只用一个WiFi,渗透进企业全部内网

标签: 无线安全 wifi黑客 | 发表时间:2016-06-22 17:20 | 作者:360天巡实验室
出处:http://www.freebuf.com

近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响。

wifi-city.jpg

到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口。

天巡实验室在今年上半年对几个大中型企业进行了基于无线的安全服务,发现实际情况比想象中更为严峻。本次,在得到了其中某一客户授权情况下,我们将为大家分享一次由无线为入口的黑盒渗透测试。

攻击过程

我们在目标公司附近发现存在两个无线网络,经过确认一个是开放式的WiFi,通过Portal进行认证;另一个则是802.1X网络。我们来分别进行检测。

Portal安全检测

在连上这个开放式热点后,跳转到了Portal认证页面。

很快我们就发现了一个很普遍的“漏洞”,通过Portal登录返回信息,可以判断用户名是否存在。

用户不存在如下:

图片1.png

用户存在如下:

2.png

根据他们的测试规则,可以看到用户名为姓名全拼。通过使用中国人姓名top1000,利用burp进行了爆破,抓取了一批存在的用户。我们利用这些存在的用户进行暴力破解。

3.png

可以从上图看到,对爆破做了限制,但是可以使用“多用户名,单密码”这样的策略,不会触发他们规则。很快获取到了一个账户密码,登录成功。有很多的Portal的ACL有问题,接入Portal直接分配到的IP可以访问内网的资源(对于对渗透人来说,能不能上网不关注,我只需要能接入你的内网就行了),如果存在这种情况,就不用非得获取Portal的用户名密码。

经过分析发现,这个网络与企业的办公网络隔离,大致是提供给员工进行日常上网用的。对于这次的渗透目的来说,此网段并不能接触到我们的目标。我们将目光看向另一个无线网络,这个WiFi使用的是802.1x认证。

802.1x破解

企业在部署802.1X无线网络时,出于兼容性及结合域账户便利性考虑,一般都会采用PEAP-MSCHAP v2的架构。PEAP的认证过程分为两个阶段:

 阶段一:服务器身份验证和建立TLS隧道。Server向Client发送证书信息实现“Client对Server的认证”。

 阶段二:客户端身份验证。在阶段一建立的TLS隧道内通过多种认证方法(一般为EAP-TLS 或 EAP-MSCHAPv2)与PEAP共用实现“Server对Client的认证”。

PEAP的问题目前主要出在客户端对服务器证书的验证上,它通过类似SSL机制为认证提供传输层的安全,需要企业去向CA购买证书,或者自建PKI系统,签署用于无线的证书,同时将根证书部署到每个客户端。大多数企业都选择自签名一个证书,但“将根证书部署到每个客户端”过于繁琐,被直接忽视。

图片2.png

攻击手法为建立伪热点骗取用户连接建立TLS隧道,在阶段二中获取MSCHAP v2认证时传输的账号hash值,利用字典破解出密码。

在这里我们利用hostapd-wpe建立一个1X的同名热点,我们静静的等待周围下楼来抽烟遛弯的鱼儿上钩即可。

图片3.png

不一会儿,就获取到了8条hash值。我们先尝试利用Top100W的字典跑一下,跑不出的话再花十几元找人跑一下。

图片4.png

比较幸运的是,在尝试第4条hash时,发现使用了top 100w里的弱密码。结合之前明文的用户名,我们可以接入这个无线网络了。

图片5.png

图片6.png

信息收集

前面说到了,采用PEAP-MSCHAP v2架构的原因之一是可以与域账户进行结合,这组账号密码同时也是这位员工的域账号密码。可以登录公司的OA、邮件等系统。但在其中并未发现到我们想要的一些信息,暂时放放,看下网段的其他机器。下图为扫描一下内网中开放http服务的主机。

9.png

Jenkins Hack

通过前期的信息收集,在内网发现一个Jenkins程序。Jenkins是基于Java开发的一种持续集成工具,用于监控持续重复的工作。当jenkins配置不当时,会默认存在一个未授权命令执行漏洞,但经过检验管理员已经进行了限制,不能利用。所以为了执行命令,我们需要获取一个能执行命令的账户。

图片7.png

由于配置不当的原因,在未登录的状态下获取到了用户列表。抓取所有用户名后,再次利用Burp来爆破弱密码,过程略。成功获取了3个账号,利用获取的用户登录jenkins,访问xxxx.com/script,如下图:

11.png

可执行命令,低权限,反弹shell回本地进行提权。由于环境中wget不能使用,使用了Groovy语法把反弹脚本写到服务器。

12.png

利用Linux Kernel的本地提权漏洞,我们获取到了root权限。下一步便是:收集配置文件、history、shadow等敏感文件的信息。

SSH Key 

利用shadow中拿到的密码,解密后利用Hydra进行网段的SSH批量登录尝试。在登录到某台机器之后,竟然发现了一个私钥文件。

图片8.png

如果本地用putty使用linux拷贝过来的私钥文件,需要使用puttygen.exe进行格式转换,如上图的aaaaaa.ppk文件。

Zabbix

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案,常见的漏洞有弱口令(admin Zabbix)、CVE-2013-5743等。

为什么说Zabbix我最喜欢呢,因为Zabbix在后台中可自定义脚本,执行命令(自身包含agent都可)。Zabbix就像一个网吧的网管工具,通过它可以向客户端发送任何指令并执行,以黑客的角度来讲,这就是一个超级后门。所以,在网段隔离的情况下,只要能搞定Zabbix,几乎就意味着拿下大批机器。

图片9.png

在利用私钥登录的某台机器上便发现存在Zabbix,在配置文件中找到了Zabbix的server地址,这时候任务转变为寻找Zabbix的账户密码。我们通过收集之前拿下多台机器的history中的信息,对Zabbix进行账号猜解,最终进入了Zabbix。(这里为了避免泄漏敏感信息,放上个来源网络的图)

图片10.png

结论

1.未设置合理的域密码策略,导致大量弱密码存在。

2.内网vlan划分不严格。

3.内网中大量系统补丁不及时。

4.运维人员各系统使用一套密码。

这次的渗透测试,还做了大量其他的工作,但是因为涉及客户一些敏感信息,这里就不再介绍的那么详细,只公开比较核心的地方,还有一些其他的漏洞没有全部记录,如ElasticSearch代码执行,内部系统SQL注入,共享盘符可写,JavaDebug等。

但最值得注意的地方或许是文章开始部分的无线网络渗透。虽然针对802.1X的攻击未在国内普及,但可预见的是缺乏对无线网络做安全防护的企业将会深受其扰。

对于802.1X网络渗透更详细的介绍,可以参考之前所发的 《企业级无线渗透之PEAP》

* 作者:360天巡实验室(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [wifi 渗透 企业] 推荐:

只用一个WiFi,渗透进企业全部内网

- - FreeBuf.COM | 关注黑客与极客
近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响. 到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口.

从入门到精通:WiFi渗透哪家强?

- - FreeBuf.COM
‍‍FreeBuf特别提示:本文可能含有攻击性,仅供安全攻防学习和教学用途,禁止非法用途‍‍ ‍. ‍ Wi-Fi安全近年来成为热点话题,“免费WiFi暗藏李鬼”“WiFi钓鱼”事件层出不穷. 了解Wifi渗透知识必不可少,本文为你娓娓道来(附送实战案例). 钓鱼Wi-Fi ,愈来愈多的网友通过公共场所的Wi-Fi来获取资讯,不成想“蹭网”有风险,网上曝出Wi-Fi也能“钓鱼”窃取网银账号、密码等的消息,专家表示通过Wi-Fi进行网络支付网友只要选择来源明确的网络,.

渗透测试:我的企业安全经验之账号安全

- - Seay's blog 网络安全博客
安全管理要想真正做好真不容易,主要是看高层和业务方的支持. 我专门针对密码安全这块做过一些研究,也根据自己的一些经验,最终是产出了一些密码和用户名字典,有手写了上千个,也有根据自己写的词根来生成一些,当然只是普性字典,还有一个专门针对的企业员工信息安全的大数据平台(大杀器)正在研发,我们要把经验做成自动化来玩.

WiFi之劫

- 鱼 - 南方周末-热点新闻
被无数时尚青年与商务人士热爱的免费WiFi,正面临一场劫难. 监管部门正打算用安全软件来将非经营性场所上网纳入监管.

WiFi圈地之战

- Beardnan - 南方周末-热点新闻
大量的数据流量需求摆在面前,3G网络不堪重负,直接导致了中国三大电信运营商对WiFi领域的巨资投入和跑马圈地. 但要找到WiFi的盈利模式,仍是一件艰难的事.

RaspBerry Pi连接WiFi

- - 平凡的世界
推荐 EDUP EP-N8508GS无线网卡 树莓派专用,这个直接免驱,省去很多麻烦事.

WiFi 四次握手认证

- - IT瘾-dev
本文作者:98(信安之路作者团队成员). 如今大家都非常熟悉 WiFi 密码常见的破解手法,可是破解的原理你懂吗. 我想很多人都是不知道的,所以今天就来简单的讲解一下. WiFi 的四次握手是干什么的. 这是 WiFi 身份认证的一个过程,如果没有你的设备没有通过他的身份验证就不能加入他的局域网当中.

助你輕鬆搜尋 WiFi 熱點《WiFi Finder》

- yat - Android 資訊雜誌 android-hk.com
不想負擔沈重的數據費用或者漫遊費用,最好的辦法當然是使用免費 WiFi 網絡,不過別說在海外地方,相信大家就連香港的 WiFi 熱點位置都不太清楚. 而今次介紹的 WiFi Finder 絕對可以幫到大家,該程式紀錄了世界各地 144 個國家超過 50 萬個公共 WiFi 熱點,當然包括香港在內,而且還支援離線使用.

WiFi Calling功能!教你如何用WiFi 来拨电话 | MELODY

- -
WiFi Calling功能这和一般正常通话的使用体验很相似,WiFi Call 是使用现有的手机号码拨接,有别于其它的网络电话(VoIP). 你只需连接到任何的WiFi,就能使用你的电话号码来拨电给任何人. WiFi Call 可以解决网络覆盖效率低的问题. 有了这项新服务,用户将能通过个人或公共 WiFi来拨接语音通话,因此,全球的每一个WiFi站都能成为你的电讯塔,并扩展该电讯公司目前的网络覆盖范围.

再谈内网渗透

- - FreebuF.COM
前言: 看了@g.r0b1n文章《浅谈内网渗透》抑制不住自己冲动的心情,写一篇《再谈内网渗透》,希望以后有朋友能更新《详谈内网渗透》 在我的脑子里面我始终认为,一次渗透至少要控制被渗透对象80%以上服务器才能算得上一次成功的渗透. 正文: 我没有内网域里面某个机器的权限,我只有一个存在漏洞的web页面,而我的目的就利用这个存在漏洞的web入侵线上服务器,然后从IDC网络入侵到办公网,到了办公网络再入侵域控服务器,很多较大的互联网公司IDC内网与运维网相通的,然而运维内网一般包含在办公网络中.