0x01配寘環境

先下載鏡像Cisco Adaptive Security Virtual Appliance（ASAv）下載地址（需翻牆） 解壓密碼：CiscoASAv2014小編已經更新到百度Pan 解壓密碼：CiscoASAv2014進入到提示符ciscoasa>輸入en進入特權模式進入全域配寘模式ciscoasa#conft先看一眼VM的網絡編輯器中host-only模式的IP段是多少，因為這個鏡像是以host-only來設定網絡的然後我們來配寘IP，我這裡是172.16.1.0，先在host上ping一下閘道172.168.1.1可以ping通

此時訪問頁面就有用戶了，同時可以在https://172.16.1.3/admin/public/index.html可以使用圖形化的ASDM來對配寘進行管理

0x02驗證漏洞

事實上早在Ruxcon2014上就有人研究了這個https://ruxcon.org.au/assets/2014/slides/Breaking Bricks Ruxcon 2014.pdf在老外的博文上也引用了此篇PPT，個人認為非常值得學習，包括binwalk的使用及如何繞過CLI的沙箱環境。但是在這裡不再贅述，同時breen提供他的驗證POC:https://github.com/breenmachine/various打開Burp–>Restore State，我們恢復下他的Burp Request History。看到Repeater標籤中有4個，結合PPT實際上這個攻擊有兩大步驟。1.Request“Preview”of our requested Customization content2.Request“Preview Save”of requested Customization content其實通過POC中的包可以很快發現這是ADSM中的自定義頁面的功能，那麼到這裡自然想到我需要繞過驗證才可以使我自定義頁面來生效了。引用CVE-2014-3393的利用管道：通過修改Cookies中CED的值指定為某本地路徑即可繞過驗證，具體影響版本請參閱NVD。而在POC中Breen已經很清楚的標示了Insert+Backdoor+here，所以當我們能控制頁面了一般都能想到下麵的玩法

如果僅僅只是想驗證漏洞，你可以修改，記得URLEncode下，同時完成4個包的重放

返回內容顯示如下 

所以當我們結合能控制頁面還能做更多神馬呢？

0x03深入

回顧一下，假設我們能劫持到用戶了，首先當然是能順利的進入內網，其次PPT中有講到低許可權用戶如何越權，當你能够接觸到Local Shell呢，那能發揮的就更多了，比如傳說中的“設備後門”。鑒於Cisco的基礎設備應用之廣泛，就沒有在本文詳細說明了。

運維工程師們如果發現自己的VPN設備存在這個漏洞，請猛擊這裡 

0x04總結

Geekpwn點燃了黑智慧設備的浪潮，從架構上我天朝很多都是抄openwrt那套，但是從來不注明，而這類東西通常都是busybox後端+lua來構建前端，熟練使用binwalk+GDB相信能够發現更多好玩的東西。另外我是板子控，各位有好玩兒的DIY歡迎PM啊～本文如有紕漏，歡迎拍磚指導，多多學習！

本人部落格 http://www.blackh4t.org/archives/1567.html

參攷：

http://breenmachine.blogspot.ca/2014/10/cisco-asa-ssl-vpn-backdoor-poc-cve-2014.html

感謝某比特長得比較胖同學熱心指導！

本文作者：DarkRay

本文為安全脈搏專欄作者發佈，轉載請注明：https://www.secpulse.com/archives/1694.html