一个因网速慢引发的头脑风暴

1.1 起因

这几天发现某酒店的网速越来越慢，中间因为11X的原因加了个认证系统，但是也就是房间号+身份证后6位。
本来以前可以多个设备同时使用的，但是因为加了这个设备所以就没办法同时用了。（蛋疼的11X）

1.2 发现问题1（锐捷设备弱口令）

由于网速实在太慢，随便看了看想看看能不能快一点。。。但是扫描路由分配给我C段IP没发现有神马异常或者网络设备啊 web中间件啊神马的。（192.168.74.*）
然后出去买了个早点巴拉巴拉吧:)
回来继续登录认证，发现认证地址和我的网段不同(192.168.64.*)
随手扫描了64段的端口，发现64.254开放23、8000等端口
果断手贱尝试8000端口，发现浏览器返回页面空白，但是奇怪的是title部分居然可以正常显示，右键查看源代码发现html是完整的。。F12看见了javascript有一句话是报错的。。
尝试了Chrome Safari firefox 无果。尝试使用burp 修改返回包成功看到了主页。。

尝试了root、admin 木有成功，但尝试guest，guest却成功进入。。

1.3 发现问题2（锐捷设备远程命令执行&权限可以提升）

使用burp抓包发现

POST /WEB_VMS/LEVEL15/ HTTP/1.1
Authorization: Basic Z3Vlc3Q6Z3Vlc3Q=
Cookie:auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest; pass=guest

command=sh ver&strurl=exec%04&mode=%02PRIV_EXEC&signname=Red-Giant.

post参数中有一个command参数而参数值看着很眼熟 sh ver
查看返回包发现他返回的值是系统的版本以及其他系统参数
果断换掉命令，我把sh ver命令更换成sh running-config
成功的查看到了路由运行配置，其中包含3个web界面管理的帐号以及password 7的密文，还有console的密码等等一些配置

1.4 问题1-2总结

到这里其实我们有时间已经可以成功获得admin的权限了，虽然密文不是很好搞，但是我查了些资料发现他和cisco的加密手段或者说是密文基本类似，所以我猜测他也是OEM的CIsco的Password7加密方式，从网上找到了解密程序，但无法正常解密。（如果有好的方法还原的话，麻烦告诉我下:P）

1.5 发现问题3-1（锐捷设备权限绕过or权限提升）

因为之前木有尝试过用IE访问这个web界面（有可能不兼容？），开启虚拟机使用IE访问此管理页面发现可以正常显示。此处巴拉巴拉巴拉锐捷厂商省略10000字
访问到设备管理页面后发现权限不大啊，也是啊guest能有多大权限，基本只是查看而已

这尼玛神马都做不了啊，坑爹啊，搞了半天神马都做不了啊，传说中的裤子脱了你就给我看着啊。
通过仔细观察页面功能发现有个“快速设置功能”

好奇心来鸟，点进去查看

嗯，可以修改DNS进行钓鱼啊、劫持啊、中间人啊巴拉巴拉吧
然后观察左侧导航发现好像多了些什么？

尼玛啊明显多了很多功能么，难道可以正常使用这些功能么？
事实证明是的可以正常使用！