內網滲透應用跨vlan滲透的一種思路

隨著日益發展的網路技術，網路線路也變的越來越複雜。滲透測試人員在web中通過注入，上傳等基本或高階指令碼滲透方法到達了邊界伺服器。再深入時則會面對更複雜的網路,比如亂七八糟的vlan環境。

什麼是vlan:

測試拓撲圖

一共選取了三颱伺服器和乙個h3c s3610三層交換機.順帶筆者的一台筆記本(kali linux).

三颱伺服器代表了tec503的基本業務劃分。攻擊者處在和webserver相同的vlan200中。並且攻擊者已控制到webserver。

在交換機上劃分了三個vlan 將tec503(假想的目標公司)的資料伺服器（dataserver.tec503.com）和web伺服器（webserver.tec503.com）及域控分別劃分在三個vlan（vlan100，vlan200，vlan300）下。vlan100和vlan200不能相互訪問。但是都可以訪問到vlan300.

交換機開啟snmp和telnet(snmp一般用來監控交換機流量等,telnet用於管理三層交換機)。

測試目標:在盡可能少留下痕跡的前提下，接觸到dataserver的資料。

在前期資訊蒐集時發現tec503.com存在域傳送漏洞.由此確定了此次測試的目標ip(5.5.6.4).

並且webserver對外開放.在基本探測後發現存在web漏洞。並且在獲得webshell之後成功獲取到了管理許可權。

之後在webserver上檢視到閘道器ip為172.10.0.1,試著ping一下.

telnet上去看到是一台h3c裝置。

嘗試123456，password，manager等簡單弱口令登陸，結果都失敗。

嘗試snmp弱口令探測(這裡的弱口令是指snmp管理時用到的團體字串。一般可讀許可權的為public,可讀可寫的預設為private).

發現果真使用預設的可讀團體字串public.繼續嘗試使用snmp獲取到h3c裝置密碼

成功的獲取到密碼」admin」(忘了說我前面是故意沒有試admin的)

之後便可以通過這個密碼telnet登陸到交換機中.

並成功的進入到system-view狀態.

這裡需要簡單的說說三層交換機的兩個功能,vlan劃分以及埠映象。埠指的是交換機上的埠,而不是計算機的服務埠。

埠映象則是指將交換機某個埠下的資料映象到另乙個埠的技術，並且可以選擇映象流入或流出的資料報。這一技術通常應用在企業監控，流量分析中。在埠映象時也應注意流量過高引發監視埠流量負載的問題。

這次測試便是通過埠映象技術獲取到dataserver傳送和接受到的資料報。

我們先來分析下這台交換機的配置檔案。

在這裡我們可以看到super密碼這個密碼通過h3c ciper加密。加密的字串可以通過這個指令碼解密。

接下來看看ip-pool的劃分,配合前期nslookup收集到的資訊可以進一步清晰的逼近目標.

根據上圖可以發現我們現在處於vlan200中，目標處於vlan100,域控在300.

那麼我們繼續看看每個正在使用的介面被劃分到了哪個vlan中。

這裡可以看到 ethernet 1/0/3在vlan100中.而ethernet 1/0/4在vlan200中，也就是我們所處的vlan。

清楚介面劃分之後我們開始建立乙個本地映象組1。

然後制定被映象的埠號。

接著制定監控埠號。

最後登陸到我們控制的webserver.使用抓包軟體分析目標（dataserver.tec503.com）的資料報.

這是捕獲到目標（dataserver.tec503.com）icmp資料報的示意圖。

這是捕獲http資料報的示意圖。

同理其他協議的包也應如此,具體的後續分析過程就不在這裡演示了。

路由和交換機在滲透過程中越來越常見，並且由於管理員配置經驗欠當。經常出現預設配置,弱口令等配置不當的問題。而且路由和交換機在網路中所處的位置也更加體現了它在一次滲透過程中的重要性.在寫文章的時候也發現freebuf上的一篇關於跨vlan進行arp嗅探的文章。(也更希望通過這篇文章引出更多的好文章.

h3c乙太網交換機配置指南

wireshark抓包實戰分析指南第二版

wooyun: 中國移動h3c防火牆側漏利用snmp獲取管理員密碼成功登入裝置

內網滲透應用跨vlan滲透的一種思路

內網滲透自己的筆記

記一次內網滲透

linux內網滲透一些亂寫

內網滲透應用 跨vlan滲透的一種思路

內網滲透自己的筆記

記一次內網滲透

linux內網滲透一些亂寫

相關推薦

內網滲透應用跨vlan滲透的一種思路