Hackbook #195 Cisco атаки, MITM чрез CAM, SOP байпас за Flash
Съдържанието на статията
Настройте Cisco като сървър
Днес отново ще се докоснем до темата за счупването на Cisco устройства (рутери, комутатори), така да се каже, ще продължим това, което започнахме. В този проблем исках да допълня и коригирам казаното в предишния брой.
Първо, на устройствата има не две, а три опции за разделяне на потребителите: само чрез парола, чрез потребителско име и парола или в модела „AAA“ (също чрез потребителско име и парола). Изглежда, че няма практическа разлика за pentester, но все пак е по-добре да започнете от правилната информация.
Второ, исках да допълня проблема със ситуация, в която вече имаме хакната циска и от нея се опитваме да разбием друга циска чрез SNMP. И като вземем предвид факта, че можем да намерим SNMP клиент на устройството, няма да е трудно да изпратим команди за преконфигуриране (вижте последователността в предишния брой). Но е много вероятно да има нужда да изтеглите някои файлове от нашата заловена циска към атакуваната (пример ще бъде даден по-късно). Тази задача не е трудна, но е желателно да знаете за такива възможности.
И това е! Сега този файл ще бъде достъпен за изтегляне от Cisco чрез TFTP. Ще бъде възможно да го вземете с командата (или аналози):
Но има проблем, когато трябва да качим файл на някой сървър. За съжаление, TFTP в устройствата на Cisco ви позволява само да изтегляте файлове, но не и да ги качвате.
В зависимост от версията на операционната система в Cisco, тя може също така да поддържа FTP (вече не се предлага от 2007 г.), SCP, RCP и евентуално някои други протоколи. Ето последователността от команди за активиране на SSH с поддръжка на SCP (ако SSH вече е конфигуриран, необходима е само последната команда).
В IOS командата за изтегляне от SCP ще бъде:
Сканирайте портове със Cisco
Представете си, че успешно сме поели контрола над маршрутизатор на Cisco и може би дори сме получили достъп до нова подмрежа (например административна VLAN). Какво можем да направим след това? Има няколко възможни варианта.
Като начало е важно да запомните различните вградени клиенти, които бяха споменати в предишния проблем, както и такива класически инструменти като ping, traceroute - те присъстват в повечето IOS и можем да ги използваме, за да разберем нашето разположение.
Но освен това устройствата на Cisco поддържат скриптовия език TCL (Tool Command Language). Това не е някакъв специален език на Cisco, а „нормален“, просто не е много често срещан сега. Нещо подобно на Perl или Shell. И с него можем да реализираме много класически задачи. Например скенер за портове, заден ход или персонализиран клиент за някакъв протокол. Ето редица бойни примери.
За да изпълним всеки TCL скрипт, имаме нужда от командата tclsh, след това пътя до скрипта и параметрите. Освен това този път може да сочи към отдалечен хост (tftp://192.168.1.100/iosmap.tcl) и всичко ще работи.
Но от тук можем да изтеглим и скенера за портове, който ни интересува - IOSmap. Поддържа ping, TCP-connect, UDP сканиране по порт и диапазони на хостове. Параметрите и изхода се правят по аналогия с Nmap.
Тук е важно да се отбележи, че това е далеч от Nmap и затова е безсмислено да очакваме подобна скорост. Но този инструмент се справя със задачата.
Между другото, скриптовете могат потенциално да изядат прилично количество ресурси на устройството, така че бъдете внимателни с тях.
Хакер #195. Атаки срещу Oracle DB
Направете Cisco Port Forwarding
Да продължим с предишната ситуация. Нека се преструваме, чеоткрихме нова VLAN на компрометираната Cisco, сканирахме я малко и открихме някои потенциално интересни услуги. Но как можем да разгърнем по-нататъшната си атака, ако не можем да влезем в тази VLAN, освен чрез cisochka?
Едно решение е, разбира се, пренасочване на портове. И както вероятно вече сте разбрали, TCL също ще ни помогне с решението на този проблем. Използвайки връзката по-горе, ние също изтегляме инструмента IOScat - аналог на netcat.
Параметрите за IOScat ще бъдат следните:
Вижте екранната снимка за резултатите.
Бих искал да отбележа, че IOScat има редица други методи на приложение. Можете да прочетете за тях в PDF-ръководството, приложено към скрипта.
От друга страна, стабилността на инструмента може да бъде малко слаба.
Намерете трафик със Cisco
Добре, справихме се с атаки чрез cisco, но нека си припомним, че cisco е мрежово устройство, в което нещо е физически включено. Това означава, че първоначално е в позиция човек по средата и ние потенциално можем да надушим трафик, преминаващ през устройството. Въпреки че защо потенциално - много ciscos извън кутията ви позволяват да надушите трафика :). Освен това можете да го запишете веднага в pcap файлове, подходящи за анализ в Wireshark. Можете да надушите входящ, изходящ или трафик, преминаващ през cisco. Прекрасни, прекрасни възможности се отварят пред нас.
На практика това става по няколко начина.
Първият за рутери е Embedded Packet Capture (EPC), който ви позволява да надушвате данни и да ги записвате в DRAM на cisochka.
Методът има следните ограничения:
- поддръжката за Cisco Express Forwarding трябва да е активирана;
- IOS версия - 12.4(20) или по-нова;
- количестводанните са ограничени до памет при циска.
Всъщност последното изглежда достатъчно сериозно за нас, тъй като паметта не е неограничена. Приблизително от 128 MB до 4 GB, да не говорим, че трябва да оставите нещо, за да работи коректно сиското. Не е възможно веднага да качите заснетите данни някъде.
Последователността е приблизително следната:
- Заделяме буфер в паметта за трафик и свързваме списъци за достъп към него.
- Създаваме точки за улавяне (като интерфейси), върху които ще се извършва снифингът на трафика.
- Определяме връзката на буфера с точката.
- Стартираме снифера.
- Експортираме данните в pcap (и ги обединяваме с външен ресурс) или ги извеждаме към конзолата.
Важен факт е, че може да има няколко буфера и точки за сниф едновременно.
А сега последователността от команди за надушване на Telnet трафик:
- Влизане в режим на конфигуриране
Създаваме необходимия списък за достъп, за да ограничим трафика (само Telnet за всеки IP):
Излезте от режима на конфигуриране в EXEC:
- Създаваме буфери и определяме размера в 1 MB (в килобайти):
Ние свързваме списък за достъп към него:
- Създайте точка за улавяне, като посочите нейното име, интерфейс (възможно на няколко или дори на всички), къде да надушите, както и какъв (входящ или изходящ) трафик да надушите:
- Свързваме буфера и точката на смъркане:
- Стартираме снифера с командата
Можете да спрете с командата
- След това експортираме данните към нашия външен сървър:
Или изведете директно към конзолата:
Това е. Всичко е доста просто, гъвкаво и не изисква външен софтуер. Това ни дава възможност за сравнително безопасноизползване на функционалност в бойни условия.
Ще ви разкажа за останалите snif методи в следващия брой на Easy Hack.
Стартирайте MITM при превключване чрез препълване на CAM
След като наскоро слушах някои интересни специалисти, ясно разбрах, че е необходимо да допълня Easy Hack с редица задачи, свързани с атаки върху L2 слоя на OSI модела, тоест върху протоколи и оборудване, които работят преди IP маршрутизирането (Layer 3), основно това са всички видове превключватели (превключватели).
Веднага ще ви предупредя, че далеч не съм гуру на тези неща, представата ми за всичко е чисто пентестерска, но ще се опитам да предам правилните основни концепции и основи. Освен това, знаейки, че пропуските в знанията на хората в мрежите са доста големи, силно ви съветвам да гледате курса „Мрежи за най-малките“ на linkmeup.ru. Ще бъде полезно за IT специалист във всяка област.
Разбира се, една от основните атаки срещу сегментите на локалната мрежа е ARP poisoning. Но не се ограничава само до нея. Резултатите от други атаки в този случай могат да бъдат различни: човек по средата, отказ на услуга за цялата мрежа, заобикаляне на някои ограничения (VLAN hopping). В допълнение, именно на нивото на комутаторите най-често се реализира защита срещу ARP отравяне.
Да преминем към първата атака - препълване на CAM таблица. За да го разберете, трябва да разгледате работата на комутатора и хъба (хъба).
Едно време се използваха такива устройства - хъбове, които глупаво копираха всички пакети, пристигащи на един мрежов интерфейс, на всички останали интерфейси. И всички хостове, свързани към хъба, виждаха целия трафик, предназначен за други хостове. Но по-лошото е пропорционален спад в производителността с увеличаване на броя на хостовете, дори ако те „комуникират“ в самия център.
И тук сме близо до атаката. Мисля, че същността му вече е ясна от името.
О, още един важен факт - атаката работи само във вашата VLAN.
„Байпас“ SOP за Flash
За да разредя малко нашия „мрежов“ Easy Hack, бих искал да засегна някои тънкости на темата за политиката за същия произход в контекста на Flash. От една страна, всичко е ясно с него - файлът crossdomain.xml определя правилата за достъп. Ако е конфигуриран несигурно, тогава "всичко е лошо" (за собственика на ресурса). Но има и по-фини ситуации, за които ще говорим.
Но тъй като е необходима комуникация между сайтове, Flash има „патерица“ за смекчаване на SOP под формата на файл crossdomain.xml, който дефинира политиката за доверие и се намира в основата на сайта (в този случай gmail.com).
Ето примерен crossdomain.xml, който позволява пълен достъп от всякакви (domain="*") сайтове на трети страни:
- http://gmail.com/subdir/any_name.xml - Flash политика, позволяваща пълен достъп;
- http://gmail.com/subdir/subsubdir/any_name - достъпът е разрешен;
- http://gmail.com/ - достъпът е отказан;
- http://gmail.com/subdir2/ - достъпът е отказан.
Това може да ни ограничи, но в определени ситуации можем да се опитаме да заобиколим ограничението. И последното. Ако всичко е наред, за практическото използване на уязвимостта, трябва да можем да посочим на Flash пътя към допълнителната политика. И следният ред в ActionScript3 ще ни помогне с това:
Между другото, заслужава да се отбележи, че горната информация е почти напълно вярна за Acrobat Reader. Можем да изпращаме заявки от PDF файлове и всички crossdomain.xml са ограничени.
Благодаря за вниманието и успехново!