找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 2296|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

& V! e# K* J, t) e9 s" p: y
) M: y' X f, F8 M G f* h

3 y i7 ~0 i& P( b# s/ a; l

. W8 P5 G$ E* D$ U 1、弱口令扫描提权进服务器 % w. v! S- Q% W

. W, g4 h% i! C, J, i7 ^! @

3 x" a9 S5 _! |) } 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 0 T9 r# n7 R% }0 e5 X7 v3 i* \- r

9 [5 w" ~# j* W( |/ I) S
4 k: ~- K. Q+ j, g4 o$ N 3 W+ A" U5 d4 g6 \: B1 [ ~+ c
- N7 O; L+ k; y 7 m ?8 t1 W( y) M
! Q$ ]- P( T3 P$ y4 g0 n3 r1 V" U

# k/ N' K1 U1 S( K3 Q# E3 d) p ! i6 ~: X3 T! D9 y( g

7 d6 H$ T; R' T+ {' M G5 ?

# d+ r5 E, F. w+ N4 G$ A2 E, k . n& \. f/ J2 V, c. @' G/ g

) F- j3 ^. g: N& K5 b# s( O

1 N& J Z4 U3 p: ~1 u ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ( ]3 h& A8 o+ c, T7 q: t! y1 R

9 U, B4 ]+ M; E% b* {

; r% w0 n+ ^0 Z 执行一下命令看看 1 S0 x$ i$ @3 g6 ~

+ p# S, O6 N! V

8 J) s. m' p+ i7 R0 |! ] ?. h3 d # Z$ z* R4 k+ K4 Z2 d( s

' j$ b6 }% Y3 E
' f' ]( k2 `* F: s3 l 3 ?" ^0 Z8 {" B# C- ~6 ~3 W7 B
0 f" z3 e* G2 z# V- t6 G) i & a% f' u5 i5 t5 M% X# y
1 E0 Q1 F6 I4 D+ X* m) r

$ c4 m4 z- w/ O, i 开了3389 ,直接加账号进去 # s) P+ }2 b; w& A1 D

2 \4 s- p b6 g$ \& r0 g& Q
% i% u" R+ K" u4 k) Y' B0 ^1 u 3 _/ i5 l0 m) M5 X
0 {4 B$ x# ~+ U/ A3 Q 8 m* ], X5 P& H; U, j. O, P
. |( Y7 }( M: u# I7 N, Y

1 \+ U9 _$ m) P" d1 T; q: K( } ( {3 y( R$ q9 X! n/ s

: \" d) v! J) S

% X4 b" P. k8 U4 R; j/ m 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 4 K% n8 \& O2 m5 ~) N

' K; K' S2 [- `. u8 H$ \
, D! p% B0 _1 X+ _+ {5 k( C / ^% B; U6 q3 `/ b! @
4 i4 d1 T4 [+ y- ~/ k 5 n6 I$ ~& [6 ~# C( A
) y5 I; e# f! @

/ D0 q# h6 J7 Y: v( U, |+ o* I9 Y $ U1 m& k5 m: A3 I

( g' e5 [* V3 [- o6 r, d

7 {+ \% g i/ m+ Y! A& Y 直接加个后门, 5 P1 s: s8 Q* s

8 ]! ]$ N O H- I5 o% k8 K- _' [% ~

( H4 t) T3 Q( e5 A. F2 g7 m9 s Q; G% a8 G1 l4 t' U: F

5 q+ {$ [( L. }. C9 r
3 v& h7 c2 D( ~3 K. }0 X $ Q7 A6 r2 x0 s7 E1 D# g$ K; w5 X: C
: b+ S" j# y6 s2 [/ k- p/ l $ ^6 M; d1 y9 T7 i4 L y
! }. ^) n/ e8 K# a4 ~$ c+ Y7 n4 c

, N, W, b$ m& _4 I5 z E 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 : N" d9 X1 I( |2 [5 {) `; Z0 n+ ?( `

: H$ k. x& \# w

/ ~' z% A% m( f4 \ 2 、域环境下渗透搞定域内全部机器 + J3 n: D, v# W. `2 R! x4 _

; q. t4 }+ Q+ V' M/ j% Y4 v

; ]- V# @/ e- e+ h 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 3 A6 V3 b9 |' U6 {

' j) T: l5 S& w: v
I% k- c9 Z( ]9 @( p9 c, x+ D; W " T3 p0 {2 e% `, i
" q, B9 `% I- K R+ R% T J a2 S/ U1 J+ O; A X: d( m8 E
& S( \ _9 b3 B+ l

3 A2 F* s f/ q4 ]* n : W5 B: n! R% u5 t( ~3 B# N& Z

3 u3 a( v% R. f4 u$ d

# M8 ^% a" _7 Q 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 3 w6 V! P7 [2 c( ~4 D2 C

+ V- A) j* t! {
& \$ j# @( s/ _/ ]2 A: A/ \4 L3 @ 9 L& n9 P9 f% L( p$ J- f
7 ] l3 D9 K4 N $ E: _2 F) q, m) e/ ~, S$ H0 ~
& Q/ g5 W$ L* W0 J: l# T& M

8 N$ w& j& E2 n5 _% N: U & S& o/ l6 Y) Q7 W- R

4 W9 D1 [, |2 @3 h8 J% C8 H7 W. a

T* N3 L$ L5 a1 i 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ; z5 @ W. o; f/ o

6 \. q" [. U! P
( S* Y' X1 K, H# T) n# h& u2 E 0 e, N2 l3 z }* l: }' v8 E3 Y
- r* h2 Q0 T& Z' b! m6 } - p" W8 I, D: k, l6 i
9 e& V: h0 C. |2 R& I: i( X

7 [! M( p0 m% {) i$ i3 E 7 e0 p6 j- k0 p- v

0 c( v! \' R9 [+ T9 \6 i5 e' Q

: z, w! V/ C9 W. t3 z) e 利用cluster 这个用户我们远程登录一下域服务器如图: ' h) s* X' p/ v3 a; N

. G! W9 C5 ^* a
; e# h8 m2 Z, X: w7 M+ h - n' c9 J: n5 Q0 ]8 R* S% s
8 \+ E4 F: }( W( J: R I& w 9 I5 F* S: N9 k: h/ m L( [
* @4 f+ }# c$ b

' i8 S/ K) A0 Z# Z# G + J* I; I. J9 B5 z, B/ ~

2 F( b7 Z: U( E! h7 ^' R

; H' I3 {' z9 O3 V8 ~ 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: * h4 f$ a8 s3 @, f9 W

& k+ D: z+ { r6 N; q0 i
; G1 H! A, _4 o& e ( D1 ]5 M/ S( w* x
* ~5 k: s3 B& j4 e) z) ` - U( ?! ^ ?0 s" `% v" @
5 e. v5 U- j- q6 B, g3 q- F

9 s% o9 q1 g. |, v) B, x : w0 ^8 F. e4 c$ v

( d+ G2 M0 y \8 J! c% B% y

% g Q6 R' x1 K5 V6 F) Q8 U 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: % H; e1 R2 V5 ]2 D K3 _; x

4 i% {4 f' {- X9 D4 P; E

( k( P3 R/ E L+ d# G + l& U [9 {- v+ S, }1 Y4 Z

2 y" }* v/ X' ~* J0 g) P

+ S" [, Z1 r J0 a$ r 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ' I- w) k! L% B8 S) F

" j& A. c# B& L( t2 s$ H6 C1 Y

& ~4 g' {) U/ r1 ?' j* l% b blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: & F& n, W. v% F8 }3 x! F2 m7 S* G2 Z

* O- F4 F0 ?; c8 P
: k' `- g2 ^- O$ |" b ' P# N' R6 T/ L+ q3 t ~
" y' \6 k# t$ Y6 x0 a# v" z ) F' S& w5 O S2 }
S' _. ~3 D# s$ x9 p' C2 h

, `8 |! p! A P; S6 B: D) R6 V # j; n8 c, S" l& j; D

4 K5 w' m6 z+ A3 `7 z2 @# J

- ^$ K# @* J3 k. P" s# D 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 & ]8 p' W4 _, _% V( ?' `# S) E- \% m

2 M l- w0 s3 K* c5 v# l! m( w0 H
- g! d8 l$ k# S1 m- _) v# U $ b9 x% r6 B% c& I2 Z3 d! ^
6 w+ J1 J# b5 W8 }7 Z/ p: q" J 3 J1 K0 O" L Y
# ~& _. Y8 X5 A* R: i4 R

' I& N& P5 {9 Z5 }/ A # }0 H1 @+ x5 L/ K. Q( E

0 M) n4 Z. r- E7 I! v3 L& u& [9 @

) F; s7 g# N* J5 U; w' t 利用ms08067 成功溢出服务器,成功登录服务器 , a- c/ G# |) M

$ g$ m# L1 l& \: S
- ~1 L, n' s4 B6 ]! E ) G5 \! U2 ^& R) s8 {' c# b2 y& U# J1 Q
2 z7 P' m7 {" R9 z. z& q 4 b# q) a8 F: E( I7 |/ Z% h% b
$ x$ ~. W' v n, E" {

. Y- y! g7 e' s9 i ) A# n9 o7 M' y. Y

+ \" y7 Z# x( J# e0 {

$ s5 N9 A) n; H" v' H' M8 w 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 8 Y5 g2 A# \* I. H* m a

1 j* ?/ n( z! o1 E3 q0 f

. v e7 ^9 f$ E/ v! ]* t 这样两个域我们就全部拿下了。 - \1 D" C6 f4 b& Z/ B3 K

. q% l1 c/ [/ E6 t, f V7 K& V1 |

0 l- }, W* `, f; Z 3 、通过oa 系统入侵进服务器 2 ~+ j& k; ?! J* \- v# L

) k& g5 l& q/ A6 z

1 Z& } `3 w+ O$ y! @1 S/ h; R# x: y* Z$ a Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 0 z, P$ ?# i( b& Z% _% w* O4 J

# u6 _$ [' I# {
) T' @0 T* }4 K, m- \/ w* d3 G" o # p8 n, k/ c4 k7 b0 [: j
" r8 k; t& A5 b/ T5 k6 H ( R6 l$ V% K: y) Z9 I+ Q7 p2 E- }
6 c! b, k9 h5 |* a! ?4 s

. z6 ?. ^8 X k/ p- D5 u2 ? . H6 ~9 |3 O; Q" M# q9 l3 I

9 _, r1 B, }; H% V; @# d! Q; T% T

; E5 s" y% U/ N3 u8 ?" c 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ' ` ^ X) R/ x4 F% |9 o/ a

) m8 A0 d/ ?4 ~( G: z
& R: X \0 n* w * r0 l2 p3 n. N7 R t
# k9 z9 d! m2 M: R% b 5 |1 P) h3 _$ r& U6 W
, h( t% w8 c3 ^, a

1 i1 w! L7 ~/ M) E1 Q; k; H+ { ) ^# e4 `, |. j0 J& p

1 r& N8 W, n$ C% l

3 f5 N2 J% h5 A9 Y 填写错误标记开扫结果如下 - c' o2 b y P# i0 [

1 |1 g2 i3 C+ F
% P0 p6 l1 z9 Q0 S& F8 ~ $ _5 k1 L4 k: [3 } }
- Q4 o1 S& o) e8 n9 h, c5 _& c 6 O# g. w' f9 ^3 C
2 N9 F, o! e( B* ^5 K

, V0 t/ Q7 b" O5 X, w g ) }% q4 r/ e3 {

e+ n5 H* T7 U3 e3 f b

9 H- H: f4 L" E; M 下面我们进OA - g5 |; `6 L) ^

' R( S# O4 V3 Y' A1 z! |( k8 a1 E0 Q
+ J7 s# j1 f( x; P" M: O+ D6 J ; Z+ U; @$ k* T! {
/ W0 Q- f; a# j: D# ?7 J 9 ]& y3 F5 w9 C
0 A, [: n, L4 h

6 z& [' t1 J0 R 3 B3 K! }! W4 s" o6 B' c' v

& t$ e% o, i! D4 M6 Z5 {

( X( Z) J: o/ o 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 - i( x" p# N M& L; v# }

# [6 y U1 x) M+ \9 W
! t0 L- e% L3 |, r% I* Q6 @ & T8 h, Y& R2 A. g- l, j
: j& D; v. \/ d$ ] F! {0 S ) W$ `: o* o2 l' Y
& W9 ]+ G: Q+ f& X4 V

+ i% K2 U+ F( K% d ! N( {! B6 @4 o7 @

% x8 |2 r/ `8 E

" {, [8 P# d7 y0 d / b. a4 S5 m& Q: p

+ ]. x* z9 N8 [ u+ Q8 q4 g @) v! `

# z' d5 L+ A& n/ n3 e6 z; m7 I { 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 ; {" }8 {1 V9 [, U( i

/ {- ?+ ^2 p* N' D( L+ Z

0 b, [; |/ H6 e, ]- O$ r: k 4 、利用tomcat 提权进服务器 , \: R# \6 L. X2 Y$ C" x5 f

0 S }" a9 h: q6 b

# O+ ] Q: m! F) K: H4 k nessus 扫描目标ip 发现如图 + F1 Z; j" q, ^+ | p

# ?# y) Z* K6 m
# U# c- a# h+ p* `/ s+ l- V ) j- l5 {7 s7 n- R/ O
4 F5 c' \# t2 u3 U# s4 P2 J9 y & Q5 m+ K" }8 f: X
$ `8 K' d, d" ^$ e

* h$ e+ Z. [9 Z2 } ; |5 w" A( ]+ L, f, B1 k

1 J7 p2 D& e2 Z/ F" W

% B) G4 H2 W$ \, K, s% a% R# y 登录如图: + S. E9 H& F7 r$ j- M

. e4 G& o |1 P; U: q
! @: R' Q) l& I) u# j' Q! M7 o8 ` ] + c& x; ?0 d/ H7 ?* a) w" @
" c! I* _" o9 a- Q; ^ ]5 W! p. V& i, f1 h
) ?; C: w, I6 R+ V7 G. I/ x

M6 C0 [4 T. Y% l+ j2 O . j# g5 i; N1 u' h2 U

, g, _* a& w* ^( T* d8 b

4 q) e5 Y/ s2 j+ S4 I 找个上传的地方上传如图: 2 l& [' t8 N8 y( F; ~7 p

" D6 i4 H3 G! B, ?
0 T1 o8 I/ t+ P' n / ~& P) t9 E1 _: Q1 n2 v, Y& ~ T. v
! J9 A* i: o2 S4 L9 Z/ R + U( e4 Y2 F- q1 v: l2 Y- C
6 x' s9 V4 f! a P* H6 y \( ]7 n

# e' Y/ N% u" ]; Q: c& ] & E- G A( p& w) s4 a" V

. N- d! J" b Y+ R: S+ G9 i

9 ?0 G# o. c) @# L6 \2 X( l9 K 然后就是同样执行命令提权,过程不在写了 3 ?. e, G( F4 _ g$ r8 y

! P* Q, Z% N5 P. S

. Y) L9 h7 { @( o Z* H 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 3 U& Z! f5 D: U: w/ q1 _

( }1 x9 r' K! ^+ x+ [- f, ^7 L

, X2 Y6 _9 C3 C9 V/ ~ 首先测试ARP 嗅探如图 + \' J% ]0 i. F; z+ v1 e- b

( f. \8 v5 |0 `) f z
% y5 n, d& t8 i9 ?3 a: }6 Y. r " W* R T- d+ R6 m
& L3 M! X% ~( | " a J2 \# _# K, F' j
! m5 B: }5 W! Z/ ^8 G0 e

( e; d' f s6 s K$ a; Q ( A3 R) I7 I2 Z: a" Z- X- V

4 j& l' Z9 ~1 o9 \! O6 z

4 T! w/ |) U4 b/ Z/ [0 I8 w 测试结果如下图: * `3 ]( U9 S, d: V

! e2 J, V; o: @3 q
, _! e0 G9 C L9 `- y& S % U; Q; Q% [2 \) O% Z
4 w) R1 a+ b, p5 [( ^ p# _ ( `9 b: X0 i3 r/ ?( Y$ [
) Z0 O7 q/ _+ \ d

1 W( d0 Q/ `# X7 F 0 Q: N4 G' [ K

3 Y8 Y( H0 F' B! ~5 O+ r

/ X6 r$ N8 H% r- V0 D 哈哈嗅探到的东西少是因为这个域下才有几台机器 4 ^/ Q7 F. A8 M; X" ]

6 y! B. N& t! m

7 |* y5 y+ i$ z0 r+ j6 y6 u 下面我们测试DNS欺骗,如图: $ e s$ O* }8 S% ^5 M

1 l3 X7 |# j" R4 r& T0 u
# M( L- l! N5 O 1 k3 f- ]+ c, s
+ u2 m, @5 [ |+ q( @; z* k ! g, `) u( w B5 g2 b; G
. j" p7 C+ p: J# r- K0 }% s

' |' H$ Q9 P. P' `; r. t & a& L$ x: m9 O. }' q

1 j% s% S- v( C0 Q$ J, n: n

9 r; y3 C+ U: t. T8 L/ [ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: " B- N' [2 z1 d8 R

- _% g7 a f) M! _8 b
8 L' I! \ F- ^3 O7 |! |! b Q & m5 ]( l+ I6 W% n3 D+ v" l
" h, ?+ i4 y2 }; O 0 n. p* O: i2 x1 s7 a9 s" z+ x
& z6 T, g, `3 O' X5 w, a1 `6 f

+ M9 N% x9 Y6 v8 w) X$ C% B 0 e0 r! s# g* R/ m2 [/ Z

" r7 J, q6 h" T! X8 j

. j2 M- s3 R- H+ r( r (注:欺骗这个过程由于我之前录制了教程,截图教程了) % A; v9 g9 L* s4 Q% T$ N' p

( C7 H! G: U) {9 W: G

- y% ^/ n" j' L' w7 | b. d 6 、成功入侵交换机 3 b" o1 V' O9 k- h6 C

* d \8 N7 O9 Z! K( V

4 Q. o' D/ \' y+ _; X# {0 w: r 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 A, Q" z5 p' F8 R0 c& b2 C1 `

1 b3 ~. S- z6 ]5 N& Z

# x* [4 V4 _; b4 y- u. n 我们进服务器看看,插有福吧看着面熟吧 ( b, Q8 t/ [6 v+ S

# |) X) w6 ~ j
/ [4 L* ?% k* A8 f4 ~% k1 [* n 7 {4 K0 M4 p( Z) W P3 S7 |
3 _; \) W- Q: Y6 @; ~% D3 j0 ] - L/ b, \) r9 B. K
6 U5 v6 M) P* A5 ]5 p4 F

! ~3 Z: g& L+ d) u% l2 u & k" h' Y8 I, X8 C, o0 F" W$ D% t9 @# U

% B$ q B0 q9 \' J7 A6 F

# L. u9 A5 {/ d1 j6 A 装了思科交换机管理系统,我们继续看,有两个 管理员 9 K- R7 w0 T* y+ n7 b

, ^# M9 y' O& C+ S- M [" w# C, n0 Y
+ y' A" L' y9 f; F * f7 E+ V& @% N3 u) K3 I) y/ D/ P" A
) n/ c1 S: `+ u1 v$ f$ n 6 C/ K# ^! V2 i
) J. q; r6 c, C8 x( S) D. b2 n0 N

$ q' j/ Q& g9 E- x/ } 4 E1 p' r; T1 V7 ~6 ^; x

7 ^2 P0 W \# e- Y. ]) c7 y

3 w, \+ A9 O9 G: G7 E0 X% C 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 8 j+ x. e/ H2 O7 S; U$ [& i

5 S. J1 L7 t- f# i/ W
, b3 n, |/ Y. ^$ A: H) B" a- K+ R, ~ ! ?2 o2 h8 H8 r; `4 g# U0 z. G- O! K
7 Y5 d; z5 j' c1 c4 \/ A$ [7 s- Z : O* O( H! P1 f/ A* g1 d
* N2 C2 {5 W/ x5 ~6 y

2 J& U3 T) n# P; S) }: T / h( l% w8 Y4 b2 @0 Z# x6 Q

8 z) `. [* a/ c; d

- G( O7 R" q7 B: t5 E& \ 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: $ _/ O5 d, d$ o: l& E

* Q% ?# ^# p" S3 ]
( z: e2 W* L, M* V- ^ ' _8 k+ b. a1 q: B# U
$ ^* x7 r- D8 y 8 z$ u9 r; W# n3 I' B
7 p0 `# g% T2 D; b2 M& I9 R: l

: R4 h- `: T) f# L* W( [3 l 5 `% o, _" V5 [3 |/ b& V6 s2 B

1 Z: O e2 m3 u+ |( p$ T2 O

2 T' z& @1 Y8 D1 j config ,必须写好对应的communuity string 值,如图: `9 M$ J2 V M4 Z) }3 l0 L

! U* r1 t, n5 x2 {+ r+ _" w
& I. E% b; K6 d7 B $ V; h- _3 \) y! ^
' Y" x$ _5 H6 i: I0 d4 u# a$ _ 6 R, p$ o% B2 M7 C: }2 ]
6 u* ^. Q# o' [

. F. I5 z' O2 x7 l; H K: t" \( R3 h8 l

9 C6 T, Q" h3 b

) Z7 E2 ^; ~$ W, N k+ x( H; E 远程登录看看,如图: ) {! |3 p" W% l4 R9 W* S& c7 S

9 C v& H6 x; f4 ]( V# z! j, S
! y9 ]. Z+ X% n) y) W 2 G4 b0 ]1 W) v# r/ \/ N$ ]
3 c* I, P+ _& `& `! M 9 a/ e4 \6 z5 n- A* W0 c
, X3 p4 n2 s+ r5 y) }& d+ x5 A

" h* R! M9 | Y% F) | ! q- k: {, j8 F0 \

' T7 j7 h( j9 U% r& \) N' H$ ^- f+ K

" D$ b* T7 g0 b, x3 g# B* [ 直接进入特权模式,以此类推搞了将近70 台交换机如图: 7 ]1 g, ]6 f1 g% u0 s e4 Y% Q

* M$ q2 w. b- S+ O
9 C' B7 _+ a7 i# x- b 9 w- [, N! r* [8 \9 \5 N
- W. i& e( u% ~- o. j" x. b ! P2 F& t% C4 M% B' @( u
7 D# v( Y/ e! G d% c m. N) {3 D

; D$ A& M9 O8 D8 E* G5 F $ N3 X$ |3 g2 x# m: E

6 j4 U$ I& F- C8 f) {( [

( Z5 c. h9 \5 D5 o/ D: D # b/ q1 k- Q& x' u2 u m+ x. u

! e$ g1 R$ Z3 c

: K; G( V, u" o0 Y 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 8 j% D J" H1 n c

8 D+ }, |$ |1 o+ C# ~, |
5 x) {" i/ |+ M) i' H / O0 E& Q: J! r" p
) E6 N7 j' ?3 L" q f* |3 }5 f9 E3 A
& s7 e8 ?! M! ^' h% @4 ^* d, y

7 S9 ?+ N3 s7 F3 s% K6 A' d 4 F4 m- v) b, H6 i

0 W% d2 q; s& v. r9 C2 `4 Y" p; r

- \! L' _/ B; o0 F; h: s 确实可以读取配置文件的。 1 }. T" | e7 }7 x7 E, q

6 a0 l) E: _, v' |8 c& ]) q

3 E+ W3 m) K% G/ ] 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 1 T8 s3 Q' U/ X, i2 Q8 u* S

& T u8 X2 U2 y% e, L: P
- L( A0 H( i# u9 ^# S E % q8 E/ P/ a$ p2 W, \3 b! _0 K! o5 E
8 O {" i' S# C2 U2 j5 P6 }' p; l ! v. A4 r) e1 |
8 P0 y" w( t* U

% ^( n/ j0 a9 c! [) C7 V* s9 b# | / u6 u- A4 Q0 q

1 G; g: W# Q; j2 _; e

% U8 S: H S3 F# E+ A: N$ P 4 b% V5 K+ F) N/ G( ~5 v8 ]! a

/ @1 P* Q, {# E, r+ L

# {! x- X m; Y 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ( j& _: V5 d* g

4 u' w, \7 c( D% o m$ P
1 Z5 f; J: b; C( T , I, { Z' \7 f- z% l2 s$ J6 D; G
$ j: m, j$ s! C* k , u- R8 Y; C) ]* n' f2 N3 O
, r6 q1 U7 r7 i' V6 ^

, h. A! _9 E" U7 o' I- f: ] U # K7 B* A4 U& q

: K9 }% V3 r6 ^" k1 W2 I

( | c: u( e4 i) W- m 上图千兆交换机管理系统。 4 B7 D* [! X# g! M* J

1 p/ n* j9 n4 v

1 T0 V6 Q s9 O: E7 d. Z 7 、入侵山石网关防火墙 9 ]8 R! u( m$ L8 _

- z j& A& E/ }

8 j* p) S- [: n) T: W) D4 J8 E 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: 8 r4 s f' [. p! r

. j7 g3 j7 O8 V6 J4 l) K
9 A$ ~- G* p3 @ * R, A1 W+ ~, i
9 u& e& d8 w9 l- V& Z/ Z2 F " [; ]# h( m. J
8 _% G" q8 W" S" g/ b6 C

0 u4 a% P+ R( P* R' i! } 2 R3 }& I6 e4 v6 u9 L

& }1 S* M. r% g7 E1 @

; s- T- ^' s/ G6 H& x& H 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 6 z* S( O0 T3 q- R& }# Y% u, g: j& ]

' _0 T: I; P( B+ P4 \1 t& C, T
7 x2 ?3 n% k! t5 u- W0 S, W " \9 b2 _2 W: _# A! E
5 F1 ]+ y# C# V7 m . n+ T% Y" U# p. R6 c/ g, g. e% H
: N c2 o3 j' t! k5 j6 I

, q) h8 ~ S3 |4 b 9 G/ L- P- X( h. D6 w0 N- ]

9 H! _! K' [: m8 `" Q

+ n/ Q/ N5 l* w9 T5 J2 _ 然后登陆网关如图:** 0 M* d7 z( P4 j; l" d) m

/ u# L; x" x1 t" _/ K
3 }3 H0 p8 C6 _. e* r. v 0 x1 Q! P3 G4 ~
2 Y ?3 \% s) F7 [ , I5 S% z% N( y: a) D! J
8 X b+ P9 Z% Z8 _) B

0 d/ ~% C# W1 @% f) e, d : T8 \/ w2 E q1 k

; w6 \# P! c9 x/ i, p- T" F/ H
8 W( a: H% \ m% }( x 6 }7 L2 T+ a a% a2 Y9 h0 w
6 a4 ~5 l, K, b 0 q; m3 } T3 r
# b Y! [# n7 Q" U G

% E3 o" A: I: f7 c; P 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 8 \. T) j; W8 g$ `" _5 c( y8 u: Z

- h7 m" ?( r$ Y& V; e; o5 ~

+ `4 K( @$ T* t+ M: Q2 z, A 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 6 {" N3 G; b) Y( _% l5 O* I a# \3 T- X

0 ~- q3 F+ U' q+ ?) O: D5 v

( q; F' p! y0 P$ M 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 2 z! \" b$ b9 _5 L5 M: ?$ \: S

! O( A n+ s# E5 ]1 w& l6 X2 L
& n. }* D& R8 q# i' i$ [7 F t/ l: ^( H q$ z; v
; v6 \6 h l/ P, X+ [' E $ o' T2 o. m# _1 E3 H
! M9 E4 y/ u3 j( f& F5 [# o& e

# | X" Y8 n) r. s$ x) N$ i ; q* j q- }4 G. y- ` h9 F

$ h2 f' S! b! T( t2 U$ Y6 {/ x

7 z' E2 P, Q" H8 m& |% P8 l 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 7 h- m! \: ^* C$ m2 p% Y9 o

8 Y* K4 o0 I' |3 g

7 G# M2 s: `% }0 |% p   - j. g& Z9 ?) G

9 z4 E; j! l/ J

/ l4 a# q9 x- D* ~# l \2 v) N+ P5 `
! e% ]- y- V! k( {0 n1 i7 y1 m

- e- a }% u8 R6 z9 c; U+ h4 }1 u
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表