欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

只用一个WiFi,渗透进企业全部内网

来源:本站整理 作者:佚名 时间:2016-06-23 TAG: 我要投稿

近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响。

到了2016年,无线网络已经成为企业移动化办公的重要基础设施,但这些无线网络普遍缺乏有效的管理,无线网络也越来越多的成为黑客入侵企业内网的突破口。
天巡实验室在今年上半年对几个大中型企业进行了基于无线的安全服务,发现实际情况比想象中更为严峻。本次,在得到了其中某一客户授权情况下,我们将为大家分享一次由无线为入口的黑盒渗透测试。
攻击过程
我们在目标公司附近发现存在两个无线网络,经过确认一个是开放式的WiFi,通过Portal进行认证;另一个则是802.1X网络。我们来分别进行检测。
Portal安全检测
在连上这个开放式热点后,跳转到了Portal认证页面。
很快我们就发现了一个很普遍的“漏洞”,通过Portal登录返回信息,可以判断用户名是否存在。
用户不存在如下:

用户存在如下:

根据他们的测试规则,可以看到用户名为姓名全拼。通过使用中国人姓名top1000,利用burp进行了爆破,抓取了一批存在的用户。我们利用这些存在的用户进行暴力破解。

可以从上图看到,对爆破做了限制,但是可以使用“多用户名,单密码”这样的策略,不会触发他们规则。很快获取到了一个账户密码,登录成功。有很多的Portal的ACL有问题,接入Portal直接分配到的IP可以访问内网的资源(对于对渗透人来说,能不能上网不关注,我只需要能接入你的内网就行了),如果存在这种情况,就不用非得获取Portal的用户名密码。
经过分析发现,这个网络与企业的办公网络隔离,大致是提供给员工进行日常上网用的。对于这次的渗透目的来说,此网段并不能接触到我们的目标。我们将目光看向另一个无线网络,这个WiFi使用的是802.1x认证。
802.1x破解
企业在部署802.1X无线网络时,出于兼容性及结合域账户便利性考虑,一般都会采用PEAP-MSCHAP v2的架构。PEAP的认证过程分为两个阶段:
 阶段一:服务器身份验证和建立TLS隧道。Server向Client发送证书信息实现“Client对Server的认证”。
 阶段二:客户端身份验证。在阶段一建立的TLS隧道内通过多种认证方法(一般为EAP-TLS 或 EAP-MSCHAPv2)与PEAP共用实现“Server对Client的认证”。
PEAP的问题目前主要出在客户端对服务器证书的验证上,它通过类似SSL机制为认证提供传输层的安全,需要企业去向CA购买证书,或者自建PKI系统,签署用于无线的证书,同时将根证书部署到每个客户端。大多数企业都选择自签名一个证书,但“将根证书部署到每个客户端”过于繁琐,被直接忽视。

攻击手法为建立伪热点骗取用户连接建立TLS隧道,在阶段二中获取MSCHAP v2认证时传输的账号hash值,利用字典破解出密码。
在这里我们利用hostapd-wpe建立一个1X的同名热点,我们静静的等待周围下楼来抽烟遛弯的鱼儿上钩即可。

不一会儿,就获取到了8条hash值。我们先尝试利用Top100W的字典跑一下,跑不出的话再花十几元找人跑一下。

比较幸运的是,在尝试第4条hash时,发现使用了top 100w里的弱密码。结合之前明文的用户名,我们可以接入这个无线网络了。


信息收集
前面说到了,采用PEAP-MSCHAP v2架构的原因之一是可以与域账户进行结合,这组账号密码同时也是这位员工的域账号密码。可以登录公司的OA、邮件等系统。但在其中并未发现到我们想要的一些信息,暂时放放,看下网段的其他机器。下图为扫描一下内网中开放http服务的主机。

Jenkins Hack
通过前期的信息收集,在内网发现一个Jenkins程序。Jenkins是基于Java开发的一种持续集成工具,用于监控持续重复的工作。当jenkins配置不当时,会默认存在一个未授权命令执行漏洞,但经过检验管理员已经进行了限制,不能利用。所以为了执行命令,我们需要获取一个能执行命令的账户。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载