前言
没看到啥飞塔后利用的说明文章啥的,正好遇到了一个目标恰巧能打。
后利用
管理口页面是这个样子的
https://127.0.0.1/login?redir=%2F
-
因为是真实环境,所以会对部分真实信息以及IP进行模糊化处理。
起手一个0day进后台。
由于很多飞塔vpn通过资产测绘等无法找到其确切归属某个单位资产,可以登录后在箭头位置看到归属的公司。
(PS:但是还是有一些公司会把这个运营在电信运营商或者云服务商那边,所以注册信息就会是那些运营商的,这个只能通过其后台的账户信息,比如"[email protected]"这种来做判断)
言归正传,既然我们有了这个管理口的vpn了 那么肯定想做更多事情对吧如果我们的目标也非常贴心的给我们开了用户的连接口:
https://127.0.0.1:10443/remote/login?lang=en
访问后如下图:
那我们可以利用管理口后台的cli执行命令得到其用户的hash和加密ha,并利用GitHub的一个脚本将其解密。
管理口后台cli位置:
提取命令如下
show user local //提权用户名和密码hashshow system ha //提取HA信息解密脚本连接:
https://github.com/saladandonionrings/cve-2019-6693
解密后去官方下载一个vpn的client端,官网链接:
https://www.fortinet.com/cn/support/product-downloads
下载箭头所指的客户端后安装
安装完成后配置好目标的信息点击保存
输入解密后的账号密码直接连接即可。
分配后可以在Network中查看其配置的一些路由规则来帮助我们继续后渗透
也可以在FortiView Sessions中查看他的一些连接信息
有些后台中可能在LDAP Servers中配置他的域服务器信息
正常的话他的密码我们是不能看到的,这个时候我们可以将其Server IP/Name中的ip替换成我们 vps的ip,在我们的vps上起一个ncat并监听389端口然后点击 Test Connectivity即可劫持到密码。
小结
飞塔VPN后利用小记
原文始发于微信公众号(Ghost Wolf Lab):飞塔VPN小记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论