找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
返回列表 发新帖
查看: 1899|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

/ C( C* s( A* S5 A6 V' r+ L7 ~# A) d
: V/ z4 u$ |( V2 s% t7 L

( i9 N3 M5 t9 Z- j8 u9 S6 f4 G

3 d" \9 o9 j; r" _3 V 1、弱口令扫描提权进服务器 F) B+ Y3 o& D9 z) H

3 u1 _! B5 q0 J+ j

y1 e, h# m% M% i: u 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: ! [# d1 [) B' C7 }- T, g

- C, Q: C" x0 l# u- ?
) I& `$ ^* ^+ Y; a+ p& N $ Q7 j* A- K' p$ _/ W3 N+ o
8 H0 z! G8 M) k1 N0 S + `0 H; [! g6 x- B/ m
) `; m: L5 ~* @

9 z( u1 B: _2 q 2 M. m O& ]1 p, d

$ q+ [2 l5 M+ v% {

. e( i1 V- q# e8 Y- u/ L . V2 U8 c6 [+ T q! @

+ o8 X; ~4 d6 M5 ^ r8 J$ k

* i& b0 t2 ^& v5 t; L4 w5 O* w ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 3 }0 O* `* v5 @' C/ A) L

$ n8 i% C% i* Z# I8 r

m, S$ q; F1 B2 i: \+ H$ @; _ 执行一下命令看看 " [8 k' X) D) \

; U' d( M! z- G4 y6 x

% N, ]: F3 @$ X ) G7 E( A) {! b7 Q

% Z( h: \9 i: s( \/ k
1 D8 V2 C. X! p; g# _1 { % O6 s0 B2 \; O4 Y @- C' w
1 C0 f: W' f! R; F # A. l+ K7 i2 P# a( w- ~! o# D7 T
7 z- G c5 h/ o5 p$ u& z C

9 W+ c9 C* ]1 f: y4 x6 k 开了3389 ,直接加账号进去 7 s7 r( G' K. V

4 P+ q+ m+ o' H% ]
9 y' M. V& I( l! _5 r% Y# Z " d# p# J8 |9 j! m! }& v3 T
5 t2 B! r- |; _1 o* M- `/ ] & T& c. d* M" A5 a0 y& d) M
/ K6 t. D c3 e# h) s

) @! m1 ~7 _, C$ m' r / M+ E5 \, P1 ^& Q" m) {

, ?; \ Q7 E2 Q" X

9 X& M$ O' b' a7 e 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 $ u, X I# l* B1 S3 J3 V, u

8 Z4 \. {1 F. J2 u" j
& |, B" c# w+ f) W& { 8 m+ z8 w5 u( N c v, q( a
2 I8 I3 P4 ^9 Q9 \1 x! p 6 v0 z6 H% `* q9 K# u
) ^( d& C* L/ M: k L# {" {+ \+ c5 N7 o

1 W! P' w; ]! z0 b + E* U8 K3 V8 E2 b( `

; A* ]! q% I; {* M

* T) e5 v: L# ~4 A# o D- m 直接加个后门, " A, }0 r6 s5 O: }/ p

" c# p- g8 f, ]/ d$ o9 Y2 ?

$ N* V0 L, j- Z: o8 k2 y1 A' `3 Q; ` + W1 n( f, z: O" J! h) g" L

6 S: ?1 D, O3 e4 l- a
* ]% r4 b( W% V3 P 7 T$ H5 P& c" x4 a/ j$ O1 b
$ e4 N. Y" z+ A. ?: Y " X1 p2 J( ?" l2 F, k% O" D
2 O, z$ e" a2 k8 J: A

, e! l: {: r3 ]* ?) @2 y 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 / ^2 Y/ \3 h+ h T- i4 K

, l$ H8 U3 Q, r% s" H

) q9 X \: I# \5 t 2 、域环境下渗透搞定域内全部机器 ! V7 h" S1 x$ j

9 w5 l2 j1 j4 s$ |- A! R: v6 P4 ]8 b

7 b: w4 v, w O, d 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 3 x1 [" z# Z q8 k$ o6 V6 ?. U

+ ~: i8 |% j: ?$ P
, V2 e4 ^ A+ a 1 w l' ^/ [9 \( B/ q: a7 i3 _# D
( _4 [( t' i0 t6 ^0 `6 s" y # ?. F6 W6 E: q* H7 Q0 A
' {7 a$ S( k1 n$ X

6 h* {0 [+ Q, V6 o, Z& F % ~3 r; z3 \- r6 d8 ] ]

, C/ u" K6 v* C) f' P

% q& y$ J7 j& O7 x- m {0 X 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 / T9 ]7 z2 n+ A4 c0 L- u) Q

' O$ p% G# D1 V2 F" d
3 H! o( k; w6 L 7 j7 w* |8 K5 A/ r
7 p( G7 F5 ^" K4 _; y 7 i6 T4 F t( J" c( J5 q1 H% S9 A
7 G) c* j: T' I' G' Z( a7 o

" [' q/ V6 d9 Z% c$ ^0 m 6 O1 h t1 |) n& [) } v) a4 X5 G/ t! r

% W$ U# W. H0 G! A7 w

9 u5 O, L1 j1 J3 A 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ( m7 ?# E5 {8 w; l1 g

) s( e- N% |$ Z l/ S. y' `
. ^$ H- c& t$ b! o& }6 X - ]1 \* l8 P) t( L9 g, g
6 l' M z$ x$ G# B% k+ z ( u% b$ b2 P+ Z, Z, o* i
& D; C2 K! [: a8 u: L- l

! w t, H% s3 ~& k 1 ]3 V& H4 `4 S% a5 X6 j# c

$ y! s4 a/ |! L

+ G! u6 m1 C4 i2 }2 d$ } 利用cluster 这个用户我们远程登录一下域服务器如图: 9 g0 ]" D" ]/ z* q

( ?3 a, p8 ?# X4 |8 i8 C
1 l$ O6 r5 U0 w" Y* { {( v. T7 A- ?
. R/ {6 n% \1 y H" |8 s: m" t& Q " N# h' d( ]8 W# C* b" f+ U' J
; o% Q- O: k: }; Z T

2 G) g3 D- X4 |1 ^ ; Y0 A& J$ H9 i1 E7 A; S" \( i

0 L& R& r3 N# G/ R% l

# U, U) x: B, |: m 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: & E6 q1 V" d* ]1 V$ w% G

/ k' B+ q j: ?# o5 P8 _7 J2 Z- S' j
1 d4 H5 J; S2 y% _6 r& F : f4 d- s F& x% p- F# a
, w( m, w. ~( A2 z 9 G' d3 B+ l! h& y7 C7 M' B
2 G6 P8 w7 b, X7 T# H7 _

" Q- z+ H0 G, R2 Z , G/ |. }- D8 M3 s/ @

# n' X2 d6 @$ ?! f* v

! q* i' l+ T* x* |4 T 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: 3 m+ a5 K& B1 ~5 j! t

1 s7 t0 j: b2 F! W3 g- R

% ^: _& j! i: r8 r$ S# |5 S ( p* |/ [- j& D$ R

! _# \7 Y. o, ?& N; r. C

9 g0 N$ ^ n' R) Z# z5 I 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping ( K; a3 U( P8 K! Q- G2 ]

5 e5 Q# J/ A2 F5 D

$ [$ g5 o7 a. x# J) \ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: : P @, C. P, H" T: I( `9 s

) d, k( s( R6 Q
# k9 O1 W4 o5 R- }. u' w / N; r- P# R3 K7 F: S1 e
2 r5 S9 t6 q5 L# z _8 h8 x! H ( s9 _! R, g: v5 G2 O
1 Q& G$ R* |4 A( Y( ^; r/ q2 G; y

% t# n* M T! _* L 0 w2 ?" V/ o* D- Q6 R$ [

% B# M4 h0 r4 y

- Y$ `% m3 h7 c! @ 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 ; D- O) }! ]; F! `- x. ]

5 G$ d9 H9 I5 L( u2 w) T0 Z
7 K# R. [& z( O3 H / x4 Y& Z+ M7 {9 A. q! B5 Z
% E- f/ d; T5 g2 L, E0 Y # v2 p. n0 Q$ {: `! @# D
1 R4 i! @0 y- l

2 [8 l1 Y4 u% Q3 D 8 b0 }" f& c5 F2 I! B, v0 P

3 F' ^/ G% B( v) L6 ~/ ?

* A! a1 y; \$ q 利用ms08067 成功溢出服务器,成功登录服务器 6 Y' \3 s3 l" ]2 G

6 R4 u$ ^# j9 w6 O( L
! M% Q5 _$ o& z3 m( r1 e + E0 E( a* J1 @ i7 h
- U& S$ z; X/ t* |* \ B$ D: c% R# d' P3 ]% S
" e0 w( O3 p4 R! D7 k3 Y

! `+ Z+ z* S6 t7 f; V4 Q 9 U4 O( L) s- [

# E9 i. [: u5 k! Z8 b

8 M# }& R- t# K9 A2 `. o0 |2 b' W: ] 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen : d4 C8 \, C" m. B$ N6 Q

$ p% h. V- ~; J* ?! V( ~+ `" T# [

F- n; Y: T( w7 S: s 这样两个域我们就全部拿下了。 0 Z7 g6 m, @3 ^7 q) ^- H

# H L" G( r+ D

: l& M o2 G& P; T1 `6 r 3 、通过oa 系统入侵进服务器 2 |/ n" W) [: @" o& [

2 b/ k" O- |/ s4 B

" e- E/ r$ y4 m% x( y+ l1 C6 i Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 ) t0 h3 \+ |/ p1 C' h7 C

4 {9 E8 s$ Y8 g5 O: O4 ?" k
: Q* B, h& o8 v% Q- I - i- j4 L: _1 g$ P" O2 t( d
+ Z) \; |; J% s( T 5 e) q0 c. f5 x m
5 H1 ^ L$ f8 H8 E( K

, Y$ _+ R' g' g; n % X1 U" C5 m/ M" @/ u$ O* R. ~" M

. u0 C4 C6 o1 B4 X# y

. V- A' I" {: |! n; o 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 4 A" \; c9 j) a8 j0 M# s# L' c

8 i" Q$ k" W$ ~* w5 L0 P1 I
& e" U! y+ m- W" `4 U1 f . [8 L0 T) ?4 r$ B' g1 s3 N
. P, E) M' i* X; H3 { ! }# N) d+ c7 c( R: Z
% l: p, ?& ]8 `

( g! A# ]$ p9 T! | / F6 ]$ A1 d5 Q

- i' f# Z; |# r Y2 p* ~! n

! p( s4 f* N4 w6 u 填写错误标记开扫结果如下 2 p) M( e0 i) P1 B! Z g }9 P

/ {* |6 L K2 r7 M6 [
* c" F' @" ^, Q; u' s. _7 l" H# ?0 c 9 @2 b; W6 J- l+ L; e
( _( ], n# h! Z/ f+ i! k ' W" J7 U6 P: S1 ~7 o9 I
- r& C6 w0 y) v

6 T' r- Z1 T# S* k* u 1 D* l1 S, q7 M9 ?# I8 k, [

8 |( {, [/ m; h8 X0 w: }

/ J5 ], p& U. {- h) p$ j 下面我们进OA : c5 X7 Z) Q' v. R( C4 V

7 [# I. ^* z* o8 p9 p0 M
( f% Q' \" T5 P, S I1 d ! M3 X3 b& u9 V9 a' e: G
/ d3 c8 w# D3 x+ \ & L3 M& }, e7 o1 w
: x0 t; Q; w% e! h# f

6 S6 S6 {, _$ M: r' u O * v7 B0 \% s4 ?0 W' X

% T* l. w2 G, ]7 Z) U/ J7 [# U7 c6 U

7 n! a+ T) f" t! b! O 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 ; g; _4 j% w0 E

1 g, {* M8 |' E/ d5 f5 r
) o7 }+ k& F% ]% x6 C 2 m! B1 G- N' K) F5 I
0 A( K; Y+ U; `* q" S |" R 7 L" E3 ^: X" |" y: g) l
) z" b) U: o/ y9 W; j$ z

0 `, [- h5 ^, k m2 ? 2 w* f7 g/ @# o; `4 m% ^

* L2 B M" ~! N0 r8 T. h9 `" C

% N; E+ R! y1 y2 U+ V" U1 K- F0 S . T( J: P g6 t& Z5 g

' \- C: y9 q( f' j; ]/ K

% ?0 Q& i/ f; _ 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 % t9 B6 V1 T9 U& B0 S" Q

. P* x9 } \/ J' P1 p% t: i3 Q

, V3 k/ u1 Z' q/ Y& I% o$ m f 4 、利用tomcat 提权进服务器 1 r: C) B6 {. P, e3 `) _

) W0 l8 S9 z# s+ ~4 u+ C

4 |4 q/ U5 ^" V1 ?/ m# N) p nessus 扫描目标ip 发现如图 9 x# y7 y: I& ~

, n6 s1 {7 i6 I, Q
. g }/ h0 C% T& K/ F + s$ I5 i/ O" l3 n' c7 R/ j( V4 \
+ X. V" d1 j/ ^ 3 F# z+ K7 A U3 X
( p4 V$ v, [2 S" B L. Y

" ~4 u9 v4 E) J- k b+ Q( Q+ V" U& [3 O& i

' V( G, y3 f4 T5 ]7 j

4 x# \& M8 ]- z 登录如图: " o. }3 t3 g7 X3 C& U# J

, |7 {, Y j" y
K5 i0 I1 n& p5 f, s( k- } ; _) \, V' `( `
+ Z ?7 X$ P8 U g8 x k# w $ T5 h* V$ B6 q' F% Y
5 A N" K# q( t0 M* d. [. @

/ x+ B6 Y: t( u, A ]# a/ _4 |8 r+ x

3 |# j& a; N0 f/ m5 y! f, Y

) f2 c, Q1 a2 B1 h5 W0 k7 G% Z2 {* b 找个上传的地方上传如图: / O+ y; H7 c1 [% I4 s& D5 O

" P" ^: m5 _% U: H
" G1 ]3 W+ f: G8 P 1 s! B6 V5 S4 e6 w9 g+ f
2 a9 x$ W9 Z% i5 `9 @ ! b! s9 V$ Z# }0 F- }8 B/ j r
' b4 E' D* o& j* w d% T( v+ W. X& p/ R

, g. E- e7 ~* C9 ` 4 \! @/ h6 I2 K2 n

! z' b% [. B. w$ V8 N5 K6 g, L

; Y6 z+ c r: S3 _& g& Y& w5 } 然后就是同样执行命令提权,过程不在写了 1 `2 m& t3 p8 l7 R5 r

+ C8 x, F8 N8 j9 W! D3 n$ M4 q& b/ i

9 v/ X% X. }- u4 o q3 ] 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 / w1 J0 P2 ?0 S' X+ H$ w0 ?

" ?6 Z8 s' X/ c; O. Z& H( I

' e+ B6 J: a* K: z 首先测试ARP 嗅探如图 * \. q6 E' N0 J* n

+ P/ u0 t/ Q3 }; }; K( {7 D
% r5 }1 [* @9 s ) ~ d) R# ~( F: @ f. m+ d3 r6 c4 ]: W2 |
. W! U& U3 g/ r0 \5 m3 }* z 8 Y& D! q! {, X$ Q3 J
9 A. w9 L" b; e+ K" p% G

+ D# I6 Z! ?9 H" [ ) v. A( d! V5 r+ |! @) U

3 K v9 d2 @0 [3 H1 I$ j5 V

; Y s3 w3 x! r6 J 测试结果如下图: + v3 n- Y! q% B$ J' s

4 J4 M7 H8 }0 n2 m G
' N0 z) B% q) r * ~9 q5 |+ z4 |* e! V
. Y+ z6 c7 v2 X6 }2 E4 e6 L# F : v7 H' V* i' A3 p& S
/ `0 ?( U$ r: a* }( {) m

, d# K, ?5 P+ Q; ~8 ?+ ] 7 t1 Y: p* ^: U: O* E1 w2 e. }( G

4 n! D' m9 S+ w5 H8 X

9 m- F1 A7 q, k8 ^* { k0 S) [ 哈哈嗅探到的东西少是因为这个域下才有几台机器 ; Q3 U* g% l9 Q' L

$ z2 G( A9 v- B

* n$ y8 e2 w. y6 e" {' D) n 下面我们测试DNS欺骗,如图: . q5 }+ Z& z- y) p' O6 T& S% V

# r4 [1 R: f2 U% n* p R; q
! J" E4 X5 G) ]) y& O8 G7 b, t : o, S2 ]4 l, D7 M6 J) o L4 o+ }8 H& l
0 X( U' n; J6 m* D* A% v4 e ? ) ]5 E/ a! A' b% E! I
2 A$ w! n( |* { G4 |2 t% Y! F: v

5 m$ }; v: i3 |# C- [) A3 {* d% { 5 d" d8 ^' b1 }- a# h i; I

) v/ M. M o+ S3 e

. C6 J+ _" x( S, L) n 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: + t! }& i- e) Y' a, B6 C! R

% M/ x2 p/ _0 t4 s+ i* \0 O
$ c+ \; c. q9 C. y! f6 Y; e 3 G' C3 a+ S- ~$ X: {
" z" Q6 N' H: ^! F 6 W& |6 C$ j6 W8 \- [
; {" {# l# k; T Z, X

8 L. f! l( L7 G/ j # D5 o! E6 h$ \4 B J

# ~/ o: j* M" o

* }! B1 q7 ^& K5 P% b (注:欺骗这个过程由于我之前录制了教程,截图教程了) 9 A m/ O+ @* ]/ ^6 O

3 h+ t6 F) Y8 _) z W. ?

4 X6 V0 i% c$ _9 [% n1 N1 ? ? 6 、成功入侵交换机 * N/ h& D0 O2 `* l2 t% Z

9 {2 Q! N3 r5 l) R: u

! J q6 A- k% R3 w) X8 C 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 , [0 {5 z6 K" y

$ `4 R7 T4 i+ m: D

. m" C m( O7 r 我们进服务器看看,插有福吧看着面熟吧 : }; F! W3 b+ D0 Y P9 {- P! E

@: m9 I# P( K, R1 M
. P) D9 L$ ~) k" u & a8 t2 K& t0 v3 B5 O6 |; v2 l( S) B
/ B1 ]1 M0 A/ F6 J8 C! `9 c* y 1 q6 v$ h& x3 \9 q
6 |$ `7 D: t. n. ^) f( g. r

+ m2 \& c4 o% D8 I- ~ 9 l6 t3 a6 O! ?4 G( d

8 i% p! f2 ]9 `( v! N1 O2 w5 l' O

8 }/ Q& T- a& E" Y. ? 装了思科交换机管理系统,我们继续看,有两个 管理员 % _& }9 V' u5 A. U4 k- s

1 J/ F1 _* U( f7 J
# z' p" F& K& Z) f; I0 F ; j' o% i( X9 B
. E! d1 J- T- j0 C) h7 U * q7 e( v4 D6 S9 ^" O! w% n# N
7 ~' H' ~; J, P5 n! l

, e( s% n) F) R- O8 ^ * a0 ?" r. c7 u" P( G, K* J

6 X$ U5 O. T3 T6 p+ [1 Y* i

( m! `- f" w3 `$ y. o4 W 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 7 l8 L( v7 g# I$ M

6 T) E x, o }2 c
0 M) w0 x( o4 Q7 u6 V$ Q. h 0 R) b. g( y2 W
9 L5 u% E" N% h! w # U ]3 A* M( |: d8 X; C& r, u
& L! f x( n5 | O& W8 B

* x5 q2 h$ |* t " B* z- P9 c+ R/ K* W* y4 U( h

* k1 k0 K( x; n" M2 y& K6 U: m

2 K4 S+ M! O6 n! b$ C: b# p 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 9 o+ N: @8 y9 H+ ]3 F

4 \ b( s* A. W+ Q2 M
" _; h% V! H. s: m ) ]! l, U2 U" a
" z% b' m! M8 I9 U3 M4 ]4 K5 w 2 I' t' i2 x9 F/ B
7 L5 ^1 }. d# T6 t& Z4 f

) k( U2 l2 y( c" a, l 8 H! U1 v. W( I0 H. @, J

% p2 \" B+ b6 D3 e" o% z1 b

^# j7 [4 X! _$ J" q! | config ,必须写好对应的communuity string 值,如图: & N4 U) @* N; |, J" ?& X$ Z% J, R; f

5 \7 t+ x5 l4 [- Q
; v% @, I z+ m( q 0 t9 I' U( R8 b& I& e( |5 _$ f
+ y/ t* B" w$ A) C9 X 6 v1 y0 K% @3 k% {! R9 m
0 o) E2 e7 ?6 c2 H& @9 ~% H/ W

; H+ s3 ]8 P: J7 K 7 E( ^. m: Y8 c: l7 O8 O" V, m

6 ?) V, ~0 v. m

8 X& P( ~4 P" W( o- m/ R 远程登录看看,如图: " ^* P" @* I! _ J% W' R2 R

( h1 r" H' ~! W8 ?
) X# g/ o# e7 t 0 y2 A- q, N# E; z7 I) S# X
: N* t [: G* c! _ 9 E6 b% u5 ?6 j( N+ }
$ i' w: ?1 |) y8 a% T, [. c1 R

9 j' l; Q2 E' X# A5 m6 `+ A( \ c 4 s- [9 r" F1 k1 M

* F9 x: c5 D* W6 t0 s

1 j5 E2 Q& L: f4 m7 U4 Z 直接进入特权模式,以此类推搞了将近70 台交换机如图: 8 L3 A/ o s7 ^, Q- q" }7 t! u

/ a5 J( B1 R% ~8 q2 a( r
4 d# q) b4 ~" b & F @; [, o) X. m6 D/ A
; y% L9 d! {# q% N, O/ X ! u2 y2 m' B% A; O- h* @
$ E+ { ~% b: b- L$ w0 r

- U; _2 k3 r) s" {" C9 p 7 F( i! c9 v! l

1 F d' t8 Q/ W; g

; @+ q$ ]) X/ H7 }' I # E+ J- C& W& Q! F1 R) O9 U8 G; C

. r1 W, Y; e! `& p, P9 f4 I- a

) _. E8 b. a ?# D ?6 f3 k" C 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** , @: X6 x. t& x6 _8 c

! o- U- O4 I7 v" C4 x- o
- x; w; w6 p& o/ ?& H" [" Z O/ \" K3 ~9 z- {; \
8 g; p9 \$ R; C+ n+ Z # s1 d' e. }- E
* ^7 Y) X: G8 F2 R

( p# k! F+ ^* I* ]5 Z2 S # q' q8 g) r3 B' n: ^

9 ~' |+ `; k+ @6 m0 F' Q; ~

7 b: Y3 k7 ^" T 确实可以读取配置文件的。 $ Z4 U" h% x8 a$ p m

) s, [" n3 P E

: U" ]) o5 L) z' c2 t# x9 X# Q 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 * c# h* \! g2 |* Z% D, `

! S& g3 U2 F4 ]* ], q- T; g
8 H9 l, ` _2 m J 3 P! h0 ^1 q: m( l8 U' o
1 A9 ~2 ^# b! a, {, y& B$ J6 z 8 I& ?* e6 I$ J3 Z g9 c" p. ^
2 Q4 C$ r, H) r7 H& p8 F/ Z2 G

$ h) Z0 |& ?+ d1 c; h8 \; m1 f$ X * B( \/ e* Z0 M8 ^3 f; S

3 c" c! `2 I4 J7 x2 x3 `3 [

, J4 @: _4 X& j! \# {" N 9 h8 i- q4 P* P1 V9 Z; N

+ q5 X7 \% D3 ]! R: V( L; z

6 e0 ~9 v6 ~+ s- o( @ 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 7 ?+ l, {8 a R

( r8 |2 k' T& G% |+ W# K
( ?! k" m1 D, ^! D0 z 9 F. W/ B. `" q; B _- y4 s5 M3 H, X
' E% K! P! x4 b r) r, w' M % M" d9 v5 v Q( ~: H
}- j7 r. R6 }! C% B" {. t

1 ~- H7 G( d: S9 K' z( B 7 }5 V0 u$ J" c% m

( Y* Y T5 i0 A, Z/ s! s

8 B+ C+ P' B1 a 上图千兆交换机管理系统。 2 A/ d- j7 ?/ N

8 ]1 K& b, a3 o) v) b

: r0 E! I" ?9 O. B9 R- C5 R 7 、入侵山石网关防火墙 + t& u1 [! e1 r5 n; i

0 E$ p" F, z3 H" J

9 m" a* I' I( e2 _! H 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: * O0 g" D$ z- ^) I4 U! q! Q" e

/ s2 s; H& \8 X: s+ A" _6 D; a h) ?$ e
6 M: F9 c- O5 y h0 G3 ` ! G- K# F5 D! F: Q* @* z3 u
6 [3 K, ~# d8 C( W4 X7 F; F ( e% K4 q, S1 @; N$ f: J
) I$ c5 B/ y& P' N! c

/ B4 n2 ]2 E6 z6 W 9 m0 ^) y* w, ^8 O- d5 y

, ?* g. d% h/ W' X) T

* ?9 p$ A/ b' f& l9 j9 Q 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ! _+ J z- a* ~# F

- f! v( |! ^; w, V. }. H
) B; H; W* j5 a/ Y) F- l) Q 2 C( ^4 c5 a4 ?; g s
" u$ G5 G% r( k9 m 7 D8 Y2 ~2 r$ X7 V3 v; o% O
7 w# R& K% o" j

( u. I2 x- h, N B4 d }* }9 O5 s; O

# s1 q2 C% o4 S8 C; _' [5 T

' q( a# d& X7 i. Y/ f 然后登陆网关如图:** % ?2 O/ R) d# t" J. A7 A

& J) m @5 G2 B- g3 O' j
( W2 a0 e. j8 S$ J8 o8 F% e 7 ?0 K. o1 M% Y7 l
) T1 R) e% w% d; ^! H3 v& F ! k8 d* W- l. {
3 D; E- B5 |, |* F0 V& n

) \! h1 }- M; M } & W2 E# S- q8 h0 X

s$ |7 t6 t$ c% g4 G2 I( y
: B8 _1 j# M6 g5 ]& p; _7 C# Z) M- l 7 V+ M2 R% g( N3 ^- j x* X- A ]
" x+ x+ H3 s+ D - b* N% y$ w. C2 g9 E
6 k5 P+ s/ i# U9 Y5 v' V

4 v, x( Z1 q' C4 P( I- w; \ 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** : I' ?1 v1 k+ n, S; I* Q2 E3 g0 f% m+ B

: ^( y) r1 f5 S1 P# Z5 w; q; ` H

4 L# y+ X0 U, r4 C3 M 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 2 g' ?" P3 N, h/ U

' o* R; s5 ]. X; F, X: p

' U0 ~' ~. F. a7 j 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** / f" ]( b) h- s* p- Z# f$ [& p

8 e3 Q2 p, ?2 b! ~& k
; J$ C# W$ z( l- f% D5 d! X0 l5 [ ; @8 ?- E) o Z- K/ J7 F
, D/ H5 n- {7 ^; g ! _- `9 n$ z8 u; m% h4 j
. y% D0 L. [+ |( T

! T/ x! B' u6 H8 l# T 6 b. d' o5 N: Y% o

% D6 A9 V/ V: h+ X% u

0 A3 U' o. b/ y% A 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 4 h4 S6 [! j- k/ k/ h

6 `: O+ n M1 e# Z6 `

# `) L4 R$ j; o7 a7 b; d: a( L   ; |6 s4 L$ P$ Y

1 a, S3 b9 f# ]6 G8 ~- j

6 V: _7 m4 G' j: e7 f9 Z
; ~0 b5 [! C% c

; ?3 V; R5 Y3 J5 j7 p 5 V2 q* }6 a7 U) \" C1 _% U q
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表