|
|
|
联系客服020-83701501

内网渗透之跨Vlan渗透的一种方法

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
内网浸透之跨Vlan浸透的一种行动

媒介

随着日益倒退的网络技能,网络线路也变的愈来愈复杂。浸透测试职员在网站中颠末注入,上传等基础或低级剧本浸透行动达到了边境办事器。再深刻时则拜访对更复杂的网络状况,比如如何跨vlan。本文旨在陈述获取内网权限后突破VLAN的制约截至浸透的一种思路。(与网上传布的A大神的浸透行动收支较大,请勿混同) 测试拓扑图 1 测试基础状况概述 一共选取了三台办事器和一个H3C s3610三层变换机.趁便笔者的一台笔记本(Kali Linux). 三台办事器代表了tec503的基础营业分袂。进犯者处在和网站server不异的vlan200中。而且已管束到网站server。 在变换机上分袂了三个vlan?将Tec503(假想的目标公司)的数据办事器(dataserver.tec503.com)和网站办事器(网站server.tec503.com)及域控分别分袂在三个vlan(vlan100,vlan200,vlan300)下。vlan100和vlan200不克不及彼此走访。但是均可能走访到vlan300. 变换机封闭snmp和telnet,snmp群体用来监控变换机流量等。telnet用于企图三层变换机。 进犯测试目标 在只管即便少留下踪迹的条件下,干戈到dataserver的数据。 后期基础浸透过程 在后期动态收集时缔造tec503.com具有域传送缝隙.由此注定了此次测试的目标ip(5.5.6.4). 2 而且网站server对外开放.在基础探测而且具有网站缝隙。在得到网站shell当前并失利获取到企图权限。 在网站server上查抄到网关ip为172.10.0.1,试着ping一下. 3 可能ping通。 telnet上去看到是一台H3C配备。 4 尝试123456,password,manager等复杂弱口令登岸,后果都成功。 尝试snmp弱口令探测(这里的弱口令是指snmp企图时用到的个人字符串。群体可读权限的为public,可读可写的默许为private). 5 缔造公然垄断public默许的可读个人字符串.持续尝试垄断snmp获取到H3C配备暗码 6 失利的获取到暗码”admin”(忘了说我背面是故意不有试admin的) 当前便可能颠末这个暗码telnet登岸到变换机中. 7 并失利的进入到system-view形态. 变换机下的浸透过程 在失利颠末telnet登岸到变换机后我们便可能开始收集变换机的各类配置动态(vlan分袂,super暗码,路由表动态。Ip池分袂等等)而且这些动态除了super暗码之外基础均可能颠末snmp的一个可读字符串获取到。而且对于思科配备来讲。假定有个可读可写的个人字符串,那么直接就可能下载到cisco的核心配置文件(含暗码字符串等). 这里需要复杂的说说三层变换机的两个最主要的遵守,vlan分袂以及端口镜像.端口指的是变换机上的端口,而不是计算机的办事端口。 端口镜像则是指将变换机某个端口下的数据镜像到另一个端口的技能,而且可能决定镜像流入或流出的数据包。这一技能群体垄断在企业监控,流量分析中。在端口镜像时也应留意流量过高引发的题目。 此次测试就是颠开头口镜像技能获取到dataserver发送和承受到的数据包。 我们先分析下这台变换机的配置文件。 8 在这里我们可能看到super暗码这个暗码颠末ciper加密。加密的字符串可能颠末 https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py这个剧本解密。 接上去看看ip-pool的分袂,合营后期nslookup收集到的动态可能进一步清楚明明的逼近目标. 9 遵照上图可能缔造我们当初处于vlan200中,目标处于vlan100,域控在300. 那么我们持续看看每个正在垄断的接口被分袂到了哪个vlan中 10 这里可能看到 Ethernet 1/0/3在vlan100中.而Ethernet 1/0/4在vlan200中,也就是我们所处的vlan。 明明接口分袂当前我们开始创立一个当地镜像组1。 11 而后制定被镜像的端标语 12 接着制定监控端标语 13 而后登岸到我们管束的网站server.垄断抓包软件分析目标的数据包. 这是捕捉ICMP数据包的暗示图。 14 这是捕捉HTTP数据包的暗示图。 15 同理另外协定的包也应如此,具体的后续分析过程就不在这里演示了。 后记

路由和变换机在浸透过程中愈来愈常见,而且因为企图员配置教诲欠当。常常呈现默许配置,弱口令等配置欠妥的题目。而且路由和变换机在网络中所处的地位也更为发挥分析了它在一次浸透过程中的紧迫性. 文章内容可参考

《H3C以太网变换机配置指南》 《wireshark抓包实战分析指南?第二版》 [via@copp-90sec]

数安新闻+更多

证书相关+更多