滲透測試某大型公司局域網(wǎng) 作者蓮花仙子

1、 滲透測試某大型公司局域網(wǎng)作者：蓮花仙子原 文 鏈 接 ：/s? biz=MjM5MDkwNjA2Nw=&mid=2650374029&idx=1&sn=b10f68d675f81ba675340a9ee9269275&chksm=beb07c3189c7f52790360a27b310c64b797fa67aec12f1ca42e15eaa4d3084862159c791bc94&scene=0&key=f05e901d119aa1e22b1adbcca08edd532c5edfac513535903bdd7 收集整理：http:/www.nmd

2、5.com/test/index.php本文由 干貨閑來無事，所以就想著搞搞自己單位的內(nèi)網(wǎng)玩玩，過程分幾大篇章 1、弱口令掃描提權(quán)進服務器首先ipconfig自己的ip為10.10.12.*，得知要掃描的網(wǎng)段為-55，樓層總共為19層，所以為19，掃描結(jié)果如下:1 ipc弱口令的就不截登錄圖了，我們看mssql弱口令，先看，sa執(zhí)行一下命令看看 為空我們執(zhí)行 開了3389，直接加賬號進去 2 一看就知道是財務系統(tǒng)的服務器，我們千萬不能搞破壞呀，看看另一臺如圖 直接加個后門3 有管理員進去了，我就不登錄了，以此類推拿下好幾臺服務器。 2、域

3、環(huán)境下滲透搞定域內(nèi)全部機器經(jīng)測試-55網(wǎng)段有域，根據(jù)掃描到的服務器賬號登錄一下，執(zhí)行ipconfig /all得知當前域為，ping一下得知域服務器iP為6，執(zhí)行命令net user /domain如圖4 我們需要拿下域服務器，我們的思路是抓hash，因為嗅探的話管理員很少登陸所以時間上來不及，那好吧，執(zhí)行 PsExec.exe -s -u administrator -p administrator 6 -c c:s.exe ，這句命令的意思是利用當前控制的服務器抓取域服務器ip的hash

4、,6為域服務器，如圖： 利用cluster這個用戶我們遠程登錄一下域服務器如圖： 5 盡管我們抓的不是administrator的，但是仍然可以遠程登錄，通過本地抓取域服務器我們得到了administrator的如圖： 得知域服務器管理員和用戶名同名，早知道就不用這么麻煩抓hash了，那么我們獲得域服務器，那又該如何獲得域下的服務器呢，大家看我的思路如圖： 6 域下有好幾臺服務器，我們可以ping一下ip，這里只ping一臺，ping blade9得知iP為2，然后我們右鍵管理添加賬戶這樣就可以遠程登錄了，以此類推，就可以拿下域下的所有機器。如圖： 經(jīng)過的提

5、前掃描，服務器主要集中到-54這個段，加上前面弱口令的一些服務器這個段算是搞完了。我在打開域服務器的遠程連接中查看到還有10.13.50.X段，經(jīng)掃描01開了 3389，我用nessus掃描如下圖 7 利用ms08067成功溢出服務器，成功登錄服務器 我插管理員在線，貌似也是有域的，這就是域服務器，而且域下沒有別的機器，我們經(jīng)抓hash得知administrator這樣兩個域我們就全部拿下了。為zydlasen3、通過oa系統(tǒng)入侵進服務器Oa系統(tǒng)的地址是 1:8060/oa/login.vm 如圖8 沒有驗證

6、碼，我插，試了好多弱口令都不行，沒辦法想到了溯雪，所以就開溯雪配置好如圖 填寫錯誤標記開掃結(jié)果如下 下面我們進OA9 我們想辦法拿webshell，在一處上傳地方上傳jsp馬如圖 利用jsp的大馬同樣提權(quán)ok，哈哈其實這臺服務器之前已經(jīng)拿好了 4、利用tomcat提權(quán)進服務器用nessus掃描目標ip發(fā)現(xiàn)如圖 10 登錄如圖：找個上傳的地方上傳如圖： 然后就是同樣執(zhí)行命令提權(quán)，過程不在寫了 11 5、利用cain對局域網(wǎng)進行ARP嗅探和DNS欺騙首先測試ARP嗅探如圖 測試結(jié)果如下圖： 哈哈嗅探到的東西少是因為這個域下才有幾臺機器下面我們測試DNS欺騙，如圖： 12 88是

7、我本地搭建了小旋風了，我們看看結(jié)果： （注：欺騙這個過程由于我之前錄制了教程，截圖教程了） 6、成功入侵交換機我在掃描10.10.0.段的時候發(fā)現(xiàn)有個3389好可疑地址是5，經(jīng)過nessus掃描也沒發(fā)現(xiàn)明顯可利用的漏洞，后來經(jīng)過查看之前抓hash得到這臺服務器的是杠杠的，不過也從側(cè)面知道安全是做的何等的爛呀 我們進服務器看看，插有福吧看著面熟吧 為lasenjt,我插，感覺測評我們公司的運氣 13 裝了思科交換機管理系統(tǒng)，我們繼續(xù)看，有兩個管理員 這程序功能老強大了，可以直接配置個管理員登陸N多交換機，經(jīng)過翻看，直接得出幾臺交換機的如圖 14 ,172.1

8、6.20.1分別為：lasenjjz，lasenjjz，好幾個這里就不一一列舉了，下面利用另一種方法讀配置文件，利用communuity string 讀取，得知已知的值為lasenjtw，下面我們利用 IP Network Browser讀取配置文件如圖： 點config，必須寫好對應的communuity string值，如圖： 15 遠程登錄看看，如圖： 直接進入模式，以此類推搞了將近70臺交換機如圖： 16 總結(jié)交換機的滲透這塊，主要是拿到了cisco交換機的管理系統(tǒng)直接查看和直接用communuity string讀取配置文件查看交換機用戶和，如果沒拿到思科交換機管理系統(tǒng)的話就只能靠nessus掃描了，只要是public權(quán)限就能讀取配置文件了，之前掃描到一個nessus的結(jié)果為public，這里上一張圖:17 確實可以讀取配置文件的。 除此之外還滲進了一些web登錄交換機和一個遠程管理控制系統(tǒng)如下圖 18 直接用UID是USERID，默認PW是PASSW0RD(注意是數(shù)字0不是字母O)登錄了，可以遠程管理所有的3389?？偨Y(jié)：本滲透測試過程沒有什么高的技術(shù)含量，全靠運氣和細心的發(fā)現(xiàn)