记一次完整的办公网渗透到idc过程

http://www.backlion.com/%E8%AE%B0%E4%B8%80%E6%AC%A1%E5%AE%8C%E6%95%B4%E7%9A%84%E5%8A%9E%E5%85%AC%E7%BD%91%E6%B8%97%E9%80%8F%E5%88%B0idc%E8%BF%87%E7%A8%8B/

今天，我就分享分享一下渗透自己公司内网与公司对外的idc服务器集群网.刚进公司大家都懂的事情就是入职培训,培训时听一位领导说我们公司安全做得非常好,如硬防策略写死,交换机Acl写死,绿盟xxx洞漏洞扫描器定时扫描,每台员工机器上必装企业版的卡巴斯基,wsus系统帮内网服务器时时打补丁,各部门网络用vlan隔离,定时请xxx安全公司做渗透测试,登录服务器用vnp（硬件vpn,还必需有证书才能登录）,idc服务器统一用内网ip做映射,一听不错啊,安全防范应该很强.

之后我就跟经理说要不我来渗透渗透,他说行(授权,不作死). 当时的环境:内2008AD、Vlan划开各部门、我就一个AD域里面的员工、idc服务器得vpn加证书登录才行。

那就先入侵公司办公网,我的机器就当我搞下了一台别人公司的服务器,首先用局域网查看工具看看在我同vlan下的主机和哪些共享的东西,也就收集一下信息.

上图共享的东西较少是因为我退域了,不退域的情况下会有很多,当然你也可以用cain来嗅探当前vlan中有多少台,cain更精确,但用的环境好像只能在win平台.linux找别的吧.

技巧一: 当我用cain扫描有多少机器时被发现了,还没搞arp欺骗,然后别的部门老大来说谁的ip是xxx.xxx，我日啊,被抓了.原因他们的ips idc报警了.我用局域网查看器没发现（好像局域网查看器用139、445端口,在域环境中各部门要共享许多东西,所以放行了这些端口的报警,在idc环境中对数据库的共享也可能用这个的,因为数据库太大,导来导去会死人的）,大家以后可以用这个来发现同段机器.如有更好的希望大牛共享.

之后几天老实点,得想想法子扫描不被发现才行.最烦的是ips或ids部署的位置(希望各位大牛分享检测ids设备的方法), 然后用s扫描器扫(速度快) 21  22  80443 1512  3306 3389 389这些端口, 在同段办公网有许多pc机当服务器用的,这也是我去扫描这些端口的原因.之后又日他大爷的又被抓了,又xx经理过来说又是你在扫描吧.囧只好说在搞安全测试.然后不求速度nmap扫描,得到了开放这些端口的Ip,想着hydra 、medusa、patator 或别的口令破解器应该会让ids报警,只好手动猜了几个口令.然后一直无解,不知道哪有像nmap这种不触发报警的的口令破解器.囧

 技巧二: nmap扫描是可以逃逸ids的,我用nmap扫描juniper防火墙、风云个人防火墙、等,它们都不报警,当然扫描也扫不出信息,大家在搞到一台机器后尽量用nmap,nmap在win平台也有的.

在被搞两次后看看共享查看器还有哪些ip段,发现xx段可以(xx段是我们研发、DBA测试服务器,为了方便他们这些搞技术的远程操作服务器,他们是可以直接远程的,他们应该也想到我也是属于这个大技术部的.哈哈!),然后想到用nmap扫描21  22  80 443 1512  3306 3389 389这些端口.也得到了ip列表,但口令破解也不敢去试,没有像nmap这种不触发报警的的口令破解器.囧

然后被动的收集信息,大概花了一个月,网络架构大概也清楚了.然后有一天突然想到139、445不就是白名单吗(域环境要共享文件必需得开)!NTscan搞啊,然后各种口令就出来了.当然线程开少点,我只开了50扫了一晚.当然第二天没有xx经理找我了,然后就是net映射得到xx员工的文件,密码表(对于许多企业每人一份密码表我已经无力吐槽了,真的是扫地的阿姨都有一份).然后得xx员工手中管理的服务器,慢慢收集,慢慢搞.总结一下也不过几十台服务器与10几台pc机.还得想办法搞别的端口.没办法破解一下22 与 3389吧,那时真是不知道搞什么了,只希望xx经理找我之前我已经得到密码了.呵呵!人品来了,我觉得ids可能是某个员工在pc机段搞的,服务器段没部署,因为他们没来找我.哈哈

之后服务器数量就多了,不过也只是内网服务器(dba与研发的多),it的服务器不多,大家得清楚在办公网核心的东西是it在搞的(一般的企业刚成长时只有it部门,就算后面有安全部,他们也不会轻易把核心东西给你的),如AD mail所以必需想办法搞到这个服务器权限,拿到这些权限再收集了信息搞idc就容易多了,然后就想着先搞办公软件如rtx  oa  金蝶 e-hr lync 内部社区。呵呵,办公软件漏洞多而且不怎么打补丁.

先google  baidu 看看这些软件有什么可直接利用的漏洞,软件直接利用漏洞没什么, 然后看看这些软件提供的web管理页面,拿出大家都喜欢用的awvswebinpect扫吧.然后大家都懂的,xx经理又来说你又在扫web.囧.

技巧三:web扫描有什么好绕过的东西吗？这些好点的web扫描器都会发大量的的fuzz去检测web页面的漏洞,我没找到那种非常隐蔽的web扫描器.一般都会生成大量日志,不过我用一种最少日志方法搞到了,那就是爬虫加经验.

先看图这是awvs带攻击性的iis日志(自己架的环境测试的)

awvs只用爬虫的iis日志图:

看到区别了吧,当同时有许多人也在请求这个站的时候,有可能你爬虫的请求日志被分开了,也就有可能逃逸1秒钟访问xx次报警.当然更不会出现攻击性的报警,不过这不是终规的解决方法,因为不管你怎么玩,手动也好自动也好只要测试sql、xss、包含等攻击参数,还是一样会触发别人强大的日志分析工具,不过一般的企业想把web分析弄得非常强大也不容易.

然后看结构怎么样的,如果是整站程序,是否有直接可利用的漏洞(当你玩多了一看就知道应该找哪个地方的洞),如果是自己公司开发的,看看能看到的源代码分析程序员的编程习惯,以他的思维方式去猜想他会怎么写(程序员学习编程时总是先模仿别人写代码的,然后才养成他自己的习惯的,所以你多看看他代码怎么写,然后猜测试会写出哪样的代码,前提你要看得懂代码,还得有挖漏的思路).

呵呵,搞完日志是不是又猥琐的学到了呢!(不明白这句话的人可以问我)

所以后面我用爬虫爬了金蝶的web管理页面,先后台各种弱口令测试一下,然后就……

金蝶这保存密码方式应该算是个漏洞吧,配置里面保存是明文的,然后这个sa密码就是最大的突破口了,it的服务器80%用这个密码,主要是it管理员pc机也用这个.然后映射pc机得到密码表,AD的密码也在上面.得到了AD的权限后面的事情小伙伴都懂的,只要在域里的机器80%都可拿到资料,为什么这样说呢.因为我弄的时候有几台xp系统默认不行,你得下发组策略开启一个叫什么服务的,那服务名我忘记了,个人防火墙就不用管它了,只要他想在域里共享东西,就必需放行.

最后就是idc了,服务器密码都到手了,就不用慢慢搞idc服务器了.几千台服务器也是时候上去看看了,不过前面也说了得vpn账号加证书,所以vpn上去没戏,呵呵!(而且后面还知道这个vpn还有动态口令.囧).最后是研发服务器出问题了.因为他们要从idc拿数据库数据,而且数据又大又多,vpn来回导不太合适,所以直接开了条测试专线到所有idc,然后研发服务器直接成跳板机.然后上各种服务器上面玩玩.

之后就是写报告了。

最后总结一下,因为被警告过三次,如果在搞外面的话也就是说被抓3次了,其实可能第一次之后就再也没有后继内容了,原因你懂的.所以扫描用的工具一定要有逃逸性的.实在没有那神器就手动玩玩先,慢慢来.还有就是我登录服务器时我在内网服务器详解看过没有登录监控这种东西的,当你登录服务器一台服务器时一定要小心,不然一上去系统日志被发到xx日志服务器,然后报警,再然后他们找你,然后就没有然后了.除了登录日志你也得小心行为监控,比如iptable开着你登录不了,当你停止时.有可能iptables停掉的行为会触发某些东西报警.然后也就没有然后了.

还有就是在收集信息时一定要分析分析网络架构,每个公司有每个公司的网络架构,架构决定你往哪个方向去渗透最易,不然只能在里面瞎猫抓死老鼠.

最后提醒大家一点,别以为整天拿着扫描器扫着扫那的没被抓,并非别人不知道也不报警,只是时候未到.哈哈!