飞塔VPN小记

admin 2025年3月31日22:56:44评论7 views字数 928阅读3分5秒阅读模式

前言

没看到啥飞塔后利用的说明文章啥的,正好遇到了一个目标恰巧能打。

后利用

管理口页面是这个样子的

https://127.0.0.1/login?redir=%2F

飞塔VPN小记
  • 因为是真实环境,所以会对部分真实信息以及IP进行模糊化处理。

起手一个0day进后台。

飞塔VPN小记

由于很多飞塔vpn通过资产测绘等无法找到其确切归属某个单位资产,可以登录后在箭头位置看到归属的公司。

(PS:但是还是有一些公司会把这个运营在电信运营商或者云服务商那边,所以注册信息就会是那些运营商的,这个只能通过其后台的账户信息,比如"[email protected]"这种来做判断)

飞塔VPN小记

言归正传,既然我们有了这个管理口的vpn了 那么肯定想做更多事情对吧如果我们的目标也非常贴心的给我们开了用户的连接口:

https://127.0.0.1:10443/remote/login?lang=en

访问后如下图:

飞塔VPN小记

那我们可以利用管理口后台的cli执行命令得到其用户的hash和加密ha,并利用GitHub的一个脚本将其解密。

管理口后台cli位置:

飞塔VPN小记

提取命令如下

show user local //提权用户名和密码hashshow system ha //提取HA信息

解密脚本连接:

https://github.com/saladandonionrings/cve-2019-6693

解密后去官方下载一个vpn的client端,官网链接:

https://www.fortinet.com/cn/support/product-downloads

下载箭头所指的客户端后安装

飞塔VPN小记

安装完成后配置好目标的信息点击保存

飞塔VPN小记
飞塔VPN小记

输入解密后的账号密码直接连接即可。

分配后可以在Network中查看其配置的一些路由规则来帮助我们继续后渗透

飞塔VPN小记

也可以在FortiView Sessions中查看他的一些连接信息

飞塔VPN小记

有些后台中可能在LDAP Servers中配置他的域服务器信息

飞塔VPN小记
飞塔VPN小记

正常的话他的密码我们是不能看到的,这个时候我们可以将其Server IP/Name中的ip替换成我们 vps的ip,在我们的vps上起一个ncat并监听389端口然后点击 Test Connectivity即可劫持到密码。

小结

飞塔VPN后利用小记

原文始发于微信公众号(Ghost Wolf Lab):飞塔VPN小记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月31日22:56:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   飞塔VPN小记https://cn-sec.com/archives/3903227.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息