01概述
该利用方式实际上是通过H3C路由器ERG2系列的后台开启L2TPVPN的方式直接进入内网横向,本文演示的是通过敏感信息泄露这漏洞获取账号密码的方式进行登录,并连接VPN横向利用。
02漏洞影响版本
ER2200G2、ERG2-450W、ERG2-1200W、ERG2-1350W、NR1200W<R1114 、ER3100G2、ER3200G2、ER3260G2、ER5100G2、ER5200G2、ER6300G2、ER8300G2、ER8300G2
03修复补丁
https://www.h3c.com/cn/Products___Technology/Products/Router/Catalog/ER/ER3200/
04开整
安全专区->防火墙->关闭防火墙
VPN->L2TP VPN->LNS用户管理
有用户的时候可以不用添加,添加界面如下图:
隧道认证密码就是L2TP连接时的密钥(不用Secoclient的时候启用隧道认证关掉,省的配置),如果有认证密码的话,右键检查查看源代码即可,Secoclient下载地址在文末网盘位置,如果是Windows10就不用下了,下了也用不了,按我后面教程走就行了。
Win10用不了Secoclient连接呀,怎么办,就去看华为官方教程就行了:
https://support.huawei.com/enterprise/zh/doc/EDOC1000154804/c22f75fe
我这里是实现完成按我win11的UI走一遍。
注册表的配置
1. 输入regedit调起注册表 。
2. 在左侧进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesRasManParameters”路径,并在右侧空白处右击选择“新建 > DWORD(32 位)值”,生成文件“新值 #1”。
3. 选中“新值 #1”,右击选择“重命名”,将文件重命名为“ProhibitIpSec”。
4. 选中“ProhibitIpSec”文件,右击选择“修改"。
5. 在弹出的“编辑 DWORD(32 位)值”对话框中,填写“数值数据”为“1”,并选择“基数”为“十六进制”。(上面4步没啥好截图的)
6. 点击确认后,重启PC。
创建L2TP VPN连接
1. 右键单击任务栏网络图标,选择“打开网络和共享中心”或输入“控制面板”,选择“网络和Internet”,选择“网络和共享中心”
2. 选择“设置新的连接或网络”,创建一个新的网络连接。
3. 选择“连接到工作区”,单击“下一步”。
4. 选择“使用我的Internet连接(VPN)”,通过Internet使用VPN连接企业内网。
5. 在“网络和共享中心”单击“更改适配器设置”,然后选中新建的连接后单击右键,选择“属性”。
6. 选中配置好的连接,单击“启动此连接”,进入VPN设置界面。选中创建的VPN连接后单击“连接”。
▲ 多出来一个VPN图标
▲ 点击连接
▲ 用前边的LNS用户管理的账号密码直接可以连接成功
进到企业内网了,然后就是老fscan了,后面也没啥好说的了。
链接:https://pan.quark.cn/s/f08bfb7c6f50提取码:R4JN
资源共享->网盘分享
内网->Secoclient【IPsec连接】
在没有成品解决方案的时候,翻一翻官方文档,这种企业产品都会给用户提供一个完整的使用方案的,打红蓝也只是模拟使用者,人客户用不了谁还买你产品。
原文始发于微信公众号(浩凯信安):红蓝|H3C路由器ERG2系列的内网打法(文末Secoclient网盘地址)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论