找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1058|回复: 0

渗透测试某大型集团企业内网

[复制链接]
发表于 2018-10-20 20:19:10 | 显示全部楼层 |阅读模式

) z. R: H( m0 t9 h
3 O/ J9 w% L* t! S/ L

* L" h% s# D! }- H! }$ B+ O1 M

: e% J$ R. L, }2 L7 @- ]7 @3 X' | 1、弱口令扫描提权进服务器 0 |3 H* Y7 F) d% u# g$ W

, }. r# i' z) F! H+ s9 t$ X& F

: o" ]" j2 n2 b, o0 n" K# } 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 5 o$ j8 d$ Z. N2 V. y

4 `+ o/ ?2 o1 J; {( e! f
( T! k0 v4 E. `$ N% ~% w " J5 R7 q% ?2 `7 M% L. A, w
$ a; a( ^, `! W& A
0 f8 w L# I/ B
) A: r7 G6 V7 s% l6 u2 I

2 G* \& p2 i, k N* k: l1 L 6 T) F! A2 v2 A# O: ?

' R( t0 j W( L8 U# ]* A

3 R g: C d. o3 X$ [( o0 [) O + F7 o% }# ?5 w8 }. s) `

4 e; w, ]: p6 l; R9 z* e6 t

2 u% }7 ^; W5 J/ c+ V( `, L! { ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 ! O5 }* x' d( X$ C; V

3 ?! U! t7 c2 x1 ]

" C/ s( T$ h" v. P. m 执行一下命令看看 + m: p. k( Z! x

+ I2 L# s1 s+ g9 o5 `6 P

1 a, v- U6 y2 X7 |- B5 r; Z- b/ F# [ 2 y# a, g; \7 S+ e

; L. O, H: h" u# m# c
% U7 S s6 T/ B+ b" t8 d) q" r $ L- k+ C) i" m0 r
7 K) T z6 m3 d0 W
$ { a! u5 {7 H- d* D7 B* a/ ]
* s& k2 d1 D3 w; X7 w7 o+ g5 z

) s4 Q. W; H* f$ s, x: q 开了3389 ,直接加账号进去 4 @+ l) c! d0 f( d2 \/ ~

( g3 r9 x4 P% s0 ]8 e# n
! K; `4 }0 @2 v % U$ j% ?5 G- e2 X& ?
5 {( h' @# p G6 I2 @% K
$ O7 t0 L: [9 y2 ~/ V
7 F- {9 W- d. Z

1 J* H- C6 ~+ S* N% f0 a, H( X6 Z ' l4 e/ J* e/ L2 f0 v

" R7 Z: G; A, J, i% a) o% L

0 }8 T$ ?9 p' L5 X4 L$ J* m9 T; v 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 ( \' h% B6 F# ^, `9 T

( U. B. Z) k; ?) Z
& [: e9 G0 U$ j- Y6 O. C & r5 J- E5 o/ u6 L- N! a3 i
) B( f8 y: H( k" Y6 n6 }! S
( P, D* V% h7 q. E. N$ c; n
; X6 o, k) z" k

: _4 h- }- H3 d. J' R. d# o 7 |% o6 `% ?; w Y: N

. ?$ ]# O: B) I

5 s6 ~5 q) w8 @ 直接加个后门, , r/ D. x3 ^* q% H8 F

1 a% N; `6 I8 N p* Y

4 [9 Q' b: q5 J8 {, D5 t4 Q * N9 _ l' D# l3 i3 r7 D# h

2 {" o+ F5 N. {% q- e
+ \8 K& _' n. b# L7 q. t * G# w# \$ B7 E' R, N5 N, \
3 ?* ]& Y* [! D- y5 M& x. X
& e% \# ?& U; A* h
- `+ v0 v6 t* V3 e

& o8 n3 M- m" j* q Y 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 . t: Z O0 f$ H# c5 |; ]

- P# o5 y# M8 {: A! S) j( o$ K1 T

, ~, v; t" q: ]$ |9 n6 j; H# z% g 2 、域环境下渗透搞定域内全部机器 ; l8 n$ y, ]3 X( L+ `

' V2 m9 ~! {& q; }( Z" Z

& v2 I9 ~4 k+ o( n& Q' h 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 / ]9 S: o% {$ {/ {. P- ]

9 k& b% n& [$ K9 Z, T! b0 y
7 m8 u) M5 g& I/ s' f + v, V* S" I9 K! [0 v6 |+ x0 ^
/ V" [0 W7 C) ?6 K7 D# E1 l/ t$ x
& W3 N4 R0 D$ c6 L2 y" u/ M
/ {1 q+ }% z. Y3 g) z# P

' \! L; S8 e9 ], `6 j: A6 t$ [ + s, Q L% S9 w

2 E/ A1 w# L. w, G: ]) u! |

4 \, M+ d& h5 [0 X 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 & A, P3 w( \/ S

/ s1 K7 w1 {$ n) U
; k7 {- ~' S% |2 ]* i- m2 I! i5 m $ J, t% i4 |$ i% S
V) ~7 |4 F' L
& a+ h4 j3 F( Q; A6 @
' A2 }2 J5 h g

, Q, }& |% l0 z ; L3 F D3 \4 ]0 U

6 m6 U% P# N8 T0 N; e. a) H' f3 T

, ~1 J6 q" D X* d/ c 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: / Y" |0 m& h! a {! d

; @# Q& z8 U& J# Y. V8 s) ^) _# g
# O+ o1 C M% E% l6 e 2 |, o0 x, P: t0 i& v+ m' U, I
/ Y" Y0 \+ Q P1 i3 p( c( q
5 ]6 @# j5 C1 n! q
7 y6 D2 A' k3 d" M

% I5 J! ^: k8 ^6 B8 v6 \ , c+ L S/ a9 C9 n7 x8 }( [& R

% o8 {2 I: _& A+ P

' v' ?' U ?1 o 利用cluster 这个用户我们远程登录一下域服务器如图: . D) |; r0 H1 c$ A2 p* G

, q5 \% q( s$ h4 c, h+ t
) Y, [' Y. L7 d: ]2 B/ q- _2 w/ I @ $ J, y, G0 S+ C5 {& U2 c
( z' R1 l$ t8 ^) Z
6 ^3 M' h( A' Z* T
0 u2 o K# t" U- n9 t7 [

* [' z- e. U0 O" B) H 5 U( |' {9 L% a! P

- l' Q: Y- O B+ l, S9 I( I2 _& g

' q. k4 j% e% y3 }# c! s. n 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 2 Y6 T3 v4 G% Z

- X0 k" {/ v& `8 Q$ K' ~9 K; Z
- T3 s9 p' e, V" L / j/ A2 \# Y& d7 m5 {
' }1 p" w( |! _; m: g
9 X. z& L6 g. L: o6 Z
( z2 @# P! O& {* P/ v7 y2 _

4 W5 j; j# J) O3 e& V1 w # |/ h7 p" y U e; R4 U

9 q' ~ D } k |/ m3 @1 m, u

$ A& s, G) {4 p& j% \ 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 1 d' b j, v R2 z2 _/ G

/ @. @- a6 \) \9 ^$ ~

$ i: c& \1 F; N8 D + f/ k5 B" f" c8 {, T( O

& T: s9 P/ ^1 N# k# j5 |0 Z! `

, Y9 [+ l. q" x& B 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping & k( C6 e5 x: k# E

8 z! f6 o8 C" |' T- l( U( Y

% K( Q- ]0 p0 j) A; M blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ( ]. }, I: b8 v3 ?' Z

' A- G1 t: o5 p! a( y
/ s+ T0 ^1 Y5 F1 M l8 f# J* T' F
8 R8 A: e1 }) @! |% N
; Q" g. D) x o1 R8 o1 b
4 _. Z2 l0 _* m9 @

6 d: W$ s. C; B' }0 ^6 T 9 }6 H' @" E7 Y- Y

: ]! z3 L8 H2 ~1 b, V& S+ ^

- Q% i7 g \1 O: A& D$ A 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ) O: ]' {# S1 B; ?, Z/ J4 n. a

1 m2 D# ?8 X# w' U# `. [
$ v! x) @' v7 G / z* `9 e, c. G
?" G2 @4 M/ X# w6 ^! }) Z+ x5 S
3 ~5 e' z' D9 Q0 V5 L1 Z
: L8 r- @) ~5 n5 N5 l+ i

, z5 e7 O; p: c: [' y+ ]. m5 P* w+ A6 n 1 O, B# T4 F3 j- x; g1 x

& u- N7 d2 \0 e' }

- _8 t7 v$ v0 J @4 t- X 利用ms08067 成功溢出服务器,成功登录服务器 ; G3 S; q7 r% {8 R

$ X- I6 ]$ H' ]; M
" G; i# N4 `4 a1 L, Z1 Z, J % Q& q) ^$ l% s. x
% d( B) F: C' Q4 F: ? L
4 S' ~" b8 V0 }; k$ D
/ k# v2 e' T! ]' N8 D0 H

. Y- h4 W1 F, @! P! n9 \9 D7 k & ~6 K( v5 t4 x

: Q& L+ @0 f: _: h7 _

/ E2 L/ J% S# ^- _; I- J M6 f$ K) z$ o 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen / W P5 m/ ]- w

7 \. p/ b! o* J: F7 N8 Y! g* p

3 X0 C9 Z1 s3 i x 这样两个域我们就全部拿下了。 ) w9 _6 }2 b( Q* H# x+ L, v6 ^

! w( X0 a1 \7 [- t P, {1 T

4 n' ~( D: h# L3 L: L C 3 、通过oa 系统入侵进服务器 7 I$ K2 C* A6 W" E2 U' |

. @8 w# O" m; K. U! [

. f6 [8 u2 Y8 l/ f# | Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 0 O9 G3 Z0 m/ ~

0 a+ t4 v7 `' h( z1 n6 Z' M4 |
" ?( z( d8 A: L- ?( q' \" l ; h* d+ f9 A& R4 l2 `
- S+ j9 ~8 D0 e* r& x! P
; q% E n" q. h! ^ q
& k& Q5 ]: {1 E, @

2 ~& ^6 q- k' a' L0 v2 p% G 5 _9 X% ?, s# l& L2 \# i

9 E- u3 \' [6 o) {

* O3 @4 S% J" `+ b- d1 M 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 $ q/ v0 y: Q7 ^' w+ a# v1 \& h

5 Z$ F$ f/ \% h1 {! {! N
; i6 Y, M9 U( a6 L. o/ E% g + ~$ J- N3 Y1 Y" d1 X2 b2 F
; u( c% Z1 b: j8 ?4 U
: M, f# s4 o( \( v! d5 x
8 H5 X4 L H# |0 ]% m( Q( Y7 Z

4 X. ], t# ], S 9 k3 R) f. z y0 c: [& b# x4 L

8 Q9 K; N% M0 ^8 @) B

* d7 f) w2 [$ j; x% ~0 z7 K/ S f 填写错误标记开扫结果如下 7 S7 V' t3 z9 M [6 }& Q" X

4 a. t2 I0 a" B& b1 q* q& H0 ]
+ T4 s {" P: ]: P2 Q$ q $ t* p! ~3 K7 N8 `
: R }# g" ~9 c* c
1 P0 ^- N1 q. A& p* C: G& ]) `" A+ c
% `1 j0 _3 @0 P z. r H: m

% m. s w4 n7 F+ M ) U2 @$ j* | h3 U) w _: i

8 y$ v! F, J ^7 G

- k9 ^2 K8 k5 u' g) n% ]6 @ 下面我们进OA 7 g3 K' f6 N% I/ S9 X+ ]

9 g$ e! K8 o7 G9 q0 n0 ~2 }( C% T1 P
% V) I% Q, q f0 N0 P4 b5 `, { 6 |5 @- Z: T1 Q1 M. ^* h- D
1 T- r; E& }: x1 n. `: T
9 V/ K6 I. h6 d' w4 M5 M0 ~
# D4 M0 L/ T0 @0 \

" g2 ]8 T N( B- A2 C 7 |0 H3 i5 P) `; K( `: v0 s

1 ~9 l4 _! K8 _; R' p* S% ], [

3 B; T/ S' a& X% Z0 E. f 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 0 y2 V# b H% \. U7 u$ q$ N

) g" |9 {% A. D& l+ x
8 {: e: {' n2 k/ `; F8 o6 f9 q " ]9 P- Q4 E. O. |- t; ^4 }3 K. W
; I u r: R$ J' g+ p6 _
" a" C! i* r- H( n5 K
4 @& f( h" Y9 U6 h

; M3 H' q- P/ g1 { 9 e/ P4 B" T0 }/ |6 I

0 ?9 s; a3 X- `, D2 f5 N3 a/ p# k5 H @

, Z; Q1 [0 d$ W$ j1 R - }6 p) X# f$ ^, ?) q5 ~

( H8 z" |1 I6 D* i6 R: [

- ~7 v5 I w" p6 l l. y" m+ z 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 0 W) Z2 S& g- m' p( }" a4 v

: h9 ~7 O' q9 l* S; w9 h* G

- m" Y0 Q5 O n 4 、利用tomcat 提权进服务器 , L" |, M9 \8 b0 Q

6 X9 ^% k. ]# {

% Z& G' X) S8 k nessus 扫描目标ip 发现如图 ! P" h8 R# u9 u N; I

& M$ o# R% ~: X; A( l; l2 F. J% ]
2 U$ |/ K7 X, x/ E) Z- c ? . Z# \; ]$ X; N# i3 w( t
( n* J3 N7 X9 _* \+ k; B
: }+ I( U- _ G, R
6 E- F: L/ N/ [( \) w0 j- _

: A3 M6 V4 H9 v3 r & B4 P' k: q5 J0 h- A0 V. ?; Q( Z

( j; p0 b% t1 s+ e7 V; e

* i- m; |) K; e/ R' h2 N+ Z 登录如图: 4 h( I8 X k' h8 E/ c+ s

6 `# O u- }* b" Q
4 k, v5 F4 m6 D9 ]2 F5 U* I 7 n! Y% Y7 n- i# U
3 D& z) d# ^( x. ]
& ^1 x' R) R4 I0 z% E
/ \0 D4 g/ S. M4 }$ m& \. e

( E2 ] G" b! O" @$ G) e , }# \9 ~* |8 u# v d4 [) o

5 b/ W* b0 Q5 w. i$ f

$ O3 I$ g: [% u+ ~( K* A) F 找个上传的地方上传如图: / D6 w. |. I" _7 Y" M3 [0 X

3 \' i1 f' W9 o4 r" {0 H/ N
! b. L% \* G$ ]2 s * T3 g* e+ U) H4 R ]5 R
" E O5 s/ \# A
3 F6 c- D8 @: w7 V3 N
5 A% U0 b0 t( n6 q

: l2 m( k9 _5 P2 x. L, l4 t * g7 {# X* a- e% q4 U" W* R

9 d q. M8 i! @* Y& c/ \! P1 I

; m! t8 i. U. L/ n4 F 然后就是同样执行命令提权,过程不在写了 & W# E5 }5 G, \: i, D9 y3 z

7 j+ K) j& `+ } X- x; `

' ?8 f4 v4 L1 e 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 ( s6 J: I6 A4 I

* e) J3 A) I" B5 s( p. u5 R

" n2 J w6 J; u) X0 X' d+ b) E; \ 首先测试ARP 嗅探如图 ; X! L$ T9 s# C* `/ {, g1 r

6 t2 }: k6 x5 M$ X ]+ R
0 N4 ?$ V: m' O9 \ {) h% T ; I0 {+ o3 ]- [2 i: L
) F& ?- O8 e' e7 H
6 h3 [- m7 v. @3 i: m0 b9 |6 A
( }' e% }! m& Q4 d6 p q+ Q( J

) |7 j' Q' G7 j! N9 y5 y $ a6 A' q( j q/ v% J

4 j8 M* n% j. X2 ?

5 i9 S% p3 z: }' \/ q4 D 测试结果如下图: 2 ?1 K& _ R6 d' t6 D& g

8 C% b/ F3 b; w$ r' E0 T' J* D( q
# g6 B6 Y/ [. @! X/ f! P( ` $ Y/ C. G4 Z( s/ w8 G Q4 v
+ {' ?% Y' L6 x! G/ n u6 q
, E' `- Q# y$ E; f1 z$ d
' o0 F; W+ |2 F

/ h; w2 V5 g7 l3 Z4 O * ?( V! C4 V7 z3 E- r% ~

1 {1 K3 W& U8 K6 T, m) w' k

$ |( q7 F1 ~7 y9 e. n) M p 哈哈嗅探到的东西少是因为这个域下才有几台机器 ' E( K. |3 n7 i/ U5 s6 q

7 G7 a( d, C( k) V h# W, M

% d6 K! p; c- }/ _ 下面我们测试DNS欺骗,如图: / Q( I5 Z. u: h6 _

5 J" Z# A3 `; e# T( f, z# J
! o3 E# ~$ A9 M# V. v ! D/ w( l' F( c$ V7 C: }' f4 }
" N6 |. }; s1 Z: J7 I2 m% H
0 o* y8 I) v! X* C! P1 f( c+ ~
* j" G0 u6 Y" i e7 I) h! A, @+ H

4 [: R9 q6 S8 a" [ $ Z$ k; L9 @4 d; _+ ^

( A& s( X7 z9 b5 Q

7 c/ O! ]$ N4 x4 y F ~ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: ( B# F$ W: K4 l

, Z! a J, _+ i4 ]/ A7 I6 W4 L
a, K* D5 k) _; J8 o: b7 ^ . J. r0 X3 h5 j' B- u' _; G; n
9 q' s; Z+ T6 |: i- z
9 |/ R& p+ `9 i5 L- D2 D
9 ?3 o, s7 K) w5 X Z

3 I1 c8 X0 N7 g- m! Y. ` 8 n3 |7 w `/ p: ^- E+ s" e

! f& F3 t7 g2 F1 h9 m9 W* O: |6 D

+ x( c$ y0 A2 r% c: y* Q+ p9 [ (注:欺骗这个过程由于我之前录制了教程,截图教程了) - i" I# g) t! {, R1 \; H

6 [; U2 P, G( O

h! b8 b- x& v 6 、成功入侵交换机 5 H6 e- B" H8 d }- W7 t

0 b$ K2 J6 }, ] ^9 Z9 G/ U

: U G( C8 ~2 ]1 y3 t- o 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 / h& g p' C. n2 ?' J. i3 S" ~

# M7 |3 M( t+ F9 n8 F& J1 I" W

' f- z4 m( c4 o$ F9 v' V- _% V, G 我们进服务器看看,插有福吧看着面熟吧 ; r: ]$ O2 R( q0 l

0 l6 N! ^( E* V5 |3 w- ?
# T- A# H2 t3 X! j/ r1 _# g6 K ( x* O- S( m2 y9 Q
! g' N, T/ F- G/ q
5 [- f+ V! n0 [) ^1 H9 j6 Q9 B
" Z& c n; A3 B5 ^

1 C. {9 G$ K/ _( Q! e3 y ' L, M8 m" |$ ^# V; [

6 s2 {2 o8 S. E$ T, D% }2 s

% j( q" ?* v+ D; ]* Q 装了思科交换机管理系统,我们继续看,有两个 管理员 1 n, l* o+ B2 z6 d y/ N

, ]: B! @- L1 E5 W: j
7 c/ l9 T: ?5 E* } - h* U( R6 U& o4 R; D2 c; d J
( e- s$ B' q$ U# J
7 D: f" E- {4 ~3 ^% C |; m
1 O# z# Y* V; L% M

0 m4 d; x/ P( v' d" T, k) l 4 L* N3 D+ `7 T, T

. Q4 J8 i0 A) @, t$ P& w1 T% W

$ t3 g9 B- D9 a) E8 }9 ]9 N 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 * m7 y( h* } q- r5 _

# K6 K( l- h; C; H& d' u6 q
# ?; |# ~: V/ s) p3 K. }/ }9 Q * v8 Q7 v; O5 D. Q9 ^" M
% n; U c# k- x+ O
# N$ C' v- T. M# ]( x
. Y) s% P+ {1 b9 @

9 k- w% }" o) D1 C & P* K/ N9 ]6 i$ _+ j) i

- c! f6 t1 r6 K* }

* Q/ y% r! @7 d3 f" |3 |" Y4 ` 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: & x* f% K. ^% @( V9 ^! H

8 m5 w7 S/ r1 y' a' t: r; l
2 w" g. W9 Z/ y o9 J& m % D) f9 T, R3 Z! x- @+ O) t
* H8 _4 _: x% x: }# ?; ^
( ~/ S; W: K3 w6 C, j. o
6 A3 c9 c' u" r5 G# L

# k" @9 o1 g8 P/ h- T4 G; H ' X# ?5 d$ }/ B/ I/ R% K$ V& [

# R7 d4 I) g% m- d+ u

! E. k4 ~' x6 c/ n4 w3 x, {$ X' u config ,必须写好对应的communuity string 值,如图: % m* b* N' e$ c/ B) m F& H

6 K! ~: X1 S+ t6 [# ~$ p
9 N! F! c! ?% e9 h5 X , \: K/ O& m6 L8 @( K
& }) {7 I, L& k8 \; Z; b+ P
0 I; s) P- L3 w$ U1 U& s) d* U0 H
0 {- R1 o! G) n( n

+ z+ m8 T& q/ ] P( y: { , X' Z0 t" }2 {! m

, o# d, h( s9 {: |3 _- w; U# p

, E) Z u1 u/ f3 ]; Q 远程登录看看,如图: 3 g4 X! L8 t5 V" V5 g+ o2 ]

7 s8 [# [3 X e/ R# M
; _- E5 K& h; X1 @3 @# G7 l7 o 4 s+ x0 p0 J( o* l$ F4 F' O l
0 u; H& T$ ?* C' V
. P: @" Z1 W0 s1 R2 I" T
* ]% V" X2 U3 [" u# x) i- z

7 V0 e2 |; G) b2 \) l+ k: L7 F 2 t$ X+ H; N3 `% l/ p3 c

) W: Y3 @7 }. K( B

6 i& [1 e) G% Y& S( O- S9 L$ ` 直接进入特权模式,以此类推搞了将近70 台交换机如图: / `! ]. J% s$ A8 E" ]( i/ j

0 F5 {0 t5 k7 w- \' z
6 \* m9 b, T! t 0 L: g8 g, b6 K( {
' S2 b$ H- R; O: y+ a) q9 p% u9 x; |1 ]
# Y B. d5 R7 Q; M
+ c1 i2 {7 D2 U$ r

$ R2 g" N: M \& W 3 ~1 l: k0 O9 [! P" H# [

5 w# V/ F3 K; x2 F2 P

1 @7 R4 ] K) z2 [ _ 4 u! y5 O; G* |4 H% C, F: I

6 k( }# W: t: i* j! a

8 L7 S- a) h1 Y4 u6 a$ ~& J- W" Q8 z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** + i, O/ L) P4 n7 b7 h F1 j

J+ t5 ]2 u$ F) t
! u6 D1 W# s- r# w% s 0 F# q, ]9 O. \
( c. V) G/ m9 D+ z' C) h0 P N: @# s
8 h7 F& V6 U( \+ _4 l$ `7 u
9 Z% a* ]; z) a" Y/ B5 A2 Y

1 I! ^* A) S: l* m2 @0 y' a; K 4 j% Y2 D) V, o- ]/ ~5 y4 n

7 W! |4 N# {1 s- t- j n% ^

7 T" }' y' J- S8 x. K( c8 l1 e! S- l 确实可以读取配置文件的。 0 Y' s) b( x% H" i1 N1 v

! I _3 A9 A8 z- S) f2 B) B

! U$ b4 s. V# z+ j1 x% s B 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 & H! p! T7 N! \* u4 Q# Z& }3 d: \

5 {: `! P/ e) T+ _7 W; m
+ H! q2 e; F% O& U 8 Y/ R" Q. I4 M& i% e
! M* f% b: _8 h) q. x8 l
" _7 ~1 X% t9 m; R- M9 Q; H
: m) a% o* n; x0 V, B: c, o

* L& a' n. ]! T" |2 k, M + T; S& D& p% ^$ I- s$ ~

' K4 {9 t! ?0 w( j+ i9 j6 W

/ x* w0 Y/ b, n V o8 Z3 K) C% z 9 X1 ?9 r& A' C& R, H

* I# Y7 |' R7 A* A) ?5 I

0 m/ ^7 ?$ r# j; A* T% C 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 + U7 s: v* Y C O

7 P5 F) A$ p N6 t4 {1 N$ M
; ]+ @- N( }" P / d9 E% c; `* i/ {5 P9 U
8 _0 k! f6 x$ e+ X4 w
5 F- t, J$ E2 l$ X8 x. M. T+ ]2 O
5 f5 ~1 K$ \/ i7 r9 P* F

- C7 {1 B$ H* q# l, c/ o 1 V( o+ c/ y K" `, h

& I- d% P8 B4 v) h0 ?' \& s' V: i* z

- C3 P" @: x. n7 o2 }$ o( l6 h5 I4 F 上图千兆交换机管理系统。 / N/ _. r1 m& t

; ?1 X+ a2 t/ f5 @- K1 C5 U. m

1 o$ n) @! w* q3 g 7 、入侵山石网关防火墙 9 i2 K( E- r: [0 ^7 U

7 @7 B& T X& M0 G( v+ i0 H9 a) {

' f% @$ W \8 f& A" U 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: ) X- c: h0 f( r" s( d/ n

1 G0 f W, P: {- q$ v
, m% h: }2 @1 }- O 7 E% U& W9 g# s! J* D9 t" C6 Z
% g( ~/ D4 i. i. `$ ?
5 E7 B% V- G x3 ]; x
+ V% G+ E; z; i9 I

" U% b6 P% i C5 \& L 3 m8 ?: m T# e. H( J' U

- ~+ _( b8 |$ N5 X+ r) ^

+ S- {( Y' B5 q" \' R( M) N 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: + T2 e& H) l0 R% W$ {4 I" X0 \/ y

: _9 ^( Y+ c. W* w2 y: b `6 K
: i3 ? D6 a3 S$ \' S" P' } 2 [+ a( |: ?, Q" A( M& f) x
: z2 _. F. G2 V7 W" t
$ s! v/ w) |7 W$ q) U, t, L0 O
4 i$ }8 x# q/ m6 Z; T |/ C

' Y/ W0 {3 U1 Z! k& d' _4 U " ?" B0 N0 j; q6 x' n: |4 t

/ o& f: D7 H5 f

m2 r5 G! q8 a6 p 然后登陆网关如图:** ( W- b: T/ J$ \+ Z

* @, G T T0 }7 x+ W
) H4 ~5 b K3 {2 V; p/ k 9 N$ l k) G! L/ ?8 |" |
+ Y; G3 P' i/ \9 p: R# ^9 y
# Q. ^, _, e& n
1 \1 Z$ f8 D3 B2 i8 e% U5 a7 ?

) O8 N( }& q K/ c+ H) }0 X ; A0 V0 z" r1 V. ?

5 l# \0 x5 }% G
; }' @) n! ?9 [ 5 Q/ F! i6 ] {2 Q7 r( \1 f
# W' i6 Y$ w/ x8 I
# w% ~( O: T/ X% X
3 O3 ?0 L8 ]1 ^2 b

& o' y- l( j" M3 e: K 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** % V8 ]2 ^ I' p; z

4 w( R' j& m# |' u6 J

) }8 M$ j6 S( P3 |# W. j4 ] 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 8 O" x* s1 o- w8 V/ _

# L) ?; F: D1 I- i- O, N# O# ^5 J2 |

! B& A( }4 x6 A+ H 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** 8 m% P- J5 g6 g( V1 Q! _+ j

1 a+ c; P, _& | s! W7 t0 l- Z
% H2 D/ T$ ^: R% Z1 O $ b% P& ^6 v& {7 f
7 q; U* c1 M1 V3 {1 Y! p4 E
9 @0 k8 q! T* b1 A
0 O. R" `7 w: \* j5 ?5 v

- K1 _' g- p$ _ # {7 H; U0 H5 a# i j$ u

4 |: Y3 |' J9 B Y: r5 H4 \

( m% Q" y+ F, R8 ]6 ?0 } K4 [ 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 : ^7 X4 M6 o/ [3 L2 k

0 T# j' e! y r1 w

% b, M, E6 w; m9 b   , P* |+ j9 [# _* F5 {

d# A' E; H5 r3 `

9 S1 y9 R, j0 i0 [4 {
5 d D8 z0 L3 j6 K, C5 M2 f4 X+ [" W

- }, D0 k& F: s' s+ } $ K$ N' @( k0 {' s3 }+ g) L7 d
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表