SNMP 漏洞分析

“ 之前进行了服务扫描，对于hasee得到的结果主要就是80端口的http服务，似乎攻击面被局限在了web渗透上，这样就太不全面了，接下来的几篇文章我会针对常见的服务进行深入分析攻击手段”

SNMP 扫描

Simple Network Management Protocol 简单网络管理协议

通过SNMP 协议可以获取到几乎服务器运行的全部状况（cpu使用情况，内存占用率，硬盘使用情况等），因此一般被用来监控服务器的运行状况

SNMP 使用UDP协议，因为UDP协议效率较高，用它来实现网络管理不会太多地增大网络负荷

在大范围管理网络的时候这个协议显得尤为重要，还有很多路由设备中采用SNMP协议来进行流量查看管理。

SNMP Community String

这个是snmp协议的中一个类似密码的配置项，正是因为很多管理员没有配置这个选项才导致严重的信息泄漏，甚至被攻陷服务器

Windows 和Linux中默认的值是 public

Public 的权限可以查询任意信息

除此之外还有 private ，private有写的权限，可以直接修改配置文件，甚至可以启动一个进程

MIB Tree

MIB Tree 是一个以树状来定义的信息管理库，不同的厂商可能会定义自己的MiB库，同时国际标准化组织也规定了一套规范

Port

SNMP 分为客户端和服务器端

我们使用客户端对服务器进行监控

客户端端口 162

服务器端口 161

Version

目前snmp有三个版本 V1，V2c，V3

前两个版本应用较广，遗憾的是缺乏加密机制，导致信息可以被嗅探；同时缺乏一个较为完善的身份验证机制

V3版本中完善了以上的这些缺陷

这里我就自己在本地win7搭建了一个SNMP的服务器

onesixtyone

onesixtyone 192.168..1.1 public

可以看到我配置的Community String 是ita-cat,所以我们扫描出现的结果是这样，说明并没有采用默认配置（win7默认配置中并没有用户，且默认只允许本地连接）

我们用shodan在互联网上随便找一个

结果对比一下

可以看出这个是存在默认口令的路由设备，可以任意我们查询了

如果此时不是默认CommunityString ，我们可以采用爆破的方式来进行

onesixtyone 192.168.1.1 -c password.txt -w 100

正好之前整理了字典，这回就不大动干戈了，用一个小字典吧

可以看到ita-cat这个Community String是正确的

snmpwalk

snmpwalk 192.168.1.133 -c public -v 2c

可以看出查出了关于这个路由设备的几乎所有信息（后面还有巨多），前面的数字就是MIBTree

如果想要查询特定的信息可以指定oid

snmpwalk 192.168.1.1 -c public -v 11.3.6.1.4.1.25506.2.12.1.1.1

有三个通常包含账号密码信息的oid是

1.3.6.1.4.1.2011.5.2.1.10.1

1.3.6.1.4.1.2011.10.2.12.1.1.1

1.3.6.1.4.1.25506.2.12.1.1.1

snmpwalk 可以看到相对来说更加详细的信息，稍有遗憾的是这些我们很难都记住，并不是很直观，而且snmpwalk似乎没有爆破密码的功能，或许它就是用来作为一个信息获取工具来使用的，后期的数据处理由调用方来进行

snmp-check

snmp-check –c public –v 2c 192.168.1.1

显示的信息更佳符合我们人工去查看，比较直观

我添加一个可写的CommunityString，看看这个工具的 –w 选项能不能识别出来

snmp-check –c public –v 2c –w 192.168.1.1

从结果看出是可写的！

StringBleed

CVE-2017-5135

这个CVE漏洞利用异常的简单，漏洞产生的原因就是个别产品身份验证有问题，无论我们提交什么CommunityString ，都会身份认证成功，对于这个漏洞的修补可以说是十分的糟糕，我刚刚还在shodan按照漏洞说明的产品们选择了几个进行测试，都成功了，而且其中大部分还具有写的权限。

目前受影响厂商和相关设备（78种型号设备）

漏洞说明 http://www.cnvd.org.cn/webinfo/show/4122

5352 —>Zoom Telephonics, Inc

BCW700J —> BN-Mux

BCW710J —> BN-Mux

BCW710J2 —> BN-Mux

C3000-100NAS —> Netgear

CBV734EW —> Castlenet

CBV38Z4EC —>CastleNet

CBV38Z4ECNIT —>CastleNet

CBW383G4J —>CastleNet

CBW38G4J —>CastleNet

CBW700N —> TEKNOTEL

CG2001-AN22A

CG2001—>UDBNA

CG2001—>UN2NA

CG2002 —>UN2NA

CG2200 —>UN2NA

CGD24G-100NAS —> Netgear

CGD24G-1CHNAS —> Netgear

CM5100 —> Netgear

CM5100-511 —> Netgear

CM-6300n —> Comtrend

DCX-3200 —> Arris

DDW2600 —> Ubee

DDW2602 —> Ubee

DG950A —> Arris

DPC2100 —> Cisco

DPC2320 —> Cisco

DPC2420 —> Cisco

DPC3928SL —> Cisco

DVW2108 —> Ubee

DVW2110 —> Ubee

DVW2117 —> Ubee

DWG849 —> Thomson

DWG850-4 —> Thomson

DWG855 —> Thomson

EPC2203 —> Cisco

EPC3212 —> Cisco

IB-8120 —>W21

IB-8120 —>W21E1

MNG2120J —>NET&SYS

MNG6200 —>NET&SYS

MNG6300 —>NET&SYS

SB5100 —> Motorola

SB5101 —> Motorola

SB5102 —> Motorola

SBG6580 —> Motorola

SBG900 —> Motorola

SBG901 —> Motorola

SBG941 —> Motorola

SVG1202 —> Motorola

SVG2501 —> Motorola

T60C926 —> Ambit

TC7110.AR —> Technicolor

TC7110.B —> Technicolor

TC7110.D —> Technicolor

TC7200.d1I —> Technicolor

TC7200.TH2v2 —> Technicolor

THG540 —> Thomson

THG541 —> Thomson

Tj715x —> Terayon

TM501A —> Arris

TM502B —> Arris

TM601A —> Arris

TM601B —> Arris

TM602A —> Arris

TM602B —> Arris

TM602G —> Arris

TWG850-4U —> Thomson

TWG870 —> Thomson

TWG870U —> Thomson

U10C019 —> Ubee

U10C037 —> Ubee

VM1700D —>Kaonmedia

WTM552G —> Arris

WTM652G —> Arris

DCM-704 —> D-Link

DCM-604 —> D-Link

DG950S—> Arris

经过以上方法应该我们可以获取读或者读写的权限，下一步我们开始考虑下一步的攻击

SNMP放大反射DoS 攻击

其实之前我有讲过关于DoS（拒绝服务攻击）的相关课程，在DoS 中有一种就是反射性DoS，原理上就是利用IP欺骗和发包与回包之间数据包的大小差距来进行的数据放大的一种攻击方法

比如我向一个SNMP服务器发送一个请求包，原地址写上我们要攻击的目标，此时SNMP就会返回数据包给目标，我们请求的数据包较小，而返回的数据包量巨大，可能会放大近20倍，从而实现此攻击。

结合刚刚介绍的漏洞，一个完美的DDoS方案就出来了，大家应该都懂吧！

或许哪天无聊我可能会写一个这样的脚本。

获取或者修改密码

在只读权限下，我们可以最基本的就是完整的路由信息，端口信息，进程信息，服务信息等，不过想要进一步对目标进行渗透才是我们想要的，华为的一些设备我们可以直接读取到明文或加密的密码，这样我们就可以直接登录了，这是比较顺利的，wooyun上有很多案例

可以参考

http://www.anquan.us/static/bugs/wooyun-2015-0137975.html

在读写的权限下，如果能够直接读到密码就不说了，大多数情况下还是不能读取到的，此时利用起来就十分的艰难了

目前互联网上也没有什么文章来介绍这方面，我针对获取的信息进行了以下思

考

1. 修改某一个属性，为我们以后的渗透做准备（比如将主机名改成sql注入语句等）

snmpset -On -v2c -c test 192.168.1.106iso.3.6.1.2.1.1.5.0 s Hack

修改过后在win7这边并没有看到变化，不知道是不是重起生效

我用mysql查询了一下，确实是没有变

现在我重新启动一下

可以看到还是没有变化，我们在查询一次，看看重启后是不是snmp的结果也变回来了

从结果可以看出并没有哈，用这个小实验可以看出一点，这里的修改只是改变了snmp查询时候的MIB库的内容，而不是对系统实质性的修改

那么刚才我打算修改后为了后期渗透调用的想法就失败了

2. 留着以后擦屁股时候用

目标系统的管理员或者使用snmp协议管理流量的路由设备可能会被我们修改的信息所蒙骗，即使发生了大流量洪峰也可能蒙混过关而不被察觉！

3. 对抗AV时候使用

在绕过WAF或者防病毒软件时候心里有数，提前做好免杀

最后分享两个自动化渗透的脚本

之前也说过，snmp协议多用于路由等设备中，说到这种设备，那么比较有名的就是华为和思科了

华为、HP、H3C

https://github.com/grutz/h3c-pt-tools/

思科

Cisc0wn

https://github.com/nccgroup/cisco-SNMP-enumeration

由于我没有相关设备，也不想去费时间去配置模拟器，大家可以用gns3 配置试一试，玩一玩

总结来说对于SNMP的一个渗透也就是这个地步了，虽然很难获取到shell，不过能够得到如此详细的信息对后面的渗透测试工作可是十分的有帮助。

-END-