1、弱口令扫描提权进服务器

首先ipconfig自己的ip为10.10.12.**，得知要扫描的网段为10.10.0.1-10.10.19.555，楼层总共为19层，所以为19，扫描结果如下:

ipc 弱口令的就不截登录图了，我们看mssql 弱口令，先看10.10.9.1  ，sa 密码为空我们执行

执行一下命令看看

开了3389 ，直接加账号进去

一看就知道是财务系统的服务器，我们千万不能搞破坏呀，看看另一台如图

直接加个后门，

有管理员进去了，我就不登录了，以此类推拿下好几台服务器。

2 、域环境下渗透搞定域内全部机器

经测试10.10.1.1-10.10.1.255 网段有域，根据扫描到的服务器账号密码登录一下，执行ipconfig /all 得知

当前域为fsll.com ，ping  一下fsll.com 得知域服务器iP 为10.10.1.36  ，执行命令net user /domain 如图

我们需要拿下域服务器，我们的思路是抓hash ，因为嗅探的话管理员很少登陆所以时间上来不及，那好吧，执行PsExec.exe -s -u administrator -p administrator \10.10.1.36 -c  c:\s.exe，这句命令的意思是利用当前控制的服务器抓取域服务器ip的hash,10.10.1.36为域服务器，如图：

利用cluster 这个用户我们远程登录一下域服务器如图：

尽管我们抓的不是administrator 的密码，但是仍然可以远程登录，通过本地抓取域服务器我们得到了administrator 的密码如图：

得知域服务器管 理员密码和用户名同名，早知道就不用这么麻烦抓hash 了，那么我们获得域服务器，那又该如何获得域下的服务器呢，大家看我的思路如图：

域下有好几台服务器，我们可以ping 一下ip  ，这里只ping  一台，ping

blade9得知iP 为10.10.1.22 ，然后我们右键管理添加账户密码这样就可以远程登录了，以此类推，就可以拿下域下的所有机器。。如图：

经过的提前扫描，服务器主要集中到10.10.1.1-10.10.1.254 这个段，加上前面弱口令的一些服务器这个段算是搞完了。我在打开域服务器的远程连接中查看到还有10.13.50.X  段，经扫描10.13.50.101 开了3389 ，我用nessus  扫描如下图

利用ms08067 成功溢出服务器，成功登录服务器

我插管理员在线，貌似也是有域的，这就是域服务器，而且域下没有别的机器，我们经抓hash 得知administrator 密码为zydlasen

这样两个域我们就全部拿下了。

3 、通过oa 系统入侵进服务器

Oa 系统的地址是http://10.10.1.21:8060/oa/login.vm如图

没有验证码，我插，试了好多弱口令都不行，没办法想到了溯雪，所以就开溯雪配置好如图

填写错误标记开扫结果如下

下面我们进OA

我们想办法拿webshell ，在一处上传地方上传jsp 马如图

利用jsp 的大马同样提权ok ，哈哈其实这台服务器之前已经拿好了

4 、利用tomcat 提权进服务器

用nessus 扫描目标ip 发现如图

登录如图：

找个上传的地方上传如图：

然后就是同样执行命令提权，过程不在写了

5 、利用cain 对局域网进行ARP 嗅探和DNS  欺骗

首先测试ARP 嗅探如图

测试结果如下图：

哈哈嗅探到的东西少是因为这个域下才有几台机器

下面我们测试DNS欺骗，如图：

10.10.12.188 是我本地搭建了小旋风了，我们看看结果：

（注：欺骗这个过程由于我之前录制了教程，截图教程了）

6 、成功入侵交换机

我在扫描10.10.0. 段的时候发现有个3389 好可疑地址是10.10.0.65 ，经过nessus 扫描也没发现明显可利用的漏洞，后来经过查看之前抓hash 得到这台服务器的密码为lasenjt, 我插，感觉测评我们公司的运气是杠杠的，不过也从侧面知道安全是做的何等的烂呀

我们进服务器看看，插有福吧看着面熟吧

装了思科交换机管理系统，我们继续看，有两个 管理员

这程序功能老强大了，可以直接配置个管理员登陆N 多交换机，经过翻看，直接得出几台交换机的特权密码如图

172.16.4.1,172.16.20.1 密码分别为：@lasenjjz ，@lasenjjz ，好几个特权密码这里就不一一列举了，下面利用另一种方法读配置文件，利用communuity string 读取，得知已知的值为lasenjtw *，下面我们利用IP Network Browser 读取配置文件如图：

点config ，必须写好对应的communuity string 值，如图：

远程登录看看，如图：

直接进入特权模式，以此类推搞了将近70 台交换机如图：

总结交换机的渗透这块，主要是拿到了cisco  交换机的管理系统直接查看特权密码和直接用communuity string   读取配置文件查看交换机用户密码和特权密码，如果没拿到思科交换机管理系统的话就只能靠nessus  扫描了，只要是public 权限就能读取配置文件了，之前扫描到一个nessus  的结果为public ，这里上一张图，**

确实可以读取配置文件的。

除此之外还渗进了一些web 登录交换机和一个远程管理控制系统如下图

直接用UID 是USERID  ，默认PW 是PASSW0RD( 注意是数字0 不是字母O) 登录了，可以远程管理所有的3389 。

上图千兆交换机管理系统。

7 、入侵山石网关防火墙

对某公司网关进行渗透测试。。。具体详情如下： 思路是通过社工来搞定网关，所以就想办法收集内网管理员的信息，经测试发现域服务器的域用户比较多，所以就给服务器安装了 cain 进行本地 hash 的读取，读取信息如图：

网关是山石网关，在不知道具体有哪些用户名（默认有个 hillstone 无法删除，属于内置用户）的情况下只能根据最有可能的账号结合抓到的密码一个一个测试，最终还是没成功，后来想到叫人写个程序暴力破解，但是发现错误三次，就会锁定 IP2 分钟，所以效果不是很好，登陆域服务器发现桌面有个屏幕录像专家，打开看个教程，发现服务器登陆过网关，里面有 id 地址记录，地址是 172.16.251.254 这样就想到用 ie 密码读取器来查看 ie 历史密码 如图：

然后登陆网关如图：**

经过半天的努力，防火墙网关我进来了，我渗透进一台域服务器，进去抓了域所有用户的密码一个个去试网关，都没成功，忽然发现桌面上安装了屏幕录制专家，我就打开看了，发现有个录像里**ie家里里172.16.251.254，这不就是网关的地址么，所以我就用administrator登陆了域服务器，然后打开网关地址，妈呀网关的账号直接就在记录里，可惜没有密码，哈哈不过这也不错，真心比乱搞强多了，然后忽然想到用IE密码记录器查看密码，于是乎下载了一个工具查看密码，这样网关就搞定了，彩笔的是原来这个早已经被我搞出来了，是交换机的特权密码，73台的密码我也不可能一个个的试吧，本来想写个程序，结果打电话给山石人家说密码错误三次直接封IP好吧，有时候有些东西真的是需要耐心的，当然也需要一定的智慧，当然也有一定的运气成分在里面，就这样网关就被拿到了，之前用nessus扫没扫到漏洞，至此大型局域网渗透就完结，哈哈，大牛不要笑话哦！**

总结：本渗透测试过程没有什么高的技术含量，全靠运气和细心的发现才得以有此过程，整个渗透测试过程全部录制为视频教程。。。由于时间仓促，所以渗透就到此为止，在工作组下的个人PC还没有拿下，严格的说这个渗透是不完美的，本来还想再做交换机端口镜像的教程，但是考虑到网络的稳定性这里就不搞测试了，还请大家海涵。。谢谢观赏。。鄙人QQ：635833，欢迎进行技术交流。

补充：最近公司换领导，本来想搞搞端口镜像，嗅探和dns**欺骗，但考虑到其有一定的风险性就后续暂时不会搞了。现在上一张摸清楚的拓扑图：**

注：已经给公司提交渗透测试报告，并已修复漏洞，为了尽量不影响文章的观赏性，故不再打码处理。。。