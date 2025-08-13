Содержание статьи
- Подключаемся к локальной сети
- Получаем учетку доменного пользователя
- Пароль по умолчанию в Scan2Net
- Уязвимая версия Scan2Net
- Получаем права администратора домена и используем NetNTLMv1
- Получаем полный доступ к сети и в сегмент АСУ ТП
- Раскрытие данных об инфраструктуре
- Использование уязвимой версии TeamCity
- Учетные данные в проекте Security Portal
- Неограниченный сетевой доступ по MAB
- Вывод
Это исследование получило третье место на Pentest Award 2025 в категории «Пробив инфраструктуры». Соревнование ежегодно проводится компанией Awillix.
Подключаемся к локальной сети
Когда мы подключились к сети и запросили адрес по DHCP, стало ясно — тут стоит NAC, а в эфире мелькают пакеты EAPOL. Похоже, просто так внутрь не пустят. Но неподалеку стоит принтер — а для таких устройств часто используют MAB-аутентификацию, то есть проверяют только MAC-адрес. Подменяем свой MAC принтерным — и получаем доступ в локалку. Да, доступ урезанный, но кое‑что все же работает: например, LDAP и SMB на контроллере домена, а еще админки принтеров.
Получаем учетку доменного пользователя
Пароль по умолчанию в Scan2Net
Оказавшись в локалке, натыкаемся на веб‑интерфейс Scan2Net. У пользователя Poweruser там установлен пароль...
Poweruser. Да‑да, заводской дефолт! С такими правами можно менять часть настроек и даже снимать бэкап конфигурации. Бэкап, правда, идет в архив под паролем.
Рекомендации
- Изменить пароль пользователя
Poweruser.
- Проверить, что на других устройствах не используются пароли пользователей по умолчанию.
Уязвимая версия Scan2Net
Вскоре мы выяснили, что используется старая версия Scan2Net с известным багом. Уязвимость CVE-2024-28138 позволяет исполнять команды ОС.
В файле
/ лежит пароль от архива с резервной копией настроек (CVE-2024-28146). Чтобы получить пароль, используем вот такой эксплоит:
https://<IP-address>/class/msg_events.php?action=writemsgfifo&data=;grep%20%27Ba%27%20/opt/s2n/www/cgi/infoio.cgi
