从一次真实的HW行动复盘说起：我们是如何通过SNMP弱口令‘摸清’整个靶标网络的

红队视角下的SNMP渗透实战：从信息收集到横向移动的全链路解析

凌晨2点15分，渗透测试团队的作战室里只剩下显示器的蓝光。我们盯着屏幕上snmputil返回的数据流——这已经是第三台通过默认团体名"public"拿下的网络设备。谁能想到，一个看似无害的UDP 161端口，竟成为撕开企业内网防线的突破口。这不是电影情节，而是去年某次真实攻防演练中的关键转折点。

1. SNMP协议在红队作战中的独特价值

在常规渗透测试中，大多数人会直奔HTTP、SMB这些"明星协议"，却常常忽略SNMP这个"沉默的观察者"。实际上，运行SNMPv1/v2c的设备就像一本打开的管理手册，只需要正确的团体名（community string）就能查阅整本书的内容。

SNMP信息收集与传统扫描的对比优势：

通过上表不难发现，SNMP查询在隐蔽性和信息丰富度上达到了完美平衡。在一次针对金融行业的红队行动中，我们曾通过以下命令在30秒内获取目标服务器的完整画像：

# 获取系统用户列表 snmpwalk -v2c -c public 192.168.1.105 1.3.6.1.4.1.77.1.2.25.1.1 # 枚举运行进程 snmpwalk -v2c -c public 192.168.1.105 1.3.6.1.2.1.25.4.2.1.2 # 检查网络连接 snmpwalk -v2c -c public 192.168.1.105 1.3.6.1.2.1.6.13.1.3

提示：SNMP查询返回的OID数据需要经过解析才能转化为可读信息。建议提前准备常用OID对照表或使用snmp-translate工具进行转换。

2. 突破边界：从单一设备到网络拓扑重建

发现第一台存在弱口令的SNMP设备只是开始。真正的艺术在于如何将这些看似零散的信息碎片拼接成完整的网络地图。我们开发了一套标准化流程：

1. 设备定位：通过ARP表（OID 1.3.6.1.2.1.4.22.1）获取直连设备IP
2. 路由分析：提取路由表（OID 1.3.6.1.2.1.4.24.4）识别网络分段
3. 服务发现：检查TCP连接表（OID 1.3.6.1.2.1.6.13.1.3）找到关键业务系统
4. 权限提升：通过可写团体名修改设备配置（如添加管理账户）

在某次实战中，这套方法帮助我们绘制出了包含87台设备的完整网络拓扑，其中包括：

• 2台未打补丁的Exchange服务器
• 1台存储着客户数据的MySQL实例
• 3台使用默认凭证的思科交换机

网络拓扑重建的关键OID：

1.3.6.1.2.1.4.22.1.2 # ARP表 1.3.6.1.2.1.4.24.4.1.4 # 路由目标网络 1.3.6.1.2.1.31.1.1.1.1 # 接口描述 1.3.6.1.2.1.6.13.1.4 # TCP连接状态

3. 横向移动：从信息收集到实际渗透

获取信息只是手段，最终目标是通过这些数据找到渗透路径。我们总结出三条典型的攻击链：

攻击链一：用户凭证推测

1. 通过SNMP获取系统用户列表
2. 分析用户名规律（如姓名缩写+工号）
3. 结合企业邮箱命名策略生成字典
4. 针对OWA或VPN进行密码喷洒攻击

攻击链二：软件漏洞利用

1. 枚举已安装软件（OID 1.3.6.1.2.1.25.6.3.1.2）
2. 匹配已知漏洞（如旧版Apache、Oracle等）
3. 通过SNMP设置触发漏洞（需rw权限）

攻击链三：网络配置篡改

1. 修改路由表重定向流量
2. 添加防火墙例外规则
3. 开启远程管理服务（如SSH、RDP）

在一次针对制造业客户的演练中，我们通过以下步骤完成了从外网到内网的穿透：

# 自动化SNMP信息收集脚本示例 import pysnmp.hlapi as snmp def snmp_query(ip, oid, community='public'): iterator = snmp.getCmd( snmp.CommunityData(community), snmp.UdpTransportTarget((ip, 161)), snmp.ContextData(), snmp.ObjectType(snmp.ObjectIdentity(oid)) ) errorIndication, errorStatus, errorIndex, varBinds = next(iterator) if errorIndication: print(f"Error: {errorIndication}") elif errorStatus: print(f"Error: {errorStatus}") else: return varBinds[0][1].prettyPrint()

4. 防守方视角：如何发现和阻断SNMP渗透

作为蓝队成员，必须了解攻击者的操作手法才能有效防御。以下是三个关键的检测点：

1. SNMP异常流量特征

• 短时间内大量SNMP GetRequest
• 非常规OID查询（如尝试访问1.3.6.1.2.1.25等敏感分支）
• 来自非管理IP的SNMP请求

2. 日志监控建议

# Linux下监控SNMP日志示例 tail -f /var/log/snmpd.log | grep -E 'public|private|default' # Windows事件ID 4（SNMP服务启动）和ID 5（无效团体名尝试） Get-WinEvent -FilterHashtable @{LogName='System';ID=4,5}

3. 加固措施优先级

1. 更换默认团体名为复杂字符串（建议16位以上随机组合）
2. 限制SNMP访问源IP（ACL或防火墙策略）
3. 升级到SNMPv3并启用加密认证
4. 关闭非必要设备的SNMP服务

某金融机构的SOC团队分享过一个典型案例：他们通过分析NetFlow数据，发现某台核心交换机在凌晨3点向外部IP发送了大量SNMP响应包，最终溯源到一个已持续两周的APT攻击。

5. 实战技巧与工具链优化

经过数十次实战演练，我们提炼出以下高效工作方法：

红队工具包推荐组合：

• snmpwalk/snmputil：基础查询工具
• onesixtyone：快速的SNMP团体名爆破
• snmp-check：自动化信息收集脚本
• SolarWinds SNMP MIB Browser：图形化分析工具

避免触发告警的三个技巧：

1. 限制查询频率（每秒不超过5次请求）
2. 优先查询离散OID而非全量walk
3. 通过Tor或云函数中转请求源IP

信息关联分析示例： 当发现以下组合时，通常意味着存在高风险：

• 系统运行旧版WebLogic（通过OID 1.3.6.1.2.1.25.6.3.1.2识别）
• 存在名为"oracle"的系统用户
• 开放了7001端口（通过OID 1.3.6.1.2.1.6.13.1.3确认）

在一次真实的渗透测试中，这套方法论帮助我们在4小时内从外网渗透到域控服务器，而突破口正是一台被所有人忽略的打印服务器上的SNMP服务。