找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透测试某大型集团企业内网
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 2173|回复: 0
打印 上一主题 下一主题

渗透测试某大型集团企业内网

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2018-10-20 20:19:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

3 N X/ j+ d. ^$ ?
0 N: R$ o0 ~8 J+ t6 C) t4 o

" n0 i. l/ Y. P1 K2 a6 n

" G F. {0 n6 l2 F) J6 l- x \ 1、弱口令扫描提权进服务器 * |+ K0 U3 H4 S+ P5 o {$ l

! O) T6 w1 d( i6 A

" J+ i. G$ E; v# G/ I 首先ipconfig自己的ip10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下: 4 ^# ~8 P% x6 B8 N

+ |0 Q3 m7 S; ^( s0 H% x
. x: C4 X' z. F, [1 {2 z& P 7 s( k$ u8 X$ {6 O/ Z; F. @
& T. k! v+ c! Y% T : F; J$ M$ Q6 K# a$ ~' |
5 |! C8 j, n% |$ }# K1 y5 p

* y- s& ?% t% L# N% g4 G( }$ [ $ w; }/ a& f# I. j

+ T% Q+ h$ U! C9 V( v( N, P

1 m4 Z9 c; t7 ]( w, [9 z! n + D" R$ T: O) |9 a; W

* b, s0 J! V ~7 z8 w b: |

. T/ a9 v4 A% F ipc 弱口令的就不截登录图了,我们看mssql 弱口令,先看10.10.9.1  sa 密码为空我们执行 , T6 d1 S: u1 p4 z$ ~7 H- k; G. }

$ g$ \3 E% }! B J% }0 }

1 }" U9 e1 J3 a$ Q. y 执行一下命令看看 4 w8 ?. O# P5 y7 u

- E6 N, R$ i% C0 `

# m1 k4 A/ _2 j) c3 P! O 2 c" ?: t& T, b

- o3 q, A# L& ~4 N) i
2 T4 o% X U/ Z. d e0 X 6 s+ i( y z8 I8 v
( ]* ?+ o" p& B * {& A5 U# s3 H7 \% b
' Q+ K- N3 l7 i! t. J; S

9 U0 |8 Q2 Z0 b) o 开了3389 ,直接加账号进去 - F# X3 ~& Z# {! l7 I

; A/ c" z, Z0 ]6 a
( A6 f, {$ l& f6 |: }& v9 R+ s $ J& b5 m: ` ~! D8 o( g; y4 M
6 I; K9 f( [* V8 X$ d * k% L8 ^ J3 P. ]. _7 c% W* g' t
% q: c. X+ N+ k9 p- y

" X5 Y2 {: G! M" B8 D- F6 C 8 ^4 u8 t6 |% n; I

- i3 X" D S8 [3 M0 R7 j4 i" b

- w+ ]: `* h- w9 v5 b 一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图 - v3 J' C/ U" g/ q

0 Z0 t* b1 R. z) X/ I
' A, |' l& P! E4 i 4 J8 l% U2 f" ]0 o8 @0 R4 R. C* B1 P
3 b- k. t" D, n: I7 g ' I# K/ A7 Y' m" z, {
! s, m1 }1 M/ Q8 z s' I7 c+ C* ?

* u, w- o$ d% h7 X1 W3 [ 9 I) E5 a) J M% F4 c: e

5 s8 V2 j# o) J4 i8 j$ M. O

. y% ~" V% W- D' S0 I; q 直接加个后门, : T$ y4 t$ c2 s3 V; k2 m/ w5 y

6 i6 A3 W ?0 Z: U& k: h( M- W

; {+ Q2 {. F: m( d) H: | 9 n! v, h/ U H6 O! Q' V

- N: O- p1 L6 w0 p( w% q- ^
9 }8 h) U# z8 u # Z# X5 ]0 Z1 Z( o( _6 z0 j- u3 Y
) S0 H. s. }, x9 r0 X- ^# s! b2 l# V % u9 ~1 E) W( [ X2 n
8 s. M0 h6 K9 ~& y2 M4 K7 p% v* F0 c

; v7 e9 w& i$ o! q' p7 O 有管理员进去了,我就不登录了,以此类推拿下好几台服务器。 " F0 t; G- U$ F l& _+ |

9 N8 n0 }/ C r0 O s3 B& W+ n

, X6 X& I6 j( H' k9 I 2 、域环境下渗透搞定域内全部机器 4 [2 ]3 t+ Q+ @

4 T/ w* e6 N, Z0 `2 z* V

5 d2 d' y7 }! H 经测试10.10.1.1-10.10.1.255 网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all 得知 % B/ V; G3 ^# B8 A& F" O

1 L- U/ F% |* q' V9 }. N
# C7 }) p. {. C3 D; c0 A% c & L3 D9 N% t/ G6 e9 J
7 O8 d+ I( t/ `; O& q , V8 p! f/ x, \9 t( h& z8 S: M. h7 S
1 Q- X+ e' Z! E2 w$ t. |+ s

- n- e7 R$ ^6 u$ C6 ] & h3 F5 d" ^# Y- p

' ^4 ^& u& `' T6 M- G' Z7 M) v/ C

5 \8 P7 R" m. \0 ]& E1 Q 当前域为fsll.com ping  一下fsll.com 得知域服务器iP 10.10.1.36  ,执行命令net user /domain 如图 ; v6 t: p: _- i# N3 o8 a$ S' ]

" q2 J) s2 @! J$ L4 t
+ r) }! g' h' C$ a+ N* u 0 f% K! L W/ e* m! y
+ s2 t7 }- E8 M3 M8 l 1 l; |. u' } b) J3 j
6 ^+ D2 ^% R: @( z9 M

8 M" |. _4 T* D# m * [8 d( ^# q: K: g6 @7 v/ v) D- D" @

9 Q5 n/ w) R! q

9 d8 Q' {! D( p' G 我们需要拿下域服务器,我们的思路是抓hash ,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器iphash,10.10.1.36为域服务器,如图: 5 y7 C2 x1 R# F9 P

4 R) d! B6 ]+ u u, ]7 O" j
9 W1 c; e+ }% J 5 k# y' f' x1 d& X2 w, X
3 o o9 A* g r- g) ~4 e 8 i3 g. N0 G0 a! [
+ l0 a) n( E; T- j. {$ d& b

# z& M3 B6 j8 h7 P/ Q: b 9 }+ F. C2 g% x$ B H# Y7 @

, D/ w9 y! w% Y: M8 ~) S( ^% o

! x5 c; O$ @/ G# u 利用cluster 这个用户我们远程登录一下域服务器如图: 2 q" _ e$ T+ X" @; b6 K, h

. _! G$ l1 }* A+ K, h/ [
- c H0 l* y0 v 1 C- N2 H* g! N- U
1 t( f! @4 {+ M/ B6 d) W( ? X* s3 N # L! v5 b. v9 Z, O7 q
3 T6 x" F. R" E

# O) q7 U. v' x6 c @& `, s 3 l$ X; M5 B$ b) ^

5 G" T7 z7 _4 o5 u" @

+ m! D# P! e" P9 n 尽管我们抓的不是administrator 的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator 的密码如图: 0 `6 }$ E! e, i F# x

3 M2 J% u$ k4 l- b
" H! x. e4 X% O9 Q ; |) o' n( k; s6 F
X$ q O3 d( { 0 j- q: P, C, `" k' i$ w# O% w
) y" r7 K0 I# d' s5 }8 q; N

8 ]% K& \' v) J. @ ) h% @1 W8 ^% w! c M

" l$ y! x9 L5 N, X9 U8 T" D9 A

, }9 ^6 f# P+ Y' O- y7 D; I 得知域服务器管 理员密码和用户名同名,早知道就不用这么麻烦抓hash 了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图: ( ~- z% X0 U4 K) z/ q- I" A

; a- x' d [4 u+ P/ E, {

8 S' S" n9 ?3 }; J ; V- [% Y2 F3 v; {" Q7 P

. `0 b% T& X. ^1 w p' U9 ^

% v! n3 n6 x4 E5 z# N! E 域下有好几台服务器,我们可以ping 一下ip  ,这里只ping  一台,ping 0 A ]( ~6 p2 y& G

j' u9 |2 l# k& r6 F: x

( i+ V7 V* P2 g/ v: \ blade9得知iP 10.10.1.22 ,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图: ' @1 O& |# Z. O% S3 Y1 u& [, p

% q: n, ]/ [/ D# @ G$ ]4 {4 l0 n
2 {+ U, C* ]8 w i! O: Y% u0 T + O. {2 |, |' h ]
" r b* o1 d6 W& c 1 B _( F1 p! Z4 p* A0 }
; i5 n! ~- p7 i% Z

' D! v0 u8 p# P; K. _8 v 8 S! E- Q# @: i, E7 [

6 c" T p( C- a, n) h' M. w

" X' D7 _5 f2 ]- _' x) f8 ?; ? 经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254 这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段,经扫描10.13.50.101 开了3389 ,我用nessus  扫描如下图 : o+ S# @# @9 j$ B7 T( |6 E, l- `

7 O+ u; K- u+ J: ^/ q
: V9 ?1 E/ r w& _9 T 3 @- k$ N% c# O; t" B: A
) t2 A6 e- q, Y, \2 K* |6 R * M; V+ ^+ W% \+ U T1 ?
6 V, a9 B4 |2 G' y( F5 v! D) u

& C) H4 f9 G& i * H0 |( ^( h% i% l

# P! i, g- [ a- q; {

6 [/ L. G# o8 y6 J0 Z 利用ms08067 成功溢出服务器,成功登录服务器 + Q& Z+ r% ~$ _, w* P3 f! w

* ]* P5 o4 s" r
, @2 w8 L2 M8 O9 P1 v8 ^ A" a$ f+ v( L5 @: K
" ]* n3 I O! m. s. S : Q$ b! X9 @& E2 _+ b# v1 k: u
9 P# A: W3 V6 D4 W8 m/ o

; C7 O/ X! m2 e* o" A3 {; J1 U 5 n) a8 _! H4 E# c" v) B$ {" x

. A) t' ^% d. v: s( ]) T S

d; b. f8 h; H4 o 我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash 得知administrator 密码为zydlasen 8 {) I0 `: D% m1 s* L

3 V+ E; ^* t9 @" ]& P& h2 O

7 c7 q7 f) x+ c7 U 这样两个域我们就全部拿下了。 ( [" G' P" s; g% H8 z6 U! m5 a) a

% E7 U' V7 Y. |( ?( @

. F4 y0 |1 O5 T' k2 w 3 、通过oa 系统入侵进服务器 , ^3 b9 \3 B; ^6 a; I

# J9 I8 m! M9 W m

: {' A% s4 T- u Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图 8 ^3 t% C; E* n. X& O4 @

: l3 A1 L( P K0 @
0 |6 A( l$ W' O5 \8 E2 r: {( ^ 5 U I |8 ~3 G4 m$ {1 @
! h, O8 w4 x/ E! P0 T * H6 J+ o$ f* A7 C2 Z
O+ o1 O, c6 S! m

* p. L( Q2 K. T: \ }0 _) u ' F: x& V2 }- d" P1 k. h+ p

# m2 l7 K; {/ P/ h# ]8 N

0 x. |3 n3 ~. t1 w0 D3 {) z 没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图 3 j# S" T2 B$ B9 S V0 i

0 k. r+ Q) P H; m1 J& Q) C. d( ?
+ w' O; J9 E% Q3 M$ K0 O ' w. |) S t9 \# d( Q; q6 P
" |, v' k( `, b9 t4 f, W$ a1 u' @ - S# w/ p: m/ s( m9 I* N7 L
+ l8 v7 L% I8 b8 H" R' f# Y' v! d

- P$ O3 k7 u9 x H5 u2 C, T : {6 i# K8 L ]+ B: M* m- P

: k8 b9 c6 Z, h8 e: E: v

: C4 O# U) r# Z2 J+ q* r) X8 k6 x( b 填写错误标记开扫结果如下 1 b- S; p0 c6 H) Q0 ^

+ D! {2 k2 M9 q! G P. [, P6 R' Z
. K1 K2 q4 V7 d3 n ' P+ u' u2 q0 M2 H( H- \4 w
/ }+ i; G: \0 e8 O! z+ j7 r' F( Y. I g2 T+ [( d6 D+ x+ K6 k, v
2 D9 U6 G. k& J3 b0 P) J ?! l

2 p* N" l2 l$ J1 R& C8 ` 3 B( k: p; A' C4 m5 Q. C% O3 g: f

- }* J9 i' l: V7 X

) f W& T7 C) M5 e5 B 下面我们进OA 6 S8 m* v5 Q5 \ n7 Y6 e

# o* L) B1 i1 k1 x& x; j
$ m- A% B2 ?: _' j" @ E1 j; T C2 E f% {% O5 k. H9 M
# k1 `7 d5 S8 Q8 l. S * p' L A# k; @- ^
, {2 w3 w0 j, m

' F. d, u4 s8 N1 G/ { 3 y; u* N0 w. a0 @7 X# Y

+ @; N; F$ o4 Q8 N# k) B$ y

! M. v. y2 g" ?7 @( w- t 我们想办法拿webshell ,在一处上传地方上传jsp 马如图 - w1 p3 T0 y6 e L1 M7 J

0 H, T! Y# p' |6 r3 g0 F3 C
2 |3 ~# [. }8 y7 O1 _# z M , w$ z* p! [! g7 j9 m
) ^' K3 p- I0 y6 U5 g $ w7 d+ S& O: _5 P: C. [
7 l8 l* X' H) \% d6 s, N

. H& |' R. q `# s6 s! ~ 0 P' v/ n, a4 _7 i( s" ~5 f

. c, q6 h5 ~" L l7 t! B' s

+ {+ J: b1 V. |( Q1 r: |* y) \ : Y" J: \9 K/ W9 I

, n2 }# H$ P+ w0 @. C

$ ^5 Y. r. y# O+ r8 ] 利用jsp 的大马同样提权ok ,哈哈其实这台服务器之前已经拿好了 + q, A4 U: M, M! k O1 }9 N- e' }

% u* u, b8 |2 Z! x$ h5 x

0 P) i1 f% @* ^+ j! Z 4 、利用tomcat 提权进服务器 1 E- t6 [9 ~0 l( C2 ~; O% C

' D- Q( H+ @6 [8 T9 e/ ]4 M6 U

4 _& z: i S. t3 b2 Q4 S' d' c nessus 扫描目标ip 发现如图 7 k F! |9 t; I2 |/ ^1 n' \

1 Q: a2 l+ e& D- v' w& g
: w; {$ }8 G" ?7 I+ O 2 |& H' a% C0 X3 S8 ~% H% @
- V6 `. [. W, c7 [+ P8 C 1 O* G0 E! a& h( [5 j ^
Z8 L& a3 D- P

$ l" ^. b7 ]8 x# h 6 Z0 R- _3 n* y- b2 J2 ?% X, w- X

5 X1 D! a* L+ A, \ v$ j9 S: {7 s

2 J" C! O& ]2 i; P 登录如图: 0 _/ F& y3 K o

4 f$ Q6 x7 N6 y
2 z8 G1 Q2 I; O8 V . o1 i; F& z' q
% O1 d0 C1 v* o- ]; H 7 i+ A l8 h r a; P$ s
, l: _# r/ T* s. i# a$ G

$ x- G. T, w, P* _+ w) |0 U" Q & n, L7 Y% t8 n5 _5 J1 c# f2 c

h7 L. n% L& s0 u6 n: Z

, _, X$ l2 b% y6 z2 \ 找个上传的地方上传如图: + u$ r3 S% o6 w( |2 U$ H

& f" U q; u$ A7 {% C8 }4 v! d
, x, Y8 D' _+ \' K* D 5 B2 t( i* p! V( \ ^7 n
) T3 d8 y7 K8 ]& D0 }( Y* R 9 e% T: I# ?2 P1 m
* `1 H9 ?/ K+ i

+ F7 T* E% V4 a: I$ h/ s/ Y' u + t, I: i* Y; i3 L' m; L# O' {9 k

* _4 T1 h" K: n- y4 H( d0 b" g

$ D" C. Y$ s6 \$ W! k 然后就是同样执行命令提权,过程不在写了 & A" C! l: D0 p. u

$ G& Q* _+ n4 K

/ D% l3 c% z6 |$ b( C 5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗 $ a* h9 l& w5 Q1 n' F

6 [# x$ G0 k7 S2 m

4 ^- p8 E) j7 q) O* S4 v 首先测试ARP 嗅探如图 . l0 o" Y# r8 I' L `

! G" L& p8 o' V# \
8 @1 K) e1 s* L 2 ^, i* U" D; D9 ~8 ~. V/ L; o
$ B8 g" b1 G7 m 7 w) K; g. b# d D1 L
. n( ?! a8 s3 M5 f: @* H$ m

' r7 r! h/ l# K) s: Y " i, t. y" `4 q) S, b3 J- z! m

H/ k- E _/ C! X; f$ K, L

2 ~! p, E7 S- x 测试结果如下图: % @# W/ Y: o$ ^

$ I/ i0 p, F% _9 f1 \& a/ `( D N
8 F: q6 z4 g" I: B 5 U) S) ^, Y4 V; w' g9 g, n ~
( E9 c4 j% {$ f4 `, n & c' o9 D9 e9 d" @+ V& Y/ V k
9 X/ b& x( @! `1 e- m/ x1 W

2 k: |) m; P/ X5 E8 r - T+ r G( y4 P: s5 Y9 w0 e/ H

3 ~2 O, M2 W' \) g8 G2 A

5 N4 o4 a" }6 _2 f. |' j y# E3 O+ I7 A 哈哈嗅探到的东西少是因为这个域下才有几台机器 ! ?$ k) }$ T/ O" f% Q" c, s3 H& S+ H

( b( x( \6 ?$ S) i7 m

& Q2 a( p- `" ]3 ~! d- }" B 下面我们测试DNS欺骗,如图: 1 E+ A( ]2 ]7 ^# U% c

* w) ?1 C) }/ G0 u/ e4 f" d
1 F8 e6 q4 R5 z- r# b3 s% V % c; H6 V6 y1 i4 W% r! S2 Q% T
2 h: [# `, U' S$ K# n! ] $ G: w. ^5 j6 `; d6 Z
3 _% }7 X8 M! M7 F# g

5 }7 E6 J0 {% t9 M: r/ h" c ( V7 `8 }' A( H

+ J0 c2 U! |# q, a6 s9 s

$ }7 B1 }6 s+ x 10.10.12.188 是我本地搭建了小旋风了,我们看看结果: $ b4 a8 c# | |0 o# i% c. ]

8 {& G1 j* x- o" j" g, ]# f s
5 y, `1 Q1 o. d8 }# I% f+ r 6 d/ T2 @4 T4 F1 X K% l O4 z
* t, P- V8 d+ g* O( U 2 Z) U9 H+ B/ p4 q
6 C; A+ C! M# I% q

& U+ y, A6 ~( u. b1 P0 b / o3 J$ P, K9 N1 `% ?1 r* A

9 H# r F9 ?" ]3 W0 X

0 K0 m0 d; a8 X! b (注:欺骗这个过程由于我之前录制了教程,截图教程了) ) C0 t: k. ~7 t

/ K" E6 o% V. P/ n6 z; J* T

5 R7 t% V& t6 X8 Q% K$ \( I 6 、成功入侵交换机 + O8 j' A$ Y+ k) l: W* q

, H2 [9 K- s2 ~6 m, N2 b

6 V. r" j# T1 `3 R- |2 S i 我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ,经过nessus 扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀 2 Q0 C, O6 Z% G/ M+ Y9 h i

+ N" t. M' b, U" P3 i6 {* P" l

8 v. J: ~* [2 d9 \& a( l% N 我们进服务器看看,插有福吧看着面熟吧 2 N: @8 u4 r: Q/ d( ^, q

/ [( f: ^; z: m" _ t2 a
) v8 D Y* L" ~; V # w4 b3 Z2 f" `% F" _! v$ A5 k
- o* B/ e, P1 x3 k" e9 X) L6 l9 e! Q : a% l* \+ R! T' t: G
/ {5 v P5 h$ x+ L, i

( C; d9 B- K0 k, H$ m 5 E: P/ h( U. i+ o8 Q

4 h: p6 c. W; ]. \

. g2 G8 J; |% c/ {# L, Z3 `* W 装了思科交换机管理系统,我们继续看,有两个 管理员 + z$ Z5 h0 x. Y

# t" l' g/ d' r7 V
O# i: |0 u- B1 v 1 ]* u' ^* P: g0 i, ` j7 m# L" r
; @. Q3 z* F r, N* z 0 T( [8 {, E* a& A" d8 _
' ?3 _* k: m1 _7 s- F/ G

1 C0 u4 D E9 j' |+ C " S1 ~4 |% ^6 V$ C& z# D. J

0 C/ y# c" E: n

) G. q! N4 j4 h# Q% f 这程序功能老强大了,可以直接配置个管理员登陆N 多交换机,经过翻看,直接得出几台交换机的特权密码如图 / l0 P" ?5 Z7 R: \ M9 j f

. X3 Z' y2 a- g4 P
9 O, b1 ] L7 \( u3 J+ n1 r( H2 q* m* { / ~, W2 u- {% x: ^5 U- Y* n7 q
2 j( u0 I& m% X S7 I6 N1 {- `' E # |# _; k' j/ n0 I* [# i" P
9 @ t. z' D/ O# x! T5 G

& ~ t% g# l) @( J9 B0 _ 4 o5 J9 i3 q. |8 w- n

; T! ^0 U) m5 ~* @, s

9 @7 T6 m: h u( L( r$ G 172.16.4.1,172.16.20.1 密码分别为:@lasenjjz @lasenjjz ,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string 读取,得知已知的值为lasenjtw *,下面我们利用IP Network Browser 读取配置文件如图: 7 T' K/ m# f' y- w- Z9 C

4 l0 u. W7 ^4 E+ Y) n1 i
7 L/ e) Y( ~! a) {# { 8 ^8 w4 X) |. T! k
: \; R& |! }8 O3 J/ J* y* E ( t' b' `: S" f( A4 i- g
% m* _/ y0 I o w/ d! } A' o* k

4 H6 u: m4 @6 ~: D7 B , P9 n8 K/ r1 m( i

4 j( [8 w9 `1 j: i. x3 [( O

* W" o. w7 f% h; Y9 t+ H config ,必须写好对应的communuity string 值,如图: 5 Q9 F- B9 ^# j

; {1 m( J I* ~# v
3 o: f' ^ q- |. I . H2 Z6 b% c! M8 s4 w
5 T& r4 e/ e, M8 g5 H % H3 s8 o( r) Z
( \- K+ Z' u) a1 j- P& b, r2 m

) O5 V# D) ]3 r3 b3 `* F ( n0 V: u' I* ~& u+ F( K

) Y( H/ l' F' ?% W% k; [

2 F* n" F1 t9 K7 v: H" o 远程登录看看,如图: * B0 f! v4 y6 e4 `6 B ~

4 y' D, ?. Y# _" `8 m7 b1 K
5 E. ~5 `7 z$ m9 [; T3 T' K! M9 e , j1 n2 e8 K' k4 ?# D* z
0 I: q- I. f" U ' V1 m9 }! K3 @, y
" x% T8 @2 q* m& a! A- j

, c+ y2 X% _! { : G! a$ J$ x! j; b

) }. w& w7 T4 ~4 g

: D4 b# c! L/ l) E) C: H 直接进入特权模式,以此类推搞了将近70 台交换机如图: ( V+ l% U) A! D4 k/ H+ X

3 A' T3 w: @) K; i. }
# H6 ]; Y5 h# n; ]( x 6 z$ v+ l8 e1 I: z
+ q/ ^ k! Z; Y + E3 J$ n/ W) x! [1 X" |! @
' A$ i: G; H. l/ c; I$ {, s

4 f* C/ M4 Z% D. o$ V( ^ 3 D, y( Z, G) B/ |6 A; u. O+ h, e

2 J: D6 x$ R0 Z

3 e0 H4 r( ]$ z. N' L3 d( T7 o * B( P7 C+ Z5 H) P5 W1 h u

! H' w7 `% `5 F5 t

( ^& ^- T- Z. o( ?& M 总结交换机的渗透这块,主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了,只要是public 权限就能读取配置文件了,之前扫描到一个nessus  的结果为public ,这里上一张图,** 9 X6 n1 C* r3 O7 t

2 E ]3 ]8 a! ]* w2 p/ M- \! D
( W; B% ?9 e M1 q % [* j3 H2 Z5 r/ M/ M6 f3 T
. m1 Y* Y* D" v ]* R+ ^ 4 d" I6 T; e6 `
2 X9 k. Z% u. O0 L+ {4 ]1 h1 _. f

3 [' H5 f8 q% u ( {" c( L/ g9 z" n M" a/ j

5 r% u7 Y/ ~5 d2 o

M4 w( G- Z! R5 m 确实可以读取配置文件的。 " u: n& s% I; m1 E; ^% r2 A

/ i" }3 I8 l6 j7 Q/ x

0 D4 Q3 Z: N5 x- b7 z; g" k, b+ I 除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图 + M9 j1 v U- t1 w

* X5 i& W! }, N! R
: i& N! w3 c; {$ q/ { 0 O4 `4 @7 _7 e% d8 r" F
- p- |. ^1 b8 ^ % |! _" ?9 `+ a# N6 C# N
5 Z6 G% E- d! |: w6 E# S3 y

. j/ M f3 [, U 2 O7 Y1 x7 t G l: K& m( }+ P( q

& G& B' y4 U, S

2 z, x+ e% p$ B' A: a3 U; r ) x* Q* d' Z5 J

- K3 M1 b% |; ~3 }3 P: y% ^# p- _

0 C3 v4 J8 Q: t+ M 直接用UID USERID  ,默认PW PASSW0RD( 注意是数字0 不是字母O) 登录了,可以远程管理所有的3389 - c" w& }& G7 B

* P- V2 i" A4 A
' C8 T* X- j2 a, F4 D9 k7 r 8 C- f3 U2 m, M! b- [
% d' U% l5 j6 @; L ; M' |1 g1 @$ @& P: A/ H+ d
1 U8 b5 M% o7 p& H. @( i1 s Z% C E) \

5 p/ |6 [4 e- u2 f7 Z' K/ M& ? 6 a# s2 b7 x& ?; r) v

. o( l4 V$ h+ a! Z& y# i$ H

) E3 W. n: t" P( K$ N9 i( k1 J" p O 上图千兆交换机管理系统。 * d4 h/ l- y. a7 ^: d+ ?. Q( A/ o

+ n" Z0 H; n( D, { M/ ?

& |6 C& ?% @+ C& z U4 s. z$ } 7 、入侵山石网关防火墙 ( i: v+ T& a: ^" x4 |! j. s, r

~0 W$ t9 i4 V. g( @: b5 y

; H1 }5 G- A' P 对某公司网关进行渗透测试。。。具体详情如下: 思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了 cain 进行本地 hash 的读取,读取信息如图: / t% J; O% r t: {& n/ k

1 Z, L9 ]% j- \! b# A$ ?6 z
9 q1 N. Z' ^3 a7 \. h. `) A , d, F; N" O0 |) O
9 N; ~3 e5 m5 t. w 7 C! s1 S4 b+ u: q9 N* w( |
2 t9 \* \$ J! _+ _( R' W# I9 A7 L

8 Y6 J+ h7 t3 U# W ; @' s& x; E' `$ E+ O

5 h, s6 ^0 P# V' V4 _

Z7 G" ] q& S! o/ F) ` 网关是山石网关,在不知道具体有哪些用户名(默认有个 hillstone 无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定 IP2 分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有 id 地址记录,地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图: / h8 b$ e. e O a) H+ m. E! M1 e

$ j% K1 h1 j* ~: Q
6 S, s+ B" f- |! O * b* \1 y4 o8 i
6 ~+ o4 l; o$ p 2 X) c3 I9 e4 y6 j" f
3 O6 O r5 a- X9 W- V& b) B: M( _

8 C; u: o7 W! ]* Y* j+ l + i% `+ c) U/ ~& J

7 t% o/ l7 U- r

* o- P) u9 \* ~( D8 Z e: H( } 然后登陆网关如图:** ; o& f, j" E& p7 ]

% W7 o- D X7 E5 h
) o8 R) I! }6 y1 R+ | L % m! k# T% Q1 F$ Q7 J
% C0 K. @. ?5 k & D4 `$ |1 t' f+ b3 z$ s1 `
$ c" u' a, f' d5 @* p

8 z. e8 t( d- G7 G' {2 Y: u, m ( |" Q9 K' D% l/ Q" {1 }+ w* F& j

! @% u0 g8 p4 @7 a
& d* S* w$ d, `* u7 F; l $ V" H) d3 G+ `% E/ x$ a5 @
0 g/ q! W x" n$ P , e. o4 R9 R+ k, I1 x, G
2 N! d6 A5 s# ]8 y

( P" p3 g8 R9 g3 H* f+ E/ B. I 经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里**ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!** 9 @" k; n1 v( g; g

1 V5 N2 U) y8 l3 x, S8 H% k

3 P+ Y8 B) n/ e8 Z& K( \ 总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ635833,欢迎进行技术交流。 9 T. X7 {3 j' p' o$ l% a+ f1 X

; T! c8 K9 y( w- \& w4 N) R

3 P ~( E) b. `, {: I4 @ 补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns**欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:** ! q" U+ ~ K* W, }4 a

2 Z- k- [4 R- ^5 g
/ P) [0 u2 z1 j: `3 h0 p ) V1 v5 K K0 h& }; i- w
& n+ o$ p- T9 @+ F- J3 d. I 6 l6 J8 n& @; x- F" g
* Q' ]9 ~- r& F, H/ M3 o u

3 @) u6 m2 e! @2 O0 O9 p5 ^+ v) N4 K $ `! p% h, F* b

8 `6 R& D1 n; P$ P6 r; Z

4 y5 m3 Y- s" Y& D' w 注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。 5 J" F- @+ _; A* L1 c

9 U5 P! \- S$ V, q+ z/ A# ~

$ o7 M8 w5 y+ p1 k2 j   - W4 e4 d% f: d# ^

9 v2 a( Y$ S* J$ X8 Y5 j

1 C7 }# q2 {) U- q2 `0 o* @
% v! b M$ S. l5 C- Y

* ]6 W6 i# S/ z1 }: S6 \ # q0 q9 C: \5 v: M5 O$ \: Y9 m$ m
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表