未加星标

看我如何利用burp大法绕过深信服SSL VPN访问权限控制

字体大小 | |
[web安全 所属分类 web安全 | 发布者 店小二03 | 时间 2016 | 作者 红领巾 ] 0人收藏点击收藏
漏洞标题 看我如何利用burp大法绕过深信服SSL VPN访问权限控制 相关厂商 深信服 漏洞作者 f4ckbaidu 提交时间 2016-04-13 15:49 公开时间 2016-07-17 00:10 漏洞类型 权限控制绕过 危害等级 高 自评Rank 20 漏洞状态 厂商已经确认 Tags标签 漏洞详情

声明:本次报告中提到的**.**.**.**是一个虚拟的域名,并非真实域名

在测试自己公司SSL VPN安全性的时候发现一个有趣的东西

ssl vpn连接后会服务端会下发一个资源列表给客户端,如下图:


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

图中的host字段就是VPN远端的服务器IP,port就是允许你访问的服务区端口号,这里为22

这里的意思就是只允许你去访问10.x.x.x的22端口,那么问题来了:

挖掘机哪家强,哦不对,是我可以修改服务器返回的IP和端口号来访问其它VPN远端资源吗?

说做就做,通过burp代理修改port范围为1-65535来试试:


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

然并卵,使用http代理后就不能访问L3VPN资源了(L3VPN=TCP+UDP+ICMP)


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

然而就不能继续了吗?no,祭出神器burp的invisible proxying

所谓的invisible proxying就是透明代理,通过出口设备将访问VPN的数据重定向给burp即可


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

找谁重定向?出口设备或者linux的iptables都可以,这里以出口设备DNAT为例

简要来说访问VPN的数据流变成如下流程:

hacker --> 出口 --> DNAT给burp(同时源IP转换为**.**.**.**) --> burp处理 --> 出口 --> VPN设备

注意:burp和hacker主机不能为同一台,为同一台的话会出现数据环路,为什么自己去想吧,基础网络知识

这里做实验的hacker机IP为**.**.**.**,burp主机**.**.**.**,网关为**.**.**.**,VPN设备IP假设为**.**.**.**

那么在出口需要做:

1、源IP为**.**.**.**的访问**.**.**.** TCP443端口重定向到**.**.**.**的443端口

2、代理**.**.**.**访问**.**.**.**的请求

因为我这里**.**.**.**是假的所以要绑定下hosts,burp和windows主机都要绑定


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

现在我们登陆试下,发现burp正常工作,VPN登陆流程比较慢但可以登陆

可以看到端口范围已经被burp自动修改了:


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

注:这里VPN登陆成功后需取消网关的DNAT策略,否则会因burp代理速度太慢导致VPN不可用

我们再来访问10.x.x.x的80端口试试,duang!一下就打开了80端口的页面


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

当然3306端口也是可以访问的:


看我如何利用burp大法绕过深信服SSL VPN访问权限控制

最终测试结论:已绕过VPN访问控制系统

漏洞证明: 修复方案:

你懂的

版权声明:转载请注明来源 [email protected]乌云

本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师

主题: 服务器VPN数据出口数据流
分页:12
转载请注明
本文标题:看我如何利用burp大法绕过深信服SSL VPN访问权限控制
本站链接:http://www.codesec.net/view/444012.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | web安全 | 评论(0) | 阅读(2109)