利用被入侵的路由器邁入內網——抓包,利用路由器漏洞入侵,進行流量劫持
0x01 控制路由器
這一步沒有什麼好的辦法,我們利用分佈式掃描抓到了一些路由器,再加上其他的漏洞,有了一定數量作為測試保證。
選擇一臺 cisco c800系列的小企業路由器(很老了)
圖1 router version
進去之後,先查看日誌,登陸認證相關信息。
圖 2 router 登陸等相關信息
有一個登陸限制的acl,被我之前刪掉了,這就找到了telnet的密碼。同時沒有開啟aaa認證,也就不存在什麼認證服務器什麼的,就只有本地驗證。沒有任何日誌服務器的配置,連snmp都沒有配置(本來還想留一個snmp的後門,看來是不行了)。
趕緊添加賬號密碼,加固路由器,修復漏洞。
圖3 添加特權賬戶
0x02 網絡拓撲分析
基本操作完,趕緊保留一份完整的配置(這個不能完整的貼出來)然後分析基本網絡架構。
總述就是這是一個公司的小分部,通過pppoe加nat上網,有一個公網ip地址,有一個10.xx.xx.0/24的內網地址,通過gre的隧道,和主公司相連,擁有更為龐大的內網。
這種網絡形式是最為常見的,通過ISP撥號獲取公網地址,然後內網機器通過nat上網。全公網ip地址的公司網絡極為少見。
網絡拓撲如下
圖4 網絡拓撲示意圖
0x03 準備進入內網
內網機器通過NAT訪問Google,同時內網受到NAT的保護。我們控制了R1這臺路由器,處於內網出口;還有一臺公網VPS,ubuntu12.04 。R2表示很多臺路由器,沒有控制權限。
由於想要進行內網滲透測試,需要獲取更多的信息。我們另外添加一臺公網VPS(win2008R)在上面架設流量監視服務器,分析內網日常流量和行為。
win2008搭建的是netflow服務器,在R1上配置netflow,來觀測內網流量信息。netflow軟件網上有好多,solarwind最好,支持sqlserver2005,能存儲大量的數據,沒找到破解版。我用的ManageEngine,到處都是破解版。
0x04 進入內網
流量不能幫我獲取內網權限,就只能自己進入內網。
強制劫持一個內網沒有人用的合法IP地址,通過連接linux openVPN分配給自己,剩下只要在路由器添加這個地址的主機路由和在Linux上添加到10.xx.xx.xx/8 的默認路由,然後我的WorkStation就獲得了內網訪問權限(沒有像VPN什麼的限制,訪問權限等同於路由器權限)。
如何讓自己的WorkStation進入內網就是很隨意的了,方法實在是太多,因為此時這臺Ubuntu已經在內網中。openVPN配置和添加路由配置就不貼出了,網上太多。
圖5 驗證Ubuntu於內網的連通性
這樣的內網滲透是有以下幾個優點:
你所有的流量會被內網流量設備認為是內網流量,流量稍微大一點的內網,你可以隨意下載文件,不用再關心流量過大引起報警。(理論,沒脫過文件)
在路由器上做好隱藏,規避netflow監測,去掉日誌,在臨走的時候直接erease所有的存儲器,你的行為在內網不可查。(理論,沒做過)
如果地址劫持的合適,能繞過內網服務器的登陸限制(三層限制)。
時間把握的好,可以製造內網某員工從文件服務器大量下載文件的假象。(理論,沒做過)
缺點
就一個,數據包不加密,這點很煩人,數據包基本全透明。要是路由器外沒有安全設備了或者直接做一個IPSec Tunnel,就等同於沒缺點。
總結,就是擁有極高的隱蔽性,遠高於VPN,馬什麼的。連日誌服務器都可以不怎麼理他。
本文標題為邁入內網,並非內網滲透,不做內網滲透相關研究。
所有的敏感的信息已經修改塗掉。
圖6 Ubuntu 到Google延遲
路由器到Linux的延遲平均為256ms,路由器直接ping Google 平均延遲時180ms
圖7 路由器網絡延遲截圖
Linux處理劫持數據,修改數據包的軟件延遲約為5ms,所以預估劫持之後的延遲應該在260ms左右。
但是,經過劫持之後,到目標的延遲為248,該數值小於256ms+0.6ms+5ms,至於為什麼,無法解釋。
總體延遲影響,增加了180ms的三分之一,60ms左右。
之前我們對延遲有過較多的討論:增加了延遲的三分之一,影響會比較明顯,容易被察覺從而引發報警。我個人認為,大家上百度比平時延遲增加了500ms,或是1s,就算是baidu的運維,在檢查完IP地址,看完tracert之後,也就罵罵運營商。更何況一般網絡用戶不會認為是運營商的問題,只會認為是不是自己電腦卡了,可能有人懷疑自己被網絡劫持了麼。
關於內網路由器的討論,本文研究的路由器為網絡邊界路由器,至少有一個公網IP地址。當路由器或者三層交換處於內網中,劫持能否使用,答案是可以的。通過建立七層應用層隧道(GRE為三層網絡層隧道),就像我們個人電腦一樣,穿過內網。或者直接同內網的一臺服務器建立連接,劫持數據(經過驗證,但是公網測試時,對端是一臺公網CISCO路由器2911,沒試過服務器,開發能力有限)。
如果需要穿透內網,需要應用層VPN,例如IPSec VPN,EZ VPN (我測試了這倆,其他的高於三層的VPN都理論可行)等,配置比GRE Tunnel複雜的多,但懂了原理配置還是很簡單的。配置實在是貼不完。IP Sec VPN理論上應該可以向IP Sec VPN 服務器建立連接,我沒成功,還在理論層面研究。EZ VPN ,CISCO專有,肯定不能在WIN或者linux上搭建服務器。
關於駐留,通過路由器擴展內網駐留或者路由器後門駐留,比馬什麼的好太多了,除了NSA和fireeye,沒聽說過誰接觸過過路由器後門的。國內絕對是通殺,會配置路由器的都沒幾個人,更別說反查。
關於HTTPS的討論:綠標這個問題確實比較頭疼,我目前嘗試能過的就是嵌套,在綠標中插入紅標,最後用戶看到的還是綠標。
關於流量劫持軟件,網上都說劫持軟件多如牛毛,但是實際上找下來,就沒有一個可以拿來直接用的,尤其是在透明劫持這個模式下,沒發現能直接用的,像什麼MITMproxy什麼什麼的,大家都說好,實際測試一下,也就適合開發人員調試軟件,所以只能自己開發,但是開發能力有限。
希望大家推薦一些,能效率很高的處理大流量(例如BGP劫持)的軟件。
安界貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;即使低學歷也可實現職業發展中的第一個“彎道超車”!安界就是你唯一選擇,趕緊私信我!等你來!
閱讀更多 安界 的文章
