原创-渗透测试某大型局域网（域控、思科核心交换机、）

1、弱口令扫描提权进服务器

首先ipconfig自己的ip为10.10.12.**，得知要扫描的网段为10.10.0.1-10.10.19.555，楼层总共为19层，所以为19，扫描结果如下:

ipc弱口令的就不截登录图了，我们看mssql弱口令，先看10.10.9.1，sa密码为空我们执行

执行一下命令看看

开了3389，直接加账号进去

一看就知道是财务系统的服务器，我们千万不能搞破坏呀，看看另一台如图

直接加个后门，

有管理员进去了，我就不登录了，以此类推拿下好几台服务器。

2、域环境下渗透搞定域内全部机器

经测试10.10.1.1-10.10.1.255网段有域，根据扫描到的服务器账号密码登录一下，执行ipconfig /all得知

当前域为fsll.com，ping一下fsll.com得知域服务器iP为10.10.1.36，执行命令net user /domain如图

我们需要拿下域服务器，我们的思路是抓hash，因为嗅探的话管理员很少登陆所以时间上来不及，那好吧，执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c

c:s.exe，这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器，如图：

利用cluster这个用户我们远程登录一下域服务器如图：

尽管我们抓的不是administrator的密码，但是仍然可以远程登录，通过本地抓取域服务器我们得到了administrator的密码如图：

得知域服务器管理员密码和用户名同名，早知道就不用这么麻烦抓hash了，那么我们获得域服务器，那又该如何获得域下的服务器呢，大家看我的思路如图：

域下有好几台服务器，我们可以ping一下ip，这里只ping一台，ping

blade9得知iP为10.10.1.22，然后我们右键管理添加账户密码这样就可以远程登录了，以此类推，就可以拿下域下的所有机器。。如图：

经过的提前扫描，服务器主要集中到10.10.1.1-10.10.1.254这个段，加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X段，经扫描10.13.50.101开了3389，我用nessus扫描如下图

利用ms08067成功溢出服务器，成功登录服务器

我插管理员在线，貌似也是有域的，这就是域服务器，而且域下没有别的机器，我们经抓hash得知administrator密码为zydlasen

这样两个域我们就全部拿下了。

3、通过oa系统入侵进服务器

Oa系统的地址是http://10.10.1.21:8060/oa/login.vm如图

没有验证码，我插，试了好多弱口令都不行，没办法想到了溯雪，所以就开溯雪配置好如图

填写错误标记开扫结果如下

下面我们进OA

我们想办法拿webshell，在一处上传地方上传jsp马如图

利用jsp的大马同样提权ok，哈哈其实这台服务器之前已经拿好了

4、利用tomcat提权进服务器

用nessus扫描目标ip发现如图

登录如图：

找个上传的地方上传如图：

然后就是同样执行命令提权，过程不在写了

5、利用cain对局域网进行ARP嗅探和DNS欺骗

首先测试ARP嗅探如图

测试结果如下图：

哈哈嗅探到的东西少是因为这个域下才有几台机器

下面我们测试DNS欺骗，如图：

10.10.12.188是我本地搭建了小旋风了，我们看看结果：

（注：欺骗这个过程由于我之前录制了教程，截图教程了）

6、成功入侵交换机

我在扫描10.10.0.段的时候发现有个3389好可疑地址是10.10.0.65，经过nessus扫描也没发现明显可利用的漏洞，后来经过查看之前抓hash得到这台服务器的密码为lasenjt,我插，感觉测评我们公司的运气是杠杠的，不过也从侧面知道安全是做的何等的烂呀

我们进服务器看看，插有福吧看着面熟吧

装了思科交换机管理系统，我们继续看，有两个管理员

这程序功能老强大了，可以直接配置个管理员登陆N多交换机，经过翻看，直接得出几台交换机的特权密码如图

172.16.4.1,172.16.20.1密码分别为：@lasenjjz，@lasenjjz，好几个特权密码这里就不一一列举了，下面利用另一种方法读配置文件，利用communuity string读取，得知已知的值为lasenjtw，下面我们利用IP Network Browser读取配置文件如图：

点config，必须写好对应的communuity string值，如图：

远程登录看看，如图：

直接进入特权模式，以此类推搞了将近70台交换机如图：

总结交换机的渗透这块，主要是拿到了cisco交换机的管理系统直接查看特权密码和直接用communuity string读取配置文件查看交换机用户密码和特权密码，如果没拿到思科交换机管理系统的话就只能靠nessus扫描了，只要是public权限就能读取配置文件了，之前扫描到一个nessus的结果为public，这里上一张图，

确实可以读取配置文件的。

除此之外还渗进了一些web登录交换机和一个远程管理控制系统如下图

直接用UID是USERID，默认PW是PASSW0RD(注意是数字0不是字母O)登录了，可以远程管理所有的3389。

上图千兆交换机管理系统。

7、入侵山石网关防火墙

对某公司网关进行渗透测试。。。具体详情如下：思路是通过社工来搞定网关，所以就想办法收集内网管理员的信息，经测试发现域服务器的域用户比较多，所以就给服务器安装了cain进行本地hash的读取，读取信息如图：

网关是山石网关，在不知道具体有哪些用户名（默认有个hillstone无法删除，属于内置用户）的情况下只能根据最有可能的账号结合抓到的密码一个一个测试，最终还是没成功，后来想到叫人写个程序暴力破解，但是发现错误三次，就会锁定IP2分钟，所以效果不是很好，登陆域服务器发现桌面有个屏幕录像专家，打开看个教程，发现服务器登陆过网关，里面有id地址记录，地址是172.16.251.254这样就想到用ie密码读取器来查看ie历史密码如图：

然后登陆网关如图：

经过半天的努力，防火墙网关我进来了，我渗透进一台域服务器，进去抓了域所有用户的密码一个个去试网关，都没成功，忽然发现桌面上安装了屏幕录制专家，我就打开看了，发现有个录像里ie家里里172.16.251.254，这不就是网关的地址么，所以我就用administrator登陆了域服务器，然后打开网关地址，妈呀网关的账号直接就在记录里，可惜没有密码，哈哈不过这也不错，真心比乱搞强多了，然后忽然想到用IE密码记录器查看密码，于是乎下载了一个工具查看密码，这样网关就搞定了，彩笔的是原来这个早已经被我搞出来了，是交换机的特权密码，73台的密码我也不可能一个个的试吧，本来想写个程序，结果打电话给山石人家说密码错误三次直接封IP好吧，有时候有些东西真的是需要耐心的，当然也需要一定的智慧，当然也有一定的运气成分在里面，就这样网关就被拿到了，之前用nessus扫没扫到漏洞，至此大型局域网渗透就完结，哈哈，大牛不要笑话哦！

总结：本渗透测试过程没有什么高的技术含量，全靠运气和细心的发现才得以有此过程，整个渗透测试过程全部录制为视频教程。。。由于时间仓促，所以渗透就到此为止，在工作组下的个人PC还没有拿下，严格的说这个渗透是不完美的，本来还想再做交换机端口镜像的教程，但是考虑到网络的稳定性这里就不搞测试了，还请大家海涵。。谢谢观赏。。鄙人QQ：635833，欢迎进行技术交流。

补充：最近公司换领导，本来想搞搞端口镜像，嗅探和dns欺骗，但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图：

注：已经给公司提交渗透测试报告，并已修复漏洞，为了尽量不影响文章的观赏性，故不再打码处理。。。

原文始发于微信公众号（秦国商鞅）：原创---渗透测试某大型局域网（域控、思科核心交换机、）