FortiGate 后渗透利用技术指南

FortiGate 后渗透利用技术指南 环境搭建 FortiGate VM 下载与安装 下载 FortiGate VM (飞塔虚拟机) 使用 VMware 打开 OVF 文件 启动 FortiGate 后使用初始凭据登录： 用户名：admin 密码：空 登录成功后需重新设置密码 网络配置 网卡对应关系： Network Adapter → port1 Network Adapter 2 → port2 以此类推 网段配置： Network Adapter (port1)：配置外网网段 Network Adapter 2 (port2)：配置内网网段 具体配置： 配置 WAN 口 IP 配置 LAN 口 IP 配置静态路由使 FortiGate 能够出网 访问 Web 管理界面：https://192.168.9.5/ 防火墙策略 默认有一条 "Implicit Deny" 规则拦截所有流量 需要配置一条出网策略（可简化配置） 飞塔激活 使用 fgt-gadgets 项目生成 License 文件 导入 License 后解锁 SSLVPN 等功能 内网主机配置 将内网主机网卡设置到同一网段 设置静态 IP 网关设置为 FortiGate 的内网网卡 IP (如 192.168.163.2) 配置完成后内网主机即可出网 后渗透利用技术 密码解密 普通用户密码解密 使用工具： cve-2019-6693 管理员密码解密 （具体方法未在原文中详细说明） 流量捕获 Web 界面操作 启用数据包捕获功能 禁用硬件加速（某些 FortiGate 设备直接抓包只能捕获 SYN、ACK 包） CLI 命令 （具体命令未在原文中详细说明） 攻击面分析 通过捕获 WAN 口或内网流量，可能发现未加密的流量信息，如： SMTP HTTP LDAP 被动信息收集 可收集以下信息： 运行时配置 在线管理员 网卡信息 静态路由 防火墙策略 在线 VPN 用户 系统信息 HA 状态（主备机同步） FortiAnalyzer 设置 Syslog 设置 ARP 表 FortiView 流量监控 可发现内网存活 IP 可识别访问的域名 可判断内网员工使用的软件或杀毒软件等信息 主动探测技术 ICMP 探测 路由跟踪 端口探测 LDAP 相关利用 LDAP 配置密码解密 配置文件中包含加密的 LDAP 密码 解密时可能出现乱码 可通过流量捕获获取明文密码 抓包获取 LDAP 凭据 方法一： 进入 "User & Authentication" → "LDAP Servers" 配置 LDAP 服务器时将 "Server IP" 设置为攻击者控制的 IP FortiGate 进行 LDAP 认证测试时会发送凭据 方法二： 使用 FortiGate 内置的数据包捕获功能进行抓包 LDAP 认证测试 （具体测试命令未在原文中详细说明） LDAP DN 获取 配置 LDAP Server 时选择 "Distinguished Name" 可查看 LDAP 的 Distinguished Name 日志清除 可清除所有日志（具体方法未详细说明） 注意事项 进行渗透测试前确保获得合法授权 操作可能影响网络稳定性，建议在测试环境先验证 部分功能可能需要特定版本的 FortiGate 设备或固件 禁用硬件加速可能影响网络性能 参考工具 fgt-gadgets - FortiGate License 生成工具 cve-2019-6693 - FortiGate 密码解密工具