渗透测试某大型集团企业局域网

1、弱口令扫描提权进服务器

首先ipconfig自己的ip为10.10.12.**,得知要扫描的网段为10.10.0.1-10.10.19.555,楼层总共为19层,所以为19,扫描结果如下:


渗透测试某大型集团企业局域网_第1张图片
渗透测试某大型集团企业局域网_第2张图片

ipc弱口令的就不截登录图了,我们看mssql弱口令,先看10.10.9.1,sa密码为空我们执行

执行一下命令看看

渗透测试某大型集团企业局域网_第3张图片


开了3389,直接加账号进去


渗透测试某大型集团企业局域网_第4张图片

一看就知道是财务系统的服务器,我们千万不能搞破坏呀,看看另一台如图


渗透测试某大型集团企业局域网_第5张图片

直接加个后门,

渗透测试某大型集团企业局域网_第6张图片


有管理员进去了,我就不登录了,以此类推拿下好几台服务器。

2、域环境下渗透搞定域内全部机器

经测试10.10.1.1-10.10.1.255网段有域,根据扫描到的服务器账号密码登录一下,执行ipconfig /all得知


渗透测试某大型集团企业局域网_第7张图片

当前域为fsll.com,ping一下fsll.com得知域服务器iP为10.10.1.36,执行命令net user /domain如图


渗透测试某大型集团企业局域网_第8张图片

我们需要拿下域服务器,我们的思路是抓hash,因为嗅探的话管理员很少登陆所以时间上来不及,那好吧,执行PsExec.exe -s -u administrator -p administrator \\10.10.1.36 -c

c:\s.exe,这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器,如图:


渗透测试某大型集团企业局域网_第9张图片

利用cluster这个用户我们远程登录一下域服务器如图:


渗透测试某大型集团企业局域网_第10张图片

尽管我们抓的不是administrator的密码,但是仍然可以远程登录,通过本地抓取域服务器我们得到了administrator的密码如图:


渗透测试某大型集团企业局域网_第11张图片

得知域服务器管理员密码和用户名同名,早知道就不用这么麻烦抓hash了,那么我们获得域服务器,那又该如何获得域下的服务器呢,大家看我的思路如图:

渗透测试某大型集团企业局域网_第12张图片

域下有好几台服务器,我们可以ping一下ip,这里只ping一台,ping

blade9得知iP为10.10.1.22,然后我们右键管理添加账户密码这样就可以远程登录了,以此类推,就可以拿下域下的所有机器。。如图:


渗透测试某大型集团企业局域网_第13张图片

经过的提前扫描,服务器主要集中到10.10.1.1-10.10.1.254这个段,加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X段,经扫描10.13.50.101开了3389,我用nessus扫描如下图


渗透测试某大型集团企业局域网_第14张图片

利用ms08067成功溢出服务器,成功登录服务器


渗透测试某大型集团企业局域网_第15张图片

我插管理员在线,貌似也是有域的,这就是域服务器,而且域下没有别的机器,我们经抓hash得知administrator密码为zydlasen

这样两个域我们就全部拿下了。

3、通过oa系统入侵进服务器

Oa系统的地址是http://10.10.1.21:8060/oa/login.vm如图


渗透测试某大型集团企业局域网_第16张图片

没有验证码,我插,试了好多弱口令都不行,没办法想到了溯雪,所以就开溯雪配置好如图


渗透测试某大型集团企业局域网_第17张图片

填写错误标记开扫结果如下


渗透测试某大型集团企业局域网_第18张图片

下面我们进OA


渗透测试某大型集团企业局域网_第19张图片

我们想办法拿webshell,在一处上传地方上传jsp马如图


渗透测试某大型集团企业局域网_第20张图片
渗透测试某大型集团企业局域网_第21张图片

利用jsp的大马同样提权ok,哈哈其实这台服务器之前已经拿好了

4、利用tomcat提权进服务器

用nessus扫描目标ip发现如图


渗透测试某大型集团企业局域网_第22张图片

登录如图:


渗透测试某大型集团企业局域网_第23张图片

找个上传的地方上传如图:


渗透测试某大型集团企业局域网_第24张图片

然后就是同样执行命令提权,过程不在写了

5、利用cain对局域网进行ARP嗅探和DNS欺骗

首先测试ARP嗅探如图


渗透测试某大型集团企业局域网_第25张图片

测试结果如下图:


渗透测试某大型集团企业局域网_第26张图片

哈哈嗅探到的东西少是因为这个域下才有几台机器

下面我们测试DNS欺骗,如图:


渗透测试某大型集团企业局域网_第27张图片

10.10.12.188是我本地搭建了小旋风了,我们看看结果:


渗透测试某大型集团企业局域网_第28张图片

(注:欺骗这个过程由于我之前录制了教程,截图教程了)

6、成功入侵交换机

我在扫描10.10.0.段的时候发现有个3389好可疑地址是10.10.0.65,经过nessus扫描也没发现明显可利用的漏洞,后来经过查看之前抓hash得到这台服务器的密码为lasenjt,我插,感觉测评我们公司的运气是杠杠的,不过也从侧面知道安全是做的何等的烂呀

我们进服务器看看,插有福吧看着面熟吧


渗透测试某大型集团企业局域网_第29张图片

装了思科交换机管理系统,我们继续看,有两个管理员


渗透测试某大型集团企业局域网_第30张图片

这程序功能老强大了,可以直接配置个管理员登陆N多交换机,经过翻看,直接得出几台交换机的特权密码如图


渗透测试某大型集团企业局域网_第31张图片

172.16.4.1,172.16.20.1密码分别为:@lasenjjz,@lasenjjz,好几个特权密码这里就不一一列举了,下面利用另一种方法读配置文件,利用communuity string读取,得知已知的值为lasenjtw,下面我们利用IP Network Browser读取配置文件如图:


渗透测试某大型集团企业局域网_第32张图片

点config,必须写好对应的communuity string值,如图:


渗透测试某大型集团企业局域网_第33张图片

远程登录看看,如图:


渗透测试某大型集团企业局域网_第34张图片

直接进入特权模式,以此类推搞了将近70台交换机如图:


渗透测试某大型集团企业局域网_第35张图片
渗透测试某大型集团企业局域网_第36张图片

总结交换机的渗透这块,主要是拿到了cisco交换机的管理系统直接查看特权密码和直接用communuity string读取配置文件查看交换机用户密码和特权密码,如果没拿到思科交换机管理系统的话就只能靠nessus扫描了,只要是public权限就能读取配置文件了,之前扫描到一个nessus的结果为public,这里上一张图,


渗透测试某大型集团企业局域网_第37张图片

确实可以读取配置文件的。

除此之外还渗进了一些web登录交换机和一个远程管理控制系统如下图


渗透测试某大型集团企业局域网_第38张图片
渗透测试某大型集团企业局域网_第39张图片

直接用UID是USERID,默认PW是PASSW0RD(注意是数字0不是字母O)登录了,可以远程管理所有的3389


渗透测试某大型集团企业局域网_第40张图片

上图千兆交换机管理系统。

7、入侵山石网关防火墙

对某公司网关进行渗透测试。。。具体详情如下:思路是通过社工来搞定网关,所以就想办法收集内网管理员的信息,经测试发现域服务器的域用户比较多,所以就给服务器安装了cain进行本地hash的读取,读取信息如图:


渗透测试某大型集团企业局域网_第41张图片

网关是山石网关,在不知道具体有哪些用户名(默认有个hillstone无法删除,属于内置用户)的情况下只能根据最有可能的账号结合抓到的密码一个一个测试,最终还是没成功,后来想到叫人写个程序暴力破解,但是发现错误三次,就会锁定IP2分钟,所以效果不是很好,登陆域服务器发现桌面有个屏幕录像专家,打开看个教程,发现服务器登陆过网关,里面有id地址记录,地址是172.16.251.254这样就想到用ie密码读取器来查看ie历史密码如图:


渗透测试某大型集团企业局域网_第42张图片

然后登陆网关如图:


渗透测试某大型集团企业局域网_第43张图片

经过半天的努力,防火墙网关我进来了,我渗透进一台域服务器,进去抓了域所有用户的密码一个个去试网关,都没成功,忽然发现桌面上安装了屏幕录制专家,我就打开看了,发现有个录像里ie家里里172.16.251.254,这不就是网关的地址么,所以我就用administrator登陆了域服务器,然后打开网关地址,妈呀网关的账号直接就在记录里,可惜没有密码,哈哈不过这也不错,真心比乱搞强多了,然后忽然想到用IE密码记录器查看密码,于是乎下载了一个工具查看密码,这样网关就搞定了,彩笔的是原来这个早已经被我搞出来了,是交换机的特权密码,73台的密码我也不可能一个个的试吧,本来想写个程序,结果打电话给山石人家说密码错误三次直接封IP好吧,有时候有些东西真的是需要耐心的,当然也需要一定的智慧,当然也有一定的运气成分在里面,就这样网关就被拿到了,之前用nessus扫没扫到漏洞,至此大型局域网渗透就完结,哈哈,大牛不要笑话哦!

总结:本渗透测试过程没有什么高的技术含量,全靠运气和细心的发现才得以有此过程,整个渗透测试过程全部录制为视频教程。。。由于时间仓促,所以渗透就到此为止,在工作组下的个人PC还没有拿下,严格的说这个渗透是不完美的,本来还想再做交换机端口镜像的教程,但是考虑到网络的稳定性这里就不搞测试了,还请大家海涵。。谢谢观赏。。鄙人QQ:635833,欢迎进行技术交流。

补充:最近公司换领导,本来想搞搞端口镜像,嗅探和dns欺骗,但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图:


渗透测试某大型集团企业局域网_第44张图片

注:已经给公司提交渗透测试报告,并已修复漏洞,为了尽量不影响文章的观赏性,故不再打码处理。。。

你可能感兴趣的:(渗透测试某大型集团企业局域网)