今天我就分享分享一下我滲透自己公司辦公網(wǎng)與公司對外的idc服務(wù)器集群網(wǎng)。剛進(jìn)公司大家都懂的事情就是入職培訓(xùn)，培訓(xùn)時(shí)聽一位領(lǐng)導(dǎo)說我們公司安全做得非常好，如硬防策略寫死，交換機(jī)Acl寫死，綠盟xxx洞漏洞掃描器定時(shí)掃描，企業(yè)版的卡巴每臺(tái)員工機(jī)器上必裝，wsus系統(tǒng)幫內(nèi)網(wǎng)服務(wù)器時(shí)時(shí)打補(bǔ)丁，各部門用vlan隔離，定時(shí)請xxx安全公司做滲透測試，登錄服務(wù)器用vnp(硬件vpn,還必需有證書才能登錄),idc服務(wù)器統(tǒng)一用內(nèi)網(wǎng)ip做映射,一聽不錯(cuò)啊,安全防范應(yīng)該很強(qiáng)。

[[111570]]

之后我就跟經(jīng)理說要不我來滲透滲透，他說行(授權(quán),不作死)。 當(dāng)時(shí)的環(huán)境:內(nèi)2008AD、Vlan劃開各部門、我就一域里面的員工、idc服務(wù)器得vpn加證書登錄

那就先辦公網(wǎng)吧，我的機(jī)器就當(dāng)我搞下了一臺(tái)別人公司的服務(wù)器,首先看看在我同vlan下的主機(jī)和哪些共享的東西，也就收集一下信息。

上圖共享的東西較少是因?yàn)槲彝擞蛄耍煌擞虻那闆r下會(huì)有很多,當(dāng)然你也可以用cain來測試當(dāng)前vlan中有多少臺(tái),cain更精確,但用的環(huán)境好像只能在win平臺(tái).linux找別的吧.

技巧一: 當(dāng)我用cain掃描有多少機(jī)器時(shí)被發(fā)現(xiàn)了,還沒搞arp欺騙呢,然后別的部門老大來說誰的ip是xxx.xxx，我日啊,被抓了.原因他們的ips idc報(bào)警了.我用局域網(wǎng)查看器沒發(fā)現(xiàn)(好像局域網(wǎng)查看器用139、445端口,在域環(huán)境中各部門要共享許多東西,所以放行了這些端口的報(bào)警,在idc環(huán)境中對數(shù)據(jù)庫的共享也可能用這個(gè)的,因?yàn)閿?shù)據(jù)庫太大,導(dǎo)來導(dǎo)去會(huì)死人的),大家以后可以用這個(gè)來發(fā)現(xiàn)同段機(jī)器.如有更好的希望大牛共享.

之后幾天老實(shí)點(diǎn),得想想法子掃描不被發(fā)現(xiàn)才行.最煩的是ips或ids部署的位置(希望各位大牛分享檢測ids設(shè)備的方法), 然后用s掃描器掃(速度快) 21 22 80443 1512 3306 3389 389這些端口, 在同段辦公網(wǎng)有許多pc機(jī)當(dāng)服務(wù)器用的,這也是我去掃描這些端口的原因.之后又日他大爺?shù)挠直蛔チ?又xx經(jīng)理過來說又是你在掃描吧.囧只好說在搞安全測試.然后不求速度nmap掃描,得到了開放這些端口的Ip,想著hydra 、medusa、patator 或別的口令破解器應(yīng)該會(huì)讓ids報(bào)警,只好手動(dòng)猜了幾個(gè)口令.然后一直無解,不知道哪有像nmap這種不觸發(fā)報(bào)警的的口令破解器.囧

技巧二: nmap掃描是可以逃逸ids的,我用nmap掃描juniper防火墻、風(fēng)云個(gè)人防火墻、等,它們都不報(bào)警,當(dāng)然掃描也掃不出信息,大家在搞到一臺(tái)機(jī)器后盡量用nmap,nmap在win平臺(tái)也有的.

在被搞兩次后看看共享查看器還有哪些ip段,發(fā)現(xiàn)xx段可以(xx段是我們研發(fā)、DBA測試服務(wù)器,為了方便他們這些搞技術(shù)的遠(yuǎn)程操作服務(wù)器,他們是可以直接遠(yuǎn)程的,他們應(yīng)該也想到我也是屬于這個(gè)大技術(shù)部的.哈哈!),然后想到用nmap掃描21 22 80 443 1512 3306 3389 389這些端口.也得到了ip列表,但口令破解也不敢去試,沒有像nmap這種不觸發(fā)報(bào)警的的口令破解器.囧

然后被動(dòng)的收集信息,大概花了一個(gè)月,網(wǎng)絡(luò)架構(gòu)大概也清楚了.然后有一天突然想到139、445不就是白名單嗎(域環(huán)境要共享文件必需得開)!NTscan搞啊,然后各種口令就出來了.當(dāng)然線程開少點(diǎn),我只開了50掃了一晚.當(dāng)然第二天沒有xx經(jīng)理找我了,然后就是net映射得到xx員工的文件,密碼表(對于許多企業(yè)每人一份密碼表我已經(jīng)無力吐槽了,真的是掃地的阿姨都有一份).然后得xx員工手中管理的服務(wù)器,慢慢收集,慢慢搞.總結(jié)一下也不過幾十臺(tái)服務(wù)器與10幾臺(tái)pc機(jī).還得想辦法搞別的端口.沒辦法破解一下22 與 3389吧,那時(shí)真是不知道搞什么了,只希望xx經(jīng)理找我之前我已經(jīng)得到密碼了.呵呵!人品來了,我覺得ids可能是某個(gè)員工在pc機(jī)段搞的,服務(wù)器段沒部署,因?yàn)樗麄儧]來找我.哈哈

之后服務(wù)器數(shù)量就多了,不過也只是內(nèi)網(wǎng)服務(wù)器(dba與研發(fā)的多),it的服務(wù)器不多,大家得清楚在辦公網(wǎng)核心的東西是it在搞的(一般的企業(yè)剛成長時(shí)只有it部門,就算后面有安全部,他們也不會(huì)輕易把核心東西給你的),如AD mail所以必需想辦法搞到這個(gè)服務(wù)器權(quán)限,拿到這些權(quán)限再收集了信息搞idc就容易多了,然后就想著先搞辦公軟件如rtx oa 金蝶 e-hr lync 內(nèi)部社區(qū)。呵呵,辦公軟件漏洞多而且不怎么打補(bǔ)丁.

先google baidu 看看這些軟件有什么可直接利用的漏洞,軟件直接利用漏洞沒什么, 然后看看這些軟件提供的web管理頁面,拿出大家都喜歡用的awvswebinpect掃吧.然后大家都懂的,xx經(jīng)理又來說你又在掃web.囧.

技巧三: web掃描有什么好繞過的東西嗎?這些好點(diǎn)的web掃描器都會(huì)發(fā)大量的的fuzz去檢測web頁面的漏洞,我沒找到那種非常隱蔽的web掃描器.一般都會(huì)生成大量日志,不過我用一種最少日志方法搞到了,那就是爬蟲加經(jīng)驗(yàn).

先看圖這是awvs帶攻擊性的iis日志(自己架的環(huán)境測試的)

awvs只用爬蟲的iis日志圖:

看到區(qū)別了吧,當(dāng)同時(shí)有許多人也在請求這個(gè)站的時(shí)候,有可能你爬蟲的請求日志被分開了,也就有可能逃逸1秒鐘訪問xx次報(bào)警.當(dāng)然更不會(huì)出現(xiàn)攻擊性的報(bào)警,不過這不是終規(guī)的解決方法,因?yàn)椴还苣阍趺赐?手動(dòng)也好自動(dòng)也好只要測試sql、xss、包含等攻擊參數(shù),還是一樣會(huì)觸發(fā)別人強(qiáng)大的日志分析工具,不過一般的企業(yè)想把web分析弄得非常強(qiáng)大也不容易.

然后看結(jié)構(gòu)怎么樣的,如果是整站程序,是否有直接可利用的漏洞(當(dāng)你玩多了一看就知道應(yīng)該找哪個(gè)地方的洞),如果是自己公司開發(fā)的,看看能看到的源代碼分析程序員的編程習(xí)慣,以他的思維方式去猜想他會(huì)怎么寫(程序員學(xué)習(xí)編程時(shí)總是先模仿別人寫代碼的,然后才養(yǎng)成他自己的習(xí)慣的,所以你多看看他代碼怎么寫,然后猜測試會(huì)寫出哪樣的代碼,前提你要看得懂代碼,還得有挖漏的思路).

呵呵,搞完日志是不是又猥瑣的學(xué)到了呢!(不明白這句話的人可以問我)

所以后面我用爬蟲爬了金蝶的web管理頁面,先后臺(tái)各種弱口令測試一下,然后就……

金蝶這保存密碼方式應(yīng)該算是個(gè)漏洞吧,配置里面保存是明文的,然后這個(gè)sa密碼就是最大的突破口了,it的服務(wù)器80%用這個(gè)密碼,主要是it管理員pc機(jī)也用這個(gè).然后映射pc機(jī)得到密碼表,AD的密碼也在上面.得到了AD的權(quán)限后面的事情小伙伴都懂的,只要在域里的機(jī)器80%都可拿到資料,為什么這樣說呢.因?yàn)槲遗臅r(shí)候有幾臺(tái)xp系統(tǒng)默認(rèn)不行,你得下發(fā)組策略開啟一個(gè)叫什么服務(wù)的,那服務(wù)名我忘記了,個(gè)人防火墻就不用管它了,只要他想在域里共享東西,就必需放行.

最后就是idc了,服務(wù)器密碼都到手了,就不用慢慢搞idc服務(wù)器了.幾千臺(tái)服務(wù)器也是時(shí)候上去看看了,不過前面也說了得vpn賬號(hào)加證書,所以vpn上去沒戲,呵呵!(而且后面還知道這個(gè)vpn還有動(dòng)態(tài)口令.囧).最后是研發(fā)服務(wù)器出問題了.因?yàn)樗麄円獜膇dc拿數(shù)據(jù)庫數(shù)據(jù),而且數(shù)據(jù)又大又多,vpn來回導(dǎo)不太合適,所以直接開了條測試專線到所有idc,然后研發(fā)服務(wù)器直接成跳板機(jī).然后上各種服務(wù)器上面玩玩.

之后就是寫報(bào)告了。

最后總結(jié)一下,因?yàn)楸痪孢^三次,如果在搞外面的話也就是說被抓3次了,其實(shí)可能第一次之后就再也沒有后繼內(nèi)容了,原因你懂的.所以掃描用的工具一定要有逃逸性的.實(shí)在沒有那神器就手動(dòng)玩玩先,慢慢來.還有就是我登錄服務(wù)器時(shí)我在內(nèi)網(wǎng)服務(wù)器詳解看過沒有登錄監(jiān)控這種東西的,當(dāng)你登錄服務(wù)器一臺(tái)服務(wù)器時(shí)一定要小心,不然一上去系統(tǒng)日志被發(fā)到xx日志服務(wù)器,然后報(bào)警,再然后他們找你,然后就沒有然后了.除了登錄日志你也得小心行為監(jiān)控,比如iptable開著你登錄不了,當(dāng)你停止時(shí).有可能iptables停掉的行為會(huì)觸發(fā)某些東西報(bào)警.然后也就沒有然后了.

還有就是在收集信息時(shí)一定要分析分析網(wǎng)絡(luò)架構(gòu),每個(gè)公司有每個(gè)公司的網(wǎng)絡(luò)架構(gòu),架構(gòu)決定你往哪個(gè)方向去滲透最易,不然只能在里面瞎貓抓死老鼠.

最后提醒大家一點(diǎn),別以為整天拿著掃描器掃著掃那的沒被抓,并非別人不知道也不報(bào)警,只是時(shí)候未到.哈哈!