隨著日益發展的網路技術,網路線路也變的越來越複雜。滲透測試人員在web中通過注入,上傳等基本或高階指令碼滲透方法到達了邊界伺服器。再深入時則會面對更複雜的網路,比如亂七八糟的vlan環境。
什麼是vlan:
測試拓撲圖
一共選取了三颱伺服器和乙個h3c s3610三層交換機.順帶筆者的一台筆記本(kali linux).
三颱伺服器代表了tec503的基本業務劃分。攻擊者處在和webserver相同的vlan200中。並且攻擊者已控制到webserver。
在交換機上劃分了三個vlan 將tec503(假想的目標公司)的資料伺服器(dataserver.tec503.com)和web伺服器(webserver.tec503.com)及域控分別劃分在三個vlan(vlan100,vlan200,vlan300)下。vlan100和vlan200不能相互訪問。但是都可以訪問到vlan300.
交換機開啟snmp和telnet(snmp一般用來監控交換機流量等,telnet用於管理三層交換機)。
測試目標:在盡可能少留下痕跡的前提下,接觸到dataserver的資料。
在前期資訊蒐集時發現tec503.com存在域傳送漏洞.由此確定了此次測試的目標ip(5.5.6.4).
並且webserver對外開放.在基本探測後發現存在web漏洞。並且在獲得webshell之後成功獲取到了管理許可權。
之後在webserver上檢視到閘道器ip為172.10.0.1,試著ping一下.
telnet上去看到是一台h3c裝置。
嘗試123456,password,manager等簡單弱口令登陸,結果都失敗。
嘗試snmp弱口令探測(這裡的弱口令是指snmp管理時用到的團體字串。一般可讀許可權的為public,可讀可寫的預設為private).
發現果真使用預設的可讀團體字串public.繼續嘗試使用snmp獲取到h3c裝置密碼
成功的獲取到密碼」admin」(忘了說 我前面是故意沒有試admin的)
之後便可以通過這個密碼telnet登陸到交換機中.
並成功的進入到system-view狀態.
這裡需要簡單的說說三層交換機的兩個功能,vlan劃分以及埠映象。埠指的是交換機上的埠,而不是計算機的服務埠。
埠映象則是指將交換機某個埠下的資料映象到另乙個埠的技術,並且可以選擇映象流入或流出的資料報。這一技術通常應用在企業監控,流量分析中。在埠映象時也應注意流量過高引發監視埠流量負載的問題。
這次測試便是通過埠映象技術獲取到dataserver傳送和接受到的資料報。
我們先來分析下這台交換機的配置檔案。
在這裡我們可以看到super密碼 這個密碼通過h3c ciper加密。加密的字串可以通過這個指令碼解密。
接下來看看ip-pool的劃分,配合前期nslookup收集到的資訊可以進一步清晰的逼近目標.
根據上圖可以發現我們現在處於vlan200中,目標處於vlan100,域控在300.
那麼我們繼續看看每個正在使用的介面被劃分到了哪個vlan中。
這裡可以看到 ethernet 1/0/3在vlan100中.而ethernet 1/0/4在vlan200中,也就是我們所處的vlan。
清楚介面劃分之後我們開始建立乙個本地映象組1。
然後制定被映象的埠號。
接著制定監控埠號。
最後登陸到我們控制的webserver.使用抓包軟體分析目標(dataserver.tec503.com)的資料報.
這是捕獲到目標(dataserver.tec503.com)icmp資料報的示意圖。
這是捕獲http資料報的示意圖。
同理其他協議的包也應如此,具體的後續分析過程就不在這裡演示了。
路由和交換機在滲透過程中越來越常見,並且由於管理員配置經驗欠當。經常出現預設配置,弱口令等配置不當的問題。而且路由和交換機在網路中所處的位置也更加體現了它在一次滲透過程中的重要性.在寫文章的時候也發現freebuf上的一篇關於跨vlan進行arp嗅探的文章。(也更希望通過這篇文章引出更多的好文章.
h3c乙太網交換機配置指南
wireshark抓包實戰分析指南 第二版
wooyun: 中國移動h3c防火牆側漏利用snmp獲取管理員密碼成功登入裝置
內網滲透自己的筆記
拿到shell進入內網後雖然ms17010橫行但也是不能拿著掃瞄器到處掃的,每一步都應該小心謹慎,基本原則就是不要被扣分 所以首先在下認為應該判斷是否為虛擬機器,docker,蜜獾等 docker通常會有一些命令not find例如ifconfig uname a 等 如果打著四面漏風的系統多半就是...
記一次內網滲透
1.生成乙個木馬檔案 2.將生成的木馬上傳到目標機器上 3.啟動msfconsole。4.準備工作 1 use exploit multi handler 2 set lhost 192.168.20.11 3 set lport 1234 4 exploit 5 執行之前準備的木馬檔案 5.開始試...
linux內網滲透一些亂寫
獲取到linux許可權之後。首先收集資訊 埠資訊。看有沒連線389之類的。如果有389埠,那麼恭喜你 這台機子可能有ldap配置檔案沒準dc密碼在裡面。我就成功過 看埠還能看到一些內網的ip。然後收集內網ip位址段。arp a也可以看到一些內網ip 很多linux自帶nmap如果版本比較高可以掃下弱...