渗透测试实战—利用防火墙突破网络隔离

免责声明：文章来源于真实渗透测试，已获得授权，且关键信息已经打码处理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

前言

       之前就看到过有师傅发过利用华为防火墙配置VPN策略进入内网的文章，虽然是学习到了新知识，但是一直没碰到这样的场景。前天领导给了一部分资产要求我做渗透测试，没想到运气这么好，还真就碰上了华为防火墙，遂记录复盘一下。

一、资产发现

       拿到了资产后大致看了一下资产站点，几乎所有登录的后台界面的验证码接口都关闭了，登录回显的响应包看着也不太对。一脸懵，还能这么玩，不过这个测试项目已经开始好多天了，估计可能是都被打过了。但是没关系，重新信息收集一下，看看有没有什么其他的发现。

       对其中一个站点IP扫描的时候，发现该IP通过不同端口映射了多个站点，其中就存在华为USG防火墙。

       访问界面，能够正常访问。

       利用默认口令（admin/Admin@123）成功登录到防火墙后台。

二、配置防火墙

       创建测试账户 testadmin ，所属组设置为 default 。

       在 策略 界面，点击 新建安全策略 。

       自定义 名称 和 描述，源安全区域 选择 any，目的安全区域 选择 local，服务 需要自行创建（下面给出了配置），其余均为 默认 或者为 any。

       创建 服务，自定义 名称 、 描述 和 会话超时时间 。协议列表 点击 新建，协议选择 TCP，源端口设置为 0-65535，目的端口设置为想要VPN连接的端口。

       保存好之后接着到 网络 界面点击 接口 ，查看接口配置进行分析。可以看到在这里面接口WAN0/0/0 是互联网出口地址，接口 VLAN1 是内网地址。虽然有其他接口也配置了地址，但是没有物理连接，实际上网络是不通的。

       接着点击 SSL VPN → SSL VPN ，然后点击 新建 ，创建VPN规则。

       网关地址 中 接口 就选择刚刚查看到的互联网出口地址的接口，地址 会自动填充，端口 写入刚刚在创建安全策略时设置的 目的端口 。

       接着点击 资源 → 网络扩展 中写入 可分配的IP地址池范围，这个根据情况自行判断即可，路由模式 选择 手动路由模式。然后在 可访问内网网段列表 中点击 新建 ，写入刚刚查看接口时发现的内网地址的网段。

       最后点击 终端安全 → 角色授权/用户 ，因为在最开始已经将 testadmin 用户加入到 default 组了，其实现在只要在 用户/用户组列表 中加入 default 组就可以了，完成配置后点击 确定 保存好配置。

三、连接VPN

       利用 SecoClient 工具进行连接，连接名称 自行定义，远程网关地址 和 端口 就是写入前面配置 SSL VPN 时设置好的网段地址和端口，隧道模式 选择 自适应模式。

        配置好后点击链接，需要输入用户名、密码。这里就是之前创建好的 testadmin 用户，然后点击登录。

       显示成功连接就成功接入到内网了，突破网络隔离，后面就是正常内网渗透。

总结

       文中大部分截图都是后面配置好后重新查看进行截图的，所以会显示为 修改 字样，但是配置逻辑是一样的。

       在这次渗透中，VPN进入的内网部分资产太过单一，没有拿到什么成果，所以没有再进行记录。在现在攻防演练中要求越来越高，如果单单是突破网络隔离没有拿到什么内部数据很可能也没有多少分数，所以还需要继续磨炼。