Lateral VLAN Segmentation Bypass

Support HackTricks

如果可以直接访问交换机,则可以绕过VLAN分段。这涉及将连接端口重新配置为干道模式,为目标VLAN建立虚拟接口,并根据场景设置IP地址(动态(DHCP)或静态)(有关更多详细信息,请查看 https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)。

最初,需要识别特定的连接端口。这通常可以通过CDP消息完成,或通过include掩码搜索端口。

如果CDP不可操作,可以尝试通过搜索MAC地址进行端口识别

SW1(config)# show mac address-table | include 0050.0000.0500

在切换到 trunk 模式之前,应编制现有 VLAN 的列表,并确定它们的标识符。然后将这些标识符分配给接口,从而通过 trunk 访问各种 VLAN。例如,正在使用的端口与 VLAN 10 相关联。

SW1# show vlan brief

切换到干线模式需要进入接口配置模式:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

切换到干道模式会暂时中断连接,但随后可以恢复。

然后创建虚拟接口,分配VLAN ID,并激活:

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

随后,通过DHCP发出地址请求。或者,在DHCP不可行的情况下,可以手动配置地址:

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

在接口上手动设置静态IP地址的示例(VLAN 10):

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

连接性通过向VLAN 10、20、50和60的默认网关发起ICMP请求进行测试。

最终,这个过程使得绕过VLAN分段成为可能,从而促进对任何VLAN网络的无限制访问,并为后续操作奠定基础。

参考文献

Support HackTricks

Last updated