作者:
DM_
·
2013/09/28 23:07
0x00 前言
隨著日益發展的網路技術,網路線路也變的越來越複雜。滲透測試人員在web中透過注入,上傳等基本或高階指令碼滲透方法到達了邊界伺服器。再深入時則會面對更復雜的網路,比如亂七八糟的vlan環境。
什麼是vlan:http://baike.baidu.com/history/id=9328829
測試拓撲圖
0x01 測試基本狀況概述
一共選取了三臺伺服器和一個H3C s3610三層交換機.順帶筆者的一臺筆記本(Kali Linux).
三臺伺服器代表了tec503的基本業務劃分。攻擊者處在和webserver相同的vlan200中。並且攻擊者已控制到webserver。
在交換機上劃分了三個vlan 將Tec503(假想的目標公司)的資料伺服器(dataserver.tec503.com)和web伺服器(webserver.tec503.com)及域控分別劃分在三個vlan(vlan100,vlan200,vlan300)下。vlan100和vlan200不能相互訪問。但是都可以訪問到vlan300.
交換機開啟snmp和telnet(snmp一般用來監控交換機流量等,telnet用於管理三層交換機)。
測試目標:在儘可能少留下痕跡的前提下,接觸到dataserver的資料。
0x02 前期基本滲透過程
在前期資訊蒐集時發現tec503.com存在域傳送漏洞.由此確定了此次測試的目標ip(5.5.6.4).
並且webserver對外開放.在基本探測後發現存在web漏洞。並且在獲得webshell之後成功獲取到了管理許可權。
之後在webserver上檢視到閘道器ip為172.10.0.1,試著ping一下.
telnet上去看到是一臺H3C裝置。
嘗試123456,password,manager等簡單弱口令登陸,結果都失敗。
嘗試snmp弱口令探測(這裡的弱口令是指snmp管理時用到的團體字串。一般可讀許可權的為public,可讀可寫的預設為private).
發現果真使用預設的可讀團體字串public.繼續嘗試使用snmp獲取到H3C裝置密碼
成功的獲取到密碼”admin”(忘了說 我前面是故意沒有試admin的)
之後便可以透過這個密碼telnet登陸到交換機中.
併成功的進入到system-view狀態.
0x03 交換機下的滲透過程
在成功透過telnet登陸到交換機後我們便可以開始收集交換機的各種配置資訊(vlan劃分,super密碼,路由表資訊。Ip池劃分等等)並且這些資訊除了super密碼以外基本都可以透過snmp的一個可讀字串獲取到。而且對於思科裝置來講,如果有個可讀可寫的團體字串,那麼直接就可以下載到cisco的核心配置檔案(含密碼字串等).
這裡需要簡單的說說三層交換機的兩個功能,vlan劃分以及埠映象。埠指的是交換機上的埠,而不是計算機的服務埠。
埠映象則是指將交換機某個埠下的資料映象到另一個埠的技術,並且可以選擇映象流入或流出的資料包。這一技術通常應用在企業監控,流量分析中。在埠映象時也應注意流量過高引發監視埠流量負載的問題。
這次測試便是透過埠映象技術獲取到dataserver傳送和接受到的資料包。
我們先來分析下這臺交換機的配置檔案。
在這裡我們可以看到super密碼 這個密碼透過H3C ciper加密。加密的字串可以透過https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py這個指令碼解密。
接下來看看ip-pool的劃分,配合前期nslookup收集到的資訊可以進一步清晰的逼近目標.
根據上圖可以發現我們現在處於vlan200中,目標處於vlan100,域控在300.
那麼我們繼續看看每個正在使用的介面被劃分到了哪個vlan中。
這裡可以看到 Ethernet 1/0/3在vlan100中.而Ethernet 1/0/4在vlan200中,也就是我們所處的vlan。
清楚介面劃分之後我們開始建立一個本地映象組1。
然後制定被映象的埠號。
接著制定監控埠號。
最後登陸到我們控制的webserver.使用抓包軟體分析目標(dataserver.tec503.com)的資料包.
這是捕獲到目標(dataserver.tec503.com)ICMP資料包的示意圖。
這是捕獲HTTP資料包的示意圖。
同理其他協議的包也應如此,具體的後續分析過程就不在這裡演示了。
0x04 後記
路由和交換機在滲透過程中越來越常見,並且由於管理員配置經驗欠當。經常出現預設配置,弱口令等配置不當的問題。而且路由和交換機在網路中所處的位置也更加體現了它在一次滲透過程中的重要性.在寫文章的時候也發現freebuf上的一篇關於跨vlan進行ARP嗅探的文章。(http://www.freebuf.com/articles/system/13322.html).也更希望透過這篇文章引出更多的好文章.
參考
H3C乙太網交換機配置指南
wireshark抓包實戰分析指南 第二版
WooYun: 中國移動H3C防火牆側漏利用snmp獲取管理員密碼成功登入裝置
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!