1. 程式人生 > >利用SNMP攻擊思科等交換機路由器等裝置

利用SNMP攻擊思科等交換機路由器等裝置

       路由器是網路中常用的網路裝置,是他將我們的伺服器在茫茫網海中聯絡起來。只有通過他,我們才能使用最合理的資料通路將資料傳送到對方,也就是說路由器提供了網際網路資料通路的節點。在《黑客防線》2003年第一期南陽巖冰寫的《保護網路從路由器做起》一文中,我們已經基本瞭解了怎樣安全的配置好一臺CISCO路由器,下面我們將使用SolarWinds2002這個軟體對CISCO路由器進行簡單的安全檢測工作。
*基本知識*
1. 路由器一般的遠端控制方法有兩種,一是Telnet,另外一個是同過SNMP代理。大家常用的Telnet就不說了,第二種控制方式是通過在路由器上配置好SNMP代理,包括MIB變數訪問、MIB變數設定、SNMP中斷和SNMP團體字串四項功能,再在遠端使用基於SNMP應用協議的管理軟體(如CISCO WORKS 2000)進行遠端管理,也可以在路由器上開放80埠,用瀏覽器進行遠端管理。
2. CISCO路由器登陸口令分為使用者訪問口令和特權級口令(enable)。預設情況下,路由器上所有控制檯口令是以明文形式儲存在路由器配置中。使用enable password命令設定的密碼是用Cisco的type 7型加密演算法實現的,可以反向解密的,而管理員使用enable secret命令設定的密碼,是用MD5雜湊演算法進行加密,破解有較大難度。
3. SNMP團體字串一般是有兩種。一是public,代表對路由器資源只讀許可權;二是private,代表對路由器資源可讀寫許可權。
*檢測詳解*
       首先,我們需要一個專門的,集掃描、破解、管理等功能於一身的軟體:SolarWinds 2002。下載地址和註冊方法都在灰色軌跡的下載欄中可以找到,我就不多說了。
安裝完畢並執行後,就可以看到她的工具條了,根據不同的應用工具條被劃分為11個欄目。根據入侵win2k的經驗,我們要入侵CISCO路由器,也是要先用掃描器尋找存在漏洞的CISCO路由器。而出現這個漏洞的原因一般也是因為管理員沒有正確配置好路由器,導致我們可以對CISCO路由器的配置檔案進行讀寫操作。開啟SolarWinds工具條Discovery欄中的IP Network Browser工具,在其Settings配置對話方塊中,選中public並刪掉它,只保留private SNMP團體字串。這樣掃描出來的CISCO路由器一般就具有可對配置檔案讀寫的許可權。
確定Settings配置後,在Scan an IP Address Range下的Begining IP Address和Ending IP Address中分別填上你想掃描的起始IP地址和結束IP地址。然後單擊“Scan Address Range”,開始掃描。
呵呵,運氣不錯,一會兒後我們便有了想要的東西。選中這個有漏洞的CISCO路由器,單擊工具欄中的“Config”,SolarWinds便會自動開啟TFTP服務並使用SolarWinds工具條Cisco Tools欄下的Config Editor/Viewer工具自動下載這個路由器的配置檔案到SolarWinds安裝所在分割槽的TFTP-Root目錄下。可能是由於註冊機或其他什麼的原因,當使用Config Editor/Viewer試圖開啟這個下載的Config檔案的時候,該工具自身會鎖死。不過沒關係,我們可以先將他關閉,再在Cisco Tools欄下開啟Config Editor/Viewer工具,使用其工具欄上的“Diff”比較工具,開啟剛才下載的Config配置檔案。
下面是一份真實的Config配置檔案:
!* ***.CiscoConfig //以路由器名稱為檔名的.CiscoConfig檔案
!* IP Address : *.*.*.* //路由器的IP地址
!* Community : private //注意到這個SNMP團體字串,代表的是可讀寫許可權
!* Downloaded 2003-2-7 1:28:31 by SolarWinds Config Transfer Engine Version 5.5.0
!
! Last configuration change at 16:10:53 UTC Tue Jan 28 2003
! NVRAM config last updated at 22:16:28 UTC Sat Nov 30 2002
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname video_center
!
enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0 //使用MD5雜湊演算法進行加密了的特權口令
enable password 7 094F5D0D014E1C16415D5279 //如果沒有上面的enable secret,則特權口令就是這個type 7型加密演算法加密的口令
……//中間太多太雜而省略
line vty 0 4
password video //這裡是明文儲存的訪問口令
login
line vty 5 15
password video
login
!
end
        像上面這個配置檔案中的enable password 7 094F5D0D014E1C16415D5279這種使用type 7型加密演算法加密的密碼,我們可以用Cisco Tools欄下的Router Password Decryption工具進行破解,輸入7 094F5D0D014E1C16415D5279並回車,就可以看到其真正的密碼csdx+kd*163了。
我們看到的這個配置檔案,訪問口令是用明文儲存的video,我們直接就可以用這個telnet上去了,不過只是普通模式,沒有什麼許可權,我們需要的是得到Cisco路由器的特權。
由於其特權口令是使用MD5雜湊演算法進行加密的,直接破解比較麻煩,這裡可以使用Cain v2.5工具對Config配置檔案中的口令進行破解。但這樣的成功率不是很大,我們需要想另外一個辦法突破他。你想到了嗎?我們掃描用的SNMP團體字串是private,具有讀寫能力,於是我們就有了這招偷樑換柱。
        先備份好剛下載的Config配置檔案,再使用記事本找到“enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0”這個字串(不帶引號),使用一個我們已知口令的MD5加密值代替進去。然後使用Cisco Tools欄下的Upload Config工具將修改好的這個Config配置檔案上傳到Cisco路由器上,這樣我們就沖掉了原來的密碼,當然也就可以用我們知道的口令進入特權模式了。再上傳config檔案時,Upload Config工具會詢問是要覆蓋當前running執行的config檔案,還是覆蓋快閃記憶體中的開機config檔案,這裡我們當然需要選擇是第一個覆蓋當前running執行的config檔案這個選項。
        不難看到,入侵CISCO路由器的朋友也就是鑽了管理員的配置漏洞而已,對於要指定目標進行安全檢測的情況,SolarWinds2002也為我們想得很周到。我們可以使用其工具條中Security Check工具,掃描試圖破解出指定路由器具有可讀寫許可權的SNMP團體字串。除此之外,我們還可以使用工具條Security欄中的SNMP Brute Force Attack工具,對指定路由器的登陸及特權口令進行暴力猜解,或使用SNMP Dictionary Attack工具對指定的路由器的登陸及特權口令進行字典猜解。
       OK, Cisco路由器簡單的安全監測工作就這樣完成了,當然進去之後,建議大家先使用#terminal history size 0命令將系統日誌停掉,幹完事後使用#clear logg和#clear line vty *兩個命令刪掉記錄,最後一定要記得將首先備份的Config配置檔案還原上去,以免影響管理員的正常維護工作。
       另外,可能有的朋友遇到SolarWinds2002這樣的大型英文軟體會有點頭痛。參照其幫助檔案,我將各個工具欄中小工具的用途簡單的列舉了出來,希望對大家有用。
*SolarWinds2002中各個工具的簡單說明*
使用版本:SolarWinds 2002 CATV Engineers Edition
Discovery欄
IP Network Browser 用於掃描於設定的SNMP字串相同的路由器
Ping Sweep 用於掃描一段IP中有哪些正在被使用,並顯示出其DNS名字
Subnet List 用於掃描路由下的分支網路,並給出了子掩碼
SNMP Sweep 用於在一段IP下掃描哪些提供SNMP服務
Network Sonar 用於建立和檢視TCP/IP網路構成資料庫
DNS Audit 用於掃描定位本地DNS資料庫錯誤
MAC Address Discovery 用於掃描一段IP記憶體在機器的MAC地址
Cisco Tools欄
Config Editor/Viewer 用於下載、檢視、比較、備份Cisco路由和交換機配置
Upload Config 用於上傳Cisco路由和交換機配置,可用於修改配置
Download Config 用於下載Cisco路由和交換機配置
Running Vs Startup Configs 用於比較正在執行的和開機的配置檔案
Router Password Decryption 用於解密Cisco的type 7型密碼
Proxy Ping 用於測試Cisco路由器是否具有代理ping的能力
Advanced CPU Load 用於建立、檢視Cisco路由器或交換機CPU工作狀態資料庫
CPU Gauge 用於監控win2k、Cisco路由器或交換機CPU工作
Router CPU Load 用於及時監控Cisco路由器的cpu工作
IP Network Browser 用於掃描於設定的SNMP團體字串相同的路由器
Security Check 用於掃描指定路由器的SNMP團體字串
Ping Tools欄
Ping 用於ping主機
Trace Route 用於跟蹤路由,檢視經過的路由地址
Proxy Ping 用於測試Cisco路由器是否具有代理ping的能力
Ping Sweep 用於掃描一段IP中有哪些正在被使用,並顯示出其DNS名字
Enhanced Ping 用於及時監視一定數量伺服器、路由器等的相應能力
Address Mgmt欄
Subnet Calculator IP Address Management
IP Address Management 用於及時監控一段網路中IP的使用情況
DNS / Whois 用於獲取一IP或域名的詳細DNS資訊
Ping Sweep 用於掃描一段IP中有哪些正在被使用,並顯示出其DNS名字
DNS Audit 用於掃描定位本地DNS資料庫錯誤
DHCP Scope Monitor 用於監控具有DHCP功能主機的子網路
Monitoring欄
Bandwidth Monitor 用於及時監控多個裝置的通路與頻寬情況
Watch It ! 用於telnet、web管理多個路由裝置的工具條
Router CPU Load 用於及時監控Cisco路由器的cpu工作
Network Monitor 用於監控多個路由裝置的多種工作狀態引數
Network Performance Monitor 用於監控多個路由裝置的各種詳盡網路狀態
Enhanced Ping 用於及時監視一定數量伺服器、路由器等的相應能力
SysLog Server 用於察看、修改514 UDP埠接收到的系統log
Perf Mgmt欄
Network Performance Monitor 用於監控多個路由裝置的各種詳盡網路狀態
NetPerfMon Database Maintenance 用於維護上面工具生成的資料庫
SNMP Graph 用於在MIB中及時的收集設定的OID的詳細資料
Bandwidth Gauges 用儀表的形式監視遠端裝置的通路與頻寬情況
Bandwidth Monitor 用趨勢圖的形式及時監控多個裝置的通路與頻寬情況
Advanced CPU Load 用於建立、檢視Cisco路由器或交換機CPU工作狀態資料庫
CPU Gauge 用於監控win2k、Cisco路由器或交換機CPU工作
Router CPU Load 用於及時監控Cisco路由器的cpu工作
MIB Browser欄
MIB Browser 用於檢視、編輯各種MIB資料資源
Update System MIB 用於改變各種SNMP裝置的系統資訊
SNMP Graph 用於在MIB中及時的收集設定的OID的詳細資料
MIB Walk 用於收集指定OID的詳細資訊
MIB Viewer 用於檢視各種MIB資料資源
Security欄
Security Check 用於掃描指定路由器的SNMP團體字串
Router Password Decrypt 用於解密Cisco的type 7型密碼
Remote TCP Session Reset 用於顯示各裝置上的已啟用連線
SNMP Brute Force Attack 用於暴力猜解路由器的登陸口令
SNMP Dictionary Attack 用於字典猜解路由器的登陸口令
Edit Dictionaries 用於編輯字典
CATV Tools欄
CATV Subscriber Modem Details 用於查詢CATV Modem的當前工作狀態
CMTS Modem Summary 用於監聽和檢視CATV Modem的各種工作狀態
Network Performance Monitor 用於監控多個路由裝置的各種詳盡網路狀態
NetPerfMon Database Maintenance 用於維護上面工具生成的資料庫
Miscellaneous欄
TFTP Server 用於建立TFTP伺服器以接收、傳送資料
WAN Killer 用於傳送特定資訊包
Send Page 用於傳送E-Mail或Page
Wake-On-LAN 用於遠端啟用網路功能


注意事項: 1、有時可能工具自帶的TFTP服務無法下載配置檔案,可以使用tftpd32開啟TFTP服務來嘗試。 2、思科裝置加密方式分為三種:0 、5、7的意思是:0為不加密,5為使用MD5加密,7為使用cisco的私有演算法加密。  3、如果有人使用Telnet或ssh登入在裝置上,可能配置檔案此時無法下載,可以選擇在晚上或沒有人登入時進行嘗試 4、不管下載還是上傳配置檔案很有可能要多次才能成功,可以選擇在晚上進行嘗試。 5、進行操作時最好選擇有外網ip的vps,上傳配置檔案時本地ip設為外網或撥號ip,不要用127.0.0.1。