內網滲透之跨Vlan滲透的一種方法
前言
隨着日益發展的網絡技術,網絡線路也變的越來越復雜。滲透測試人員在web中通過注入,上傳等基本或高級腳本滲透方法到達了邊界服務器。再深入時則會面對更復雜的網絡環境,比如如何跨vlan。
本文旨在講述獲取內網權限后突破VLAN的限制進行滲透的一種思路。(與網上流傳的A大神的滲透方法出入較大,請勿混淆)
測試拓撲圖
測試基本狀況概述
一共選取了三台服務器和一個H3C s3610三層交換機.順帶筆者的一台筆記本(Kali Linux).
三台服務器代表了tec503的基本業務划分。攻擊者處在和webserver相同的vlan200中。並且已控制到webserver。
在交換機上划分了三個vlan 將Tec503(假想的目標公司)的數據服務器(dataserver.tec503.com)和web服務器(webserver.tec503.com)及域控分別划分在三個vlan(vlan100,vlan200,vlan300)下。vlan100和vlan200不能相互訪問。但是都可以訪問到vlan300.
交換機開啟snmp和telnet,snmp一般用來監控交換機流量等。telnet用於管理三層交換機。
攻擊測試目標
在盡可能少留下痕跡的前提下,接觸到dataserver的數據。
前期基本滲透過程
在前期信息搜集時發現tec503.com存在域傳送漏洞.由此確定了此次測試的目標ip(5.5.6.4).
並且webserver對外開放.在基本探測並且存在web漏洞。在獲得webshell之后並成功獲取到管理權限。
在webserver上查看到網關ip為172.10.0.1,試着ping一下.
可以ping通。
telnet上去看到是一台H3C設備。
嘗試123456,password,manager等簡單弱口令登陸,結果都失敗。
嘗試snmp弱口令探測(這里的弱口令是指snmp管理時用到的團體字符串。一般可讀權限的為public,可讀可寫的默認為private).
發現果真使用public默認的可讀團體字符串.繼續嘗試使用snmp獲取到H3C設備密碼
成功的獲取到密碼”admin”(忘了說我前面是故意沒有試admin的)
之后便可以通過這個密碼telnet登陸到交換機中.
並成功的進入到system-view狀態.
交換機下的滲透過程
在成功通過telnet登陸到交換機后我們便可以開始收集交換機的各種配置信息(vlan划分,super密碼,路由表信息。Ip池划分等等)並且這些信息除了super密碼以外基本都可以通過snmp的一個可讀字符串獲取到。而且對於思科設備來講。如果有個可讀可寫的團體字符串,那么直接就可以下載到cisco的核心配置文件(含密碼字符串等).
這里需要簡單的說說三層交換機的兩個最主要的功能,vlan划分以及端口鏡像.端口指的是交換機上的端口,而不是計算機的服務端口。
端口鏡像則是指將交換機某個端口下的數據鏡像到另一個端口的技術,並且可以選擇鏡像流入或流出的數據包。這一技術通常應用在企業監控,流量分析中。在端口鏡像時也應注意流量過高引發的問題。
這次測試便是通過端口鏡像技術獲取到dataserver發送和接受到的數據包。
我們先分析下這台交換機的配置文件。
在這里我們可以看到super密碼這個密碼通過ciper加密。加密的字符串可以通過
接下來看看ip-pool的划分,配合前期nslookup收集到的信息可以進一步清晰的逼近目標.
根據上圖可以發現我們現在處於vlan200中,目標處於vlan100,域控在300.
那么我們繼續看看每個正在使用的接口被划分到了哪個vlan中
這里可以看到 Ethernet 1/0/3在vlan100中.而Ethernet 1/0/4在vlan200中,也就是我們所處的vlan。
清楚接口划分之后我們開始建立一個本地鏡像組1。
然后制定被鏡像的端口號
接着制定監控端口號
然后登陸到我們控制的webserver.使用抓包軟件分析目標的數據包.
這是捕獲ICMP數據包的示意圖。
這是捕獲HTTP數據包的示意圖。
同理其他協議的包也應如此,具體的后續分析過程就不在這里演示了。
后記
路由和交換機在滲透過程中越來越常見,並且由於管理員配置經驗欠當。經常出現默認配置,弱口令等配置不當的問題。而且路由和交換機在網絡中所處的位置也更加體現了它在一次滲透過程中的重要性.
文章內容可參考
《H3C以太網交換機配置指南》
《wireshark抓包實戰分析指南 第二版》