<summary><strong>Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Εάν θέλετε να δείτε την **εταιρεία σας να διαφημίζεται στο HackTricks** ή να**κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**The PEASS Family**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε στη** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στη [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.
Το**[Intelligent Platform Management Interface (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** προσφέρει μια τυποποιημένη προσέγγιση για την απομακρυσμένη διαχείριση και παρακολούθηση των υπολογιστικών συστημάτων, ανεξάρτητα από το λειτουργικό σύστημα ή την κατάσταση λειτουργίας. Αυτή η τεχνολογία επιτρέπει στους διαχειριστές συστημάτων να διαχειρίζονται απομακρυσμένα τα συστήματα, ακόμα και όταν είναι απενεργοποιημένα ή μη ανταποκρίνονται, και είναι ιδιαίτερα χρήσιμη για:
Το IPMI είναι ικανό να παρακολουθεί θερμοκρασίες, τάσεις, ταχύτητες ανεμιστήρων και τροφοδοτικά, καθώς και να παρέχει πληροφορίες αποθέματος, να ελέγχει αρχεία καταγραφής υλικού και να αποστέλλει ειδοποιήσεις μέσω SNMP. Απαραίτητα για τη λειτουργία του είναι μια πηγή ενέργειας και μια σύνδεση LAN.
Από την εισαγωγή του από την Intel το 1998, το IPMI έχει υποστηριχθεί από πολλούς προμηθευτές, ενισχύοντας τις δυνατότητες απομακρυσμένης διαχείρισης, ιδιαίτερα με την υποστήριξη της έκδοσης 2.0 για σειριακή σύνδεση μέσω LAN. Οι βασικοί συστατικοί περιλαμβάνουν:
- **Baseboard Management Controller (BMC):** Ο κύριος μικροελεγκτής για τις λειτουργίες του IPMI.
- **Λεωφορεία και διεπαφές επικοινωνίας:** Για εσωτερική και εξωτερική επικοινωνία, συμπεριλαμβανομένων των ICMB, IPMB και διάφορων διεπαφών για τοπικές και δικτυακές συνδέσεις.
- **Μνήμη IPMI:** Για αποθήκευση καταγραφών και δεδομένων.
Στον κόσμο του IPMI 2.0, αποκαλύφθηκε μια σημαντική αδυναμία ασφαλείας από τον Dan Farmer, αποκαλύπτοντας μια ευπάθεια μέσω του **τύπου κρυπτογράφησης 0**. Αυτή η ευπάθεια, περιγράφεται αναλυτικά στην έρευνα του [Dan Farmer](http://fish2.com/ipmi/cipherzero.html), επιτρέπει την μη εξουσιοδοτημένη πρόσβαση με οποιοδήποτε κωδικό πρόσβασης, εφόσον στοχευθεί ένας έγκυρος χρήστης. Αυτή η αδυναμία βρέθηκε σε διάφορα BMCs από κατασκευαστές όπως η HP, η Dell και η Supermicro, υποδηλώνοντας ένα ευρέως διαδεδομένο πρόβλημα σε όλες τις υλοποιήσεις του IPMI 2.0.
Η εκμετάλλευση αυτής της αδυναμίας είναι εφικτή με το `ipmitool`, όπως φαίνεται παρακάτω, επιτρέποντας την αναφορά και τροποποίηση των κωδικών πρόσβασης των χρηστών:
Αυτή η ευπάθεια επιτρέπει την ανάκτηση αλατωμένων κατακερματισμένων κωδικών πρόσβασης (MD5 και SHA1) για οποιονδήποτε υπάρχον όνομα χρήστη. Για να δοκιμάσετε αυτήν την ευπάθεια, το Metasploit προσφέρει ένα ενότητα:
Μια προεπιλεγμένη ρύθμιση σε πολλά BMCs επιτρέπει την πρόσβαση "ανώνυμη", χαρακτηριζόμενη από κενές συμβολοσειρές ονόματος χρήστη και κωδικού πρόσβασης. Αυτή η ρύθμιση μπορεί να εκμεταλλευτεί για την επαναφορά κωδικών πρόσβασης ονομασμένων λογαριασμών χρηστών χρησιμοποιώντας το `ipmitool`:
Μια κρίσιμη σχεδιαστική επιλογή στο IPMI 2.0 απαιτεί την αποθήκευση κωδικών πρόσβασης σε μορφή καθαρού κειμένου μέσα στα BMCs για σκοπούς πιστοποίησης. Η αποθήκευση αυτών των κωδικών πρόσβασης από την Supermicro σε τοποθεσίες όπως `/nv/PSBlock` ή `/nv/PSStore` προκαλεί σημαντικές ανησυχίες ασφαλείας:
Η περιλαμβανόμενη από τη Supermicro εφαρμογή UPnP SSDP listener στο firmware του IPMI, ειδικά στην UDP θύρα 1900, εισάγει ένα σοβαρό κίνδυνο ασφάλειας. Οι ευπάθειες στην έκδοση 1.3.1 του Intel SDK για συσκευές UPnP, όπως περιγράφονται από την αποκάλυψη της [Rapid7](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play), επιτρέπουν την πρόσβαση ως root στο BMC:
Η**HP τυχαιοποιεί το προεπιλεγμένο κωδικό πρόσβασης**για το προϊόν της **Integrated Lights Out (iLO)** κατά την κατασκευή. Αυτή η πρακτική αντίθετα με άλλους κατασκευαστές, οι οποίοι τείνουν να χρησιμοποιούν **στατικές προεπιλεγμένες πιστοποιήσεις**. Παρακάτω παρέχεται ένας περίλογος με προεπιλεγμένα ονόματα χρηστών και κωδικούς πρόσβασης για διάφορα προϊόντα:
-Το**HP Integrated Lights Out (iLO)** χρησιμοποιεί ένα **τυχαίο 8-χαρακτήριο συμβολοσειρά** ως προεπιλεγμένο κωδικό πρόσβασης, παρουσιάζοντας ένα υψηλότερο επίπεδο ασφαλείας.
- Προϊόντα όπως το **Dell's iDRAC, IBM's IMM** και **Fujitsu's Integrated Remote Management Controller** χρησιμοποιούν εύκολα μαντεύσιμους κωδικούς πρόσβασης όπως "calvin", "PASSW0RD" (με μηδέν), και "admin" αντίστοιχα.
- Επίσης, το **Supermicro IPMI (2.0), Oracle/Sun ILOM** και **ASUS iKVM BMC** χρησιμοποιούν επίσης απλούς προεπιλεγμένους κωδικούς πρόσβασης, με "ADMIN", "changeme" και "admin" να λειτουργούν ως κωδικοί πρόσβασης τους.
Η διαχειριστική πρόσβαση στον Ελεγκτή Διαχείρισης Βασικής Πλακέτας (BMC) ανοίγει διάφορους δρόμους για την πρόσβαση στο λειτουργικό σύστημα του κεντρικού υπολογιστή. Μια απλή προσέγγιση περιλαμβάνει την εκμετάλλευση της λειτουργικότητας Πληκτρολογίου, Βίντεο, Ποντικιού (KVM) του BMC. Αυτό μπορεί να γίνει είτε επανεκκινώντας τον κεντρικό υπολογιστή σε ένα root shell μέσω του GRUB (χρησιμοποιώντας `init=/bin/sh`) είτε εκκινώντας από ένα εικονικό CD-ROM που έχει οριστεί ως δισκέτα ανάκαμψης. Τέτοιες μεθόδοι επιτρέπουν την άμεση επεξεργασία του δίσκου του κεντρικού υπολογιστή, συμπεριλαμβανομένης της εισαγωγής πίσω πόρτας, της εξαγωγής δεδομένων ή οποιωνδήποτε απαραίτητων ενεργειών για μια αξιολόγηση ασφαλείας. Ωστόσο, αυτό απαιτεί την επανεκκίνηση του κεντρικού υπολογιστή, που αποτελεί ένα σημαντικό μειονέκτημα. Χωρίς επανεκκίνηση, η πρόσβαση στον εκτελούμενο κεντρικό υπολογιστή είναι πιο περίπλοκη και διαφέρει ανάλογα με τη διαμόρφωση του κεντρικού υπολογιστή. Εάν η φυσική ή η σειριακή κονσόλα του κεντρικού υπολογιστή παραμένει συνδεδεμένη, μπορεί εύκολα να καταληφθεί μέσω των λειτουργιών KVM ή σειριακής-μέσω-LAN (sol) του BMC μέσω του `ipmitool`. Η εξερεύνηση της εκμετάλλευσης κοινόχρηστων υλικών πόρων, όπως το δίαυλος i2c και το Super I/O chip, είναι ένας τομέας που απαιτεί περαιτέρω έρευνα.
Μετά την παραβίαση ενός κεντρικού υπολογιστή που είναι εξοπλισμένος με ένα BMC, η **τοπική διεπαφή του BMC μπορεί να αξιοποιηθεί για την εισαγωγή ενός λογαριασμού χρήστη πίσω πόρτας**, δημιουργώντας μια μόνιμη παρουσία στον διακομιστή. Αυτή η επίθεση απαιτεί την παρουσία του **`ipmitool`** στον παραβιασμένο υπολογιστή και την ενεργοποίηση της υποστήριξης του οδηγού BMC. Οι παρακάτω εντολές επιδεικνύουν πώς μπορεί να εισαχθεί ένας νέος λογαριασμός χρήστη στο BMC χρησιμοποιώντας την τοπική διεπαφή του υπολογιστή, που παρακάμπτει την ανάγκη για πιστοποίηση. Αυτή η τεχνική είναι εφαρμόσιμη σε μια ευρεία γκάμα λειτουργικών συστημάτων, συμπεριλαμβανομένων των Linux, Windows, BSD και ακόμα και DOS.
<summary><strong>Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Εάν θέλετε να δείτε την **εταιρεία σας να διαφημίζεται στο HackTricks** ή να**κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**The PEASS Family**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε στη** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στη [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.
