snmp弱口令在一次常规入侵中的应用
常常见到论坛里面或qq里面有人问snmp的若口令怎么利用,其实网上已经有了一些关于snmp弱口令的介绍,无奈的是,我还没有看到谁做过教程,刚好这次入侵过程中snmp弱口令给了我很大的启发,于是就把他写了下来,希望给大家一些启发。
最近看到某个主页做得很烂,似乎很长时间没有做过维护了,不巧他的网速很快,于是我有了把他做成肉鸡的念头。首先当然是刺探信息了,开了x-scan,扫了一会儿,结果出来了:
主机地址
端口/服务
服务漏洞
202.*.*.* ftp (21/tcp) 发现安全提示
202.*.*.* telnet (23/tcp) 发现安全提示
202.*.*.* unknown (1080/tcp) 发现安全提示
202.*.*.* www (80/tcp) 发现安全漏洞
202.*.*.* unknown (3389/tcp) 发现安全提示
202.*.*.* snmp (161/udp) 发现安全漏洞
漏洞 snmp (161/udp) Snmp口令: "public"
虽然他也开了80端口,但是iis似乎设置的很好,没有什么漏洞,21端口对应的服务又不是serv-u提供的,而是ms的,没有可能溢出。最近的一些入侵都有试过,没有成功,估计是打了sp4及以后的补丁.至于23,3389端口,我没有用户名,爆破基本无望啊,那么剩下的只有snmp的弱口令,在说利用之前,先向大家推荐两款工具:snmputil.exe!他能够提供基本的、低级的SNMP功能,通过使用不同的参数和变量,可以显示设备情况以及管理设备。tscrack.exe这是针对Win2000终端服务的一个密码破解程序.这个程序被微软推荐给用户使用,来检查终端服务密码的强壮性.程序使用msrdp控件。
snmputil.exe有三种命令参数:Snmputil get Snmputil getnext 和snmputil walk,对于我们最有入侵有用的,是snmputil walk,这里只说这种命令的使用,其他的命令大家可以看help。
snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
好了,工具大家了解了,那么这些命令怎么利用大家有底了吧?我是这样用的:首先snmputil walk 202*。*。* public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程,看了看有防火墙和杀毒软件,然后snmputil walk 202*。*。* public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表,如图1:
![clip_image001[6]](http://img.cker.in/snmp_120F6/clip_image0016.jpg "clip_image001[6]")
得到了guest,jin, j*,t*四个用户,接着做一个小的字典。问我怎么做?他不是有开80端口吗?在里面找出电话啊,邮箱名啊,联系人姓名之类的信息(爆力破解的话用工具做个字典),不时就有字典了吗?好了,现在回到命令行下:tscrack.exe -w pass.dic -l jin 202.*.*.*,参数l后接用户名,一个一个试试吧。功夫不负有心人,看看这个,虽然提示说是without success:图2,
![clip_image002[6]](http://img.cker.in/snmp_120F6/clip_image0026.png "clip_image002[6]")
但是在破解过程中出现了这个:图3:
![clip_image003[6]](http://img.cker.in/snmp_120F6/clip_image0036.png "clip_image003[6]")
不让你登陆3389?也就是说密码是正确的,只不过权限不够。再看看扫描结果,不还有23端口吗?telnet上去!如图4:
![clip_image004[6]](http://img.cker.in/snmp_120F6/clip_image0046.png "clip_image004[6]")
试试权限,如图5:
![clip_image005[6]](http://img.cker.in/snmp_120F6/clip_image0056.png "clip_image005[6]")
没有权限啊~!试了试几个提升权限的工具以及最近的溢出程序---针对ms04020的posixexp.exe,可惜没有成功,又看了看他开的服务,既没有servu,也没有mssql,更没有什么远程控制服务。不仅如此,他的c盘的许多目录都是设置了权限的,我根本就无法访问(所以没有办法下载sam文件来爆破啊)!似乎无路可走了。无聊的我想起了ntshell这款工具,它可以自己搜索能够开机自启动的地方,并且不像其他木马都是把服务端程序拷贝到系统目录然后设定开机器启动的,像我这种不能读写系统目录的情况,ntshell是最好的选择!只要让管理员重启了,以管理员权限运行了他就可以了!马上下载了下来,运行后。成功连接,如图6:
![clip_image006[6]](http://img.cker.in/snmp_120F6/clip_image0066.png "clip_image006[6]")
但是---管理员很nb,没有找到开机启动的地方!如图7:
![clip_image007[6]](http://img.cker.in/snmp_120F6/clip_image0076.png "clip_image007[6]"){kind=small}
我晕!正当我感到山穷水尽的时候,我发现了一个文件,一个刚刚看ntshell说明文档时看到的文件:msole32.srg,呵呵,ntshell用来保存密码的东西啊!这台机器看来被同道中人光顾过啊!马上下载过来,打开了一看,呵呵,密码全部到手了!图8:
![clip_image008[6]](http://img.cker.in/snmp_120F6/clip_image0086.png "clip_image008[6]")
哈哈,3389登陆器,成功连接!如图9:
![clip_image009[6]](http://img.cker.in/snmp_120F6/clip_image0096.jpg "clip_image009[6]")
写本文的关键是想让大家明白snmp弱口令的可怕!所以希望大家不要怪我运气太好了,其实如果没有snmp弱口令,我又怎么可能得到telnet的账号?没有这个账号,如何能根据各种线索等到最高权限?不要忘记,我们入侵时,哪台机器不是因为千里之堤,溃于蚁穴呢?只不过我这里介绍了snmp弱口令这个蚁穴!好了,到这里,小菜们都知道了snmp弱口令的利用了吧?网管们是否也应该注意为snmp设一个强悍的密码呢?