<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
**[Intelligent Platform Management Interface (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** oferuje standaryzowane podejście do zdalnego zarządzania i monitorowania systemów komputerowych, niezależnie od systemu operacyjnego lub stanu zasilania. Ta technologia umożliwia administratorom systemów zdalne zarządzanie systemami, nawet gdy są wyłączone lub nieodpowiedzialne, i jest szczególnie przydatna do:
IPMI jest zdolne do monitorowania temperatur, napięć, prędkości wentylatorów i zasilaczy, a także dostarczania informacji o inwentarzu, przeglądania dzienników sprzętu i wysyłania alertów za pomocą SNMP. Do jego działania niezbędne są źródło zasilania i połączenie LAN.
Od wprowadzenia przez Intel w 1998 roku, IPMI jest obsługiwane przez licznych dostawców, zwiększając zdolności zdalnego zarządzania, zwłaszcza dzięki wsparciu wersji 2.0 dla transmisji szeregowej przez LAN. Kluczowe komponenty obejmują:
- **Kontroler zarządzania płytą główną (BMC):** Główny mikrokontroler do operacji IPMI.
- **Magistrale i interfejsy komunikacyjne:** Do komunikacji wewnętrznej i zewnętrznej, w tym ICMB, IPMB i różne interfejsy do połączeń lokalnych i sieciowych.
- **Pamięć IPMI:** Do przechowywania dzienników i danych.
W dziedzinie IPMI 2.0 odkryto znaczącą lukę w zabezpieczeniach, odkrytą przez Dana Farmera, która ujawnia podatność poprzez **typ szyfrowania 0**. Ta podatność, szczegółowo udokumentowana w badaniach [Dana Farmera](http://fish2.com/ipmi/cipherzero.html), umożliwia nieautoryzowany dostęp przy użyciu dowolnego hasła, pod warunkiem, że jest to ważny użytkownik. Ta słabość została znaleziona w różnych BMC od producentów takich jak HP, Dell i Supermicro, co sugeruje powszechny problem we wszystkich implementacjach IPMI 2.0.
Ta podatność umożliwia pobieranie solonych zahaszowanych haseł (MD5 i SHA1) dla dowolnej istniejącej nazwy użytkownika. Aby przetestować tę podatność, Metasploit oferuje moduł:
Domyślna konfiguracja wielu BMC (zarządzanie bazą danych) umożliwia dostęp "anonimowy", charakteryzujący się pustymi ciągami znaków dla nazwy użytkownika i hasła. Konfiguracja ta może być wykorzystana do resetowania haseł dla nazwanych kont użytkowników za pomocą narzędzia `ipmitool`:
Krytyczny wybór projektowy w IPMI 2.0 wymaga przechowywania haseł w czystym tekście w BMC w celu uwierzytelniania. Przechowywanie tych haseł przez Supermicro w lokalizacjach takich jak `/nv/PSBlock` lub `/nv/PSStore` rodzi poważne obawy dotyczące bezpieczeństwa:
Włączenie przez Supermicro nasłuchiwania UPnP SSDP w oprogramowaniu IPMI, zwłaszcza na porcie UDP 1900, wprowadza poważne ryzyko bezpieczeństwa. Podatności w wersji 1.3.1 Intel SDK for UPnP Devices, jak szczegółowo opisano w [publikacji Rapid7](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play), umożliwiają uzyskanie dostępu do BMC jako root:
**HP losuje losowe hasło domyślne** dla swojego produktu **Integrated Lights Out (iLO)** podczas produkcji. Praktyka ta różni się od innych producentów, którzy zwykle używają **statycznych danych uwierzytelniających domyślnych**. Poniżej przedstawiono podsumowanie domyślnych nazw użytkowników i haseł dla różnych produktów:
- **HP Integrated Lights Out (iLO)** używa **losowego ciągu 8 znaków** jako hasła domyślnego, co świadczy o wyższym poziomie bezpieczeństwa.
- Produkty takie jak **iDRAC firmy Dell, IMM firmy IBM** i **Integrated Remote Management Controller firmy Fujitsu** używają łatwo odgadnialnych haseł, takich jak "calvin", "PASSW0RD" (z zerem) i "admin" odpowiednio.
- Podobnie, **Supermicro IPMI (2.0), Oracle/Sun ILOM** i **ASUS iKVM BMC** również używają prostych danych uwierzytelniających domyślnych, gdzie hasłami są "ADMIN", "changeme" i "admin".
Administracyjny dostęp do kontrolera zarządzania płytą główną (BMC) otwiera różne ścieżki dostępu do systemu operacyjnego hosta. Prostym podejściem jest wykorzystanie funkcjonalności klawiatury, wideo i myszy (KVM) BMC. Można to zrobić poprzez ponowne uruchomienie hosta do powłoki roota za pomocą GRUB (używając `init=/bin/sh`) lub uruchomienie z wirtualnego napędu CD-ROM jako dysku ratunkowego. Takie metody umożliwiają bezpośrednią manipulację dyskiem hosta, włącznie z wstawianiem tylnych drzwi, wydobyciem danych lub wykonaniem innych niezbędnych działań w celu oceny bezpieczeństwa. Jednak wymaga to ponownego uruchomienia hosta, co stanowi znaczącą wadę. Bez ponownego uruchamiania dostęp do działającego hosta jest bardziej skomplikowany i różni się w zależności od konfiguracji hosta. Jeśli fizyczna lub konsola szeregowa hosta pozostaje zalogowana, można ją łatwo przejąć za pomocą funkcji KVM lub serial-over-LAN (sol) BMC za pomocą `ipmitool`. Badanie wykorzystania współdzielonych zasobów sprzętowych, takich jak magistrala i2c i układ Super I/O, to obszar, który wymaga dalszych badań.
Po skompromitowaniu hosta wyposażonego w BMC, można wykorzystać **lokalny interfejs BMC do wstawienia konta użytkownika z tylnymi drzwiami**, tworząc trwałą obecność na serwerze. Atak ten wymaga obecności narzędzia **`ipmitool`** na skompromitowanym hoście oraz aktywacji obsługi sterownika BMC. Poniższe polecenia ilustrują, jak nowe konto użytkownika można wstrzyknąć do BMC za pomocą lokalnego interfejsu hosta, omijając konieczność uwierzytelniania. Ta technika jest zastosowalna w szerokim zakresie systemów operacyjnych, w tym Linux, Windows, BSD, a nawet DOS.
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Jeśli chcesz zobaczyć **reklamę swojej firmy w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLAN SUBSKRYPCJI**](https://github.com/sponsors/carlospolop)!
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi trikami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
