# GLBP & HSRP Angriffe
Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)! Andere Möglichkeiten, HackTricks zu unterstützen: * Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)! * Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com) * Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family) * **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
{% embed url="https://websec.nl/" %} ## FHRP Hijacking Überblick ### Einblicke in FHRP FHRP ist darauf ausgelegt, Netzwerkrobustheit zu bieten, indem mehrere Router zu einer einzigen virtuellen Einheit zusammengeführt werden, um die Lastenverteilung und Ausfallsicherheit zu verbessern. Cisco Systems hat prominente Protokolle in dieser Suite eingeführt, wie z.B. GLBP und HSRP. ### GLBP Protokoll Einblicke Ciscos Kreation, GLBP, funktioniert auf dem TCP/IP-Stack und nutzt UDP auf Port 3222 für die Kommunikation. Router in einer GLBP-Gruppe tauschen "hello"-Pakete in 3-Sekunden-Intervallen aus. Wenn ein Router es versäumt, diese Pakete 10 Sekunden lang zu senden, wird davon ausgegangen, dass er offline ist. Diese Timer sind jedoch nicht festgelegt und können geändert werden. ### GLBP Operationen und Lastverteilung GLBP zeichnet sich dadurch aus, dass es die Lastenverteilung über Router mithilfe einer einzigen virtuellen IP in Verbindung mit mehreren virtuellen MAC-Adressen ermöglicht. In einer GLBP-Gruppe ist jeder Router am Paketweiterleitungsprozess beteiligt. Im Gegensatz zu HSRP/VRRP bietet GLBP echtes Lastenausgleich durch verschiedene Mechanismen: - **Host-abhängiger Lastenausgleich:** Behält die Zuweisung einer konsistenten AVF-MAC-Adresse an einen Host bei, was für stabile NAT-Konfigurationen unerlässlich ist. - **Round-Robin-Lastenausgleich:** Der Standardansatz, der die Zuweisung einer AVF-MAC-Adresse abwechselnd unter den anfragenden Hosts durchführt. - **Gewichteter Round-Robin-Lastenausgleich:** Verteilt die Last basierend auf vordefinierten "Gewichts"-Metriken. ### Schlüsselkomponenten und Terminologien in GLBP - **AVG (Active Virtual Gateway):** Der Hauptrouter, der für die Zuweisung von MAC-Adressen an Peer-Router verantwortlich ist. - **AVF (Active Virtual Forwarder):** Ein Router, der zur Verwaltung des Netzwerkverkehrs bestimmt ist. - **GLBP-Priorität:** Eine Metrik, die den AVG bestimmt, beginnend mit einem Standardwert von 100 und im Bereich von 1 bis 255. - **GLBP-Gewicht:** Spiegelt die aktuelle Last auf einem Router wider, die entweder manuell oder durch Objektverfolgung angepasst werden kann. - **GLBP-Virtuelle IP-Adresse:** Dient als Standard-Gateway des Netzwerks für alle verbundenen Geräte. Für Interaktionen verwendet GLBP die reservierte Multicast-Adresse 224.0.0.102 und den UDP-Port 3222. Router senden "hello"-Pakete in 3-Sekunden-Intervallen und gelten als nicht betriebsbereit, wenn ein Paket über einen Zeitraum von 10 Sekunden verpasst wird. ### GLBP Angriffsmechanismus Ein Angreifer kann zum primären Router werden, indem er ein GLBP-Paket mit dem höchsten Prioritätswert (255) sendet. Dies kann zu DoS- oder MITM-Angriffen führen, die den Verkehr abfangen oder umleiten können. ### Ausführen eines GLBP-Angriffs mit Loki [Loki](https://github.com/raizo62/loki_on_kali) kann einen GLBP-Angriff durchführen, indem ein Paket mit Priorität und Gewicht auf 255 injiziert wird. Vor dem Angriff sind Schritte wie das Sammeln von Informationen wie der virtuellen IP-Adresse, der Authentifizierungspräsenz und den Router-Prioritätswerten mithilfe von Tools wie Wireshark erforderlich. Angriffsschritte: 1. Wechseln Sie in den Promiscuous-Modus und aktivieren Sie die IP-Weiterleitung. 2. Identifizieren Sie den Zielrouter und rufen Sie dessen IP ab. 3. Generieren Sie eine Gratuitous ARP. 4. Injizieren Sie ein bösartiges GLBP-Paket, das den AVG imitiert. 5. Weisen Sie dem Netzwerkinterface des Angreifers eine sekundäre IP-Adresse zu, die der GLBP-Virtual-IP entspricht. 6. Implementieren Sie SNAT für eine vollständige Traffic-Sichtbarkeit. 7. Passen Sie die Routing-Einstellungen an, um weiterhin den Internetzugriff über den ursprünglichen AVG-Router zu gewährleisten. Durch Befolgen dieser Schritte positioniert sich der Angreifer als "Man in the Middle", der in der Lage ist, den Netzwerkverkehr abzufangen und zu analysieren, einschließlich unverschlüsselter oder sensibler Daten. Für die Demonstration sind hier die erforderlichen Befehlsschnipsel: ```bash # Enable promiscuous mode and IP forwarding sudo ip link set eth0 promisc on sudo sysctl -w net.ipv4.ip_forward=1 # Configure secondary IP and SNAT sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Adjust routing sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` ### Passive Erklärung des HSRP-Hijackings mit Befehlsdetails #### Überblick über HSRP (Hot Standby Router/Redundancy Protocol) HSRP ist ein von Cisco entwickeltes Protokoll für die Redundanz des Netzwerkgateways. Es ermöglicht die Konfiguration mehrerer physischer Router zu einer einzigen logischen Einheit mit einer gemeinsamen IP-Adresse. Diese logische Einheit wird von einem primären Router verwaltet, der für die Weiterleitung des Datenverkehrs verantwortlich ist. Im Gegensatz zu GLBP, das Metriken wie Priorität und Gewicht für die Lastverteilung verwendet, verlässt sich HSRP auf einen einzigen aktiven Router für das Traffic-Management. #### Rollen und Begriffe in HSRP - **HSRP Active Router**: Das Gerät, das als Gateway fungiert und den Datenverkehrsfluss verwaltet. - **HSRP Standby Router**: Ein Backup-Router, der bereit ist, die Rolle des aktiven Routers zu übernehmen, falls dieser ausfällt. - **HSRP-Gruppe**: Eine Gruppe von Routern, die zusammenarbeiten, um einen einzigen widerstandsfähigen virtuellen Router zu bilden. - **HSRP-MAC-Adresse**: Eine virtuelle MAC-Adresse, die dem logischen Router im HSRP-Setup zugewiesen ist. - **HSRP-Virtuelle IP-Adresse**: Die virtuelle IP-Adresse der HSRP-Gruppe, die als Standardgateway für verbundene Geräte fungiert. #### HSRP-Versionen HSRP gibt es in zwei Versionen, HSRPv1 und HSRPv2, die sich hauptsächlich in der Gruppenkapazität, der Verwendung von Multicast-IPs und der Struktur der virtuellen MAC-Adresse unterscheiden. Das Protokoll verwendet spezifische Multicast-IP-Adressen für den Austausch von Dienstinformationen, wobei Hello-Pakete alle 3 Sekunden gesendet werden. Ein Router gilt als inaktiv, wenn innerhalb eines Intervalls von 10 Sekunden kein Paket empfangen wird. #### HSRP-Angriffsmechanismus HSRP-Angriffe beinhalten das gewaltsame Übernehmen der Rolle des Active Routers durch das Einspritzen eines maximalen Prioritätswerts. Dies kann zu einem Man-In-The-Middle (MITM)-Angriff führen. Wesentliche Vor-Angriffsschritte umfassen das Sammeln von Daten über das HSRP-Setup, was mit Wireshark für die Traffic-Analyse durchgeführt werden kann. #### Schritte zum Umgehen der HSRP-Authentifizierung 1. Speichern Sie den Netzwerkverkehr, der HSRP-Daten enthält, als .pcap-Datei. ```shell tcpdump -w hsrp_traffic.pcap ``` 2. Extrahieren Sie MD5-Hashes aus der .pcap-Datei mithilfe von hsrp2john.py. ```shell python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes ``` 3. Knacken Sie die MD5-Hashes mit John the Ripper. ```shell john --wordlist=mywordlist.txt hsrp_hashes ``` **Ausführen von HSRP-Injektion mit Loki** 1. Starten Sie Loki, um HSRP-Anzeigen zu identifizieren. 2. Setzen Sie die Netzwerkschnittstelle in den Promiscuous-Modus und aktivieren Sie IP-Weiterleitung. ```shell sudo ip link set eth0 promisc on sudo sysctl -w net.ipv4.ip_forward=1 ``` 3. Verwenden Sie Loki, um den spezifischen Router anzugreifen, geben Sie das geknackte HSRP-Passwort ein und führen Sie die erforderlichen Konfigurationen durch, um den Active Router zu imitieren. 4. Nachdem Sie die Rolle des Active Routers übernommen haben, konfigurieren Sie Ihre Netzwerkschnittstelle und IP-Tabellen, um den legitimen Datenverkehr abzufangen. ```shell sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` 5. Ändern Sie die Routing-Tabelle, um den Datenverkehr über den ehemaligen Active Router zu leiten. ```shell sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` 6. Verwenden Sie net-creds.py oder ein ähnliches Dienstprogramm, um Anmeldeinformationen aus dem abgefangenen Datenverkehr zu erfassen. ```shell sudo python2 net-creds.py -i eth0 ``` Durch die Ausführung dieser Schritte kann der Angreifer in die Lage versetzt werden, den Datenverkehr abzufangen und zu manipulieren, ähnlich wie bei der Vorgehensweise beim GLBP-Hijacking. Dies verdeutlicht die Schwachstelle in Redundanzprotokollen wie HSRP und die Notwendigkeit robuster Sicherheitsmaßnahmen.