前言
无论是渗透内网还是外网,信息收集都非常重要,只有探测出目标系统(操作系统/Web程序)、安装程序/APP等才有资格去找相应的EXP或漏洞工具对目标进行尝试利用,你连目标IP都不知道,靠运气一通乱扫描?所有漏洞都扫?人家用的是MAC或LINUX,看到开放445,你用MS17010去打?要搞清楚MS是微软的缩写MS17010只针对Windows,LNX也有SMB漏洞但不是这个编号。所以想方设法探测目标机器或收集相关信息非常重要也是第一步该做的事,只有知道存活IP才能使用其它工具扫描,或者知道系统信息又可使用更精确的工具去扫是否存在对应漏洞,对于思科设备更是如此,特别是溢出类的EXP,不知道目标具体版本,可能打过去路由器就崩了,所以探测本很重要,当然有一些型号无法探测,连做了10几20年的“某蛋”等搜索引擎也无法识别,也可采用另一种方法,拿现有EXP全打了再说,崩了,顶多就是目标不能上网一会而已嘛,现实中谁上网不经常卡一下,你卡的时候有怀疑过是公司路由器被打了吗?连专门从事安全技术的都不会因为几秒或几分钟的网卡而去查,连WEB漏洞这种轻易利用和被发现的都得花点时间排查,如果是溢出类的,特别还是失败的,别人更不好查,一般容易被查都是在马这种有链接。也可以反向思路,假如你是管理员,你负责管理一堆机器,每天上班都是这工作,你去反查,是先查看现成日志,有链接有明显特征的流量,还是去看一条压根不成功,无法确认是用洞打的还是路由自己崩的信息,再说得直接点,TM有几个管理员懂溢出,有个崩溃日志,他懂个毛,手头里大量明显外连的IP,他都没有排查完,你还没进去呢,他还花大量时间学溢出,或请人来看一条崩溃日志?你有没想过不只你一个人在打,他管理的机器中也不只一台出现崩溃,所以有时候不要把对方想得太神过头了,没那么夸张,他真的牛到这种地步,你压根就不需要拿Nday去尝试了,你都敢拿Nday去打,就说明你心里认为他就是个SB,压根都不打补丁或者不懂,如果非要说他懂,换作你是管理员,一个公开漏洞你懂,你会不补上吗?或者WAF规则不加上吗?不要怂,就是干。探测版本的目的是为了更快利用,减少未知版本,需要黑盒测试太多Nday所浪费的时间,根据我这几年在项目中遇到的Cisco版本,做了几种方法探测工具。因为不同版本开放端口不同、协议不同、就算同协议同端口返回信息也不懂,所以当你学会一种方法,压根就不可能探测全的,刚好探测到,只以说是运气。加上防火墙限制原因,可能只允许某个协议访问,你只会一种,又是不允许通过的,你识别个蛋啊。
小结:能识别版本,节省时间,调对应版本漏洞,实在不行直接打,怕个毛
0x001 Snmp协议
Snmp协议,这是一个非常老的协议,有些思科会开启该协议,我们直接通过UDP的161或162端口,就能探测到信息,这个前提是开启SNMP,并不是说你会了这种方法,所有思科都能探,别高兴得太早了,类似工具在Ladon没写之前就已存在10几年,只是Ladon支持批量探测,同时还支持其它协议探测思科,此模块在2020年加入Ladon,因为在不少大公司都通过SNMP监控设备,所以在这种条件下,SNMP探测不到思科,也能探测到别的机器。
详细原理如下(2年前的文章)
渗透技巧-Ladon利用SNMP协议探测存活主机/操作系统版本原理与实现
https://blog.csdn.net/k8gege/article/details/113443768
SNMP协议
简单网络管理协议(SNMP) 是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
基于SNMP,进行网络设备监控,如:交换机、防火墙、服务器,CPU等其系统内部信息,基本都可以监控到。
穿墙探测
赚快钱的方法都写在刑法里,穿墙的协议都写在防火墙里。Windows系统默认允许协议(或者说安装对应角色功能后默认通行的协议),利用SNMP协议可探测机器名、操作系统版本、系统位数、多网卡信息(IP掩码网关)、进程(进程名/PID)、命令行参数、磁盘信息、C段存活主机MAC、当前打开目录、窗口标题等越多目标信息
Ladon默认先通过Ping探测存活,然后才加载模块对应协议。由于目标禁ping,实际上是存活的,所以我们使用noping参数来探测Snmp协议思科存活机器信息,命令 Ladon noping 目标IP SnmpScan
0x002 Ladon子模块CiscoScan
Ladon插件Cisco思科设备扫描(IP、设备型号、主机名、Boot、硬件版本),基于http协议能探测到固件版本,这也是部分版本,如果是其它版本,使用该模块探测不到也正常。
https://www.shuzhiduo.com/A/xl56eOk7Jr/(原博客被封这是别人转载的)
0x003 Ladon子模块WhatCMS指纹识别
该插件基于HTTP协议WEB特征以及SSL证书识别,支持识别国内外常见上百种CMS、设备、防火墙、CDN等,也可智能识别一些未知CMS,最新版9.2.1新增以下思科型号识别,包括但不只限于以下版本。有些思科版本依旧无法识别,连做了10几20年的蚤蛋等搜索引擎也无法识别。
107 Cisco AnyConnect VPN
108 Cisco-CcspCwmpTcpCR/1.0
109 Cisco Linksys Smart Wi-Fi
110 Cisco RV016
111 Cisco RV180W
112 Cisco RV180
113 Cisco RV120
114 Cisco RV120W
115 Cisco CVR328W
最新版 批量识别 Cisco设备 实战效果
0x004 Ladon子模块SSLinfo
探测原理
通过访问SSL端口获取SSL信息,默认端口为443,探测过程是一个正常ssl的请求服务器,服务器返回证书的过程,因此是不会被WAF、防火墙、EDR、XDR等产品拦截或报警。证书里可能会包含设备版本、组织机构、域名、机器名、路由器、CDN等等信息,当然也相当于变相探测存活主机的方法。
对一些旧版思科设备,可直接在证书OU字段查看版本如RV180
0x005 Ladon子模块OsScan
该模块只能探测到Cisco设备,无法探测型号,但探测不到版本号,就算不敢使用漏洞打,也不代表不能尝试弱口令啊,因为原理不同,上面未必能探测到Cisco设备,实战当然是信息收集得越全越好,除非你运气好,前面模块扫到的直接打到权限了,不然可能你又少了一些可以尝试密码的机器。
0x006 Ladon子模块SshScan
使用该模块可通过ssh回显信息识别Cisco,在目录下放字典文件时,也可以检测弱口令,特别是大型内网,几百台Cisco,扫到几十台默认密码正常
一些EXP
https://github.com/k8gege/ciscoexploit
原文始发于微信公众号(K8实验室):6种方法探测Cisco设备版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论