J @- u4 M) A; I5 s8 p6 N9 s
! O o5 _& k) u: N8 A0 l. l9 [ # q* G7 V2 K( n
" n# G# C9 u7 R5 R$ L 0 w( `3 A: Q4 ?" Y t9 S( X: q: U- K
' y7 E' _! S1 M5 R/ B. P3 m% V! C

- n6 I) ~# ~; l4 n. l: X, W+ y 6 u. X1 p: Y* c, D( b

: ^/ B) D! d# c2 i9 O* r8 L

# W+ y8 _" {% \- ?8 U1 u 然后就是同样执行命令提权,过程不在写了 9 f& [$ T0 d( e; i" d. H( K/ c

0 c2 j4 A8 w e/ a

# g1 H! ]- @7 Y, d/ D7 O2 ]* a( v 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 3 a T7 E# r' u0 g

( H8 G+ h0 I+ ^6 K; m

. R2 I) V5 R) ~7 [. J- \ 首先测试ARP 嗅探如图 K4 z$ }, I# m

& k1 ]* m, J6 n( L+ t; M8 i" [( a
5 X5 p9 C4 N! l3 K+ I) X$ S$ q# [ 9 ^' B8 s3 {7 l- i1 }0 w& T8 @7 t
H; H( `% n, u: V: Q* W- b 7 z( O' ?0 ], M9 I9 h5 J
4 V4 r3 d0 x, ^1 j6 t/ l

3 l! d% _/ O7 z, L8 Z/ D % a! X6 Y/ U+ w8 ^9 c

: ] B2 C0 w: ]- v H6 Z/ U

9 D8 t! |# G4 n- v 测试结果如下图: 3 q0 N7 T$ u6 ?, `7 ?

( b6 u( I+ x( k. L
* k! W9 Z. x( ?% _ 7 R2 i8 N* \6 e; M" Y# K: Z
% U7 g$ w6 B8 [* P0 ~ M Q8 v" _& W( b
& y" G/ C0 s4 Z

) f% E/ W- \ i4 a, V& c 8 n" W0 G' u( D1 |, S, t

1 a1 z2 {( a7 l- B" {& }9 J! U/ E

, ~( b; {, ^# C. U+ m 哈哈嗅探到的东西少是因为这个域下才有几台机器 : y1 V5 q( H$ Y4 g; ]' u

9 ?* V3 @; }9 d

9 E2 N3 J4 }3 j4 \2 Y( A- r 下面我们测试DNS欺骗,如图: ; O) \, ?# h f- l, M

" `6 R; \; u$ c! f0 o \
( d, @* O3 P0 Q9 u# E7 \ " `, w% ]. U7 E5 L- ?8 b
3 Q. X" w- l7 ?6 k E+ c, r" r+ q# O6 P- A
" i6 f# N t6 O7 v. J" C. j" d: O

+ Q$ t4 Z$ ]6 Y4 I6 ` + i9 T( G: o$ M T

, o' a; N% B& {* P, T

0 n! i1 @- g l8 {/ G: v 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 3 N% I' A+ ^4 Y

( U8 V. \6 a3 }& t6 j1 p, x
" z* T( W- g- O- O: p4 p - Q; D+ X' W# M- p$ H u
' P' T4 y6 z0 K5 z+ A/ V % K* q2 _2 ~# ?0 {' Q
+ v2 U0 m: v1 B* Y0 \

2 N4 d/ }) N4 ?& m' d, \" o9 A8 o ' {3 o+ O* r* C- A; q* o" i+ G

( J4 t' V3 F% T! |! Q

# ^' P% `2 ?( {9 C2 c (注:欺骗这个过程由于我之前录制了教程,截图教程了) 0 M3 w& T" s: `$ E/ `, g9 L7 ~' f& M

4 k/ _* e- ~9 Y& ?; i+ m

R d' `: U% R 6 、成功入侵交换机 ; B0 |3 `+ f3 S: i0 z- z

0 u! \2 L( ~- y" Z

, a/ D0 d1 }' y" J 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 8 Z( i! o @- A: k4 I, C

$ b0 I% [; Y: T- T7 Z$ O

9 k; Y' M- e2 Q5 j5 ]7 v$ K 我们进服务器看看,插有福吧看着面熟吧 7 t$ ~6 c! {- j3 {

' E# ]& p# N$ d% u
9 E- z, h( ~9 Y d2 s5 H$ q5 O ( O* {: [$ j% M
( X2 o' ^, d" c- L+ d2 A # W, I; g0 ~7 G/ C( w) i( c2 q
. c! G S' M5 ^+ `! G; N/ V

( |* K4 {; @8 D1 V1 ^; a S ?5 b( t: c& ^

. o" i# f$ F8 }

% x8 I" [6 J2 z# w1 ?( j 装了思科交换机管理系统,我们继续看,有两个 管理员 6 a# c3 g( l" b0 r) b- B3 U5 g

0 P" y1 k: b3 L
. Q5 e+ R6 x% Z1 W* ^2 Z ; ~5 b/ c. B, h+ i; W" L8 Q
( w- T/ {$ \& e; l: ` ; H% L+ a" ?" ^8 d
7 g2 @# F" x) u+ v

) `4 E$ p; R' R8 P ; F: B6 o, L( j! ?' t5 M6 o+ @4 t- R$ f

/ c. Z" X! j: _# O, T( c( c

* M6 T5 p; D* n9 r 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 - }4 ^7 M! R0 V6 F* ?- e2 b

+ A1 o8 Y, J( ^3 J8 J- @
' ]7 k7 w' |; u& g% R. L7 w" s + |0 R9 x8 ^$ V* Y Y5 G; P
E: H$ X" F/ i6 C& A% g& G j ; U7 ~, j$ K0 K7 ~! e3 r0 m( |
( _' E" w7 ~. o- r

8 Z e9 v) \" z. i . w2 A% p: C! H: T

9 W8 v7 ~6 P$ X/ J

3 t3 ]4 x5 _3 _6 x) V8 D" W+ b2 J 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 1 m- U2 q0 B4 v8 T M' {

# v1 {# _! o/ l0 ]
6 Q% \7 Z1 r) c" j+ C" j( X9 K/ | 1 X: n% N1 e) o) H/ ~% b; l
; s4 ^2 ]4 m. G8 T- h" P o7 a g& J% N) `: M* U
& Q; B9 J+ u% w w

, Q( ]& m9 K/ W) a% Q8 b 6 M$ V. l' @' p$ w% \5 P: t; D/ }

+ G. U5 K/ ~6 Q

' r5 U$ {& g2 D( J0 u config ,必须写好对应的communuity string 值,如图: - S8 c% d$ K- T& |" J; @1 }

6 b+ P- e% ]+ g4 _; T$ L
) d" O9 _$ L. n1 ? t 9 p0 R0 Q! z1 n! P( H
: Z! C+ b! W/ @( \; l) z8 R 5 S) p& Q1 L+ t' P
: ^9 {; ^6 ~$ e( b* }1 D9 i

1 t, p. R% r. I" J T4 K 0 }# |& A, G2 o0 @( K

7 a, y, `4 k; p* u. q

# i* w H' B8 X5 S/ n/ w+ T4 c 远程登录看看,如图: 6 e0 J1 R* a" i' d# }

, ?1 I8 S a( ~! |) F
. c' U% D$ V m. _6 g* m 8 G* ~- Y' N6 V8 M% o5 L
" i) } X# u; e/ T, p, m U; `" I" N ! C* l% Y5 B3 y
5 l# \/ D- R3 c* N

. Z, y) j& `# B9 \! N% U$ D& N & F8 l$ |, B2 K

9 A# \) x7 A/ W- ^

6 P. v0 @8 r$ a9 }6 Z8 L 直接进入特权模式,以此类推搞了将近70 台交换机如图: 8 x7 p" r/ Y5 P, u0 @) s* p+ b; n# S

( R7 c* U3 t g& |! `) s% A# \
9 S o; e; Q$ e+ g7 U7 x$ X8 K% }. ] 2 X8 H' W& W" m$ L3 L
- M$ W5 _, d4 O+ | 8 Q2 T1 n5 p6 @4 v9 Q: z
( W2 _: A s0 J/ }

7 G8 D7 J5 Y0 L. \/ b' D7 O ' _# K h+ B! k* y$ P

* R1 ]1 P* k& Y( L( r) H3 v$ H2 d

i% I% |- q$ d0 W: b; c ) U4 H1 F( P1 U3 D/ n" s/ A

' N% J( F# p& t! Z5 v: @+ g! r

j$ u% E, M0 H) [. F' i 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** % j% U0 m/ E) F, s9 J

$ G& ] a5 G6 f3 Z- o
7 Z3 Q M2 X( J / l' |9 L o* m
6 G1 E! b4 R* u5 T; g) f9 N, d% A , y/ W" i; B6 ^+ [3 t* U
( u f, [) S' }' c8 |9 E1 N

: A5 e$ G! p6 T$ C- R. |6 L8 ] . D6 [' Z* m4 p6 r

6 r9 P# o/ h# x0 y- ^

# m& x9 f- e4 k6 V% d 确实可以读取配置文件的。 5 e# m' s! A- s0 v- @& b

( F, S* p, `8 K' e

& o& i y" C# D: g1 d 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ' M3 [( b) {/ R" D$ q/ l" b+ h

' N* p; E. C$ T
% k9 L6 O, x3 _: G7 d) R( L : I5 g6 C: Y2 s
0 y! p; h2 B9 n3 Z! q. G0 y 2 C7 W& r b4 }
I0 O9 v! n5 o- k% {- Z- }

2 b& C8 `$ X* w' v& l4 K . r8 o. u7 E- U9 m* D

- P" f$ \3 f5 |

* X3 N# m8 @" ^1 c" r; X ! C7 f a$ S# O( L* F

; i! G- A. ^* p& G

1 ]" N' S3 g }5 E1 l! _$ N( E 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 1 X# e# D6 p+ v$ b6 {6 ` o, |% \

* R W& r( x' z2 H' O
7 ?& |4 |$ A! X8 f; `' D. h5 ` 5 K' Z% H/ A$ w( f
) ?3 ~% Y L D& W , ]/ x8 _8 P6 W
! s, K J6 X& I

2 O5 l3 \) W/ C w& h" m; s) G & f6 s `4 T0 ~6 P' P+ W. h

% D) S |1 N0 L. }) u1 P

3 y4 {1 u8 F% V' ]# w" k2 X+ h3 ` 上图千兆交换机管理系统。 , p1 e# x9 }$ `8 F! l5 U

* K; u) k$ w2 A, @, w8 d

4 u3 r- N5 i3 I' K6 Y' F9 [. q$ W 7 、入侵山石网关防火墙 " d$ r6 o6 J* n4 p* V! `

3 Y* O( Q; g1 ~4 U: g) `% T1 K

" X" z4 p/ X) o: U7 T: k 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: * F. x1 P" Q5 M: K$ c

( n1 g; K, q- u$ t, z4 b
$ t; J& x; J. P, D; s . P) g- m0 K$ w! E4 D$ N9 o/ o
' T) E8 c- T; C. e2 z ! ^3 ]7 J+ f" q; w2 k1 i- I
2 o8 f9 l" k* x! r! R; ~

5 b2 Q0 h4 e6 t6 { 7 n( L1 f- d0 R) C" @

* a, \: c5 r& ]" |0 h( m

0 e. c; q# h: L" r* } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ( ^/ q- p$ `! }3 l

1 U" f9 q b# w0 [7 U' i
( h7 V; T+ B5 L% P & y% g! k9 v+ ~5 N+ ~ w5 a, D9 Y, O
0 d0 S- P, Q% X % f8 |; D& |' F/ G6 h
. C9 K. V. [3 Y6 `0 {1 x

0 F1 P+ F; z. e K1 \ : x: `! E. \% ~* W6 @8 D5 }1 M5 L

. a. p2 f0 \8 K V- Z

1 K+ ^4 \ q7 g/ z 然后登陆网关如图:** ) h$ j+ I U# X* K# K, {( h" P( U

& H4 c" d3 d2 S5 X% k
! u% ] }3 l" c( w8 T- c 1 S; a+ l* B8 _+ g. ?2 E
" a- h+ l; Y# v1 Q% ~$ p : h) Y1 y& {' K/ D
* J) F, n: n! U+ S# v2 r% e

1 s, M! x: R2 R1 I 7 H1 _- ~5 u; r6 M7 ]

- j1 N4 X( j/ M. Q$ A+ V
$ B2 z& m. k- H9 @ x / {2 e' y: o d [) W
. A9 d7 z* m" P, f 4 Q T' p# _! U' V1 q
. Q. _9 t; a1 h' I$ L

, t+ {& G" f1 u 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 8 ~ j/ j1 W4 ~9 ~; V1 `8 J

5 l+ F4 {) ~7 w' ~: a

/ u$ D$ t6 X+ j, _ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 & |) r+ K" ~/ {4 S% Y

' S! u0 K! q" o+ e d9 d- r

6 T8 d2 t6 M( ^9 ^- u* N 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 3 n: y8 n/ h4 U$ q6 V

, E; o4 j7 G2 F* g" g$ J" @
. W: e4 @2 E/ `5 }. v8 b3 s4 y( y 6 r: n2 O g$ i
, h$ E! }5 f# X V& n5 d+ e + Z0 T1 m1 i3 H
% s, A0 F' n( d7 ]* Y

/ O( l5 e' c, m4 w 7 Z* l" E8 }4 j* e3 T# N* l; w

y% |1 E+ p/ U

9 F( \5 {8 f' S0 t9 W( S 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 q5 b) I0 r" r2 B8 d1 f

/ D3 j. X c" d9 C% X0 K

! B8 y& m" W/ o9 n   " Q$ {6 g( s. H1 T# Z9 d/ d

) b( \+ ]% m: W* o, x. z4 H. ^' K

, q7 v0 W5 t" L1 P
) k0 a/ [) F( h: F' @

$ s' r% _2 M* [) C) X1 } * L. m' r7 P0 q0 M6 v' ?7 y
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表