找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1590|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

! b( U& z% d7 z' n, W9 q5 I* y
: H. l! b, `, K ]4 _4 Z; v% q

# R# [( s& y) w2 p0 `2 A

; a U" ~" s" a$ i( X5 a. ~ 1、弱口令扫描提权进服务器 & t; _$ |& y- X! `% p" k( ]3 t8 X

: _! `- P! s0 V+ t4 o' h' e

- Z8 {1 p2 P; c& ] 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 4 z" v. L& R& \, J9 Q( y

, l8 V7 |2 S j) A
2 Y4 a: b( T. o1 i% A, w ; a( ?/ @* U) R: ~$ \9 Z. x$ }3 P: i
& E' _3 a9 R8 S; D! V. A- i7 G% U6 z 6 l9 g( A' q. B0 |3 p
) x) F& u6 c( M5 C, D/ w9 g

+ a1 O/ _6 o7 A' L& R- m) \ 4 a# h' i1 P H6 `2 V

' i& Q" S' c# X7 p

+ K6 e3 Q/ i4 P9 V% B6 F* ]; F; X$ m& L ; r! m% m! I% b- x \6 r0 M( U3 }4 a

% \, T m3 y W0 W4 _' I4 C

+ T, f) |' T! C+ e3 e ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 " L+ B: c# n* W% h6 p6 u/ W

( A. i- O! W3 {$ b# {: r D

6 C* @- _ y6 O6 w 执行一下命令看看 $ Y$ X% P8 {! }8 ~& f5 d

2 T) ^2 h% h/ B, l: h+ J3 @3 q

7 Z7 M" {+ J4 z 0 O# `2 j& [3 A! Y% ?

- A% L2 ~# f2 J7 w% y2 a" l4 }4 T
: u0 b- h2 s0 {2 g& l d 4 L! }' C; k" D0 Y" [' v6 F
5 \3 D1 }! U/ r5 N3 p 9 B9 ^' y- C: A' ]2 m9 E. |
& Y2 h4 J0 d# c& i H8 B$ i5 V

7 O# D5 X" f9 `- g 开了3389 ,直接加账号进去 * p3 r: Z7 T9 t& n

: v- Q' Q) [4 [( V+ ]. b2 b
4 L4 N/ _/ t2 ^* W! E+ U, T" q7 j ! X: V0 o" g4 F" K& N
9 R" j) C/ |' Q* |1 j ; O2 A! r3 R5 c& _
6 A: B }" r1 d( R; p

8 z {6 j3 C" W: `1 }4 y 1 d5 i" ?% d- y+ A0 o! O! y

6 O/ y/ _/ t- e

# t1 F& n7 y2 Y: i& N 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 + K5 n$ ~$ Q( S* h% F0 O% n

( a6 R3 ^3 l. {
, \. r. f- y, a) L / ]- A" d; T" ?: j
) T4 {; Y7 ]7 O, [ 1 H7 ?! c9 m# E
% o" O+ W/ ~) ^2 {

( v2 u3 z L$ y9 H- d. Y/ z9 f. c2 | 7 I. s* J' f! s, `- x

( r! ~2 L( s4 B

( q2 n ]. z6 e0 }1 |/ G/ O 直接加个后门, & c7 Y. t/ y, `. X* `5 i/ m; H

7 {8 e* S: T; _, p8 I6 A$ E

( k$ p0 V/ J( s* R5 r6 n! i : J6 B I# s+ X' X1 C1 m# |+ H9 W

1 o$ F% x7 h8 [2 ]* ^( B
2 k3 L$ ?4 |0 D! B ( H9 J1 |5 m$ C+ }8 R
o; X3 T- @3 l9 L , Q( n. W# P% D8 \
5 N5 p9 m5 k. }/ h: X# a

1 Q8 w4 m- _$ h4 Q% g) m 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 ; o9 G5 g$ \& {

I& `5 ]1 i6 j' r4 {# M

9 X1 I/ v- U5 x* s: G8 G) C 2 、域环境下渗透搞定域内全部机器 0 Z! L6 o: {5 v1 l( x

4 `' q- T8 q+ L8 ~4 f0 B

" H$ r7 ` |4 j, S/ Z 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 3 B& a. \+ K$ b, ?% \0 e) `

N4 m/ b) Z% _
; [+ K1 r% A$ S T* N2 E) M" g% O
! x3 j' d% S# w2 C N 6 h3 P7 g' `. _1 V9 {. E
2 X6 M0 ]0 Q5 b6 N

, ]$ k8 ^$ q: a! W/ G$ _ & @( j$ b5 E, p! i0 P* d8 Y

8 L0 _9 I: ?+ R( p3 X* y7 t6 @

. l* ^" Z& u# a% M3 i 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 9 m$ J: r9 ~, Y

- v3 l, s3 j' Z# D/ b
. \( i3 }( L4 W 5 P. F! d4 C; i; ~9 `
+ p6 i5 i1 Q" a3 l* M 2 a0 M, b- N$ ~' e, U7 Q+ k& G
: u I5 \6 s" s2 g% r

/ c1 R: c, ?8 L + F% O. T5 g. s! ?

1 g' T( r+ h4 \4 Y: h' G

4 L7 \; {- v/ [2 e+ ^* J0 M 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: , I* M- T. o$ Y

8 J% u8 o- I* l- f
" S4 _; A6 l `9 r3 ^" \ $ O* b* e( f7 b* K4 T8 w
" |% E0 ?" Z/ f# b( S0 G' Z ) g& S% `# I R W' M* `
7 v! Y0 i ]8 ]! \7 f. H

8 |4 z' `8 H1 Z8 p , f3 u8 b7 O0 a4 z

) G. |- p2 ]7 V1 S

8 l8 C* w* h( h- W 利用cluster 这个用户我们远程登录一下域服务器如图: 3 R- I2 g1 N8 T" A1 q

# n" n! Y0 ?' n5 l5 m: |
% k4 q' w4 F* R7 ]2 C% w: }" L# l 6 D, d j' o# T* K, M
; q. A) u" H5 @ 3 p. y9 h; F# h8 R; e4 u
/ y0 D2 J: A; M+ ?

; O( f# W* S! E7 Q : ] ~9 g4 L$ I- {. R: Z3 ^2 C

' l( W" C7 B+ N

. Q0 h; N+ i4 @+ K! K& l/ u+ H3 J 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: " T5 w+ C" A" z

6 F' e3 C3 v6 p( S# {
: O2 _0 ?! W; h. J1 O " i6 v- j; C: `
) S/ e9 m4 v" u! k + W% H/ x! b9 ?, n, E
- T6 K ^- |8 W$ n7 k2 ]

6 r; Q; g3 |' S4 [5 D , E% ?. e6 p4 u# Z4 g0 g: F( K

q( G' [$ l$ [! d* [. r% B

# z& s* z6 a5 l0 Y/ u- b$ q 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 6 D' `5 {2 x* F* i# D) U

& s! Z2 Y: s9 b2 z

, S1 s2 z7 F+ }- ~( h : H& w! D1 o1 G+ W# e+ L7 \, C& \- C

0 z) ~* l2 [& F8 U: C

, ^0 E3 W5 _5 Z, t5 u. G 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping + w1 n; ?" {# N, _

2 \; B' [7 ?7 y' I, c. c5 N& m

( L/ h+ U' ?5 k" p! R1 i& {0 z blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: - j' A" y' s. d7 O6 q6 y* @

1 |0 x. x {; A8 B8 a4 ^
9 F3 [" K8 X L! h2 g 9 m' ]0 h0 Y4 J+ f& x4 @' Z
! ]& x! f# ]- h- } ' |# h/ T% M9 Z+ k7 b# [
6 X3 ~% m2 N) X

8 _5 a# w7 S; ]! _9 F2 q' C / a3 r" @* h- B0 S4 m) \% z5 y

9 V& Y) x) A" ~- g; o; z, R* i

, y/ p9 F! }: N! Q) p 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 6 _$ s$ O: g! |# ~( U

5 g2 }# c3 K5 Z! }
/ \7 c2 B. }5 K) T% h , \- n9 W' b& A- B3 E" n
& d' e1 B5 G% W( j0 j $ p. m; O( h6 ^+ n3 p
" c$ T3 p6 ]* b$ J# j9 c# Z2 {# C5 ] A

0 N6 l( P3 P' c; E* [ . s4 U2 \% g0 h# T4 B5 ^+ l

9 D0 Q) f/ g0 \; o! A

( s* c( o6 Q; `" G; M 利用ms08067 成功溢出服务器,成功登录服务器 ! w/ z% W9 A7 i; _7 l

( H8 ?; q( z q$ _# O8 |( l
1 Y* r8 Z+ A: } 2 | B/ `, ^2 i/ Z& V0 Q
; x# H3 |$ X' v& I4 D" o; l# H $ O/ F0 p4 Y6 v8 w' F3 b# O
. x5 a+ O: L2 n0 k5 y5 [0 R

/ J5 h: p7 W! r& T* b 9 O( b5 e9 c( j; I }8 e

. d V- j% X; `$ d. ~7 D+ j

2 ]/ z T& B% m' K9 R4 Q8 o* k 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen `2 d- g2 E8 i& v

@6 N9 n* C5 p: |: O; ~+ |4 B7 K

/ H4 d3 r7 I' h 这样两个域我们就全部拿下了。 9 Q0 z, n& v6 A5 l" s

5 V: {! ?5 E7 z. L' K0 w

( I# R" ^& \, O0 C" i0 O1 M3 g 3 、通过oa 系统入侵进服务器 ( Y3 O( f" I$ W3 S

. V% ~5 L- L7 W' r5 T

) R. h% \% a4 \. J4 O/ k# M Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ; ~; Z' k2 @" v

M; c' ~5 W8 g- ~+ O
1 _. \% \3 F$ |/ W $ E. U- i/ L3 V9 R8 I
, X. m$ u9 i3 N$ x- F8 x: ]: s" Q , t! i1 A6 y7 ~# W
& Y- b- \2 l- x) S2 ~* T) A( \5 @. i8 W) K

3 ]) y0 e U- M ' T4 r/ t& I# u5 r+ y1 V6 q z4 k/ x

. f! T% F: I& k- @

" }0 X! t6 U, ?- E- D 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 ) N5 s' h- b% D k) j! l

$ C8 s! M, c2 }+ W- e5 y, K
, C9 \$ S4 _# {& g# k7 Z / s3 B1 A# A+ @% ]! ~+ x1 C( f3 R/ f# b, A
7 V0 \4 @ p8 S+ G* S ' |6 J9 Q: G$ ~4 |4 P2 A
P/ T+ ]1 {( i/ H

1 J3 r# P; N- _( h $ m2 i0 E# \6 V# n8 C

7 }& m6 v2 H( l B" B. j) K) V

) [7 m0 F& _5 I, A5 }, s0 c' z 填写错误标记开扫结果如下 ; p% _3 ~" L9 C1 n; c2 z6 `

c! S; I C. [6 \5 n. q3 k' a
$ K& N; ?: O Y( m/ N" ? 9 C7 X, L# k/ V; {6 I
6 E7 O2 b, g: Z. @( y8 L* ~" U) h ' ~8 z8 e0 X. V$ z2 U! P
1 A: X- n8 X' k/ _4 `

( ^9 ?1 r/ i" g4 F ( ^1 f9 K4 F# d7 |

% o7 H% h0 u P8 n

8 t1 T4 ^% {* F l7 O& D 下面我们进OA ; p$ Z2 c1 R. N7 q' n

, e& L5 V7 k6 I( x
/ Y3 w6 v: _0 J1 a) y, ~5 m. ~( p- k 5 n2 s9 r( F- Q& y7 W( r
! s" W4 K* E( K9 H" [ ( k0 F0 C5 Q( R' R0 j( ?# M- e7 P
" z2 N% b' h, S0 ?# Y7 g- G

0 x" J* E9 _7 @8 K" m# M 2 b7 r5 D1 }3 ~6 a0 P2 ^

4 K: @" ?( s4 ^. I

1 c ~2 r% d7 g) B2 b 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 - x0 s+ ^- R; H5 ^/ S4 `$ I* `

@0 k1 _* m1 ?
; t+ B; v! ?& z2 T$ K Y3 O2 s% B% i
" C8 |7 B( i' Z * B0 `0 O5 d9 A8 w
! ?0 } z5 x) [0 s5 \$ z! Y

* Y$ p: [2 Z4 m : F6 r. D& o4 ^& M0 j$ P4 Y

+ M8 U- W$ K/ c2 W2 O' t

! L6 U. l" D& R+ ^" d : H* \8 ~( a! p) c- _/ \

6 ^$ U* w6 D: a5 A+ j# a6 Q

& \3 o; F' d8 p: i$ t 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 * Q1 u! j* Y; z$ }# T

: w& u( E9 W5 n

. g. L( C/ ^: C# K5 X0 K2 P" } 4 、利用tomcat 提权进服务器 + F2 p' Q( l) _* Z+ j2 m$ G

& U5 S7 [! E# B# R( k7 K h0 S

/ v* ~9 g* G/ q& \5 z$ U nessus 扫描目标ip 发现如图 , ^ _" S7 p. j% Z

" \) j% s- d1 n c+ V5 [% H
# _/ M7 f. f) N8 d , R+ F8 g; q! H& X+ h
$ W4 O+ _7 J; X ; |) S$ j1 }; t
" t* m. C) u0 j) @, o) y, G

, b2 M& K) c" X X ( I. @% x1 d* g

9 u: ]4 S7 W5 i' b

8 O5 ?, _# A1 K! h1 R3 b 登录如图: " e) N6 H( R: ]3 o( i" K1 U I' q

5 }: ~/ n0 F: R `. @3 f! h
; A' ?2 [1 U0 R9 q) O+ ?' Z% ? 8 `1 L2 X9 N6 w+ s, h
4 w% C" E w# W* v4 @! i- K . m, r9 P: p/ `9 a- \8 _
9 U, ?6 @; P$ m% i* O |

. P' N8 f) t$ F1 L, d , g. l% n" ~( C& T/ |: t

. V9 L0 m) _; M' q& p( r+ J9 D

6 `5 n- y$ t0 Y' I: c 找个上传的地方上传如图: ; A. h* q+ R- A3 U- n" z! Q# r

0 m) \/ f& c; o# _& ^: d; [7 S; p
6 J" m$ Q7 b' \6 z 5 E1 s# L# e' @. @$ y
7 c( Q. A3 l) f 2 [" w5 J3 |2 ~$ i, S' ^6 T, X
+ ^2 T6 s+ S5 M% a) ?% |/ g

0 `* G. _3 w) j , A; I" T# a4 U

! L! P' z' E0 T* \/ f; I' [

8 o- v# [+ y, o9 R& {% z$ I |5 E 然后就是同样执行命令提权,过程不在写了 & S; P7 j4 [% E8 W a

$ j5 s" n) s' P6 |$ D/ {& t5 w) q

1 C H" ?& q( l1 G3 X 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 4 i) S& D4 ^/ \: |3 X+ a& n

5 K8 h! A. i- C% F7 L

3 h& |" c$ Q) D, n; D3 |/ X 首先测试ARP 嗅探如图 4 p. C. f X X# _- j! h' `

8 N6 K0 L( m' R% t$ I
1 D; w. p, y: R& S$ g- X) F; g0 \! j `9 ]8 z# @( e: [! N
1 ~8 n% K6 o7 }/ _: d/ P& h8 m : z$ S3 k5 `' }$ K; @
3 M$ Q8 C+ Q* O$ Z" T

r) _# t, [3 ~3 y6 w5 @8 q ; [' U% h4 c3 K3 K7 G9 C0 b

' x9 _2 x) A' H- U0 j

( k. H" t$ o: [: z 测试结果如下图: ( V, V: ?. m6 ~

2 Z' t+ u* V; f" p/ e
9 @% S) X! M0 O( X* X/ h 6 ~4 ?; h( N7 r4 M }
- e9 p: Z% c6 L2 `& o) j6 }3 D0 t2 E ' \; m0 P$ Y+ u
- P: V1 b) s" p% V: q/ [

# c3 E3 H, j) u) p3 O1 T, ~; h0 c # t" y C. C9 J. D. t6 J+ C( j

4 @* H% ^1 C0 U8 D+ B" n

4 o' f: ~7 H# a: ]8 j- x 哈哈嗅探到的东西少是因为这个域下才有几台机器 6 r, T/ Y: o3 I/ E2 Y# b( |6 P

3 A5 i1 j i5 L$ H5 D* u

! Z2 w$ S- p6 x6 O( d+ M 下面我们测试DNS欺骗,如图: 1 F) B: I; n# ]' C

i* F3 Y/ ^2 m h2 y" a$ O. m
; w. M" [2 f* }, z5 T$ t6 `. T . H: A! p* \& B& `
* m7 Q( s, _1 {! e& ` 7 q( T. _. O* G& P
0 W# B+ _5 ~0 {" b) }

2 k! q6 U2 r+ u 3 M' Z5 K" a& `/ O- X; G' j# `+ R

* L2 ~$ n# [- C# M/ ^

% U. R) |6 l$ C' ~* x 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 2 `: K. a$ O) r" {1 j/ o; ]6 e

9 e, h2 L: V( r3 \! r8 @# x
. a3 \' Q1 I) {+ ? ! g# `+ ?/ j* J% m, L) }* E3 {' d
, b1 v4 `% \! z& _. ^ " U5 l; j m+ z% @4 I4 d
3 Z8 v* K. g8 O5 j" a4 j: ]

3 m' n& G" [% E" f0 E! u : W. Y. K- l$ r2 `* t

0 j: I* g8 F9 g; N0 I2 B' I- Z* a

( T0 u+ _& q' }# W (注:欺骗这个过程由于我之前录制了教程,截图教程了) % L/ H2 V8 n, x: N

; X9 a; c/ w/ t. e9 D2 d- B2 \

. q& v4 A0 R; Q$ [ 6 、成功入侵交换机 2 _$ O: w- Q% M/ Y. c4 J9 ~- l

3 @9 b& \5 V$ f- \3 M( B. U# G

q4 S6 X7 S$ S; c7 ?4 \ 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 $ s: }& A& e% H0 M) ^1 M/ L

: ]6 x6 ^2 O' @$ b

. i( p& A0 B( J) v( d 我们进服务器看看,插有福吧看着面熟吧 ; G @( b& a5 t& j0 ^2 X( }

& b+ [5 ]% H6 N+ ? \
! i! Z9 |+ q7 t$ } 6 W" D2 R1 f" q; u
, b E' R7 R7 E t% I* i ! r6 J3 l6 U7 G8 q% J' v
0 V2 V8 C5 m$ o. U6 P

+ R3 A4 w) R4 |5 E: C . s ~8 M6 ^( t& f9 b2 a. g

( u G8 e3 {5 [1 q: D

4 x8 x1 h' M4 }( v0 u. m, W 装了思科交换机管理系统,我们继续看,有两个 管理员 . {6 _! Q3 p5 S9 q \

+ m) X+ ^" Z/ m
! n! p$ ^- r, c' } D& D( ] - {9 w6 ^ }* T7 P, N
8 }4 R/ o6 ~+ H$ i 8 O" [5 N6 {( `# O3 O& ?& R: l: u
$ Y1 z5 k+ J0 [7 A6 b* r

5 w) t& Q: K: F/ j / I) I# x, \( Q2 m% [

* }. A" \9 N: I

# G) [' |; F+ F0 E1 j6 f* z$ F 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 v0 A' @/ A! ]. E4 I

) }3 C; X; f4 Z$ |7 i
! y5 W- S$ ]7 G$ L* O ! s" w' H1 {4 M1 S
0 M, h0 K8 c6 a/ S9 j* y: A 4 p7 P* T2 i: \* D- k I
b* w- V- M8 @* b9 J

/ w# @7 h5 v" @2 @9 C8 P; E* F, R3 b 4 |) K7 f' r6 M1 r+ [6 c) Q* Y$ G

5 [% @* p6 A# { l- v# C

- R- D# E' h% ^8 ^9 L# `! b' Q5 { 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: $ ?4 ^ b) {1 Z

$ R- c1 [0 Y. o. q( s
E* j! D9 e1 \: C2 N/ c4 ~ 8 n) w6 V) Z' p
" @2 K$ |, H5 c Y% f) L4 F - z7 O/ b. z# q \
% K( `6 N! m5 s- t9 i

& t0 ^4 D- p$ Q+ i/ e & j3 v, X8 V8 E4 J+ _( ]

4 y* T, U9 h7 l9 d, _

, g1 Z; B) b3 N config ,必须写好对应的communuity string 值,如图: & x1 c+ G) l; j; d& M& ^

/ k' N' x- A+ e, E
7 L6 @+ v/ p( Q. ^ ; N$ K) A( Z R- K
7 V7 c P3 a# O1 h# r- \" E " M1 S5 C. A) ]6 D& N9 v
0 |3 U5 [/ T5 x: w" q; L

& B* w. r$ v5 _. ~ # y* u5 e' Q/ e& ?

2 p# [/ f$ X9 d: r1 N- D

5 r+ ?9 b) K; Y 远程登录看看,如图: ; N$ Y E& \- o3 A1 G

4 j. J7 J2 ~* o
: g; m9 _$ s, @ 9 O! [. W4 Y# N7 v! }6 j+ |! w
! Y7 z- F3 b# O$ r $ \' \# }7 R6 _
6 l1 S% u, u# P& Q6 k

$ i& X: x4 y) A * X0 _& m" \8 z: |! c j1 \

( D' b1 ]' m) q' ^6 p; O

) y1 E: d" _) F2 B4 \ 直接进入特权模式,以此类推搞了将近70 台交换机如图: 0 \# x5 V \4 j$ X/ C! J

$ q& f+ B) ?$ g3 A0 D+ Y
, I5 d7 Z% e) n2 ~ . Y0 Z! x/ Y) Z! g; z5 h% E3 R
# }4 \ G0 \( U! s" j- Y0 }6 ? ' X' w. d8 Z$ }# K4 \" z+ Q: A
1 h0 K4 z) m5 v9 E+ @8 t

: y9 E; w1 j, a& ]- |& Y+ @3 w) ` 9 U% i$ y2 O; z/ n4 D1 ?* A

v) |, m* l, |4 d7 B) S- c0 q

8 v' t* `% ^# i0 ?: r4 U . f" ^# p w! k

' w# ~6 M6 Y: b$ n2 [

( } F1 V; ^1 {2 |$ W' M- m7 f 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 7 G- f. O O; W9 o. @

) d- O$ k( g8 ^
8 ?2 K7 f- ^# x$ W; E , v s# d" V; m1 h3 ^9 x
: v4 p1 R& z' Q6 Y' G5 G8 }5 s8 d4 _ $ p0 W- A' d3 q4 t( Z
" B5 p2 O) j: [4 E. i" ]( R

5 L* a2 s6 ^% `; Q+ n ! h. O" B; X: h4 N3 S

: W( d/ R" _4 Y

& `9 V/ h# g7 m' j+ z# v) ?/ i' A# { 确实可以读取配置文件的。 , a* F0 e8 `1 w

! |" Y# I+ x: C* X. \: P9 x

$ S; n7 h$ V$ M) p2 p0 _2 f 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 ; ^8 F, p7 u' {! M c; W

% n/ A& X. H9 k/ t. A
. d7 E( d) j1 ]- g5 G5 l! h8 x 2 B8 h% t: r6 P$ `/ O6 p( C0 t
% y5 {( J& K- }5 I" F; {9 N % X: e8 C+ Z6 c4 u' S
- E5 C; [( l6 Y' Q1 f

" u1 M7 j' }, K; h 5 e5 q& j. r0 ]( m/ f

& Z* v% W$ S: M) M

# v) @4 g! r/ i ) ^+ Q2 `8 |, n$ U6 K; ]. g- Z

( V/ [/ L8 b& t! u* k+ W1 O4 i

& {9 a* l( D* S, l2 g, g 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 # ?# t4 j* d3 v/ {% l- N

# ]1 G: \$ t' q- ]
7 o; x i& P9 Q+ ] 0 z: F! f9 n$ a* E& `. C% c* m1 K/ A& E
# c+ b% i- S7 w+ y+ \% Y ' @$ ^3 |9 d2 W" W
7 M9 t& A$ o' A0 A4 f* {# y

8 x+ K8 F4 N" p0 z W & Z7 R7 n8 C: h: X h) b

8 g3 d& @6 f5 d% }% z

( M# W' k, A; z$ G1 G, c 上图千兆交换机管理系统。 . L, n! C; c4 t( z4 G# \

3 b' z' y6 c' j2 }$ b

8 i3 K5 F: o* {5 J6 r 7 、入侵山石网关防火墙 " F* B" L! N! t7 q, z9 k

7 x. S6 ^% z& i9 P$ t8 P. o g

) \# H. E: S$ M! L# J 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: : g Z" A$ o$ b

" f) p. M+ E; M1 D5 E
3 Z4 i: L \2 f) j% r( M1 t 0 P O9 e, w) ~
P0 L5 y( d5 g+ ]" S' I: L & u1 U) M/ D) ~% Z2 ]# H" z O
8 [5 [3 K% G5 O3 X: E6 w

, v# H3 ~' ^& S# a ! I5 K/ y- L( K4 f" a

# ]7 ?, L( M* |

7 C; P/ f& o" `( ^4 } 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: 8 b, M3 ^6 S( b l& w, s6 F2 O

: c T) f3 E1 E; X/ _+ V3 a
& h: Z! x" r( h, C9 I: e 8 v9 k- I& | }1 a
% x2 h, O% \0 d/ x/ g# s2 y & n `. ~9 @. `* \! N
' k' v |7 A4 X6 p

+ C+ ?5 f4 K& u4 g- } q ' H$ _! R& w2 e

Q; P o4 i1 f+ ~% l z9 _) e

" ?' p# m; \4 h2 {# L+ T$ P0 t 然后登陆网关如图:** * x3 _& c p E+ y% {

2 Z, W3 e' Y i R; @* i
0 e( q8 A& j/ _1 M5 H2 j ) V% Y: f5 l# _
. a: G( O" F! v2 l$ g, _, N 7 k+ v" U" U. c
# z5 Y/ j$ H8 I# v x. m9 N) B+ \

( w9 N. O! z: f, Q S4 X7 u) C( F0 C

! f+ T9 a( H! L1 q8 y7 F) ~4 K
. y6 U1 v( l( Z! k# h6 z: V : f8 Q# t7 P& K
" F: D. E" H- ]. C0 G % X7 b/ R3 H0 f% x* s( {) j$ i
. T" X! b; j& Y0 O7 ^( _1 d

1 P6 j' q$ {( G 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 9 Q- t7 E; a6 l d

/ [$ B' N8 ~$ A

* ]2 p3 X9 O2 @# R& D+ Z7 I5 H2 `4 F 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 0 W- E5 R4 z; M

1 F% I3 y) [- u& j6 K0 X! C

* D5 `6 U1 Y4 @3 r 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** , t( Z" ?- K" Q" Y( |: G

; M6 |: }7 R4 A3 V* _7 B
; k _% D; x& {/ V, E, V 3 C, Q- H! A B8 X% {
+ k. N; S, }% V, H3 { . n! l, x* Q7 |% z0 w9 l
8 M4 z6 d- I' t/ a" T/ Z R+ K

; a' f5 T1 r: ~$ H+ ~( o" ? - q; u1 `. j d: ?3 {0 d. E, V6 W

$ k% g! J8 }$ {* c2 j

( S8 J J: [% {7 d( D 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 9 F4 Z+ z5 g, N, ?( {/ I. X0 T

" \5 g/ Q2 D! r

' |- d9 l& `2 ^9 c   5 ], T) i" l. n" A$ u9 S: \

: Q4 |3 J Q9 q3 }7 U0 m: F

, Q- q; ^, o0 V7 E5 A/ ^
: i' K& L: \- T( z2 R& |: Y

' ~0 z0 O) O$ z0 D 6 i: R' N: `( A Y: `8 ]( |
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表