找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1400|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

4 ~$ i# A; Q e' U, z/ Z- V* t
( F8 {1 a- a- }8 r) K0 @

/ a. M& h, Q! F3 r3 J

+ j2 {! A* E2 m 1、弱口令扫描提权进服务器 % a) ?& h+ _3 }% N5 @) {

( Y8 k% l! d. X4 l! O2 x( i

1 [: r. R' Q- ?3 Y; M; P$ j# G$ k 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: * ~- y4 ?( g9 r; @3 s

1 E" s# a! y, a* A* t4 E
( F# N h9 ?$ u ! C/ s+ Z- [1 b( i7 T+ F+ M
# ]/ y0 J; Q0 a" z4 a: l* x ( M; W% i9 P4 D: J+ \7 d$ y
- q+ _) u/ c; X4 L

5 G( e& ~* S0 B4 E X 2 B V5 G7 M$ ~; U9 J6 j3 s

' p& s/ T9 W, b/ C5 e

- D+ T- J! W3 u- U$ A# Y8 O7 r6 E 0 T9 S {: @3 \1 z1 J/ t2 e

_9 X+ g6 H* P& C. Y2 p# s1 W

1 A# X5 w; J; t( J0 k- B/ O ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 2 J9 J0 H% K5 K3 l5 w

% x3 C# N6 R$ U

4 X" _; a+ ~6 ?5 p3 @5 \! t 执行一下命令看看 / {; l3 }- Z0 g

8 K& p6 w" Q1 x$ Q- T/ @* ~

7 W3 w6 Y$ | t ' y7 Y) Y" i' C S1 P* W8 f

) l, V; [% Y o4 v0 u; I
3 I$ x0 t$ f8 V# `) m) ~* f 2 w0 `( ~4 s) g; F+ U8 K
4 Q2 h* o G! g, e W. H' S - E$ Q% ]0 r G5 m8 _
q+ n! W4 k2 D" q* z0 V9 j

% J' e/ K! X4 }" M# u9 _1 T; m# \* K 开了3389 ,直接加账号进去 ( @! a+ [8 `& Q- K3 K

7 B+ q: Y! F* g1 |' m5 M
. C3 s2 g* ^2 s& c" s" a . K) k8 _1 b, O$ E( a* E6 D4 F
5 X+ t- I7 Y9 h; n- ~3 d# V z1 x1 N9 V " N4 q% Y- t5 F y: n
" e! \. t. y/ m$ l" q5 J: ?9 |

! @. I2 V6 A5 [# N " Q2 b+ H2 C# |) h9 \

; ?1 ` J3 I' L- |- \4 G

2 y) \3 N# G {4 v# A: K 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 . T' K) p2 }9 r

0 ]* f8 g) N) z9 _+ p
$ N U+ N& o8 h) k3 H# C* P5 W 7 f6 S. o9 [( w% Q
}' |; u5 q2 p7 G " B5 @9 N3 s/ i! r
, a) P: p" x" V* t$ b+ S% o

* g( P4 \2 R3 X3 H: m ' u) I9 \ o' O; R& X3 o1 Y4 L

: r$ J; J& R$ G2 v; C8 f2 N

" h$ ?6 c" _) K: C# K6 y3 ^ 直接加个后门, 3 i5 `$ l1 H$ x: l

: i+ J; Y2 C& @2 E% R- `

8 A- K p9 G: V2 q8 v( @7 s. i ( x+ g+ a' i. d% }0 G/ U6 ]

: |7 A, ^* Q F* |
! j& ]* F/ N: ~* G% }4 s * l7 _# x2 V# G
) Y2 V) k7 m3 V. F# G8 @ , S5 w; \& o+ ^8 H0 R. h
' R3 _( w; v6 V, J" J; ~

# U/ t" c% x. L0 b. g5 E7 V V 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ! s1 s5 |3 m4 @% y3 m; b

& R6 v% u% T7 H1 q

, q' |" z4 z- d" j0 W! Y9 X 2 、域环境下渗透搞定域内全部机器 # c# G% w$ P2 b" v3 d; z" H

) R. E6 y. W$ |- P ~) X

* u: N6 ], E( j" P 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / E( j: [, \8 z0 A: S+ _

. n1 \7 \8 ^, T# i- s; ]8 Y
$ I5 k3 ]. n8 c; r# ]: | ' y/ M5 {/ U# b3 ^0 _. `& h& [
! W' n/ @! p3 a% j" ~/ T8 K. m 0 Y' M6 u1 x0 ^, q0 b% o$ S
/ ]$ n# @$ y4 J, d- v' n

) t) N# D8 k9 I; ` : V. e# F0 E& H8 n' X$ a% O( x3 T

6 J$ X5 A7 ?2 n( s6 D

2 ]" }% N$ m& d0 X1 P 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 5 ^, ]! y- T- N% p" }! }

/ r0 j, \: q0 w- w) b
/ g; d$ [6 l' ^6 u w$ q) c. k* P) r* e* ^
g1 F4 W( j3 J7 E5 q & k3 h$ Q' z: F1 R5 |5 x
* n6 q9 T$ ?, i0 ]0 y7 [* f8 N: @

O% \4 ^1 y+ F9 q7 B% F: Z% v/ d 2 |/ ?0 A9 B2 t. @) U

# J5 Y6 T- V4 N0 U7 X9 z2 ]8 i

/ D3 f, n, S& u8 C, z 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: $ U: ~7 r" X8 ^1 k( A2 O

2 v1 H1 T! f+ S6 d8 B
+ F1 T L/ ]/ b. J( e $ n1 H1 P% R; n1 C& ~
7 |; X w8 L$ O* q - n; s- D( m2 E$ \6 V: i
6 T, H$ ~. D+ X2 j' I% [

( ?9 d: b2 D7 K0 M2 G. o5 y5 J / Y5 M. I7 s, U( k

& A' s3 Z X0 Z/ _7 l4 u; n

1 s" N( c, h2 s$ U% Q 利用cluster 这个用户我们远程登录一下域服务器如图: ( s _9 f- I) D

3 V, p# @& g) b; X' O
. ?4 N, g2 B5 T4 t/ r+ Y7 E 3 u2 @3 \- B4 a- X7 u9 O4 g* P
% S) B( c7 z3 L# d3 f : O; t& E5 F9 u4 k
# g/ a" y' Q0 p$ c

4 N3 v+ m r% M7 f- }- d" t 3 l4 }: J8 n0 H$ V- Q2 N/ O

. r6 ?& c7 U3 V

, s5 Z9 I+ @" \' T 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 5 ]$ ]* V1 d- i" L( P8 B

, k" e7 t, n7 X
0 H% a1 ?8 e% a/ [5 [ 2 a. q+ u5 _; E8 o
: ~0 Q' `; m9 X ) |2 }" p0 V/ F7 A0 k
7 M ?. W7 x4 c+ q2 d, }

4 e: t# `; n0 h0 x) W R! } # X6 S& K# a. {6 \+ {0 w$ s# `* k- I

2 ^; D8 Z7 C( k& E/ p2 b

* |% x0 ^0 Y$ l0 B& T" q 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 ~' y: J7 B: Y' D6 \

* M; {) I) E" B$ w5 w; B

* E3 W: }! D% ?7 c : W9 x% x8 w3 f" U* B

5 D7 T1 q7 ]# y% q" T3 @) V' n% ~

O' K! z+ v4 F8 p k! E 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping & v2 m; h' p% B* Q+ \# U

3 a, w; o# {( ]* X3 l9 E9 N4 M

, l# }" J& j& `3 x. N! f5 ` blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: & O2 s: g* l4 a9 l: r1 W

+ e9 \+ z, e# W" u. B
3 A7 D% k8 l$ {/ H9 b; K2 [ * U2 w8 S8 e, S
4 `8 U2 a3 a( w5 K7 A 9 ^" Q/ Y6 T- ~ Y E7 s
# |+ n: Z% N5 r0 q. N& G1 b7 P

3 q% `( S( @# G6 Y, h 1 M! a+ A" [/ B

" y/ X( l- }& Q* Y! i& R# W& {& k

: U2 y* Z. O$ q) [ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ( }! d( f5 o5 X) F7 P0 Y: J

- P& v8 P! H! p9 W/ o, C3 y
; u1 Z5 L) U+ u ) C$ z6 G' N, d5 I3 b0 O J
- x, a* h* ~; B. u) L; @9 u! Q 2 V7 |! S* Y q6 y
# b- \4 [) z/ P

/ c1 A' _4 A8 G6 I7 y3 P . a( p, ]: T5 N

& o( J) a0 R) |8 r6 C# L; {( B

6 o) ?* w; ^/ k5 O 利用ms08067 成功溢出服务器,成功登录服务器 ; Q4 |; w" T% Q7 H3 f( p/ x

0 ^$ y3 h' ?# c4 O( i9 G. Q
& m) S6 j F- S( @( ] : p! ~. X5 ~ L9 b$ f
% [$ ]: `6 s1 a9 G# y4 K % {0 C: f; G. x: ]+ }
; F% x: k# {" E2 v `: a6 R

# C; |0 n5 K& I . |1 e$ j4 a% c$ R0 w+ k7 U5 @/ Y

3 [' n5 L# B+ k/ ]4 I+ J' `/ F

) \' [ s, M2 {, u+ [ 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 8 h! z+ U9 O# X* l9 [! r( d

k& b% |, N6 v& a1 C$ ^

. `2 A2 Q6 _6 K, {6 I+ {- Z 这样两个域我们就全部拿下了。 0 W, U! }# G4 x2 V' r0 k0 w! B" U

3 b8 u& X- Q: ^( f

* I' l; N, }" |1 ]1 s( u M 3 、通过oa 系统入侵进服务器 7 a! N. C7 Q' L7 V

8 a* s4 `% R/ o1 V0 E

* z9 ~9 Q3 ]# b+ r) Z& q# w7 G$ l( S Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 : G6 ~9 I" E1 \5 f8 u

. t! l+ x7 m/ a8 o2 p
: n# Q& e9 M' I. f6 A ! E+ a3 C: p$ F4 _
4 s4 v7 p- ]# o6 S) S6 \# p/ @ ( ^0 m. E. s }% l; e6 b
6 V# o' {9 n- n: e

) [# _' o' W( y3 Y5 H3 {# k : P, p3 B7 Z$ E. G

1 T/ ]# J0 \) e& I& J

. B. `2 j0 u3 b4 D( P 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 4 w! ?3 }6 @$ W* }6 V! h! m) u7 k1 O. {- z

; I1 J0 f# V& C
" V: N) d6 r; D" |& k0 r" p , y8 B F$ |; b
5 |# I( P* ? _" [ Z/ @ u. s8 A ! T- m* W! y: X! p2 s# p/ D! g
8 F6 E( c# n. X- H

/ G3 P# ?) m; `0 E& U % d. D6 m9 x' i7 h/ Z i

5 v; g. f# H# W, \% u+ I

+ `7 t+ Y' N5 c+ a$ ` 填写错误标记开扫结果如下 - @6 M: L3 M) d9 q* }

. _/ e m7 S( m% i3 g
& A1 O, Z2 T5 {- m! b # c5 P/ x! h5 L6 Y
; R1 R2 c: Z' z) G: ~3 x8 \/ S" Z" | - [4 A) o5 y/ Q5 a1 j6 ?' P8 h# L5 f
) ^, i+ ]8 d4 K" ?

% R0 K" Q8 z( ^+ N H. Z$ P9 i 2 Q; I. M& r* i5 @

2 u+ K9 L4 l8 G: W

+ V- K' x, l5 v7 [ 下面我们进OA 5 K3 @* I; S% u7 d' e7 @

" n( c3 A; N. M4 X* w+ v6 e
7 o- J8 q" D. T: K" W / ?# D. \3 w. f0 x' k
, H# R4 R$ y d* T( b# a/ K5 s 6 U! t( {+ y$ O& ^* [, y
+ ? i( Y0 S+ E% s* G8 C

5 m# \. A. n$ F [ N7 w! _ 4 R" h% }0 ^; a7 e' u

9 F2 e4 u# h- I; m5 t. {

6 V3 W4 r _: ] 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 " ~7 j: x. m. {, s/ W

& [6 I8 `, g" x7 N
/ I n3 c1 f5 c1 [8 c3 t 7 X* m. W- G( R+ u, H
, H2 |& o0 N: F 0 Z0 U: a+ v- s/ }/ X/ d: B* M# D5 F
8 L( F/ a0 f9 t& L- M' ~, J* ~

/ ]% n: r) Q' q* r , L; K8 [1 V( n& u7 O

. j: B; O5 o& N

& e( }2 ^( Z$ W, @ ' ^9 K! q# {% l' O- {3 I# U

/ ]- i- F1 P6 i! f

5 A# R. a% j; c. m4 G; i 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 # i) d4 O) A- a5 Y6 Z5 o

2 \1 L* N$ a7 V; H

! ]4 y& h# U: P3 M+ {0 S 4 、利用tomcat 提权进服务器 * O& {" A5 ]8 j0 H3 n# J6 [' _

" N; Q5 d: y7 u

$ g4 E7 P# \1 Y; S! x nessus 扫描目标ip 发现如图 # U7 @8 R) P3 I M7 Q5 P$ G

" x; B: y1 z; R" a/ s; d1 \
4 E" `+ k0 n, Z3 s 2 K7 S. u: y, e! V5 N# u
3 S; t J4 A% n5 x0 I8 [' ? ! y2 B% ~ D) |5 e: b/ E; P9 v
4 A! v0 B: m& A( N1 y7 M

1 ]. N) _; [4 O2 u H 7 d% P7 g" T$ ]. s

4 q6 l2 c% [" {5 C# i/ G, `) |

% A. q3 R$ |$ c5 U' i+ p# Z 登录如图: - p0 Q0 N3 e: }' i

8 G: ~* P$ P8 t. W0 e' Y( M4 p
2 U$ Y+ \, Y$ c, V8 O; _- m, z " @3 R- b4 @9 j( Q: c- O% Y
' Z4 Y) r( A/ c9 T2 l% k + E: ^2 g+ w g7 q
! I1 H2 g2 w5 J2 x' }* L+ m1 ]2 h: T5 ~

; E# i0 [: {) u& ?/ z; o( D , ~ \" R- ?) a% E, l: K! Q

* Q: X( b6 R$ a/ Q% i3 j- C1 J

$ }' @5 Z# C: x" g 找个上传的地方上传如图: 9 q; o) d, e: h0 I2 H# }% M

! b# a y0 K/ H5 f
4 b" y. V4 R1 U7 x2 Z" A 6 s) Z1 N2 L$ O( T1 T% W x2 Q
5 W0 g6 A* d) T # f4 y# @8 ?7 ?6 S3 g' v
w- E. F; q. g( n7 o- Y

6 h; B4 S$ ?% o* c( v! D 5 {) h6 X: q" T H( o4 l' @8 G

0 \2 a Y( P6 x: A( l7 B) a

\# M; U6 L$ ~" O* @7 V0 G% Q6 S 然后就是同样执行命令提权,过程不在写了 & b4 [* \/ ~1 _) j( h: F1 g# Q

& s9 z+ I7 p9 n9 _+ G( A

7 t2 ^* y) w2 g. z$ S& A 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 0 a; C- s' v+ `5 @6 b# H

( [- x7 E9 s- k" i3 R9 x) X

0 I2 h% N) a# V# X2 a 首先测试ARP 嗅探如图 3 k2 g5 U/ c! e) s, y

3 a$ a/ {0 J" @+ _$ M
Q" @ j' J9 V6 n& |: r+ B ! Q+ P6 r5 j/ j3 @8 c) V
9 H5 \# n+ ?8 F4 p; y# I4 _ 3 @# Q/ u3 W! }7 [
6 M* z7 l& I+ v

& W; j4 V. F* B0 V# E- {+ s 1 }, q0 p& W3 z: R+ |( ^

$ p3 G( P1 o4 e: ?

6 m) x8 [, i2 L* S1 j 测试结果如下图: ( G# Z* J2 b/ N( Q3 P3 c

* ^8 H/ t) B2 w& e: [
4 { \" ?7 U+ x/ c+ j) P7 L & F% m1 A1 k+ S' F( |
: R0 \8 C6 i$ o& g 3 K2 w/ D4 j5 N. c: ~
- K6 Q$ B( Z9 v7 u2 l

b$ `# H9 A4 e4 y $ Q: N/ R1 }: C7 w/ a, O

8 ^2 R) Q8 B* U) f9 @/ L" |

. o* H# b/ C0 B7 t/ n 哈哈嗅探到的东西少是因为这个域下才有几台机器 6 ^8 l3 A7 I1 B* T9 S& G

( q/ ^2 T; V6 C) {4 m/ f

) }6 B) ]5 ~8 m0 W: D+ b- Q: h 下面我们测试DNS欺骗,如图: - k0 y. o5 a( {8 D- u3 [$ x) J

, e# Z3 i) T. C; v
$ m0 |4 O3 U+ F6 u3 r j3 _; r % w" L! D! p7 R
1 P) c3 s/ \5 f! W. e0 h7 U: j; h! D : @+ }* [! f+ g k6 Z
6 x% |8 M3 s0 y. P+ j

5 _& x5 H/ q8 \8 R2 A6 t $ K5 `9 B& `/ x0 S5 Y& x+ k

. t1 i' Y2 ^7 f6 u% R( a ~4 \

9 V4 e/ Z3 H0 y+ N5 y 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ! s) I& N( j9 q" s* i, K

, @0 S; T* z+ a7 d. U5 t+ E7 H
( U4 _) E: [& S) [) |9 S' v& q 9 C5 i4 l0 Q: N) }7 P7 ]8 g
# M: `" U' h5 c + x. A1 ~& p8 K+ S" G2 S& H3 X
2 M: _. J( H8 @& K

4 J& G; u# P0 |8 Y6 I0 s ' H4 s2 B& V+ }# R

4 h. Y. @ A3 P- q2 G; F

: }: x) ]: r6 y4 ~6 l$ u (注:欺骗这个过程由于我之前录制了教程,截图教程了) 6 O6 _2 P( G( R( ]2 V5 y5 ]

9 u3 i6 J; ~ a3 L5 K

, x' V6 a% Q: f' C: e+ G 6 、成功入侵交换机 - V8 h- E: l: G9 o2 a2 t- w

- a8 _( N/ b4 h* W

3 X+ k+ G" S% x o$ E 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 4 U' o8 a5 v5 f

+ m- }. R& Q( X7 w7 C/ x* |

?0 h- x3 _1 s/ Q# ^ 我们进服务器看看,插有福吧看着面熟吧 0 _) _; Y. A- S5 a

$ z8 d4 {+ H: |; e
' s0 `- R e& ~, |$ F: V + E3 }3 b( K( G0 S; Z
" f0 B. h) L1 N- C$ U9 D : P5 a3 r1 T. y6 p. U/ b4 e
. a4 V9 b- T" W& z5 I* v

( f. X, k* o+ b! u% Z. g ' h. ~4 M( y- o) F- L6 g

. }/ d) u6 i2 V; Y8 Z" v* _4 c

h8 y+ s2 B( j5 Q 装了思科交换机管理系统,我们继续看,有两个 管理员 # m# k8 M' u* o5 |. k m9 q

9 S) f& |6 k7 R, \% M) b0 z
J% B. b; s* g- r" _/ f. @& [2 } 2 k% b% s, S2 v+ D- Y, `2 P
2 F7 x' t9 A) t 9 I5 z. B) x+ e" u) Z
2 s: G! o1 z6 a: y

9 E! x. p5 m& p 7 S0 ]2 x7 E; Z ?/ P/ E) c

: w2 [/ ^# T8 Q) O& y

- I7 s$ s) q d3 i 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 % ^) d' q$ f) B

/ {; A d) x$ S" [7 s0 m6 j
e8 q1 T3 i4 D 6 m s7 b3 `1 s
1 t$ n3 D. P' \0 K. b: q H" R$ w 1 e, w& y0 a2 \9 n4 d
1 b$ J0 ^4 u1 ^

, y6 @1 ?5 ?) P4 X) T7 t/ t: e - f, ^3 \' e/ w3 p1 Y

! i. P n6 n/ o- Q$ E* ~. q6 w8 ~

. b" X0 A! z ]# s) y: z. o) ]( Q 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: : a# O! s |7 c

* h; s1 |+ u$ g0 ]% j3 m, e
2 l# |7 d$ V, G& G8 @: j 8 E6 h; L5 i# `& B# x @4 l
* F8 g1 y2 \& S2 K: W/ j4 R i _ , ~ Z, K9 G9 e' }" E
- b, _$ V/ a' C: A% G" {0 S, F D7 i

4 `- ~, w2 ^5 l# O ' U% S% `5 K3 C; I/ P9 K

- m, g( b+ A! f

( g5 Y# {8 G5 [+ j config ,必须写好对应的communuity string 值,如图: . h5 ^8 v% {/ } @; n' o* y- O

9 U# q( j8 [$ ^6 ~
: R/ V% y# y5 L# x8 Q $ Z$ Z1 G" t2 V6 y
2 n( J3 T; o0 s! _" l; B9 ] 2 P( @8 _% E+ V+ I/ x
2 T9 W9 o* Z# V% J

8 l, W# ]& G T. e2 s" ] - F) Y5 [( ]8 R

( P" f6 x5 L4 n% F' t

) U. {/ p& R7 K! U/ I 远程登录看看,如图: - F, c) @7 S; T: N9 `; G+ G. @' P

5 T' t! m4 I6 n2 A
9 q" v& y' @. m# p2 \3 _( R$ B6 l 7 ^- \$ l2 f, y' ~/ j5 I- o
. \ y; D; d1 [0 N: w0 b- g2 r& L ( q. O9 ~4 d \- ^+ R z" P
" R! n) N) \+ ^7 g5 A+ N" n7 m

* B8 a% s7 k2 t1 c! ^. n0 N # [& V! |* |2 r$ l) j( h, l# `, `

$ z# ]: t2 h# Y; m

( K5 @ i2 f5 v/ l 直接进入特权模式,以此类推搞了将近70 台交换机如图: 7 q5 J+ U0 ~8 g. J* N8 T

S3 V" k* P3 [ T; U& F% b. y& q
% y( o" \( }) ]: q) H& s/ E 5 T3 e) m" Z! a$ h% A. X4 L) `& ?5 v
6 N3 |" h3 m+ i/ c- n, T- R. h ( Z( h4 l( u8 c: F' Z
$ |& Z, G) q% e/ @. t" x- ^: B) _

) a+ L! B$ ^4 Y/ E" g4 q' n; n 4 L/ r0 d) j4 ^ D1 n

& i1 c( k2 r/ o0 M+ F, q8 g2 q! A* r

, {6 d# y6 ^& t+ i5 A% m ( d2 e# E9 d3 L* z

, s) |# q7 f: x

6 P0 ^# V+ U& r7 H m: C0 X+ }# X; \ 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** * o9 V3 @/ J% O. X: [& x; m7 q0 x

( f' m1 h* {! H( {9 g2 ]7 z6 }
" V3 K2 Z- B+ V+ k* B 5 z2 _1 C, ?- l
# ?; D. T9 K: L7 L" a: l+ F 6 W5 B% g: m) ^. ^" J
2 F7 H1 L/ y+ ^0 C, h

3 L z8 K1 u, L' j& i 9 {. Z( T& q: ?4 z& [- w; ~7 ]

$ ?: |! q/ K9 X) o. J/ ^- N

* u5 M7 U7 x+ ^. R- k/ \) H 确实可以读取配置文件的。 " a9 q6 K" R* i/ R! X

+ O+ c2 J8 L7 |1 _, z( B) X

S2 G+ X" I! L4 R+ k1 E) l 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ' a9 P W6 G1 r: k1 X+ K3 k

& I! o, t+ a4 x" k+ Y
5 c' n3 i; M5 _" i. [0 j& u & P F( i3 Z8 E* X1 e8 h5 B q4 z
& X$ j3 S' h+ x& H7 Z! n, B& _ + _! R1 q, S+ q- D* X% y- e7 Z! i' n
; G9 I) F; t0 w; T7 L3 K" s

. f0 ~2 X2 ? k 8 n0 A+ [$ N' g+ u9 X9 w! A

& I' q7 y! k. u" N0 o: o

$ ^ s, X7 j- X, {, f. A* n 3 ~8 f* |1 O; y2 [6 W: Y1 ?4 `2 p# b

! _0 |" Y' F2 W9 ?! B% r( ^

0 R7 x7 ^: V2 E 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 . _, ^7 [$ L4 m0 |' G6 u

2 n5 N+ J4 A6 D/ R h
& j: T3 B( K! q6 D/ U7 _ * ?. X" {- P5 ]+ V, }
( N; x8 S6 ^( `2 w : |3 E3 ]! F; s4 t
# B8 H1 \7 [0 S; V J% r& s

7 \; V) [" p9 @ / a `8 e5 |9 o& d7 S( E( P

8 @/ ^0 x: i3 J# u

, G: a" _0 m+ F8 _8 R7 G& Q/ V 上图千兆交换机管理系统。 1 ~$ C/ [" a$ B. K

2 a" e4 u" `8 I* T) P+ `& z

4 u0 q6 G. x5 g* ~" B 7 、入侵山石网关防火墙 1 |9 U# V" X* H

" W1 Z9 n, _3 c9 A- ^ k/ C- B* z' P

" A2 t3 l4 j- }/ U; C+ V 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 9 Z# ^; y3 ~, G* c0 B

6 w; R: l7 k: S' @
5 k' M- r) ~ ^! y& r" J , U1 l# Q, z5 C1 B
! ?0 t4 `0 X2 K + L" B# N# F) i3 f2 P
6 u3 d: U: U0 m8 U$ P- L" v" U/ L

" K/ q6 f5 {$ W4 R 4 x. v3 S) I8 t0 j- f: d0 @5 p6 n

7 f% K/ o( ?- N

7 F: H& {$ S3 [ J9 @3 l. X& a! R/ _ 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: : ~; b) S5 J; I* j0 h" Q+ j" U( z( ~

1 V _1 j' k# z0 y+ F
" P1 g' D+ y+ I9 o & K- G, N; K+ w4 a, C, L3 x# ]% @2 Z
1 C2 U; P. q4 n/ `+ C1 K/ s 6 f' |) Z% q7 T0 }+ W0 U6 F$ k: G
C& z! f: {- z

& o& t7 a/ p, `4 [" l, I p3 c $ X8 X5 R4 ~' i% x4 E6 l

' t0 D; C% h0 r' T0 a* Z4 m

; r/ b; x" n2 f2 L 然后登陆网关如图:** . O. n5 X7 ~4 K; k2 J/ D

( u" `9 k1 D) K U, y
+ F- o, r: J6 B; L6 E! i" ^1 S 5 T- J, a& y& X! P2 R) l
1 c9 a4 c @3 m* r8 n2 y & o: z( r# G ~
& C# C4 B0 _ c- k; b7 o

* F8 ]: I" G. l, h4 ` 0 C) X6 k: w' W

$ _& H% J/ j; s: e1 `
, r4 L! R% k) w1 `1 R. j . l3 J6 u# m: o7 ^6 Z- y
* K' H' `6 J8 f* x , m1 V; R" O' V+ F I5 \. v9 R. `4 L8 X
) i7 V- b( j& w; w' K) G

( E9 K4 S! E4 L4 B9 a 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** , z8 U) r G% H2 X9 m: }

" L) k% N* ^4 f' V; m

" e1 G( f3 B) n4 @6 [" i) U/ M2 r 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 ( b9 G" w/ T3 x; h& ^

4 V/ {+ r7 D: u5 S u* [6 W1 m

Q$ q' ~, N8 v( p# m J; ]0 v3 `% g 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 0 G5 ~3 ^- X7 @5 Y0 q: M

& \' t9 D7 F/ n6 m1 K
# j- w( q1 h' p9 X6 C- `3 f% e Z* q- S" z. a" y$ }
8 k- e. ] ?8 g4 f ; U* e; V5 T( t3 i" s2 H/ W
. f3 h" o& H( z' N% H* |+ v

! c- p F' H: c) A* r : k) c6 B5 X7 L5 C

. W+ S0 J) y' x/ y8 p

/ e& b3 z) F7 _$ q/ B0 v# M 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 + z# w6 A: t i2 D* s

. S, [* O2 }4 G& u) ?5 k9 o+ ?

0 V+ p* U* }0 H$ z   % X" @, I/ y: C# Y

, o& X6 C# i9 I. p& s ]" e5 Q1 X

7 ~" Q7 Q/ i; D- T. R
3 m; G' g3 M. Z0 C1 [, q8 x+ F

7 a! p; m: x% ` 2 m! ~4 Q8 o. b$ K$ b# [3 T$ X. i* t1 H
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表