滲透測試某大型公司局域網(wǎng) 作者蓮花仙子

1、 滲透測試某大型公司局域網(wǎng)作者：蓮花仙子原 文 鏈 接 ：/s? biz=MjM5MDkwNjA2Nw=&mid=2650374029&idx=1&sn=b10f68d675f81ba675340a9ee9269275&chksm=beb07c3189c7f52790360a27b310c64b797fa67aec12f1ca42e15eaa4d3084862159c791bc94&scene=0&key=f05e901d119aa1e22b1adbcca08edd532c5edfac513535903bdd7 收集整理：http:/www.nmd

2、5.com/test/index.php本文由 干貨閑來無事，所以就想著搞搞自己單位的內(nèi)網(wǎng)玩玩，過程分幾大篇章 1、弱口令掃描提權(quán)進(jìn)服務(wù)器首先ipconfig自己的ip為10.10.12.*，得知要掃描的網(wǎng)段為-55，樓層總共為19層，所以為19，掃描結(jié)果如下:1 ipc弱口令的就不截登錄圖了，我們看mssql弱口令，先看，sa執(zhí)行一下命令看看 為空我們執(zhí)行 開了3389，直接加賬號(hào)進(jìn)去 2 一看就知道是財(cái)務(wù)系統(tǒng)的服務(wù)器，我們千萬不能搞破壞呀，看看另一臺(tái)如圖 直接加個(gè)后門3 有管理員進(jìn)去了，我就不登錄了，以此類推拿下好幾臺(tái)服務(wù)器。 2、域

3、環(huán)境下滲透搞定域內(nèi)全部機(jī)器經(jīng)測試-55網(wǎng)段有域，根據(jù)掃描到的服務(wù)器賬號(hào)登錄一下，執(zhí)行ipconfig /all得知當(dāng)前域?yàn)?，ping一下得知域服務(wù)器iP為6，執(zhí)行命令net user /domain如圖4 我們需要拿下域服務(wù)器，我們的思路是抓hash，因?yàn)樾崽降脑捁芾韱T很少登陸所以時(shí)間上來不及，那好吧，執(zhí)行 PsExec.exe -s -u administrator -p administrator 6 -c c:s.exe ，這句命令的意思是利用當(dāng)前控制的服務(wù)器抓取域服務(wù)器ip的hash

4、,6為域服務(wù)器，如圖： 利用cluster這個(gè)用戶我們遠(yuǎn)程登錄一下域服務(wù)器如圖： 5 盡管我們抓的不是administrator的，但是仍然可以遠(yuǎn)程登錄，通過本地抓取域服務(wù)器我們得到了administrator的如圖： 得知域服務(wù)器管理員和用戶名同名，早知道就不用這么麻煩抓hash了，那么我們獲得域服務(wù)器，那又該如何獲得域下的服務(wù)器呢，大家看我的思路如圖： 6 域下有好幾臺(tái)服務(wù)器，我們可以ping一下ip，這里只ping一臺(tái)，ping blade9得知iP為2，然后我們右鍵管理添加賬戶這樣就可以遠(yuǎn)程登錄了，以此類推，就可以拿下域下的所有機(jī)器。如圖： 經(jīng)過的提

5、前掃描，服務(wù)器主要集中到-54這個(gè)段，加上前面弱口令的一些服務(wù)器這個(gè)段算是搞完了。我在打開域服務(wù)器的遠(yuǎn)程連接中查看到還有10.13.50.X段，經(jīng)掃描01開了 3389，我用nessus掃描如下圖 7 利用ms08067成功溢出服務(wù)器，成功登錄服務(wù)器 我插管理員在線，貌似也是有域的，這就是域服務(wù)器，而且域下沒有別的機(jī)器，我們經(jīng)抓hash得知administrator這樣兩個(gè)域我們就全部拿下了。為zydlasen3、通過oa系統(tǒng)入侵進(jìn)服務(wù)器Oa系統(tǒng)的地址是 1:8060/oa/login.vm 如圖8 沒有驗(yàn)證

6、碼，我插，試了好多弱口令都不行，沒辦法想到了溯雪，所以就開溯雪配置好如圖 填寫錯(cuò)誤標(biāo)記開掃結(jié)果如下 下面我們進(jìn)OA9 我們想辦法拿webshell，在一處上傳地方上傳jsp馬如圖 利用jsp的大馬同樣提權(quán)ok，哈哈其實(shí)這臺(tái)服務(wù)器之前已經(jīng)拿好了 4、利用tomcat提權(quán)進(jìn)服務(wù)器用nessus掃描目標(biāo)ip發(fā)現(xiàn)如圖 10 登錄如圖：找個(gè)上傳的地方上傳如圖： 然后就是同樣執(zhí)行命令提權(quán)，過程不在寫了 11 5、利用cain對(duì)局域網(wǎng)進(jìn)行ARP嗅探和DNS欺騙首先測試ARP嗅探如圖 測試結(jié)果如下圖： 哈哈嗅探到的東西少是因?yàn)檫@個(gè)域下才有幾臺(tái)機(jī)器下面我們測試DNS欺騙，如圖： 12 88是

7、我本地搭建了小旋風(fēng)了，我們看看結(jié)果： （注：欺騙這個(gè)過程由于我之前錄制了教程，截圖教程了） 6、成功入侵交換機(jī)我在掃描10.10.0.段的時(shí)候發(fā)現(xiàn)有個(gè)3389好可疑地址是5，經(jīng)過nessus掃描也沒發(fā)現(xiàn)明顯可利用的漏洞，后來經(jīng)過查看之前抓hash得到這臺(tái)服務(wù)器的是杠杠的，不過也從側(cè)面知道安全是做的何等的爛呀 我們進(jìn)服務(wù)器看看，插有福吧看著面熟吧 為lasenjt,我插，感覺測評(píng)我們公司的運(yùn)氣 13 裝了思科交換機(jī)管理系統(tǒng)，我們繼續(xù)看，有兩個(gè)管理員 這程序功能老強(qiáng)大了，可以直接配置個(gè)管理員登陸N多交換機(jī)，經(jīng)過翻看，直接得出幾臺(tái)交換機(jī)的如圖 14 ,172.1

8、6.20.1分別為：lasenjjz，lasenjjz，好幾個(gè)這里就不一一列舉了，下面利用另一種方法讀配置文件，利用communuity string 讀取，得知已知的值為lasenjtw，下面我們利用 IP Network Browser讀取配置文件如圖： 點(diǎn)config，必須寫好對(duì)應(yīng)的communuity string值，如圖： 15 遠(yuǎn)程登錄看看，如圖： 直接進(jìn)入模式，以此類推搞了將近70臺(tái)交換機(jī)如圖： 16 總結(jié)交換機(jī)的滲透這塊，主要是拿到了cisco交換機(jī)的管理系統(tǒng)直接查看和直接用communuity string讀取配置文件查看交換機(jī)用戶和，如果沒拿到思科交換機(jī)管理系統(tǒng)的話就只能靠nessus掃描了，只要是public權(quán)限就能讀取配置文件了，之前掃描到一個(gè)nessus的結(jié)果為public，這里上一張圖:17 確實(shí)可以讀取配置文件的。 除此之外還滲進(jìn)了一些web登錄交換機(jī)和一個(gè)遠(yuǎn)程管理控制系統(tǒng)如下圖 18 直接用UID是USERID，默認(rèn)PW是PASSW0RD(注意是數(shù)字0不是字母O)登錄了，可以遠(yuǎn)程管理所有的3389?？偨Y(jié)：本滲透測試過程沒有什么高的技術(shù)含量，全靠運(yùn)氣和細(xì)心的發(fā)現(xiàn)