Получение флага CISCO в лаборатории от Pentestit.ru v.9
Итак, у нас есть доступ во внутреннюю инфраструктуру компании. Теперь можно посмотреть на сервисы внутри сети. Благо у нас есть полная карта сети. Выберем следующую цель и это, как ни странно, CISCO роутер.
Для начала нам необходимо подготовиться к сканированию хостов. Для этих целей я использовал proxychains
, так как эта программа позволяет проксировать трафик через socks прокси, в данном случае через ssh соединение с использованием ключа -D
.
Добавляем в /etc/proxychains.conf
строку socks4 127.0.0.1 2222
для проксирования трафика во внутреннюю сеть компании посредством SOCKS.
Для динамического перенаправления трафика создадим ssh соединение с прокидыванием порта 2222
, выполним команду ssh -D 127.0.0.1:2222 d.nash@192.168.101.8
. Эта команда позволяет создавать множество соединений на порту 2222.
После того, как соединение произведено, нужно открыть отдельную вкладку и в ней уже выполнить команду сканирования посредством nmap proxychains nmap -sT -PN -n -sV 192.168.2.100
. При помощи этой команды можно будет определить открытые порты и определиться с дальнейшими действиями.
После запуска команды будет видно, как трафик проходит через наш Socks прокси, организованный через SSH соединение.
По результатам сканирования видно, что открыт только один порт 23, ну а порт 53 это конечно же DNS. Но нас интересует порт 23 — из описания видно, что посредством этого порта можно получить доступ к telnet демону запущенному в Cisco IOS операционной системы.
Используя команду proxychains telnet 192.168.2.100 23
, видим на экране:
Видно, что таким образом производится вход для администрирования роутера
Но тут встает другая задача: а какой же пароль тут может быть? Ведь без пароля мы не сможем получить доступ к администрированию роутера. Но как говорится, тут на ум приходит до безобразия неприличная мысль — а что если пароль настолько тривиален, что брутить даже не понадобится. Для того, чтобы удостовериться в этом, пробуем пароль cisco, так как это наиболее логично для “упрощения” доступа. И честно говоря, я не ожидал, что такое может быть в серьезной компании занимающейся кибербезопасностью, но на практике увы бывает и так. Пароль подошел!
И мы получаем флаг! Теперь обязательно нужно зафиксировать успех в своем профиле! Вот так бывает. Но думаю, что это все потому, что это внутренний роутер, и никто не подразумевает, что кто-то может извне оказаться в сети и получить доступ благодаря тривиальным паролям. Прям настоящий триллер!