找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2041|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

4 T' l) g2 m+ z) {
E: L6 ^6 y4 ^) x' U

$ q) b" [: X! g! b# O# w

7 W$ H+ W& q7 C' A/ M) d 1、弱口令扫描提权进服务器 ! M% T' o9 \7 C( @ u; W

" f' y$ ~# r$ A" ~. ]

4 q% g5 l W" g8 J/ l 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: . o1 ?2 F E! w o; P" p3 }

; `/ G: }5 \7 y$ x8 ~. Z5 H
0 T9 `9 Z: Q% {" I @ 7 ]* F4 d0 n) G! V+ K( t" O
! l* d" W* N6 n' ^ % L5 K7 \) g# k4 W2 _, N$ ^
: y: m( p0 Y) c* g. u

7 L5 g6 _( n: J0 M/ i. N, } : m% G8 j# L! O. t- B( s

' i! Q+ f3 @% |4 R- C3 l! J

1 w; h, [0 x" m& u4 @0 D 7 w) K% m/ W* V- }! _; _' P

1 i {$ i* t# Z

3 K# `" {2 y' b' l' e+ s ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 6 `, E7 h( p/ t" O# Z

1 Z: B7 ?0 ?. Y% U+ K D ?2 M

+ X1 l: }% o. O$ K" R9 b* V 执行一下命令看看 6 y w, }# N: W# L

0 j* q3 T+ X2 ?% ^& M

& O/ L9 C1 ]7 H9 ?) {+ { v- G8 u8 x z/ P* ^( x9 n& J

+ j/ m N( u! W; V, g
0 d. _, ~% R* G3 w, Y! h 2 H8 j* ]; s3 ~. ]8 Y
2 {) u6 Y l R- |! n 5 s3 w+ @& i- h4 B" j$ x
% f/ J: K! }( V& S" ^/ e6 F! g

. C& Y6 Z% j- n# T+ Z% G 开了3389 ,直接加账号进去 2 T, Y3 N, \6 J4 s& ]) o9 e

A" W: Y5 I: Y& f, h3 {& A% d6 p
7 o$ c5 @! i7 ]* }3 w * Y: A6 F; |0 z1 O' f
" }. V: Y H' j1 h. y. Q! } . ~. v0 u6 O# B! O$ S8 ?: A* F7 r0 Y
3 a/ N6 d3 N% K% V, K

2 `, x5 e, u3 @ 2 W* W) G& M+ N9 Q' l# J

) J2 i0 n. \+ ?4 B R1 Z2 |

* |) w9 w% S. T n7 z- w8 ]" d 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 5 Q( `! l+ U( w" h( l" x* J

+ a4 H ?7 E2 g
7 \0 Y9 I! w7 P9 {( M# @ 1 _, a8 w) w% z$ g: ^) q3 |
) b0 h; e- k# R* g3 A" S ; Z3 j/ z/ D! s W* L3 I4 {- M
- p' U, L0 M* k& Y2 ~" b& C# T& x+ h

7 ~/ Z- l; J! F8 z- A9 Z1 p ' l9 M, n& r$ {* |# t

' Z5 L# K$ P7 S1 } L7 k0 P$ K% ~: e7 W

! B5 L# Q8 G' l" S; a 直接加个后门, + l& ?1 S/ j- D- z4 i* F

! X; q: { Z6 g3 N

0 Y4 ]: k7 ]3 w( y / U4 F4 u9 \4 y- f; P

% a2 z4 r1 V! Z
1 Q$ u' @* Y0 L8 l- Y # ~* x: d* I$ _) e
/ t3 c- a0 W: Z- D4 A$ a3 ^ 1 t1 `. e; }; y H
7 y$ K, w! k5 k, Y/ Y0 @) }, j5 r

, `0 j9 W6 _- q9 z. w6 ~ 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 % A9 x. k, H9 ]0 p/ A e2 g! D

! A1 y; L+ ~; N V/ d3 O

$ J" V! E [ f3 e 2 、域环境下渗透搞定域内全部机器 ; d2 ?) Q6 X8 d" y0 p: R( \

3 K: v+ g: k ?& i/ i

+ E5 E2 t) n# g* i/ a7 b0 ] 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 - j' q7 D m1 i5 \9 t

! X; h: O. h5 _3 t, k
* N! K" n# w4 `) j3 K$ k9 q- M 2 f' T7 s! s, e
: B: t% J6 G" k: ~0 G+ W $ M1 u2 W' Z9 G7 V) e! ~: T8 T
7 g( _1 h+ Y2 ?- Q- p0 ^! e

. r9 @) J) E* G# M ; g/ G: Y) M& n/ Q F$ }3 l# S! |/ d, ?+ T

, I5 i+ R% V+ K; m

+ [" ~: @& E3 M# A+ `+ N 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 $ I- y8 o( ~. u" v

- P: k0 G2 R: ~* q P
; x- d' Y8 {. D; V3 ^" t0 A J0 Y# m* h7 s) x
9 ~! m* _1 S; c3 }. P , V6 y U( _) J9 ]
2 R6 s' `. g% N

- ?" x5 H6 v5 A9 [ . @$ m* U% }0 Q4 d+ |7 s/ t7 n

" k: m' p% t9 e* Z; t

% ~" P8 u8 G! p& I7 c; [ 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: ' Q2 C9 ~; P- Q3 h2 F7 D2 h

) Z& g: F7 |) L4 p' D
/ z+ W0 C9 ?, S! M4 V. R: Y ( e* R3 q$ {: d F* l8 u' b
5 n1 Z9 x. \6 i: ] 9 M" n- S* m5 O$ X* f2 B
2 R3 r3 X! t0 j3 x% i0 C

& T1 O D/ Z( _6 D& X7 f/ O; D4 i) o ) a& K; t/ N. \' d$ u1 |' J

$ G4 O6 O. ^ s) p

' z' {/ O5 P j- `! T0 ] 利用cluster 这个用户我们远程登录一下域服务器如图: - b! ]! x9 H4 H( s0 u

2 s5 i; f- L. L2 Q3 n1 L
" l h# V4 J9 Y3 E- r* g5 d! U% e6 l 0 a7 C0 w! C" D( ^4 a" [
7 m: ]$ I, j9 |) d: W/ C2 Z * F0 C' b0 g/ Z
# ~, o: G4 u) {: ]% A/ O1 q

- t; }, ~; m% F% x 2 n; P# Z( l0 n2 _

5 y+ B0 Z0 R% D/ H& e5 p' f& d! b; j' I

8 J4 M" z$ E6 _7 N: O! Y$ }4 u 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: + \% N+ u" v- s% z% [& e" |1 ^& R

( A# s% d- u* p% v1 S" D6 K$ s' `7 x
. q# Z5 a3 E$ b. G5 \, C, g4 s# O6 ` , N" s7 z" `, E/ g" j) N
5 d# e7 B$ U; P$ U& n* O; a# R ) [# Y) k) a" j2 E
5 \. j ]' a, @3 |/ P

, M; }* s0 K+ ?; u, F( e0 M* U / m8 C9 Q f1 J/ S- Q& p

$ D I5 I9 X! ^+ a; s8 T1 u

4 p! A% G$ J$ n$ ?6 s2 w' D 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ! O. I& X; J% D9 @9 t' W

# o. w( ^" s2 k2 f- `" |2 p; K

- l+ `6 O- e8 U5 f1 r/ ~ * c2 [& x1 T- |7 e0 y

9 z: ^# E: L! D2 |7 ^$ ^. T3 ~

d1 J! z1 m' D 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping * h3 B: X3 P5 t6 H* d0 R9 C

9 h+ L" T D8 D/ I

5 n& c% ^7 s! U! I" ` blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: 6 s: E( T9 G0 X8 N' w5 b

4 p0 x% B+ h$ k! U. `
+ |9 N u! k/ M# R- ^% [( X# v, y6 k" U 4 ^/ b% \2 m8 |% V }2 x
% }6 ~- ]- |! U/ C! t0 B & c5 E& I( a. f, d- J$ |
9 M% D# R! H! Z# B

4 Z5 J1 R5 R8 b+ z( w7 ` 6 |" \! U1 j1 Z: s# V }$ A/ L x6 @- b

- a% l0 \, V8 H* ?8 V' P

; Q4 [5 Y; i! e 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 / s' D4 }* G& M) ?/ F

5 g8 V N2 h& _! z0 u, G" M: f
- C( |3 ^3 k2 o$ k4 z; u% J3 H/ b % N1 A$ P: j8 S) {. ^: I
( S* \" P+ P, z 2 L9 \9 l0 @: P; R
4 W) r6 u+ K7 |; h

8 E3 S+ X! N, Z9 W& a# P2 _ ) D+ |0 c: U+ @, V: ]% x

( F: z$ Q- o& l5 v0 Q9 R% ?0 G

4 p. E- z; m3 u+ Q. P 利用ms08067 成功溢出服务器,成功登录服务器 % B4 n! f5 M* U0 s6 H

2 ~1 Y1 Q Y7 d1 d* q
; R6 b0 `# C2 w$ ] 3 r/ }1 P( a1 V! \& m P
2 B/ g) {# ?1 ^9 f# N$ z 3 ^1 C2 i: ]! V- ?: ~/ t
0 s0 ^# _% X. _, l% ~- M

( K$ c0 N8 y7 O $ f: j- G6 ?8 \# [

" d4 S9 D4 b6 J1 f6 ^! y+ z+ N, C$ u; J

, T/ k. |* H" G$ ` 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen ) H! y) w8 ?8 {6 H+ f

. j! s# b% R/ ~; Q0 h

9 a: B% F" M: I9 k 这样两个域我们就全部拿下了。 0 b F C' k4 B( F \8 A0 z k

+ @& _& \1 m1 R! H: N$ U& `) j: K

" m" c/ @/ _3 q! _; s; z, ~ 3 、通过oa 系统入侵进服务器 8 Q; D$ f5 ~. a: m, h; l- J

" N o$ `; W: g) X, d( X1 Z3 W7 @

+ i$ F9 @- u9 L A# S Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 * d1 Z' d( Q5 ^. e2 X0 p

3 @0 |4 ]3 J' }+ B
# _3 i! t# `5 I% Z8 ^: F , H9 t" |5 i& A+ l2 E& ~7 y8 o* W
) F7 j, F7 G; q1 o # | D9 Q* @% R$ U" G q! J% A' K
5 T# s' q [7 i$ \) J7 g

0 g j- O$ C. t) y7 w& L 4 e5 k3 X/ \ r# C9 s. L1 F+ T' Q

5 \& ~8 W& F, `: T8 C

: \2 l x7 K/ V( U5 B 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 9 z" t# G* w: ?+ X9 |

N+ H! W. S% |# f2 B6 R4 v
3 z( P o- W, e/ o: l# e1 i / @/ b; }4 [0 T& W) D! G
2 }! k9 ~$ B" Y/ {& n6 U 4 m8 `! }, a) \3 G& V7 S
& C/ C' g! k9 h. D, q) D

& `, t! o: G' {3 L8 } $ `) P* R* B8 Y* j

) I, ?/ ?3 t& L3 x6 H |

4 H4 T8 \# W; l1 X4 r 填写错误标记开扫结果如下 / ^" E2 n1 @+ {2 u

% ], @# S1 u& Y' A1 w; N& K0 m
# X6 I. _$ D) k X5 R$ x2 n & t0 `& Y6 A. i9 M2 B5 H: O% f
! X7 f* u0 E) w7 C ! ^4 |7 {: L5 l9 A2 p& p
( l1 K u; S$ i" w) e8 c

* Y% m6 r7 u1 i1 @ 2 o/ q0 D7 \( T7 p2 {5 V

% @9 x) C9 c5 p5 t/ K9 `! f

1 R O4 {. Z, K3 H- ]2 X 下面我们进OA 0 b$ k: [/ [9 q% c% t" T

! e4 v$ N2 Z# t# j( J C9 E
, f1 u/ O/ U( \) \% ? + P7 L. I8 m" x# p0 k( C& Q
, U) D7 m- O8 l W! z' e7 U9 o! Z- p+ y. G
4 @% X& h. l% W/ V; \7 C6 Y- m d

" e8 X2 e$ R0 \( L; x) D - W. i+ H+ z3 v7 y5 H

: N: I1 @! l; B; D

3 \( t' M4 _" v, ~0 v 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 5 w: c. Y1 ~ U. |' |' ?5 F8 Q

; G+ P4 F( G. E9 {2 }! X- J: M
$ N6 r/ u8 R9 D: o2 U ; Z+ f/ U5 T8 o1 @$ H
" q; [8 u% R! p, s$ h . o; h* o, x! n0 q/ l I
5 c, x+ P4 g( y+ W

( ~* B4 U/ Z* s2 P : B0 b: v. V9 e q6 Y5 a

4 M, J* J+ p, `/ e; }+ h

$ |( z( ?! R) U7 Z Z, M5 F# h( z - r/ [- B7 i$ l

3 ]2 A$ @; u" T, s

* X) G0 E2 |& |8 V! x; W 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 6 X' S# A1 A: H: A( U6 N; p

0 }4 }4 W/ y/ H4 B% [! V

$ b7 j$ X' U2 N! t 4 、利用tomcat 提权进服务器 : g* z5 l) S5 D! @( [

# Y! {: v! w9 T5 W

! v) b( h/ f% Z$ y$ O nessus 扫描目标ip 发现如图 ( g2 F* c" R' S* E

) @0 l2 ~- E D- S
2 h4 b4 h; u# \+ f$ s* R5 y ) |6 {2 s; ~" C( g
4 h" K8 r0 ?0 h + B, @: m1 s8 G) ~
, U1 `9 \; v! p

) l" e0 i3 |9 }! k% z: q# ] - j' s6 Z0 J8 W" i7 S C* ^

. x3 p7 d6 A4 L6 I, |2 v5 [% Q

, Q! x5 B# N9 D: u 登录如图: % U4 e, Y- Q4 `2 I0 G1 K

1 M9 Q& U! q$ n& I) X+ T' ~# ]
. u: {# Z v" P+ G c0 f# l( e# t* W7 F6 \' b
+ b% r# q+ G4 ^% ]/ Q ; i1 }" h, u$ H# J& K
- I: p2 \2 e: F

6 I3 |7 ?- c ~% l3 ] 5 b9 z. \+ R9 o; j \+ S

9 D# p1 r4 x8 C: @1 t7 [5 q, N

. q, t- U+ i% f! Y( s. D, X1 R 找个上传的地方上传如图: ! _/ F/ p: S, K& _' ^" h

0 M* b5 t* c$ k# l. @& b
$ o9 H. l, s; c' ^8 s0 G 0 N" l3 t8 R4 G( m0 k/ d
- J$ @. D- _9 x! s2 X" [. C ( k; w: }3 v4 p! b- S9 C X
6 Q% W5 f- d" `9 @2 H& o$ |

0 k2 S2 s4 {8 ~ O7 L- r6 E/ [ . V/ f8 M* }6 Q( M7 x% V

- b. r/ `6 D$ e6 h2 ?4 P% `

# S( O3 q' f' ~6 E 然后就是同样执行命令提权,过程不在写了 ( {$ Y% H5 E1 I- E8 V D

9 y7 f# B2 X9 P* ?& ?

$ i7 X! v/ k( s0 I8 i& i7 P 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 3 _$ E7 }- s& J* e% I/ `8 |. _ H

8 A0 q' E. _/ d( O* o+ Y8 Q

( f0 a! @3 M" }/ i' ~- @8 U 首先测试ARP 嗅探如图 & Z( C1 j: d3 }- {' y

3 ^6 c. S) j' l2 c* H
; I5 }6 ]2 F( V B ' d6 c( k/ L' S& R6 z
6 d: e7 F. x- @9 [/ x; P: l: ~& [ 5 g9 x3 ^9 P& |- h
$ Q( E) K$ T/ ?& R

! M, h, I/ R9 V0 R. }6 I ' J: \0 L+ K! [

9 y4 X! g+ c. b, e, [/ U. w' j

' F% k7 c4 ]* ?9 y 测试结果如下图: 6 ~5 i6 J: G0 f. q* h3 z1 x# P1 O

: i M+ K' J$ G4 U0 w
- M& F* z! o) B! S1 _& ^ 2 ~+ d- p8 \! [5 s( b s
2 O6 u" N; p0 h. A % E2 B2 Y, L( r2 E5 O: l
5 g% I( X6 ^0 W# |* d" J

7 b; E2 d5 B# e; ? 5 W, v7 M: v3 y' p+ j

6 S6 `9 x) i! \0 `

- s& C8 \* u3 W# T8 ?4 { 哈哈嗅探到的东西少是因为这个域下才有几台机器 3 H" Y' Z" N! N$ v

1 l* E' m, C& q, o- B6 s8 p

3 U8 |( \! v8 V3 ] 下面我们测试DNS欺骗,如图: % ~8 Y; O* b5 d& X

, D. o3 y% f1 g: j/ ~# Y3 V7 e
2 a; X, c n& F' c6 d( ` 3 E9 {$ ^0 W! s( u* s& ]
3 k* [! O# k" e; T2 O; o2 s0 X; m9 K9 N 5 u6 Z2 e9 n+ ~" O8 b- Q3 X
8 U- P7 I0 K( ~/ ^

. T, L5 S# N- j6 F. V/ b* P' \ . f4 e/ Y8 z, K+ a2 s9 R7 x- w9 |

5 ?& l, \5 ~- u# b2 }1 w# o

: j$ ~7 }4 ]) i- e: ^ 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: 6 [' A$ ?: l" l

6 P8 y; X1 I) U7 V
6 f B: C+ k e) _9 ^ 8 q% Q1 v; q5 I: L0 ^+ d. M
$ y% w ]4 X9 k8 T5 n0 U. Y. ~) _ ! K% O4 D8 J5 V; b
8 C) Y6 R* i& Q7 e

1 b8 Z; d* S1 I" ~+ H O0 d0 z+ M1 f f( M

$ h5 @4 X0 _: z

3 G' ]" G9 i2 I: ] r( {4 | (注:欺骗这个过程由于我之前录制了教程,截图教程了) . f! v+ c3 s% o: D" z* U0 `

5 L; I [, I E8 b6 z M& {

2 {: J. T3 n/ B 6 、成功入侵交换机 ' V9 Z8 O* d$ g% G2 |

; c- E3 h, E, s6 [# M3 |

0 d( W+ ^3 b& G6 K 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 ) n5 V7 n) r& S( }. Q# {

+ s4 U1 E/ w5 j% w" d2 b! t

/ S/ p" n$ n' @5 X, s7 K 我们进服务器看看,插有福吧看着面熟吧 6 h) l$ }% _, z% n$ _' J

+ \) f. z& n3 ?$ S% ?
) F& B$ v* T( c. E+ B: i4 f 6 I# ]9 {3 N9 N+ [
. A- w# k) W4 T0 B) x2 O8 x * q8 W- M3 Y/ B7 Z3 _" }8 d
! O/ N6 d) T$ G! u9 R0 q

. F8 x6 ?* t0 \4 P' n, U0 ]$ S 6 y4 Q: ~/ E: X: x8 A7 g- v

. }4 B, M, X( m# R3 x3 b% S- B# c

1 D: r" i/ L7 Q! w- d+ e, M 装了思科交换机管理系统,我们继续看,有两个 管理员 ! |; u1 L& R1 r; O' Q: \

4 L8 T0 R; U% ~6 S
9 A- k/ e. O! g+ Q+ R/ Q ' b' M5 b7 H- a. B: E. ^6 K
7 c2 c5 d. [ w" A4 L2 h* }2 F ; A' m8 b. _: z: a7 A1 ~+ f
# M) T( H6 W- E8 c3 F8 U/ i

: _# h) ~7 o6 H3 z9 m " Q6 N6 h' n. V* i

1 I0 t, I! `7 I! l P! h1 O M

8 z0 n& `, F/ O5 O 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 5 R: I9 f, A& b0 O: N3 y+ L m

1 [2 I; L4 k w0 |6 h; h( Y7 t
# J, |: I- u/ a8 b1 v/ e: n - v6 g7 m0 i0 Q* I) [, a
2 V! Q0 r# x! p9 V) y. r' I $ Q4 D. G& _2 P! x* H% w2 v! w7 h) s; @
$ Z1 R$ C3 Q6 \

" W+ U' T6 k" i5 | . l- C% _. H9 ]$ j" i, J

9 _& |7 t& T+ r7 x" A5 G' f

0 p" ~; k3 G- m! D2 _2 Q 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 0 m* z: H* R3 W# ~) O2 f

9 s6 u' L/ W3 H" A4 x, R2 c
& s1 k2 o Z2 Z% o. H% ` 7 R6 r; y$ \: |/ O/ p
1 U/ ?4 J# t% d2 U& Z . ?+ b' g- k+ m8 q0 G9 f9 h! ^
5 i8 [8 @+ @( e' h, K) u

% ^$ a* {9 Z, ?8 `6 G% m: f 0 B# ]' Z5 Z/ {

) f) R( |" ^3 J- s

6 g7 d6 c$ n2 c7 I# x( ] config ,必须写好对应的communuity string 值,如图: ( l% Z: \3 P) p4 ?- s

/ J" B; X- j1 }9 s' @3 o& J
" z) ]* \: T" H# f/ ]5 T) F " u' w/ g1 l4 R
5 v: Q/ s2 \) U K+ y ! S4 W0 E+ b: J0 C' p' R" @6 s
$ V" \3 ?5 E2 p! {9 D

! e* y+ n# {5 G2 N 7 u1 T, ~/ C0 h+ m

: t0 M2 Q2 D& D( t, K8 U" s5 {

b4 W: a6 k7 z 远程登录看看,如图: ( ]7 F% p7 o4 j. I5 m; w H# [) R

: I( o! E+ X6 k# |3 _# Y
6 L* q2 F# J+ \2 C 6 Y* t: z8 k/ N1 }
# u5 @% E! U2 A0 d; Z 8 G' w9 q' G# H6 k8 l8 i
) `, h" Q& I- _

% A! b6 |5 f2 v* f- s- z & k1 ^6 j2 g2 T* d8 A

2 y8 s" L: b% @& l! B, k

2 F& l6 z$ V+ T+ e3 C 直接进入特权模式,以此类推搞了将近70 台交换机如图: - ~1 h: E! n8 E$ h/ i: y6 E

2 i& j- ?& s% r8 g
$ {, G- {9 a4 L7 Z* x : p. @5 T. n" t# [7 [/ L
: l/ `" C+ f: z# \4 |" h' ` & ?# k9 v }( Q5 L7 F
# D( x7 i: m, ]

7 d( }3 L& W5 ^7 g7 g$ G - a( f# @) u8 J: ]

: k) {7 K( e- h* r* t: ?

- V6 h, b& |0 X; e9 r8 \: H$ `/ w8 K : r, O# h( A" _( V0 ]9 O) }) R

% p6 t M. ?- P' y/ @8 @! y! ]

% F7 o' {. D2 |9 I" l, S7 r- Z 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 5 D t/ B) Y9 L$ ?/ R

" _% A8 X8 r, V) ~" B, C
' T0 [6 ~# o" I7 K / ^& C- N3 e/ r7 n8 ~# L4 {& ~
+ M; S/ Y5 e4 I' G b* {) T + Q. j9 w) t2 N
1 ]8 ], A' Y) O8 Z

5 r* I- Z0 v! F: m ( R5 E# B$ q/ w; i" L1 T7 T- J

5 W. ^# y" h, @+ j$ o

. e: L; t) y$ e% J 确实可以读取配置文件的。 . P3 H+ d% ]$ _+ [) q: Z& X5 f1 `

/ @4 s9 e+ G: K+ h# b: W+ b4 M+ K

' D$ y. A6 j8 M) o: p% w& I 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 , A. r% h, E+ T5 f5 v" v

! c: K% Y* i0 s
. L* C) {8 e1 _ ^9 g( L G! ^' ?: `
1 G3 Q0 S8 d6 `6 t: q1 ?4 l0 V. S4 g " M% f3 l; ~3 j* p, E% B
' M, K0 ?4 P6 {7 Q

' ?& \) }, C% U8 t5 x2 D7 {, f 7 G' W2 o1 d' R) q) |$ o* P

) x2 a6 c% L4 i+ v t1 |- w0 V

$ y, }0 a# Q3 s4 |- w$ ~ ( v: L7 p. H$ W% W' \7 B

) h1 C* ?* |' W

, E4 N0 q5 _' ~ 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 ! ~2 w" J- \8 d0 K+ G) t

) L) d% y: l1 {9 ?( k
2 M& e( L3 V0 A9 D* q7 W ) ] ?' A3 z' {' _2 l1 n p9 q
( H' G) P1 `; f3 P- m # e: |, v4 |8 ^ I
z6 m, z& f6 g

" B" m& C2 g. `" D! F3 j1 D5 e 6 a; n. X, z; ~9 i2 I

- ?) a6 L% V8 S/ H! U8 h- J( r

. j5 r' d* z1 i- U 上图千兆交换机管理系统。 ; h8 |( V0 _* o5 C4 ^+ j

$ f/ ]+ V9 L4 |6 U, Q, d' y9 a0 C

' s. R+ i: W/ O0 F8 a1 L 7 、入侵山石网关防火墙 + U5 e$ @9 E' Y0 N

0 m4 \; g+ w, z7 i# ] [& g

$ H' G' S+ ^8 M 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: " B4 j$ l0 l# Z

- ]& E% e5 e- H8 X
* ^# g. [% g! V , v+ }* z+ B; K+ x) d7 X& X# |5 P
4 x6 l B6 u9 n; h3 F 3 T# j& [$ ~" r8 X* [& V
% ? @; w/ X; P7 L$ U& z% o

% s$ l8 U- w( |: K* } " G8 i3 E+ v0 P: b& [: z, }; F

% Y% v0 M$ F: |6 |& ]

, U# Q- p P% [! x7 [5 W 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: ) o4 H0 C" u% q: U& p) h( h6 ]

. v# M$ H; `( Z; d* m7 b
7 Y9 f: l) A& Q$ @* g! N% ~, m / s/ x6 l6 M, A. m" H5 Z
# X8 a: L* w5 X" N( T% @5 u 5 T9 m- c( R* B8 u
5 e" x% E+ Y( w1 z: Q/ q' I# |

8 x* M2 x$ p* m j+ X; E" g8 f3 n 2 T6 e% k6 {1 B7 J6 x- \$ `

- z0 r j5 s; m! I0 x0 i5 b% x

3 m7 w1 O! r$ M- A 然后登陆网关如图:** 1 u4 b/ p& k8 Y; ^

, Q& z% s' C: d/ Y8 \3 e+ X# f
* U/ K6 J( w3 H) g * |! a- d2 m8 J
' e8 E2 S- C. u; `2 E; b! U) M0 \0 b9 | 5 G2 {# \& ?7 c! ^) e- b( V
$ \3 a2 V7 b# w& D0 o, h

& \ u% W# r5 Y* \/ V4 Z * K# V- P: E2 Y& l, v. y6 g- n

( K2 C6 v) K3 c9 N2 A
9 K( d+ | H7 @4 [ 5 [; x' u0 j, j5 K9 H4 u
& h7 @* a, ~3 i% q" P3 ? 5 X" V" k; `( v6 T
s. h# y' L$ f$ [$ N/ n

a) p8 W' D2 Q( h0 E$ G1 v 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** - j0 `8 ~8 O9 Z( S7 u9 i

. {* q% D2 r! ?- t" A% i' s h- I

' E/ f( ^ _% R 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 # n" J- E3 q$ X' ]

( o9 C, Z4 r$ j, ?& u

1 j/ I. E1 [7 z, N) w$ w 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** : Q8 ]3 c/ H2 j" c/ \

2 i% F/ M1 t7 J# Z
9 H H7 Y5 X. o5 `9 \+ { 8 R* G/ N. l0 f+ J, {
+ A4 e9 x" ]: {7 \" ?! K # p0 p, @$ v2 V
& t1 G# Y# ^) Z) M

/ C" u7 {# k, V1 ^ & i' J) ^$ v# ^2 A

3 A+ C3 S. z9 \4 N* S

6 t& w& p/ S" `% k0 e0 Q 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 * a3 d T, E8 ^' e4 y

- r2 \7 J8 E8 y2 a. O8 J

$ C* m. H9 S& x. k   ' c1 N: ?, _, k2 q7 G

. q2 r3 P& f! W

7 E- D% {2 ?/ E5 }% i
9 s7 c. h( b0 O' W, A$ Z

& D; s, U2 p& l. h5 ~- k" i( m - z& ~* I, [# F
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表