前言:局域网在管理中常常使用SNMP协议来进行设备的管理和监控,而SNMP的弱点也成为了我们此次渗透的关键。
使用SNMP管理设备只需要一个community string,而这个所谓的密码经常采用默认public/private或者弱口令,而且对SNMP口令进行爆破或字典猜解比较容易。这为我们扫描交换机并对他们进行管理提供了方便。

首先我们要搞定一个在内网的服务器作为跳板,通过观察和扫描其所在的网段可以大致发现局域网的网络结构,但这可能只是冰山一角。我们可以抓住几个交换机来进行顺藤摸瓜。首先我们扫描一个网段的SNMP开启状况和弱口令存在情况。

(点击图片查看大图)

成功找到一只弱口令的交换机。目测是C段的三层交换。

这样我们就可以对它进行MIB walk和browser抓到一些重要信息。
比如它的ip路由表和端口列表甚至Vlan分配表

 

(点击图片查看大图)

我们从IP表和端口表里发现了他的上联网段。10.0.0.X 再次对此网段进行SNMP扫描

(点击图片查看大图)

啪啪啪。扫到了很多弱口令。当然public是只读community string,但是这对我们的渗透已经足够用了。同时我们也发现了顶层的出口路由和出口交换机的地址,可以针对其进行渗透。

P.s.其实可以通过暴力或者字典猜解来破解出交换机的读写权限的community string。这样就可以对交换机进行完整的管理。比如down掉某个端口造成全部断网甚至关掉整个交换机(warning:操作核心交换机可能造成重大影响,请谨慎操作)。

(点击图片查看大图)

接上,拿到了这些交换机的SNMP读取权限以后。我们就可以顺藤摸瓜的把整个网络的结构和各网段的IP分配以及作用摸得清清楚楚了。剩下的就是针对某个IP段或者某项功能进行局部渗透了。比如监控网段,门禁网段,会计系统,办公网段,对外的服务器段等。

整体来说 我总结的交换机入侵经验是顺藤摸瓜 先逆流而上,找到主干,然后顺流而下,找到每个分支,分辨其作用,形成一个整体的系统网络。整个局域网就在你的掌控之中了。

当然交换机入侵也可以采用TELNET的方法,但是爆破时间较长,而且一般交换机都有三次试错机会,对破解造成了不小的困扰。我们其实不需要telnet这么高的权限就可以对交换机进行管理。本文就是个例子。
大约四年前用这方法曾经拿下过省级边界出口交换机。同样国外的交换机也存在这个问题。三层交换的SNMP管理弱点是必然的。即使是一些安全性较高的地方,爆破和猜解也很容易,估计唯一解决方法就是干掉SNMP功能或者设置超长超变态SNMP密码。

后记:本文旨在提供一种基于SNMP的交换机入侵的内网渗透方法和思路,以及做的一些简单测试,具体利用手段和方法也欢迎大家一起讨论。我相信这种方法在中大型局域网里面是很有用武之地的。

[via@90sec]

基于SNMP的交换机入侵的内网渗透的更多相关文章

  1. 4. 内网渗透之IPC$入侵

    IPC$连接 IPC$的概念: IPC$(Internet Process Connection)是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限 ...

  2. 内网渗透测试思路-FREEBUF

    (在拿到webshell的时候,想办法获取系统信息拿到系统权限) 一.通过常规web渗透,已经拿到webshell.那么接下来作重要的就是探测系统信息,提权,针对windows想办法开启远程桌面连接, ...

  3. metasploit渗透测试笔记(内网渗透篇)

    x01 reverse the shell File 通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行.本地监听即可获得meterpreter shell. r ...

  4. Metasploit 内网渗透篇

    0x01 reverse the shell File 通常做法是使用msfpayload生成一个backdoor.exe然后上传到目标机器执行.本地监听即可获得meterpreter shell. ...

  5. Linux内网渗透

    Linux虽然没有域环境,但是当我们拿到一台Linux 系统权限,难道只进行一下提权,捕获一下敏感信息就结束了吗?显然不只是这样的.本片文章将从拿到一个Linux shell开始,介绍Linux内网渗 ...

  6. [原创]K8 Cscan 3.6大型内网渗透自定义扫描器

    前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率漏洞时效性1-2天,扫描内网或外网需1 ...

  7. 内网渗透之IPC,远程执行

    开启服务 net start Schedule net start wmiApSrv 关闭防火墙 net stop sharedaccess net use \\目标IP\ipc$ "&qu ...

  8. 3.内网渗透之reGeorg+Proxifier

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAAxIAAAE2CAIAAAB6BDOVAAAgAElEQVR4Aey9Z5Aex3X327MRGVzkRH ...

  9. [内网渗透]lcx端口转发

    0x01 简介 lcx是一款端口转发工具,有三个功能: 第一个功能将本地端口转发到远程主机某个端口上 第二个功能将本地端口转发到本地另一个端口上 第三个功能是进行监听并进行转发使用 Lcx使用的前提是 ...

随机推荐

  1. CTSC2018 旅游记

    我即使是死了,尸体烂在棺材里,也要用这腐朽的声音喊出: LJCCF!!!! DAY -3 体育中考AK了! 顿时感觉中考稳了(虽然竞赛已经特招) 新目标:我要用三种方式考上SZMS! DAY -1 成 ...

  2. 论文笔记《Fully Convolutional Networks for Semantic Segmentation》

    一.Abstract 提出了一种end-to-end的做semantic segmentation的方法,也就是FCN,是我个人觉得非常厉害的一个方法. 二.亮点 1.提出了全卷积网络的概念,将Ale ...

  3. numeric 转换为数据类型 (null) 时出现算术溢出错误

    mssql数据同步到mysql时提示错误如下: 消息 8115,级别 16,状态 14,第 1 行 将 numeric 转换为数据类型 (null) 时出现算术溢出错误 问题分析如下: 1.数据字段类 ...

  4. POJ2771 Guardian of Decency

    Time Limit: 3000MS   Memory Limit: 65536K Total Submissions: 5513   Accepted: 2319 Description Frank ...

  5. hdu 5950 Recursive sequence 递推式 矩阵快速幂

    题目链接 题意 给定\(c_0,c_1,求c_n(c_0,c_1,n\lt 2^{31})\),递推公式为 \[c_i=c_{i-1}+2c_{i-2}+i^4\] 思路 参考 将递推式改写\[\be ...

  6. android的布局-----GridLayout(网格布局)

    学习导图 (一)简介 网格布局由GridLayout所代表,在android4.0之后新增加的布局管理器,因此需要android4.0之后的版本中使用,如果在更早的平台使用该布局管理器,则需要导入相应 ...

  7. linux下的程序调试方法汇总

    搞电子都知道,电路不是焊接出来的,是调试出来的.程序员也一定认同,程序不是写出来的,是调试出来的.那么调试工具就显得尤为重要,linux作为笔者重要的开发平台,在linux中讨论调试工具主要是为那些入 ...

  8. 树莓派个人实测 Q&A(最新修改使用Manjaro连接远程桌面) (二)

    以下内容使用和http://www.eeboard.com/bbs/thread-5191-1-1.html所在的帖子一样的风格,不过原作者是window下的操作,本人的都是在manjaro linu ...

  9. [转]谈谈Java中的语法糖

    *该博客转自 http://blog.csdn.net/danchu/article/details/54986442 语法糖(Syntactic Sugar),也称糖衣语法,指在计算机语言中添加的某 ...

  10. hadoop(三)HDFS 文件系统

    Hadoop 附带了一个名为 HDFS(Hadoop 分布式文件系统)的分布式文件系统,专门 存储超大数据文件,为整个 Hadoop 生态圈提供了基础的存储服务. 本章内容: 1) HDFS 文件系统 ...