发布时间:2014-02-15 12:23:15作者:知识屋
来源:神通无量Blog
1.1 起因
这几天发现某酒店的网速越来越慢,中间因为11X的原因加了个认证系统,但是也就是房间号+身份证后6位。
本来以前可以多个设备同时使用的,但是因为加了这个设备所以就没办法同时用了。(蛋疼的11X)
1.2 发现问题1(锐捷设备弱口令)
由于网速实在太慢,随便看了看想看看能不能快一点。。。但是扫描路由分配给我C段IP没发现有神马异常或者网络设备啊 web中间件啊神马的。(192.168.74.*)
然后出去买了个早点 巴拉巴拉吧:)
回来继续登录认证,发现认证地址和我的网段不同(192.168.64.*)
随手扫描了64段的端口,发现64.254开放23、8000等端口
果断手贱尝试8000端口,发现浏览器返回页面空白,但是奇怪的是title部分居然可以正常显示,右键查看源代码发现html是完整的。。F12看见了javascript有一句话是报错的。。
尝试了Chrome Safari firefox 无果。尝试使用burp 修改返回包成功看到了主页。。
尝试了root、admin 木有成功,但尝试guest,guest却成功进入。。
1.3 发现问题2(锐捷设备远程命令执行&权限可以提升)
使用burp抓包发现
POST /WEB_VMS/LEVEL15/ HTTP/1.1
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Cookie:auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; pass=guest
command=sh ver&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.
post参数中有一个command参数而参数值看着很眼熟 sh ver
查看返回包发现他返回的值是系统的版本以及其他系统参数
果断换掉命令,我把sh ver命令更换成sh running-config
成功的查看到了路由运行配置,其中包含3个web界面管理的帐号以及password 7的密文,还有console的密码等等一些配置
1.4 问题1-2总结
到这里其实我们有时间已经可以成功获得admin的权限了,虽然密文不是很好搞,但是我查了些资料发现他和cisco的加密手段或者说是密文基本类似,所以我猜测他也是OEM的CIsco的Password7加密方式,从网上找到了解密程序,但无法正常解密。(如果有好的方法还原的话,麻烦告诉我下:P)
1.5 发现问题3-1(锐捷设备权限绕过or权限提升)
因为之前木有尝试过用IE访问这个web界面(有可能不兼容?),开启虚拟机使用IE访问此管理页面发现可以正常显示。此处巴拉巴拉巴拉锐捷厂商省略10000字
访问到设备管理页面后发现权限不大啊,也是啊guest能有多大权限,基本只是查看而已
这尼玛神马都做不了啊,坑爹啊,搞了半天神马都做不了啊,传说中的裤子脱了你就给我看着啊。
通过仔细观察页面功能发现有个“快速设置功能”
好奇心来鸟,点进去查看
嗯,可以修改DNS进行钓鱼啊、劫持啊、中间人啊巴拉巴拉吧
然后观察左侧导航发现好像多了些什么?
尼玛啊明显多了很多功能么,难道可以正常使用这些功能么?
事实证明是的可以正常使用!
1.6 达到目的提升网速
通过查看DHCP配置发现有保留段,猜想在此段内的IP应该不会限速(绝大多数是他们内部设备or内部员工使用)
我把他DHCP分配我的192.168.74.* ip修改为了192.168.64.*
通过测速发现成功绕过限速
1.7 发现问题3-2(锐捷设备任意页面访问&修改&查看)
由于上面问题的发现,我的好奇心又来了。。。右键查看源代码发现很多JS,发现了一些*.htm页面,大致估计就是直接引用的这些页面。
发现他有个“网站监控功能”囧 试试能不能使用
各位小伙伴记住不要在酒店看爱情动作片了。。后台有监控。。。
1.8 全文总结
通过此次的头脑风暴,总结不怕神一样的对手就怕猪一样的队友。。。
如果是做安全或者真正关注用户安全就不要相信任何东西,不要相信它是安全的。
请各位厂商不要相信任何人都是普通的用户,不会发现XXX问题XXX问题然后放弃各种限制
2011-06-17
电脑开机时出现lass.exe进程是病毒吗?
自拍须谨慎!教你如何通过照片定位查看拍摄地点
电脑病毒最基础知识
黑客学员必须了解的C语言技术
精典详细内网渗透专题文章
教你破解Tp-Link的无线路由密码
解决SecureCRT中文显示乱码
QQ电脑管家和360哪个好?横评实测对比
攻防实战:无线网络路由入侵过程