WooYun.org

声明：本次报告中提到的**.**.**.**是一个虚拟的域名，并非真实域名
在测试自己公司SSL VPN安全性的时候发现一个有趣的东西
ssl vpn连接后会服务端会下发一个资源列表给客户端，如下图：

图中的host字段就是VPN远端的服务器IP，port就是允许你访问的服务区端口号，这里为22
这里的意思就是只允许你去访问10.x.x.x的22端口，那么问题来了：

挖掘机哪家强，哦不对，是我可以修改服务器返回的IP和端口号来访问其它VPN远端资源吗？

说做就做，通过burp代理修改port范围为1-65535来试试：

然并卵，使用http代理后就不能访问L3VPN资源了（L3VPN=TCP+UDP+ICMP）

然而就不能继续了吗？no，祭出神器burp的invisible proxying
所谓的invisible proxying就是透明代理，通过出口设备将访问VPN的数据重定向给burp即可

找谁重定向？出口设备或者linux的iptables都可以，这里以出口设备DNAT为例
简要来说访问VPN的数据流变成如下流程：
hacker --> 出口 --> DNAT给burp（同时源IP转换为**.**.**.**） --> burp处理 --> 出口 --> VPN设备
注意：burp和hacker主机不能为同一台，为同一台的话会出现数据环路，为什么自己去想吧，基础网络知识
这里做实验的hacker机IP为**.**.**.**，burp主机**.**.**.**，网关为**.**.**.**，VPN设备IP假设为**.**.**.**
那么在出口需要做：
1、源IP为**.**.**.**的访问**.**.**.** TCP443端口重定向到**.**.**.**的443端口
2、代理**.**.**.**访问**.**.**.**的请求
因为我这里**.**.**.**是假的所以要绑定下hosts，burp和windows主机都要绑定

现在我们登陆试下，发现burp正常工作，VPN登陆流程比较慢但可以登陆
可以看到端口范围已经被burp自动修改了：

注：这里VPN登陆成功后需取消网关的DNAT策略，否则会因burp代理速度太慢导致VPN不可用
我们再来访问10.x.x.x的80端口试试，duang！一下就打开了80端口的页面

当然3306端口也是可以访问的：

最终测试结论：已绕过VPN访问控制系统