三網(wǎng)IT

思科就業(yè)前景/薪資

1、對就業(yè)的幫助

一張國際通行證讓你在就業(yè)以及其他眾多競爭中脫穎而出

Cisco認證是互聯(lián)網(wǎng)界具有極大聲望的網(wǎng)絡(luò)技能認證，獲得Cisco認證無疑是入行網(wǎng)絡(luò)業(yè)的強力敲門磚。

部分歐美國家移民政策中對思科認證有專門的加分項目。

2、對薪酬的幫助

根據(jù)相關(guān)數(shù)據(jù)，我們得知擁有思科認證的從業(yè)人員的平均薪資要超出行業(yè)平均水平20-30%，也就是說可以如圖所示：

3、推薦就業(yè)：CCIE行業(yè)薪資

場地租賃服務(wù)

擁有10間專業(yè)培訓(xùn)教室，包括了20臺、25臺和30臺等不同規(guī)格的培訓(xùn)機房， 機器配置性能卓越，高速率連接因特網(wǎng)，可以滿足不 同層次的信息化培訓(xùn)需求。

先后為Microsoft公司、IBM公司、Oracle公司、Juniper公司、EMC公司，中 國移動、中國石化等客戶提供了相應(yīng)的培訓(xùn)場地服務(wù) ，獲得了客戶的一致認可！

思科CCIE-SP直通車（運營商）

思科CCIE-SP直通車 ”課程涵蓋思科運營商方向的中級和高級課程知識，總共分為CCNP－>CCIE兩個階段，共5門課程，總課時為10天。課程設(shè)計由淺入深，適合具有 CCNP-RS基礎(chǔ)的學(xué)員參加。
4.1 CCNP-SP（包含4門課程，課時10天）
課程概述：包含IS-IS協(xié)議，MPLS VPN，Inter-ASVPN，CSC，MPLS QOS ，MPLS multicast，MPLS TE ，ATOM，L2TPV3，VPLS 等。
課程列表：
1) IS-IS協(xié)議：課時1天
2) MPLS VPN：課時4天
3) MPLS TE：課時2天
4) L2VPN：課時3天
4.2 CCIE-SP集訓(xùn)營（包含1門課程，課時按需安排）
課程概述：包含CCIE LAB考試的高級知識點、分解實驗、考題講解等。

幽靈重現(xiàn)：部分WiMAX路由設(shè)備存在認證繞過和后門漏洞

---

SEC 的安全人員在一些WiMAX 路由器上發(fā)現(xiàn)了一個漏洞， 這個漏洞允許攻擊者更改路由器上的管理員密碼，進而獲取對這些漏洞的設(shè)備的控制權(quán)限。更糟糕的是，如果攻擊者控制了這些含有漏洞的路由器，他們就可以對這個漏洞設(shè)備背后的網(wǎng)絡(luò)進行進一步攻擊，或者將這些漏洞的設(shè)備加入了僵尸網(wǎng)絡(luò)中，亦或**這些漏洞設(shè)備監(jiān)聽用戶信息。 這個漏洞的影響設(shè)備廠商包括GreenPacket， 華為， MADA， 中興通訊，ZyXEL等。其中有些含有漏洞的設(shè)備可以**web訪問。 這個漏洞已經(jīng)報給了CERT/CC (漏洞編號為CVE-2017-3216)，CERT也已將此漏洞通告給上述廠商。

部分WiMAX 路由設(shè)備存在認證繞過和后門漏洞

本篇文章將主要討論針對此次漏洞分析中幾個重要的點，當(dāng)我們的安全人員在研究關(guān)于HTTPS 證書和SSH key重用的問題時，意外的發(fā)現(xiàn)一組(大約80臺)設(shè)備使用了一個頒發(fā)給MatrixSSL Sample Server Cert的HTTPS證書， 這一組設(shè)備中就包括ZyXEL 公司和他的姊妹公司MitraStar研發(fā)的WiMAX 網(wǎng)關(guān)，我們的安全人員選擇了其中的一臺進行了一點研究。

WiMAX是一種類似LTE的技術(shù)，雖然沒有LTE那么地流行，但是，世界上還是有很多的WiMAX設(shè)備在使用。

**我們搜集的大量數(shù)據(jù)集信息，我們發(fā)現(xiàn)很多的WiMAX設(shè)備將web訪問接口暴露給互聯(lián)網(wǎng)， 造成這種結(jié)果的原因可能是錯誤的配置，也可能是ISP的粗心。**web訪問接口都是挖掘漏洞的很好的切入點。

像所有的IoT(物聯(lián)網(wǎng))的滲透測試一樣，我們搞到了一份含有漏洞的WiMAX 設(shè)備的固件(感謝ZyXEL 的**網(wǎng)提供給我們 O(∩_∩)O)，我們直接上這個問題固件上傳到我們的 IoT 分析系統(tǒng)(一個基于云的固件分析系統(tǒng))， 幾分鐘之后，一份分析報告就出現(xiàn)在我們的眼前。

首先，我們看了一眼固件的文件系統(tǒng)結(jié)構(gòu)。 在/var/www 目錄下，我們發(fā)現(xiàn)了很多HTML 文件，按照我們的經(jīng)驗，通常這些HTML 文件只是視圖模板文件(學(xué)過MVC的都知道)，一般不會包含業(yè)務(wù)邏輯。

摘自 IoT 固件自動分析系統(tǒng)分析結(jié)果一部分

認證繞過漏洞

我們沒有發(fā)現(xiàn)傳統(tǒng)的CGI腳本，所以，我們推斷，web接口的業(yè)務(wù)邏輯可能內(nèi)嵌如web server本身，當(dāng)我們發(fā)現(xiàn)web server的執(zhí)行路徑為：/bin/mini_httpd.elf， 我們敏銳地聯(lián)想到這可能和開源項目mini_httpd 項目有關(guān)，但是，接著我們就我發(fā)現(xiàn)我們手頭的這個mini_httpd和開源的mini_httpd完全不同，也許經(jīng)過了重大的修改， 首先，我們手頭的這個mini_httpd沒有任何web 接口業(yè)務(wù)代碼， 但是我們發(fā)現(xiàn)有一個函數(shù)**dlopen()庫函數(shù)從/lib/web_plugin 目錄加載庫文件。

于是，我們?nèi)?lib/web_plugin目錄下看了一眼， 發(fā)現(xiàn)就只有一個名為libmtk_httpd_plugin.so的動態(tài)鏈接庫文件， 在mime_handlers 符號連接處， 有一個用于描述針對不同的MIME 如何處理的結(jié)構(gòu)數(shù)組。libmtk_httpd_plugin.so 庫中包含了對于http請求的處理函數(shù)。

對于每一個接收到的HTTP請求，web server 都會根據(jù)上述提到的MIME結(jié)構(gòu)數(shù)組找到匹配項，如果匹配ok，則從這個匹配結(jié)果中找到相應(yīng)的請求處理函數(shù)并調(diào)用之。分析到這里，我們心情都很不錯，我們打開IDA pro 神器幫助我們繼續(xù)分析，根據(jù)上述提到的MIME結(jié)構(gòu)數(shù)組的特征，我們找到了mime_handlers 符號列表中的入口項：

至此，我們已經(jīng)非常清晰的明白了web server 中存在哪些URIs可以被解析處理，已經(jīng)他們是如何被解析處理的， 在上圖的mime_handlers 符號列表中的入口項的結(jié)構(gòu)中，我們發(fā)現(xiàn)竟然還有一個枚舉類型，這個枚舉類型標(biāo)識是否當(dāng)前用戶的請求應(yīng)該被認證或者不認證(我們稱之為AUTH_REQUIRED/UNAUTHENTICATED)，我們還發(fā)現(xiàn)其中很多的URIs是不需要任何認證的， 這些URIs是非常值得我們?nèi)プ屑毞治龅?，我們將目?biāo)鎖定在了 commit2.cgi 上

這個URL的處理函數(shù)將POST請求的參數(shù)和值都存在在內(nèi)置數(shù)據(jù)庫中(key-value 存儲形式，也許是存儲在NVRAM中)，其實這里就是一個漏洞，**簡單的利用方式就是**提交參數(shù)為ADMIN_PASSWORD=xxxx (xxx為你要修改后的管理員密碼)的POST請求到commit2.cgi的URI, 這樣就可以修改管理員的密碼，從而可以**web 界面成功登錄，然后就可以進一步進行攻擊

從web 界面登錄成功之后，我們發(fā)現(xiàn)有很多可以利用的功能點(hacker的目的不同，選擇的攻擊點也不一樣)，其中有一個功能點可以修改DNS 服務(wù)器的配置 (聰明的你可能已經(jīng)想到這里可以進行釣魚攻擊，**劫持DNS，進行網(wǎng)銀欺詐，或者廣告植入)， 還有一處可以上傳固件，這樣攻擊者就可以上傳一個含有惡意代碼的固件，用于監(jiān)控用戶行為，或者充當(dāng)僵死網(wǎng)絡(luò)中的一員。

隨著分析的深入，我們發(fā)現(xiàn)這個含有露的WiMAX 路由器允許SSH 和Telnet登錄， 這兩個服務(wù)引起了我們的興趣。

OEM 后門

SSH 和Telnet 遠程登錄功能可以**web 界面進行配置啟用，啟用之后，攻擊者可以使用web 界面的登錄的賬號和密碼登錄SSH 和Telnet， 登錄成功之后， 或得到一個類似 Cisco 路由器命令行 的界面，然后就可以執(zhí)行各種各樣的命令，甚至有的命令還可以實現(xiàn)類似Linux shell的功能。

我們打開IoT 自動檢測分析系統(tǒng)的分析報告， 看看能不能找到讓我們感興趣的結(jié)果， 我們發(fā)現(xiàn)了若干硬編碼的類似 Unix形式的密碼hash串，我們立即將其提交到我們的GPU-SERVER 進行破解

其中的一些密碼hash看起來好像是默認密碼， 位于minihttpd.trans中的hash值引起了我們的興趣。

在minihttpd.trans中，我們發(fā)現(xiàn)這個腳本會在系統(tǒng)啟動的時修改/etc/passwd 和/etc/shadow 兩個文件的內(nèi)容，從而添加后門用戶。

這段腳本會在系統(tǒng)啟動的時候添加兩個后門用戶到/etc/passwd 和/etc/shadow ， 后門用戶 mfgroot 的密碼hash一直沒變，都是h $1$.3r0/KnH$eR.mFSJKIiY.y2QsJVsYK. (明文為： %TGBnhy6m), root 密碼hash根據(jù)系統(tǒng)變量ZY_CUSTOMER的不同而不一樣，在不同的設(shè)備商的固件中root密碼hash也不一樣，下面列舉了一些不同廠商的root hash值：

Greenpacket:

$1$38HlpaTA$bVNplU36JnUr.Xt1IHDCV/

華為:

$1$k2I9hJe4$Vg4Qw0w5IwMWb8GlfYhoi1

$1$7cHnPpHF$GbYUst3uAh0sFix3fz7B21

Mitrastar:

$1$k2I9hJe4$VibREr.QRvL4HUkaUAyDr1

ZyXEL:

$1$T6ecjm0M$EzKDcv0pezh9OItLRG8hY/

ZTE:

$1$k2I9hJe4$VibREr.QRvL4HUkaUAyDr1

上面這一串 root hash的破解工作就留給讀者了，這里暫且不表，即使不知道root的密碼也可以利用已知的mfgroot:%TGBnhy6m 賬戶密碼組合登錄系統(tǒng)獲取系統(tǒng)的root shell

閑扯IoT的供應(yīng)鏈

IoT 設(shè)備的供應(yīng)鏈通常是很復(fù)雜的，上面提到的"commit2.cgi" 接口的漏洞在動態(tài)鏈接庫 libmtk_httpd_plugin.so 中被發(fā)現(xiàn)， 從文字上看，libmtk好像暗示，libmtk_httpd_plugin.so是MediaTek 軟件公司提供的， 也許是MediaTek 軟件公司提供的SDK(客戶用此SDK進行MediaTek SoCs的開發(fā))中的一個動態(tài)鏈接庫。 這樣的分析有一定道理，因為所有這些含有漏洞設(shè)備都是基于MediaTek 的硬件平臺進行開發(fā)的 ，一般SDK都會包含了開發(fā)這款硬件所必須的東西，甚至包含一個web接口。 設(shè)備廠商可以選擇使用整個SDK 其開發(fā)，也可以選擇只使用其中一部分驅(qū)動或者中間件進行開發(fā)他們自己的產(chǎn)品。

CERT/CC 已經(jīng)就這個漏洞聯(lián)系了MediaTek公司，MediaTek公司回應(yīng)他們的SDK沒有任何漏洞，并聲明他們懷疑ZyXEL 植入了漏洞代碼。

根據(jù)我們自己搜集的信息，我們懷疑事情是這樣的：

1. MediaTek 為WiMAX 設(shè)備提供了SoC芯片 和相應(yīng)的SDK(包括web接口

程序)

2. ZyXEL 和他的 姊妹公司MitraStar基于MediaTek的SDK 進行了開發(fā)，引入了commit2.cgi 接口漏洞和OEM 后門代碼

3. ZyXEL 將含有漏洞的設(shè)備賣給了ISP 服務(wù)商

4. MitraStar 作為OEM廠商，提供WiMAX設(shè)備給GreenPacket， 華為，中興等，這些公司又把設(shè)備賣給了ISP服務(wù)商

5. ISP 服務(wù)商又把這些漏洞設(shè)備賣給或者租給他們的用戶

一般的OEM 的用戶不會承認他們的產(chǎn)品是OEM的， 我們?yōu)榇俗稍兞巳A為，得到如下回復(fù)：

復(fù)雜的設(shè)備供應(yīng)鏈加上OEM廠商的存在，所以去判斷誰的產(chǎn)品含有漏洞不是一件簡單的事，這也是我們開發(fā)IoT 自動檢測分析系統(tǒng)的原因之一，其中一個用戶案例就是去檢查是否他的固件中存在漏洞，我們把這個固件上傳到IoT 固件自動化檢測系統(tǒng)， 然后得到了結(jié)果。 我們使用這種方式解決了很多問題，比如KCodes NetUSB 和 AMX 的漏洞。

為了檢測存在commit2.cgi 接口漏洞的設(shè)備，我們開發(fā)了一個簡單的基于IoT 自動化檢測系統(tǒng)的插件，這個插件包含了幾千種固件產(chǎn)品的信息，包括我們從網(wǎng)上發(fā)現(xiàn)的所有WiMAX CPE的固件信息，使用這個插件，我們就可以確定這些固件哪一個是來自GreenPacket, 華為, MADA, ZyXEL and 中興， 關(guān)于漏洞影響設(shè)備列表，請查看我們的漏洞披露公告。

IoT 設(shè)備生命周期

這些含有漏洞的設(shè)備都已經(jīng)很陳舊了， 有的在2010年前就被生產(chǎn)了，根據(jù)華為的反饋信息，它們所有受到漏洞影響的設(shè)備在2014 年后就不在提供技術(shù)支持， 也不會進行任何升級更新 。安全研究員Pierre Kim 在2015年發(fā)現(xiàn)了華為其他系列的WiMAX 設(shè)備中存在漏洞，華為的回應(yīng)也是已經(jīng)不再對存在漏洞的設(shè)備提供技術(shù)支持了。 我們把這個漏洞報告給了CERT/CC ,它們接收了這個漏洞，并給這個漏洞編號，非常感謝，但是很不幸，CERT 沒有收到來自ZyXEL的對此漏洞的回應(yīng)。 給所有的含有漏洞的設(shè)備進行升級是不可能的了，唯一的辦法就是更換新的設(shè)備。ISP 服務(wù)商應(yīng)該盡可能的減少 此次漏洞的攻擊面，不僅僅要限制對web 接口、SSH、Telnet的訪問，還要限制**TR-O69協(xié)議的連接。有關(guān)更多關(guān)于此次漏洞的信息，請參閱我們的漏洞披露公告。

相關(guān)推薦：

---

蘇州思科認證培訓(xùn)   蘇州思科認證培訓(xùn)班   蘇州思科認證培訓(xùn)學(xué)校